Cesta k datům: Stanoviska a doporučení pro poskytování zdravotních dat pro sekundární využití
The way to data: opinions and recommendations for the provision of health data for secondary use
Healthcare data held by state-run organisations is a valuable intangible asset for society. Its use should be a priority for its administrators and the state. A completely paternalistic approach by administrators and the state is undesirable, however much it aims to protect the privacy rights of persons registered in databases. In line with European policies and the global trend, these measures should not outweigh the social benefit that arises from the analysis of these data if the technical possibilities exist to sufficiently protect the privacy rights of individuals. Czech society is having an intense discussion on the topic, but according to the authors, it is insufficiently based on facts and lacks clearly articulated opinions of the expert public. The aim of this article is to fill these gaps.
Data anonymization techniques provide a solution to protect individuals' privacy rights while preserving the scientific value of the data. The risk of identifying individuals in anonymised data sets is scalable and can be minimised depending on the type and content of the data and its use by the specific applicant. Finding the optimal form and scope of deidentified data requires competence and knowledge on the part of both the applicant and the administrator. It is in the interest of the applicant, the administrator, as well as the protected persons in the databases that both parties show willingness and have the ability and expertise to communicate during the application and its processing.
Keywords:
health data – anonymization – de-identification – EHDS – GDPR
Autori:
Aleš Tichopád 1; Martin Augustynek 2; Jiří Beneš 3; Martin Dlouhý 4; Tomáš Doležal 5,6; Dana Horáková 7; Michal Kršek 8; Lenka Lhotská 9; Petr Panzner 10; Marek Penhaker 2; Miroslav Petr 11; Jan Piťha 12; Boris Popesko 13; Martin Rožánek 1; Miloš Táborský 14; Michal Vrablík 8
Pôsobisko autorov:
Katedra biomedicínské techniky FBMI ČVUT v Praze
1; Katedra kybernetiky a biomedicínského inženýrství FEI VŠB – TU, Ostrava
2; Ústav biofyziky a informatiky 1. LF UK v Praze
3; Katedra ekonometrie FIS VŠE v Praze
4; Institut pro zdravotní ekonomiku a technology assessment (iHETA), Praha
5; Farmakologický ústav LF MU v Brně
6; Neurologická klinika a Centrum klinických neurověd 1. LF UK a VFN v Praze
7; 3. interní klinika – klinika endokrinologie a metabolismu 1. LF UK a VFN v Praze
8; Katedra přírodovědných oborů FBMI ČVUT v Praze
9; Ústav imunologie a alergologie LF UK a FN Plzeň
10; Katedra medicínského základu v kinantropologii FTVS UK v Praze
11; Laboratoř pro výzkum aterosklerózy, IKEM, Praha
12; Ústav podnikové ekonomiky FME UTB ve Zlíně
13; I. interní klinika – kardiologická LF UP a FN Olomouc
14
Vyšlo v časopise:
Čas. Lék. čes. 2023; 162: 61-66
Kategória:
Súhrn
Data o zdravotní péči ve správě státem řízených organizací jsou pro společnost cenným nehmotným aktivem. Jejich využití by mělo být pro jejich správce a stát prioritou. Zcela paternalistický přístup správců a státu je nežádoucí, jakkoliv má za cíl ochranu práva na soukromí osob registrovaných v databázích. V souladu s evropskou politikou a celosvětovým trendem by však tato opatření neměla převážit společenský benefit, který z analýzy těchto údajů vyplývá, existují-li technické možnosti práva osob na soukromí dostatečně chránit. Česká společnost vede k tématu intenzivní diskusi, která se však podle autorů jen nedostatečně opírá o fakta a postrádá jasně artikulovaná stanoviska odborné veřejnosti. Cílem tohoto článku je tyto mezery zacelit.
