Az egészségügyi adatok újabb szabályozását is tartalmazza a júniusban elfogadott salátatörvény. A változás a mesterséges intelligencia egészségügyi alkalmazását segíti, kérdés azonban, hogy a jövőben jobban kiszűrhetőek-e, kiszűrhetőek-e egyáltalán az emberi tényezők – vagyis a visszaélések. Tündik Henrietta egészségügyi, gazdasági, büntetőjogi és adatvédelmi szakjogász szerint a legnagyobb probléma, hogy mennyire veszik komolyan a közfinanszírozott intézmények ezt a kérdést.

„Magyar Péter öngyilkosságot hazudott” címmel jelent meg cikk arról a Borsban, miszerint a politikus volt felesége, Varga Judit akkori igazságügyi miniszter tavaly februárban kihívta a mentőket az otthonukba, attól tartva, hogy férje gyógyszer-túladagolással öngyilkosságot kísérelt meg. A bulvárlap az Országos Mentőszolgálat (OMSZ) kiérkezésekor készült esetlapot is bemutatta a cikkben. Az írásban kitakarták ugyan a személyes adatok nagy részét, de több így is elolvasható maradt, köztük az eset dátuma, a cím, ahová a mentő kiérkezett, valamint a Péter keresztnév is. Ez alapján egyértelműen beazonosítható volt Magyar Péter személye, sőt a lap meg is nevezte őt. Dr. Kunetz Zsombor egészségügyi szakértő akkor azt írta, hogy ha az „ilyen érzékeny adatok »kiszivároghatnak«, az olyan jellegű bizonytalanságot szül a társadalom egészében az Országos Mentőszolgálat adatkezelésével és egyáltalán magával az OMSZ-szel kapcsolatban, amely nem tolerálható”, ezért a szervezet vezetését azonnali hatállyal el kellett volna bocsátani. Később egy vidéki polgármesterjelölt orvosi leleteit küldte el egy névtelen bejelentő a helyi választási bizottságnak, majd a helyi polgármester is a jelölt mentális állapotára hivatkozva próbálta megakadályozni az indulását. A jelölt ügyvédje megerősítette, valaki valódi dokumentumokat juttatott el a helyi választási bizottságnak, több mint tíz évvel ezelőtti (ambuláns)lapokat, amelyek különösen védett személyes adatok, és amelyekhez az azokat kérelmező legálisan nem férhetett volna hozzá. Ezeket az iratokat arra használták fel, hogy ellehetetlenítsék a jelölt indulását a választáson. 

Két ügy a közelmúltból – politikai lejáratások –, de az emberekben talán felmerül a kérdés, mennyire vannak biztonságban, látva ezt a fajta kiszolgáltatottságot, amit elvben az orvosi eskün túl a szigorú GDPR és a hazai ágazati szabályozás lenne hivatott ellensúlyozni. Különösen a közeljövőben még tovább gyorsuló adatáramlási térben. 2025-re várják az úgynevezett uniós egészségügyi adattér rendeletet, amely megszünteti a tagállami fragmentációt, egységes e-health adatteret létrehozva. A magyar betegek adatait tartalmazó EESZT-ben található adattömeg mértékét jól szemlélteti a portfolio.hu cikke, mely szerint a jelenleg is hatályos, 2021-ben készült Egészségügyi Ágazati Stratégia alapján már akkor is meghaladta az 500 milliós mennyiséget a rendszerben tárolt, elérhető egészségügyi adatok száma. Szintén az ágazati stratégiából derül ki, hogy a napi e-Recept felírások száma egy átlagos hétköznapon meghaladja a 800 ezret. Jövőre válna részévé az uniós adattérnek ez az adatmennyiség. Létrejön egy európai EESZT. Ekkortól lesz lehetőség arra, hogy az európai tudósok kutatás céljából adatokat kérjenek le (ezt a jövőben nyitott szolgáltatásként valósítja meg az EU) – a tagállamok az adatokat megoszthatják más uniós országok egészségügyi szakembereivel, ami várhatóan javítani fogja az egészségügyi ellátás színvonalát. Vagyis miközben Európa itt tart, mi még mindig olyan problémákkal küzdünk, amelyek egészen más dimenzióját mutatják az adatvédelemnek. Az egészségügyben dolgozók és a szakértők szerint adathasználatban a Balkán szintjét sem érjük el, az EESZT-ben PDF formátumú dokumentumok vannak feltöltve, az adatok kinyerése finoman fogalmazva sem egyszerű, alkalmatlan az adatbányászatra és az EU-s adattérhez való csatlakozásra is.

Tündik Henrietta egészségügyi és adatvédelmi szakjogászt kérdeztük.

Hogy látja a betegek egészségügyi adatainak védelmét ma Magyarországon?

Amikor kikerülnek a médiába a különböző botrányok, az csak a jéghegy csúcsa. Sokkal több visszaélés, vagy hiba van ma az egészségügyi rendszerben, mint gondolnánk. Egy hétköznapi ember esetében ennek többnyire nincsen következménye, gyakran ő maga sem tud róla, pedig, ha ezek a különösen érzékeny adatok sérülnek, az súlyos jogsérelem. Éppen ezért lenne fontos, hogy ha ez ismert közszereplők esetében történik, amivel foglalkozik a sajtó is, akkor ők vigyék ezt végig, mert így talán tudatosul a társadalomban ennek fontossága, tanul a rendszer. Ugyan a fent említett, vagy korábbról ismert esetek olyan történetek, amikor valaki tudatosan használta fel és szivárogtatta ki ezeket az adatokat, nagyon sokszor nem is szándékosak ezek a jogsértések. Például, ami a praxisomban gyakran előfordul, előveszi az orvos a korábbi kórlapot, de nem vezeti át az adatokat, és ha a későbbiekben ellátásra lesz szükség, nem hiteles adatokkal dolgoznak majd tovább.

