Athugið þessi frétt er meira en 6 mánaða gömul.

Misnotkun á heilbrigðisupplýsingum vaxandi vandi

Mynd með færslu
 Mynd: Rúnar Snær Reynisson - RÚV
Hólmar Örn Finnsson persónuverndarfulltrúi embættis landlæknis segir æskilegt að fólk sé á verði gagnvart því hverngi farið er með heilbrigðisupplýsingar um það. Heilsuupplýsingar séu eftirsóttar af stórfyrirtækjum og hafa í vaxandi mæli verið misnotaðar. Rætt var við Hólmar í Mannlega þættinum á Rás 1.

Birtu upplýsingar um sálfræðimeðferð á netinu

Hólmar segir að gott dæmi um hvernig hægt er að misnota heilbrigðisupplýsingar átti sér stað nýlega þegar hakkarar brutust inn í sálfræðimeðferðarstöð í Finnlandi og náðu upplýsingum um 2.000 skjólstæðinga hennar. Þeir sendu þeim síðan skilaboð þar sem þeir hótuðu að birta upplýsingarnar á netinu ef þeir greiddu ekki 2.000 evrur. Sumir greiddu þeim og aðrir ekki og þeir sem ekki greiddu máttu þola að sjá upplýsingar um sálfræðimeðferð sína á netinu.  

Hægt að misnota upplýsingar úr snjallúrum

Heilsufarsupplýsingar eru líka vinsælar hjá stórum tölvufyrirtækjum eins og Google sem safnar gríðarlega miklum upplýsingum um fólk. Og það gera heilsuúrin líka. Þau safna upplýsingum um líkamlegt ástand þeirra sem þau nota. Hólmar segir að Google sé að reyna að kaupa Fit Bit sem er stór framleiðandi heilsuúra. Hægt sé að misnota þær upplýsingar sem eru í úrunum. „Ef þú ert að ferðast með þetta úr og lendir í slysi og ætlar að sækja bætur og kemur í tryggingafélag sem segir, nei, nei, við sjáum nú bara að þú svafst nú illa nóttina fyrir og hefur sennilega verið að neyta áfengis líka. Við sjáum það á mælingunum og tryggingin þín dekkar þetta ekki.“  

Upplýsingarnar í úrunum geta líka gert gagn t.d. var, í vor,  verið að þróa aðferð til að greina fjölgun COVID-19 tilfella á ákveðnum svæðum út frá gögnum frá  snjallúrum. Menn höfðu komist að því að fyrir hverja eina gráðu sem líkamshiti hækkaði jókst hvíldarpúls um 8,5 stig og með því að greina gögn frá fjölda slíkra snjallúra, sem fólk var með á sér, mátti sjá að eitthvað var að gerast. Þannig getur þetta verið gagnlegt, segir Hólmar en hin hliðin á þessu er ef þessar upplýsingar lenda á röngum stað og eru notaðar í illum tilgangi. 

Nettengdar heilbrigðisupplýsingar í hættu

Einnig sé vert að hafa í huga að varasamt er að tengja heilbrigiðisuppýsingar við netið því um leið opnast möguleikar á tölvuárásum og í versta falli geta slíkar árásir orðið lífshættulegar. Sýnt hafi verið fram á að hægt sé að hakka sig inn í t.d. gangráð ef hann er nettendur og slökkva á honum og þá sé líf sjúklings sem er með hann græddan í sig í hættu.  „Og nýlega kom upp í Þýskalandi mál sem er væntanlega fyrsta morðrannsóknin sem tengist beint því að einhver hakkaði sig inn í  tölvukerfi sjúkrahúss sem varð til þess að sjúklingur þar lést.“

