Skip to main content

Terveysdata avattava tutkijoille anonymisoituna

Tiivistelmä: Terveystilastot voi julkaista tutkijoille kyselykielellä, joka varmistaa henkilötietojen yksityisyyden. Kyselykieli soveltuu erityisesti lääketieteellisten hypoteesien alustavaan testaamiseen tutkimussuunnitelmaa laatiessa. Kyselykieli kieltäytyy näyttämästä tilastoja, jotka koskevat alle 100 henkeä. Lain mukaan terveystilastot ovat julkisia, elleivät ne paljasta yksilöiden terveystietoja.

  1. Yleishyödyllistä sensitiivistä dataa voi julkaista yksityisyyttä kunnioittaen
  2. Lääketieteellinen tutkimus vaatii Tilastokeskusta joustavampia kyselyitä
  3. Pseudonymisoitu data vaatii pääsyn tiukkaa rajaamista
  4. Anonymisoitu yhdisteltävä data
  5. Anonymisoitu kyselykieli pitää suojata differentiaaliselta kryptoanalyysiltä
  6. Julkisen sektorin tilastot ovat oletusarvoisesti julkisia

1. Yleishyödyllistä sensitiivistä dataa voi julkaista yksityisyyttä kunnioittaen

Yksilötasolla tiedot varallisuudesta, kuten pankkitilin saldo, kuuluvat pankkisalaisuuden piiriin. Pankeilla on tiukat prosessit sensitiivisten henkilötietojen käsittelyyn. Työntekijöille teetetään Supon taustatarkistus ennen pääsyä käsiksi tietoihin. Kaikki kyselyt kirjataan lokiin, josta voi jälkeenpäin auditoida, kuka katsoi mitä tietoja ja milloin. Työntekijät pääsevät käsiksi vain sellaisiin tietoihin, joita heidän tarvitsee käsitellä tehdäkseen työnsä.

Varallisuustilastot ovat silti julkisesti kenen tahansa katsottavissa, koska data on anonyymiä. Tiedot on pääsääntöisesti kerätty niin, ettei niistä paljastu yksilön pankkisalaisuuden alaista tietoa, koska kukin taulukkosolu sisältää riittävän monta yksilöä (*).

2. Lääketieteellinen tutkimus vaatii Tilastokeskusta joustavampia kyselyitä

Hiljattain HS uutisoi tutkimuksesta, joka selvitetti raskaan astmalääkityksen vaikutusta muuhun terveyteen. Astma on tulehduksellinen keuhkosairaus, ja raskas lääkitys vähentää tulehdusta heikentämällä yleisesti immuunipuolustusta. Suurina annoksina tämä lisää riskiä muihin vakaviin sairauksiin, kuten keuhkokuumeeseen.

Tutkimuksessa laskettiin mm. seuraavat tilastot:

  • Moniko suomalainen sai astmadiagnoosin vuosina 2014 - 2017 ja kuinka vakavan?
  • Moniko astmaatikko käytti immuunipuolustusta heikentävää raskasta lääkitystä säännöllisesti, kausittain tai ei ollenkaan?
  • Moniko astmaatikko sai sairaalahoitoa?
  • Kuinka yleisiä sydänsairaudet, osteoporoosi, kaihi ja ylipaino olivat erilaista lääkitystä käyttävissä ryhmissä?

Mitä vaaditaan käyttöliittymältä, jolla voi tehdä tähän tutkimukseen liittyvää tiedonhakua?

Ensinnäkin siihen eivät riitä Tilastokeskus-tyyppiset tilastot, joissa käsitellään yksi alue kerrallaan. Tilastokeskus voisi julkaista esim. hengitystautitilaston, joka kertoisi astmaatikkojen (lievä, vaikea) ja keuhkokuumetta sairastavien määrän. Erillinen lääketilasto voisi kertoa eri astmalääkkeille annettujen reseptien määrän ja ajankohdan. Nämä osa-aluetilastot eivät kelpaisi aineistoksi tutkimukselle, koska tutkimuksessa tietoja pitää yhdistellä.

Tutkimushypoteesia voi lähestyä kyselyillä, jotka SQL:n kaltaisesti yhdistelevät viittä taulukkoa:

  • Potilaat-taulukko: Potilaan ikä, sukupuoli ja asuinpaikka. Yhdistelytunniste muille taulukoille.
  • Hoitojaksot-taulukko: Vakavien sairauksien hoitojaksot sairaalassa.
  • Reseptit-taulukko ja Lääkkeet-taulukko: Reseptit immuunipuolustusta heikentävälle astmalääkitykselle. Iso vai pieni annoskoko?
  • Diagnoosit-taulukko: Onko vaikea astma -diagnoosia vaiko ei? Onko keuhkokuumediagnoosia tai muita tutkittavia vakavia sairauksia astmalääkityksen aloittamisen jälkeen?

