Sağlık verilerinin kullanımına ilişkin BfDI: Bazen temel BT güvenliği bile sağlanamıyor
“Sağlık verilerini kullanan araştırmalar, hastalıkların nedenleri, daha etkili tedaviler ve daha iyi tedavi seçenekleri hakkında yeni bilgiler sağlamaya yardımcı oluyor.” Bu, şu anda Veri Koruma ve Bilgi Edinme Özgürlüğünden sorumlu Federal Komisyon Üyesi Ulrich Kelber tarafından Cuma günü Bonn'da düzenlenen Tıbbi Veri Kullanılabilirliği ve Çeviri Merkezi'nin (ZMDT) açılış etkinliğinde doğrulandı. Kelber, konuşmasında BfDI olarak görev yaptığı dönemin zorluklarını gözden geçirdi. Ancak veri koruma yetkilisi, “hassas sağlık verilerinin uygunsuz kullanımının ciddi sonuçlara yol açabileceği” ve ayrımcılığa yer açabileceği için sağlık verilerinin özel bir korumaya ihtiyaç duyduğu konusunda uyardı.
Reklamcılık
Kelber, Genel Veri Koruma Yönetmeliğinin sağlık verilerinin kullanımına engel teşkil etmediğini ancak “bazı sunucuların minimum düzeyde bile güvenli olmadığını” açıkladı. Milyonlarca hasta verisine serbestçe erişilebilen randevu hizmeti Dubidoc, bunu bir kez daha kanıtladı. Kelber ayrıca Finlandiya'da yakın zamanda rapor edilen ve “insanlara bugüne kadar hâlâ şantaja maruz kalan” bir siber olaya değindi. Şu anda orada bir psikoterapi merkezine şantaj yaptığından şüphelenilen bir kişiye karşı bir dava sürüyor ve bu verilerin yayınlanmaması için ödemeler zaten yapılmış durumda.
Verileri güvenle paylaşın
Bu nedenlerden dolayı yeterli koruyucu önlemlerin alınması gerekmektedir. Vatandaşların makul düzeyde güvene sahip olduğu durumlarda, verileri gönüllü olarak paylaşma ve teknolojileri kullanma konusunda daha fazla motive olurlar. Bu nedenle Kelber'e göre veri koruması “sağlık verileriyle insan merkezli bilimsel araştırmalar için temel bir ön koşuldur.”
Kelber, veri korumanın kökeninin tıpta bile olduğunu sözlerine ekledi. 2000 yılı aşkın bir geçmişe sahip olan Hipokrat Yemini aslında ilk veri koruma beyanıdır. “Veri koruması […] Ama her zaman çok genel olarak bir engel olarak bahsediliyor. Çoğu durumda bu, örneğin farklı ülkelerdeki farklı veri koruma ilkeleri nedeniyle istisnalar dışında çok geneldir. Bu ülkedeki filozoflar ve doktorlar, veri koruma görevlilerinin sorumlu olduğu binlerce ölümden söz ediyor. Ancak veri koruma sorumlu değilse, çok az durumda veri kullanımını engelleyecektir. Aynı zamanda yazılım sağlayıcıları bazen en basit veri koruma standartlarını bile kabul etmeye hazır olmayabilir. Modası geçmiş ve güvencesiz teknoloji hâlâ kullanılıyor.
Bireysel çıkarların tartılması, genel yargıların çözüm olmaması
Kelber, “Yasal temeller en geç 40 yıl önce nüfus sayımı kararıyla atıldı” dedi. Fiziksel bütünlük hakkı da aynı maddelerden kaynaklanmaktadır. Temel haklar arasında çatışmalar ortaya çıkabilir. “Üstün hukuk” diye bir şey yoktur, her zaman bireysel çıkarların tartılması söz konusudur. Kapsamlı yargılamalar çözüm değildir. GDPR'nin kendisi, Madde 6 ve 89'da bile veri koruma dostudur.
