Neðst á síðunni er hægt að nálgast greinina í heild sinni með því að smella á hlekkinn View/OpenIntroduction: Personal identifiability is a fundamental question in the debate about the Bill and Act on the Health Sector Database (HSD). If the data are personally identifiable, Iceland's international committments dictate that a priori consent be obtained from patients for the use of their health records data. The HSD Act presumes that one way encryption renders the data non-personally identifiable and that therefore an a priori consent is not required. Results: The history of the concept of personal identifiability during the debate on the HSD reveals changes made to the concept. In the first instance a reference was made to Recommendation R(97)5 of the Council of Europe Committee of Ministers which was changed by adopting a direct translation of the definition of personal data from the Directive 95/46/EC of the European Parliament and of the Council. These changes were made in response to the Data Protection Commission's opinion on the HSD Bill submitted to the Minister of Health that overturned the ideology previously used regarding indentifiability of persons. Information is identifiable if there exists a key and it makes no difference who holds the key. One way encryption was then adopted as a method that was supposed to mean that a key does not exist. Nevertheless, the database proponents now admit that a key exists. The making of keys for opening up the database is discussed. The database is a longitudinal collection and linkage of records on each individual and therefore the method of encryption must remain stable. Therefore, anyone with access to the method can easily make a lookup-table containing side by side the names and the personal numbers produced by the encryption. Although it may be hard to go from a personal number directly back to a name, given the table it always is possible to look up what personal number belongs to a certain person or what person stands behind a certain personal number. This is a key. If the method of encryption was lost or access to it was not available it would nevertheless be possible to make a key. The intention is to encrypt the genealogy of the entire nation using the same encryption method used for the HSD. The genealogy of the nation with names is also generally available. The patterns of family trees become unique when one family is connected to another through marriage and childbirth. A comparison of the encrypted genealogy containing personal numbers with the same genealogy containing names is therefore a method for making a key. Finally a key can be made from the context of general information. Even if the names were irreversibly removed there will be enough available bits of general information connected to a personal number to allow re-identification of the person in a large number of instances. This amounts to making a key. Conclusions: The information in the Health Sector Database is personal information. Therefore it is both right and reasonable to obtain an a priori consent of patients for the transfer of their health data to the database as Iceland's international obligations stipulate. Anything less is unreasonable.Inngangur: Spurningin um persónugreinanleika er grundvallaratriði í allri umræðu um frumvarpið og lögin um gagnagrunn á heilbrigðissviði. Ef gögnin eru persónugreinanleg gilda þjóðréttarlegar skuldbindingar um að afla skuli fyrirfram samþykkis sjúklinga fyrir notkun heilsufarsupplýsinga í öðrum tilgangi en þeirra var aflað. Lögin ganga út frá því að dulkóðun í eina átt geri gögnin ópersónugreinanleg og því sé ekki þörf að afla fyrirfram samþykkis sjúklinga. Niðurstöður: Með því að rekja sögu hugtaksins um persónugreinanleika í umræðunni sést að breytingar voru gerðar á skilgreiningum um persónugreinanleika. Fyrst var miðað við tilmæli ráðherranefndar Evrópuráðsins en síðar var tekin upp orðrétt skilgreining úr tilskipun Evrópusambandsins sem nú er þjóðréttarlega skuldbindandi fyrir Ísland. Breytingin var gerð til að bregðast við umsögn tölvunefndar sem kollvarpaði hugmyndafræðinni sem lagt hafði verið upp með varðandi persónugreiningu. Upplýsingar eru persónuuplýsingar ef til er lykill og engu máli skiptir hver gætir lykilsins. Dulkóðun í eina átt var þá sett fram sem aðferð til að gera að engu tilvist lykils. Þrátt fyrir það viðurkenna talsmenn gagnagrunnsins að til sé lykill. Greint er frá því hvernig hægt er að smíða lykla að grunninum. Þar sem gagnagrunnurinn er langsum (longitudinal) og langtímasöfnun og -samtenging upplýsinga um hvern einstakling hlýtur dulkóðunaraðferðin að vera stöðug í tíma. Hver sá sem hefur aðferðina í höndunum getur fyrirhafnalítið búið til uppflettitöflu yfir nöfn eða kennitölur og fastanúmerin sem dulkóðunin gefur. Þótt ekki sé raunhæft að finna beint af dulkóða hverjum hann tilheyrir er ætíð hægt að fletta upp í töflunni hvaða fastanúmer tilheyrir ákveðnum manni eða hvaða maður stendur að baki ákveðnu fastanúmeri. Þetta er lykill. Ef dulkóðunaraðferðin færi forgörðum eða ekki væri aðgangur að henni væri samt hægt að búa til lykil að grunninum. Áætlað er að dulkóða ættartré þjóðarinnar með sömu aðferð og notuð er fyrir heilsufarsgrunninn. Ættartré þjóðarinnar með nöfnum er einnig þekkt sem almenn þekking í landinu. Munstur ættartrjáa verða einstök þegar ein ætt tengist við aðra með giftingum og barneignum. Samanburður á ættarmunstrum milli ættargrunns með fastanúmerum og sama ættargrunns með nöfnum er því leið til að smíða lykil. Þá er hægt að smíða lykil af samhengi almennra upplýsinga. Jafnvel þótt búið sé að aftengja nöfn og kennitölur fylgja fastanúmeri nægar almennar upplýsingar til að unnt sé að endurþekkja einstaklinginn í velflestum tilfellum. Það jafngildir lykli. Ályktanir: Upplýsingar í gagnagrunni á heilbrigðissviði teljast vera persónuupplýsingar. Því er réttmætt og sanngjarnt að afla verði fyrirfram samþykkis sjúklinga fyrir flutningi heilsufarsupplýsinga þeirra í grunninn eins og þjóðréttarlegar skuldbindingar landsins kveða á um. Allt annað er ósanngj
