Ochrona prywatności pacjentów w medycznych bazach danych i zbiorach zdjęć medycznych

Robert Bateman
13.05.2024

Dane dotyczące zdrowia są prawdopodobnie najbardziej wrażliwym rodzajem informacji. Brak ochrony prywatności pacjentów może prowadzić do oszustw, powodować poważne cierpienie, a nawet narażać życie na niebezpieczeństwo .

Jednak dane dotyczące zdrowia i obrazy medyczne odgrywają coraz większą rolę w leczeniu i badaniach. Bazy danych stają się coraz większe, a dane dotyczące zdrowia stają się coraz bardziej zróżnicowane. Potrzeba silnych zabezpieczeń i zabezpieczeń prywatności nigdy nie była bardziej istotna.

W artykule omówiono ramy prawne ochrony medycznych baz danych i zbiorów zdjęć medycznych, metody zapewnienia bezpieczeństwa danych dotyczących zdrowia oraz poważne konsekwencje braku ochrony prywatności pacjentów .

Wprowadzenie do kwestii prywatności pacjentów w medycznych bazach danych i zbiorach zdjęć medycznych

Opieka zdrowotna stawia pacjenta w centrum leczenia , dlatego istotne jest utrzymanie zaufania między pacjentami, lekarzami i instytucjami opieki zdrowotnej.

Od czasów starożytnych Greków lekarze zobowiązali się strzec „świętych tajemnic” swoich pacjentów w ramach przysięgi Hipokratesa. Jednak utrzymanie poufności informacji medycznych jest obecnie znacznie trudniejsze niż dwa tysiące lat temu.

Studium przypadku: Zdjęcia medyczne pacjenta chorego na raka wyciekły do Internetu

W lutym 2023 r. pracownicy Leigh Valley Health Network (LVHN) otrzymali wiadomość e-mail od grupy zajmującej się oprogramowaniem ransomware znanej jako BlackCat (lub ALPHV) o następującej treści:

„Mamy dane waszych klientów, czyli ich paszporty, dane osobowe, kwestionariusze, nagie zdjęcia i tym podobne.”

BlackCat zagroził opublikowaniem informacji w Internecie, jeśli LVHN nie zapłaci okupu. Podmiot świadczący opiekę zdrowotną odmówił zapłaty, a BlackCat zaczął ujawniać zdjęcia uzyskane podczas ataku, w tym zdjęcia nagich pacjentów od pasa w górę umożliwiające identyfikację .

O ataku usłyszała jedna z osób chorych na raka LVHN w mediach. Wysłała e-maile do lekarzy z pytaniem, czy dotyczy to jej dokumentacji medycznej. Ponad miesiąc później LVHN zadzwonił do pacjentki i powiedział jej, że jej „ nagie zdjęcia ”, na których widać zarówno twarz, jak i klatkę piersiową , zostały naruszone.

W ramach rekompensaty za incydent LVHN zaoferował pacjentowi przeprosiny i dwuletnie monitorowanie zdolności kredytowej. Co zrozumiałe, pacjent nie był usatysfakcjonowany reakcją lekarza.

Pacjentka toczy obecnie proces sądowy przeciwko LVHN, domagając się „rzeczywistego, wtórnego i nominalnego” odszkodowania – zarówno dla siebie, jak i dla „setek, jeśli nie tysięcy” innych osób dotkniętych naruszeniem .

Dlaczego naruszenia bezpieczeństwa danych medycznych są tak kosztowne?

IBM od 13 lat stwierdza, że naruszenia bezpieczeństwa danych zdrowotnych są najkosztowniejszymi naruszeniami bezpieczeństwa danych. Koszty naruszeń danych w opiece zdrowotnej wzrosły o 53,3% w latach 2020–2023, średnio ponad 11 milionów dolarów na incydent .

Dlaczego naruszenia bezpieczeństwa danych dotyczących zdrowia są tak kosztowne?

●      Opieka zdrowotna to branża ściśle regulowana , a organy regulacyjne mogą nakładać surowe kary. Nawet kraje o ogólnie słabych przepisach dotyczących prywatności ściśle chronią dokumentację medyczną.

●      Dane dotyczące zdrowia są złożone i obejmują wiele rodzajów informacji. Ta różnorodność i złożoność może sprawić, że naruszenia bezpieczeństwa danych zdrowotnych będą trudniejsze do wykrycia, zapobiegania i łagodzenia .

●      W przypadku wycieku historii medycznej ludzie mogą doświadczyć niepokoju, zawstydzenia i uszczerbku na reputacji . Ofiary naruszeń danych dotyczących zdrowia mają zatem znacznie większe szanse na wygranie sprawy w sądzie.

●      Naruszenie danych zdrowotnych może prowadzić do oszustw ubezpieczeniowych . W przypadku niewłaściwej alokacji zasobów lub niewłaściwego traktowania ludzi oszustwa mogą kosztować życie i pieniądze.

Obrazy medyczne , takie jak zdjęcia rentgenowskie, rezonans magnetyczny i slajdy patologiczne, są niezbędne w większości dokumentacji medycznej. Jak widzieliśmy w powyższej sprawie LVHN, szkody mogą być szczególnie poważne w przypadku naruszenia zdjęć medycznych.

Przepisy dotyczące prywatności i danych zdrowotnych pacjentów

Jak wspomniano, dokumentacja medyczna i zdjęcia medyczne podlegają szczególnie rygorystycznym zasadom. Oto niektóre wymagania prawne dotyczące danych medycznych w Europie i USA.

Europa

Dane osobowe ujawniające stan zdrowia danej osoby to rodzaj „ danych specjalnej kategorii ” zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) , które ma zastosowanie w Wielkiej Brytanii i całym Europejskim Obszarze Gospodarczym (EOG).

Oto, w jaki sposób niektóre zasady RODO dotyczące przetwarzania danych mogą mieć zastosowanie do informacji zdrowotnych:

●      Minimalizacja danych : przetwarzaj informacje zdrowotne tylko wtedy, gdy jest to konieczne do określonego celu. Jeśli to możliwe, usuń identyfikatory z dokumentacji medycznej. Jeśli na zdjęciu medycznym lub skanie pojawia się czyjaś twarz, zamaż ją, aby ukryć tożsamość tej osoby.

●      Ograniczenia przechowywania : Nie przechowuj informacji zdrowotnych „w formie umożliwiającej identyfikację” dłużej niż to konieczne. Usuń lub zanonimizuj dane dotyczące zdrowia, gdy tylko nie będą Ci już potrzebne (chyba że zgodnie z prawem masz obowiązek ich przechowywania przez określony czas).

●      Bezpieczeństwo : chroń informacje zdrowotne za pomocą „odpowiednich środków technicznych lub organizacyjnych”, takich jak ograniczanie dostępu do informacji medycznych lub zamazywanie identyfikatorów na zdjęciach medycznych.

Kilka krajów UE nałożyło swoje największe kary RODO na organizacje, które nie przestrzegały przepisów i zasad przetwarzania danych dotyczących zdrowia. Na przykład:

●      Chorwacja : 5,8 mln euro przyznane agencji windykacyjnej, która nie przedstawiła „podstawy prawnej” przetwarzania danych dotyczących zdrowia.

●      Portugalia : 4,3 mln euro wobec krajowej agencji statystycznej za nielegalne przekazywanie danych ze spisu ludności (w tym informacji zdrowotnych) do USA.

●      Holandia : 3,7 mln euro wobec organów podatkowych, częściowo z powodu przetwarzania danych dotyczących zdrowia bez podstawy prawnej.

Wszystkie te sprawy były złożone i obejmowały kilka naruszeń RODO, ale w każdym przypadku kara była surowsza, ponieważ naruszenia dotyczyły danych zdrowotnych.

Stany Zjednoczone

W USA podmioty świadczące opiekę zdrowotną i ich „wspólnicy biznesowi” podlegają przepisom ustawy o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) , która chroni „chronione informacje zdrowotne” (PHI) i elektroniczne PHI (ePHI).