3. Pseudonymisoitu data vaatii pääsyn tiukkaa rajaamista

Yllä olevassa esimerkissä tutkija tekee suoria kyselyitä yksittäisistä henkilöistä kertoviin tauluihin. Millaisilla menetelmillä voidaan varmistaa henkilötietojen luottamuksellisuus?

Findatan sivuilla kerrottu keino on pseudonymisointi. Potilas tunnistetaan mielivaltaisesti valitulla numerolla, eikä kerrota henkilön nimeä. Tämä ei välttämättä suojaa yksityisyyttä. Jos urkittavasta henkilöstä tiedetään syntymäaika ja sairauden ja hoidon yksityiskohtia, voi olla mahdollista yhdistää pseudotunniste oikeaan henkilöön.

Datan minimointi: Tehdään etukäteen tutkimussuunnitelma ja poimitaan vain sellainen data, joka on tutkimuksen kannalta olennaista. Esim. yllä mainitussa astmatutkimuksessa normalisoidaan iän suhteen. Tällöin riittää syntymävuosi tai vuosikymmen, eikä tarvitse tietää syntymäpäivää. Voi olla etukäteen epäselvää, kuinka tarkkaa tietoa potilaista tarvitaan, erityisesti jos ei tiedetä etukäteen datan laatua tai tarkkaa kirjaustapaa (sairaanhoitokäyttöön kirjattu data voi olla tutkimuskäytössä heikkolaatuista.) Datan minimointi on sitä voimakkaampi menetelmä, mitä tarkempi tutkimussuunnitelma on. Datan minimointi rajaa mahdollisuutta testata epävarmoja hypoteeseja.

Tietoturvakäytännöt. Findata vaatii, että pseudonymisoitua dataa, josta voi paljastua yksilöiden tietoja, käsitellään Findatan omassa, tietoturvallisessa ympäristössä tai yhtä tiukat kriteerit täyttävässä ympäristössä.

4. Anonymisoitu yhdisteltävä data

Terveysdataan voidaan aineiston sijasta tarjota kyselykäyttöliittymä, kuten Tilastokeskus tekee. Tällöin sensuroidaan yksityisyyttä loukkaavina taulukkosolut, joissa on alle 100 henkilöä. Tällöin voidaan suorittaa moni tutkimuksen vaatima kysely ilman, että tarvitaan pseudonymisoitua dataa. Tästä on hyötyä sekä tutkijalle että potilaiden tietosuojalle. Tutkijat eivät käsittele yksilöiden henkilötietoja, joten he voivat tehdä työnsä matalan tietoturvan työskentelytavoilla. Potilaiden henkilötietoja ei käsitellä edes Findata-tyylisesti pseudonymisoituina.

Esim. seuraavat kyselyt eivät edellytä pseudonymisoitua pääsyä yksittäisten potilaiden tietoihin.

  • Kuinka moni astmapotilas, joka sai/ei saanut immuunipuolustusta heikentävän astmalääkkeen reseptin, joutui astmalääkityksen alettua sairaalaan?
  • Mitkä olivat yleisimmät syyt joutua sairaalaan (vain ne syyt, joiden takia yli 100 sairaalaanjaksoa)?
  • Lisäsikö korkean annoksen immmuunipuolustusta heikentävä lääke painoa niillä, joiden paino on mitattu ennen ja jälkeen (jos yli sata punnittua)?

Anonyymien kyselyiden vahvinta alaa on hypoteesien testaus, kun ei vielä tiedetä, mitkä mittaustulokset tai sairaudet liittyvät tutkittavaan ilmiöön, ja vasta laaditaan tutkimussuunnitelmaa. Anonyymin pääsyn voi antaa kenelle tahansa, joka tarvitsee sitä työnsä tekemiseen, vaikka kaikille terveydenhuollon ammattilaisille. Vain käsiteltävien potilaiden lukumäärä tarvitsee rajata riittävän suureksi.

5. Anonymisoitu kyselykieli pitää suojata differentiaaliselta kryptoanalyysiltä


Kuva 1. Henkilötietojen urkkiminen differentiaalisella kryptoanalyysillä. Esimerkissä saadaan selville, että Jaana Julkkiksella on mielialalääkitys.

Differentiaalisessa kryptoanalyysissä tehdään pieniä muutoksia syötteeseen ja katsotaan, miten se vaikuttaa tuloksiin, pyrkimyksenä purkaa salaus. Kuvitellaan, että tiedämme Jaana Julkkiksesta uutisten perusteella riittävästi, että voimme valita vain hänet anonymisoidulla kyselykielellä. Koska 1 < 100, niin tuota kyselytulosta ei tietenkään näytetä sellaisenaan. Miten voimme urkkia, onko Jaana Julkkiksella mielialalääkitys?

