VWS faciliteert onaanvaardbare function-creep met zorgdata

stamp-143799_640

In de Volkskrant van vanmorgen openbaart de journalist Huib Modderkolk een memorandum van overeenkomst van VWS met vijf instituties in de zorg dat zeer grote gevolgen heeft voor de privacy van de burger en het medisch beroepsgeheim. Het memorandum is een overeenkomst tussen het ministerie van Volksgezondheid, Welzijn en Sport(VWS) en Zorgverzekeraars Nederland(ZN), Vektis, de Nederlandse Zorgautoriteit(NZa), de Inspectie(IGZ) en Zorginstituut Nederland. Via een “zorgmakelaar” kunnen gepseudonimiseerde zorgdata gedeeld worden door de betrokken partijen. De gegevens die bij bijv. zorgverzekeraars, Vektis en de Nza primair zijn vastgelegd hebben een duidelijke doelbinding. Het doel van de gegevensverzameling is voor elk van die instituties anders. Het onderling gaan delen van die informatie gaat voorbij aan die doelbinding. Het gaat uit van de gedachte dat de data er toch zijn en dat best wel handig lijkt die te koppelen. Het is echter een grove vorm van “function-creep” die grote consequenties heeft voor de privacy en het beroepsgeheim. Het feit dat VWS bij het tot stand komen van het memorandum een leidende en faciliterende rol heeft gespeeld geeft zeer te denken. Er lijkt niet sprake van enig moreel besef.

Memorandum

In het memorandum staat dat de betrokken zes partijen afgesproken hebben te gaan werken aan een gezamenlijke informatiemakelaar ten behoeve van informatiedeling. Ook staat vermeld dat de partijen hierdoor structureel toegang krijgen tot de informatie die ze nodig hebben voor de uitvoering van hun wettelijke taken. Men wil klein beginnen, maar groot denken, waarbij Vektis vanaf 1 januari 2016 een nader te definiëren informatieset beschikbaar gaat stellen aan de andere partijen die het memorandum afsloten. Gesproken wordt van het doorgegeven van gepseudonimiseerde data.

De-pseudonimiseren

Het probleem met grote datasets is dat als gepseudonimiseerde data uitgewisseld worden er door intelligente koppeling van datasets met een grote breedte altijd wel ergens overlap van data plaatsvindt. Hierdoor kan men gegevens toch tot individueel niveau terugvoeren.

Given enough data, perfect anonymization is impossible no matter how hard one tries.”

Zie ook een ander artikel van mijn hand hierover.

Het verhaal van de woordvoerder van VWS vandaag dat het om declaratiegegevens gaat vanaf 2012 en dat de data ‘geheel geanonimiseerd en beveiligd’ zijn, snijdt daarom geen hout. Volgens VWS worden de data uitgewisseld ‘vanuit een wettelijke taak’ en kunnen enkel ‘overheidspartijen’ bij de gegevens. Dit is ook aperte onzin omdat één van de memorandum-partijen juist Zorgverzekeraars Nederland is. Dat is niet bepaald een overheidspartij te noemen, maar juist een marktpartij. De woordvoerder bezondigt zich hier weer eens aan het vertellen van halve waarheden.

Autoriteit Persoonsgegevens

Bij het bekend worden van het memorandum rees bij mij ogenblikkelijk de vraag of de officiële overheidswaakhond ten aanzien van informatieoverdracht, de Autoriteit Persoonsgegevens(AP) wel op de hoogte was van dit initiatief. Door een reactie van de AP vandaag blijkt overduidelijk dat deze instelling niet gekend is bij de totstandkoming van het memorandum. Terwijl de reactie van de AP in eerste instantie gaat over het ten onrechte delen van informatie uit het DBC-InformatieSysteem(DIS) haakt de AP halverwege ook aan bij het nieuws dat Huib Modderkolk vandaag naar buiten bracht. De AP bevraagt de NZa thans kritisch hierover en zegt deze nauwlettend te volgen. Overigens komt de NZa het er ten aanzien van het onterecht delen van DIS-gegevens met sommige derden er met een schriftelijke schrobbering vanaf.

NZa en mist

Als door een angel gestoken reageert de NZa vandaag in twee reacties meteen op Volkskrant en de AP. De brief van de AP aan de NZa vindt u hier. De Volkskrant zou het helemaal bij het verkeerde eind hebben. Volgens de NZa richt Het convenant richt zich op aanvragen van de afzonderlijke partijen bij Vektis, en zou het niet gaan om uitwisseling tussen de deelnemende partijen onderling. Het wonderlijke van deze als mist te kwalificeren passage is dat zoiets absoluut niet in het memorandum staat. Daarin wordt Vektis niet als de spin in het web gepositioneerd. Er staat alleen dat er klein begonnen wordt en dat Vektis per 1 januari 2016 een informatieset beschikbaar stelt. Het feit dat er nog geen informatiemakelaar is doet niets af aan de betekenis van het bekend worden van het memorandum. Het is zelfs bijzonder kwalijk te noemen dat als er onderling een zorgmakelaar is afgesproken die er (nog) niet blijkt te zijn.

In de reactie op de AP geeft de NZa vandaag aan dat het niet meer aanleveren van zorgdata vanuit het DBC-Informatie Systeem(DIS) aan bepaalde derden het gevolg is van het innemen van een ander standpunt van de AP over de persoonsgegevens in het DIS. In november 2015 geeft de AP aan de NZa aan dat de gegevens in het DIS als bijzondere persoonsgegevens worden beschouwd en daardoor uitwisseling van gegevens met derden bijzondere voorzorg vergen. Reeds op 28 augustus 2015 had NZa zelf door dat het om gevoelige, bijzondere, persoonsgegevens gaat. De NZa gaf toen naar aanleiding van de rechtszaak van de Open State Foundation tegen haar aan:  

Wij vinden het onverantwoord om de data die de Open State Foundation bij ons heeft opgevraagd te geven. De organisatie wil gegevens over de aard, het tarief en de frequentie van bepaalde behandelingen per zorgaanbieder. Wat is daar gevoelig aan, zou je zeggen? Voor de meeste mensen niets: het geeft hen informatie over hoe vaak een ziekenhuis een behandeling uitvoert en tegen welke prijs. Maar er is een uitzondering: als een partij zelf meer persoonsgegevens heeft en deze slim koppelt aan de openbare data. Theoretisch kan die partij op die manier meer te weten komen over iemands ziekte, of over hoe de bedrijfsvoering van een zorgaanbieder is. Dat vindt de NZa onverantwoord.”

