Az új koronavírus járvány robbanásszerű változást hozott a gyógyítás terén. Mindenki az online térbe kényszerült, ami azonnal előtérbe helyezte a szolgáltatások szabályozásának újragondolását is. Gyors intézkedésekre volt szükség, mert amennyiben az adatok nincsenek megfelelő módon titkosítva, könnyen elérhetők illetéktelenek számára, például a továbbításuk során, amíg úton vannak. Éppen ezért ma az egyik legégetőbb kérdés éppen az adatbiztonság általános gyakorlati megoldása, ami nemcsak a pácienseknek, de az orvosoknak is nagyon fontos. A világon mindenütt.
A betegség (COVID-19) meghatározza az emberek életét a világ minden táján, hiszen több mint 6,5 millió embert fertőzött meg egy eleddig teljesen ismeretlen vírus. De ez nem csupán az orvostudománynak és a döntéshozóknak okozott nagyon nagy kihívást, hanem adatkezelési szempontból is komoly fejtörést hozott. Hiszen az orvostudomány szempontjából talán még soha nem volt ennyire fontos a gyors és pontos információ a betegekről, ahogy ezeknek a védelme is. Hirtelen hódított teret az online orvoslás is, ami még inkább előtérbe helyzete ezt a kérdést.
Magyarország gyorsan reagált, a veszélyhelyzet kihirdetését követőhónapban tisztázta az online vizit és a távkonzultáció lehetőségét a közfinanszírozott alap- és szakellátásban, ezzel megteremtette a szükséges és elengedhetetlen jogi hátteret a telemedicinális szolgáltatások irányában. Ez különösen azért fontos, mert úgy tűnik, hogy már a fiatalok is egyre szívesebben figyelnek egészségükre okos eszközökkel, vagy kérnek így segítséget. Ők pedig még óvatlanabbak adatbiztonság tekintetében, mint szüleik vagy nagyszüleik.
A személyes adatok nagyon értékes eszközzé és egy új vagyonelemmé váltak, amelyek mindennapi életünk sok területét érintik. Hatalmas adatbázisok épültek és épülnek folyamatosan, amelyek óriási mennyiségű érzékeny felhasználói információt hordoznak. Ezek feldolgozása előnyöket kínálhat mind a felhasználók, mind a szolgáltatók számára. A felhasználóknak az adatok megosztásával például a szolgáltatások bizonyos kiegészítő funkcióit könnyítheti meg, így rendelőkeresés helymeghatározási javaslatokkal, ha a GPS-adatokat megosztják, vagy személyre szabhatja a táplálkozási tanácsadási szolgáltatást korábban rögzített étrendek alapján a felhasználói preferenciák szerint. A szolgáltatók, azaz az adatkezelők viszont vissza is élhetnek ezekkel. Egyrészt felhasználhatók elemzésre és ez alapján küldött célzott hirdetésre, az üzlet fellendítésére, mert megtudja, mely termékekre van leginkább szükség, amivel tudják alakítani a termelést és növelni az eladási számokat. Másrészről a személyes adatok azért is nagyon értékesek, mert eladhatók egy harmadik félnek. Számos vállalat, például a Facebook, bebizonyította, hogy ez értékes üzleti modell a kereséssel, évente sokmilliárdos dollárt képvisel. Illetve azzal, ha személyes adatokkal töltjük ki a kérdőíveket, azzal egy online adatbázisba kerülünk, amelyek illetéktelen kézbe kerülve szintén nagy haszonnal járnak a számukra. Ennek elkerülése különösen fontos az egészségügyben.
„Nálunk az EESZT a Digitális Önrendelkezéssel jól kezeli a titkosítást, és Magyarországon általában is rendelkezésre állnak a megfelelő titkosítási eljárások. Ami hiányzik, az a részletes szabályozás, az egyértelműn meghatározott folyamatok és az ’üzleti’ – alkalmazási – modell. Az is világos, hogy új társadalmi szerződésre van szükség a személyes adatok közös elemzéséhez és az egyéni előrejelzések elkészítéséhez. Egy új rendszer bevezetésekor mindig vannak nehézségek, azonban a tanulási folyamat támogatásán túl az új digitális alkalmazások folyamatos értékelésére azért is szükség van, mert nem szabad megfeledkeznünk a hippokratészi esküről és legfőképpen a ’ne árts’ alapelvéről. A telemedicina a technológiai háttere és az eltérő kapcsolattartási formái miatt is az egyenrangúságot erősítő készségeket és attitűdöt kívánja meg az egészségügyi dolgozóktól”—mondja Lantos Zoltán, egészségélmény szakértő.
