hadicanim
Aktif Üye
EHDS’deki veri koruyucular: Merkezi veri depolamaya izin verilmez
Bir sağlık veri alanı (European Health Data Space, EHDS) için Avrupa planları çok ileri gidiyor, federal ve eyalet hükümetlerinin (DSK) veri koruma konferansını ortak bir bildiriyle eleştirdi. Planlanan düzenlemeler, etkilenenleri gerçekten korumak için yeterli değildi. Hatta bazı yerlerde DSK bunları kabul edilemez buluyor.
EHDS yönetmeliği şu anda Avrupa Parlamentosu’nda tartışılmaktadır. Mahremiyet savunucuları, planlanan kuralların “daha fazla veri odası için bir plan” görevi göreceğinin farkındalar. Alman gizlilik savunucularından gelen eleştiri biraz geç geldi, ancak kapsamlı.
AB Komisyonu’nun önerisi, araştırma için sağlık verilerinin, etkilenenlerin rızası olmadan iletilebileceğini öngörüyor. İtiraz hakkı yoktur. Bavyera eyaleti veri koruma görevlisi Thomas Petri buna erkenden dikkat çekti, ancak eleştirisi ancak şimdi diğer veri koruma görevlileri arasında bir ses bulmuş gibi görünüyor.
İnsanlara odaklan
Federal ve eyalet veri koruma görevlileri, yasama organına, bilimsel araştırmaya yönelik kamu yararı ile bilgisel olarak kendi kaderini tayin etme temel hakkı arasında “uygun bir denge kurmasını” hatırlatıyor. Araştırma için verilerin bu ikincil kullanımıyla, taslak yönetmelik “açıkça yetersiz kalıyor”. “Şimdiye kadar, taslak düzenlemeye göre, etkilenenlerin herhangi bir hakka sahip olup olmayacağı ve eğer öyleyse, ne ölçüde olması gerektiği net değil.” İnsan aslında “fark edilebilir bir şekilde ilgi odağı” olmalıdır.
Buna göre, etkilenenlerin “dahil olması” ve haklarını “basit” ve “ayrıntılı” olarak uygulayabilmesi gerekir: “Genel Veri Koruma Yönetmeliğinden etkilenenlerin hakları azaltılmamalıdır” diyor işleme devam ediyor kişisel verilerinin Veri işlemeden sorumlu olanlar, onları “kesin ve kolay anlaşılır” şekilde bilgilendirmek zorundadır. Etkilenenler için tüm iletim kanalları ve işleme süreçleri “şeffaf” olmalıdır.
Veri koruma konferansı ayrıca “yasal olarak açık düzenlemeleri” de kaçırıyor. İşlemenin kişisel verileri içerip içermediği ve buna ne ölçüde izin verildiği açık olmalıdır. Bu amaçla, düzenlemenin ne ölçüde, ne tür ve hangi amaçlarla yer alması gerektiğini belirtmesi gerekir.
Açık verilerin merkezi olarak birleştirilmesine izin verilmez
Veri koruma konferansı, AB Komisyonu’nun net verileri tek bir erişim noktasında merkezileştirme önerisini basitçe “kabul edilemez” olarak değerlendiriyor. Bu “yüksek riskler” doğurur. Veriler birleştirilmeden önce takma veya anonim hale getirilmelidir.
Gerekli teknik ve organizasyonel önlemler, Komisyon’un taslak düzenlemesinde ve Parlamento’nun mevcut taslak raporunda çok muğlak bir şekilde formüle edilmiştir: DSK, verilerin nasıl anonim hale getirilebileceğini eleştiriyor. Anonimleştirme yöntemlerine ve etkilerine ilişkin gerekliliklerin yasal olarak açık bir şekilde düzenlenmesi gerekmektedir.
Genel olarak “Tasarımla Veri Koruma” ve “Varsayılanla Veri Koruma” anlamındaki yöntemler kullanılmalıdır. Ayrıca, etkilenenler EHDS’deki elektronik sağlık verilerini dijital yönetim sistemleri aracılığıyla kontrol edebilmelidir. Bunların hiçbiri şu anda planlanmış değil.
