GDPR у сфері охорони здоров'я Данії: правозастосування Datatilsynet у 2024 році
Данський Datatilsynet розглянув 31 справу щодо GDPR у 2024 році. Чотирнадцять із них — 45% — стосувалися медичних систем. Населення Данії становить 5,9 мільйона осіб. Такий відсоток є дуже високим. Він свідчить про те, наскільки далеко просунулась країна у цифровізації охорони здоров'я. Він також показує, наскільки суворими є правила.
Система охорони здоров'я Данії
Кожен данець має номер CPR. Цей номер пов'язаний із його медичною карткою, реєстром ліків, журналом лікарні та зразками тканин в Інституті сироватки держави (Statens Serum Institut). Журнал лікарні охоплює записи з 1977 року.
Ця система робить данські медичні дослідження одними з найкращих у світі. Разом з тим вона означає, що медичні файли пацієнтів є надзвичайно чутливими. Саме тому Datatilsynet приділяє цій сфері таку велику увагу.
Проблема номера CPR
Номер CPR — це 10-значний ідентифікатор. Його формат: ДДММРР-ХXXX. Остання цифра є контрольною. Вона розраховується за методом модуля 11.
Номери CPR зустрічаються в кожній клінічній справі. Вони пов'язані з даними про медичну допомогу, податки, банківські рахунки та виборчими записами.
Datatilsynet зазначає, що перед використанням медичних записів у будь-яких нових цілях необхідно перевіряти якість деідентифікації. Проте 67% поширених інструментів NLP пропускають перевірку за модулем 11 для номерів CPR. Коли така перевірка відсутня, виникають дві проблеми.
Хибні спрацьовування: рядки дат, номери рахунків і довідкові коди помилково розпізнаються як справжні номери CPR. Це призводить до витратних перевірок вручну.
Пропущені ідентифікатори: номери CPR із переставленими цифрами не проходять перевірку. Тобто справжні ідентифікатори пацієнтів залишаються непоміченими. Вихідні дані виглядають чистими, але насправді такими не є.
Дивіться наш посібник із виявлення національних ідентифікаторів ЄС, щоб дізнатися, як правила контрольних цифр працюють для інших типів ідентифікаторів ЄС.
Чотири правила повторного використання медичних записів
Медичні реєстри Данії сприяють розвитку передових досліджень. Настанови Datatilsynet 2024 року щодо повторного використання даних встановлюють чотири правила.
Задокументуйте виконані дії: перелічіть кожне поле, яке ви видалили або змінили. Зазначте, як ви округляли чи групували значення. Короткої примітки до політики для цього недостатньо.
Надайте результати тестування: доведіть, що ваш інструмент виявив номери CPR та інші данські ідентифікатори. Заява — це не доказ.
Обмежте обсяг даних: не збирайте більше персональних даних, ніж потрібно для вашого дослідження. Це правило діє навіть для псевдонімізованих наборів.
Проведіть DPIA для інструментів ШІ: будь-який інструмент ШІ, що обробляє данські медичні файли, потребує DPIA. Використовуйте стандартну форму Datatilsynet.
Три сфери уваги в Копенгагені
Серед копенгагенських медико-технологічних компаній — Leo Pharma, Bavarian Nordic та багато стартапів. Datatilsynet відстежує три зони ризику.
Навчальні набори для ШІ: у 2024 році регулятор виявив компанії, які навчали моделі ШІ на файлах із реальними номерами CPR. Жодна з них не мала чинної правової підстави.
Транскордонні передачі: деякі компанії надсилали медичні файли американським хмарним постачальникам для роботи з ШІ. Регулятор зазначив, що самих лише SCC недостатньо. Необхідно також вжити технічних заходів — наприклад, шифрування із збереженням ключів у Європі.
Журнали доступу: журнали повинні показувати, хто читав які файли і з якою метою. Зберігайте їх щонайменше п'ять років.
56% витоків медичних даних у Данії у 2024 році сталися через неналежну деідентифікацію. Використання інструментів із перевіркою CPR та підтримкою данської мови усуває найпоширенішу причину збоїв.
Докладніше про правозастосування в Північній Європі читайте в нашому посібнику IMY Швеція щодо анонімізації за GDPR.