Λόγοι (της Ε.Ε.) και Αντίλογοι (της EDRi)
EU – European Union ή Commission
Είναι η Ευρωπαϊκή Ένωση (Ε.Ε.) η Κομισιόν
EHDS – European Health Data Space)
Είναι ένα προτεινόμενο από την Ε.Ε. σύστημα συγκέντρωσης όλων των πληροφοριών που βρίσκονται διεσπαρμένες και ασύνδετες στα κράτη-μέλη της Ε.Ε. και άπτονται θεμάτων Υγείας των ανθρώπων.
EDRi – European Digital Rights
Είναι μια ένωση μη κερδοσκοπικών οργανώσεων οργανισμών, εμπειρογνωμόνων, πολιτικών, ακαδημαϊκών και απλών υποστηρικτών. Υπερασπίζει τα δικαιώματα και τις ελευθερίες του ανθρώπου σε όλη την Ευρώπη απέναντι στις «σειρήνες» του ψηφιακού περιβάλλοντος (www.edri.org).
GDPR – General Data Protection Regulation
Είναι ο Γενικός Κανονισμός της Ε.Ε. 2016/679, για την Προστασία των Δεδομένων (ΓΚΠΔ)
Το EHDS
Τον Μάιο του 2022, η Ε.Ε. προέτεινε ένα νέο κανονισμό για τη δημιουργία ενός ενιαίου ευρωπαϊκού χώρου, δηλ. μιας βάσης δεδομένων υγείας, με την ονομασία EHDS (European Health Data Space). Ο νόμος επιχειρεί να βελτιώσει τους τρόπους με τους οποίους οι ευαίσθητες πληροφορίες υγείας των ανθρώπων διατίθενται για διάφορα είδη χρήσεων.
1. Συνοπτικό ιστορικό υγείας ασθενούς
Ηλεκτρονικά δεδομένα υγείας που περιλαμβάνουν σημαντικά κλινικά στοιχεία σχετικά με ταυτοποιημένο πρόσωπο και τα οποία είναι απαραίτητα για την παροχή ασφαλούς και αποτελεσματικής υγειονομικής περίθαλψης στο εν λόγω πρόσωπο. Οι ακόλουθες πληροφορίες αποτελούν μέρος του συνοπτικού ιστορικού υγείας ασθενούς:
- Προσωπικά στοιχεία
- Στοιχεία επικοινωνίας
- Πληροφορίες σχετικά με την ασφάλιση
- Αλλεργίες
- Ιατρικές προειδοποιήσεις
- Πληροφορίες εμβολιασμού/προφύλαξης, ενδεχομένως με τη μορφή κάρτας εμβολιασμού
- Τρέχοντα, επιλυμένα, λήξαντα ή ανενεργά προβλήματα
- Πληροφορίες υπό μορφή κειμένου σχετικά με το ιατρικό ιστορικό
- Ιατροτεχνολογικά προϊόντα και εμφυτεύματα
- Επεμβάσεις
- Λειτουργική κατάσταση
- Τρέχοντα και σχετικά φάρμακα που έχουν χορηγηθεί παλαιότερα
- Παρατηρήσεις κοινωνικού ιστορικού που σχετίζονται με την υγεία
- Ιστορικό εγκυμοσύνης
- Δεδομένα που παρασχέθηκαν από τον ασθενή
- Αποτελέσματα παρατήρησης σχετικά με την κατάσταση υγείας
- Σχέδιο περίθαλψης
- Πληροφορίες σχετικά με σπάνια νόσο, όπως λεπτομέρειες σχετικά με τον αντίκτυπο ή τα χαρακτηριστικά της νόσου
2. Ηλεκτρονικές συνταγές
Ηλεκτρονικά δεδομένα υγείας που συνιστούν συνταγή φαρμάκου όπως ορίζεται στο άρθρο 3 στοιχείο ια της οδηγίας 2011/24/ΕΕ.
3. Ηλεκτρονική χορήγηση
Πληροφορίες σχετικά με την προμήθεια φαρμάκου σε φυσικό πρόσωπο από φαρμακείο βάσει ηλεκτρονικής συνταγής.