 Hier staat impliciet precies wat de AP in november 2015 tegen de NZa zei. Het is schaamteloos om je dan zo achter de AP te willen verschuilen. De huidige reacties van de NZa zijn een toezichtsorgaan onwaardig en zijn als klinkklare mist te beschouwen. Damage-control door de PR-afdeling zullen we maar zeggen.

Geheim

In februari van dit jaar was ik getipt door een insider die mondeling had vernomen dat de in de aanhef genoemde partijen een memorandum van overeenkomst over het uitwisselen van zorgdata waren overeengekomen in de herfst van 2015. Ondanks uitgebreide zoekacties lukt het me niet het stuk boven water te krijgen. Gelukkig zijn er af en toe verontruste mensen die ervoor zorgen dat een dergelijk stuk boven water komt. Uit het memorandum blijkt dat de uitwisseling al bijna een half jaar geleden van start ging. Het is triest dat zoiets in een zich democratische niemand land kan plaats vinden. Het geheim houden betekent ook dat alle partijen dondersgoed weten hoe gevoelig de materie is. Je kan je bovendien afvragen wat er nog meer over het uitwisselen van zorgdata geheim wordt gehouden.

W.J. Jongejan

 




SBG-database net zo “lek” als die van het DIS

female-296989_640 WJ

De stichting Benchmark Geestelijke GezondheidsZorg(SBG) is een kenniscentrum dat zich bezighoudt met het verbeteren van de kwaliteit van die zorg. Daartoe dienen zorgaanbieders in de GGZ, zowel instellingen als al dan niet vrijgevestigde zorgaanbieders in die sector, gegevens van patiënten elektronisch aan te leveren. Het benchmarken, dat men ermee doet is een strategie voor kwaliteitsverbetering. Door te vergelijken met andere behandelaars is het de bedoeling te kijken of de therapie anders, maar ook beter kan. Daartoe moet, sinds kort verplicht, een veelheid aan gegevens over patiënten elektronisch worden opgestuurd naar de SBG. Het gaat daarbij om gegevens over het volgen van de voortgang van een behandeling, de zogenaamde Routine Outcome Measurement(ROM)-gegevens en diagnostische data, de DBC-informatie op basis van de DSM-classificatie. Die laatste is een codelijst, specifiek voor psychische diagnoses. De manier van werken van de SBG met de informatie is identiek aan die bij het DIS(Diagnose Behandel Combinatie Informatie Systeem). Recent erkende de Nederlandse Zorgautoriteit(NZa) dat gegevens uit het DIS bij intelligente koppeling aan andere databases toch tot individuen herleidbaar zijn. Gezien de manier van werken speelt hetzelfde bij de SBG.

Pseudonimisering

De bij de SBG opgeslagen gegevens zijn gepseudonimiseerd. Ze zijn niet rechtstreeks naar personen herleidbaar(gedepersonaliseerd). Dat gebeurt in twee slagen. Ten eerste bij de rapporterende bron, maar ook bij een instantie de zogenaamde Trusted Third Party, die tussen de bron en de SBG in zit. Deze instantie, ZorgTTP, voert nog een keer een pseudonimisering uit alvorens de data bij de SBG opgeslagen en verwerkt worden tot benchmark-data. Op dezelfde wijze en met hetzelfde bedrijf worden de DBC-gegevens in het DIS opgeslagen, waar de NZa de beheerder van is. Het gebeurt ook allemaal via één faciliterend loket op basis van een bestuurlijk akkoord tussen het DIS, de SBG en de LVE(Landelijke Vereniging van Eerste Lijns-psychologen).

Re-personaliseren

Binnen de ICT-wereld bestaat al enige tijd het inzicht dat bij koppeling van voldoende, uitgebreide, databases op een intelligente wijze, het re-personaliseren( het herleiden tot individuen) heel wel mogelijk is.

“Given enough data, perfect anonymization is impossible no matter how hard one tries.”

Zelfs een Canadese veiligheidsdienst ging in de fout toen die een databestand met onder andere gegevens van eigen Canadese burgers doorgaf aan de Verenigde Staten, het Verenigd Koninkrijk, Australië en Nieuw Zeeland. De CSE mocht alleen maar metadata van communicatie van niet-ingezetenen van Canada legaal vastleggen en uitwisselen, maar niet van Canadese burgers. Die data dienden geanonimiseerd te worden. Uit een artikel van Israel en Parsons uit februari 2016 blijkt, dat het niet-identificeerbaar maken van gegevens door de Communications Security Establishmen (CSE) niet goed ging. Met computertechnieken van de overige vier partners in het Five-Eyes-programma bleek het toch mogelijk de gegevens die uitgewisseld werden tot personen, in dit geval Canadese staatsburgers, te herleiden.

Koppelingen

Besluiten over het koppelen van de SBG-database aan andere databases zijn voorbehouden aan het bestuur van de SBG. In de tekst hierover staat: 

“ In het dataprotocol van SBG is vastgelegd dat de beslissing om SBG-gegevens en andere gegevensbestanden aan elkaar te koppelen is voorbehouden aan het SBG bestuur. Pseudonimisering maakt de gegevens alleen maar geschikt voor deze koppeling. In welke gevallen we daadwerkelijk gegevens met elkaar in verband gaan brengen, hangt af van de onderzoeksvraag en zal in de toekomst besloten worden door het bestuur.”

Niet te achterhalen is welke koppelingen met welke databases plaatsvinden of hebben gevonden. Ook niet wie, welk onderzoek met de database, eventueel met koppeling aan andere data, gevraagd heeft.

Bij de SBG-database geldt onverkort hetzelfde als bij de DIS-database. Namelijk, dat als er maar voldoende grote, uitgebreide databases gekoppeld worden herleidbaarheid tot personen mogelijk is. Nu de NZa in de rechtszaak die de Open State Foundation aanspande dit erkent en ook op de website zet dient het SBG-bestuur op gelijke wijze hierover openheid te betrachten.

