Læknablaðið - 15.10.2001, Síða 44
FRÆÐIGREINAR / PERSÓNUGREINING í GAGNAGRUNNI
sem dulkóðunin gefur. Pótt ekki sé raunhæft að finna
beint af dulkóða hverjum hann tilheyrir er ætíð hægt
að fletta upp í töflunni hvaða fastanúmer tilheyrir
ákveðnum manni eða hvaða maður stendur að baki
ákveðnu fastanúmeri. Þetta er lykill.
Ef dulkóðunaraðferðin færi forgörðum eða ekki
væri aðgangur að henni væri samt hægt að búa til lykil
að grunninum. Áætlað er að dulkóða ættartré þjóð-
arinnar með sömu aðferð og notuð er fyrir heilsufars-
grunninn. Ættartré þjóðarinnar með nöfnum er
einnig þekkt sem almenn þekking í landinu. Munstur
ættartrjáa verða einstök þegar ein ætt tengist við aðra
með giftingum og barneignum. Samanburður á ætt-
armunstrum milli ættargrunns með fastanúmerum og
sama ættargrunns með nöfnum er því leið til að
smíða lykil.
Þá er hægt að smíða lykil af samhengi almennra
upplýsinga. Jafnvel þótt búið sé að aftengja nöfn og
kennitölur fylgja fastanúmeri nægar almennar upp-
lýsingar til að unnt sé að endurþekkja einstaklinginn
í velflestum tilfellum. Það jafngildir lykli.
Ályktanir: Upplýsingar í gagnagrunni á heilbrigð-
issviði teljast vera persónuupplýsingar. Því er rétt-
mætt og sanngjarnt að afla verði fyrirfram samþykkis
sjúklinga fyrir flutningi heilsufarsupplýsinga þeirra í
grunninn eins og þjóðréttarlegar skuldbindingar
landsins kveða á um. Allt annað er ósanngjarnt.
Inngangur
Lögin um gagnagrunn á heilbrigðissviði og fyrirætlun
um smíði hans valda enn deilum. Málaferli eru hafin
til þess að kanna hvort lögin standist stjórnarskrá og
þjóðréttarlegar skuldbindingar. Gera má ráð fyrir að
þær deilur haldi áfram þar til lögunum verður breytt
eða þau felld úr gildi. Ástæðan er sú að ekki fær stað-
ist sú grundvallarforsenda laganna, að um sé að ræða
gögn ópersónugreinanlegra einstaklinga. Upplýsing-
arnar eru persónugreinanlegar og því gilda þjóðrétt-
arlegar skuldbindingar íslands um að afla fyrirfram
samþykkis sjúklinganna fyrir notkun þeirra í öðrum
tilgangi en þeirra var aflað. í flestum tilfellum veitir
læknir upplýsingunum móttöku eða aflar þeirra í
þágu sjúklingins undir siða- og lagaskyldu um trúnað
sem sjúklingurinn einn getur aflétt.
Hér er rakin saga hugtaksins um persónugrein-
ingu í gagnagrunnsmálinu og leidd að því rök að göll-
uð röksemdafærsla um persónugreiningu og lykil búi
að baki löggjöfinni. Þá er velt upp þeirri spurningu
hvað sé lykill og greint frá leiðum til að smíða lykla til
að Ijúka upp grunninum með uppflettitöflu, saman-
burði ættartrjáa, eða af samhengi upplýsinga.
1. Saga hugtaksins um persónugreiningu í
umræðu um gagnagrunn
Með því að rekja nokkur helstu atriði úr sögu hug-
taksins um persónugreiningu úr umræðunni um
gagnagrunninn er leitt fram i) að hugmyndafræðin
sem upphaflega var gengið út frá byggðist á röngum
forsendum, ii) að tölvunefnd kollvarpaði hugmynda-
fræðinni og iii) að þrátt fyrir það virðist sú hug-
myndafræði enn vera við lýði. Hér er meðal annars
spurt hvort lykill sé til og í hvers höndum hann sé og
hvaða merkingu skuli leggja í hugtakið persónugrein-
ingu.
1.1. Skilgreiningar laganna
I gagnagrunnslögunum eru meðal annars eftirfarandi
skilgreiningar, í 3. grein (1):
„2. Persónuupplýsingar: Allar upplýsingar um per-
sónugreindan eða persónugreinanlegan einstak-
ling. Maður telst persónugreinanlegur ef unnt er
að persónugreina hann, beint eða óbeint, svo sem
með tilvísun í kennitölu eða einn eða fleiri þætti
sem sérkenna hann í líkamlegu, lífeðlisfræðilegu,
andlegu, efnalegu, menningarlegu eða félagslegu
tilliti.
3. Ópersónugreinanlegar upplýsingar: Upplýsingar
um einstakling sem ekki er persónugreinanlegur
samkvæmt skilgreiningu 2. tölul.
4. Dulkóðun: Umbreyting orða eða talna í óskiljan-
lega runu af táknum.
5. Dulkóðun í eina átt: Umbreyting orða eða talna í
óskiljanlega runu af táknum sem ekki er hægt að
rekja lil baka með greiningarlykli."
Persónugreinanleiki er samkvæmt þessu mjög víð-
tækur og ópersónugreinanleiki, andhverfa hans, að
sama skapi takmarkaður. Dulkóðun í eina átt er skil-
greind sem aðgerð sem á að gera að engu þann
möguleika að persónugreina einstakling með grein-
ingarlykli. Af skilgreiningunum er ljóst að ein og sér
dulkóðun er ekki nægjanleg. Lykilatriði virðist vera
að það sé í eina átt. Einstefna er samkvæmt þessu eitt-
hvert tækniundur sem á að gera að engu tilvist lykils.
I umræðunni var því einnig haldið fram að ef „sú
tæknilega forsenda frumvarpsins að „dulkóðun í eina
átt“ feli í sér raunverulega og endanlega aftengingu
persónuauðkenna“ þá standist frumvarpið og lögin
kröfur þjóðarréttar (2). Þó er viðurkenndur sá mögu-
leiki að ekki verði talinn sá eðlismunur á dulkóðun
með greiningarlykli og „dulkóðun í eina átt“ að
síðarnefnda tilvikið verði talið fela í sér endanlega og
afdráttarlausa aftengingu persónuauðkenna (2).
1.2. Frumdrög að frumvarpi í júlí 1997
Kári Stefánsson lét Lögmenn á Skólavörðustíg 12
gera Frumdrög að frumvarpi til laga um gagnagrunna
á heilbrigðissviði, dagsett 14. júlí 1997, sem hann
sendi síðan heilbrigðisráðuneytinu 3. september
sama ár (3). Ætlun höfunda var að frumvarpið yrði
að lögum haustið 1997 og lögin tækju gildi 1. janúar
1998. í 2. grein draganna er þessi skilgreining:
„3. Persónuupplýsingar: Upplýsingar er varða
einkamálefni, heilsuhagi, fjárhagsmálefni eða
önnur málefni nafngreinds eða nafngreinanlegs
808 Læknablaðið 2001/87
J