HIPAA ściśle kontroluje sposób, w jaki podmioty świadczące opiekę zdrowotną przechowują i wykorzystują informacje zdrowotne . Prawo przewiduje luźniejsze zasady dotyczące „ ograniczonych zbiorów danych ”, z których usunięto takie informacje, jak nazwiska, identyfikatory biometryczne i „ zdjęcia całej twarzy ”.

Oto niektóre z najwyższych kar na mocy ustawy HIPAA :

●      Firma Anthem Inc. zapłaciła karę w wysokości 16 milionów dolarów zgodnie z ustawą HIPAA po tym, jak napastnicy ukradli dane medyczne prawie 80 milionów osób. Oprócz kary firma zawarła również pozew na kwotę 115 milionów dolarów.

●      Premera Blue Cross zapłaciła karę w wysokości 6,85 miliona dolarów po tym, jak włamanie spowodowało naruszenie PHI ponad 10 milionów osób. Ponownie firma zawarła odrębny pozew zbiorowy , tym razem na kwotę 74 milionów dolarów.

●      Rzecznik Opieki Zdrowotnej płatny 5,5 miliona dolarów po kradzieży czterech komputerów z biur firmy, co dotknęło ponad 4 miliony pacjentów.

Jednak ustawa HIPAA nie obejmuje wszystkich firm przetwarzających dane dotyczące zdrowia, dlatego poszczególne stany przyjęły przepisy dotyczące prywatności, aby wypełnić luki w ustawie HIPAA .

●      W ciągu ostatnich kilku lat około 16 stanów , w tym Kalifornia, Teksas i Waszyngton, przyjęło nowe przepisy dotyczące prywatności

●      Te nowe przepisy są inspirowane unijnym RODO i mają wpływ na przedsiębiorstwa z niemal każdej branży.

●      Prawie wszystkie te nowe przepisy klasyfikują informacje związane ze zdrowiem jako rodzaj „ danych wrażliwych ” i nakładają na firmy obowiązek wdrożenia „ rozsądnych środków bezpieczeństwa ”, aby zapewnić bezpieczeństwo takich danych.

Wykorzystanie medycznych baz danych i kolekcji zdjęć w służbie zdrowia

Dane medyczne mają niezliczone zastosowania, w tym:

●      Diagnoza

●      Planowanie leczenia

●      Badania

●      Edukacja

coraz częściej wykorzystywane do badań opartych na sztucznej inteligencji .

W listopadzie 2023 r. badacze z Imperial College w Londynie wykazali, jak model sztucznej inteligencji wytrenowany na „ ponad milionie obrazów z rzeczywistych programów badań przesiewowych” może pomóc w ulepszeniu wykrywania raka piersi.

Chociaż badania zdrowotne oparte na sztucznej inteligencji mogą przynieść znaczne korzyści, duże zbiory zdjęć medycznych mogą również stwarzać ogromne zagrożenia dla prywatności i bezpieczeństwa .

Kwestie bezpieczeństwa w medycznych bazach danych i zbiorach zdjęć medycznych

Badania stanu bezpieczeństwa obrazu medycznego przyniosły szokujące wnioski.

●      W 2019 r. badacze z Greenbone Networks odkryli, że zdjęcia 5 milionów pacjentów „ siedzą bez ochrony w Internecie ”.

●      Dalsze badanie przeprowadzone w 2020 r. wykazało ogromny wzrost liczby zdjęć z badań dostępnych w Internecie — ponad miliard zdjęć medycznych i dokumentacji pacjentów.

●      Dalsze dochodzenie prawie cztery lata później ujawniło, że problem nadal nie został rozwiązany .

Przyczyny takiego słabego krajobrazu bezpieczeństwa są złożone — setki podmiotów świadczących opiekę zdrowotną przechowują obrazy medyczne na tysiącach słabo zabezpieczonych serwerów .