4. Ιατρική απεικόνιση και ιατρική γνωμάτευση της απεικόνισης
Ηλεκτρονικά δεδομένα υγείας που σχετίζονται με τη χρήση ή παράγονται από τεχνολογίες που χρησιμοποιούνται για την παρακολούθηση του ανθρώπινου σώματος με σκοπό την πρόληψη, τη διάγνωση, την παρακολούθηση ή τη θεραπεία παθήσεων.
5. Εργαστηριακά αποτελέσματα
Ηλεκτρονικά δεδομένα υγείας που αντιπροσωπεύουν τα αποτελέσματα μελετών που πραγματοποιήθηκαν κυρίως μέσω in vitro διαγνωστικών μεθόδων, όπως κλινική βιοχημεία, αιματολογία, ιατρική μετάγγισης, μικροβιολογία, ανοσολογία και άλλες, συμπεριλαμβανομένων, κατά περίπτωση, εκθέσεων που υποστηρίζουν την ερμηνεία των αποτελεσμάτων.
6. Εξιτήρια αναφορά
Ηλεκτρονικά δεδομένα υγείας που σχετίζονται με επίσκεψη υγειονομικής περίθαλψης ή επεισόδιο περίθαλψης και περιλαμβάνουν βασικές πληροφορίες σχετικά με την εισαγωγή, τη θεραπεία και το εξιτήριο φυσικού προσώπου.
Το έγγραφο θέσεων της EDRi (European Digital Rights - Ευρωπαϊκά ψηφιακά δικαιώματα) παρέχει μια πρώτη περιγραφή του τρόπου με τον οποίο οι νομοθέτες του παρόντος κανονισμού θα πρέπει να τροποποιήσουν την πρόταση EHDS της Επιτροπής για να διασφαλίσουν ότι εξυπηρετεί ερευνητικούς σκοπούς, σεβόμενοι παράλληλα την εμπιστευτικότητα ασθενούς-γιατρού και προστατεύοντας την ιδιωτική ζωή των ανθρώπων.
Ορισμένες από τις προτεινόμενες περιπτώσεις χρήσης δεδομένων έχουν πολύ νόημα, όπως όταν ένας γιατρός στο εξωτερικό, π.χ. στο Βέλγιο μπορεί να έχει πρόσβαση στο ιατρικό ιστορικό ενός ασθενούς από μια θεραπεία πίσω στην χώρα του, π.χ. στην Ελλάδα. Ο προτεινόμενος κανονισμός το ονομάζει αυτό «πρωτογενή χρήση». Ωστόσο, άλλες προτεινόμενες χρήσεις μπορεί να είναι εξαιρετικά επικίνδυνες για την ιδιωτική ζωή και τα ιατρικά δεδομένα εκατομμυρίων ασθενών στην Ευρωπαϊκή Ένωση.
Προτάσεις/προβλέψεις της Ε.Ε. για την δημιουργία του EHDS και οι ενστάσεις της EDRi
1. Η πρόταση της Ε.Ε προς τα κράτη-μέλη για το EHDS: Οι γιατροί θα παραδώσουν τα δεδομένα υγείας των ανθρώπων
Με την πρόταση αυτή κάθε γιατρός και νοσοκομείο υποχρεούται να παραδώσει τα δεδομένα των ανθρώπων στις εθνικές αρχές των κρατών-μελών, οι οποίες μπορούν στη συνέχεια να τα διαβιβάσουν σε οποιονδήποτε μπορεί να διεκδικήσει ερευνητικό ενδιαφέρον, είτε πρόκειται για πανεπιστήμια, είτε για φαρμακευτικές εταιρείες είτε ακόμα και για μεγάλες εταιρείες τεχνολογίας που θέλουν να εκπαιδεύσουν/τροφοδοτήσουν το τελευταίο μοντέλο τεχνητής νοημοσύνης με αυτά τα δεδομένα.
Η ένσταση της EDRi επί της προτάσεως
«Η πρόταση EHDS θα καθιστούσε τους γιατρούς και άλλους επαγγελματίες υγείας συνένοχους στην αναγκαστική εμπορευματοποίηση και νομισματοποίηση (οικονομική εκμετάλλευση) κάθε πτυχής της υγείας μας χωρίς ποτέ να ζητήσουν τη συγκατάθεσή μας. Θα σαμποτάρει εντελώς την εμπιστευτικότητα γιατρού-ασθενούς και τις εύλογες προσδοκίες ιδιωτικότητας που έχουν οι κάτοικοι της ΕΕ όταν εμπιστεύονται τον γιατρό τους» (1).
