30 LAUGARDAGUR 10. OKTÓBER 1998 MORGUNBLAÐIÐ "W Hvernig veröur nafnleynd tryggö viö söfnun heilsufarsupplýsinga í miðlægan gagnagrunn? Hversu ör- ugg er dulkóðun? Hvaöa eftirlit verður haft meö starfsemi grunnsins? Ómar Friðriksson lýsir nýjum kröfum heilbrigðisyfirvalda um lágmarksöryggi gagnagrunnsins og hugmyndum íslenskrar erfóagreining- ar um nafnleyndarkerfi grunnsins. Einnig veröur fjallaö um hvers konar upplýsingar gætu farið í grunn- inn og greint frá reynslu Skýrr af rekstri miðlægs gagnagrunns. Undir lás og slá SAFNA á saman skráðum heilsu- farsupplýsingum síðustu áratuga um Islendinga á heilbrigðisstofnun- um landsins og hjá sjálfstætt starf- andi heilbrigðisstarfsmönnum og færa þær dulkóðaðar inn í einn mið- lægan tölvugagnagrunn verði frum- varp heilbrigðisráðherra að lögum og gangi eftir áætlanir væntanlegs einkaleyfíshafa grunnsins, íslenskr- ar erfðagreingar (ÍE). Þetta mikla upplýsingasafn verður svo uppfært reglulega þegar nýjar upplýsingar um skjólstæðinga heilbrigðisþjón- ustunnar bætast við. Gert er ráð fyrir að IE semji við heilbrigðis- stofnanir hverja fyrir sig um hvaða upplýsingar verða færðar inn í grunninn. Sjúklingar geta hins vegar óskað sérstaklega eftir því að upplýsingar um þá verði ekki fluttar í grunninn og nægir að senda einfalda tilkynn- ingu um það til landlæknis. Það mun svo væntanlega koma í hlut Tölvunefndar eða eftirlitsstofnunar á hennar vegum að gæta þess að upplýsingar um þessa ein- staklinga fari ekki með öðr- um gögnum inn í grunninn. Nú hefur verið fellt brott ákvæði úr frumvarpinu sem kvað á um að upplýsingar til notkunar við gerð heilbrigðis- skýrslna færu í miðlæga grunninn, þrátt fyrir neitunarvald einstak- linga. Heilbrigðisráðherra kynnti í gær ýmsar breytingar sem gerðar hafa verið á frumvarpinu sem lagt verð- ur fyrir Alþingi á næstu dögum. Þar er m.a. að fínna ákvæði og tillögur um hvernig standa skuli að dulritun gagna og eftirliti til að tryggja per- sónuvemd. Kveðið er á um að við úrvinnslu og samtengingu upplýs- inga sé þess gætt að ekki sé unnt að tengja upplýsingar persónugreinan- legum einstaklingum og að óheimilt sé að veita upplýsingar um einstak- linga úr grunninum. Ráðuneytið fól hugbúnaðarfyrirtækinu Stika ehf. að gera tillögur um dulkóðun sem fylgja með sem fylgiskjal frum- varpsins. Á minnisblaði Stika er í reynd að fínna þær lágmarkskröfur sem stjómvöld setja við smíði og starfrækslu grannsins og ber ÍE að laga sínar áætlanir og lýsingar um gagnagranninn að þeim. Framvarpið kveður á um að dulkóðun skuli a.m.k. vera jafn ör- ugg og sett er fram í tillögu Stika ehf. Að mati ráðuneytisins er hér um að ræða mjög trygga dulkóðun gagna, og auk þess er gert ráð fyrir aðgangstakmörkunum til að tryggja persónuvernd. Starfsmenn heil- brigðisþjónustunnar munu sam- kvæmt framvarpinu annast sam- ræmda skráningu upplýsinga, dulkóðun