Amerikansk universitet sagsøges for at dele patientdata med Google

Illustration: Andrei_R/Bigstock
Ifølge anklagen er det muligt for Google at identificere patienter ud fra de delte sundhedsoplysninger.

Et sagsanlæg har ramt it-giganten Google og University of Chicago med anklagen om, at de to parter har udvekslet hundredtusindvis af patientdata uden at fjerne oplysninger, der kan identificere personerne bag.

Det skriver flere internationale medier, heriblandt The New York Times. og Cnet.

Universitetets hospitalsafdeling har i flere år haft et samarbejde med Google om et projekt, der ved hjælp af kunstig intelligens skal hjælpe fagpersoner med at stille diagnoser, forudsige indlæggelsestid hos patienter og vurdere, om deres helbred forværres.

Projektet bruger sundhedsdata fra Universitetshospitalet til at træne systemet, og den udveksling er ifølge den amerikanske HIPAA-lov (Health Insurance Portability and Accountability Act) tilladt, så længe data er renset for personhenførbare oplysninger.

Netop det har partnerprojektet ikke levet op til, mener patienten bag sagsanlægget, Matt Dinerstein. I sagsanlægget bliver universitetshospitalet og Google anklaget for, at de ikke har fjernet informationer såsom dato for patientbesøg og lægenoter.

Dermed kan patienter ifølge sagsanlægget identificeres gennem blandt andet lokationsdata fra Google Maps, og på den måde finde ud af, hvornår en given person ankommer og forlader hospitalet.

Både Google og University of Chicago afviser anklagerne.

»Vi mener, at vores sundhedsplejeforskning kan hjælpe med at redde liv i fremtiden. Derfor tager vi privatliv meget seriøst og følger alle relevante love og regler i vores håndtering af sundhedsoplysninger,« siger en talsperson fra Google til Cnet.

»Universitetet har overholde de love og regler, der gælder for patientens privaliv,« udtaler talsperson fra Chicago-universitetet til Cnet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

HIPAA er så vidt jeg husker meget præcis med hvilke informationer, som skal fjernes, og det lader til, at man har været helt bevidst om, at det ikke fuldtud var tilfældet.

Som det er skrevet i artiklen i NYT:

The paper states that the records were “de-identified,” except that “dates of service were maintained.”

HIPAAs regler er da en god start, men at kalde data for "anonyme" bagefter, er efter min mening noget optimistisk. Men regler er vel regler.

Derfor kan jeg godt undre mig over, at man end ikke kan formå at overholde de klare minimumsregler, men helt åbenlyst vælger at bøje dem.

Replikken om, at "vi tager privatliv meget seriøst, og vi arbejder på at redde liv i fremtiden" virker efterhånden som en noget slidt kliche. Det er hørt før.

I øvrigt har Randall Munroe en, som altid, meget rammende kommentar om risikoen for læk af træningsdata: https://xkcd.com/2169/

  • 2
  • 1
Lars Christensen

Det kan næppe overraske at der kommer sagsanlæg i US over den noget lemfældige tilgang som både myndigheder og "mis"brugere har af personhenførbare persondata. EU har afvist Safe Harbour ordningen fra US der var ment som en pendant til GDPR - men som blev vurderet som useriøs. http://law.au.dk/fileadmin/Jura/dokumenter/forskning/rettid/Afh_2018/afh...

  • 1
  • 0
Log ind eller Opret konto for at kommentere