Aanleggen centrale databases met gepseudonimiseerde zorgdata is organisatorische en politieke keuze

marionetOp deze website heb ik vele artikelen geschreven over de problemen die gepaard gaan met het gecentraliseerd verzamelen van gepseudonimiseerde zorgdata. Voorbeelden van dat soort dataverzamelingen zijn het DBC Informatie Systeem(DIS), de ROM-dataverzameling door SBG(GZ) en de poging tot voortzetting door Akwa GGZ, en de databases van de verslavings- en traumazorg. Die laatste trokken vorige week aandacht omdat het ministerie van VWS met een reparatiewetje wil komen om die data toch centraal te verzamelen zonder toestemming van de patiënt. Het opslaan van (zorg)data op persoonsniveau in gecentraliseerde databases is zowel een organisatorische als een politieke keuze. Het concept van centrale databases, eventueel gekoppeld via knooppunten is een ICT-concept van rond 2000. Politiek interessant met de gedachte aan centraal overzicht en centrale sturing. Technisch is er anno 2019 geen noodzaak meer om systemen op een dergelijke wijze in te richten. De kwetsbaarheid is groot en er zijn grote privacy-issues. Bovendien heb je voor beleid(sondersteunende) informatie geen tot persoon herleidbare data nodig. Decentrale opslag, met een goed afsprakenstelsel hoe men met de data omgaat is een reëel alternatief dat echter niet openlijk ondersteund wordt.

Alternatief

De gecentraliseerde opslag van gepseudonimiseerde zorgdata heeft zijn tijd gehad. Met de huidige stand van techniek en programmatuur zijn decentrale oplossingen mogelijk en uiterst wenselijk. Het gaat om een totaal andere manier tegen zorgdata aankijken en verwerken.  In Nederland zijn er initiatieven om anders om te willen gaan met persoonsgegevens. In een initiatief, Common Ground, van de Vereniging van Nederlandse Gemeenten en twee koepelverenigingen voor gemeente-automatisering kwam men in 2018 tot een voorstel om de omgang met persoonsgegevens totaal anders aan te pakken. Heel duidelijk is  de visualisatie van dit initiatief  op YouTube.

Andere aanpak

Geen datasilo’s maar een benadering van data in lagen in het Common Ground model. Laag 1( de onderste) representeert de data, die volgens afspraken in benaderbare basis brokjes moet kunnen worden opgesplitst, waarin elk brokje informatie de basis is voor een deelbevraging die nuttig is in een werkproces en die kan worden bevraagd als losstaand brokje. Laag 2 representeert de ruwe programmatuur of services, waarmee data kunnen worden opgevraagd door een bestaande applicatie. Laag 3(de bovenste) regelt de autorisatie (wie heeft toestemming), de doelbinding (in welke rol wordt laag 2 bevraagd en voor welk doel) en de logging van de bevraging. Het gaat om een andere manier van organiseren en een andere architectuur.

Bron

De bijzonder interessante analyse waarop bovenstaande gedachten zijn gebaseerd zijn van informaticus Hugo de Vos die  in 2018 een zeer interessant overzicht schreef. Die heette: “De ontwikkeling van de ICT gegevens-infrastructuur van de overheid in relatie tot de 3 gemeentelijke decentralisaties in het sociaal domein”. De in de vorige alinea verwoorde lagenstructuur is te vinden op blz. 53 van die analyse. Hoewel het hierbij gaat om gegevens van burgers in gemeentelijke administraties(lees databases) is de redenatie naadloos toe te passen op dataverwerking in de gezondheidszorg. De eerste vijf hoofdstukken van de analyse zijn een wat droge materie, maar hoofdstuk 6 geeft helder weer wat het alternatief kan zijn.

Aggregatie

In het hierboven verwoorde verwerkingsmodel is niet meer sprake van het doordringen van persoonsgegevens van individuele persoonsgegevens naar een hoger niveau. Aggregatie van data vindt op een lager niveau plaats dan nu het geval is. Toch is binnen het Common Ground model het mogelijk te voorkomen dat er dubbeling/dubbeltelling van persoonsgegevens optreedt. Net zo goed als in de zorg hebben gemeentelijke administraties de noodzaak te voorkomen dat mensen dubbel geteld worden of dat  hun gegevens niet éénduidig genoteerd staan.

Toenemend gevaar

Er bestaat de laatste jaren door toename van rekenkracht en verbetering van software is toenemende mate van de mogelijkheid om ge-de-personifieerde data in centrale databases toch te herleiden tot individuen. In een artikel in de JAMA van januari 2019 maken onderzoekers melding van de mogelijkheden om met behulp van artificial intelligence ge-de-personifieerde zorgdata uit centrale databases in een hoog percentage te herleiden tot individuele personen. Hun advies is dan ook:

 “there is a need for deidentification that aggregates the physical activity data of multiple individuals to ensure privacy for single individuals.”

Dat is een oproep om op een lager niveau, bij de bron, al te komen tot een vorm van aggregatie van data waardoor geen individuen meer te herleiden zijn aan het eind van de keten. Dat sluit aan bij het Common Grounds model.

Wezenlijk anders willen

Centraal ingerichte databases met tot op persoonsniveau vastgelegde data hebben een grote aantrekkingskracht uitgeoefend op overheden. Met de toename van de ICT-mogelijkheden zal het hebben van deze databases steeds grotere problemen geven ten aanzien van beveiliging en verantwoording aan de burgers.

Het is niet de vraag of het anders kan maar of men het verzamelen van zorgdata wel op een andere manier wil inrichten.

W.J. Jongejan, 2 augustus 2019

Afbeelding van Alex Yomare via Pixabay