heilsufarsupplýsinga og fyrstu dulkóðun persónuauðkenna þannig að þeir sem starfa við gagnagrunninn fái aldrei í hendur persónugreindar upplýsingar úr sjúkraskrám. Tölvunefnd annast frekari dulkóðun persónuauðkenna með þeim aðferðum sem hún á hverjum tíma telur bestar til að tryggja öiyggi upplýsinganna. Dulkóðun persónuauðkenna skal vera með þeim hætti að ekki sé hægt að rekja upplýsingar til baka MIÐLÆGUR GAGNAGRUNNUR Á HEILBRIGÐISSVIÐI með greiningarlykli og er það breyting frá fyrra frumvarpi. Nú er einnig gert að skilyrði áður en starfsemi gagnagrannsins hefst að íyrir liggi úttekt óháðs fyrirtæk- is á sviði öryggismála upplýsinga- kerfa. Tölvunefnd hafi eftirlit meö öryggi í grunninum fslensk erfðagreining hyggst kosta uppsetningu vélbúnaðar og hugbúnaðar á öllum stofnunum sem verða samstarfsaðilar fyrirtækisins við gerð gagnagrannsins, heilbrigð- isstarfsfólk á þessum stofnunum mun setja sjúkraskrár og aðrar upplýsingar í tölvutækt form og búa upplýsingamar til flutnings í grann- inn. Ailar upplýsingar í gagna- granninn eiga að vera ópersónu- greinanlegar og því hafa að undan- fómu verið mótaðar aðferðir sem nota á til að uppfylla kröfur um per- SJÚKRASKRÁR Sjúkrahúss Reykjavíkur fylla 1.250 hillumetra. sónuvernd. Skipta má þessum að: ferðum í megindráttum í þrennt. í fyrsta lagi verða upplýsingarnar gerðar ólæsilegar með svonefndri dulkóðun (dulritun), í öðra lagi verður beitt ýmsum stjómunarlegum aðferðum til að vemda gögnin, m.a. með ströngum aðgangstak- mörkunum, og loks er Tölvu- nefnd samkvæmt lokaútgáfu fram- varpsins falið mun viðameira eftir- litshlutverk með flutningi upplýs- inganna og starfsemi gagnagranns- ins en eldri framvarpsdrög gerðu ráð fyrir. Er nú kveðið á um að Tölvunefnd eigi að hafa eftirlit með öryggi í grunninum. Auk þess að geyma allar tölvu- tækar og nýtanlegar heilsufarsupp- lýsingar í gagnagranninum ætlar IE einnig að safna ættfræði- og erfðafræðiupplýsingum yfir flesta einstaklinga á íslandi í gi-unninum. Þessi gögn á einnig að dulkóða. Mikilvægt er að hafa í huga að framvarp heilbrigðisráðherra fjall- ar ekki um þessar upplýsingar eða mögulegar samtengingar þeirra, heldur eingöngu um sjúkdóms- og heilsufarsupplýsingar. Mun því vera gert ráð fyrir því, skv. upplýs- ingum blaðsins, að notkun þeirra og samtenging verði háð sérstöku leyfi og skilmálum Tölvunefndar, sem mun hafa eftirlit með starfseminni inni í gagnagrunninum. „Brenglun í eina átt“ Gagnagrannur er í reynd skipu- lagt kerfi til að geyma tölvuskráð gögn, skipa þeim niður og vinna úr þeim. I grunninum verður að finna mikið safn gagna sem geyma heilsu- farsupplýsingar og á að geyma þær í sínum frameiningum án þess þó að nokkra sinni verði unnt að þekkja hvaða einstaklingar eiga í hlut. Með dulritun eða dulkóðun upp- lýsinga era þær gerðar ólæsilegar þeim sem ekki hafa leyfi til að lesa þær. Orði eða talnarunum er