Skip to main content

Laden Sie die Daten des Gesundheitswesens nicht in die Google Cloud hoch, britische Gruppen sagen

Mit Google Cloud-Dienste zur Verarbeitung von Gesundheitsdatensätzen ist ein schwerer Verstoß gegen das britische Datenschutzgesetz, Datenschutzgruppen sagte in einer Beschwerde bei der Datenschutzbehörde des Landes eingereicht.

Großbritannien Die Datenschutzgruppen medConfidential, Big Brother Watch und die Foundation for Information Policy Research haben am Donnerstag die Beschwerde beim Information Commissioner Office (ICO) eingereicht, nachdem kürzlich bekannt wurde, dass die Firma PA Consulting medizinische Daten erhalten und zur Analyse in die Cloud von Google hochgeladen hat

Im Jahr 2011 hat der Vorgänger des britischen Health & Social Care Informationszentrums (HSCIC) eine Vereinbarung getroffen, die Patientendatenbank Hospital Episodes Statistics (HES) laut dem Informationszentrum mit PA Consulting zu teilen.

Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Krankenhaus-Episodenstatistiken verarbeiten mehr als 125 Millionen zugelassene Patienten-, ambulante und Unfall- und Notfalldatensätze pro Jahr, so das Informationszentrum.

Jeder HES-Datensatz enthält im Allgemeinen einen breiten Informationen über einzelne Patienten wie Altersgruppe, Geschlecht und ethnische Zugehörigkeit, Diagnose- und Behandlungscodes sowie Informationen darüber, wo der Patient w wie behandelt und lebt. Standardmäßig enthalten HES-Daten auch die Postleitzahl und das Geburtsdatum des Patienten, die in Kombination ausreichen, um etwa 98 Prozent der Patienten persönlich zu identifizieren, sagten die Gruppen in der Beschwerde.

Die Daten wurden pseudonymisiert und in einem Analyseprojekt, PA, verwendet Consulting, sagte in einer Pressemitteilung.

Um jedoch die große Menge von Patientendaten zu analysieren, hochgeladen PA Consulting die Daten an Google und verarbeitet sie über Google Analytics-Dienst BigQuery, ein Cloud-Service, der interaktive Analyse großer Datensätze ermöglicht. Das hätte nie passieren dürfen, teilten die Gruppen in ihrer Beschwerde mit.

"Wir glauben nicht, dass Datensätze im Bevölkerungsmaßstab von Patientendaten in einen Cloud-Anbieter hochgeladen werden sollten, wenn bestimmte strenge Bedingungen nicht erfüllt wurden", sagte Phil Booth. Koordinator von medConfidential, per E-Mail Freitag.

"Solche sensiblen Daten sollten niemals zu einem Anbieter außerhalb der Rechtsprechung des Vereinigten Königreichs und der EU-Datenschutzbehörden und des EU-Menschenrechtsrahmens hochgeladen werden. Wenn eine solche Aktion nicht rechtswidrig ist, sollte sie dies sein ", fügte er hinzu.

Laut PA Consulting enthält der Datensatz keine Informationen, die bestimmten Personen zugeordnet werden können und gemäß den festgelegten Bedingungen sicher in der Cloud gespeichert werden und von HSCIC genehmigt. Der Zugriff auf den Datensatz sei ebenfalls streng kontrolliert und auf ein Projektteam von bis zu 12 Personen beschränkt, sagten sie.

Die Datenschutzgruppen bestreiten jedoch diesen Anspruch. "Selbst wenn der in den Cloud-Diensten von Google gespeicherte HES-Datensatz keinen Patientennamen oder eine NHS-Nummer enthält, können die Daten leicht mit einer bestimmten Person verknüpft sein und stellen daher oft sensible personenbezogene Daten dar", sagten sie ICO sollte daher die möglichen Verstöße gegen britische Gesetze und Vorschriften untersuchen, die sich aus dem Hochladen von Patientendaten in die Cloud-Dienste von Google ergeben, sagten die Gruppen.

Das ICO antwortete nicht sofort auf eine Anfrage nach einem Kommentar.