Ο κλάδος της τεχνολογίας περιμένει πως και πως μια ευκαιρία για να πάρει στα χέρια του τα δεδομένα υγείας των Ευρωπαίων. Η Apple έχει ήδη μια εκτεταμένη προσφορά ψηφιακής υγείας και, το 2020, η Google πλήρωσε πάνω από 2 δισεκατομμύρια δολάρια Η.Π.Α. για να αποκτήσει τον κατασκευαστή συσκευών υγείας Fitbit (2) σε μια προσπάθεια να εισέλθει στην αγορά δεδομένων υγείας (3).
Αυτό καταδεικνύει την τεράστια αξία που έχουν τα δεδομένα υγείας και γιατί δεν πρέπει ποτέ να μοιράζονται σε τρίτους χωρίς συγκατάθεση.
2. Η πρόταση της Ε.Ε προς τα κράτη-μέλη για το EHDS: Να καταστεί ο ευρωπαϊκός χώρος δεδομένων υγείας αρωγός στην υπηρεσία των ασθενών και της έρευνας.
Η ένσταση της EDRi επί της προτάσεως
Η EDRi επικροτεί την πρόταση για έναν ευρωπαϊκό χώρο δεδομένων υγείας (EHDS) και την πρόθεση της επιτροπής να προβλέψει κοινούς κανόνες και διαλειτουργικά πρότυπα δεδομένων που διευκολύνουν την ανταλλαγή δεδομένων υγείας όταν γίνεται προς το ιατρικό συμφέρον των ασθενών.
Ωστόσο, η πρόταση EHDS εισάγει μια σειρά εξαιρετικά προβληματικών νέων κανόνων που θα σαμποτάρουν πλήρως την εμπιστευτικότητα ιατρού-ασθενούς και τις εύλογες προσδοκίες προστασίας της ιδιωτικής ζωής που έχουν οι πολίτες της ΕΕ όταν εμπιστεύονται τον γιατρό τους.
Η πρόταση της Ευρωπαϊκής Επιτροπής θα καθιστούσε τους γιατρούς και άλλους επαγγελματίες του τομέα της υγείας συνένοχους στην αναγκαστική εμπορευματοποίηση και νομισματοποίηση κάθε πτυχής της υγείας των ανθρώπων χωρίς ποτέ να ζητήσουν τη συγκατάθεσή τους. Δεν είναι τυχαίο ότι ένας πολύ παρόμοιος νόμος στη Γερμανία αμφισβητείται επί του παρόντος ενώπιον του συνταγματικού δικαστηρίου της χώρας (4).
Αναπόφευκτα τίθενται ερωτήματα όπως «Είναι ιδιωτικοί φορείς η Google ή το Deep Mind (θυγατρική της Google), που διεξάγουν έρευνα σε σχέση με τον τομέα της υγείας ή της περίθαλψης [...]; Θα μπορούσε το "Reality Lab" του Facebook ή το "Health Futures" της Microsoft ή το "AWS for Health" της Amazon να συμπεριληφθούν σε αυτές τις διατάξεις;» (5)
Ως εκ τούτου, είναι υψίστης σημασίας τα κράτη μέλη της ΕΕ και το Ευρωπαϊκό Κοινοβούλιο να καθορίσουν την πρόταση της Επιτροπής και να την ευθυγραμμίσουν με τη νομοθεσία περί προστασίας δεδομένων, τις καθιερωμένες αρχές και τα θεμελιώδη δικαιώματα.
3/Η πρόταση της Ε.Ε προς τα κράτη-μέλη για το EHDS: Απαίτηση της συγκατάθεσης του ασθενούς για την περαιτέρω ανταλλαγή δεδομένων υγείας
Η ένσταση της EDRi επί της προτάσεως
Η πρόταση EHDS αποτυγχάνει πλήρως να προστατεύσει τους ασθενείς όσον αφορά στην ανταλλαγή και τη χρήση των προσωπικών τους δεδομένων υγείας. Ενώ ισχυρίζεται ότι παρέχει στα άτομα μεγαλύτερο έλεγχο επί των προσωπικών τους πληροφοριών, η πρόταση EHDS στην πραγματικότητα κάνει το αντίθετο, με το να τους στερεί εντελώς αυτόν τον έλεγχο. Σύμφωνα με τους κανόνες που προτείνει η Επιτροπή, οι ασθενείς δεν θα έχουν λόγο στην ανταλλαγή και την εμπορική εκμετάλλευση των δεδομένων τους και δεν θα ενημερώνονται καν για το ποιος τα λαμβάνει.