 Kwaliteitsstatuut

In de Wet kwaliteit, klachten en geschillen zorg (Wkkgz), die op 1 januari 2016 ingegaan is, wordt deelname aan het Kwaliteitstatuut verplicht gesteld per 1 januari 2017. Daarin staat dat aanlevering van ROM- en DBC-informatie verplicht is. Bij een database met zeer gevoelige informatie waarvan de gegevens op enige moment niet meer zo anoniem kunnen zijn is het uitermate de vraag of er wel een verplichting tot aanleveren moet blijven bestaan.

W.J. Jongejan




LandelijkSchakelPunt steeds duidelijker dure reus op lemen voeten

statue-974783_640

Die conclusie is te trekken uit het door Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) zelf verstrekte cijfermateriaal. VZVZ heeft op haar website www.vzvz.nl een pagina ingericht met “10 feiten over het LSP” waar de genoemde informatie te vinden is. Door deze informatie in de loop der tijd bij te houden blijkt het allemaal niet zo goed te gaan. Met name is de toename van het aantal opt-in-toestemmingen sinds september 2015 dramatisch gedaald van één per zeven seconden tot één per tweeëndertig seconden. Er is ook nauwelijks enige toename van de kans om een zogenaamde professionele samenvatting (samenvatting van diagnosen) gepresenteerd te krijgen bij opvragen via het LSP. Het opvragen van de medicatiegeschiedenis vlot wel, maar zoals eerder hier betoogt, is die nooit volledig betrouwbaar. Het wordt steeds duidelijker dat het LSP een duur en reuzengroot systeem is geworden met een beperkte functionaliteit.

Afname van toename

In september 2015 werd door VZVZ gemeld dat er 1 opt-in-toestemming per 7 seconden binnenkwam. 1 per 13 seconden was dat in december 2015. De afgelopen maanden schommelde het rond de 1 per 22 tot 24 seconden. Nu is het dan gedaald tot 1 per 32 seconden. Bijna een vijfvoudige afname dus. Het gaat over een periode van 4 weken waarover VZVZ rapporteert, dus die beperkte toestroom duurt al even. Het betekent dat de curve overduidelijk aan het afvlakken is. Bij nadere beschouwing van de cijfers van VZVZ is de groei van het aantal aangemelde BSN-nummers bij het LSP het meest gestegen bij de apotheken en het minst bij de huisartsen. Blijkbaar heeft de opt-in-verwerving in de huisartspraktijken niet een hoge prioriteit te midden van alle andere werkzaamheden en leeft het niet bij de meerderheid van de patiënten.

Trefkans

Op de genoemde webpagina van VZVZ wordt onder “feit 5” een grafiek getoond met daarop aangegeven de “hitratio” om een Professionele Samenvatting of een “Medicatie-geschiedenis” succesvol te kunnen opvragen. Bij de Professionele Samenvatting is overduidelijk dat de hitratio de afgelopen twaalf maanden vrijwel gelijk gebleven is op een niveau rond de 35 %. Voor de medicatiegeschiedenis ligt dat op bijna 100 %. Nu vereist het begrip “hitratio” van VZVZ enige uitleg. Het is het totaal aantal gevonden patiëntengegevens als percentage van het totaal aantal vragen om die medicatiegegevens en professionele samenvatting-gegevens. Het geeft dus de kans om aan bij opvraag van bijvoorbeeld medicatiegegevens data op het scherm te krijgen als er aan de aanbodkant data van die soort aanwezig moeten zijn. De ratio wordt berekend ongeacht de omvang van de populatie(in de LSP-index). Die bijna 100% voor de medicatiegeschiedenis lijkt enorm. Het kan echter zo zijn dat een zeer klein aantal patiënten bevraagd werd en dat van die patiënten de medicatiegegevens bij opvraag getoond konden worden. Zo haalt men dan een hit-ratio van 100%.

Vooruitzicht

Met de huidige aantallen opt-in-toestemmingen zal het LSP nooit die functie krijgen die men het systeem nog steeds toedenkt. Er kunnen allerlei functies aan toegevoegd worden, maar het zal nooit goed werken als de basis blijkbaar onvoldoende gedragen wordt door de burgers en de werkers in het veld. Zo blijft het een dure reus met lemen voeten, waarbij het de vraag is wanneer die omvalt.

W.J. Jongejan




Autoriteit Persoonsgegevens blaft weer en bijt opnieuw niet

dogs-567257_640

In januari en maart dit jaar besteedde Omroep Max tot twee keer toe in het programma Meldpunt aandacht aan het voorbereiden van het scannen van patiëntendossiers uit ziekenhuizen door gevangenen in België. In het tweede programma meldde omroep Max dat zeven Nederlandse ziekenhuizen het zo uitbesteden van dit werk bevestigden, maar dat men informatie had dat het om totaal veertien ziekenhuizen ging. In de Tweede kamer werden mondelinge vragen hier over gesteld, waarop de minister van VWS schreef dat de Autoriteit Persoonsgegevens (AP) actie moest ondernemen. Dat is nu gebeurt. De actie valt nogal tegen, want er zijn drie ziekenhuizen nader aan de tand gevoeld. Uiteindelijk ontdekte de AP dat één van die drie ziekenhuizen geen bewerkingsovereenkomst had afgesloten en dat bij de twee anderen deze niet voldeed aan alle wettelijk eisen voortvloeiende uit de Wet bescherming persoonsgegevens. Geen maatregel in de vorm van een boete dus, wel het verzoek om binnen korte termijn de zaken op orde te hebben. De ziekenhuizen hoorden echter op voorhand te weten dat het uitbesteden van werk aan papieren patiëntendossiers moet voldoen aan strenge voorwaarden. Voorbeelden dat het mis kon gaan waren al voorhanden. De AP deed trouwens geen onderzoek naar alle ziekenhuizen waarvan bekend was dat die zo handelden.