Techniky anonymizace údajů představují řešení, jak chránit práva jednotlivců na soukromí a zároveň zachovat vědeckou hodnotu údajů. Riziko ztotožnění jednotlivců v anonymizovaných souborech údajů je škálovatelné a lze ho minimalizovat v závislosti na typu a obsahu údajů a jejich použití konkrétním žadatelem. Nalezení optimální formy a rozsahu deidentifikovaných údajů vyžaduje kompetence a znalosti jak na straně žadatele, tak na straně správce. Je v zájmu žadatele, správce i chráněných osob v databázích, aby obě strany projevily ochotu a měly schopnost a odborné znalosti komunikovat v průběhu žádosti a jejího zpracování.
Klíčová slova:
zdravotnická data – anonymizace – deidentifikace – EHDS – GDPR
ÚVOD
Zdravotních dat neustále přibývá. Každý pacient ročně vygeneruje desítky až stovky megabajtů dat shromažďovaných v ambulantních a nemocničních informačních systémech, registrech nebo databázích zdravotních pojišťoven, ale i v osobních aplikacích a diagnostických přístrojích. Vedle největšího zdroje těchto dat, kterým jsou poskytovatelé zdravotní péče, vznikají data na discích velkých technologických gigantů, jako jsou např. Apple, Microsoft nebo Google, jejichž zdravotní a lifestylové aplikace, jako například fitness trackery bedlivě schraňují a vyhodnocují toto cenné nehmotné aktivum na svých serverech. Data z reálné klinické praxe zachycují skutečné chování populace ve vztahu ke zdraví. Mají tedy ještě výrazně vyšší celospolečenskou i komerční hodnotu, než je tomu u dat z lifestylových a sportovních aplikací (1).
Pokud jsou záznamy na úrovni pacienta shromážděny nebo konsolidovány do jediného souboru longitudinálních dat, lze u něj sledovat kompletní historii demografických údajů, zdravotního stavu, diagnózy, léčby, lékařských postupů, čerpání péče a nákladech na ní a v neposlední řadě výsledků léčby. Poskytovatelé zdravotní péče a správci národních databází si dnes musí uvědomit, že údaje o pacientech jsou opravdu cenným nehmotným majetkem, pokladem informací, o který mají zájem víceré zúčastněné strany. Tyto údaje lze analyzovat za účelem získání vědeckých poznatků s hodnotou pro pacienty, poskytovatele, plátce, výzkum a farmaceutické společnosti a výrobce zdravotnických prostředků.
Soukromé společnosti ve zpracování zdravotních dat výrazně předběhly státní instituce, ale na konkrétních příkladech lze ukázat, že mnohé státy si hodnotu dat dobře uvědomují, například jejich zástupci z Dánska, Nizozemska nebo Finska vytvořili pravidla a systémové platformy pro práci s daty a jejich sdílení s žadateli z řad nejen akademických pracovišť, ale i průmyslu a širší veřejnosti. Tyto systémy funguji buď jako ryze státní, např. Sundhedsdatastyrelsen v Dánsku nebo Findata ve Finsku, nebo jako privátní neziskové organizace, jako je nizozemský Health-RI. Ve všech případech se jedná o organizace s adekvátní kapacitou personálu nejen pro zajištění technického chodu procesu, ale i pro komunikaci s žadateli a vyhodnocování žádostí.
Tyto organizace rovněž zodpovídají za informační kampaně a vzdělávací aktivity, a to i směrem do zahraničí. Dánsko tak kupříkladu svá zdravotnická data o mimořádně vysoké kvalitě komunikuje v rámci národních investičních pobídek.
Příkladem účelné legislativy zaměřené na poskytování sociálních a zdravotních dat je finský zákon č. 552/2019 o sekundárním využívání sociálních a zdravotních údajů (2). Ten nejenže stanovuje, za jakých podmínek lze s daty pracovat na základě individuálních žádostí a souhlasů pro jednotlivé typy dat, žadatelů a záměrů, ale pojmenovává i obecný celospolečenský zájem, mimo jiné na tvorbě inovací. Tím umožňuje využití dat i průmyslovým společnostem, a to i zahraničním.