Fyrsta morðmál vegna árásar hakkara

Lögreglan í Þýskalandi rannsakar lát konu, sem lá á háskólasjúkrahúsinu í Düsseldorf, sem mögulegt morð. Hakkarar brutust inn í sjúkraskrár sjúkrahússins og lokuðu þeim. Á sama tíma og árásin var gerð var verið að flytja konuna af sjúkrahúsinu á  annað sjúkrahús í nágrenninu þar sem hún átti að fara í aðgerð til að bjarga lífi hennar. Vegna tölvuárásarinnar var ekki hægt að komast inn í sjúkraskrárnar til að nálgast heilsufarsupplýsingar um hana og það varð til þess að hún lést. Þetta er í fyrsta sinn, svo vitað sé, sem lögregla rannsakar dauðsfall sem varð vegna árásar hakkara. Hakkararnir ætluðu að taka sjúkraskrárnar í gíslingu og krefjast lausnargjalds. Yfirleitt krefjast þeir hárra fjárhæða, oftast í gjaldmiðlinum bitcoin, í skiptum fyrir að opna sjúkraskrárnar eða gögnin, samkvæmt því sem breska ríkisútvarpið BBC greinir frá. Árásin í Düsseldorf var gerð 9. september og segir á síðu breska ríkisútvarpsins að árásum af þessu tagi hafi fjölgað verulega og að vitað sé um að minnsta kosti 12  á þessu ári. 

Heilbrigðisstarfsfólk sé meðvitað um hættuna

Hólmar segir að ef ekki er vel gætt að upplýsingaöryggi í lækningabúnaði geti afleiðingarnar verið alvarlegar. Mikilvægt sé að heilbrgiðisstarfsfólk og stofnanir séu meðvituð um þá hættu sem geti orðið þegar tekinn er í notkun búnaður sem tengist þeirra kerfum.   

Allir sem vilja stofna fyrirtæki í heilbrigðisþjónustu verði að sækja um leyfi til landlæknis og það á líka við um þá sem veita fjarheilbrigðisþjónustu. Þau fyrirtæki sem ætli að taka slíkt í notkun þurfi að sýna fram á að kerfið uppfylli vissar kröfur um öryggi upplýsinga, segir Hólmar.

En hvaða reglur gilda um smáforrit eins og sagt var frá nýlega í fréttum, sem sjúklingur getur hlaðið niður í síma sinn og læknirinn getur fylgst með líðan hans í gegnum það?  „Það gilda viss lög um sjúkraskrár þar sem kemur fram að það er skylda að skrá allt í sjúkraskrá  sem er nauðsynlegt vegna meðferðar viðkomandi sjúklings. Slík samskipti geta fallið undir þau lög líka.“ Einnig sé mikilvægt að sjúklingarnir séu auðkenndir á réttan hátt svo það sé alveg ljóst við hvaða sjúkling er verið að tala hverju sinni og að upplýsingarnar séu líka skráðar á réttan hátt í sjúkraskrá út frá því. 

Heilbrigðisstarfsólk á að skrá lágmarksupplýsingar

Fram kom í fréttum að stórir erlendir fjárfestar hafi keypt sig inn í íslenskt fyrirtæki sem hefur framleitt app sem læknar nota í samstarfi við sjúkrahús hér á landi. Fram kom í fréttinni að farið sé eftir reglugerðum um meðferð upplýsinga sem væru alltaf ópersónugreinanlegar og dulkóðaðar. 

„Hvernig getur þetta passað? Ja, það er svolítið erfitt að sjá það fyrir sér að maður geti veitt heilbrigðisþjónustu til einhvers sem þú veist ekki hver er án þess að nokkrar persónugreinanlegar upplýsingar komi þar fram. Maður veit ekki hvert markmiðið er með því. En svo er alltaf spurning hversu nálægt þú ert sjúklingnum. Er þetta heilbrigðisþjónusta sem slík sem er skilgreind í lögum eða er þetta önnur þjónusta, einhvers konar ráðgjöf tengd heilsunni, en ekki endilega heilbrigðisstarfsmenn eða slíkt.“ Stundum sé erfitt að átta sig á því nákvæmlega í hvaða tilgangi eigi að nota öppin.  „En maður áttar sig ekki alveg á hvernig er hægt að gera það á algerlega ópersónugreinanlegan hátt gagnvart sjúklingi eða lækni eða öðrum heilbrigðisstarfsmanni. Það er erfitt að sjá það fyrir sér.“  Einhverjar upplýsingar hljóti að vera þarna og minnir Hólmar á að heilbrigðisstarfsfólki beri skylda að skrá í sjúkraskrá lágmarksupplýsingar. „Þannig að hvernig þú veitir meðferð á ópersónugreinanlegan hátt, það er erfitt að sjá það fyrir sér.“ 

