Læknablaðið - 15.09.1998, Blaðsíða 47
LÆKNABLAÐIÐ 1998; 84
663
Nafnleyndarkerfi
gagnagrunns
Málflutningur þeirra sem
andsnúnir eru miðlægum
gagnagrunni á heilbrigðissviði
er því miður byggður á ýmsum
ranghugmyndum um uppbygg-
ingu hans og notkun. Því er rétt
að líta nánar á þau atriði.
íslensk erfðagreining hefur
nú aðeins yfir að ráða mjög
takmörkuðum heilsufarsupp-
lýsingum um þá einstaklinga
sem taka þátt í erfðafræði-
rannsóknum fyrirtækisins. Að
auki hefur IE þær erfðafræði-
upplýsingar sem fyrirtækið
vinnur og ítarlegar ættfræði-
upplýsingar. í fyrirhugaðan
gagnagrunn er hins vegar ætl-
unin að safna saman heilsu-
fars-, meðferðar-, kostnaðar-,
ættfræði- og erfðafræðiupp-
lýsingum yfir sem flesta ein-
staklinga á íslandi. Sem dæmi
um þessar upplýsingar væru
meðal annars sjúkdómskóðar,
lyfjakóðar og mælingar af
ýmsu tagi. Með þessum upp-
lýsingum gæfist kostur á að
vinna að ýmsum fjölbreyttum
verkefnum, svo sem:
• forathugunum á ættgengni
sjúkdóma,
• víðtækri tengslagreiningu,
• faraldsfræðilegu samspili
sjúkdóma,
• leit að óþekktum orsaka-
völdum sjúkdóma,
• athugun á samspili erfða-
þátta og sjúkdómsmeðferð-
ar og
• mati á skilvirkni meðferða
með tilliti til árangurs og
kostnaðar.
Þessi listi er engan veginn
tæmandi og gefur aðeins
dæmi um nokkur þau rann-
sóknarverkefni sem gagna-
grunnurinn yrði notaður við.
Öll rannsóknarverkefnin eiga
það sameiginlegt að vera þýð-
isrannsóknir. Þetta er gríðar-
lega mikilvægt að hafa í huga
í umræðunni um persónu-
vernd. Fyrirhugaður gagna-
grunnur IE er einungis ætlað-
ur til þess að þróa líkön um
hegðun sjúkdóma og öðlast
þekkingu á því hvernig best er
að bregðast við þeim á þjóð-
félagslegum grunni. Undir
engum kringumstæðum yrði
hann notaður til þess að svara
spurningum um heilsufar ein-
staklinga eða nafngreina ein-
staklinga í ákveðnum áhættu-
hópi. Engu að síður er nauð-
synlegt að upplýsingarnar í
grunninum séu ekki einungis
safntölur, til dæmis summu-
tölur yfir ákveðna sjúkdóms-
hópa, heldur verða þær að
vera geymdar í sínum frum-
einingum þannig að hægt sé
að tengja upplýsingar frá til-
teknum einstaklingi saman á
sem fjölbreyttastan hátt. Það
er því ljóst að nota verður
nafnleyndarkerfi til að tryggja
persónuvernd.
Notkun þeirra gagna sem
sett eru í gagnagrunninn setur
því skorður hvað gera má við
þau til þess að fela persónuein-
kenni. Leikur einn er að dul-
kóða allar upplýsingarnar en
þá væru þær til lítils nýtar. Því
þarf að fara ákveðinn milliveg.
Einungis hluti gagnanna
verður dulkóðaður, svo sem
kennitölur sjúklinga og lækna
auk heimilisfanga. Samhverf
dulkóðun verður notuð til að
varpa persónueinkennum eins
og kennitölum yfir í dulkóðuð
persónunúmer þannig að þau
séu óþekkjanleg án sérstaks
greiningarlykils líkt og í
núverandi vinnuferli ÍE. Hins
vegar verður hægt að bera
saman persónunúmerin og
finna þar með öll gögn sem
eiga við viðkomandi sjúkling.
Margþætt vernd gagna
og eftirlit með notkun
Margir hafa staðhæft að
þegar búið væri að flytja svo
miklar heilsufarsupplýsingar í
einn miðlægan gagnagrunn og
tengja hann að auki við ætt-
fræðigagnagrunn væri leikur
einn að greina suma einstak-
linga eftir óvenjulegri sjúkra-
sögu, sérstökum ættartengsl-
um eða ítarlegum erfðafræði-
mælingum. Það gleymist oft
að nefna önnur úrræði sem
beita má ásamt dulkóðun.
Sum þessara úrræða, eins og
til dæmis aðgangsheimildir,
hafa hingað til verið látin
nægja ein sér til verndunar
persónupplýsinga innan spít-
ala og fleiri heilbrigðisstofn-
ana. Öryggi fyrirhugaðs nafn-
leyndarkerfis felst í því að það
verður fjölþætt og byggir ekki
einungis á tæknilegum aðferð-
um heldur einnig stjórnunar-
legum, þar má nefna:
• fjölþætta dulkóðun,
• aðskilnað gagna,
• stjórnun aðgangsheimilda,
• takmörkun á fyrirspurnum,
• aðgerðaskráningu og
• aðskilnað útfærslu og eftir-
lits.
Með tilvísun til myndar 2
verður nú gerð grein fyrir
uppbyggingu gagnagrunnsins
og nafnleyndarkerfisins.
Hinn miðlægi gagnagrunn-
ur IE myndi geyma allar
tölvutækar og nýtanlegar upp-
lýsingar sem samstarfsstofn-
anir létu í té. Vinnan við að
hreinsa og samræma form
þessara gagna færi fram á við-
komandi stofnunum en yrði
kostuð af IE. Þessi vinna gæti
einnig haft í för með sér end-
urskipulagningu gagnagrunna
viðkomandi stofnana með til-
liti til öryggismála. Gögnin