Offentlige AI-projekter slås med GDPR: »Lovgivningen matcher ikke de politiske ambitioner«

14 kommentarer.  Hop til debatten
Offentlige AI-projekter slås med GDPR: »Lovgivningen matcher ikke de politiske ambitioner«
Illustration: Rasmus Meisler.
Signaturprojektet 'Kunstig Intelligens I Almen Praksis' har problemer med at få tilladelse til brug af patientjournaler. Ifølge forskeren bag skyldes det en diskrepans mellem de politiske ambitioner for forskningsprojekter med kunstig intelligens og lovgivningen for brug af sundhedsdata.
8. september 2021 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Hvert år søsætter stat, kommuner og regioner en række signaturprojekter, der skal undersøge, hvordan kunstig intelligens kan implementeres i det offentlige.

Men for mange af projekterne ender det med et kompromis mellem ambitioner og GDPR-regler, når der skal indhentes tilladelser til at bruge sundhedsdata.

Et af de projekter der har stødt panden mod GDPR-muren og lovgivningen omkring indhentning af data i det hele taget, er Kunstig Intelligens I Praksis.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
14 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
14
9. september 2021 kl. 09:44

... til "effektiv" scanning af journalnotater?https://www.version2.dk/artikel/millioner-jobansoegere-bliver-fejlagtigt-afvist-automatiseret-resume-scanning-1093239

Det er i hvert fald et eksempel på, hvor let det kan gå galt...

I øvrigt finder jeg det bekymrende, at Janus Laust Thomsen kan udtale følgende:"»Jeg er ikke tilfreds med en afvisning. Jeg er selvfølgelig nødt til at acceptere ,hvad der ligger indenfor rammerne. Men jeg synes, det er svært at forstå de rammer og dermed også den begrænsning, der ligger i det i forhold til projektet"

"»Jeg oplever, at der er et mismatch imellem de politiske ambitioner om brug af sundhedsdata og den måde, lovgivningen de giver tilladelser ud fra, er skruet sammen på.«"

Laust Thomsen lader til at have helt misforstået GDPR, hvis formål er - i det mindste i et vist, begrænset, omfang - at beskytte borgerne!!! -borgerne!!! - ikke forskerne og forskningen! Så der er ikke det mindste mismatch i, at man i henhold til GDPR siger "Nej" til projekter, som helt grænseløst bare går ud på at høste borgernes data ind i forskernes overherredømme. Det er faktisk kerneopgaven i GDPR. Det er lidt rystende, at der stadig er forskere, som ikke har forstået det - eller som ikke vil acceptere det. Det er ikke godt for tilliden, og for lysten til at dele data fremover. Femøren er åbenbart stadig ikke faldet hos mange forskere, at borgerne ikke bare er forsøgdyr uden rettigheder. Så meget desto mere grund er der til at bringe GDPR på banen ift. alle forskningsprojekter. Og allerhelst stramme yderligere op ift. forskningens ret udbredte adgang til borgernes data, også uden deres viden og samtykke.

13
9. september 2021 kl. 08:57

Det er mere kompliceret end som så at anonymisere så store data mængder.

Hvis man har nok data, og dataene ikke er korrekt anonymiseret med fx. statistisk 'jitter', så er det muligt at identificere personerne bag journalerne alligevel.

Jeg tvivler på, giver, hvor sløset det offentlige almindeligvis er omkring sikkerhed, at man kan korrekt anonymisere journalerne.

11
8. september 2021 kl. 16:06

Enig i at anonymisering ofte har vist sig ikke at virke efter hensigten - bl.a tilbage fra Netflix/IMDB miseren.

Udfordringen set fra et AI perspektiv er at slutresultatet er afhængig af de indbyrdes relationer der er i data ift. udfaldet. Hvis disse ikke på en eller anden måde bevares giver det ingen mening at bruge AI.

Uden at ville bære til det konspiratoriske bål der hedder at "nogen" har besluttet at der skal bruges AI for enhver pris vil jeg henvise til metoder der pt. forskes i for at muliggøre anvendelsen af AI uden at kompromittere følsomme data:

Syntetiske data: https://www.nature.com/articles/s41551-021-00751-8

Swarm Learning: https://www.nature.com/articles/s41586-021-03583-3

10
8. september 2021 kl. 12:52

*Der er indsamlet 20 patientjournaler med samtykke med det formål, at AI-folkene i projektet kan orientere sig i eksempler på rigtige journaler med stort indhold. *

Det kunne være projektlederen skulle komme i gang med at indhente flere samtykker? :)

8
8. september 2021 kl. 12:15

Mht. anonymisering så er det vist utallige gange slået fast, at den slags er lidt en fis i en hornlygte. En patientjournal skal ikke indeholde ret mange data, før en moderne computer lynhurtigt kan afanonymisere journalen.

Af dette referat kan man - synes jeg - læse, at man i første omgang forsøgte at snige sig uden om diverse sikkerhedskrav og besværlige procedurer ved at bede om anonymiserede data:https://www.medcom.dk/media/9981/dagsorden-til-moede-i-styregruppen-for-program-for-digital-almen-praksis-den-30-august-2018.pdf

Deet gik så ikke... (heldigvis).

Da IBM og Rigshospitalet for nogle år siden indgik samarbejde om at forske i at lade Dr. Watson diagnosticere brystkræft ud fra rtg-billeder, anvendtes - påstod man, da jeg borede i det - fiktive paitenter. Så det kan - hvis man kan tro på dem - godt lade sig gøre.