«Ο σεβασμός της εμπιστευτικότητας των δεδομένων υγείας αποτελεί ζωτική αρχή στα νομικά συστήματα όλων των συμβαλλομένων μερών της [Ευρωπαϊκής] Σύμβασης [των Δικαιωμάτων του Ανθρώπου]. Είναι ζωτικής σημασίας όχι μόνο να γίνεται σεβαστή η αίσθηση της ιδιωτικής ζωής ενός ασθενούς, αλλά και να διατηρείται η εμπιστοσύνη του στο ιατρικό επάγγελμα και στις υπηρεσίες υγείας γενικότερα» (6).
Ως εκ τούτου, η πρόταση υπονομεύει κατάφωρα τις πλέον θεμελιώδεις αρχές της προστασίας της ιδιωτικής ζωής που θεσπίζει ο ΓΚΠΔ, δηλαδή, ότι η συλλογή και επεξεργασία δεδομένων υγείας απαιτεί τη συγκατάθεση του υποκειμένου των δεδομένων, με εξαίρεση τις στενά καθορισμένες περιστάσεις. Επιπλέον, το προτεινόμενο EHDS υπερισχύει, της από μακρού καθιερωμένης αρχής, της εμπιστευτικότητας ιατρού-ασθενούς.
Αντί να αναγνωρίζει και να διασφαλίζει την ειδική προστασία που παρέχεται στα δεδομένα υγείας από τον ΓΚΠΔ και την ανώτατη νομολογία των Ευρωπαϊκών Δικαστηρίων, προτείνει με το EHDS να υποχρεωθούν νομικά οι γιατροί και τα νοσοκομεία να προδώσουν αυτή την εμπιστευτικότητα και να μοιραστούν ευαίσθητες ιατρικές πληροφορίες με νέες κυβερνητικές υπηρεσίες σε κάθε κράτος μέλος της ΕΕ. Στη συνέχεια, οι εν λόγω υπηρεσίες θα θέτουν με τη σειρά τους τα δεδομένα αυτά στη διάθεση άγνωστων τρίτων, μεταξύ άλλων για εμπορική χρήση. Πουθενά το EHDS δεν προβλέπει να ερωτηθούν οι ασθενείς εάν συμφωνούν με τη χρήση των απολύτως προσωπικών ιατρικών δεδομένων τους με αυτόν τον τρόπο.
Ένα καθεστώς «opt-out» (εξαίρεσης), όπως προτείνεται στο σχέδιο έκθεσης των εισηγητών, δεν αποτελεί επαρκή λύση, διότι μεταθέτει αδικαιολόγητα το βάρος της γνώσης, της κατανόησης και της απόφασης στους ασθενείς, οι οποίοι θα υπόκεινται σε τέτοια αυτοεξαίρεση σε πιο ευάλωτες καταστάσεις ασθενειών και άλλων προβλημάτων υγείας. Αντ' αυτού, το βάρος της απόδειξης και η ευθύνη για την απόκτηση της εμπιστοσύνης των ασθενών πρέπει να βαρύνει τους χρήστες δεδομένων που επιθυμούν να έχουν πρόσβαση στα ευαίσθητα δεδομένα υγείας των ανθρώπων.
Οποιαδήποτε περαιτέρω ανταλλαγή δεδομένων υγείας με μέρη άλλα από τους παρόχους υγειονομικής περίθαλψης που συμμετέχουν στη θεραπεία ασθενών πρέπει να παραμείνει εθελοντική. Οποιαδήποτε υποχρέωση καταχώρισης τέτοιων εξαιρετικά ευαίσθητων δεδομένων σε ηλεκτρονικά μητρώα υγείας πρέπει να απαγορευθεί και να απορρίπτεται χωρίς δεύτερη επίκληση/απαίτηση.