Obdobně se proces poskytování zdravotních dat opírá o speciální zákony v Rakousku, Belgii, Německu, Francii, Velké Británii, ale třeba i v Maďarsku a dalších zemích. V USA jsou data poskytována na různých platformách a jejich poskytování je upraveno zákonem o přenositelnosti zdravotního pojištění a odpovědnosti z roku 1996 (HIPAA) (3, 4). V Česku a několika dalších, převážně nových členských zemích EU, jakákoliv legislativa k poskytování dat pro sekundární účely výzkumu dosud chybí.
Tento článek si klade za cíl reagovat na aktuální diskusi k tématu sekundárního využití zdravotních dat. Autoři zdůrazňují některá fakta, která jsou podle jejich názoru v dosavadní diskusi významně opomíjena. To se týká především doposud málo diskutované možnosti využívání anonymizovaných dat. Dále prezentují vlastní stanoviska a nastiňují konsenzus mezi riziky a přínosy v uvedené problematice. Cílem tohoto článku je také uvést na pravou míru terminologii často nesprávně užívanou v komunikaci a sděleních jak odborné, tak i laické veřejnosti. Aby byl článek praktickým přínosem pro žadatele i poskytovatele zdravotních dat, poskytují v něm autoři četná doporučení.
OBECNÁ STANOVISKA A DOPORUČENÍ
- Zdravotnická data představují cenné celospolečenské aktivum, současně jejich sekundární využití ve výzkumu může představovat riziko porušení práva na soukromí.
- Bezpečné využívání zdravotních dat k výzkumným účelům, plánování zdravotních politik, zvyšování zdravotní gramotnosti populace a investic do inovací by se mělo stát vysokou prioritou českého zdravotnictví.
- Riziko porušení práva na soukromí je škálovatelné v závislosti na typu dat, jejich obsahu, samotném žadateli a záměru sekundárního využití.
- Využití zdravotních dat ve výzkumu je možné mimo jiné při využití anonymizace pomocí deidentifikace osob. Tím dojde k minimalizaci nebo vyloučení rizika porušení práva na soukromí.
- Anonymizace je škálovatelný proces, který by měl být využit tak, aby byla dostatečně chráněna práva osob na soukromí a současně nedošlo k neadekvátní redukci vědecké hodnoty dat.
- Pomoci vhodné transformace dat lze vytvářet z tzv. longitudinálních tzv. průřezové datové soubory, které lze snadno anonymizovat pomoci deidentifikace osob. Tyto soubory často splňují náročné požadavky na vědecký výzkum bez rizika porušení práva na soukromí.
- Jak žadatelé, tak správci by měli v procesu žádosti o poskytnutí dat vážit rizika a vědecké potřeby a aktivně spolu komunikovat a hledat optimální formu a rozsah deidentifikovaných dat.
- Poskytování anonymizovaných zdravotních dat pro sekundární účely výzkumu by mělo být jedním z hlavních cílů správců těchto dat, obzvláště jedná-li se o státem řízené organizace. K úspěšnému plnění této agendy by tak měli disponovat dostatečnou výkonovou kapacitou, nebo touto roli pověřit vhodné třetí strany v roli zpracovatelů a poskytovatelů.
DETAILNÍ STANOVISKA A DOPORUČENÍ
- Preambule
- Vymezení pojmů a skutečností
- Doporučení pro poskytovatele
- Doporučení pro žadatele
ZÁVĚR
Zde uvedená stanoviska a doporučení jsou i přes jejich relativně dlouhý výčet návodem správcům dat k tomu, jak nahlížet na zdravotnická data a poskytovat je žadatelům způsobem, který umožnuje jejich plnohodnotné vědecké zhodnocení.
