Nie opadł kurz po szeroko komentowanym ujawnieniu przez ministra zdrowia rodzaju leków, które przepisał sobie lekarz. Adam Niedzielski zmienił miejsce pracy, a sprawę podjął Urząd Ochrony Danych Osobowych (UODO). Zaufania w państwową cyfryzację to jednak nie przywróciło. Dziwi, że wyjaśnienie wyjątkowo bulwersującej sprawy zajmuje UODO tak dużo czasu. Wydawałoby się, że jest prosta jak tyczka – decyzję można było wydać w ciągu tygodnia. Czyli miesiąc temu.
Bezpieczeństwo i prywatność danych zdrowotnych to kluczowa rzecz. To informacje wrażliwe. Nie da się ich łatwo zmienić, jak choćby hasło. To absolutnie nieporównywalne przykłady – ale ich zestawienie dobrze obrazuje wagę problemu. Problemu ochrony informacji o naszym zdrowiu, który wkrótce stanie się jeszcze poważniejszy.
Opieka zdrowotna w XXI w. ulega procesowi cyfryzacji. Wiele zasad i regulacji w tej mierze przypłynie do nas z Komisji Europejskiej i innych instytucji unijnych. Dokładnie tak jest w przypadku „europejskiej przestrzeni danych dotyczących zdrowia”. Na tle zachłyśnięcia się technologią, wideokonferencjami, aplikacjami do śledzenia kontaktów i obawami o utratę inicjatywy Europy w technologiach cyfrowych w Brukseli opracowano pomysł na usprawnienie zbierania i dzielenia się danymi zdrowotnymi. Miałoby się to dziać właśnie w ramach „przestrzeni danych dotyczących zdrowia” (European Health Data Spaces – EHDS). Co to za „przestrzenie”? To wydzielony proces technologiczno-regulacyjny, w którym legalizuje się ułatwiony obieg danych o naszym zdrowiu. To specjalna piaskownica, gdzie można więcej. To może być wyłom w rozporządzeniu o ochronie danych osobowych – słynnym RODO, dziś już nie tak demonizowanym, bo firmy i ludzie się go nauczyli.
W jaki sposób dane miałyby się znaleźć w EHDS? Na przykład od lekarzy, z laboratorium, ze szpitali. Wyniki zostałyby wprowadzone do systemu. Ze zbioru danych mogłyby korzystać wtedy i inne ośrodki zdrowia, szpitale, lekarze – także w innych krajach. Czyli byłby ułatwiony dostęp do informacji o zdrowiu. To może pacjentom pomóc. W Wielkiej Brytanii podobne rozwiązania działały już lata temu – potrzeba było wyrazić zgodę na takie udostępnianie danych.
Co w Europie otrzymamy w zamian? Idąc do lekarza nr 1, a później do szpitala nr 2, dane z jednych miejsc byłyby dostępne w innych, dla innych. Jednak bez zgody pacjenta stawałoby się to automatyczne. W Europie rozważa się, czy wymaganie jasnej zgody pacjenta to nie jest zbyt wiele – po co mają się tym przejmować, może nie zrozumieją potrzeb lub ducha czasów... Wobec tego chce się zalegalizować udostępnianie danych domyślnie. Bez udzielonej zgody. Udostępnianiu domyślnie miałyby podlegać takie dane jak: karty zdrowia pacjenta, recepty, realizacja recept elektronicznych, obrazy medyczne i wyniki obrazowania medycznego (rentgen, rezonans magnetyczny, tomografia komputerowa, USG itd.), wyniki badań laboratoryjnych (np. krwi), wypisy.
Pacjent może „zgodę” wycofać lub zakazać komuś dostępu do danych – musi to jednak uczynić w sposób aktywny. O ile nie zapomni, że domyślnie tak się dzieje z automatu. Tak chcą europejscy politycy. To dobra okazja, by uświadomić sobie, że w taki właśnie sposób jest tracona kontrola nad danymi zdrowotnymi, gdyż domyślnie dostęp może mieć do nich każdy zainteresowany (mający powody i prawo dostępu) lekarz, który udziela świadczenia zdrowotnego. Lekarz, który robi to, co ma robić, czyli leczyć. Stanowi to tzw. wykorzystanie pierwotne. To nie koniec.
W ramach EDHS przewidziano tzw. wykorzystanie wtórne, tzn. dostęp do danych od strony… firm. Na przykład opracowujących nowe leki, terapie, modele sztucznej inteligencji itd. I tu również pacjenci domyślnie są w trybie udostępniania danych. Jeśli tego nie chcą – muszą specjalnie wycofać zgodę.
