Dlaczego nasze dane zdrowotne są tak pożądane?


Dane medyczne stały się "czarnym złotem" zarówno dla badaczy, jak i cyberprzestępców. Dziennikarka Coralie Lemke uważa, że ich wykorzystanie może prowadzić do postępu w medycynie, pod warunkiem, że będzie się z nimi odpowiednio obchodzić.

Kradzież na wielką skalę

Assistance publique-Hôpitaux de Paris (AP-HP) powiedział w środę, 15 września, że dane osobowe około 1,4 mln pacjentów zostały skradzione w ataku komputerowym w lecie.

W lutym doszło do włamania do 500 000 kartotek medycznych. Coraz więcej instytucji służby zdrowia staje się celem cyberprzestępców. Dlaczego nasze dane zdrowotne są tak pożądane i kto jest nimi zainteresowany? Czy powinniśmy się martwić, że stają się one coraz bardziej dostępne zarówno dla badaczy, jak i hakerów?

 

Pytania te zadano Coralie Lemke, dziennikarce ds. zdrowia w Sciences et Avenir i autorce książki Ma Santé, Mes données (Premier Parallèle).

P: Kiedy mówimy o "danych dotyczących zdrowia", co dokładnie mamy na myśli?

Coralie Lemke: We Francji istnieje bardzo precyzyjna definicja danych na temat zdrowia sformułowana przez Krajową Komisję Informacji i Wolności (CNIL). Są to wszystkie informacje zebrane w kontekście leczenia, testu lub badania, a także wszystkie informacje o stanie fizjologicznym i biomedycznym danej osoby.

"Mówiąc prostym językiem, jest to informacja o przeszłym, obecnym lub przyszłym stanie zdrowia danej osoby".

Informacje zbierane przez obiekty podłączone do sieci (krokomierze, zegarki i wagi podłączone do sieci, aplikacje monitorujące sen itp.) są uznawane za dane dotyczące zdrowia tylko wtedy, gdy są zestawione z innymi informacjami medycznymi. Jeśli więc wiem z aplikacji, że śpię trzy godziny na dobę, nie mówi to wiele o moim zdrowiu. Jeśli jednak wiadomo również, że mam receptę na antydepresanty, można wywnioskować, że cierpię na chorobę psychiczną. Dzieje się tak, jeżeli CNIL uzna, że informacje te są danymi zdrowotnymi w ścisłym znaczeniu.

Monitorowanie naszego zdrowia jest coraz częściej przeprowadzane przez komputery.

Jak cyfryzacja wpłynęła na dane dotyczące zdrowia?

Ułatwiło to znacznie opiekę nad pacjentem i monitorowanie jego stanu. Obecnie wszystko w szpitalu i w gabinecie lekarskim jest przechowywane w komputerze. Nasze zdjęcia rentgenowskie i rezonans magnetyczny są digitalizowane, a za każdym razem, gdy skanujesz swoją kartę zdrowia, generujesz dane dotyczące zdrowia.

Cyfryzacja przyczyniła się również do rozwoju badań naukowych, umożliwiając analizę "stosów danych zdrowotnych" [rekordów kilkuset lub tysięcy pacjentów]. Dostęp do tych informacji był utrudniony, gdy były one w formie papierowej.

Minusem jest to, że dane te są bardziej podatne na zagrożenia. Stały się one bardziej dostępne dla podmiotów świadczących usługi opieki zdrowotnej, ale także dla wielu zainteresowanych nimi stron.

Dlaczego te dane zdrowotne są dziś tak poszukiwane?

Po pierwsze, należy pamiętać, że pojedyncza informacja jest mało interesująca dla wielu osób: znajomość grupy krwi danej osoby jest mało przydatna. Z drugiej strony, zagregowane dane zdrowotne dotyczące kilku tysięcy lub milionów osób są uważane za prawdziwe "czarne złoto", ponieważ ich analiza umożliwia postęp w badaniach.

Informacje te są interesujące dla trzech rodzajów graczy. Pierwszy z nich to firmy farmaceutyczne, które muszą przejść przez wiele faz i badań klinicznych, aby opracować terapie. Proces ten jest bardzo czasochłonny i kosztowny, ale przebiega znacznie szybciej, gdy zaczyna się analizować partie danych. Aby uzyskać te dane, laboratoria zwracają się do "brokerów danych", którzy specjalizują się w ich badaniu. Zadaniem tych brokerów jest kontaktowanie się i współpraca z placówkami służby zdrowia w celu uzyskania anonimowych danych.