Ugyanakkor betört a mesterséges intelligencia is, amelynek az EESZT-hez való kapcsolódása megnyitja az orvostudományi fejlődés, a tanulás lehetőségét. Ha jól értelmezem ezt a most elfogadott paragrafust, azért gondolták fontosnak beemelni, hogy a lehető legnagyobb biztonság legyen, hiszen itt az egészségügyi adatokat élesben fogják használni. Ha ez nem szakszerűen történik, az komoly veszélyeket jelenthet. Ki kell zárni az adatvesztés, az adatlopás, az adatok szándékos vagy véletlen megváltoztatása, adathamisítás vagy az adattörlés lehetőségét. Ebben vannak nálunk úttörők, az Oncompassban például már korábban kidolgoztak egy olyan informatikai programot, ahol az adatok bevitele a legnagyobb biztonságban történik, és ezek alapján tudnak egyénre szabott prognózisokat adni, a tapasztalatokat azonnal beépíteni a gyógyító munkába, illetve ezek az adatok az orvostudomány hasznára is lehetnek.  

Mit lát a mai mindennapi gyakorlatban a legnagyobb problémának?

Adatvédelmi jogászként én két komoly gondot látok. Az egyik, hogy vajon mennyire veszik komolyan a közfinanszírozott intézmények a GDPR-t, az egészségügyi adatok védelmét? Nagyon sokat mond a hozzáállásról az a döntés, hogy míg korábban ezek megsértése több tízmillió eurós büntetést vont maga után, ezt Magyarországon lecsökkentették maximum húszmillió forintra. Ehhez képest általában 1,5-2 milliós bírságokat kapnak csak az intézmények. A másik a tudatosítás, az ismeretek hiánya. Ma egyáltalán nem jelent az orvosoknak, szakdolgozóknak gondot, hogy használják egymás jelszavát, bele sem gondolnak abba, mekkora veszélynek teszik ki ezzel a betegadatokat. Fogalmuk sincs sokszor, hogy meddig mehetnek el abban, hogy belenézzenek egy másik kolléga betegének az adataiba és belenyúljanak, esetleg átadják. Ma már egészen más világot élünk. A hippokratészi eskü az egy dolog, de ma olyan mennyiségű adat és olyan sok felületen gyűlt és gyűlik össze, hogy azok kezelése nagyon nagy ismeretet igényel, ami ma még gyakran nagyon nincs meg. Azt sem tudják, hogy az adatok sérelmének büntető- és polgárjogi következménye is van.  

Emlékszünk még az őskorból Molnár Lajos adatellenőrző razziájára, amit az indított el, hogy a minisztérium egyik férfi munkatársa a kimutatások szerint nőgyógyászati ultrahangvizsgálaton esett át, és 2001 és 2003 között hétszer született és halt meg. Ugyan ez a visszaélések kiszűrésre irányult, de mégis súlyosan érintette a betegadatokat. Milyen volt az adatbiztonság 20 éve és milyen most?

Azt gondolom, annak idején szembesültek először az emberek egyáltalán azzal, hogy milyen jelentősége van az egészségügyi adatoknak. Nem igen merült fel, hogy vissza is lehet élni velük, vagy védeni kellene őket. Azóta felgyorsult a világ, az információáramlás, ezáltal sokkal több egészségügyi állapotunkat érintő információ keletkezik, amiket rögzíteni kell. Magyarországon nyolc évvel ezelőtt jelent meg az EESZT, ahová kötelezően fel kell tölteni minden egészségügyi dokumentumot, diagnosztikai leletet, ami a magánszolgáltatókra is vonatkozik, és a beteg önrendelkezési joga megvan ahhoz, hogy ezeket kik láthatják, illetve módosíthatják. Igaz, a felhőben lévő adatok nagy része máig PDF formátumú egészségügyi dokumentumokat tartalmaz, amit a kutatók így nem sok mindenre tudnak használni, viszont ezzel együtt is sok a hiba és a visszaélés lehetősége. Azonban már sokkal tudatosabbak vagyunk, az adatvédelmi jogszabályok is segítik a védelmünket. Nagyon fontos, ha felmerül a visszaélés gyanúja, vigyük végig az ügyet. A sérelemdíj jár, de a szemléletváltást is segíti.

Hol a határa, hogy az egyéni biztonság ne legyen az orvostudomány fejlődésének gátja?

Magyarország jelenleg hatályos, 2030-ig előretekintő Mesterséges Intelligencia Stratégiája az egészségügyi szektort az MI-technológia-alkalmazás egyik kiemelt területének tekinti. A Stratégia által megfogalmazott cél „az érintett szereplőkkel egyetértésben és együttműködve a Magyarországon meglévő és folyamatosan bővülő egészségügyi adatvagyon felelős használata, a mesterséges intelligencia diagnosztikai és gyógyítási felhasználásának erősítése, az MI-támogatott orvosi döntéshozatal és orvostechnológiai eszközök fejlesztése és bevezetése, így egy hatékonyan működő egészségügyi ágazathoz való aktív hozzájárulás”. Én szakjogászként azt gondolom, hogy az adatok anonimizálása a megoldás erre. A mesterséges intelligenciára szükség van, mára megkerülhetetlenné vált mind a súlyos létszámhiány, mind az orvosi prognózisok okán. Viszont vannak olyan biztonsági megoldások, amelyek segítik ezt a védelmet. Persze az emberi tényezők így is megmaradnak, ezért nem győzöm hangsúlyozni, hogy rettenetesen fontos a tudatosság és az ismeret, ahogy természetesen az új dolgok – például a mesterséges intelligencia – használata során is.