Google slurpt DeepMind op. Ontkent greep in patiëntendata. Geloofwaardig?

ethiek?

Op 14 november maakte Google bekend dat het DeepMind Health volledig in de Google-bedrijfsstructuur opgenomen is. DeelMind houdt zich bezig met het analyseren van zorgdata van NHS-patiënten uit vijf Britse ziekenhuizen om daarmee met gebruik van kunstmatige intelligentie een app, genaamd Streams, te ontwikkelen. Die zou dan in eerste instantie acute nierinsufficiëntie sneller moeten helpen ontdekken en in tweede instantie veel meer ziekten in een vroeger stadium in de kliniek herkennen. DeepMind begon als een start-up in het Verenigd Koninkrijk, maar kwam in 2014 onder de vleugels van Google. Google betaalde er toen 400 miljoen pond Sterling(is nu 450 miljoen euro) voor en plaatste het op enige afstand in de vorm van DeepMind Health. Nu blijkt dat DeepMind rechtstreeks onder de globale directie van het Google Health gezet is. Het lijkt erop dat Google sterke commerciële potentie ziet om producten op basis van DeepMind-technologie te vermarkten.

Review-board opgeheven

Bij de herstructurering is ook een onafhankelijke Brits “review board” voor wat Deep Mind met de data doet opgeheven. Toezicht over de data is dus nu volledig in Amerikaanse handen. Het argument is dat nu Google Health met Deepmind wereldwijd gaat opereren een lokaal, landelijk, review-board niet meer passend is. Het leverde dan ook meteen forse kritiek op. Het is helaas een patroon wat we de laatste tien jaar veelvuldig zien met de grote tech-bedrijven. Ze nemen bedrijven over, beloven van alles over het toezicht en zeggenschap. Om vervolgens stap voor stap de onderdelen volledig onder eigen controle te krijgen. Veelal schuwt men niet om met de verkregen kennis en data wegen in te slaan waarvan eerder toegezegd was dat dit niet zou gebeuren. Een goed voorbeeld daarvan is FaceBook dat WhatsApp inlijfde. Google ontkent dat men een greep naar de data doet, maar het is de vraag hoe geloofwaardig dat is.

Zonder toestemming verkregen

Voor het merendeel van de zorgdata die DeepMind verkreeg is door patiënten geen toestemming verleend.  Het gaat om data van minstens 1,6 miljoen mensen. Slechts een zeer beperkt deel kon een opt-out uitoefenen en zo voorkomen dat hun data gebruikt werden. Een jaar na de deal in 2016, oordeelden de National Data Guardian, Dame Fiona Caldicott, en de Care Quality Commission dat de deal niet had  mogen plaatsvinden. Ook de Information Commissioner’s Office oordeelde dat de NHS onvoldoende had gedaan om de privacy van de betrokken patiënten te garanderen. Alle projecten om NHS-data via Care.Data te vermarkten zijn toen ook stopgezet.

Poging tot weerspreken

Na publicatie van een kritisch artikel op de kritische Britse website TheRegister reageerde Google meteen en stelde dat het allemaal geen vaart liep. Google schreef de websie:

“It is false to say that Google is “absorbing” data. This data is not DeepMind’s or Google’s – it belongs to our partners, whether the NHS or internationally. We process it according to their instructions.”

Juridische experts uit de kritische hoek stellen echter dat de data niet het eigendom zijn van de samenwerkingspartners, maar van de betrokken individuen, de patiënten.

Veranderde relatie

De vraag die critici ook stellen is of de relatie tussen de partners van DeepMind bij de NHS niet veranderd is. Daarvan stelt DeepMind nu:

 “At this stage our contracts have not moved across to Google and will not without our partners’ consent. The same applies to the data that we process under these contracts. All decisions about how patient data is processed will continue to lie with our NHS partners.”

 Deze formulering sluit niet uit dat de contracten en de onderliggende data op enige termijn wel naar Google overgeheveld worden. De vraag is ook hoe vrij de NHS-partners van DeepMind binnen de huidige contracten zijn om de samenwerking in dit stadium volledig te verbreken. Ongetwijfeld zal DeepMind, met Google op de achtergrond, het afbreukrisico juridisch afgedicht hebben.

Dataprotectie

Het is door de wijzigingen ook maar zeer de vraag of de data nog beschermd zijn door Europese GDPR-regels, die in het Verenigd Koninkrijk zijn vertaald in de Data Protection Act 2018. Kritische juristen stellen dat naast de kritiek op het eigendomsrecht van de data ook het contract van DeepMind met de Royal Free Trust, die over de vijf deelnemende ziekenhuizen gaat, niet bepaald geruststellend is. Het contract bevat geen duidelijke omschrijving van wat voor soort data overhandigd worden. Het definieert zelfs “data” als wat er maar ook door de Royal Free Trust overhandigd wordt aan DeepMind. Daarnaast is er geen bepaling opgenomen over wat men bij DeepMind nu precies gaat doen bij het be-/verwerken van de data. Ook ligt niet vast wat wel of niet toegestaan is.

Waarschuwing

Wat dit alles ons leert is dat bij het zaken doen met grote, wereldwijd opererende tech-bedrijven en/of  geaffilieerde partners, je nooit zeker bent van wat er in de toekomst met de gedeelde data gebeurt. Het lijkt allemaal mooi in het begin dat het allemaal bedoeld is om de zorg een boost te geven. De actie van Google Health nu lijkt echter ingegeven door zeer commerciële argumenten om op wereldwijde schaal te oogsten op basis van “geritselde” data.

W.J. Jongejan, 18 november 2018