Ugyanakkor továbbra is fontos marad, hogy a telemedicinával foglalkozó orvosok megfelelő szakmai tudással és tapasztalattal rendelkezzenek: a képzésre és továbbképzésre nagy hangsúlyt kell fektetni, hogy a betegbiztonság és a minőségi ellátás megmaradhasson. A gyűjthető információ mennyisége és minősége is megváltozik a digitális egészségügyi alkalmazások révén, amely újabb hozzáadott érték mind tudományos kutatás, mind az ellátás minőségének javítása szempontjából. Mindehhez a személyes adatok gyűjtése és az adatok feldolgozása nélkülözhetetlen, ugyanakkor a folyamat során tiszteletben kell tartani a felhasználók védelmét is. Ebbe beletartozik, többek között, hogy tudják, mely adatokat gyűjtik róluk, hogyan dolgozzák fel és ki veszi azokat igénybe. Négy évvel ezelőtt az Európai Unió az egészére kiterjedő általános adatvédelmi rendeletet alkotott (GDPR) az adatgyűjtés és az adatfeldolgozás teljes folyamatának jogi keretének meghatározására. Így a felhasználók magánéletének védelme érdekében meg kell határozni, hogy melyek az érzékeny adatok, például az egészségügyi adatok, amely feldolgozásához a beteg kifejezett hozzájárulása szükséges, mégpedig szabadon és tájékozott módon. A feldolgozó szervezetek, például kutatóintézetek és kórházak elszámoltathatók.
De nézzük meg ennek általánosabb megközelítését. Stefan Becher és munkatársai az Information című szaklapban megjelent Big Picture on Privacy Enhancing Technologies in e-Health című közleménye szerint a személyes adatok nyilvánossága és egyúttal védelme talán még sohasem került ennyire előtérbe, mint most. Hiszen ezek nagyban segítik a kutatómunkát, illetve a fertőzés elkerülését. Viszont különösen kiszolgáltatottá is tehetnek bárkit.
„Egyrészt a különböző alkalmazásokkal adataik bekerülnek a cyber térbe, amelyek elsősorban a fertőzési láncokat hivatottak követni, másrészt az online térben tartott orvosi konzultációk dokumentálása révén is. A személyes adatok gyűjtése és feldolgozása révén megvalósuló információszerzés nélkülözhetetlen, amely az egészségügyi alkalmazások hozzáadott értékét is adja, például az adatok tudományos kutatás céljából való felhasználása esetén. Ugyanakkor a folyamat során tiszteletben kell tartani a felhasználók személyes jogait is. Ebbe beletartozik, többek között, hogy tudják, mely adatokat gyűjtik, hogyan dolgozzák fel és ki használja azokat. 2018 májusában az EU egészére kiterjedő általános adatvédelmi rendeletlépett hatályba, a már közismert GDPR-t. A beteg hozzájárulása ma már törvényi követelmény és az is, hogy a szabadon és tájékozott módon történjen, amely elengedhetetlen a ő számára. Az COVID-19 kontakt alkalmazások elemzik az okostelefon felhasználók névjegyeit Bluetooth-on keresztül, és figyelmeztetik őket, ha kapcsolatba kerültek fertőzött személyekkel. Ekkor a még nem tesztelt felhasználó fertőzött is lehet, így meg kell vizsgálni. A kezelt COVID-19 betegek orvosi nyilvántartásainak elemzése hozzájárulhat a jövőbeli megelőzési és kezelési megoldásokhoz, valamint potenciálisan felgyorsíthatja a vakcina előállításának folyamatát. Ezért minden adat fontos, és a lehető legjobb eredményeket lehet elérni, ha minden nemzet együtt dolgozik a megosztott adatbázissal—fogalmaznak a cikk szerzői, akik hangsúlyozzák: a személyes adatok felhasználásával járó előnyökön kívül viszont számos hátránya is lehet adatvédelmi szempontból. Így nagyon fontos egyensúlyt teremteni a személyes védelem és az adatok hasznos felhasználása között.
