Morgunblaðið - 15.02.2000, Blaðsíða 12
12 ÞRIÐJUDAGUR 15. FEBRÚAR 2000
MORGUNBLAÐIÐ
FRÉTTIR
Formaður tölvunefndar segir miklar kröfur gerðar til öryggis gagnagrunns á heilbrigðissviði
Mikið magn viðkvæmra upplýsinga um heilsufar landsmanna, sem varðveittar eru á sjúkrastofnunum landsins, verða væntanlega fluttar í miðlægan
gagnagrunn á heilbrigðissviði. Skv. skilmálum tölvunefndar verða bæði persónuauðkenni sjúklinga og heiisufarsupplýsingar dulkóðaðar í grunninum.
011 gerð og starfsemi
grunnsins verður háð
sívirku eftirliti
Tölvunefnd er falið veigamikið hlutverk við
að tryggja öryggi í miðlægum gagnagrunni
á heilbrigðissviði. Páll Hreinsson, formaður
tölvunefndar, svaraði spurningum Ómars
Friðrikssonar um öryggiskerfí væntanlegs
gagnagrunns og með hvaða ráðum verði
komið í veg fyrir að unnt verði að bera
kennsl á einstaklinga í grunninum.
SAMKVÆMT lögunum um
gagnagrunn á heilbrigðis-
sviði var tölvunefnd falið að
setja öryggisskilmála til að
tryggja öryggi og persónuvernd í
gagnagrunninum. Páll Hreinsson,
formaður tölvunefndar, var fyrst
spurður hvernig nefndin hefði unnið
að þessu verkefni.
„Með mikilli einföldun má segja
að fyrst hafi verið lögð vinna í að
greina lögfræðilegar kröfur gagna-
grunnslaganna til tækni- öryggis-
og skipulags gagnagrunnsins.
Þannig var meðal annars kannað að
hvaða leyti löggjafmn hefði tekið af-
stöðu til þess hvaða leiðir skyldu
valdar við tæknilega útfærslu þess-
ara atriða. Þá var meðal annars
kannað að hvaða leyti tölvunefnd
hefði valdheimildir til þess að skil-
greina frekari kröfur til annarra
þátta, en löggjafinn hafði sett fram.
Umtalsverð vinna fór í þennan þátt
málsins þar sem gagnagrunnslögin
eru ekki eins skýr að þessu leyti og
best hefði verið á kosið. Þannig er
tímafrekur lestur lögskýringar-
gagna grundvallaratriði um skiln-
ing á forsendum og markmiðum
laganna. Til viðbótar má geta þess
að frumvarpið tók umtalsverðum
breytingum við 3. umræðu á Alþingi
og skilningur á þeim fæst ekki nema
við lestur lögskýringargagna.
Þegar hinn lögfræðilegi rammi
um kröfur, markmið og forsendur
löggjafans, hafði þannig verið lagð-
ur að vinnu tölvunefndar við gerð
tækni-, öryggis- og skipulagskrafna
gagnagrunnsins hófst vinna hinna
íslensku og erlendu sérfræðinga
tölvunefndar við að skilgreina þau
tæknilegu skilyrði sem uppfylla
verður svo þeim markmiðum verði
náð að að tryggja persónuvernd og
öryggi gagna í gagnagrunninum í
samræmi við forsendur laganna. í
því sambandi var mikilvægur þáttur
í tölvuöryggi að skilgreina hættur
og hvernig bregðast megi við þeim.
Öryggi vélbúnaðar og hugbúnaðar
er alls ekki það eina sem vinna
þurfti að. Til að tryggja öryggi tölv-
ukerfa þarf að beita markvissum
aðferðum sem felast m.a. í tækni-
lausnum, stjórnun og virku eftirliti.
Enginn einn þessara þátta er nægi-
legur til að tryggja öryggi, heldur
er samþætting allra þessara að-
ferða forsenda fyrir góðum ára-
ngri,“ segir Páll.
- íslenskri erfðagreiningu var
falið að leggja fram verklýsingu
með umsókn um rekstrarleyfíð. Var
tekið mið af henni eða setti tölvu-
nefnd einhliða skilmála?
