De fleste brugere af computere er klar over, hvad en computervirus er. De ved også, at åbning af ukendte filer eller links modtaget pr. e-mail kan medføre, at der installeres et program, der giver en hacker mulighed for at hente oplysninger fra computeren f.eks. om adgangskoder til netbank. Det er dog de færreste, der er klar over, at der ved brug af computere eksisterer andre sikkerhedsrisici. Problemet består i, at vores aktiviteter ved computeren kan sætte spor og dermed give nysgerrige mulighed for at kigge med over skulderen. Ofte kræves der ikke særlig stor teknisk viden for at gøre dette, og det til trods for at den almindelige bruger ikke er klar over problemet.
Allerede i de personlige computeres barndom i 1980'erne var det muligt ved hjælp af simple programværktøjer at genskabe og læse slettede informationer. I dag kan brugere stadig overse, at deres data gemmes i computernes »skraldespand« på »skrivebordet«.
Risikoen for at blive kigget over skulderen har siden flyttet sig fra brugerens egen computer til de filer og data, som brugeren deler med eller giver videre til andre.
Inden for de seneste år har flere sager henledt opmærksomheden på, at tekstdokumenter kan indeholde indlejrede data, såsom information om rettede og slettede passager eller oplysninger om, hvem forfatterne er.
Kendte eksempler er Microsofts pressemeddelelse om køb af Navision, statsministerens åbningstale i Folketinget 2002, hvor bortredigerede passager kunne genskabes, og statsministerens nytårstale i 2003, hvor det viste sig, at en medarbejder i Dansk Industri havde startet skrivningen [1].
I dette nummer af Ugeskrift for Læger demonstreres det, at problemet med indlejrede data ikke alene findes i forhold til tekstdokumenter i f.eks. Wordformat, men også findes i andre dokumenttyper/filer f.eks. PowerPointpræsentationer [2]. Deres data tyder på, at danske forskere formentlig kender til problemet med indlejrede data i tekstdokumenter, da dette ikke var et væsentligt problem i undersøgelsen. Imidlertid er forskerne ikke opmærksomme på, at data også kan indlejres i andre filtyper. Forfatterne fandt ved en søgning på internettet dokumenter og præsentationer med indlejrede personhenførbare informationer, der kan relateres til personfølsomme data.
Det primære problem relaterer sig i virkeligheden ikke til forskernes anvendelse af deres computere og programmer, men til hvorledes de omgås deres data. Den anvendte teknologi synliggør blot, som i så mange andre tilfælde, en uhensigtsmæssig praksis. Med andre ord er det store problem, at de databaser og registre, der anvendes som grundlag for bearbejdning og præsentation af forskningsresultater, indeholder datasæt, der omfatter personhenførbare oplysninger og personfølsomme data. Det understreger vigtigheden af, at forskerne overholder gældende regler og foreskrifter, og specielt at de udarbejder procedurer for, hvorledes datasæt kodes og anonymiseres, inden databehandling og præsentation finder sted. Derved kan de sikre sig mod uforvarent at komme til at kompromittere deltagerne i deres observationsgrupper, herunder patienter.
Når det er sagt, er det også vigtigt at tage artiklens andet aspekt op - hvorledes brugere på grund af manglende viden om ny teknologi utilsigtet kommer til at eksponere kritiske informationer og data. Artiklen og de indledende eksempler vedrørende Word viser på en gang, at man ved information af brugerne kan forhindre nye tilfælde, men også at man, selvom der er opmærksomhed på et problem, ikke altid kan tage højde for, at nye og lignende tilfælde dukker op i takt med, at teknologierne udvikler sig på baggrund af brugernes ønske om større smidighed, øget funktionalitet og større integration mellem produkterne.
Udviklingen med en mindre synlig grænseflade mellem intra- og internet, ønsket om øget mobilitet, en udviskning mellem privat og professionel kommunikation - f.eks. i Facebook - og større krav om formidling af aktiviteter i sundhedssektoren er med til at skabe et fremtidigt it-miljø, hvor flere og uforudsigelige faldgruber dukker op. Eksempler inden for de seneste år er tab af en bærbar computer, der indeholdt vigtige ukrypterede data [3], og tilfælde af utilsigtet præsentation af data på internet i stedet for intranet. En løsning kan være, at forskerne i sundhedssektoren fortsat anvender programmer og systemer med klare grænseflader og krypteringer, og at de afstår fra anvendelsen af »social software«, men det vil på sigt nok være vanskeligt. En anden og mere fremkommelig vej er at stille krav til den fremtidige uddannelse af læger og andre biovidenskabelige forskere, således at de uddannes til også at have it-kompetence, en grundlæggende forståelse af de it-værktøjer, der anvendes i sundhedssektoren, og en sikker adfærd ved omgang med data i it-systemer.
Spørgsmålet er så, om speciallægens syv roller også skal udvides med en ottende - eller om kravet vedrørende it-kompetence er dækket af begreberne »professionel« og »kommunikator«?
Korrespondance: Lars Kayser, Det Sundhedsvidenskabelige Fakultet, Københavns Universitet, Blegdamsvej 3B, DK-2200 København N. E-mail: lk@sund.ku.dk.
Interessekonflikter: Ingen
Referencer
- Computerworld 2004. www.computerworld.dk/art/22425 (14. august 2008).
- Dahl MR, Vedsted P. Personhenførbare og fortrolige data og resultater på internettet. Ugeskrift for Læger 2008;170:4027-9.
- Privacy.org www.privacy.org/archives/002233.html (14. august 2008).