Verlengstuk wetgever

Uit eerdere acties van de AP blijkt dat deze instantie liever een braaf adviserend verlengstuk van de wetgever wil zijn en niet een actieve waakhond die maatregelen neemt in de vorm van boetes. Men kiest keer op keer voor de weg van het waarschuwen van overtreders, ze nog een keer op de wettelijke regels wijzen, ze uitgebreid de kans geven om de overtredingen te corrigeren in plaats van het opleggen van maatregelen zoals boetes. Een zeer duidelijk voorbeeld was de reactie op de overtredingen bij het gemeentelijke gebruik van het Suwinet. Bij het onderzoek in 2014 naar het correct registreren van de opt-in-toestemmingen voor het opvragen van medische gegevens via het Landelijk SchakelPunt(LSP) gebeurde hetzelfde. Wat ook pijnlijk duidelijk wordt is dat bij veel onderzoeken die de AP doet sprake is van een zeer beperkte steekproef onder de (potentiele) zondaars. Men hoopt bij de AP dat van de uitspraken bij enkele overtreders een regulerend dan wel corrigerend uitgaat bij de andere overtreders.

Budgettaire beperking

De beperkte steekproeven zijn ongetwijfeld het gevolg van de zeer beperkte budgettaire ruimte die de AP heeft. De voorzitter vroeg aan de regering het vijfvoudige van het huidige budget, maar kreeg dat niet. Men kan daarom maar één ding constateren. Dat is dat de beperkte slagkracht van de AP een bewuste politiek keuze is. Op deze wijze kan de regering c.q. een betrokken bewindspersoon altijd zeggen dat de AP een bepaalde zaak in onderzoek heeft en maatregelen zal treffen, wetende dat de output van de AP niet echt een klap met een bokshandschoen zal zijn, maar eerder een aai.

Gezag

De handelswijze van de AP is beslist niet krachtig te noemen. Zulks in tegenstelling tot de andere toezichthouders die we in Nederland kennen. Al dan niet forse boetes en maatregelen tegen bestuurders deelden die uit, waartegen dan ook weer geprocedeerd werd. Het kan zijn dat de AP bewust de huidige handelswijze prefereert omdat men gewoon geen capaciteit heeft om naast het “handhaven” ook nog gerechtelijke procedures te voeren. Het blijft ook nu dus weer bij blaffen zonder te bijten.

Gezag moet je verdienen en komt niet vanzelf.

W.J. Jongejan

 

 

 

 

 




Gen-patenten en medische big-data analyse

dna-24559_640

Op het eerste gezicht lijken het twee volkomen verschillende grootheden, maar er bestaat wel degelijk belangrijke gemeenschappelijke aspecten. Het is zeker leerzaam om de toenemende pogingen van wereldwijd opererende bedrijven om genen te patenteren en om biometrische en zorg-gegevens van mensen te verzamelen en te analyseren met elkaar te vergelijken. Het gaat daarbij om “gene-grabbing” versus “health-data-grabbing”. Het doel van beide activiteiten is om de markt volledig naar de eigen hand te zetten, bestaande gegevens intensief te exploiteren en snel te komen tot grote winsten. In de landbouw hebben de acties van zeer grote bedrijven als Monsanto, Syngenta, Bayer, BASF, Dow en Pioneer tot grote weerstand geleid bij critici. Deze bedrijven patenteren al dan niet genetische gemanipuleerde gewassen, waardoor een monopolie-positie ontstaat op de gebieden waarop die bedrijven actief zijn. Ook is getracht bij de mens voorkomende genen te patenteren en op die basis dure diagnostische tests exclusief op de markt te brengen(BRCA-testen bij borstkanker). De laatste paar jaar wordt duidelijk hoe grote bedrijven zich storten op het toegang krijgen tot omvangrijke hoeveelheden biometrische gegevens, bijv. door de data die via meet- en fitnessapps verkregen worden. Daarnaast sluiten bedrijven als Google contracten met zorginstellingen om grote hoeveelheden medische data te kunnen analyseren. Dat gebeurt echt niet op filantropische basis, maar met het oogmerk expertsystemen en andere diagnostische/besluitvormings-programma’s op de markt te brengen. Die dan weer voor veel geld in de zorgsector aan de man gebracht kunnen worden.

Plantengenen

Plantenveredeling is sinds jaar en dag een gerespecteerde activiteit van daartoe gespecialiseerde bedrijven. Door het kruisen en selecteren van rassen is het mogelijk gewassen te doen ontstaan die een betere opbrengst hebben of resistentie tegen bepaalde ziektekiemen te ontwikkelen. Dat werk gaat continu door en werd het resultaat werd in het verleden niet gepatenteerd. De grote bedrijven die ik in de aanhef noemde zijn de al dan niet door genetische manipulatie verkregen gewassen gaan patenteren. Dat lukt in meerdere landen, ook in de Europese Unie bij de European Patent Organisation(EPO). Vaak hebben die bedrijven ook de bestrijdingsmiddelen in hun productassortiment en vindt een koppelverkoop van zaad en bestrijdingsmiddel plaats De gevolgen van het patenteren beschrijft de kritische organisatie Bionext als volgt:

  • de grote bedrijven als Monsanto, Dupont en Syngenta krijgen steeds meer controle op de wereldwijde zaad- en voedselproductie;
  •  Kleinere, ook biologische, zaadbedrijven mogen deze geoctrooieerde planten niet meer gebruiken voor de ontwikkeling van nieuwe rassen en worden zo uit de markt gedrukt;
  •  Geoctrooieerde eigenschappen kunnen op natuurlijke wijze kruisen met andere planten, waarna de octrooihouder de boer kan aanklagen voor octrooi inbreuk;
  •  Boeren betalen hogere prijzen voor hun zaad, consumenten krijgen minder keuze en de biodiversiteit neemt af.

Het probleem met de werkwijze van deze grote agro-chemische bedrijven is dat zij voor hun veredeling veelvuldig gebruik maken van het genetische materiaal dat in de natuur voorhanden is. De genen zijn dus vaak geen eigen vinding. Wel hebben ze de weg tot het eindproduct bedacht. Het is echt big business, waarbij de groten worden door fusie/overname steeds groter worden. Deze week werd duidelijk dat de top van de chemiereus Bayer(beurswaarde 79 miljard euro) nadenkt een bod voorbereid op de zaadveredelingsgigant Monsanto(beurswaarde 38 miljard euro).

