Morgunblaðið - 10.10.1998, Qupperneq 30
30 LAUGARDAGUR 10. OKTÓBER 1998
MORGUNBLAÐIÐ
"W
Hvernig veröur nafnleynd tryggö viö söfnun heilsufarsupplýsinga í miðlægan gagnagrunn? Hversu ör-
ugg er dulkóðun? Hvaöa eftirlit verður haft meö starfsemi grunnsins? Ómar Friðriksson lýsir nýjum
kröfum heilbrigðisyfirvalda um lágmarksöryggi gagnagrunnsins og hugmyndum íslenskrar erfóagreining-
ar um nafnleyndarkerfi grunnsins. Einnig veröur fjallaö um hvers konar upplýsingar gætu farið í grunn-
inn og greint frá reynslu Skýrr af rekstri miðlægs gagnagrunns.
Undir lás
og slá
SAFNA á saman skráðum heilsu-
farsupplýsingum síðustu áratuga
um Islendinga á heilbrigðisstofnun-
um landsins og hjá sjálfstætt starf-
andi heilbrigðisstarfsmönnum og
færa þær dulkóðaðar inn í einn mið-
lægan tölvugagnagrunn verði frum-
varp heilbrigðisráðherra að lögum
og gangi eftir áætlanir væntanlegs
einkaleyfíshafa grunnsins, íslenskr-
ar erfðagreingar (ÍE). Þetta mikla
upplýsingasafn verður svo uppfært
reglulega þegar nýjar upplýsingar
um skjólstæðinga heilbrigðisþjón-
ustunnar bætast við. Gert er ráð
fyrir að IE semji við heilbrigðis-
stofnanir hverja fyrir sig um hvaða
upplýsingar verða færðar inn í
grunninn.
Sjúklingar geta hins vegar óskað
sérstaklega eftir því að upplýsingar
um þá verði ekki fluttar í grunninn
og nægir að senda einfalda tilkynn-
ingu um það til landlæknis. Það
mun svo væntanlega koma í hlut
Tölvunefndar eða eftirlitsstofnunar
á hennar vegum að gæta þess að
upplýsingar um þessa ein-
staklinga fari ekki með öðr-
um gögnum inn í grunninn.
Nú hefur verið fellt brott
ákvæði úr frumvarpinu sem
kvað á um að upplýsingar til
notkunar við gerð heilbrigðis-
skýrslna færu í miðlæga grunninn,
þrátt fyrir neitunarvald einstak-
linga.
Heilbrigðisráðherra kynnti í gær
ýmsar breytingar sem gerðar hafa
verið á frumvarpinu sem lagt verð-
ur fyrir Alþingi á næstu dögum. Þar
er m.a. að fínna ákvæði og tillögur
um hvernig standa skuli að dulritun
gagna og eftirliti til að tryggja per-
sónuvemd. Kveðið er á um að við
úrvinnslu og samtengingu upplýs-
inga sé þess gætt að ekki sé unnt að
tengja upplýsingar persónugreinan-
legum einstaklingum og að óheimilt
sé að veita upplýsingar um einstak-
linga úr grunninum. Ráðuneytið fól
hugbúnaðarfyrirtækinu Stika ehf.
að gera tillögur um dulkóðun sem
fylgja með sem fylgiskjal frum-
varpsins. Á minnisblaði Stika er í
reynd að fínna þær lágmarkskröfur
sem stjómvöld setja við smíði og
starfrækslu grannsins og ber ÍE að
laga sínar áætlanir og lýsingar um
gagnagranninn að þeim.
Framvarpið kveður á um að
dulkóðun skuli a.m.k. vera jafn ör-
ugg og sett er fram í tillögu Stika
ehf. Að mati ráðuneytisins er hér
um að ræða mjög trygga dulkóðun
gagna, og auk þess er gert ráð fyrir
aðgangstakmörkunum til að tryggja
persónuvernd. Starfsmenn heil-
brigðisþjónustunnar munu sam-
kvæmt framvarpinu annast sam-
ræmda skráningu upplýsinga,
dulkóðun heilsufarsupplýsinga og
fyrstu dulkóðun persónuauðkenna
þannig að þeir sem starfa við
gagnagrunninn fái aldrei í hendur
persónugreindar upplýsingar úr
sjúkraskrám. Tölvunefnd annast
frekari dulkóðun persónuauðkenna
með þeim aðferðum sem hún á
hverjum tíma telur bestar til að
tryggja öiyggi upplýsinganna.
Dulkóðun persónuauðkenna skal
vera með þeim hætti að ekki sé
hægt að rekja upplýsingar til baka
MIÐLÆGUR GAGNAGRUNNUR
Á HEILBRIGÐISSVIÐI
með greiningarlykli og er það
breyting frá fyrra frumvarpi.
Nú er einnig gert að skilyrði áður
en starfsemi gagnagrannsins hefst
að íyrir liggi úttekt óháðs fyrirtæk-
is á sviði öryggismála upplýsinga-
kerfa.
