27 jul

Big-data-analyse van zorgdata vereist big(-data)-toestemming

directory-973992_640

 

De laatste maanden staan de media vol met verhalen over de zegeningen van big-data-analyse van medische data. Ondergesneeuwd bij die informatie is vaak de wijze waarop de data verkregen worden en het verkrijgen van toestemming van burgers om die data te mogen gebruiken. Bij het uitdragen van de big-data-boodschap lijkt echter de toestemming van de burger als vrijwel automatisch verstrekt te worden beschouwd. De verhalen die belanghebbenden schrijven gaan eigenlijk onveranderd over de enorme gezondheidswinst die te behalen is met big-data-analyse, daarmee aangevend dat men toch wel heel dom moet zij er niet mee in te stemmen of niet mee te werken. Niet vergeten moet worden dat degenen die dat roepen zelf grote financiële belangen hebben bij deze data-verzameling en analyse. Voor het verzamelen van big-data is echter toestemming nodig die moet voldoen aan bestaande wet- en regelgeving.  

Wbp

Men moet echter wel beseffen dat ook bij de voornoemde plannen de bestaande wet- en regelgeving gewoon van toepassing is. Dat is voornamelijk de Wet bescherming persoonsgegevens(Wbp). Toestemming voor het delen van zorgdata kan in Nederland uitsluitend met het opt-in-principe. Het betekent dat burgers hun toestemming voor de verwerking van de gegevens pas mogen geven na voldoende voorgelicht te zijn. Bij het gegevens verzamelen moet sprake zijn van een nauw omschreven doelbinding (art.7 Wbp). Bovendien moet het voldoen aan vereisten van proportionaliteit en subsidiariteit(art.8 Wbp). Het proportionaliteitsbeginsel houdt in dat de inbreuk op de belangen van de bij de verwerking van persoonsgegevens betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel. Ingevolge het subsidiariteitsbeginsel mag het doel waarvoor de persoonsgegevens worden verwerkt in redelijkheid niet op een andere, voor de bij de verwerking van persoonsgegevens betrokkene minder nadelige wijze kunnen worden verwerkelijkt.   

Gegevensverzameling

Enerzijds leunt het verkrijgen van data omtrent lichaamsfuncties op de activiteiten van “gezonden”, d.w.z. mensen die via apps meetwaarden zoals pols-/ademhalingsfrequentie, temperatuur, bloeddruk etc. vastleggen. De data zullen dan bij de leverancier van de app in een database worden vastgelegd. De app-gebruiker dient dan wel tevoren te weten dat dit gebeurt en vervolgens ook wat er met de data gebeurt. Anderzijds gaat het bij medische dataverzamelingen om gegevens die men mogelijk bij zorgverleners of zorginstellingen wil verkrijgen. Van elke meewerkende patiënt moet dan allereerst toestemming na voorlichting over het doel verkregen moeten worden. Het doel mag krachtens de Wbp ook niet te algemeen geformuleerd zijn( ‘”het is tot ieders nut” of “vroeg of laat heeft u er baat bij”) en moet dus gespecificeerd zijn. Dataverzamelingen die aangelegd zijn met éen gespecificeerd doel kunnen niet daarna voor een willekeurig ander doel gebruikt worden, omdat het zo handig is dat de gegevens er nu eenmaal zijn. Zie hiervoor de uitleg bij art. 7 Wbp op de website van de Autoriteit persoonsgegevens. Er kunnen wel meerdere doeleinden zijn, maar die moeten dan tevoren nadrukkelijk als een hoofddoelstelling en nevendoelstellingen omschreven zijn. De doelstelling moet welbepaald en uitdrukkelijk zijn omschreven. Dat betekent dat bij de verkregen toestemming van de patiënt het ongelimiteerd blijven analyseren van dezelfde data-voorraad niet mogelijk is omdat er dan sprake is van “function-creep”. Veranderen de doeleinden dan dient opnieuw toestemming van de patiënt verkregen te worden.

LSP

Zij die denken dat de opt-in-toestemming voor het uitwisselen van zorgdata tussen zorgaanbieders via het Landelijk SchakelPunt bruikbaar is voor het big-data-analyseverhaal komen bedrogen uit. De toestemming is uitsluitend voor uitwisseling via het LSP en die toestemming betreft een ander duidelijk omschreven doel: het uitwisselen van zorgdata tussen zorgaanbieders onderling.

Pseudonimisering

Gegevens vastgelegd in grote dataverzamelingen zijn voor de verwerker meestal niet interessant als ze volledig geanonimiseerd zijn. Bij koppeling aan databestanden uit andere bron kunnen dan geen dwarsverbanden die betrekking hebben op hetzelfde individu of groepen individuen gevonden worden. Daarom is er vrijwel altijd sprake van gepseudonimiseerde bestanden waarbij identificerende items van individuen op enigerlei wijze vervangen zijn door pseudoniemen. Het probleem daarbij is meestal dat ergens in de versleutelingsketen mensen of instanties zijn die de versleutelwijze kennen en de data weer aan individuen kunnen koppelen. Dat probleem speelt onder andere bij de Diagnose-Behandel-Combinatie database. Een mogelijk oplossing voor deze problematiek kan de polymorphische encryptie and pseudonymisatie zijn die in Nijmegen op de Radboud Universiteit door oa. prof. Eric Verheul ontwikkeld is. Deze techniek is nog in een testfase binnen de universiteit dus conclusies over gebruik in het “vrije veld” zijn nog niet mogelijk.

Toestemming

Alle constructies om big-data te verzamelen moeten voldoen aan de thans bestaande wet- en regelgeving. Daarbij is het op dit moment onzeker of het wetsontwerp 33509 dat handelt over de toestemming van patiënten voor het elektronische uitwisselen van zorgdata na een jarenlange behandeling door de Tweede en Eerste Kamer ook daadwerkelijk aangenomen gaat worden. Gezien de inspanningen die men zich moet getroosten om een zeer grote dataverzameling aan te leggen kan het haast niet anders dan dat geprobeerd zal worden de doelstelling voor een dergelijke verzameling heel algemeen te formuleren, maar dat strookt weer niet met het voornoemde art.7 Wbp.

Hier wringt wat men wil met een big-data-verzameling dus met de wet.

In een volgend artikel zal ik duidelijk maken hoe het Philips-concern met het nieuwe business-model denkt een big-data-verzameling van zorgdata aan te leggen.

W.J. Jongejan

Eén reactie op “Big-data-analyse van zorgdata vereist big(-data)-toestemming

  1. Beste Wim
    wat geef je toch op een fantastisch manier kritische informatie over de actuele ontwikkelingen in Zorg , de overmatige overheidsbemoeienis en de schendingen van de privacy enz
    een baken in de branding

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *