GDPR kan bremse innovationen på sundhedsområdet

Krav om “udtrykkeligt samtykke” fra patienterne, før deres sundhedsoplysninger kan blive brugt til forskningsformål, gør processerne besværlige og mindre effektive, siger eksperterne

Spørgsmålet om, hvorvidt patienterne skal give deres “udtrykkelige samtykke”, før deres sundhedsoplysninger må anvendes til forskningsformål, skabte heftig debat under forhandlingerne om EU’s generelle forordning om databeskyttelse (GDPR). Kræftforskere lobbyede for, at begrænset adgang til milliarder af terabytes af data ville hæmme forskningen i denne big data-æra. De tabte imidlertid diskussionen til fortalerne for øget privatliv. Når GDPR træder i kraft den 25. maj, vil udtrykkeligt samtykke være krævet, hvad angår “helbredsoplysninger”, “genetiske data” og “biometriske data”.

Beslutningen henrykkede nogle, men gjorde andre rasende. En fremtrædende tilhænger var Valentina Bottarelli, der er public affairs director hos EURORDIS, som repræsenterer patienter med sjældne sygdomme. Hun udtrykte sit synspunkt således: “Patienterne ejer oplysningerne, og de skal informeres og bedes om samtykke.” Der var dog højt profilerede modstandere, herunder Vytenis Andriukaitis, der er EU-kommissær for sundhed og fødevaresikkerhed. I et følelsesmæssigt udbrud sagde Andriukaitis: “Tror du, at en person, hvis barn er ved at dø af kræft, bekymrer sig om databeskyttelse? Selvfølgelig er det vigtigt. Men folk bruger det tit som en undskyldning, når de ikke ønsker at gøre noget.”

Professor Subhajit Basu fra Leeds University studerede problemstillingerne i dybden i forbindelse med en bog om privatlivets fred og sundhedsoplysninger. Selvom han har masser af sympati for Bottarellis principielle pointe, tager han Andriukaitis’ parti. Efter at have studeret EU’s sundhedssystemer, især det britiske, konkluderede professor Basu, at den eneste måde at løse finansieringskrisen på er udnyttelsen af teknologiske fremskridt, hvilket fordrer adgang til patientoplysninger.

“Der er nødt til at være mere fokus på individuelle behov i behandlingerne, og analyse af ​​big data gør, at maskinindlæring, dvs. kunstig intelligens (AI), kan hjælpe os med at udvikle mere individualiseret medicin. GDPR vil gøre innovationen på sundhedsområdet mere besværlig i Europa, eftersom mange mennesker ikke vil give deres samtykke. Det vil også betyde mere personale til indhentelse af samtykke, hvilket vil gøre det dyrere. Vi har allerede strengere databeskyttelseslove end USA og Kina, der gør fremskridt med hensyn til at producere innovativ sundhedsteknologi. EU-retten er paternalistisk og præskriptiv, og dette er i endnu højere grad tilfældet efter GDPR,” sagde han.

Kroniske sygdomme

De nationale sundhedsvæsener i Europa står over for et hidtil uset økonomiske pres fra byrden af kroniske sygdomme, som vokser, i takt med at befolkningerne bliver ældre. Professor Basu siger, at analysen af big data ikke kun hjælper i forhold til forskning i behandlinger, men at den også forbedrer driftslogistikken. “Vi har ikke råd til at bygge kæmpestore hospitaler og tilføje flere og flere senge. Men vi kan bruge innovativ AI-teknologi til at administrere patienterne effektivt på hospitalet. Man kan sende folk hurtigere hjem, hvis man nøje overvåger, hvad der sker med deres sundhedsproblemer. Smartphoneapps kunne hjælpe lægerne med at multitaske. Så kunne de være hvor som helst på hospitalet, men stadig vide, hvad der foregik. Man kan forestille sig en fremtid, hvor læger og sygeplejersker sidder i et rum med forskellige skærme og overvåger adskillige patienter.”

 

Organisationerne vil være nødt til vide mere præcist, hvor oplysningerne opbevares

 

Til stor skuffelse for professor Basu strammede GDPR imidlertid kontrollen. En hvidbog fra den britiske regering forklarede, at “der må oprettes en aktiv proces, som kunne omfatte, at man afkrydser en rubrik under et besøg på et websted, at man vælger nogle tekniske indstillinger for informationssamfundstjenester eller en anden erklæring eller adfærd, der klart indikerer ... den registreredes accept af den påtænkte behandling af hans eller hendes personoplysninger”. Reglerne kræver også, at virksomhederne gennemfører en vurdering af konsekvenserne for privatlivets fred (Privacy Impact Assessment (PIA)) forud for behandlingen af ​​oplysningerne.

En yderligere konsekvens af lovgivningen er, at forskningsorganisationerne på sundhedsområdet vil være nødt til at vide mere præcist, hvor oplysningerne opbevares, hvordan de behandles, og om der er givet samtykke. Professor Basu siger, at dette kunne føre til modvilje mod at løbe risici. Truslen om bøder på op til 20 millioner euro – eller 4 % af virksomhedens globale årlige omsætning, hvis dette beløb er højere – vil nødvendiggøre en risikofri tilgang.

