Ny teknologi sikrer helsedata i skyen

Kronikk:Einar Martin Aandahl, lege, Chief Executive Officer, Ledidi og Odd Christian Landmark, sivilingeniør/MSc, Chief Development Officer, Ledidi

DIREKTORATET for e-helse varslet forrige uke at de har besluttet å sette utviklingen av Helseanalyseplattformen på pause. Årsaken oppgis å være usikkerhet om hvorvidt valget av den amerikanske skyplattformen Microsoft Azure lar seg forene med regelverket for personvern i etterkant av Schrems II dommen. Det er beklagelig at HAP har endt her, men det er viktig at dette ikke fører til en oppfatning om at skytjenester ikke kan benyttes til norske helsedata. Det er et uttalt ønske om å ta i bruk skyløsninger i sektoren og bevege seg bort fra kostbare og mindre sikre lokale løsninger. Det har vært en rask teknologisk utvikling, og EU har nylig anerkjent teknologi som løser problemstillingene med personvern og datasikkerhet ved bruk av skyleverandører eid utenfor EØS. 

De amerikanske skyleverandørene er markedsledende når det kommer til sikkerhet, skalerbarhet og funksjonalitet, og er derfor i utstrakt bruk også i Europa. Selv om leverandørene tilbyr bruk av servere som ligger i EU-land, må de forholde seg til amerikansk lovgivning, og amerikanske myndigheter kan i teorien kreve utlevering av data. Schrems II-dommen kjente dataoverføringsavtalen Privacy Shield mellom EU og USA ugyldig, og som en følge av dette vil den teoretiske tilgangen skyleverandørene har til deler av kundenes data i ukryptert form kunne representere et brudd på GDPR. Dette er særlig viktig i relasjon til helseopplysninger og andre sensitive data. Frem til nylig har det ikke vært tilgjengelig noen anerkjent teknologi som kunne hindre denne teoretiske tilgangen til ukrypterte data. 

KONFIDENSIELL PROSESSERING. Det teknologiske og regulatoriske landskapet har imidlertid endret seg i etterkant av dommen og påfølgende retningslinjer fra det Europeiske personvernrådet (EDBP). I september publiserte EUs organ for datasikkerhet (ENISA) nye retningslinjer, hvor en teknologi kalt konfidensiell prosessering ble anerkjent som “state of the art”. Konfidensiell prosessering beskytter dataene også når de er i bruk, og kombinert med konvensjonell kryptering av data under transport og lagring og sikker håndtering av krypteringsnøklene, blir dataene helt utilgjengelige for skyleverandøren. Skyleverandøren vil altså ikke på noe tidspunkt ha tilgang til kundenes data i ukryptert form, og det er dermed ikke mulig å utlevere data til tredjelands myndigheter. I retningslinjene skriver ENISA at “konfidensiell dataprosessering oppfyller kravene til beskyttelse når skytjenester blir benyttet som kritisk infrastruktur eller til prosessering av sensitive data”, eksempelvis helsedata. ENISA definerer de til enhver tid gjeldende teknologiene som juridisk oppfyller kravene til databeskyttelse i henhold til GDPR. Kravet til «state of the art» teknologi gjenfinner vi både i artikkel 25 og 32 i GDPR, og i flere av EDPB-retningslinjene, inkludert de som kom etter Schrems II-dommen. Nå er det derfor teknisk fullt mulig å beskytte personopplysninger i skyen i tråd med EUs regelverk.

NY BRANSJESTANDARD. Vi vet ikke hvorfor det ikke var mulig for HAP å finne en teknisk løsning for å sikre dataene, men det kan være utfordrende å implementere den nødvendige teknologien i allerede komplekse IT-løsninger. Leverandørene (Microsoft, Amazon og Google) har tilgjengeliggjort mulighetene for konfidensiell prosessering i ulik grad på plattformene sine og til ulik pris. Avhengig av arkitektur- og plattformvalg, vil implementering av konfidensiell prosessering også kunne komplisere driften og bidra til redusert funksjonalitet. I Ledidi benytter vi Amazon som skyleverandør til våre løsninger for medisinsk forskning og kvalitetsregistre, og vi har ikke måttet kompromisse på brukervennlighet når vi nå implementerer konfidensiell prosessering. Vi vil tro at mange andre norske og europeiske helseaktører kan ha stor nytte av den samme teknologien, slik at sektorens infrastruktur kan bygges ved hjelp av de beste, sikreste og mest kostnadseffektive IT-løsningene. Tekniske tiltak er også den sikreste, mest robuste og mest fremtidsrettede måten å beskytte data på. Det er grunn til å tro at de tekniske kravene til EU vil være gjeldende selv etter en eventuell ny dataoverføringsavtale mellom EU og USA, og over tid vil bli ny bransjestandard. 

LØFT BLIKKET. Det at HAP har blitt satt på vent bør heller ikke medføre at helsedatafeltet stopper opp. Vi bør heller benytte anledningen til å løfte blikket, tenke nytt og se hvilke aktører som raskt kan spille sammen for å dekke behovene HAP var ment å løse. Det er mange kompetente innovasjonsmiljøer i Norge, og vi har tillit til at man raskt vil kunne få på plass økosystemer av løsninger som dekker de viktigste funksjonene for effektiv og trygg bruk av norske helsedata.

Interessekonflikt: Ledidi AS i Oslo er et medtech-selskap som benytter skyplattformenen AWS for å levere tjenestene sine. Selskapets skyløsning forenkler innsamling og analyse av klinisk forskningsdata og tilrettelegger for forskningssamarbeid mellom forskere og institusjoner internasjonalt.