I marts 2017 var Jan Riis inviteret med i STARS* udvalgets møde for at give hans bud på, hvilke termer, begreber og løsninger, der er de vigtigste når der er tale om privatlivsbeskyttelse i sundhedssektoren. En stor del af indlægget handlede om pseudonymisering, anonymisering og re-identifikation. Der blev brugt et par vigtige minutter om emnet “kvasi-identifikation”, som kort fortalt handler om, at der skal utroligt lidt information til, før data bliver direkte personhenførbart selv om der ikke findes hverken CPR eller navne eller andet direkte identificerende i datasættet. Men der findes gode metoder og principper for pseudonymisering, som kan medvirke til at vores registre i fremtiden bliver mere resistente overfor angreb og lækager.
Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them well
Datasikkerhed i sundhedsvæsenet - Pseudonymiseringsprincipper og metoder
1. e-Sundhed – Digitalisering af sundhedsvæsenet
10 minutter om datasikkerhed i sundhedssektoren
Partner Jan Riis
tlf. 2160 7252
email jri@lakeside.dk
Fastlæggelse af problem og termer ... og lidt teknik
2. 2
INDHOLD
• Problemet med data
• Anonymisering / Pseudonymisering
• Pas på! Kvasi-identifikation
• Når det rammer den virkelige verden
– Fælles Medicinkort++
3. 33
Problemet med data er ...
Men vi skal jo ikke give op, selv om det er svært!
• at ”maskiner” kan sammenstille enorme
mængder af dem ... hurtigt
• at statistik, heuristik og kontekst kan uddrage
viden af tilsyneladende ”tilfældige” data
4. 44
Vigtige begreber!
• Anonymiserede data
– INGEN informationer om identitet
– Tænk: CPR er fjernet
– Irreversibel proces – anonymiserede data kan ikke ”re-
identificeres” (*)
• Pseudonymiserede data
– Ingen direkte identificerende data
– Tænk: CPR er erstattet
– Kan være ”sammenhængende pseudonymiseret” eller
”usammenhængende pseudonymiseret”
Data
Data
?
5. 55
PrivacyLevel
Personhenførbart
0
Data
Data
Data
Pseudonymiseret, sammenhængende
1
Data
Data
Data
2
3
?Pseudonymiseret og disintegreret
Data
Data
Data
Pseudonymiseret, ikke-sammenhængende
Data
Data
Data
???
???
???
Anonymiseret
4 Data
Data
Data Karakteristika:
- Rigtig god privatlivssikring
- Identiteter kan kun udledes gennem quasi-identifikatorer
Karakteristika:
- Lav privatlivssikring
- Nemt at aggregere og samkøre data fra alle datasæt
Karakteristika:
- Ingen privatlivssikring
- Nemt at aggregere og samkøre data fra alle datasæt
- Også nem ift. øvrige offentlige registre
Karakteristika:
- Middel privatlivssikring
- Datasæt kan ikke samkøres
- Registreringer i samme datasæt kan samkøres
Karakteristika:
- God privatlivssikring
- Datasæt kan ikke samkøres
- Registreringer i samme datasæt kan ikke samkøres
7. 77
Pas på! - Kvasi-identifikation
• Indirekte identificerende information
– Hvis mængden af personer, som data
kan passe til bliver for lille
• Eksempel:
– ICD-10 kode: S88-012
(amputeret venstre underben)
– Køn: Mand
– Postnummer: 8592, Anholt
9. 99
Fælles medicinkort++ (privatlivssikret)
• Kunne pseudonymiseres til PL-3
• Data disintegreres
• Relationstabeller sikres fx. med
krypteringsnøgler
(så kun FMK kan sammensætte)
PrivacyLevel
0
1
2
3
4
FMK (nu)
FMK++
Ordination
Ordination
Ordination
Ordination
Ordination
Ordination
Ordination
Ordination
Recept
Recept
Recept
Recept
Recept
Recept
Recept
Recept
Udlevering
Udlevering
Udlevering
Udlevering
Udlevering
Udlevering
Udlevering
Udlevering
Medicinkort
Medicinkort
Medicinkort
Medicinkort
Medicinkort
Medicinkort
Medicinkort
Medicinkort
Medicinkort
Beskyt disse
Beskyt disse bedre
Beskyt disse bedst
10. 1010
Fælles medicinkort++
• Journalføringsbekendtgørelsen
– Minimum 10 år
– FMK: 2 år
– Altså lidt forskellig ”praksis”
– Gælder også beslutningsgrundlag
• Dvs. alle re-identificerede data fra FMK++ skal
logges lokalt (fx. i regionen)
• Øger risikoen for fejl eller lækager
• Det bør ”nogen” gøre noget ved