„Að því leyti sem gagnagrunns-
lögin taka ekki af skarið um hvernig
fyrirkomulag tækni, öryggis og
skipulags gagngrunnsins skuli hag-
að, skipti að sjálfsögðu máli hvernig
umsækjandi um rekstrarleyfíð vildi
haga þessum málum. í samræmi við
bæði skráðar og óskráðar reglur
stjórnsýsluréttarins var að sjálf-
sögðu tekið tillit til óska umsækj-
anda að svo miklu leyti sem tölvu-
nefnd taldi þær skynsamlegar og
samræmast þeim markmiðum sem
hún vann eftir lögum samkvæmt.
Öryggisskilmálar tölvunefndar,
eins og þeir eru á hverjum tíma,
teljast á hinn bóginn í lögfræðileg-
um skilningi einhliða ákvörðun
stjórnvalds, sem tekin er í skjóli op-
inbers valds lögum samkvæmt.“
Ómarkviss
umræða
- Er tryggt, með þeim öiyggis-
kröfum sem tölvunefnd setur, að
upplýsingar sem safnað verður í
grunninn séu ekki persónugreinan-
legar?
„Allt frá því frumvarp til gagna-
gi-unnslaganna kom fyrst fram hafa
deilur staðið um það hvort telja beri
upplýsingar í gagnagrunninum
„ópersónugreinanlegar". Þessi um-
ræða hefur því miður ekki verið
markviss af þeirri einföldu ástæðu
að hvorki í íslenskum lögum né fjöl-
þjóðlegum samningum hefur hug-
takið „ópersónugreinanlegar upp-
lýsingar" verið notað í fullkomlega
samræmdri merkingu. Af þessu til-
efni sá tölvunefnd sérstaka ástæðu
til að benda Alþingi á það, við með-
ferð frumvarps til gagnagrunnslag-
anna, að þetta hugtak væri t.d. not-
að í annarri merkingu í lögum nr.
121/1989 um skráningu og meðferð
persónuupplýsinga
heldur en í gagna-
grunnslögunum.
Af 7. gr. gagna-
grunnslaganna svo og
lögskýringargögnum
þeirra er ljóst að
nokkrir þættir þurfa að
vera fyrir hendi svo
upplýsingarnar teljist
ópersónugreinanlegar í
skilningi þeirra laga.
Eitt af meginatriðun-
um er að persónuauð-
kenni séu dulkóuðuð í
eina átt þannig að ekki
sé hægt að rekja upp-
lýsingarnar til baka.
Þetta kemur t.d. fram í
7. gr. laganna en þar
segir að persónuauðkenni skuli dul-
kóðuð fyrir ílutning í gagnagrunn-
inn þannig að tryggt sé að starfs-
menn rekstrarleyfishafa vinni
einungis með ópersónugreinanlegar
upplýsingar. Annað meginatriði
laganna er, að gagnagrunnurinn er í
eðli sínu tölfræðigagnagrunnur
þannig að ekki skal unnt að bera
kennsl á einstaklinga í þeim svör-
um, sem hugbúnaður gagnagrunns;
ins leyfír að veita. í
samræmi við þetta
markmið er til dæmis
mælt svo fyrir í lögun-
um að ekki megi veita
beinan aðgang að
gögnum í gagna-
grunninum og að ekki
megi veita upplýsing-
ar um einstaklinga.
Þannig verður því
komið í veg fyrir það
með margþættum að-
gerðum að hægt sé að
skoða grunngögn
gagnagrunnsins um
heilsufarsupplýsingar
einstaklinga. Þær
upplýsingar sem úr
gagnagrunninum
koma fela því einvörðungu í sér töl-
fræðilegar niðurstöður um hópa. Til
þess að tryggja betur þetta mark-
mið verður öðrum aðferðum einnig
beitt.
Öll vinna tölvunefndar sem nú
þegar hefur verið unnin, og á eftir
að vinna, hefur verið byggð á því að
ná framangreindum markmiðum
gagnagrunnslaganna. Tölvunefnd
mun ekki ljúka vinnu sinni að gerð
gagnagrunnsins og staðfesta af
sinni hálfu að vinnsla megi hefjast
fyrr en þessum markmiðum hefur
verið náð. Eftir það tekur við úttekt
af hálfu óháðs sérfræðings á sviði
öryggismála upplýsingakerfa á veg-
um starfrækslunefndar, sem jafn-
framt skal lokið áður en vinnsla
hefst,“ segir Páll.