Teemme ensin kyselyn, kuinka moni Jaanan kaltainen ihminen käyttää mielialalääkeitä. Rajaamme Jaanan tästä tuloksesta pois. Sitten teemme toisen kyselyn, jossa Jaana on mukana. Lisääntyikö tulos yhdellä? Se tarkoittaa sitä, että nimeomaan Jaana Julkkis on nyt mukana tuloksessa.

Suojaamiseksi on useita keinoja, joiden tehokkuuden todistaminen on tietojenkäsittelytieteen tutkijoiden työsarkaa.

Vaaditaan jokaiselta ryhmävalitsimelta, että se valitsee yli 100 henkilöä

Yllä olevassa esimerkissä syntymäaika ja paikkakunta rajaavat tehokkaasti valintajoukkoa. Sen lisäksi, että koko kyselyn pitää valita vähintään 100 henkeä, myös jokaisen osajoukon pitää sisältää yli 100 henkeä. Tällöin ei voida valita yksilöä ja yhdistää tätä isompaan joukkoon.

Spesifi ehdotus syntymäajan tai paikkakunnan pyöristämisestä ei ratkaise mitään. Yksilöiviä tietoja on muitakin, esim. sairaushistoria ja sairaalakäynnit tai DNA-näytteen hankkiminen. Toiseksi syntymäkuu voi olla relevanttia tietoa vaikkapa auringonvaloa ja D-vitamiinia koskevassa tutkimuksessa ja syntymäpaikka vaikkapa kylmän vaikutuksia koskevassa tutkimuksessa.

Satunnaisuuden lisääminen tuloksiin

Vaikka jokainen valintajoukko olisi yli 100 henkeä, on silti mahdollista verrata tuloksia joukoille, joissa on pieniä eroja, esim. Lapissa syntyneet 1.1. - 7.8.1991 tai 1.1. - 8.8.1991. Tämän takia tuloksiin pitää lisätä satunnaisuutta, jotta ei saada aikaiseksi yhden ihmisen eroja, esim. -5 ... +5 satunnaiset erot.

Satunnaisuuden pitää olla vakaata sikäli, että sama kysely antaa aina saman tuloksen. Tällöin ei ole mahdollista suorittaa samaa kyselyä monta kertaa ja laskea tulosten keskiarvoa.

Satunnaisuuden pitää myös olla sama kyselyn eri muodoille. Muuten on mahdollista tehdä samasta kyselystä eri muotoja vaihtamalla kyselytermien järjestystä tai pilkkomalla aikajanoja kahteen (esim. Kysely 1. (1.1.1991 - 7.8.1991), Kysely 2: ((1.1.1991 - 1.5.1991) JA (2.5.1991 - 7.8.1991))) ja siten laskea eri tavalla muotoillusta samasta kyselystä keskiarvo. Satunnaisuuden pitää perustua normalisoidusta kyselystä laskettuun hash-funktioon.

Auditointi

Kun käytössä on mahdollisuus tehdä valtava määrä kyselyjä ja käyttää riittävän ovelaa todennäköisyyslaskentaa, hyvin matalista todennäköisyyksistä (esim. että 5% todennäköisyydellä Jaana Julkkiksella on mielialalääkitys) voi yhdistellä varmaa tietoa. Siksi kyselykäyttöliittymästä ei voi tehdä täysin julkista ja anonyymiä samalla tavalla kuin Tilastokeskuksen tilastot.

Kaikki kyselyt pitää tehdä vahvasti tunnistautuneena ja kyselyistä pitää jäädä lokijälki. Järjestelmän pitää hälyttää automaattisesti, jos melkein samanlaisia kyselyitä tehdään valtava määrä (**), tai lokijälki näyttää siltä, että siinä yritetään tehdä differentiaalista kryptoanalyysiä. Kryptoanalyysin tunnusmerkki ovat valintaryhmät, jotka eroavat toisistaan vain muutamalla henkilöllä.

(**) Täysin samanlaisten kyselyiden teko automatisoidusti (esim. viikoittaiset tilastot keräävä botti) on normaali tuottavuustyökalu eikä mitään hälyttävää.

Julkisen sektorin tilastot ovat oletusarvoisesti julkisia

Laki viranomaisten toiminnan julkisuudesta säätää, että "viranomaisten asiakirjat ovat julkisia, jollei tässä tai muussa laissa erikseen toisin säädetä (1§)."

Esseessä käsittelimme julkisen terveydenhuollon tuottamaa tilastodataa. Erityisesti tilastoista laki sanoo, että kun viranomaisen laatima asiakirja on tutkimus tai tilasto, se tulee julkiseksi silloin, kun se on valmis käyttötarkoitukseensa.