„Az adatgyűjtés és -átadás folyamata átláthatóan automatizálható, és így ellenőrizhetővé válik. Az adatvédelmi előírások használatával biztosítható, hogy a személyes adatokat névtelenné tegyék megfelelő formában, és így nem lehetséges az egyes emberek azonosítása. Az anonimizált adatok fontos alapot képezhet a tudomány és a kutatás számára, például statisztikák és előrejelzések készítéséhez. Ezen statisztikák segítségével előállítható a világjárvány teljes adatállománya. Példa erre a gyűjtésre és az adatok kombinálása sikerének Tajvan. Kína közelsége ellenére sikerült nagyon alacsonyan tartani a fertőzött személyek számát azzal, hogy összekapcsolták az utazási és betegség-adatokat egymással. A kutatók megnézték az azonosítási módszereket, ideértve az álnév, az anonimizálás és az adatvédelmi modelleket, azokkal a módszerekkel kombinálva, amelyek a hozzáférés ellenőrzését és a visszaélések hatékony megelőzését szolgálják, például törlik az érzékeny felhasználói adatokat”—írják a cikkben. Több adatvédelmi területen már foglalkoznak a GDPR jogi keretével, miközben megannyi funkciót kínálnak, amelyek átlátható környezetet teremtenek a felhasználók számára, amelyek alkalmazzák az adatvédelmi irányelveket. Ezt támogatják a szabályozott felhasználói felületek, amelyek személyre szabási lehetőségeket és adatvédelmet tartalmaznak. Ebben vannak preferenciák, néhány ígéretes megközelítés létezik már az úgynevezett ’preferált nyelvek’ kialakítására is.
„A preferált nyelvek többsége a meghatározott funkciókra összpontosít, például helymeghatározások, míg más szempontokat kihagynak. Annak ellenére azonban, hogy vannak közülük, amelyek figyelembe veszik a GDPR-t, azt találtuk, hogy egyikük sem kínál megfelelő megoldást. Bár vannak ígéretes megközelítések, de ezek többsége elavult, és így is van, ami nem veszi figyelembe a GDPR követelményeit. Ezen kívül az egyik fontos szempont, amelyet gyakran figyelmen kívül hagynak, az a szabványosítás. A preferált nyelvek jelenlegi megközelítései mindig az egyedüli esetekre koncentrálnak. Tekintettel azonban arra, hogy már széleskörűen van szükség adatvédelmi nyelvre, és vannak valódi alkalmazásokban is használhatók, intézkedéseket kell hozni, amelyek lehetővé teszik a preferenciák és a (potenciálisan összeegyeztethetetlen) adatvédelmi irányelvek közötti egységességet”—fogalmaztak a szerzők, akik vizsgálták az adatok kereskedelmét is. „A C2C (magánszemélyek közötti értékesítés) környezettel kapcsolatban találtunk számos hiányosságot a kutatásban. A személyes adatok biztonságos kereskedelme érdekében megannyi megoldás javasolta folyamat technikai megvalósításában. Ebben az összefüggésben az adatvédelmi nyelvek fontolóra veszik az adatok tárolhatóságát, és lehetővé tehetik az adatok ellenértékeként megjelenő árakról az egyeztetés, miközben a személyes adatokat védik. Ezek a megoldások az adatpiaci technológiákra koncentrálnak, és lehetővé teszik a felhasználók számára, hogy osszák meg adataikat pénzért. Mivel a személyes felhasználói adatok megosztása vagy kereskedelme kritikus folyamat, vannak erre szigorú törvényi előírások. Egyrészt a GDPR a harmadik felet kötelezi, hogy dokumentálja, hogyan kezelik a felhasználói adatokat. Másrészt ezt biztosítják a szolgáltatási szintű megállapodások és a technikai és szervezeti intézkedések is, ezek közül viszont sok helyen komoly hiányosságokat találtunk”–derül ki az átfogó anyagból.
Kun J. Viktóra
2020.augusztus 31.