4. Η πρόταση της Ε.Ε προς τα κράτη-μέλη για το EHDS: Περιορισμός του ορισμού των δεδομένων υγείας
Η ένσταση της EDRi επί της προτάσεως
Η πρόταση αυτή ορίζει τα «δεδομένα υγείας» ως ένα ευρύ φάσμα δεδομένων 15 κατηγοριών που υπερβαίνουν κατά πολύ τις πληροφορίες σχετικά με την υγεία ή την ιατρική περίθαλψη των ασθενών. Σύμφωνα με την προσπάθειά της να ενισχύσει την εμπορευματοποίηση των ιατρικών φακέλων των ανθρώπων, η πρόταση επεκτείνει τον ορισμό των «δεδομένων υγείας» σε προσωπικές πληροφορίες που σχετίζονται εξ αποστάσεως, όπως το ασφαλιστικό καθεστώς, το επαγγελματικό καθεστώς, την εκπαίδευση, τον τρόπο ζωής, την ευεξία και την συμπεριφορά.
Σύμφωνα με την αιτιολογική σκέψη 39, τα «δεδομένα υγείας» μπορεί ακόμη και να περιλαμβάνουν πληροφορίες σχετικά με την «κατανάλωση διαφόρων ουσιών, την έλλειψη στέγης, την ασφάλιση υγείας, το ελάχιστο εισόδημα, την επαγγελματική κατάσταση, τη συμπεριφορά» και ενθαρρύνουν τους χρήστες δεδομένων να «εμπλουτίζουν» (διάβαζε: εκτεταμένη κατάρτιση προφίλ χωρίς συγκατάθεση) τα δεδομένα με ευαίσθητες πληροφορίες από άλλες πηγές, όπως εφαρμογές ευεξίας ή φορητές συσκευές.
Τέτοιες ευρείες άδειες συνδυασμού δεδομένων είναι χρυσός για βιομηχανίες έντασης δεδομένων όπως η Big Tech για να κατακτήσουν και να κυριαρχήσουν στην αγορά υγειονομικής περίθαλψης και να το συνδυάσουν με την αυξανόμενη κυριαρχία τους στο λεγόμενο Διαδίκτυο των Πραγμάτων (wearables, έξυπνες οικιακές συσκευές, ψηφιακοί βοηθοί στο σπίτι, αισθητήρες, κ.τ.λ.).
Αυτός ο υπερβολικά εκτεταμένος ορισμός των ηλεκτρονικών δεδομένων υγείας συνοδεύεται από μια βασικά απεριόριστη διάταξη σχετικά με το ποιος μπορεί να ζητήσει πρόσβαση σε αυτά τα δεδομένα υγείας: δηλαδή «κάθε φυσικό ή νομικό πρόσωπο».
Είναι εύκολο να δούμε μια εταιρεία Big Tech να λαμβάνει άδεια δεδομένων για πρόσβαση σε δεδομένα από ασφαλιστικές εταιρείες, καθώς και εφαρμογές εκπαίδευσης και διαλογισμού, προκειμένου να αναπτύξει ένα εξατομικευμένο σύστημα συστάσεων για έναν «υγιεινό τρόπο ζωής». Με αυτόν τον τρόπο, η πρόταση EHDS όχι μόνο υπονομεύει τις εγγυήσεις προστασίας δεδομένων που παρέχονται στους πολίτες από τον ΓΚΠΔ, αλλά επιτρέπει επίσης στους ρυθμιστές πρόσβασης τεχνολογίας να παρακάμπτουν εύκολα τις υποχρεώσεις τους βάσει της Digital Markets Act (νόμος για τις ψηφιακές αγορές) που έχουν σχεδιαστεί ρητά για να αποτρέψουν τη χρήση μαζικών δεδομένων ως τρόπου κυριαρχίας σε νέες αγορές.
Να περιοριστεί, λοιπόν, ο ορισμός των «δεδομένων υγείας» σε ό,τι σχετίζεται άμεσα και αποκλειστικά με την υγεία και την ιατρική περίθαλψη. Άλλα δεδομένα σχετικά με την οικονομική, κοινωνική και επαγγελματική ζωή των ανθρώπων δεν πρέπει να ορίζονται ως δεδομένα υγείας.