Teraz proszę usiąść i odłożyć wszelkie napoje. Jakież to dane miałyby być udostępniane bez zgody pacjenta? Według propozycji KE to: „elektroniczna dokumentacja medyczna, dane mające wpływ na zdrowie, w tym społeczne, środowiskowe i behawioralne czynniki warunkujące zdrowie, istotne dane genomowe dotyczące patogenów, mające wpływ na zdrowie ludzi, dane administracyjne dotyczące zdrowia, w tym dane dotyczące wniosków o zwrot i zwrotów kosztów, dane z zakresu genetyki człowieka, genomiki i proteomiki, elektroniczne dane dotyczące zdrowia wygenerowane przez daną osobę, w tym dane dotyczące wyrobów medycznych, aplikacji wspierających dobrostan lub innych aplikacji z zakresu e-zdrowia, dane identyfikacyjne dotyczące pracowników służby zdrowia zaangażowanych w leczenie osób fizycznych, rejestry danych dotyczących zdrowia obejmujące całą populację (rejestry dotyczące zdrowia publicznego), elektroniczne dane dotyczące zdrowia pochodzące z rejestrów medycznych dotyczących określonych chorób, elektroniczne dane dotyczące zdrowia z badań klinicznych, elektroniczne dane dotyczące zdrowia pochodzące z wyrobów medycznych oraz z rejestrów produktów leczniczych i wyrobów medycznych, badania kohortowe, kwestionariusze i badania związane ze zdrowiem, elektroniczne dane dotyczące zdrowia pochodzące z biobanków i specjalnych baz danych, dane elektroniczne dotyczące statusu ubezpieczenia, statusu zatrudnienia, wykształcenia, stylu życia, dobrostanu i zachowania mające znaczenie dla zdrowia, elektroniczne dane dotyczące zdrowia zawierające różne udoskonalenia, takie jak korekty, adnotacje czy wzbogacenie uzyskane przez posiadacza danych w wyniku przetwarzania na podstawie zezwolenia na dostęp do danych”. To bardzo… wiele informacji o pacjencie.
Wszystko to bez zgody zainteresowanego miałoby zostać udostępniane np. w celach „badań naukowych”, „w zakresie rozwoju i innowacji w odniesieniu do produktów i usług”, „działań w zakresie trenowania, testowania i oceny algorytmów, w tym w wyrobach medycznych, systemach sztucznej inteligencji”. Zatem dane także do uczenia systemów sztucznej inteligencji, AI. Co więcej, wykorzystanie takie nie jest związane ze świadczeniem usług zdrowotnych. Ostatnio zwraca na to uwagę wiele organizacji pozarządowych w petycji do PE i Rady UE.
Dlaczego projektodawcy nie chcą domyślnej niezgody, zaś zgody na piśmie? Z obawy przed tym, że ludzie takich zgód nie udzielaliby masowo, przez co takie dane mogłyby być niekompletne, niereprezentatywne itd. Wtedy np. algorytm prywatnej firmy tworzącej AI i zarabiającej na tym obrzydliwie duże pieniądze mógłby działać gorzej lub nie działać. Ktoś w Europie uznał, że tak się musi stać.
Czy jednak obawy nie są na wyrost? Może da się takie dane np. zanonimizować, jak przewiduje ten projekt? Tak szerokie dane są bardzo precyzyjne, być może biometryczne wręcz. Trudno coś takiego skutecznie zanonimizować, zwłaszcza w rozumieniu RODO (wbrew europejskiemu prawu projekt nie zaznacza, że anonimizacja ma być w takim stylu). Nie twierdzę, że to niemożliwe, ale tu trzeba będzie iść na kompromisy (o ile ktokolwiek zechce się fatygować). Wciąż pozostaną prywatne dane identyfikujące pacjentów. I to wszystko chce zalegalizować Komisja Europejska, tworząc tylne drzwi w systemie ochrony prywatności.
Na projekt w obecnej formie nie może być zgody i przyzwolenia społecznego. Muszą zostać podjęte odpowiednie działania w celu załagodzenia ryzyka. Ktoś musi przywrócić tutaj kontrolę społeczną, bo raz udostępnionych danych nie da się „odudostępnić”. Czy chcemy, aby takie dane przez przypadek stały się publiczne na skalę masową? Bo takie ryzyko występuje. Firmy przetwarzające te prywatne dane mogą mieć słabe zabezpieczenia, bo często firmy z zakresu medycznego nie priorytetyzują tego. Anonimizację mogą robić metodą na rympał – w sposób fasadowy. W żadnej mierze nie uwzględniono takiego ryzyka w propozycji KE. Temat ujęto powierzchownie, a wręcz w ramach obowiązków KE wpisała: „wspieranie rozwoju systemów sztucznej inteligencji, trenowania, testowania i walidacji systemów sztucznej inteligencji”. Jeśli taki jest cel – generowanie obrzydliwie dużych pieniędzy przy użyciu naszych danych zdrowotnych, to powstaje wiele pytań. Istotnie w obecnej formie propozycja tego prawa bardzo dokładnie spełnia właśnie ten cel.
Skuteczne rozwiązania muszą zostać opracowane i wysunięte przez europejskie organy ochrony danych osobowych, a także przez polski rząd. Do tego czasu regulacja ta nie powinna być dalej procedowana jako ryzykowna i niedziałająca w interesie społecznym. Warto wręcz wstrzymać prace nad tym prawem do wyborów. Sprawa ta powinna się stać integralnym tematem kampanii wyborczej nie tylko do Sejmu, lecz także do Parlamentu Europejskiego. ©℗