Morgunblaðið - 10.10.1998, Síða 32
32 LAUGARDAGUR 10. OKTÓBER 1998
MORGUNBLAÐIÐ
sé mögulegt að brjóta þá upp þurfi
að hafa beinan aðgang að dulkóðuðu
gögnunum, en slíkan aðgang munu
aðeins örfáir vel skilgreindir kerfis-
stjórar hafa.
Tryggt sé að aldrei verði hægt að
nálgast upplýsingar um einstak-
linga í gagnagrunninum, aðeins
hópa. Ættfræðiupplýsingar á tölvu-
tæku formi, unnar af ÍE, yrðu
einnig færðar í gagnagrunninn.
Þær verði einnig dulkóðaðar á sama
hátt af sérstakri dulkóðunarstofnun
og af rekstrarleyfishafa áður en
þær koma inn í grunninn. Forsvars-
menn ÍE leggja áherslu á í sínum
útlistunum að ættfræðiupplýsing-
amar verði ekki í formi ættartrjáa,
heldur komi ættartengsl fram með
tölulegum gildum. Upplýsingar úr
erfðafræðilegum lífsýnarannsókn-
um, sem unnar hafa verið með upp-
lýstu samþykki sjúklinga, yrðu
einnig færðar inn í gagnagrunninn
með sömu dulkóðunaraðferðum og
önnur gögn. M.ö.o. yrðu öll gögn,
heilsufarsupplýsingar, ættfræði-
gögn og erfðaupplýsingar dulkóðað-
ar og þær aðskildar í gagnagrunn-
inum.
Að mati forsvarsmanna IE er
dulkóðunin sjálf ekki veiki hlekkur-
inn í nafnleyndarkerfinu. Hafa þeir
lagt til að dulkóðunarlykillinn verði
í höndum þriðja aðila, svokallaðrar
dulkóðunarstofnunar, sem verði
óháð sérleyfishafa gagnagrunnsins.
Einnig sé mögulegt að margir lykl-
ar verði notaðir, hver um sig
geymdur hjá sjálfstæðum aðila.
Sérleyfishafi kemur svo til með að
hafa eigin lykla til að tryggja sig
fyrir þeim fræðilega möguleika að
lykill dulkóðunarstofnunarinnar
komist í rangar hendur. „Rétt er að
taka það fram að með því að tryggja
það að nafntengd gögn séu ekki
leyfð þar sem sérleyfishafi geymir
dulkóðuð gögn, þá er samanburður
á gögnum ekki mögulegur og þar af
leiðandi ekki mögulegt að skrifa
forrit sem brjóta dulkóðunina með
því að nýta sér flókin ættartengsl
eða aðrar upplýsingar í gögnunum.
Þar af leiðandi kemur dulkóðun og
aðskilnaður gagna algjörlega í veg
fyrir grófa misnotkun á gagna-
gi-unninum, á borð við það að keyra
út lista yfir ákveðna hópa af ein-
staklingum," segir í skýringum IE.
Hömlur á notkun
upplýsinganna
Stjórnendur ÍE leggja til að allir
notendur gagnagrunnsins þurfi að
fara í gegnum svokallað fyrir-
spurna- og öryggislag sem yrði
vottað af efiirlitsaðila. Þessi hug-
búnaður takmarki þær fyrirspurnir
sem mögulegar eru auk þess sem
hann setji því skorður hvaða svör
birtast hverju sinni. Þetta megi t.d.
útfæra þannig að ekki væri hægt að
skilgreina hóp af einstaklingum sem
í væru færri en tíu. Þar að auki
kæmu niðurstöður aldrei til með að
sýna dulkóðaðar kennitölur á því
formi sem þær væiu í gagnagrunn-
inum heldur væru þær dulkóðaðar
sérstaklega fyrir hvert svar sem
birtist. Af þessari ástæðu yrði ekki
mögulegt að nota ítrekaðar fyrir-
spurnir til þess að fá upplýsingar
um ákveðna einstaklinga.
Eins og áður segir gera stjóm-
endur ÍE ráð fyrir að sérstakir
kerfisstjórar með vel skilgreind
starfssvið sjái um daglegan rekstur
gagnagrunnsins, eftirlit með vélum,
töku afrita, uppsetningu hugbúnað-
ar o.fl. Hlutverk þeirra væri ekki að
vinna upplýsingar út gögnunum og
þeir kæmu ekki til með að hafa nein
tæki til þess, skv. útfærslu ÍE. Þá
sé mögulegt fyrir sérleyfishafa
Tryggja á persónuvernd með dulkóð-
un, aðgangshindrunum og eftirliti.
Dulkóðun í eina átt er þó talin veik-
ari en notkun greiningarlykils.
grunnsins, til að vernda persónu-
upplýsingar, að nota mismunandi
dulkóðunarlykla eftir því hvers eðlis
gögnin eru. Samkeyrsla ólíkra
gagna sem geymd yrðu í gagna-
grunninum yrði því aðeins möguleg
í fyrirspumarlaginu. Sömuleiðis
væri mögulegt að tryggja að enginn
einn kerfisstjóri sæi um öll gögnin
samtímis. Þar af leiðandi væri ekki
möguleiki fyrir kerfisstjóra að fara
út fyrir sitt verksvið, reyna að gera
tilteknar flóknar fyrirspurnir og
gerast lögbrjótar.