Allir skráðir í starfsleyfaskrá

Samkvæmt lögum þarf að tilkynna allan heilbrigðisrekstur til landlæknis og það á líka við um fjarheilbrigðisþjónustu og hefur landlæknir gefið út fyrirmæli sem gilda um þá sem veita slíka þjónustu. Landlæknir þarf að staðfesta hvort sá rekstur uppfyllir faglegar kröfur og önnur skilyrði í heilbrigðslöggjöfinni.  

Hólmar bendir fólki á að það geti gert ýmislegt til að gæta sín. Til dæmis sé hægt að fara á vef embættis landlæknis til að kanna hvort sá sem gerir sig út fyrir að vera heilbrigðisstarfsmaður sé það í raun og veru. Starfsleyfaskrá embættisins sé opin á netinu og þar má kanna hvort sá sem segist vera heilbrigðisstarfsmaður sé með leyfi fyrir starfseminni. 

Fleiri umsóknir um fjarheilbrigðisþjónustu

Umsóknum til landlæknis um leyfi til að veita fjarheilbrigðisþjónustu hefur fjölgað nokkuð. Hólmar segir að sum öppin sem eru í notkun séu ekki beint notuð til að veita meðferð heldur meira til stuðnings við sjúklinginn, t.d. til þess að hann geti haft betri gætur á eigin heilsu. Enn sé ekki komin alþjóðleg eða evrópsk vottun á þennan búnað eins og finna má á öðrum lækningavörum og tækjabúnaði á sjúkrahúsum. Og heldur ekki vottun á öppum sem heilbrigðisstarfsfólk notar. Hólmar segir að ennþá sé verið að ræða um hvernig eigi að skilgreina fyrirbærið fjarheilbrigðisþjónusta. Hjá Evrópusambandinu sé verið að undirbúa staðlaða vottun fyrir þessa þjónustu og hún komi til með að taka mið af persónuverndarlögunum. Hann vonar að þegar stimplar og vottanir verða komin á laggirnar verði hægt að velja öpp og annan hugbúnað sem fer rétt með upplýsingar.

Gott að vera gagnrýninn  

Hólmar bendir á að ef fólki er boðið smáforrit eða að vera í samband við heilbrigðisstarfsfólk í gegnum fjarheilbrigðisbúnað sé gott að vera gagnrýninn og spyrja hvort farið sé eftir persónuverndarlögum, hvar hægt sé að fá upplýsingar um hvaða upplýsingum er safnað, hvernig þær verða notaðar o.s.frv. Einnig sé gott að vita hvort upplýsingarnar teljist til sjúkraskrárupplýsinga því þá þarf að fara eftir lögum um þær. Einnig sé gott að vita hver sé tilgangurinn með appinu eða söfnun upplýsinganna og hvað sjúklingurinn fái út úr þessu. „Það er alltaf ákveðið hagsmunamat. Ég nota Facebook sjálfur þó ég viti alveg hvað þeir eru að gera en það er matið að maður fær mikið út úr þeim samskiptum sem þar eru og heldur tengslum við fólk sem maður annars vissi lítið af“. 

Gott sé að vera gagnrýninn því ekki sé víst að sá sem er að veita þjónustuna hafi mikið pælt í þessum málum. „Það eru mjög öflugir sölumenn þarna úti  sem koma ýmsu á og ef þetta er fjarheilbrigðisþjónusta gegnum myndbúnað eða slíkt þá er líka er allt í lagi að spyrja hvort viðkomandi hafi fengið leyfi til þess.“

 

 

 

 

 

 

Bergljót Baldursdóttir
Fréttastofa RÚV