Tehisaru kasutamine tervishoius

Andmekaitse põhimõtete järgimine ei sõltu sellest, kas isikuandmeid töötleb inimene, tavapärane tarkvara või tehisarul põhinev lahendus. Isikuandmete kaitse üldmäärus ja teised isikuandmete töötlemist reguleerivad õigusaktid on tehnoloogianeutraalsed. See tähendab, et samad nõuded kehtivad sõltumata kasutatavast tehnoloogiast. Kui andmetöötlus on õiguspärane ilma tehisaru kasutamata, ei muutu see lubamatuks üksnes seetõttu, et kasutusele soovitakse võtta tehisaru. Uus tehnoloogia ei muuda andmekaitse reegleid, küll aga võib see muuta seda, milliseid andmeid ja millises ulatuses sama tegevuse käigus töödeldakse.

Seetõttu ei tasu alustada küsimusest, kas ja millist tehisarurakendust kasutada. Kõigepealt tuleb läbi mõelda, mille jaoks, milliseid andmeid ja millisel õiguslikul alusel töödeldakse, kuidas patsiendi andmed liikuma hakkavad, kas andmeid edastatakse teistele osapooltele, millised riskid võivad sellega kaasneda ning kuidas on tagatud patsientide õigused. Alles seejärel saab kaaluda sobivaid tehnilisi lahendusi.

Asutuse, mitte üksiku töötaja otsus

On mõistetav, et tervishoiutöötajad otsivad võimalusi kasutada uusi tehnoloogiaid oma töö lihtsustamiseks. Kui nende abil hakatakse töötlema patsientide isikuandmeid, ei saa selle üle otsustada üksik tervishoiutöötaja. Näiteks ei tohiks tervishoiutöötaja hakata omal algatusel kasutama avalikult kättesaadavat tehisarurakendust patsiendivestluse salvestamiseks, transkribeerimiseks, ravikannete koostamiseks või patsiendi terviseandmete analüüsimiseks.

Patsientide isikuandmete töötlemise eest vastutab tervishoiuteenuse osutaja. Seetõttu peab ka uue lahenduse kasutamine olema tervishoiuasutuse teadlik otsus, millele eelneb tavapärane ettevalmistus: hinnatakse õiguslikke aluseid ja andmekaitseriske, analüüsitakse teenuse tingimusi, vajadusel koostatakse andmekaitsealane mõjuhinnang ning tagatakse patsientide nõuetekohane teavitamine. Selliste küsimuste lahendamine ei saa sõltuda ühe töötaja äranägemisest.

Tehisarul põhinev süsteem ei erine selles mõttes ühestki teisest isikuandmeid töötlevast tehnoloogiast. Kui see hakkab töötlema patsientide isikuandmeid, saab sellest osa tervishoiuasutuse andmetöötlusest ning selle kasutamine tuleb korraldada õiguspäraselt ja läbimõeldult.

Mida tähendab see patsiendile?

Terviseandmed kuuluvad kõige tundlikumate isikuandmete hulka. Ka tehisaru kasutamisel peavad need olema kaitstud ning patsiendil peab olema võimalik saada selget ja arusaadavat teavet selle kohta, kuidas tema andmeid kasutatakse.

Patsiendil on õigus teada, millisel eesmärgil tema andmeid töödeldakse, kellel on neile juurdepääs ning kasutada talle seadusega antud õigusi, näiteks taotleda ebaõigete andmete parandamist või küsida selgitusi oma andmete töötlemise kohta.

Kui mõnes olukorras tuginetakse patsiendi nõusolekule, peab see olema vabatahtlik, teadlik, üheselt mõistetav ja tõendatav. See tähendab muu hulgas, et patsiendil peab olema tegelik võimalus saada tervishoiuteenust ka siis, kui ta ei soovi oma vestluse salvestamist või muud täiendavat andmetöötlust.