Drugim rodzajem graczy są Gafamy (Google, Apple, Facebook, Amazon i Microsoft), które interesują się tą dziedziną z powodów komercyjnych. Oferują one swoją wiedzę technologiczną uniwersytetom lub ośrodkom badawczym, które poszukują algorytmów do przetwarzania tych danych. Jedno z badań wykazało, że sztuczna inteligencja opracowana przez Google jest dokładniejsza od radiologów w wykrywaniu raka piersi.

Ostatnim rodzajem podmiotów są oczywiście cyberprzestępcy. Ich celem jest włamanie się do placówek służby zdrowia w celu odzyskania danych zdrowotnych, a następnie sprzedanie ich w ciemnej sieci lub wymuszenie okupu. W październiku 2020 r. co najmniej 2 000 fińskich pacjentów otrzymało e-mail z groźbą opublikowania w Internecie szczegółów ich leczenia psychologicznego, chyba że zapłacą kilkaset euro, po tym jak włamano się do danych z sieci ośrodków psychoterapii.

A więc nasze dane dotyczące opieki zdrowotnej stały się głównym celem cyberprzestępców?

Tak, a zjawisko to zostało spotęgowane przez pandemię Covid 19: między lutym a marcem 2020 r. nastąpił 475% wzrost ataków na szpitale we Francji, według firmy Bitdefender zajmującej się bezpieczeństwem cybernetycznym. Niektórzy cyberprzestępcy obiecali rozejm na początku kryzysu w służbie zdrowia, ale nie trwało to długo: wkrótce zdali sobie sprawę, że placówki służby zdrowia są w tym czasie jeszcze bardziej narażone na ataki.

"W sumie w 2020 roku we Francji doszło do 192 cyberataków na szpitale, co oznacza wzrost z 54 rok wcześniej."

Placówki służby zdrowia są szczególnym celem cyberprzestępców, ponieważ są wrażliwe pod względem informatycznym. Sprzęt jest często przestarzały, a ochrona komputerowa nie jest aktualna. W rezultacie są one łatwym celem, a konsekwencje mogą być katastrofalne. W 2017 r. ransomware WannaCry [złośliwy wirus, który blokuje dostęp do plików w zamian za okup] sparaliżował brytyjską Narodową Służbę Zdrowia (NHS). W rezultacie miliony wizyt lekarskich i operacji musiały zostać odwołane, co dla niektórych pacjentów oznaczało utratę życia.

Dane dotyczące zdrowia stanowią dla tych cyberprzestępców ogromny zysk finansowy. EY szacuje, że 55 milionów dokumentacji medycznej obywateli brytyjskich jest warte 9,6 miliarda funtów, czyli ponad 11 miliardów euro. Wartość pojedynczej dokumentacji może wzrosnąć do 5 600 euro, jeśli zawiera ona sekwencjonowanie DNA danej osoby. (Zobacz załącznik na końcu)

Dlaczego dane genetyczne są szczególnie poszukiwane?

Nie wszystkie dane dotyczące zdrowia są równie cenne: świętym Graalem jest genetyka. Nasze DNA jest kluczem do naszej tożsamości i zawiera kluczowe informacje na temat naszego wyglądu, predyspozycji do pewnych chorób itp. Dlatego właśnie te dane są tak cenne.

Wiedzą o tym firmy, które oferują społeczeństwu testy genetyczne śliny, aby dowiedzieć się więcej o swoich przodkach. Większość ludzi nie czyta drobnego druku, który mówi, że te dane mogą być odsprzedane. W 2018 roku grupa 23andme podpisała umowę o wartości $300 mln z laboratorium GSK na 5 mln anonimowych profili genetycznych. Celem tego partnerstwa jest praca nad opracowaniem terapii dla choroby Parkinsona, ale rodzi to pytania o bezpieczeństwo i prywatność.

Jak chronione są dane zdrowotne we Francji?

Podlegają one ogólnemu rozporządzeniu o ochronie danych (GDPR), które od 2018 r. reguluje postępowanie z danymi osobowymi we Francji i w Europie. Do gromadzenia i przetwarzania danych dotyczących zdrowia wymagana jest wyraźna zgoda osoby, której dane dotyczą. RGPD zakazuje również przekazywania danych poza Unię Europejską. Są to zabezpieczenia, które nie istnieją w innych krajach, takich jak Stany Zjednoczone, i uniemożliwiają na przykład Google zbieranie danych o naszych wizytach lekarskich w naszych e-mailach, a następnie odsprzedawanie ich stronom trzecim.

