– Datadrevne verktøy i helsesektoren, der kravene til personvern er bygd inn i løsningen, gir normalt høyere effektivitet og sikkerhet enn manuelle rutiner, sier Ingrid Egelandsaa, personvernombud i DIPS.
Lovgivningen rundt personopplysninger er streng, spesielt for sensitiv informasjon om en persons helse.
– Klarer vi å automatisere flere arbeidsprosesser med datadrevne verktøy, blir helseforetakene mindre avhengige av manuelle rutiner og datasikkerheten øker betraktelig, forklarer Ivar Hukkelberg, kunde- og markedsansvarlig i Deepinsight.
GDPR og utvikling av helseverktøy
I 1995 lanserte EU et personverndirektiv med strenge føringer for behandling av personopplysninger. Norge innførte i 2001 en personopplysningslov som bygget på EU-direktivet.
– Norske IT-leverandører har derfor forholdt seg til strenge personvernlover i tjue år allerede, sier Egelandsaa.
I 2018 trådte EUs personvernforordning i kraft, også kjent som GDPR. Alle EU- og EØS-land må iverksette denne forordningen slik den står, med noen muligheter for tilpasning til eksisterende lovverk.
GDPR tok innholdet i direktivet fra 1995 et steg videre, og gjorde det mer omfattende og obligatorisk. I tillegg legger den føringer for strengere sanksjoner og bøter.
Den viktigste endringen GDPR medførte for Deepinsight er kravet om dokumentasjon om at personvernet er bygget inn i produktet og ivaretatt gjennom hele utviklingsprosessen.
– Vi tenker personvern fra første stund. Før vi utforsker en ny mulighet spør vi alltid oss selv om det er mulig å utvikle verktøyet uten å bruke sensitive personopplysninger, forklarer Hukkelberg.
– Vi tar strenge forholdsregler for alt vi gjør, slik at vi alltid har en solid grunnmur av datasikkerhet og personvern i prosjektene våre, tilføyer Håkon Lorentzen, teknologisjef i Deepinsight.
For å sikre kvaliteten på datasikkerheten skal Deepinsight ta i bruk veilederen «Programvareutvikling med innebygd personvern» utviklet av Datatilsynet. Den bidrar til forståelse og etterlevelse av lovverket.
Datatilgang gir bedre pasientbehandling
Personvernlovgivningen, altså GDPR og personopplysningsloven, sier at det er forbudt å behandle identifiserbare helseopplysninger med mindre det finnes lovlig grunnlag. I Norge har vi en omfattende helselovgivning som regulerer dette. Blant annet helseregisterloven og pasientjournalloven som tydelig definerer at personopplysningsloven gjelder så lenge annet ikke fremkommer i den aktuelle helseloven.
– Datadreven teknologi kan hjelpe helsevesenet med tilgang på viktig informasjon som sikrer best mulig pasientbehandling og diagnostikk, forklarer Hukkelberg.
– Tilgjengelighet til personopplysninger for å kunne yte forsvarlig helsehjelp er like viktig som å bevare konfidensialitet og integritet, som går på å sikre at opplysningene ikke er tilgjengelig for uvedkommende og at de alltid er korrekte, tilføyer Egelandsaa.
Slik sikrer Deepinsight personvernet
Deepinsight er ansvarlige for at personvernet bygges inn i det endelige produktet, og for at det ivaretas gjennom hele utviklingen. Helseforetakene er dataansvarlig for at personvern og GDPR ivaretas under delingen av data med Deepinsight. Det er de som må avgjøre om delingen er sikker, og hvordan den skal foregå.
Selv om helseforetakene er dataansvarlige, må Deepinsight som leverandør imøtekomme løsninger som ivaretar kravene fra kundene og myndighetene. Internt har Deepinsight tydelige sikkerhetsrutiner og jobber grundig med opplæring av ansatte for å tydeliggjøre retningslinjene rundt bruk og analyse av data.
Det er fullt mulig å bruke helseopplysninger for å bygge datadrevne løsninger, og samtidig ivareta personvernet. Likevel er lovgivningen tydelig på at det ikke skal brukes flere identifiserende opplysninger enn strengt nødvendig.
– Den siste tiden har det blitt lansert flere veiledninger som gjør lovgivningen rundt bruk av personopplysninger, generelt og i helsesektoren tydeligere. Det gjør det viktige arbeidet til teknologiselskaper som Deepinsight langt enklere, avslutter Egelandsaa.