Þá fari öll notkun á gagnagmnn-
inum fram í gegnum miðlara, þ.e.
tölvuhugbúnað sem muni m.a. skrá
og íylgjast með notendum, gerð
spurninga og takmarka svör.
Gerir samtenging kleift
að greina einstaklinga?
Margir hafa lýst áhyggjum af því
að með samtengingum heilsufars-,
ættfræði- og erfðaupplýsinga verði
hægt að bera kennsl á einstaklinga,
þrátt fyrir dulkóðun og aðrar ör-
yggisráðstafanir, því borðleggjandi
sé að ef tengja eigi þessi gögn sam-
an þurfi sömu einstaklingsauðkenni
að vera fyrir hendi. Þá kunni ein-
staklingar í gagnagrunninum að
hafa sérkennileg ættartré eða sjald-
gæfa sjúkdóma sem geri auðveldara
að leiða í ljós um hvern er að ræða
Nú mun skv. upplýsingum blaðs-
ins vera gert ráð fyrir að Tölvu-
nefnd hafi um það að segja undir
hvaða skilmálum megi samtengja
gögnin og hvers konar grunn megi
búa til með slíkri samtengingu. Sér-
fræðingar Stiku taka einnig á þessu
atriði. Þar eru settar fram ábend-
ingar um frekari ráðstafanir til per-
sónuverndar. Lagt er til að við skip-
an gögn í grunninum og fá heilsu-
fars-, ættfræði- og erfðaupplýsingar
á einstaklingsgrundvelli. Þessum
samkeyrðu upplýsingum yrði svo
varpað yfir í fyrirspumargrunninn
þar sem möguleg einstaklingsein-
kenni yrðu afmáð áður en upplýs-
ingarnar eru afhentar áskrifendum
grunnsins. Hver niðurstaða þessa
verður mun væntanlega ráðast þeg-
ar gengið verður frá starfsleyfi
rekstrarleyfishafa og með skilmál-
um sem Tölvunefnd mun væntan-
lega setja.
Forsvarsmenn ÍE benda á að
læknar muni ekki geta fengið upp-
lýsingar um einstaka sjúklinga sína
úr gagnagrunninum. Ekki verði
leyft undir neinum kringumstæðum
að nota grunninn til þess að vinna
nafntengda lista yfir einstaklinga,
Hvaða gögn fara
í grunninn?
EKKI er tekið á því í gagna-
grunnsfrumvarpi heilbrigðis-
ráðherra hvaða heilsufarsupp-
lýsingar verða fluttar í gagna-
grunninn og engin nákvæm
svör eru fáanleg um það. í
greinargerð segir að gert sé
ráð fyrir að inn í grunninn fari
aðallega flokkaðar og kóðaðar
upplýsingar sem koma inegi í
tölulegt form. Að öðru leyti
ráðist það í samningum rekstr-
arleyfíshafa við heilbrigðis-
stofnanir og sjálfstætt starf-
andi lieilbrigðisstarfsmenn
hvaða takmarkanir viðsemj-
endur rekstrarleyfishafans,
tölvunefnd og nefnd um starf-
rækslu grunnsins telji rétt að
selja.
Eingöngu á tölulegt form
íslensk erfðagreining svarar
spurningunni um hvers konar
upplýsingar fari í gagnagrunn-
inn á þann hátt, að meginá-
liersla verði lögð á upplýsing-
ar, sem á einhvern hátt tengist
heilsufari og sem hægt sé að
koma á tölulegt form.
„Inn í gagnagrunninn færu
sjúkdómsgreiningar, rann-
sóknarniðurstöður, upplýsing-
ar um meðferðarform, auka-
verkanir, meðferðarsvörun,
óvænt áhrif meðferðar, með-
ferðarlengd, meðferðaraðila
og meðferðarstað, og kostnað
yrði hægt að reikna út. Annað
í sögu sjúklingsins, sem máli
kann að skipa fyrir heilsufar
og er flokkanlegt, færi sömu-
leiðis í gagnagrunninn," segir í
samantekt fslenskrar erfða-
greiningar, Gagnagrunnur á
heilbrigðissviði - spurningar
og svör.
Sijórnendur íslenskrar
erfðagreiningar segja að upp-
lýsingar í frásagnarstíl muni
ekki fara í gagnagnmninn, né
upplýsingar sem hafi fyrst og
fremst persónulegt og tilfínn-
ingalegt gildi.
Heilbrigðiskerfið notar fjöl-
margar flokkanir yfir sjúk-
dóma og sjúkdómsgreiningar.
