Svært både at dele og beskytte personlige data

Af Thomas Ploug
Professor ved Center for anvendt etik og videnskabsfilosofi, Aalborg Universitet, København.

Ingen tvivl om, at store mængder data om danskernes sygdomme og sygdomshistorie, arveanlæg, medicinforbrug og livsstil har et betydeligt behandlingsmæssigt, og dermed også kommercielt, potentiale.

Med adgang til store mængder data bliver det muligt at opdage sammenhænge mellem et væld af faktorer. Den viden kan komme danskerne til gode i form af forbedret behandling, men også – hvis virksomheder får adgang til disse data – i form af vækst og jobskabelse i medicinalindustrien.

At udveksle data om danskernes sundhed udfordrer imidlertid også beskyttelsen af privatlivet. Denne korte artikel behandler to centrale spørgsmål, nemlig 1) hvorfor privatliv har værdi, og 2) hvordan udveksling af sundhedsdata udfordrer beskyttelsen af privatlivet.

Bagsiden af medaljen
Privatliv handler her kort sagt om, at der er grænser for, hvad andre har adgang til af informationer om os. Hvorfor er det værdifuldt, at der er en sådan grænse? Privatlivet er værdifuldt af en række relaterede grunde. For det første fordi vi har følelser knyttet til andres viden om vores personlige forhold.

Tab af personlige oplysninger – at vide at andre har en bestemt viden om os – kan reducere livskvalitet. For det andet fordi vi alle har mere eller mindre velbegrundede forestillinger knyttet til menneskets egenskaber og historie.

Tab af personlige informationer kan derfor lede til, at man ”rubriceres” og ”kategoriseres” af omverdenen og i værste fald gives dårlige betingelser for at udfolde sig som menneske. Det kan kort sagt lede til stigmatisering og diskrimination i en række forskellige sammenhænge i samfundet.

For det tredje fordi der kan være politisk-ideologiske forestillinger knyttet til træk ved mennesker. Tab af personlige informationer kan derfor føre til statslig overvågning og kontrol og med afsæt i bestemte politisk-ideologiske forestillinger. Pointen er her ikke at nedvurdere politisk-ideologiske forestillinger, men blot at konstatere, at beskyttelsen af privatlivet også giver borgeren en frihed i forhold til ideologisk motiveret overvågning og kontrol.

Sundhedsinformationer på personniveau er der alle tre grunde til at beskytte. Vi opfatter formodentlig alle i hvert fald visse informationer om sygdom og behandling som meget personlige.

Der kan næppe heller være tvivl om, at der er forestillinger – velbegrundede eller ej – knyttet til sygdomme, og at disse spiller en rolle for menneskers udfoldelsesmuligheder i en række sammenhænge. Endelig er sundhedsinformationer jo også vigtige i forhold til spørgsmål om prioritering i sundhedsvæsenet og sundhedsrettigheder generelt, og her kommer forskellige politisk-ideologiske forestillinger i spil.

Nogle gange hører man det synspunkt, at der ikke kan være noget galt med at udveksle personlige informationer, fordi vi jo alligevel selv ”strør” om os med personfølsomme informationer. Det er vigtigt at indse, at værdien af privatliv ikke (alene) er knyttet til værdien af selvbestemmelse. De grunde, der her er givet til at beskytte privatlivet, er uafhængige af, om borgeren selv ønsker at beskytte privatlivet.

Øget risiko
Beskyttelsen af sundhedsdata udfordres på en række punkter i disse år. For det første får flere og flere sundhedsfaglige persongrupper adgang til borgernes personlige sundhedsdata. Det gælder fx Fælles Medicinkort. Med øget adgang til sundhedsdata på personniveau øges alt andet lige, også risikoen for både forsætlig og uforsætlig spredning af personfølsom information.

For det andet gives i stigende grad adgang til personlige sundhedsdata for administrativt personale og til andre formål end behandling og forskning. Siden 2011 har administrativt personale hos kommuner og regioner således fået adgang til at ”indhente og behandle oplysninger fra offentlige registre om patienters modtagelse af sundhedsydelser” til brug for tilrettelæggelse og planlægning af den kommunale og regionale indsats på sundhedsområdet.

For nylig blev en bekendtgørelse sendt i høring, der vil gøre det muligt at anvende landsdækkende og regionale kliniske kvalitetsdatabaser ”som led i beslutningsgrundlaget for den politiske og administrative ledelse”. Med flere ikke-sundhedsfaglige persongruppers potentielle adgang og med en udvidelse af de oprindelige formål for udveksling og anvendelse af personlige sundhedsdata øges risikoen for en spredning af personfølsom information.

For det tredje viser en række sager, at det rent IT-teknisk er vanskeligt at lave sikkerhedsløsninger, der er tilstrækkeligt sikre mod nedbrud og målrettede forsøg på indtrængen. Det er altså en latent risiko for spredning af personfølsomme oplysninger på grund af teknologien.

For det fjerde viser forskning, at anonymisering ikke er effektivt til at beskytte personlige sundhedsdata. Forskere ved Harvard University har således påvist, at en simpel samkøring af data fra internettet med data på ”anonymiserede” forsøgsdeltagere i mange tilfælde er tilstrækkeligt til at gøre disse personligt identificerbare. Selv hvis den øgede adgang til sundhedsdata og til udvidede formål er til anonymiserede data, er det altså ikke klart, at spredning af personlig identificerbar og personfølsom information ikke vil kunne forekomme.

Hvis man vil beskytte borgernes privatliv – og det har vi givet gode grunde til – så må man altså være opmærksom på 1) hvor mange, der får adgang til sundhedsdata, 2) til hvilke formål, data kan anvendes, 3) at IT-understøttet lagring af sundhedsdata generelt er usikker og 4) at effektiv anonymisering af personlige data vanskelig. Det er klart, at en vækst-tænkning, der skruer op for spredning af sundhedsdata uden at indtænke disse forhold, træder beskyttelsen af privatlivet under fode.

En bæredygtig væksttænkning må vægte borgernes selvbestemmelse og beskyttelsen af privatlivet højt i forsøget på at skabe job og fremgang.


 

debat@altinget.dk