Techniky deidentifikace dat a stanovováni rizik jsou dnes již samostatným vědním oborem a nelze očekávat, že je čeští správci dat obratem využijí na všechny typy zdravotních databází a ty následně dají k dispozici. Bylo by však žádoucí, aby u jednodušších průřezových datových sad došlo k jejich brzké anonymizaci a aby další podobné sady i nadále vznikaly společně s tím, jak se budou rozvíjet postupy pro anonymizaci složitějších longitudinálních dat.
Obecně by pak méně paternalistický přístup správců, laskavost a vůle komunikovat s žadateli nejen usnadnil žadatelům cestu k datům, ale v mnoha případech i umožnil jejich poskytnutí ve formě, která by vyvažovala riziko s dosažitelnými cíli analýzy. Ne vždy si totiž žadatelé uvědomují, že se nabízí vhodné a záchovné transformace dat, které silně redukují riziko ztotožnění osob. Každá individuální žádost o data s sebou nese specifická rizika a je na žadateli, aby posoudil, zda cíl a rozsah vědeckého záměru vyvažuje rizika spojená s poskytnutím dat.
Hlubší a hlavně technickou diskusi si zaslouží problematika smluvního vztahu mezi poskytovatelem a žadatelem o data, především pak s ohledem na mlčenlivost. Dále pak institucionální zajištění uskladnění dat a dohledové možnosti žádající organizace nad využitím dat a revizi výstupů před zveřejněním.
Tato doporučení jsou psána především z perspektivy akademických vědeckých pracovníků, kteří jsou jejich autory. Lze očekávat, že některé zde uvedené skutečnosti nebo doporučení mohou být vnímány jinak z pohledu výzkumných pracovníků v průmyslu. Bylo by proto žádoucí, aby časem vznikly komplementární poziční sdělení a doporučení pro specifické využití dat například pro vývoj léků a jejich sledování v reálné klinické praxi na straně průmyslu.
Autoři se rovněž do hloubky nezabývají problematikou ochrany dobrého jména a pověsti poskytovatelů zdravotních služeb, plátců či jiných právnických subjektů, která může být dotčena zveřejněním výsledků analýz zdravotních dat a informaci, obzvláště budou-li nesprávné, neúplné nebo záměrně zavádějící.
V neposlední řadě je nutno s obavami vnímat i rizika spojená s nesprávným použitím nebo záměrným zneužitím zdravotních dat a následným šířením nepravdivých a falešných informací. Tato rizika jsou však méně závažná a leckdy dodatečně zhojitelná. Navíc jsou předmětem samostatných právních předpisů, které (spíše než paternalistické jednání správců dat) společnost před těmito riziky do jisté míry chrání. Autoři se jim zde proto hlouběji nevěnují.
Čestné prohlášení
Aleš Tichopád je společníkem společnosti CEEOR, s. r. o., která opakovaně žádá o zdravotnická data.
Tomáš Doležal je společníkem ve společnostech Medivio, s. r. o., Cogvio, s. r. o., a Value Outcomes, s. r. o., jež opakovaně žádají o zdravotnická data.
Autoři práce prohlašují, že v souvislosti s tématem, vznikem a publikací tohoto článku nejsou v žádném dalším střetu zájmů a vznik ani publikace článku nebyly podpořeny žádnou farmaceutickou firmou.
Adresa pro korespondenci:
Dr. rer. nat. Aleš Tichopád, Ph.D.
Katedra biomedicínské techniky FBMI ČVUT
náměstí Sítná 3105, 272 01 Kladno
e-mail: ales.tichopad@fbmi.cvut.cz
Zdroje
- Henson P, David G, Albright K et al. Deriving a practical framework for the evaluation of health apps. Lancet Digit Health 2019; 1: 52–54.
- The Finnish act on the secondary use of social and health data. 2019. Dostupné na: https://stm.fi/en/secondary-use-of-health-and-social-data
- Safran C, Bloomrosen M, Hammond WE et al. Toward a national framework for the secondary use of health data: an American medical informatics association white paper. J Am Med Inform Assoc 2007; 14: 1–9.