5. Η πρόταση της Ε.Ε προς τα κράτη-μέλη για το EHDS: Κάντε τους επιτρεπόμενους σκοπούς για τη χρήση δεδομένων ακριβείς και νόμιμους
Η ένσταση της EDRi επί της προτάσεως
Ο κατάλογος των επιτρεπόμενων σκοπών της επεξεργασίας δεδομένων υγείας της πρότασης EHDS είναι υπερβολικά μακρύς και ασαφής. Για παράδειγμα, η Επιτροπή προτείνει οι κυβερνητικοί «φορείς πρόσβασης σε δεδομένα υγείας» να παρέχουν πρόσβαση σε τρίτους που κρίνουν κατάλληλους για τη διασφάλιση «υψηλών επιπέδων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή ιατροτεχνολογικών προϊόντων» (άρθρο 34, 1α),· για την «κατάρτιση, τη δοκιμή και την αξιολόγηση αλγορίθμων, μεταξύ άλλων σε ιατροτεχνολογικά προϊόντα, συστήματα τεχνητής νοημοσύνης και εφαρμογές ψηφιακής υγείας» (άρθρο 34 παράγραφος 1ζ)· ή ακόμη και μόνο σε κάθε είδους δημόσιες αρχές «για την εκτέλεση των καθηκόντων τους που ορίζονται στην εντολή τους» (άρθρο 34, 1β).
Αυτός ο απίστευτα ευρύς κατάλογος είναι ασυμβίβαστος με τη νομική απαίτηση του ΓΚΠΔ για περιορισμό του σκοπού για την επεξεργασία προσωπικών δεδομένων και δίνει στους φορείς πρόσβασης σε δεδομένα υγείας σχεδόν απεριόριστη διακριτική ευχέρεια να παρέχουν πρόσβαση στα δεδομένα υγείας των ανθρώπων χωρίς λογοδοσία ή προσφυγή για τους ασθενείς.
Ο κατάλογος απαγορευμένων σκοπών της πρότασης EHDS στο άρθρο 35 περιορίζεται λίγο πολύ σε περιπτώσεις χρήσης που συνεπάγονται άμεση βλάβη στους ασθενείς. Κάνει ελάχιστα για την προστασία των ανθρώπων από εμπορική ή άλλη κατάχρηση των ευαίσθητων δεδομένων υγείας τους. Φαίνεται ότι ο ίδιος ο σκοπός του κανονισμού είναι η δημιουργία μιας πανευρωπαϊκής αγοράς ευαίσθητων δεδομένων υγείας ενόψει της πλήρους εμπορευματοποίησης και χρηματικής αποτίμησης της υγείας των ανθρώπων από ιδιωτικούς φορείς (ασφαλιστικές εταιρείες, φαρμακευτική βιομηχανία, Big Tech και πολλούς άλλους) – αλλά χωρίς τη συγκατάθεση των ασθενών.
Επιπλέον, παραμένει ασαφές πώς να αντιμετωπιστούν οι σκοποί που δεν εμφανίζονται σε κανέναν από τους δύο καταλόγους. Θα ήταν θεωρητικά πολύ καλύτερο στην πρόταση για την σύσταση του EHDS να αφαιρεθεί παντελώς ο κατάλογος των απαγορευμένων σκοπών και αντ' αυτού να επιτραπεί μόνο για τους σκοπούς που αναφέρονται ρητά στο άρθρο 34.
Ο κατάλογος των επιτρεπόμενων σκοπών πρέπει να είναι πολύ πιο ακριβής και να περιορίζει την πρόσβαση σε δεδομένα σε μη εμπορικούς ακαδημαϊκούς ερευνητές για την παραγωγή μη ιδιόκτητης έρευνας που είναι προς το δημόσιο συμφέρον. Ο κατάλογος των απαγορευμένων σκοπών πρέπει να αφαιρεθεί για να αποφευχθούν ασυνέπειες.