Danışma Konseyi (SVR), 2021 yılında veri koruma ve elektronik hasta dosyalarına katılım modelinin eleştirildiği bir rapor yayınladı. Eski SVR başkanı Ferdinand Gerlach o zamanki rapor hakkında “Akıllı güvensizlik uygun koruyucu önlemlere yol açmalı; yardımı engellememeli, çünkü veriyi paylaşmak daha iyi iyileşme demektir” demişti. Ancak Kelber'e göre tüm sağlık verilerinin ikincil veri kullanımına sunulması söz konusu olamaz.
“Birbirimizle konuşmak iyi olurdu”
Kelber'e göre, eğer insanlar onlar hakkında değil de veri koruma denetleyici makamlarıyla konuşmuş olsaydı, rapordaki fiili hatalar önlenebilirdi. Tüm verilere tam ve koşulsuz erişim gibi talepler de Dünya Tabipler Birliği'nin Helsinki Deklarasyonu'na uygun değildir.
Ekim 2023'teki Küresel Gizlilik Asamblesi'nde – Çin gibi ülkeler hariç – sağlık verilerinin küresel kullanımına ilişkin bir makale yayınlandı. Kelber'e göre, Louisa Specht-Riemenschneider'in raporu gibi, diğer şeylerin yanı sıra, sağlık araştırmaları veri erişim yasası ve veri güveni yapıları için öneriler içeren çok sayıda önemli rapor da mevcut. Ya da daha önceki koalisyon anlaşmasında da yer alan, TMF'nin Sağlıkta Verimlilik Enstitüsü ile birlikte tıbbi kayıtların daha da geliştirilmesine ilişkin rapor. Veri koruma savunucularının çağrı yapmasından 20 yıl sonra, bir araştırma veri kanunu ve kayıt kanunu da nihayet yolda.
Güvenlik standartlarının ihmal edilmesi
Kelber, elektronik hasta dosyasına kıyasla kimlik doğrulama için güvenlik standartlarının düşürülmesini bir kez daha eleştirdi. Gematik, sağlık verilerinin çalınmasının ekonomik olarak ölçülemeyeceğini belirtti. eID'nin yayılımı daha da azaltılmazsa ve sağlık sigortası şirketleri nihayet PIN'leri serbest bırakırsa rahat kullanım mümkün olabilir.
Kelber, 18.000 eczanenin sigortalıların reçete verilerine yalnızca sigorta numarasıyla erişebilmesi mümkünken e-reçeteyi veto etti. Buna yanıt olarak Kelber'in veto hakkı geri çekildi; gelecekte Noch-BfDI'nın yalnızca eyleme geçirilmesi gerekecekti.
Kelber, gelecekte veri koruma görevlilerinin projelere daha erken dahil olmasını istiyor. Veri koruma görevlileri denetleme yükümlülüklerini yerine getirecek ve Avrupa Adalet Divanı ile Anayasa Mahkemesi de veri koruma görevlilerinin yanında yer alacak. Veri koruma görevlileri ayrıca Veri Koruma Konferansı'nın (DSK) bir parçası olarak gönüllü ve bağımsız olarak toplanır.
Kötü uygulanan yazılımlardan veri koruma sorumlu değildir
Kelber ayrıca, gelecekte dijital sağlık ve bakım uygulamalarına daha yüksek talepler getirileceğinden, örneğin Federal İlaç ve Tıbbi Cihazlar Enstitüsü için övgü dolu sözler de buldu. Bu, ürünler yayınlandıktan sonra BT güvenliğinin iyileştirilmesi gerekmesinden daha ucuzdur. Bununla birlikte, dijital projelerde kötü uygulama ve birlikte çalışabilirlik eksikliği nedeniyle veri korumanın defalarca suçlandığı gerçeğini eleştirdi; örneğin belge bazlı elektronik hasta dosyası işe yaramaz. Gelecekte Kelber and Co. veri korumayla ilgili önerilerde bulunmak istiyor ve bu konuda da yardım çalışmaları sürüyor.
(mack)
Haberin Sonu