Menselijke genen

Patentering van menselijke genen en diagnostische testen is in het recente verleden geprobeerd. Het ging daarbij om het patent op het isoleren van het BRCA1 en 2 borstkanker-gen door de firma Myriad, oorspronkelijk een start-up van de universiteit van Utah(1994). Het patenteerde ook diagnostische tests die daarop gebaseerd waren. In 2012 had het bedrijf al 1200 werknemers en een omzet van een half miljard dollar. Vanwege die patenten vroeg Myriad voor een uitgebreide BRCA test ruim 4000 dollar per test. De firma kon de prijs gewoon dicteren. Gelukkig is er in de Verenigde Staten tot aan het hooggerechtshof geprocedeerd door principiële tegenstanders van deze patenten. Op 13 juni 2013 deed dit hof een zeer belangrijke uitspraak. Het stelde dat menselijke genen niet gepatenteerd konden worden in de V.S., omdat DNA een “product of nature” is. Voor deze uitspraak waren meer dan 4300 menselijke genen gepatenteerd. Deze werden door deze uitspraak alle ongeldig. Diagnostische testen voor BRCA worden nu aangeboden voor veel lagere bedrage. Het verhaal geeft ook weer aan dat het patenteren van genetisch materiaal een zeer lucratieve bezigheid is.

Medische big-data

De laatste paar jaar is er een wildgroei ontstaan aan apps voor smartphones om biometrische gegevens en data van lichaamsfuncties in te voeren en te laten analyseren. De data worden opgeslagen op de servers van de producenten van de apps. Vaak zijn ze gratis. De klant betaalt niet, maar de aangeleverde data bevatten voor een data-miner een schat aan informatie om geld mee te verdienen. Door “profiling” op basis van die informatie kan gericht geadverteerd, dus geld verdiend worden. Ook zien we een wereldspeler als Google al dan niet via recent overgenomen bedrijven deals sluiten om grote hoeveelheden zorggegevens te ontsluiten. De zo verkregen data zijn het nieuwe goud dat op wereldschaal gedolven wordt .

Overal waar geld en macht te verwerven is op een relatief makkelijke manier vindt “resource-grabbing” plaat, of het nu om water, land, bossen, ruwe delfstoffen( olie, gas, mineralen en edelstenen), visserij of genetische bronnen gaat. Hoe eerder de toegang en hoe groter de voorsprong op concurrenten des te groter is de winst. Het is een proces dat we in eigen land ook zien bij de zorgverzekeraars die door de exclusieve centrale sturingsmacht zeer gulzig naar informatie zijn geworden. De door het veld onder dwang geleverde data worden weer gebruikt in onderhandelingen over kostenbeheersing, tarieven, etc.

Niet iedereen die data beschikbaar stelt aan derden ter bewerking realiseert zich welke enorme belangen de tegenpartij heeft.

Al met al hebben het (pogen) patenteren van genen en het analyseren van health-big-data veel gemeen. Het gaat om resource-grabbing, dus om geld, veel geld.

W.J. Jongejan

 

 




BCC bij e-mail niet gebruiken kan zeer kwalijk en kostbaar blijken

email-273502_640

Dat ervoer in Londen een sexual health clinic, onderdeel van de Chelsea and Westminster NHS Foundation Trust. Die kreeg van de Information Commissioner’s Office(ICO), de Britse equivalent van de Autoriteit Persoonsgegevens een boete van 180.000 Pound Sterling vanwege het zeer slordig versturen van e-mails. Het e-mailen van patiëntgegevens met standaard e-mail is sowieso uit den boze, maar ook met iets wat onschuldig lijkt kan het misgaan.  Een nieuwsbrief die ging over de behandeling van HIV-patiënten werd aan 781 email-adressen gestuurd door gebruik te maken van het CC- in plaats van het BCC-veld. Hierdoor was het aan alle ontvangers duidelijk naar wie nog meer de mail verzonden was. Het speelde zich af in 2015. De berichtgeving hierover staat op de website www.theregister.co.uk. Aangezien het ook voor de Nederlandse zorg van belang is besteed ik er graag aandacht aan. 730 personen waren direct uit de emailadressen herleidbaar. Van de ontvangers was een klein aantal niet lijdend aan een HIV-besmetting. Een nieuwsbrief verzenden. Het lijkt allemaal zo onschuldig maar bij een dermate gevoelig onderwerp als HIV moet men extra beducht zijn op uitglijders. Het was ook de tweede keer dat de instelling op dezelfde wijze in de fout ging. In 2010 gebeurde het eerder.

Bont

De kliniek maakte het bij de fout in 2015 wel heel bont toen een tweede mail aan alle geadresseerden om de fout “ongedaan te maken”, verstuurd werd, waarschijnlijk met het verzoek de mail te vernietigen. Deze correctiemail werd weer zonder gebruik van het BCC-veld naar alle ontvangers gestuurd!! Pas een derde mail van de leiding werd op de correcte wijze als Blind Carbon Copy verstuurd.

ICO

Op de website van de ICO is door te zoeken op “fine”(=boete) of op “BCC” te vinden dat dit soort problemen vaker voorkomen en tot een boete geleid hebben. Op de website van de ICO wordt duidelijk dat deze organisatie aardig actief is. Ze houdt zich niet alleen met boetes uitdelen bezig, maar doet ook uitgebreid audits om te zien of privacyrichtlijnen wel opgevolgd worden. Wat weer niet helemaal te begrijpen is dat de ICO een recente samenwerking tussen de dochter DeepMind van Google en anderzijds drie Londense ziekenhuizen vooralsnog lijkt toe te staan terwijl een hele grote groep patiënten geen opt-out kan uitoefenen. Daarenboven is een opt-out-toestemming bij privacy-zaken in de zorg niet meer van deze tijd. Het dient een bewuste, wel ingelichte, opt-in-toestemming te zijn.

Autoriteit persoonsgegevens

Deze heeft pas sinds 1 januari 2016 de mogelijkheid (forse) boetes uit te schrijven bij schendingen van de privacy in de zorg. Tot nu toe is er geen bericht naar buiten gekomen van het uitdelen van een boete binnen de zorg. Mogelijk gaat het recente dataverlies met een mobiele harde schijf of USB-stick wel beboet worden of de verkeerde adressering van een e-mail met jeugdzorggegevens in Amersfoort.

We gaan het zien.