6. Η πρόταση της Ε.Ε προς τα κράτη-μέλη για το EHDS: Η ασφάλεια των δεδομένων πρέπει να αποτελεί ύψιστη προτεραιότητα
Η ένσταση της EDRi επί της προτάσεως
Η αποθήκευση ευαίσθητων δεδομένων υγείας περισσότερων των 500 εκατομμυρίων πολιτών της ΕΕ σε κεντρικές δεξαμενές δεδομένων θα προσελκύσει τους πιο εξελιγμένους κυβερνοεγκληματίες. Η τεράστια ποσότητα και αξία αυτών των δεδομένων θα μετατρέψει τους φορείς πρόσβασης σε δεδομένα υγείας σε πρωταρχικούς στόχους για κακόβουλη πειρατεία από εγκληματίες και επιτιθέμενους εθνικών κρατών. Ήδη σήμερα, υπάρχουν τακτικά περιστατικά κλοπής και τυχαίας έκθεσης μεγάλου όγκου δεδομένων υγείας από νοσοκομεία, ιδιωτικές ασφαλιστικές εταιρείες και παρόχους εφαρμογών υγείας. Η εντολή συλλογής όλων αυτών των δεδομένων σε κεντρικές βάσεις δεδομένων θα καταστήσει την κατάσταση πολύ πιο επικίνδυνη.
Ως εκ τούτου, στο EHDS θα πρέπει να διευκρινίζεται ότι τα δεδομένα που ζητούνται για δευτερεύουσα χρήση διαβιβάζονται από τους κατόχους δεδομένων σε φορέα πρόσβασης σε δεδομένα υγείας μόνο «τη αιτήσει» και βάσει συγκεκριμένου ερευνητικού έργου εγκεκριμένου στον EHDS. Μια τέτοια προσέγγιση δίνει προτεραιότητα στην ασφάλεια και επιτρέπει στους φορείς πρόσβασης σε δεδομένα υγείας να εφαρμόζουν άμεσα διαδικασίες όπως η ελαχιστοποίηση των δεδομένων, η διαφορική ιδιωτικότητα και, κατά περίπτωση, η δημιουργία συνθετικών δεδομένων πριν από την έκθεσή τους σε κεντρική αποθήκευση δεδομένων. Μετά τον τερματισμό του ερευνητικού έργου, οι φορείς πρόσβασης θα πρέπει να υποχρεούνται να διαγράφουν τυχόν συναφή δεδομένα υγείας που εξακολουθούν να κατέχουν. Επιπλέον, τυχόν δεδομένα υγείας που αποθηκεύονται από φορείς πρόσβασης με τη συγκατάθεση των ασθενών πρέπει να συμμορφώνονται με τα υψηλότερα πρότυπα λειτουργικής και τεχνικής ασφάλειας, όπως αυτά ορίζεται από τον ΓΚΠΔ, την ντιρεκτίβα NIS-2 (7) και τους σχετικούς μηχανισμούς πιστοποίησης ασφαλείας.
Αυτό περιλαμβάνει κρυπτογράφηση και περιορισμούς στη μεταφορά δεδομένων υγείας εκτός της Ε.Ε. Η pseudonymisation (ψευδωνυμοποίηση) και η anonymisation (ανωνυμοποίηση) δεν αρκούν. Τα δεδομένα υγείας είναι τόσο συγκεκριμένα που η εκ νέου ταυτοποίηση μπορεί να είναι ασήμαντη (8). Συχνά, τα μέσα κοινωνικής δικτύωσης ή το οικονομικό ιστορικό ενός ατόμου, αμφότερα ευρέως διαθέσιμα στις σημερινές αγορές δεδομένων, επαρκούν για τον εντοπισμό ιατρικών συμβάντων που μπορούν εύκολα να οδηγήσουν στον επαναπροσδιορισμό υποτιθέμενων ψευδωνυμοποιημένων ή ακόμη και ανωνυμοποιημένων συνόλων δεδομένων. Επιπλέον, οι φορείς πρόσβασης και οι χρήστες δεδομένων για δευτερεύουσα χρήση θα πρέπει να φέρουν ευθύνη για κάθε ακούσια κλοπή, εκ νέου ταυτοποίηση ή έκθεση δεδομένων προσωπικού χαρακτήρα. Η EHDS θα πρέπει επίσης να προβλέπει χρηματική αποζημίωση για τους ασθενείς σε τέτοιες περιπτώσεις.
Το EHDS πρέπει να επιβάλλει αυστηρά πρότυπα ασφαλείας στους φορείς πρόσβασης σε δεδομένα υγείας και στους χρήστες δεδομένων για δευτερεύουσα χρήση. Θα πρέπει να περιλαμβάνει ένα σαφές καθεστώς ευθύνης που θα καθιστά τους εν λόγω φορείς υπόλογους για την κατάχρηση δεδομένων υγείας και θα περιορίζει τη μεταφορά δεδομένων εκτός της ΕΕ σύμφωνα με τις απαιτήσεις του ΓΚΠΔ.