- Guidance regarding methods for deidentification of protected health information in accordance with the Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule. Health Information Privacy. The Office for Civil Rights (OCR), 2012. Dostupné na: www.hhs.gov/hipaa/for-professionals/privacy/special-topics/de-identification/index.html
- Assessment of the EU Member States’ rules on health data in the light of GDPR. Directorate-General Health and Food Safety of the European Commission, Luxembourg, 2021. Dostupné na: https://health.ec.europa.eu/system/files/2021-02/ms_rules_health-data_en_0.pdf
- Skovgaard LL, Wadmann S, Hoeyer K. A review of attitudes towards the reuse of health data among people in the European Union: the primacy of purpose and the common good. Health Policy 2019; 123: 564–571.
- Nález ústavního soudu Pl. ÚS 25/21. Ústavní soud ČR, 17. ledna 2023. Dostupné na: www.usoud.cz/fileadmin/user_upload/Tiskova_mluvci/Publikovane_nalezy/2023/Pl._25-21_nalez.17-1-23_-_AN.pdf
- Nařízení evropského parlamentu a rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Dostupné na: www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=20112
- Zákon č. 110/2019 Sb, o zpracování osobních údajů. Dostupné na: https://aplikace.mvcr.cz/sbirka-zakonu/ViewFile.aspx?type=c&id=38632
- Opinion 05/2014 on anonymisation techniques. Papers of the Article 29 Working Party. Article 29 Working Party (Art. 29 WP), 2014. Dostupné na: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf
- A European Strategy for data. Evropská komise. Dostupné na: https://digital-strategy.ec.europa.eu/en/policies/strategy-data
- el Emam K. Guide to the de-identification of personal health information. Auerbach Publications, New York, 2013.
- Sweeney L. Replacing personally-identifying information in medical records, the Scrub system. Proc AMIA Annu Fall Symp 1996: 333–337.
- el Emam K, Jonker E, Arbuckle L et al. A systematic review of re-identification attacks on health data. PLoS One 2011; 6: e28071.
- el Emam K, Dankar FK, Issa R et al. A globally optimal k-anonymity method for the de-identification of health data. J Am Med Inform Ass 2009; 16: 670–682.
- Kayaalp M. Modes of de-identification. AMIA Annu Symp Proc 2018; 2017: 1044–1050.
- Kayaalp M. Patient privacy in the era of big data. Balkan Med J 2018; 35: 8–17.
Štítky
Adiktológia Alergológia a imunológia Angiológia Audiológia a foniatria Biochémia Dermatológia Detská gastroenterológia Detská chirurgia Detská kardiológia Detská neurológia Detská otorinolaryngológia Detská psychiatria Detská reumatológia Diabetológia Farmácia Chirurgia cievna Algeziológia Dentální hygienistkaČlánok vyšiel v časopise
Časopis lékařů českých
2023 Číslo 2-3
- Metamizol jako analgetikum první volby: kdy, pro koho, jak a proč?
- Fixní kombinace paracetamol/kodein nabízí synergické analgetické účinky
- Kombinace metamizol/paracetamol v léčbě pooperační bolesti u zákroků v rámci jednodenní chirurgie
- Kombinace paracetamolu s kodeinem snižuje pooperační bolest i potřebu záchranné medikace
- Antidepresivní efekt kombinovaného analgetika tramadolu s paracetamolem
Najčítanejšie v tomto čísle
- Sezónní a týdenní výkyvy v užívání alkoholu v Česku
- Zkušenosti lékařů s interkulturními rozdíly v komunikaci s ukrajinskými uprchlíky v době rusko-ukrajinského ozbrojeného konfliktu
- Společnost vstřícná životu s demencí (dementia-friendly community) a její implikace ve zdravotnictví
- Hepatocelulární karcinom a multiplicitní primární neoplazie a jejich asociace s diabetem mellitem 2. typu