W.J. Jongejan




En opeens konden weekendarts en apotheker via het LSP geen gegevens opvragen

error-63628_640

Dat overkwam dit weekend de dienstdoende huisartsen op de huisartsenposten als ze gegevens wilden opvragen via het Landelijk SchakelPunt(LSP) bij huisartsen die een Huisarts Informatie Systeem(HIS) van de CompuGroup Medical(CMG) hebben. Ook de dienstdoende apothekers hadden er last van. Het gaat om de HIS-sen CMG-Huisarts, CMG-apotheekhoudend-Huisarts en CGM-HetHIS en de apotheeksystemen CMG-Apotheek en CMG-APOSYS. Er waren veel communicatieverstoringen tussen die systemen en het LSP. Dit blijkt uit een email die de gebruikers van CMG-systemen vandaag ontvingen. Bij het behandelen van een patiënt op de huisartsenpost was de informatie bij opvragen niet of onvolledig beschikbaar. De dienstdoende apotheken konden ook geen betrouwbare medicatieoverzichten via het LSP opvragen. Het bedrijf CMG vraagt daarom o.a. de apothekers bij de patiënten die in het weekend de dienstapotheek bezochten, indien nodig, opnieuw het LSP te bevragen. Het probleem is dat je bij bevragen van brondossiers bij binnenkomst van de gegevens wel weet wat je ziet, maar niet weet wat je mist. Daardoor is elk in dit weekend opgevraagd dossier niet volledig te vertrouwen.

Breed

Gezien de melding dat er geen specifiek CMG-systeem gemeld wordt in de email en gesproken wordt over “CMG-systemen” moet aangenomen worden dat de problemen ontstaan zijn in centrale servers van CMG. Daarop draaien de genoemde informatiesystemen(indien web-based) dan wel de software voor de connectie met het LSP. Hoewel het niet vermeld staat in de email, gaat het bij storingen in een weekend met een dergelijke breedte meestal om software-updates of hardware-upgrades, die in een weekend uitgevoerd worden en die niet perfect verlopen.

VZVZ

Op de website van de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), die het LSP beheert, worden dit soort problemen nooit vermeld. Ook bij gelijksoortige problemen in het recente verleden met het HIS Medicom maakte VZVZ nooit melding ervan op de website. Hoewel het strikt genomen een probleem is dat niet in het door VZVZ beheerde deel van de data-transport-keten plaatsvindt, is VZVZ toch verantwoordelijk voor de mate van betrouwbaarheid van de opgevraagde informatie. Er ontstaat anders een te rooskleurig beeld van de datacommunicatie via het LSP. Wat men niet beseft is dat informatie over de verminderde betrouwbaarheid  van de medische datacommunicatie via het werkveld vroeg of laat altijd bekend wordt. Open communiceren over dit soort problemen verdient nog altijd de voorkeur.

W.J. Jongejan

 




Nieuwe ronde in voortslepende behandeling wetsontwerp medische datacommunicatie

courtyard-591425_640

 

Het wetsontwerp 33509 dat de medische datacommunicatie een wettelijke basis moet geven is al vanaf 8 juli 2014 in behandeling bij de Eerste Kamer. Inmiddels zijn we bijna twee jaar verder en stuurt de vaste commissie voor VWS weer een serie vragen naar de minister. Die moet dan weer met een nota, dan wel nota van wijziging komen. Het einde van de behandeling van dit wetsontwerp is dus nog steeds niet in zicht. Na een deskundigenbijeenkomst op 5 april dit jaar heeft de commissie behoefte aan antwoorden op gerezen vragen. Het wetsontwerp geeft aan welke extra rechten en waarborgen voor cliënten van toepassing zijn bij elektronische gegevensuitwisseling en bij het beschikbaar stellen van gegevens via een elektronisch uitwisselingssysteem. In principe geldt het wetsontwerp voor alle vormen van elektronische medische datacommunicatie, maar het wetsontwerp is wel speciaal toegesneden op het gebruik van het Landelijk SchakelPunt(LSP).

Inbreng

De terminologie die de Eerste kamer gebruikt bij de behandeling van wetsvoorstellen is soms wat minder duidelijk dan men zou wensen. Na de deskundigenbijeenkomst kondigt de commissie op 12 april j.l. aan op 17 mei inbreng voor verslag te leveren. Gelukkig zijn er websites die een exegese van deze terminologie verschaffen. Bij de inbreng worden opmerkingen en vragen van de Eerste Kamerleden door de griffier van de commissie verzameld en in een verslag gebundeld. Dat gaat naar de minister die daarop dient te reageren met een nota, eventueel een nota van wijziging. Pas als de minister bevredigend gereageerd heeft op alle vragen en opmerkingen kan de commissie besluiten worden dat een plenaire zitting gaat volgen. In tegenstelling tot de Tweede Kamer heeft de Eerste Kamer geen recht van amendement; de leden kunnen vragen stellen, commentaar geven, vragen om toezeggingen en over het wetsvoorstel stemmen, maar er geen veranderingen in aanbrengen.

Zomerreces

Na het beantwoorden van de vragen van senatoren moet de commissie het bespreken van het antwoord van de minister opnieuw agenderen. Na bespreking van de nota in de commissie kan pas besloten worden of en wanneer plenaire behandeling van het wetsontwerp kan gaan plaatsvinden. De zomerstop van de Eerste Kamer is van 13 juli tot 12 september aanstaande. Het is dan ook vrijwel zeker dat één en ander over het zomerreces heen getild gaat worden.

Eigen schuld

Gerust kan gesteld worden dat de minister de zeer lange behandelduur(bijna twee jaar) van het wetsontwerp 33509 geheel over zich zelf heeft afgeroepen. Deels komt dat door de terecht kritische houding,  grotendeels door de opstelling van de minister. Vorig jaar bijvoorbeeld antwoordde zij pas na een half jaar op vragen van de Eerste Kamer. Zij voerde zelf ook het begrip gespecificeerde toestemming in om het opvragen van medische gegevens mogelijk te maken. Het invoeren van dit gekunstelde principe heeft echter als een boemerang de minister weer getroffen. De Eerste Kamer heeft bijzonder veel moeite met de gevolgen van dit principe. De minister heeft daarnaast in de Memorie van Antwoord die ze vlak voor de jaarwisseling naar de Eerste Kamer stuurde de zaken zelf weer ingewikkelder gemaakt door het registreren van de gespecificeerde toestemming drie jaar uit te willen stellen.