Kõik andmetöötluse etapid ei ole ühesugused

Tehisarul põhinev lahendus võib hõlmata mitut erinevat andmetöötluse etappi, näiteks patsiendivestluse salvestamist, heli transkribeerimist, teksti analüüsimist, ravikande mustandi koostamist ning tervishoiutöötaja kinnitatud ravikande valmimist.

Need etapid ei pruugi tugineda samale õiguslikule alusele. Seetõttu tuleb hinnata iga andmetöötluse etappi eraldi. See, et ravikande koostamine võib olla osa tervishoiuteenuse osutamisest, ei tähenda, et samal õiguslikul alusel võib töödelda ka patsiendivestluse helisalvestist.

Heli salvestamine suurendab töödeldavate andmete hulka

Patsiendivestluse salvestamine ja hilisem transkribeerimine ei ole andmekaitse vaatest sama mis ravikande koostamine. Tavapärase dokumenteerimise käigus kirjutab tervishoiutöötaja üles ravi seisukohalt vajaliku teabe. Helisalvestis võib aga sisaldada märksa rohkem infot.

Vastuvõtu käigus võib patsient rääkida ka oma perekondlikest, sotsiaalsetest või majanduslikest asjaoludest, mis ei ole diagnoosimise ega ravi seisukohalt vahetult vajalikud. Vestluses võivad sisalduda ka teiste inimeste isiku- või terviseandmed. Tavapärase dokumenteerimise käigus ei pruugi tervishoiutöötaja sellist teavet üldse üles kirjutada. Helisalvestise puhul aga talletub kogu vestlus ning see võib kanduda edasi ka transkriptsiooni ja tehisaru töötlusse. Kui kogu vestlus salvestatakse, suureneb töödeldavate isikuandmete hulk märkimisväärselt ning seda tuleb andmekaitse seisukohalt eraldi hinnata.

Tasuline teenus ei taga veel nõuetele vastavust

Levinud on eksiarvamus, et tasulise või ärikliendile mõeldud tehisaruteenuse kasutamine tähendab automaatselt, et selles võib töödelda ka patsientide terviseandmeid.

Tegelikkuses ei pruugi see nii olla. Enne sellise lahenduse kasutamist tuleb hinnata teenuse tingimusi, andmete töötlemise eesmärke, teenusepakkuja rolli, võimalikku andmete edastamist ning muid isikuandmete kaitse seisukohalt olulisi asjaolusid. Tasuline teenus iseenesest ei taga vastavust andmekaitsenõuetele.

Läbimõeldud andmetöötlus loob usaldust

Tehisaru võib tervishoius pakkuda uusi võimalusi, kuid nende kasutamine eeldab samasugust läbimõeldud ettevalmistust nagu iga teisegi isikuandmeid töötleva lahenduse puhul. Mida varem mõeldakse läbi, kuidas andmed liiguvad, milline on nende töötlemise õiguslik alus, kes vastutab andmete töötlemise eest ja millised riskid võivad sellega kaasneda, seda kindlamalt saab uusi lahendusi kasutusele võtta viisil, mis kaitseb patsientide õigusi ja loob usaldust nii tervishoiu kui ka uute tehnoloogiate vastu.

Lisalugemist

Teema kohta saab põhjalikumalt lugeda ka kahest inspektsiooni veebilehel avaldatud dokumendist, milles on selgitatud nii õiguslikku raamistikku kui ka praktilisi andmekaitsealaseid küsimusi:

• Tähelepanu juhtimine. Üldotstarbelise tehisintellekti kasutamine tervishoius

• Vastus selgitustaotlusele. Tehisintellekti põhine dokumenteerimistarkvara tervishoiuteenuste osutamisel

Praktilisi selgitusi tehisaru ja andmekaitse kohta ning vastuseid korduma kippuvatele küsimustele leiab inspektsiooni veebilehe tehisaru rubriigist.

Agnes Järvela, Andmekaitse Inspektsiooni tehisaru tiimi juht
Maire Iro, Andmekaitse Inspektsiooni avalike suhete nõunik