Bu nedenle, veri korumacılar, veri minimizasyonu, veri doğruluğu, depolama sınırlaması, bütünlük ve gizlilik gibi ilkelerin ve GDPR’nin gereklilik ilkesinin güvence altına alınması gerektiğini açıkça ortaya koymaktadır. Bu aynı zamanda kolluk kuvvetlerine sağlıkla ilgili verilere herhangi bir erişim hakkı verilmediği anlamına da gelir. Bu nedenle, tahsis açıkça düzenlenmelidir.
Kan değerleri, genom verileri, sağlık verileri?
EHDS yönetmeliği, araştırma projeleri çerçevesinde bireysel sağlık ve toplum sağlığının geliştirilmesi için tüm elektronik sağlık verilerini sağlamayı amaçlamaktadır. Ancak burada hangi verilerin yer aldığı net değil. Bu nedenle veri korumacılar, en mahrem alana müdahale ettiği için genom verilerinin düzenlemeden tamamen çıkarılmasını önermektedir.
Sağlık uygulamalarından elde edilen veri setleri, özellikle buradaki bilgi kazanımı belirsiz kaldığından, kanunen kaydedilmemelidir. Sosyal, çevresel ve davranışsal sağlık belirleyicileri, yaşam tarzı, esenlik ve davranışsal veriler hakkındaki veriler de kritik öneme sahiptir. Yalnızca belirli amaçlar için işlenmesine izin verilmelidir.
Birincil Amaç ve İkincil Amaç
Sağlık verilerinin birincil amacı tedaviyi desteklemektir. Veri koruma konferansı, hasta egemenliğinin burada kısıtlanmaması gerektiğini belirtir. Etkilenenler “etkili kontrol seçeneklerine” ihtiyaç duyar ve aktif olarak katılabilmelidir. Tüm veri aktarımları hakkında bilgi sahibi olmanız ve onay verebilmeniz gerekir. Onay, klinik deneyler için geçerli olmaya devam etmelidir.
Verilerin ikincil kullanımına yönelik bir onay yoksa, veri sahiplerine bir devre dışı bırakma seçeneği sunulmalıdır. Bunun için dijital yönetim sistemleri kullanılmalıdır. Bu nedenle veri koruma konferansı, şu anda Avrupa Parlamentosu tarafından tartışılan devre dışı bırakmayı destekliyor – AB Komisyonu taslağında buna yer vermemişti. Veri koruma konferansı, bu verilerin kullanımının “her zaman genel çıkara hizmet etmesi” gerektiğini belirtir. Buna göre, kullanım başvuruları, amaçlanan amaca izin verilip verilmediğini ve bu amaç için istenen miktarda verinin gerekli olup olmadığını belirlemek için uygun şekilde kontrol edilmelidir.
güvenli sağlık sistemleri
Veri koruma yetkilileri, elektronik hasta dosyalarını işleyen sistemlerin faaliyete geçmeden önce bağımsız bir kuruluş tarafından onaylanması gerektiğini talep ediyor. Bu sözde elektronik sağlık kaydı sistemleri (EHR sistemleri), uçtan uca güvenli şifreleme sağlamalı ve anonimleştirme ve takma adlandırma bileşenleri içermelidir. Kimlik doğrulamaları yüksek güvenlik seviyesinde yapılmalıdır. Aynı zamanda, EHR sistemlerinin yönetimi “etkili ve ayrıntılı” olmalı ve mobil cihazları olmasa veya dijital konusunda özellikle bilgili olmasalar bile etkilenen herkes tarafından erişilebilir olmalıdır. Bu, kullanımı kolay ve engelsiz olması gerektiği anlamına gelir. Veri koruma görevlilerinin EHDS talepleri bu nedenle elektronik hasta dosyası ePA taleplerine benzer.
(mak)
Haberin Sonu