Pseudonymisering af Sundhedsdata_

 

Udvikling af principper og metoder til pseudonymisering af sundhedsdata hos Sundhedsdatastyrelsen

 

Informationssikkerhed hos Sundhedsdatastyrelsen_

 

Pseudonymisering af sundhedsdata – Principper og metoder

 

Hver dag bevæger enorme mængder af data sig imellem systemer og institutioner i det danske sundhedsvæsen. Disse data er af særlig følsom karakter, da de indeholder personlige oplysninger om fx sygdoms- og behandlingsforløb, medicinering og andre helbredsmæssige forhold. I Lakeside har derfor vi sammen med Sundhedsdatastyrelsen udarbejdet en rapport, der indeholder en række principper og metoder til håndtering af følsomme sundhedsdata.

Opgaven

Principper og metoder til håndtering af følsomme sundhedsdata

I forbindelse med bl.a. den kommende EU persondataforordning, der træder i kraft fra og med 2018, bad Sundhedsdatastyrelsen i efteråret 2016 Lakeside om at udarbejde en række anvisninger, der kunne bruges til at imødekomme EU-forordningens skærpede krav. Pia Jespersen udtaler: “Vi ville gerne have fastlagt nogle principper for pseudonymisering, som skulle gælde alle de sundhedsdata, vi stiller til rådighed."

Dertil ligger Sundhedsdatastyrelsen generelt stor vægt på, at man for så vidt muligt baserer it-løsninger på gældende internationale standarder. Lakesides indsats byggede vi op omkring materiale og anbefalinger angående pseudonymisering fra bl.a. EU, NIST og med afsæt i ISO25237:2008. Målet var, at belyse de fordele og ulemper pseudonymisering giver i forhold til Sundhedsdatastyrelsens udgangspunkt og ønsker for fremtiden, hvilket bl.a. berører muligheden for fortsat at benytte sundhedsdata til forskning.


Vores bidrag

Fastlæggelse af principper til pseudonymisering af sundhedsdata

Målet var, at belyse de fordele og ulemper pseudonymisering giver i forhold til Sundhedsdatastyrelsens udgangspunkt og ønsker for fremtiden, hvilket bl.a. berører muligheden for fortsat at benytte sundhedsdata til forskning.

Vores kortlægning kastede to primære konklusioner af sig;

➣ Pseudonymisering anbefales frem for en metode der anvender anonymisering
➣ Hverken pseudonymisering eller anonymisering kan helt fjerne risikoen for, at data er personhenførbare (dvs. kan bruges til at udpege personen, hvis data der er tale om)

Anonymisering vil typisk være det mest effektive måde at sikre integriteten i sine data, men eftersom de data Sundhedsdatastyrelsen råder over, bl.a. skal bruges til forskning, er det et væsentligt parameter, at data kan sammenholdes, hvilket kun er muligt ved brug af pseudonymisering. Det betyder også, at den løsning vi hos Lakeside har kunnet anbefale, og som dækker de forhold der foreskrives i persondataforordningen, er en løsning med pseudonymer med høj entropi kombineret med mapningstabeller.


Pseudonymisering forklaret

Anonymisering og pseudonymisering er ikke det samme - læs hvorfor her

Anonymisering af et datasæt med persondata har til formål uigenkaldeligt at fjerne identificeringen af enkeltpersoner, så de hverken kan udskilles af selve datasættet eller ved sammenkobling med andre datasæt. Set med sikkerhedsbrillerne på er anonymisering i udgangspunktet den foretrukne løsning, men det forholder sig bare sådan, at nogle sundhedsdata anvendes til forskning, og derfor er der behov for at bl.a. Sundhedsdatastyrelsen, kan arbejde med datasættene efterfølgende. Casestudier og forskningspublikationer viser imidlertid, at det ikke er en nem opgave at skabe et helt anonymt datasæt ud fra et omfattende datasæt med personoplysninger, hvis muligheden for at analysere på og/eller at skabe statistiske resultater med afsæt i datasættet skal bevares.

Ved pesudonymisering bevares nogle af de egenskaber ved datasættet, der gør efterfølgende statistik og analyse muligt. Alene af denne grund er pseudonymisering den foretrukne løsning for en aktør som Sundhedsdatastyrelsen.

Helt konkret foregår pseudonymisering ved, at dele af et datasæt erstattes med tilsyneladende tilfældige værdier, hvorved det bliver vanskeligere at knytte datasættet til den registreredes originale identitet. Pseudonymisering giver dog i højere grad end ved anonymisering mulighed for at udskille og sammenkoble enkeltpersoners identitet på tværs af forskellige datasæt. Denne egenskab er fx nødvendig i forbindelse med statistisk monitorering, hvor udvalgte indikatorer løbende monitoreres, og hvor det kan være vigtigt at kontakte en borger, hvis disse indikatorer et til stede i et datasæt.

Når der arbejdes med datasæt der indeholder personoplysninger, dikterer sikkerhedsbekendtgørelsens §19 følgende:

"Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år."

Dog uddybes det i sikkerhedsbekendtgørelsen §19 stk. 4 også:

"Bestemmelsen i stk. 1 finder endvidere ikke anvendelse, hvis behandlingen af personoplysningerne udelukkende sker med henblik på statistiske eller videnskabelige undersøgelser, og identifikationsoplysningerne forinden enten er krypteret eller erstattet med et kodenummer eller lignende. Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen."

Da man ved brug af pseudonymisering erstatter identifikationsoplysninger med ikke personhenførbare koder, bliver Sikkerhedsbekendtgørelsens §19 stk. 4 overholdt. Dermed giver pseudonymisering af datasæt mulighed for statistisk og forskningsrelateret arbejde med datasæt indeholdende personoplysninger i overensstemmelse med gældende lovgivning.

Det er dog vigtigt at fastslå at pseudonymiserede persondata, stadig skal behandles som persondata i forhold til persondataloven.



Vi løste opgaven

Kjeld Froberg

+45 3091 4773


Kjelds spidskompetencer ligger indenfor systemintegration og sikkerhed, med fokus på konformitet til gængse standarder.



Jan Riis

+45 2160 7252


Jan arbejder med opgaver inden for rådgivning i it-projekter, mentorrolle og sparring til større projektlederopgaver, teknisk støtte til projekter, standardisering og sikkerhed. Jan har stor erfaring med at få komplekse teknologier til at blive anvendelige i en praktisk hverdag.