Tässä Findata olisi viranomainen, ja kyselykäyttöliittymän kautta syntynyt kyselytulos olisi viranomaisen laatima tilastomuotoinen asiakirja. Tilasto olisi valmis käytettäväksi, kun on varmistettu, että se ei vuoda yksilöiden terveystietoja. Tämä varmistettaisiin automaattisesti anonymisoinnilla ja differentiaalisen kryptoanalyysin estävällä auditoinnilla.

24§ mukaan salassa pidettäviä viranomaisen asiakirjoja ovat mm. "asiakirjat, jotka sisältävät tietoja ... henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta". Anonymisoitu data ei kuitenkaan paljasta kenekään yksilön terveystietoja.

(*) Joissain tapauksissa Kelan tilastot kertovat yksilöistä. Kuka on Suomen ainut yli 7 lapsen miespuolinen huoltaja, joka saa elatusapua?


Kuva 2. Tilastokeskus-tyyppiset tilastotkin voivat vuotaa yksilöiden henkilötietoja.

Comments

Post a Comment

Popular posts from this blog

Doris Lessing: The Grass is Singing (1950)

Classics are hard to write about, because everything about them has been said much better by more learned scholars. The Grass is Singing is a truly exceptional book, because the plot is realistic and consistent on so many levels - human relationships, history, societal mechanisms, racism, economy of farming - while staying short, just 300 pages. As a student decades ago used to like discourse analysis, how it decostructs texts to find out how they reify social order, conventions and power structures by handing out roles, expectations and standards in everyday conversations and behaviours. The Grass is Singing is a treasure trove of such intricate negotiations. It starts with omnipresent racism (but certainly does not stop there.) However, the situation is far from stable. On the one hand the colonial masters tell stories and dream about past days when they could mistreat their labour as they pleased. On the other hand exit equals voice. Mistreatment is kept in check by the need for...
3 comments
Read more

Emma Kantanen: Nimi, jolla kutsutaan öisin (2019)

Etsin kirjaa ensin muistelmahyllystä, mutta se olikin autofiktiota ja fiktiohyllyssä. Kirja kertoo kirjailijan seikkailuista graafikkona kiinalaisessa pelifirmassa. Avoimeksi jää, mikä osa oli totta ja mikä tarua. Ennen kaikkea se kuvasi kulttuurishokkia ja ajan henkeä Pekingissä. Kirja on helppolukuinen ja vauhdikas runollisten ilmausten kaleidoskooppi, jossa ensivaikutelmat osoittautuvat pettäviksi matkailijan päästessä syvemmälle paikalliseen kulttuuriin. Päähenkilö on Mensan "älykäs selviää tilanteista, joihin viisas ei joudu" -siipeä ylpeänä edustava kunnianhimoinen seikkailija, joka janoaa uusia kokemuksia ja jonka on helpompi sietää epämukavuutta - työstressiä, kulttuurikonflikteja, jopa väkivaltaa - kuin tylsistymistä. Roviolla häntä häiritsi se, että hänen kykyjään ei huomattu, vaikka hän teki kaiken oikein sekä työssä että verkostoitumisessa. Vääntäessään kiinassa 6-päiväistä viikkoa ja pitkiä päiviä hän vähitellen huomaa, että sama kuvio toistuu sielläkin, mutt...
Post a Comment
Read more

Jani Antola & Allan Seppänen: Ohikulkijat

"Järjetön ajatus. Pitkästä aikaa." Sota-alueita kiertänyt kuvareportteri Emil Moltke on asettunut aloilleen Kööpenhaminaan kauan sitten kuvioista kadonneen naisen houkuttelemana, mutta ei sopeudu arkeen. Kriisialueiden jälkeen tuntuu banaalilta kirjoittaa pihagrillejä vertaileva artikkeli kuvineen. Eräänä iltana hän päättää jättää kaikki ja lähteä Abhaasiaan. Matkan nimellinen tarkoitus on löytää kunnioitettu akateemikko Johannes Böhm, joka on perityllä vauraudella vetäytynyt jumalan selän taakse kirjoittamaan suurta synteesiä maailman menosta, mutta varsinainen tarkoitus irtiotto pystyyn kuolleesta arjesta. Alkaa absurdi matka täynnä alkoholia, tyttöjä, seikkailuja ja vastoinkäymisiä. Abhaasia osoittautuu matalan intensiteetin sotatoimialueeksi Venäjän ja Georgian välillä. Infra on pommiteettu ja yksinkertaisetkin asiat ovat vaikeita, hitaita ja vaarallisia. Jostain silti aina löytyy paikalliskontakteja, viinaa ja länsivaurauden houkuttama tyttö kainaloon. "Kaikki...
Post a Comment
Read more