um- breytt með ákveðinni aðferð, svo- nefndu algrími, þannig að útkoman verður óskiljanleg runa ýmissa tákna. Hér er um þrjár leiðir að velja. I fyrsta lagi er um að ræða svonefnda brenglun í eina átt. Á minnisblaði sérfræðinga sem unnið var fyrir heilbrigðisráðuneytið segir um þessa aðferð: „Inntaki, orði eða talnarunu t.d. kennitölu, er breytt í ranu af táknum sem ekki er hægt að rekja til baka með kóðunarlykli. Þetta er oft gert með stærðfræði- legu falli, hakkafalli í eina átt („one- way hash function“). Hægt er að velja fall þannig að alltaf fáist sama útkoma úr kóðun á sama inntaki.“ Hér er því enginn greiningarlykill fyrir hendi og útilokað er að rekja sig til baka nema með því að brjóta dulkóðunina upp. Dæmi um slíka dulkóðun era rafræn samskipti við- skiptavina í bankakerfinu, sem fá aðgang með notkun lykilorðs, sem þeir búa til sjálfir. Lykilorðið er ekki varðveitt sem slíkt á nafni við- skiptavinarins innan bankans held- ur dulkóðað í eina átt og geymt í því formi. Önnur dulkóðunaraðferð felst í að notaður er einn lykill (samhverf að- ferð) þar sem orði eða talnaranu er umbreytt með því að nota ákveðið algrím og lykil. Sá sem dulkóðar velur sjálfur lykilinn og þarf að gæta hans fyrir óviðkomandi. Sami lykill er svo notaður til að umbreyta kóðuðum upplýsingum til baka, þ.e. að afkóða upplýsingarnar. Þriðja aðferðin felst svo í notkun tveggja lykla (ósamhverf aðferð). Hér era mismunandi lyklar notaðir til að kóða og afkóða. Búið er til lyklapar, annar lykillinn er notaður til að kóða upplýsingarnar, hinn lykillinn er notaður til að afkóða upplýsing- amar. Lyklarnir era stærðfræði- lega tengdir en samt er ekki hægt að finna aíkóðunarlykilinn út frá kóðunarlyklinum. Ferill heilsufarsupplýsinga frá heilbrigðisstofnun í miðlægan gagnagrunn Lágmarkskröfur heilbrigðisyfirvalda Fyrsta / dulkóðun W í eina átt Dulkóðun með opinberum lykll miðlægs gagnagrunnsj (dulkóðað einu sinni) Opersónugreinanleg heilsufarsgögn Öu,kóðuð Kenni G4KI904S32 Heilbrigðisstofnun Tölvunefnd . Dulkóðaðar heiisufarsuppi 9dSjsmaj923JSJ0SI Miðlægur gagnagrunnur jg ;yp......g b b i*l c51b ÉÉÉ *l i-TrhA lr« .Éf o é '""iéVÍÍ Aaaí' "5""5~cVj ö iji □ 6 6 dí é óTli I f 1 & □ ó a* i □ i i ú É1É i. ó ú úV ÉQÖ ó &'

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36
Blaðsíða 37
Blaðsíða 38
Blaðsíða 39
Blaðsíða 40
Blaðsíða 41
Blaðsíða 42
Blaðsíða 43
Blaðsíða 44
Blaðsíða 45
Blaðsíða 46
Blaðsíða 47
Blaðsíða 48
Blaðsíða 49
Blaðsíða 50
Blaðsíða 51
Blaðsíða 52
Blaðsíða 53
Blaðsíða 54
Blaðsíða 55
Blaðsíða 56
Blaðsíða 57
Blaðsíða 58
Blaðsíða 59
Blaðsíða 60
Blaðsíða 61
Blaðsíða 62
Blaðsíða 63
Blaðsíða 64
Blaðsíða 65
Blaðsíða 66
Blaðsíða 67
Blaðsíða 68
Blaðsíða 69
Blaðsíða 70
Blaðsíða 71
Blaðsíða 72
Blaðsíða 73
Blaðsíða 74
Blaðsíða 75
Blaðsíða 76
Blaðsíða 77
Blaðsíða 78
Blaðsíða 79
Blaðsíða 80
Blaðsíða 81
Blaðsíða 82
Blaðsíða 83
Blaðsíða 84