Microsoft on kehittänyt tuotteen, joka tietää kolesteroliarvosi, askelmääräsi ja viimeisimmän sairaalakäyntisi, mutta jolle ei koidu mitään sellaisia oikeudellisia seuraamuksia, joita lääkärillesi koituisi näiden tietojen väärinkäytöstä.
Microsoft haluaa käsiinsä potilastietosi. Yhtiö lanseerasi tällä viikolla Copilot Healthin, tekoälyominaisuuden, joka kokoaa yhteen henkilökohtaisen terveystietohistorian puettavista laitteista, laboratoriotuloksista ja sairaalajärjestelmistä ja jonka avulla käyttäjät voivat esittää kysymyksiä kaikesta tästä yhdellä käyttöliittymällä.
Se on huomattava määrä arkaluonteisia tietoja, jotka päätyvät yrityksen käsiin, jolla ei ole lain mukaan velvollisuutta käsitellä niitä samalla tavalla kuin lääkärilläsi.
Ominaisuus on osa Microsoftin laajempaa Copilot-tuotetta ja se on yhteydessä yli 50 000 yhdysvaltalaisen sairaalan ja terveydenhuolto-organisaation potilastietoihin HealthEx-nimisen alustan kautta.
Laboratoriotulokset toimitetaan Function-nimisen terveysteknologiayrityksen kautta. Applen, Ouran, Fitbitin ja yli 50 muun valmistajan puettavat laitteet voidaan yhdistää suoraan hallintapaneeliin.
Etusivulla näkyvät askelmäärät, tapaamismuistutukset ja muut terveystiedot sen mukaan, mitä käyttäjät päättävät jakaa. Sieltä pääsee myös palveluntarjoajaluetteloihin, joissa käyttäjät voivat etsiä lääkäreitä erikoisalan, sijainnin, kielen ja hyväksyttyjen vakuutusten perusteella.
Microsoft esittää tämän keinona ymmärtää omaa terveyttä, ei lääkärin korvaamisena. Todellisuudessa se rakentaa keskitettyä terveyden seurantajärjestelmää, joka toimii sairaaloiden, laboratorioiden ja puettavien laitteiden valmistajien hajanaisen ekosysteemin yläpuolella ja kokoaa kaiken yhteen paikkaan.
Se voi olla todella hyödyllistä. Samalla se kuitenkin keskittää huomattavan määrän arkaluonteisia henkilötietoja tuotteeseen, joka ei täytä HIPAA-vaatimuksia.
Tämä viimeinen seikka on merkittävämpi kuin Microsoftin lehdistötiedote antaa ymmärtää. Terveydenhuollon tietosuojalain (Health Insurance Portability and Accountability Act) tarkoituksena on asettaa turvallisuusvaatimuksia sähköisille terveystiedoille sekä rajoittaa niiden käyttöä ja luovuttamista.
HIPAA-lakia rikkoville sairaaloille ja lääkäreille voidaan määrätä sakkoja ja heitä voi odottaa rikosoikeudellinen vastuu. Microsoftille ei uhkaa kumpaakaan, koska sen ei tarvitse noudattaa HIPAA-lakia Copilot Health -palvelun ylläpitämiseksi.
Microsoftin tekoälyosaston terveysasioista vastaava johtaja Dominic King otti asian suoraan esille ennen palvelun lanseerausta: ”HIPAA-säännöksiä ei vaadita tällaisessa suoraan kuluttajille suunnatussa palvelussa, kun kyseessä on omien tietojen käyttö.”
Hän jatkoi: ”Copilotilla pidämme kuitenkin äärimmäisen tärkeänä, että täytämme kaikki alan parhaat standardit. Siksi aiomme ilmoittaa täällä muutamista päivityksistä, jotka koskevat niin sanottuja ’HIPAA-valvontatoimia’.” King ei kuitenkaan tarkentanut, mitä nämä päivitykset tarkalleen ottaen tarkoittavat.
Microsoft viittaa ISO 42001 -sertifikaattiin, joka on kansainvälinen standardi vastuullisen tekoälyn käytön, jäljitettävyyden ja läpinäkyvyyden osalta. Kyseessä on todellinen sertifikaatti, joka koskee myös Microsoft 365 Copilot- ja Microsoft 365 Copilot Chat -palveluita. Se ei myöskään korvaa HIPAA-vaatimuksia, eikä se rajoita sitä, mitä Microsoft voi tehdä terveystiedoilla, samalla tavalla kuin liittovaltion laki rajoittaa lääkärisi toimintaa.
Yrityksen mukaan terveysaiheiset keskustelut on ”eristetty yleisestä Copilot-palvelusta ja niihin sovelletaan lisävalvontaa käyttöoikeuksien, tietosuojan ja turvallisuuden osalta”, eikä näiden keskustelujen tietoja käytetä sen tekoälymallien kouluttamiseen.
Käyttäjät voivat poistaa terveystietonsa tai irrottaa tietolähteet milloin tahansa. Nämä ovat merkittäviä sitoumuksia. Ne ovat myös vapaaehtoisia, mikä tarkoittaa, että Microsoft voi muuttaa niitä milloin tahansa päivittämällä tietosuojakäytäntöään. Tällöin asialle ei ole lainsäädännöllistä suojaa.