Istnieje jednak inny sposób, aby zapewnić, że zdjęcia umożliwiające identyfikację nie dostaną się w niepowołane ręce — anonimizacja .

Anonimizacja danych medycznych i ochrona prywatności pacjentów

Jeżeli dane medyczne są rzeczywiście anonimowe , nie można na ich podstawie zidentyfikować pacjenta. Nawet jeśli anonimowe dane zostaną naruszone, nie będzie to miało wpływu na tajemnicę lekarską pacjenta.

Ale co sprawia, że dane medyczne są „anonimowe”?

Unijne standardy anonimizacji są szczególnie rygorystyczne . Organy regulacyjne ds. ochrony danych popierają następujący trzyczęściowy test, który pomaga zdecydować, czy dana część danych jest anonimowa.

●      Czy nadal można wyróżnić konkretną osobę?

●      Czy nadal możliwe jest powiązanie rekordów dotyczących konkretnej osoby?

●      wywnioskować informacje dotyczące konkretnej osoby?

generalizacji i randomizacji danych – jeśli są właściwie wykonane – mogą osiągnąć wysoki standard anonimizacji w zagregowanych zbiorach danych.

Oczywiście nie wszystkie dane medyczne mogą i powinny być anonimizowane . W większości przypadków dokumentacja medyczna musi być powiązana z konkretnym pacjentem.

jednak możliwa jest anonimizacja części dokumentacji medycznej i mimo to wykorzystanie danych zgodnie z ich przeznaczeniem, wymaga tego zasada minimalizacji danych .

Anonimowe zdjęcia medyczne

Chociaż zdjęcia medyczne mogą wymagać przechowywania w większej, umożliwiającej identyfikację dokumentacji medycznej, rzadko muszą one same zawierać informacje umożliwiające identyfikację .

Wcześniej przyjrzeliśmy się studium przypadku pacjentki z rakiem piersi, której zdjęcia medyczne wyciekły do Internetu. Ten incydent mógłby być znacznie mniej poważny, gdyby podmiot świadczący opiekę zdrowotną zamazał twarz pacjentki, tak aby nie można było jej zidentyfikować .

Zamazane twarze i inne identyfikatory mogą sprawić, że zdjęcie będzie anonimowe. Europejska Rada Ochrony Danych (EROD) stwierdza :

„....poprzez np. zamazanie zdjęcia bez możliwości odzyskania danych osobowych, które wcześniej zawierało zdjęcie, dane osobowe uznaje się za usunięte w rozumieniu RODO.

Innymi słowy: jeśli skutecznie zamażesz na zdjęciu medycznym wszystkie identyfikatory, to zdjęcie nie będzie już zawierało danych osobowych . Z punktu widzenia RODO zamazanie identyfikatorów na zdjęciach „usuwa” dane osobowe .

Zdjęcia fotograficzne całej twarzy zgodnie z ustawą HIPAA

W USA ustawa HIPAA obejmuje podobną zasadę. Prawo umożliwia podmiotom świadczącym opiekę zdrowotną oznaczanie informacji zdrowotnych „ nieumożliwiających indywidualnej identyfikacji ” poprzez usuwanie niektórych rodzajów danych z dokumentacji medycznej, w tym „ zdjęć fotograficznych całej twarzy ”.

W związku z tym zamazane twarze oznaczają, że zdjęcie może zostać wykorzystane do szerszej gamy celów – nawet bez zgody pacjenta (o ile zdjęcie nie jest powiązane z innymi informacjami, które mogłyby zidentyfikować pacjenta).

Nawet organizacje niepodlegające ustawie HIPAA powinny, jeśli to możliwe , anonimizować dane medyczne i zdjęcia .

Nowe stanowe przepisy dotyczące prywatności w USA, takie jak kalifornijska ustawa o ochronie prywatności konsumentów (CCPA) i ustawa o ochronie prywatności stanu Kolorado (CPA), wykluczają z tych zasad informacje pozbawione cech identyfikacyjnych i anonimowe . Może to obejmować zdjęcia medyczne, na których twarze osób są zamazane.