Σημειώσεις
1. Jan Penfrat, Ανώτερος Σύμβουλος Πολιτικής, EDRi, www.edri.org. 3. Δείτε την επίσημη εφαρμογή Apple Health που συλλέγει τα πάντα, από τους καρδιακούς παλμούς σας έως τις συνήθειες ύπνου και τη λήψη φαρμάκων: https://www.apple.com/ios/health. 5. Δρ. Πέτρος Τερζής στο: "Συμβιβασμοί και Ασυμμετρίες στον Ευρωπαϊκό Χώρο Δεδομένων Υγείας", European Journal of Health Law Ευρωπαϊκό Περιοδικό του Δικαίου της Υγείας, 27 Οκτ. 2022
6. European Court of Human Rights in the case of I v Finland, Strasbourg, 17 July, Ευρωπαϊκό Δικαστήριο Ανθρωπίνων Δικαιωμάτων στην υπόθεση I κατά Φινλανδίας, Στρασβούργο, 17 Ιουλίου 2008.
https://hudoc.echr.coe.int/eng?i=001-87510 7. NIS-2 Directive. Την 16η Ιαν. 23 τέθηκε σε ισχύ η οδηγία (ΕΕ) 2022/2555 αντικαθιστώντας την οδηγία 2016/1148. Ο ENISA (Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια) θεωρεί ότι η NIS2:
- βελτιώνει την υφιστάμενη κατάσταση ασφάλειας στον κυβερνοχώρο σε ολόκληρη την ΕΕ με διάφορους τρόπους, δημιουργώντας την απαραίτητη δομή διαχείρισης κρίσεων στον κυβερνοχώρο (CyCLONe),
- αυξάνει το επίπεδο εναρμόνισης στις απαιτήσεις ασφαλείας και υποχρεώσεις υποβολής εκθέσεων,
- ενθαρρύνει τα κράτη- μέλη να εισαγάγουν νέους τομείς ενδιαφέροντος, όπως η αλυσίδα εφοδιασμού, η διαχείριση τρωτών σημείων, το βασικό διαδίκτυο και η κυβερνοϋγιεινή,
- προωθεί καινοτόμες ιδεες, όπως οι αξιολογήσεις από ομοτίμους, για την ενίσχυση της συνεργασίας και της ανταλλαγής γνώσεων μεταξύ των κρατών μελών,
- προωθεί καινοτόμες ιδεες, όπως οι αξιολογήσεις από ομοτίμους, για την ενίσχυση της συνεργασίας και της ανταλλαγής γνώσεων μεταξύ των κρατών μελών.
- καλύπτει μεγαλύτερο μέρος της οικονομίας και της κοινωνίας με τη συμπερίληψη περισσότερων τομέων, ώστε περισσότερες οντότητες υποχρεούνται να λάβουν μέτρα προκειμένου να αυξήσουν το επίπεδο κυβερνοασφάλειάς τους.
8. Dominique Schröder: "Expert Opinion on the Protection of Medical Data", 25 Απριλίου 2022, Έδρα Εφαρμοσμένης Κρυπτογραφίας, Πανεπιστήμιο Erlangen-Nuremberg,
25 Απρ. 2023
Κων-νος Παπανικολάου
.............Ιατρικές προειδοποιήσεις
ΑπάντησηΔιαγραφήΠληροφορίες εμβολιασμού/προφύλαξης, ενδεχομένως με τη μορφή κάρτας εμβολιασμού......
ΕΔΩ ΕΙΝΑΙ ΤΟ ΖΟΥΜΙ !
ΜΕΣΑ ΑΠΟ ΤΑ '' ΚΑΛΑ '' ΤΣΟΥΠ Κ ΤΑ ΥΠΟΠΤΑ .
ΚΑΙ ΑΥΤΟ ΜΑΣ ΕΔΩΣΑΝ ΤΟ ΔΙΚΑΙΩΜΑ ΝΑ ΤΟ ΣΚΕΦΤΟΜΑΣΤΕ ΜΕ ΟΛΗ ΑΥΤΗΝ ΤΗΝ ΠΑΡΩΔΙΑ ΤΟΥ ΚΟΒΙΤ .