At jeg så ikke nødvendigvis tror på, at de anvendte patienter var fiktive, før jeg begyndte at spørge til dem. Jeg fik nemlig aktindsigt i nogle mails, som tydede på, at RH lovede IBM at stille patientjournaler til rådighed - og gav IBM nærmest ejerskab over disse, og ret til at lægge dem ud i IBM's worldwide sky. Da jeg så spurgte til, hvordan det kunne være lovligt, fik jeg pludseligt det svar, at der var tale om fiktive patienter....Så.....

Men det bringer mig da til det yderligere spørgsmål: Hvordan skulle det rent praktisk foregå at overføre disse 50 000 journaler? Hvordan skulle de opbevares? Hvem skulle have adgang til dem? Hvor længe skulle de opbevares? Hvilke yderligere betingelser knytter sig til ansøgningen mht. anvendelse på længere sigt?

Ikke at det gør nogen forskel - de journaler er privatliv, og patienternes ejendom, selv om det gør ondt på forskerne. Fingrene væk - det er slemt nok, at 4000 patienter er kastet for løverne...

7
8. september 2021 kl. 11:50

"...og den afvisning er svær for Janus Laust Thomsen at forstå..."

Hvad er det der er så svært for Janus Laust Thomsen at forstå?

At han ikke bare får fri adgang til vores data så han kan lege med dem som det passer ham?

"...Jeg oplever, at der er et mismatch imellem de politiske ambitioner om brug af sundhedsdata og den måde, lovgivningen de giver tilladelser ud fra, er skruet sammen på..."

Jeg mener at lovgivningen burde være endnu strammere end den er på dette område, vi har set alt for mange eksempler på yderst lemfældig omgang med borgernesdata fra det offentliges side.

Nej, hvis der er noget galt er det de politiske ambitioner. AI, machine learning, deep learning, you name it, løser isoleret ikke noget i sig selv.

Hver gang noget bliver erstattet af noget AI tryllehejs er der blot brug for endnu færre medarbejdere, og hvad skal de så lave?

Godt at der ikke bare ukritisk blev givet grønt lys fra regionens side.

Havde man gjort det havde der bare ligget 50.000 journaler yderligere og flydt rundt omkring. Nu er det i det mindste kun 4.000, og med mindre data i.

6
8. september 2021 kl. 11:32

eller man kunne anonymisere journalerne inden de overføres, så er man udenfor GDPR. Det burde være forholdsvis nemt, og man får bedre data end fiktivt oprettede, hvilket kan være ret vanskeligt

4
8. september 2021 kl. 11:17

Er det overhovedet nødvendigt at overføre konkrete, private journaler for at kunne forske i AI, og hvad det kan bruges til i almen praksis (g en meget udbredt omegn af almen praksis, kunne jeg frygte)? Plejer man ikke at kunne oprette fiktive forsøgsobjekter, som man så kunne forske i, hvordan man kunne anvende - hvis man absolut vil?

Hvad med at forske i algoritmer og AI, som kunne opfinde sine egne forsøgsobjekter/journaler at forske i?

3
8. september 2021 kl. 11:10

Sådan er det jo også med kriminalitet. Der er diskrepans mellem forbrydernes ambitioner og den måde, Folketinget laver straffelov på.

1
8. september 2021 kl. 07:15

50 000 journaler og....

"Det overordnede formål med projektet er at overføre en mængde patientjournaler til Aalborg Universitet til forskningsbrug, samt udvikle algoritmer, der skal bruges i almen lægepraksis til blandt andet at sikre patienterne hurtigere prøvesvar."

Så det overordnede formål er at overføre journaler til forskningsbrug? Det lyder godt nok som lidt af en våd drøm og en blankocheck til hvad som helst. En murbrækker for fremtidige endnu større stormløb på retten til privatliv. En trojansk hest ift. GDPR...

Ville de pågældende blive spurgt, om det var OK at bruge deres journal? Og i givet fald: Hvad ville de få at vide om nuværende og fremtidige anvendelser og "bivirkninger"?

Og hvad skal vi med diverse råd og tænketanke omkring etikken i AI i det offentlige, hvis sådanne projekter får lov at tage forskud på glæderne? Hvad, hvis miraklet skulle ske, og Dataetisk Råd m.fl. faktisk nåede frem til, at der må være en grænse et sted?

I går bragte Politiken et debatindlæg fra to fremtidsforskere - her forsøgte man også at løbe storm mod beskyttelsen af retten til privatliv ved at argumentere for, at tech-firmaerne skal betale borgerløn til borgerne for at få lov at bruge deres data. Noget for noget, i stedet for "Retten til privatliv er en menneskeret". De to forskere hører til i tænketanken Copenhagen Institute for Future Studies, som har et tæt samarbejde med Novo, og som netop har udgivet:https://www.novonordisk.com/content/dam/nncorp/global/en/partnering-and-open-innovation/pdfs/the-next-era-global-health.pdf

Så vidt jeg husker, giver GDPR slet ikke nok beskyttelse mod udnyttelse af vore data til forskning, men jeg er glad for den smule beskyttelse, som GDPR faktisk - som ift. Ålborg-projektet - giver i nogle tilfælde. Godt det projekt fik "Nej".