eSağlık: Araştırma Veri Portalında ‘veri korumanın yetersiz anlaşılması’
Mayıs ayı ortasında, Alman Sağlık Araştırma Veri Portalı (FDPG) pilot faaliyete geçti: araştırmacılar, Alman üniversite tıbbından milyonlarca takma ad verilmiş sağlık verisi ve biyolojik numune talep edebilir. Portal, Federal Araştırma Bakanlığı (BMBF) tarafından finanse edilmektedir. Veri aktarımı için, federal ve eyalet hükümetlerinin veri koruma konferansı tarafından formüle edilen veri konularının “geniş rızası” yeterlidir. Amaçlar kesin olarak tanımlanmamış olsa bile, araştırma amaçlarıyla işlenmesine izin verirsiniz. Haberler için yapılan bir veri koruma denetimi ciddi eksiklikler ortaya koyuyor.
Merkezi veri portalı, çevrimiçi tıbbi araştırma için teknoloji ve yöntem platformu tarafından işletilmektedir, örn. V. (TMF). TMF bugüne kadar bir veri koruma etki değerlendirmesi hazırlamamıştır. TMF Haberler’ye çevrimiçi olarak, FDPG’de takma ad verme nedeniyle özellikle hassas veriler işlenmediğinden, bunun muhtemelen gerekli olmadığını söyledi. Ocak 2022’de kabul edilen veri koruma konsepti (PDF) kesinleşmemiştir. Örneğin, kullanıcı kimlik doğrulaması ve yetkilendirmesi veya biyolojik numunelerin sağlanması için hiçbir belirtim yoktur.
Konsept, denetçilere yalnızca Mart ayında sunuldu
TMF’den sorumlu Berlin veri koruma görevlisi, Haberler online’a arama veri portalının ve veri koruma konseptinin geliştirilmesinde yer almadığını bildirdi: “TMF operatörü ile herhangi bir doğrudan temasımız olmadı.” Bu nedenle, takma adlaştırma süreci veya veri koruma etki değerlendirmesi hakkında bir değerlendirme gerçekleştirememiştir. Yetkili makam, veri koruma konferansının “Görev Gücü Araştırma Verileri”nin, Federal Veri Koruma Komiseri ve ‘Hesse Veri Koruma Komiseri’nin başkanlık ettiği, altta yatan muvafakat beyanlarını daha ayrıntılı olarak ele aldığına dikkat çekiyor.
Bu iki yetkili, çevrimiçi olarak, TMF’nin talepleri üzerine FDPG’yi görev gücüne ilk olarak 2023 Mart ayının ortalarında sunduğunu açıkladı. FDPG hakkında ayrı bir görev gücü raporu yok. Veri koruma etki değerlendirmesi ihtiyacını incelememiştir. Bireysel devlet veri koruma görevlileri şu anda talep üzerine FDPG’ye katılan üniversite hastanelerinin veri merkezlerine danışmanlık yapmaktadır. Görev gücü burada bir irtibat noktası olarak görev yapacak.
Veri koruma konsepti kontrol altında
Sağlık Araştırmaları Veri Merkezi’nde sağlık verilerinin toplanmasına yönelik Society for Freedom Rights (GFF) davasında da bilirkişi olarak mahkeme huzuruna çıkan veri koruma uzmanı Rainer Rehak, Haberler için TMF’nin veri koruma verilerini inceledi. . Konsept bu nedenle sadece üç temel uygulama senaryosuna odaklanır. Buna fizibilite araştırmaları, dağıtılmış analizler ve veri aktarımı açısından verilerin kullanımı dahildir. Rehak, “Diğer pek çok senaryo burada dikkate alınmıyor,” diyor. Veri aktarımı, hastalar için “çok yüksek riskler” ile ilişkilidir, burada tedavi sadece kısaca açıklanır, bu da konseptte bilgiye dayalı bir risk değerlendirmesinin mümkün olmadığı anlamına gelir.
Ayrıca, veri denetleyicilerinin bir veri koruma etki değerlendirmesi yapmasına izin vermelidir. Rehak, bunun “yalnızca genel ifadeler temelinde yapılamayacağını” eleştiriyor. Takma adlaştırmayla ilgili olarak, test uzmanı veri korumanın açıkça öncelik olduğunu söylüyor. Bu, “GDPR’nin 1. Maddesinin de çok net bir şekilde ifade ettiği gibi, hastaların temel haklarının korunmasının değil, verilerin korunmasının yanlış bir şekilde ön planda tutulduğu veri koruma anlayışının zayıf olduğunu” yansıtıyor.
Metodolojik olarak sorgulanabilir kiraz toplama
Kavram, Aşağı Saksonya eyaletinin veri koruma görevlilerinin koruma düzeyi kavramına atıfta bulunsa da, veri koruma konferansının diğer birçok operasyonel konsepti, örneğin veri korumadaki riskler, bunu yapmaz. Rainer Rehak şöyle diyor: “Muhtemelen yalnızca veri korumanın dar anlayışına girenler veya veri koruma politikası açısından uygun olanlar fark edilecektir.”
Rehak, “TMF tarafından veri koruma konseptinde açıklanan takma adlaştırmanın, yüksek bir risk durumunda yeterli olup olmadığı daha ayrıntılı olarak incelenmelidir” diyor. Takma adlaştırma, veri sahipleri için artık o kadar karmaşık ve riskli ki, takma adlaştırma süreci için kendi veri koruma etki değerlendirmelerini hazırlamak zorundalar. Durumun böyle olup olmadığı konseptten net değil. Konsept ise pek çok farklı teknik bilgiyi ve gereksinimi yalnızca sistematik olmayan bir şekilde listeler.
Hasta korumasına önem verilmiyor
Rehak ayrıca, işlemcinin kendisini analizin ve uygun önlemlerin merkezine birincil saldırgan olarak yerleştiren veri korumaya özel bir saldırgan modellemesi olmadığı için risk değerlendirmesi için yararlı olan çok az şey görüyor. Verilerin yalnızca bilgisayar korsanları tarafından kötüye kullanıldığından şüphelenmek yeterli değildir, ancak kötüye kullanım gibi olası dahili kötüye kullanımlar da dikkate alınmalıdır. Bu nedenle kavram, belirli veri koruma riskleri temelinde risk minimizasyonu için herhangi bir rehberlik sunmaz.
Ayrıca Rehak’a göre teknik ve organizasyonel önlemler yalnızca bilgi güvenliği açısından formüle edilmiştir. Ancak, bu sadece etkilenen kuruluşları korumak içindir, gerçekten etkilenenleri, hastaları değil. Veri koruma uzmanı Rehak, araştırma verileri portalı için TMF’nin veri koruma konseptinin “takma ad verme ve rıza yönetimiyle ilgili birçok ilgili bireysel bilgiye rağmen, metodoloji açısından zayıf bir şekilde formüle edildiği” sonucuna varıyor. Bu nedenle, “bu üç senaryo için kontrolörler için veri koruma etki değerlendirmelerinin uygulanmasına yönelik ilgili rehberlik sağlamak olan kendi formüle ettiği ana amacını” yerine getirememiştir.
(mak)
Haberin Sonu