Lijdensweg

Al met al is de behandeling van het wetsontwerp 33509 een parlementaire lijdensweg geworden. Tijdens een hoorzitting/ronde tafel gesprek in de vaste commissie voor VWS van de Tweede Kamer op 6 maart 2013 vroegen Kamerleden mij op welke wijze ogen het wetsontwerp aan te passen zou zijn om het aanvaardbaar te maken voor de Eerste Kamer. Ik heb toen geantwoord dat ik die mogelijkheid niet zag en dat het ronduit een slecht wetsontwerp is.

Dat blijkt.

W.J. Jongejan

 




Vreemde deal Google met NHS-ziekenhuizen. Nederland geen haar beter

analytics-1368293_640

 

Recent kwam via een publicatie op de website van de New Scientist naar buiten dat Google via een bedrijf, DeepMind, dat men in 2014 opkocht voor 400 miljoen Pound Sterling, toegang krijgt tot zorggegevens van enkele miljoenen mensen. Die data zijn afkomstig uit drie ziekenhuizen van de Royal Free Trust in Londen. Ze vallen onder de National Health service(NHS). Het gaat om de gegevens van de ongeveer 1,6 miljoen mensen die jaarlijks die ziekenhuizen bezoeken. Ook wordt toegang verkregen tot de door die ziekenhuizen opgeslagen zorggegevens van de afgelopen vijf jaar. Aanvankelijk leek het erop dat de deal tussen Google en de Royal Free Trust alleen over acuut nierlijden zou gaan, maar de nu bekend geworden samenwerkingsovereenkomst laat zien dat het om een veel meer data van legio ziekten gaat. De overeenkomst met een commerciële partij die aan data-mining doet roept veel vragen op. Zowel wat privacy betreft als ook over de wenselijkheid een dergelijk bedrijf te faciliteren bij het exploreren en exploiteren van medische gegevens. In Nederland is het geen haar beter. Tot voor zeer kort konden gegevens uit het DBC InformatieSysteem(DIS) door derden gebruikt worden voor nadere analyse.

DeepMind

Dit bedrijf is een Britse start-up die zich bezighoudt met kunstmatige intelligentie en die gebruikt om medische expert-programma’s/apps te ontwikkelen. De bedoeling is om bijv. te kunnen voorspellen welke patiënten grotere kans op complicaties hebben. In februari van dit jaar leek het erop dat DeepMind met de genoemde NHS-ziekenhuizen alleen een deal had gesloten om een app, Streams, te kunnen maken die acute nierbeschadiging snel kan opsporen. Naar nu blijkt behelst de overeenkomst de verwerking van veel meer gegevens van de in de ziekenhuizen behandelde patiënten. Het gaat om de naar schatting 1,6 miljoen mensen die in 2016 de ziekenhuizen zullen passeren. Daarenboven krijgt DeepMind toegang tot de gegevens van alle patiënten die de laatste vijf jaar de ziekenhuizen bezochten. In de overeenkomst staat op pagina 3 waarvoor de data gebruikt worden.

“Outputs include tools toe enhance adherence to, and implementation, of, NHS/NICE guidelines. This will consist of: (i) Patient Safety Alerts for Acute Kidney Injury, and (ii) Real time clinical analytiscs, detection, diagnosis en decision support to support treatment and avert clinical deterioration across a range of diagnoses and organ systems.”

Het gaat dus om veel meer dan alleen acute nierbeschadiging.

Beveiliging

Heel veel staat er in de overeenkomst over hoe de beveiliging van de data en de verwerking ervan geregeld is. De gegevens worden naar een Trusted Third Party gestuurd. Patiëntgegevens worden gepseudonimiseerd. Het vervelende van pseudonimisering is echter dat als er bij een big-data-analyse maar genoeg databestanden gekoppeld worden het zeer wel mogelijk is de identiteit van iemand te herleiden. Hoe meer data des te minder anoniem dus.

Privacy

Er wordt in het hele document met geen woord gerept over de toestemming van de patiënt om mee te werken. De NHS kent alleen een opt-out-principe. Van alle patiënten worden de gegevens gebruikt behalve van degenen die dat niet willen. Voor het komende jaar kunnen mensen eventueel nog aangeven niet te willen dat hun gegevens gebruikt worden, maar voor de data die tot vijf jaar terug gebruikt mogen worden is dat niet mogelijk. Het opt-out-principe is een niet wenselijke toestemmingsvorm. In Nederland kennen we het opt-in-principe, waarbij verwerking in principe niet mag tenzij de patiënt toestemt. Bovendien zit de patiënt bij bezoek aan deze ziekenhuizen in een afhankelijkheidsrelatie waardoor weigeren psychologisch gezien moeilijk is.

Commercieel

De vraag is of je het laten analyseren van medische gegevens wel moet uitbesteden aan een zeer grote commerciële partij als Google. Google is geen filantropische instelling en staat bekend om haar verdienmodel op basis van data-mining. Door het samenwerken met een bedrijf dat wereldwijd opereert en met DeepMind een nieuw marktdeel verkent, werkt men mee aan een monopolie-positie van dat bedrijf op het vlak van het exploreren en exploiteren van medische data. In het bekend geworden samenwerkingsprotocol is nergens een financiële paragraaf te vinden. Ik kan me niet goed voorstellen dat de tegenprestatie van Google alleen de aangekondigde expertsoftware wordt die op basis van de data ontwikkeld gaat worden.