Czy możliwe jest wzmocnienie tych środków ochronnych?

Jako jednostki, niewiele możemy zrobić. Można starać się nie umieszczać w sieci zbyt wielu informacji osobistych, ale to tylko kropla w morzu danych. W dzisiejszym świecie jest to szczególnie skomplikowane. Na przykład, szacuje się, że dwie trzecie Francuzów ma konto w Doctolib, co jest logiczne, ponieważ jest to poręczne narzędzie do umawiania wizyt lekarskich. Dopóki nie otrzymujemy refundacji, jesteśmy zobowiązani do wypełnienia naszej "carte vitale" (a więc podania danych o naszym zdrowiu) za każdym razem, gdy jesteśmy poddawani leczeniu.

"Dlatego, aby chronić nasze dane dotyczące zdrowia, potrzebujemy systemu kompleksowych i solidnych przepisów regulujących gromadzenie i wykorzystywanie tych danych, takich jak RGPD".

Ale te prawa muszą być egzekwowane. Wszystkie skargi dotyczące RGPD są rozpatrywane przez irlandzki CNIL, który reguluje Gafam na poziomie europejskim. Organ ten otrzymuje jednak tak wiele skarg, że 99,93% z nich nie jest rozpatrywanych. Jest to niezwykle zniechęcające. W tym zakresie możemy jeszcze poprawić ochronę danych dotyczących zdrowia.

Innym przykładem czujności, jaką musimy wykazać w tych kwestiach, jest Health Data Hub. Pod koniec 2019 r. rząd francuski postanowił stworzyć ogromną bibliotekę danych dotyczących zdrowia. Chodzi o zebranie wszystkich danych, które już istnieją - dane szpitalne, dane dotyczące ubezpieczenia zdrowotnego - na jednej platformie, aby umożliwić zespołom badawczym dostęp do nich i znalezienie nowych ścieżek terapeutycznych lub nowych metod leczenia.

Kiedy przyszło do znalezienia zatwierdzonego hosta dla danych zdrowotnych, który spełniałby określone wymogi technologiczne i bezpieczeństwa dla zarządzania tą bazą danych, która jest jedną z największych na świecie, wybrano Microsoft. Problem polega na tym, że jest to firma podlegająca prawu amerykańskiemu. W szczególności, w Stanach Zjednoczonych istnieje prawo, Cloud Act, które pozwala na przekazywanie danych z zagranicznych filii korporacji w ramach postępowania sądowego. Krótko mówiąc, Microsoft może teoretycznie odzyskać dane zdrowotne obywateli francuskich i przekazać je za Atlantyk, co bezwzględnie narusza dyrektywę w sprawie swobodnego przepływu osób. Francja jest w trakcie doposażania projektu i prawdopodobnie do końca 2022 roku zostanie on przyznany innemu graczowi.

Czy powinniśmy się zatem martwić, że nasze dane zdrowotne są coraz częściej wykorzystywane?

Dane dotyczące zdrowia są dość paradoksalne: są bardzo intymne i należą do sfery prywatnej, ale zebrane razem mogą służyć dobru wspólnemu. Medycyna już teraz jest rewolucjonizowana dzięki wykorzystaniu danych zdrowotnych. Amerykańska Agencja ds. Żywności i Leków (FDA) zatwierdziła wykorzystanie sztucznej inteligencji do diagnozowania retinopatii cukrzycowej, która jest główną przyczyną ślepoty u dorosłych. Do jej wykrycia wystarczy zdjęcie, co stało się możliwe dzięki analizie danych zdrowotnych.

Studiowanie tych danych może również pomóc nam lepiej zrozumieć, dlaczego niektóre nowotwory reagują na pewne metody leczenia, a inne nie, przyspieszyć badania nad chorobami neurodegeneracyjnymi, które są nadal słabo poznane, takimi jak choroba Alzheimera, a nawet znaleźć metody leczenia rzadkich chorób, które dotykają tylko kilku osób w każdym kraju. Bez digitalizacji i badania tych informacji medycznych niemożliwe byłoby zebranie informacji na temat kilku tysięcy pacjentów rozproszonych po całym świecie. Tak więc wykorzystanie danych zdrowotnych może być całkiem użyteczne, pod warunkiem, że jest odpowiednio uregulowane prawnie.

Załącznik

Uświadomienie sobie wartości danych dotyczących opieki zdrowotnej