Tölvunefnd ákvað að ganga
lengra en lögin áskilja
- Er rétt að heilsufarsupplýsing-
ar verði ekki dulkóðaðar með sama
hætti og persónuauðkenni?
„Allar þessar upplýsingar verða
dulkóðaðar í gagnagrunninum.
Gagnagrunnslögin mæla fyrir um
ólíka dulkóðun eftir því hvort um er
að ræða persónuauðkenni sjúklings
eða upplýsingar um heilsufar, þ.e.
sjúkdóma, greiningu, meðferð o.fl.
Samkvæmt gagnagrunnslögunum
skulu persónuauðkenni sjúklings
dulkóðuð í eina átt. Heilsufarsupp-
lýsingar skulu hins vegar dulkóðað-
ar fyrir flutning til að tryggja ör-
yggi þeirra, sbr. 7. gr. laganna.
Samkvæmt nefndaráliti meiri hluta
heilbrigðis- og trygginganefndar
með breytingartillögu nefndarinn-
ar, sem samþykkt var við 2. um-
ræðu um frumvarpið, skyldu heilsu-
farsupplýsingar, þ.e. upplýsingar
um sjúkdóma og heilsu, einvörð-
ungu dulkóðaðar við flutning í
gagnagrunninn, en ekki liggja í
gagnagrunninum á dulkóðuðu
formi, sbr. þskj. 402.
í samvinnu við rekstrarleyfishafa
ákvað tölvunefnd að ganga lengra
en lögin að þessu leyti og áskilja að
heilsufarsupplýsingar skyldu varð-
veittar dulkóðaðar í gagnagrunnin-
um. Það er einvörðungu í þeirri
andrá þegar tölvan vinnur með upp-
lýsingar um heilsu og sjúkdóma að
þær eru afkóðaðar til þess að fá töl-
fræðilegar niðurstöður. Miklar
kröfur eru gerðar til dulkóðunar
heilsuafarsupplýsinganna og verður
rekstrarleyfishafa gert að nota dul-
kóðunarlykla sem eru yfir 10.000
bitar að lengd. Til samanburðar
skal þess getið að hér á landi eru í
dag notaðir mun styttri lyklar, t.d.
64-128 bitar. Til að forðast mis-
skilning er hins vegar nauðsynlegt
að árétta, að upplýsingar um pers-
ónuauðkenni verða aftur á móti dul-
kóðaðar í eina átt og verða aldrei
„afkóðaðar“ við vinnsluna.
- Hvaða skilyrði setur tölvunefnd
um verklag og vinnuferli við sam-
tengingu heilbrigðisupplýsinga í
grunninum við gagnagrunna Is-
lenskrar erfðagreiningar, sem inni-
halda ættfræðiupplýsingar og
erfðafræðilegar upplýsingar?
„Ein af þeim meginbreytingum
sem gerð var á frumvarpi til gagna-
grunnslaganna við 3. umræðu á Al-
þingi var að bætt var við 10. gr.
ákvæði er mælir svo fyrir að rekstr-
arleyfishafi skuli móta verklag og
vinnuferli sem uppfylli skilyrði
tölvunefndar til að tryggja persónu-
vernd við samtengingu upplýsinga
úr gagnagrunni á heilbrigðissviði,
gagnagrunni með ættfræðiupplýs-
ingum og gagnagrunni með erfða-
fræðilegum upplýsingum. í fram-
haldsnefndaráliti meiri hluta
heilbrigðis- og trygginganefndar
kemur fram að áður en slík sam-
tenging eigi sér stað skuli gengið úr
skugga um að hún uppfylli skilyrði
tölvunefndar. í ræðu framsögu-
manns meiri hluta heilbrigðis- og
trygginganefndar kom fram að ekki
væri heimilt að samkeyra slíkar
upplýsingar án samþykkis tölvu-
Páll
Hreinsson