Tölvunefnd hafi eftirlit meö
öryggi í grunninum
fslensk erfðagreining hyggst
kosta uppsetningu vélbúnaðar og
hugbúnaðar á öllum stofnunum sem
verða samstarfsaðilar fyrirtækisins
við gerð gagnagrannsins, heilbrigð-
isstarfsfólk á þessum stofnunum
mun setja sjúkraskrár og aðrar
upplýsingar í tölvutækt form og búa
upplýsingamar til flutnings í grann-
inn. Ailar upplýsingar í gagna-
granninn eiga að vera ópersónu-
greinanlegar og því hafa að undan-
fómu verið mótaðar aðferðir sem
nota á til að uppfylla kröfur um per-
SJÚKRASKRÁR Sjúkrahúss Reykjavíkur fylla 1.250 hillumetra.
sónuvernd. Skipta má þessum að:
ferðum í megindráttum í þrennt. í
fyrsta lagi verða upplýsingarnar
gerðar ólæsilegar með svonefndri
dulkóðun (dulritun), í öðra
lagi verður beitt ýmsum
stjómunarlegum aðferðum
til að vemda gögnin, m.a.
með ströngum aðgangstak-
mörkunum, og loks er Tölvu-
nefnd samkvæmt lokaútgáfu fram-
varpsins falið mun viðameira eftir-
litshlutverk með flutningi upplýs-
inganna og starfsemi gagnagranns-
ins en eldri framvarpsdrög gerðu
ráð fyrir. Er nú kveðið á um að
Tölvunefnd eigi að hafa eftirlit með
öryggi í grunninum.
Auk þess að geyma allar tölvu-
tækar og nýtanlegar heilsufarsupp-
lýsingar í gagnagranninum ætlar
IE einnig að safna ættfræði- og
erfðafræðiupplýsingum yfir flesta
einstaklinga á íslandi í gi-unninum.
Þessi gögn á einnig að dulkóða.
Mikilvægt er að hafa í huga að
framvarp heilbrigðisráðherra fjall-
ar ekki um þessar upplýsingar eða
mögulegar samtengingar þeirra,
heldur eingöngu um sjúkdóms- og
heilsufarsupplýsingar. Mun því
vera gert ráð fyrir því, skv. upplýs-
ingum blaðsins, að notkun þeirra og
samtenging verði háð sérstöku leyfi
og skilmálum Tölvunefndar, sem
mun hafa eftirlit með starfseminni
inni í gagnagrunninum.
„Brenglun í eina átt“
Gagnagrannur er í reynd skipu-
lagt kerfi til að geyma tölvuskráð
gögn, skipa þeim niður og vinna úr
þeim. I grunninum verður að finna
mikið safn gagna sem geyma heilsu-
farsupplýsingar og á að geyma þær
í sínum frameiningum án þess þó að
nokkra sinni verði unnt að þekkja
hvaða einstaklingar eiga í hlut.
Með dulritun eða dulkóðun upp-
lýsinga era þær gerðar ólæsilegar
þeim sem ekki hafa leyfi til að lesa
þær. Orði eða talnarunum er um-
breytt með ákveðinni aðferð, svo-
nefndu algrími, þannig að útkoman
verður óskiljanleg runa ýmissa
tákna. Hér er um þrjár leiðir að
velja. I fyrsta lagi er um að ræða
svonefnda brenglun í eina átt. Á
minnisblaði sérfræðinga sem unnið
var fyrir heilbrigðisráðuneytið segir
um þessa aðferð: „Inntaki, orði eða
talnarunu t.d. kennitölu, er breytt í
ranu af táknum sem ekki er hægt
að rekja til baka með kóðunarlykli.
Þetta er oft gert með stærðfræði-
legu falli, hakkafalli í eina átt („one-
way hash function“). Hægt er að
velja fall þannig að alltaf fáist sama
útkoma úr kóðun á sama inntaki.“
Hér er því enginn greiningarlykill
fyrir hendi og útilokað er að rekja
sig til baka nema með því að brjóta
dulkóðunina upp. Dæmi um slíka
dulkóðun era rafræn samskipti við-
skiptavina í bankakerfinu, sem fá
aðgang með notkun lykilorðs, sem
þeir búa til sjálfir. Lykilorðið er
ekki varðveitt sem slíkt á nafni við-
skiptavinarins innan bankans held-
ur dulkóðað í eina átt og geymt í því
formi.
Önnur dulkóðunaraðferð felst í að
notaður er einn lykill (samhverf að-
ferð) þar sem orði eða talnaranu er
umbreytt með því að nota ákveðið
algrím og lykil. Sá sem dulkóðar
velur sjálfur lykilinn og þarf að
gæta hans fyrir óviðkomandi. Sami
lykill er svo notaður til að umbreyta
kóðuðum upplýsingum til baka, þ.e.
að afkóða upplýsingarnar. Þriðja
aðferðin felst svo í notkun tveggja
lykla (ósamhverf aðferð). Hér era
mismunandi lyklar notaðir til að
kóða og afkóða. Búið er til lyklapar,
annar lykillinn er notaður til að
kóða upplýsingarnar, hinn lykillinn
er notaður til að afkóða upplýsing-
amar. Lyklarnir era stærðfræði-
lega tengdir en samt er ekki hægt
að finna aíkóðunarlykilinn út frá
kóðunarlyklinum.
Ferill heilsufarsupplýsinga frá heilbrigðisstofnun í miðlægan gagnagrunn
Lágmarkskröfur heilbrigðisyfirvalda
Fyrsta
/ dulkóðun
W í eina átt
Dulkóðun með
opinberum lykll
miðlægs gagnagrunnsj
(dulkóðað einu sinni)
Opersónugreinanleg
heilsufarsgögn
Öu,kóðuð Kenni
G4KI904S32
Heilbrigðisstofnun
Tölvunefnd
. Dulkóðaðar
heiisufarsuppi
9dSjsmaj923JSJ0SI
Miðlægur gagnagrunnur
jg ;yp......g
b b i*l c51b
ÉÉÉ *l
i-TrhA
lr« .Éf o é
'""iéVÍÍ
Aaaí'
"5""5~cVj ö
iji □ 6 6 dí é óTli I f 1
& □ ó a* i □ i i ú É1É i. ó ú úV ÉQÖ ó &'