Nederland

Je zou denken, dat een dergelijke beschikbaarstelling van medische gegevens in Nederland niet voorkomt. Niets is minder waar. Wij kennen hier een heel grote database waarin van de diagnosegegevens van alle Nederlanders opgeslagen zijn. Het gaat om het DIS. Dat is het DBC Informatie systeem dat onder verantwoordelijkheid van de Nederlandse Zorgautoritei(Nza) opereert. Tot voor zeer kort(tot december 2015) konden derden bij de NZa een aanvraag indienen om de gepseudonimiseerde gegevens te mogen gebruiken voor analyses. Het was al langer duidelijk dat de gepseudonimiseerde DIS-gegevens te herleiden waren tot individuen. Vanaf 2008 heeft de Koepel van DBC-vrije Praktijken(KDVP) al gezegd dat het DIS niet privacy-proof is. In 2015 gaf de NZa in een rechtszaak die de Open State Foundation had aangespannen, toe dat de DIS-gegevens tot personen herleidbaar waren. Daarop besloot de NZa eind 2015 de gegevens vooralsnog niet aan derden te verstrekken. Het College Bescherming Persoonsgegevens(CBP), nu Autoriteit Persoonsgegevens(AP) hield lange tijd vol dat het niet ging om persoonsgegevens, en stond doorlevering aan derden toe. Nadat de NZa had toegegeven dat de data niet echt anoniem zijn, besloot de AP een onderzoek in te stellen, want als het om bijzondere, want medische, persoonsgegevens handelt kan doorlevering aan derden niet plaatsvinden. In januari 2016 kwam de AP met een oordeel. Zorgverleners dienen de gegevens alleen nog maar anoniem, d.w.z. zonder de (direct en indirect) identificerende kenmerken aan te leveren. Bovendien moet er een andere oplossing komen voor de pseudonimisering van de gegevens. Gedacht wordt aan het tussen schakelen van een Trusted Third Party. Aan welke derden men gegevens uit het DIS verstrekt, wordt eigenlijk nergens duidelijk. Hoewel Google wel niet bij het DIS zal hebben aangeklopt, is het zeer wel mogelijk dat in Nederland medische data ten onrechte door derden zijn geanalyseerd.

Resourcegrabbing

Wat we met de deal van Google zien is eigenlijk een vorm van resource-grabbing. Grote spelers op de wereldmarkt pogen lucratieve deelmarkten te exploreren en verkregen informatie dan wel ervaring te gebruiken in hun businessmodel. De jurist Ab van Eldijk, voorzitter van de KDVP schreef er een zeer lezenswaardig artikel over. Google zet dan eens hier, dan eens daar, veel geld in om nieuwe deelmarkten te verkennen, maar stoot daarbij weleens de neus. In 2014 nam het voor 500 miljoen dollar Boston Robotics over, een bedrijf dat veelbelovend leek met zich zelf voortbewegende, soms humanoïde robots. Dit jaar zette Google het bedrijf weer in de verkoop en verschoof de aandacht naar het analyseren van medische data. Het al te makkelijk denken van zorginstellingen of koepelorganisaties over het beschikbaar stellen van die data faciliteert bedrijven die medische data willen gebruiken voor hun eigen verdienmodel.

W.J. Jongejan

07-05-2016 08.40u:  Niet werkende link naar artikel Ab van Eldijk hersteld.

 




Weer datalek met patiëntgegevens op mobiele gegevensdrager

firefighters-808901_640

Het is weer raak en je kon er ook gewoon weer op wachten. Een mobiele gegevensdrager, in dit geval een USB-stick, met daarop medische gegevens, raakte zoek bij verzending per post. Naar verluidt zijn de gegevens op de USB-stick niet versleuteld geweest. Op de website van het Algemeen Dagblad staat vanmorgen een artikel hierover. De gegevens betreffen de afhandeling van een schadeclaim die de GGD IJsselland aan de broek kreeg na een onterechte aangifte van verwaarlozing bij het Advies Meldpunt Kindermishandeling in 2013. De USB-stick was verstuurd naar SMI-Expertises, een onafhankelijk bureau voor de claimafhandeling van medische- en professionele beroepsfouten. Hij bevatte gedetailleerde informatie over de gezinssituatie, de onterechte beschuldiging bij het meldpunt kindermishandeling, onderzoeksrapporten en documenten van bureau jeugdzorg. Al met al dus zeer gevoelige informatie.

Grove fouten

Zoals eerder door mij betoogd bij het verlies van een mobiele harde schijf met behandelgegevens van het Anthonie van Leeuwenhoekziekenhuis zijn hier weer elementaire fouten gemaakt met gegevens die onder het medisch beroepsgeheim vallen. In de eerste plaats is het op een USB-stick zetten van deze data en vervolgens deze per post versturen de grootste fout. Daarnaast is het onvergeeflijk dat de data niet versleuteld op het medium stonden. Voor het versturen van deze informatie zijn beveiligde elektronische kanalen voorhanden, maar ook het simpel door een eigen personeelslid koerier doen bezorgen van het dossier bij SMI-Expertises was een veilige manier geweest. Het is verbazingwekkend hoe vaak in de zorg de elementaire regels op dit vlak geschonden worden.

Verantwoordelijkheid

De directeur van GGD IJsselland zegt de gang van zaken ten zeerste te betreuren en alles in het werk te stellen om de gevolgen zo veel mogelijk te beperken. Het zijn bezwerende woorden bij een kwaad dat al geschied is. Weg is weg. De directie is ten volle verantwoordelijk voor wat een personeelslid in deze kwestie gedaan heeft. Blijkbaar zijn er binnen de organisatie geen voorschriften hoe met mobiele gegevensdragers wordt omgegaan. Het is ook niet aannemelijk dat het beoordelen en verzamelen van de informatie voor verzending door een subaltern personeelslid is gedaan. Gegevens die bestemd zijn voor de afhandeling van een schadeclaim worden meestal hoog in de organisatie afgehandeld. Evenmin kan ik me voorstellen dat de betrokken, hogere, medewerker een ander opdracht heeft gegeven de USB-stick in een envelop te stoppen en te doen verzenden. Het is zorgelijk dat dit bij een organisatie als de GGD kan gebeuren.

Zorg-breed

Dankzij de meldplicht van datalekken is het vanaf 1 januari 2016 niet meer mogelijk dit soort incidenten onder het tapijt te vegen. Naar mijn inschatting wordt er zorg-breed zeer nonchalant met vastgelegde medische informatie omgegaan. Het risicobewustzijn is ronduit zorgwekkend. Het varieert van het op een werkstation plakken van toegangscode met wachtwoord of het in de kaartlezer laten staan van een toegangspas bij hertverlaten van de werkplek tot het uitermate slordig omgaan met medische informatie op al dan niet mobiele gegevensdragers. Zorgverleners willen primair zorg verlenen en vinden databeveiliging vaak alleen maar lastig.

Het zal vermoedelijk niet lang duren voor er weer een datalek in de zorg aan het licht komt.

W.J. Jongejan