eSağlık: Araştırma verileri portalında “veri korumanın zayıf anlaşılması”
Mayıs ayı ortasında, Alman Sağlık Araştırma Veri Portalı (FDPG) pilot faaliyete geçti: araştırmacılar, Alman üniversite tıbbından milyonlarca takma ad verilmiş sağlık verisi ve biyoörnek talep edebilir. Portal, Federal Araştırma Bakanlığı (BMBF) tarafından finanse edilmektedir. Veri aktarımı için federal ve eyalet hükümetlerinin veri koruma konferansı tarafından formüle edilen veri konularının “geniş rızası” yeterlidir. Amaçlar kesin olarak tanımlanmamış olsa bile, araştırma amaçları için işlemeye izin veriyorsunuz. Haberler online için yapılan bir veri koruma denetimi ciddi eksiklikler ortaya koyuyor.
Merkezi veri portalı, Ağa Bağlı Tıbbi Araştırma için Teknoloji ve Yöntemler Platformu e. V. (TMF). TMF bugüne kadar bir veri koruma etki değerlendirmesi hazırlamamıştır. İddiaya göre, TMF Haberler’ye çevrimiçi olarak bunun gerekli olmadığını, çünkü FDPG’de takma adlandırma nedeniyle özellikle hassas verilerin işlenmediğini söyledi. Ocak 2022’de kabul edilen veri koruma konsepti (PDF) kesinleşmedi. Örneğin, kullanıcıların kimlik doğrulaması ve yetkilendirmesi veya biyo-örneklerin sağlanması için hiçbir belirtim yoktur.
Konsept, denetim makamlarına yalnızca Mayıs ayında sunuldu.
TMF’den sorumlu Berlin veri koruma görevlisi Haberler’ye çevrimiçi olarak araştırma verileri portalının ve veri koruma konseptinin geliştirilmesinde yer almadığını bildirdi: “TMF operatörü ile doğrudan bir temasımız olmadı.” Bu nedenle, takma ad verme süreci veya veri koruma etki değerlendirmesi hakkında bir değerlendirme yapamamıştır. Yetkili, veri koruma konferansının “Görev Gücü Araştırma Verileri”nin, Federal Veri Koruma Komiseri ve Hessian Veri Koruma Komiseri tarafından yönetilen, temel rıza beyanlarını daha ayrıntılı olarak ele aldığına dikkat çekiyor.
Bu iki yetkili, istekleri üzerine TMF’nin FDPG’yi ilk kez 2023 Mart ayının ortalarında görev gücüne sunduğunu çevrimiçi olarak açıkladı. Görev gücü tarafından FDPG hakkında ayrı bir rapor yok. Veri koruma etki değerlendirmesinin gerekliliğini incelememiştir. Bireysel devlet veri koruma görevlileri şu anda talep üzerine FDPG’ye katılan üniversite hastanelerinin veri merkezlerine danışmanlık yapmaktadır. Görev gücü burada bir irtibat noktası olarak görev yapacak.
Veri koruma konsepti kontrol altında
Özgürlük Hakları Derneği’nin (GFF) Sağlık Araştırmaları Veri Merkezi’nde sağlık verilerinin toplanmasına karşı açtığı davada da bilirkişi olarak mahkeme huzuruna çıkan veri koruma uzmanı Rainer Rehak, veri koruma kavramına göz attı. Haberler online için TMF. Bu nedenle konsept yalnızca üç temel uygulama senaryosuna odaklanır. Buna fizibilite sorgulamaları, dağıtılmış analizler ve veri aktarımı açısından verilerin kullanımı dahildir. Rehak, “Diğer birçok senaryo burada dikkate alınmıyor” diyor. Verilerin aktarımı hastalar için “çok büyük riskler” ile ilişkilendirilir, burada işleme sadece kısaca açıklanır, bu da kavramdaki bilgilere dayalı bir risk değerlendirmesinin mümkün olmadığı anlamına gelir.
Ayrıca, sorumlu veri işleyicilerin bir veri koruma etki değerlendirmesi yürütmesini sağlamalıdır. Rehak, bunun “yalnızca genel ifadeler temelinde gerçekleştirilemeyeceğini” eleştiriyor. Takma adlaştırmayla ilgili olarak, test uzmanı veri korumanın açıkça öncelik olduğunu belirtir. Bu, “GDPR 1. Maddesinin de çok net bir şekilde ifade ettiği gibi, hastaların temel haklarının korunmasının değil, verilerin korunmasının yanlış bir şekilde ön planda tutulduğu, zayıf bir veri koruma anlayışını” yansıtıyor.
Metodolojik olarak sorgulanabilir kiraz toplama
Konsept, Aşağı Saksonya eyaleti veri koruma görevlilerinin koruma seviyesi konseptine atıfta bulunsa da, veri koruma konferansının diğer birçok operasyonel konsepti, örneğin veri korumadaki riskler, bunu yapmaz. Rainer Rehak şöyle diyor: “Muhtemelen yalnızca dar veri koruma anlayışına uyan veya veri koruma politikası açısından uygun olan şeyler not edilecektir.”
Rehak, “TMF tarafından veri koruma konseptinde açıklanan takma adlaştırmanın yüksek bir risk durumunda yeterli olup olmadığı daha derinlemesine incelenmelidir” diyor. Takma adlaştırma, bundan etkilenenler için artık o kadar karmaşık ve riskli ki, takma adlaştırma süreci için kendi veri koruma etki değerlendirmelerini hazırlamak zorundalar. Durumun böyle olup olmadığı konseptten net değil. Konsept ise pek çok farklı teknik bilgiyi ve gereksinimi yalnızca sistematik olmayan bir şekilde listeler.
Hasta korumasına odaklanma yok
Rehak ayrıca, işlemcinin kendisini analizin ve uygun önlemlerin merkezine ana saldırgan olarak yerleştiren veri korumaya özel bir saldırgan modellemesi olmadığı için risk değerlendirmesi için yararlı olan çok az şey görüyor. Verilerin yalnızca bilgisayar korsanları tarafından kötüye kullanıldığından şüphelenmek yeterli değildir, aynı zamanda kötüye kullanma gibi olası dahili kötüye kullanımlar da dikkate alınmalıdır. Bu nedenle kavram, belirli veri koruma risklerine dayalı olarak risk minimizasyonu için herhangi bir yönelim sunmaz.
Ayrıca Rehak’a göre teknik ve organizasyonel önlemler yalnızca bilgi güvenliği perspektifinden formüle edilmektedir. Ancak, bu sadece ilgili kuruluşları korumaya hizmet eder, gerçekten etkilenenleri, hastaları korumaz. Veri koruma uzmanı Rehak, araştırma verileri portalı için TMF’nin veri koruma konseptinin “takma ad verme ve rıza yönetimiyle ilgili birçok ilgili bireysel bilgiye rağmen, metodoloji açısından zayıf bir şekilde formüle edildiği” sonucuna varıyor. Bu nedenle, “kendi formüle ettiği ana amacını, yani bu üç senaryo için işleyiciler için veri koruma etki değerlendirmelerinin uygulanması için ilgili yönlendirmeyi sağlamayı” yerine getirememiştir.
(mak)
Haberin Sonu