Ochrona danych biometrycznych i środki bezpieczeństwa zapewniające prywatność pacjentów

Zbadaliśmy, w jaki sposób zamazanie twarzy i inne identyfikatory zmieniają dane osobowe (obrazy możliwych do zidentyfikowania osób) w dane anonimowe.

nawet podczas procesu anonimizacji należy uwzględnić kwestie prywatności .

Narzędzia biometryczne vs Gallio PRO

Świadczeniodawcy i inne organizacje są bezpośrednio odpowiedzialne za wszelkie używane przez siebie oprogramowanie stron trzecich i muszą zachować ostrożność przy wyborze dostawcy.

Niektóre programy do anonimizacji wykorzystują identyfikację biometryczną do analizy twarzy osoby i wykrycia, kiedy ta osoba pojawia się na zdjęciu. Dane biometryczne wykorzystywane do celów identyfikacyjnych stanowią „dane kategorii specjalnej” w rozumieniu RODO i „dane wrażliwe” w rozumieniu wielu innych przepisów dotyczących ochrony danych i prywatności.

Wykorzystywanie danych biometrycznych do identyfikacji osoby jest uważane za przetwarzanie danych wysokiego ryzyka i podlega ścisłej kontroli, a niewłaściwe postępowanie wiąże się z ryzykiem surowych kar.

Anonimizacja twarzy w przypadku zdjęć medycznych

Korzystanie z oprogramowania do anonimizacji Gallio PRO jest mniej ryzykowne niż korzystanie z anonimizacji opartej na technikach biometrycznych.

●      Model anonimizacji Gallio PRO wykorzystuje techniki widzenia komputerowego do wykrywania wzorców w ogromnych zbiorach danych.

●      Zbiór danych uzyskany z prawdziwych zdjęć służy do uczenia modelu, który uczy się rozpoznawać twarze w różnych warunkach oświetleniowych, rozdzielczościach obrazu i środowiskach.

●      Ta metoda uczenia zapewnia wyższy współczynnik dokładności , zmniejszając ryzyko utraty twarzy osób podczas anonimizacji zdjęć.

●      W procesie szkolenia obrazy twarzy przekształcane są w dane, których nie można zidentyfikować . W systemie AI nie pozostają żadne możliwe do zidentyfikowania obrazy twarzy ludzi. Ta metoda pozwala zachować prywatność każdej osoby, której twarz pojawiła się na zdjęciach treningowych.

Oprogramowanie Gallio PRO nigdy nie uczy się rozpoznawać osób — tylko tego, jak wygląda „ludzka twarz”. Techniki szkoleniowe chroniące prywatność oznaczają, że oprogramowanie może osiągnąć wysoki poziom dokładności bez znaczącego ryzyka dla osób fizycznych.

Ochrona prywatności pacjentów w medycznych bazach danych i zdjęciach medycznych

●      Dane dotyczące zdrowia i obrazy medyczne należą do najbardziej wrażliwych rodzajów danych osobowych .

●      Cyberataki na podmioty świadczące opiekę zdrowotną są niezwykle kosztowne i mogą spowodować poważne obrażenia pacjentów.

●      Naukowcy wielokrotnie wykazali, że wiele danych medycznych jest słabo zabezpieczonych. Wiele głośnych incydentów związanych z cyberbezpieczeństwem wiązało się z wyciekiem obrazów medycznych i danych dotyczących zdrowia.

●      W przypadku wycieku zdjęć medycznych organów regulacyjnych mogą nakładać wysokie kary pieniężne, a sądy mogą przyznawać poszkodowanym pacjentom znaczne odszkodowania .

●      Anonimizacja zdjęć pacjentów jest istotnym sposobem ochrony prywatności pacjentów i wywiązania się z obowiązków prawnych.

●      Aby zminimalizować ryzyko związane z prywatnością i ochroną danych, korzystaj z oprogramowania do anonimizacji, które może osiągnąć wysoki poziom dokładności bez polegania na identyfikacji biometrycznej.