Google DeepMind

Farerne ved overnidkær kontrol af data var allerede tydelige, argumenterer han, i den sag, hvor London Royal Free Hospital ikke overholdt den britiske Data Protection Act, da det videregav personoplysninger om 1,6 millioner patienter til DeepMind, som er et Google-datterselskab baseret i London. Dataoverførslen blev brugt til at skabe sundhedsappen Streams, som er et advarsels-, diagnose- og opdagelsessystem til akutte nyreskader. Information Commissioner’s Office afgjorde i juli sidste år, at patienterne ikke var tilstrækkeligt informeret om, at deres data ville blive brugt som en del af testen.

Professor Basu siger, at GDPR-reglerne gør det endnu sværere for virksomheder som DeepMind at indsamle sådanne oplysninger. Han så gerne, at man erstattede “udtrykkeligt samtykke” med “stiltiende samtykke”. Patienterne vil stadig blive informeret om, at de kan melde fra. Selvom forkæmperne for privatlivets fred ville protestere, mener han, at det ville kunne gøres sikkert. “Vi har brug for et system, der er baseret på fuldstændig gennemsigtighed. Lægen eller sygeplejersken kan sige: ‘Vi indsamler disse oplysninger til denne medicinske forskning, men jeg kan forsikre dig, at vi aldrig vil dele dem med et forsikringsselskab eller en bilproducent, og at de aldrig vil blive brugt til direkte markedsføring. Du kan vende tilbage til mig når som helst og melde dig ud af processen’,” udtalte han.

I Europa kunne fordelene ved at udnytte big data på sundhedsområdet være betydelige på grund af den store mængde data, som overstiger mængden i USA, siger professor Basu. Det er dog ikke så ligetil at få adgang til dem, fordi de er spredt i forskellige sundhedssystemer, hvoraf de fleste er lænket af privatlivshensyn og teknologisk efterslæb. I erkendelse af problemet forpligtede et EU-direktiv fra 2011 blokken til at samarbejde om e-sundhed. Kommissionen og 16 EU-lande vil lancere en digitaltjenesteinfrastruktur for e-sundhed i år, hvilket vil gøre det muligt at udveksle e-recepter og resuméer af patientoplysninger på tværs af grænserne.

Eksperterne siger, at delingen af oplysningerne vil bidrage til overvindelsen af sjældne og komplicerede sygdomme. GDPR’s strengere regler vil dog begrænse den datamængde, der kan udveksles på tværs af grænserne.

IoT-enheder

En stor del af fremtidens sundhedsdata vil blive indsamlet fra Internet of Things-enheder. Disse udgør særlige farer, fordi cyberangrebene mod virksomheder bliver mere sofistikerede, og fordi datalækager fra selskaber som Yahoo har en direkte konsekvens for kunderne. Der findes imidlertid forskellige slags enheder. Det alvorligste hackerangreb ville omhandle en forbundet enhed med direkte betydning for en persons lægebehandling – ifølge Pål Kastnes, som er teknisk chef hos Nordic Semiconductor, der leverer Bluetooth-teknologi til halvdelen af ​​verdens forbundne enheder. “En usikker blodsukkermåler kunne overgive kontrollen over ​​en persons medicinske tilstand. I værste fald kan medicinsk udstyr med mangelfuld sikkerhed være livstruende,” sagde han.

 

55 % ville tillade, at ​​deres personlige sundhedsdata blev brugt til regulering af deres medicin

 

For meget vigtige sundhedsenheder er den bedste strategi at træffe beslutning om sikkerhedsniveauet i starten og derefter designe produktets funktioner. Hvis man designer funktionerne først, kan det være svært at tilpasse enhederne. “For stor ivrighed efter at skabe smarte funktioner kan føre til øget risiko for at efterlade sårbarheder i dit produkt,” sagde han.

Nordic Semiconductor påtager sig et stort ansvar for at gøre enhederne sikre. Pål Kastnes udtaler, at virksomheden leverer software til kryptering, herunder kommunikation uden for båndet for at beskytte mod “man in the middle”-kapringer. De to vigtigste faktorer, siger han, er at beskytte oplysningerne fra påvirkninger udefra og at sikre, at de kun ses af sundhedspersonale.

Der er opstået en ny datakilde i de senere år, eftersom millioner af mennesker nu bærer aktivitetsmålere såsom Fitbit-produkter, Apple Watch og Garmin-fitnessbånd. Kastnes siger, at disse fitnessenheder er blevet mere sofistikerede og nu registrerer relevante sundhedsoplysninger. Det britiske advokatfirma Osborne Clarke siger, at disse oplysninger kan vise sig værdifulde for forskere, og GDPR vil gøre adgangen til dem meget vanskeligere.

Advokatfirmaet har gennemført forskning, der viser, at 55 % ud af 4.000 mennesker glædeligt ville lade deres oplysninger, herunder puls, søvnmønstre og motionsprogrammer blive brugt til anbefalinger om medicin.

Ideen om databaseret sundhedspleje var særligt attraktiv for de 18-24-årige, og 68 % af dem sagde, at de gerne ville advares om eventuelle sundhedsmæssige problemer, mens 62 % også ville have det fint med at få anbefalet medicin af deres fitnessenhed eller sundhedsapp. “Intelligent brug af sundhedsdata er langt mere end blot kortlægning af puls og løbedistancer; det kan redde liv, hvis det tillades, at det bliver brugt korrekt. Desværre har den kommende lovgivning potentiale til at ødelægge potentialet ved denne teknologi, da den er alt for restriktiv,” siger Jon Fell, som er partner hos Osborne Clarke.

Vil du vide mere om GDPR, så klik her for gratis rådgivning.

Læs mere om Kyocera's løsninger til sundhedssektoren

Scroll to top