Þannig nær t.d. alþjóðleg sjúk-
dómaflokkun Alþjóðaheilbrigð-
iskerfisins yfir rúmlega 10 þús-
und sjúkdómaflokka. Einnig er
talið unnt að flokka sjúkdóms-
einkenni sem mætti koma í
tölulegt form, auk fjölmargra
úrlausna sem sjúklingar fá s.s.
rannsókna af ýmsu tagi, spegl-
ana og alls kyns aðgerða sem
gerðar eru á fólki, sem eru
flokkaðar innan heilbrigðis-
kerfísins. Lyf eru einnig flokk-
uð í ákveðin kerfi. Allar þessar
upplýsingar á að vera auðvelt
að færa í grunninn. Óljósari
svör fást hins vegar innan heil-
brigðiskerfisins um það hvað
gert verður með ýmiss konar
bakgrunnsupplýsingar um
sjúklinga.
an gagna í gagnagrunninum verði
upplýsingunum dreift á þann hátt
að torvelt sé að draga saman upp-
lýsingar sem gætu átt við einn ein-
stakling, nema að hafa aðgang að
öllum dulkóðunarlyklum og
tengitöflum sem tilheyra grunnin-
um.
Lögð er áhersla á að söfnun ann-
arra upplýsinga sem tengja á við
heilsufarsupplýsingamar, t.d. um
ættfræði og erfðir, fylgi samskonar
ferli og söfnun heilsufarsupplýsing-
anna og kennitölui- verði því dulkóð-
aðar á sama hátt. Með þessu móti á
að koma í veg fyrir samtengingu
persónutengdra gagna þó svo sam-
tenging einstaklingsauðkenndra
gagna sé möguleg. Allar upplýsing-
ar í gagnagrunninum verði því ör-
ugglega ónafngreindar.
Ekki er tekið á því í frumvarpinu
hvort setja eigi upp öryggis- og fyr-
irspurnarlag fyrir utan grunnin til
að takmarka aðgang að upplýsing;
unum, líkt og ÍE gerir ráð fyrir. I
fi-umvarpinu segir hins vegar að
ekki megi veita upplýsingar um ein-
staklinga úr grunninum og tekið er
afdráttarlaust fram að óheimilt
verði að veita beinan aðgang að
gögnum í grunninum, hvorki frum-
gögnum né afriti af þeim. Mun það
því væntanlega verða lagt í vald
Tölvunefndar að setja skilmála um
hvernig að slíkri takmörkun fyrir-
spurna yrði staðið. Mun hugsunin á
bak við þetta vera sú að viðkomandi
yrði að leggja fyrirspum sína fyrir
aðgangsaðila sem stjórnuðu fyrir-
spurnum inn og út úr grunninum,
skv. upplýsingum blaðsins. Til tals
hefur komið að búa til sérstakan
grunn sem taki á móti fyrirspumum
í stað fyrirspumarlagsins sem ÍE
hefur lagt til. Þannig yrði hugsan-
lega samið um að keyra mætti sam-
ÍSLENSK erfðagreining telur að
gagnagrunnurinn myndi skapa
400 störf fyrir hámenntað fólk
á sviði heilbrigðismála, tölvun-
arfræði, hagfræði og tölfræði. Á
myndinni má sjá starfsmenn
hjá íslenskri erfðagreiningu við
störf sín.
t.d. sjúklinga sem læknir vill að
gangist undir rannsókn. í ópersónu-
tengdum gi-unni verði því aðeins
hægt að finna svör sem eiga við
hópa. Hins vegar megi auðveldlega
finna áhættuhópa í gegnum heilsu-
gæsluna og hjálpa einstaklingum
með þeim hætti. Þegar t.d. tiltekinn
hópur sem talinn er í meiri hættu
en aðrir á að fá tiltekinn sjúkdóm er
afmarkaður í grunninum yrði hægt
að miðla þeim upplýsingum til
lækna, sem geti leitað að einstak-
lingum með þessa eiginleika í
gagnagrunnum sinna stofnana. Að-
eins með því móti verði unnt að
finna einstaklinga í áhættuhópum ef
ástæða þyki til.
Flestum sérfróðum aðilum sem
rætt var við ber saman um að nafn-
leyndarkerfi það sem hér hefur ver-
ið lýst sé í reynd mjög öruggt sam-
anborið við þær kröfur sem gerðar
eru um vernd persónuupplýsinga í
gagnagrunnum í dag. Telja verði af-
ar litlar líkur á að hægt verði að
brjóta það upp eða misnota upplýs-
ingarnar. Þó beri ávallt að hafa hug-
fast að ekkert nafnleyndarkerfi sé
svo fullkomið að telja megi það
skothelt. Þegar á reyni hvíli vernd
persónuupplýsinga fyrst og fremst
á því að starfsmenn virði þagnar-
skyldu sína og á mannlegu eftirliti
og skilmálum sem eftirlitsstofnun
setur. Sá þungi mun væntanlega
leggjast á Tölvunefnd verði frum-
varpið að lögum.
o o o
rr t v • u y
□ á 6-nj ö'é mmmm * tji 5 5 t
mo óúc .............." '..’ ’.'.’.’.’ ’ ■’
;áo di''ó*öcaö'i"*i úi
á'ló'o?) ö"ci "i 61
i á í'ii "ö"CD OÍ"(5'á ,