Parallel NHS-data-deal met Google en de “brede” toestemming van Schippers

Een brief van Dame Fiona Caldicott, National Data Guardian in het Verenigd Koninkrijk, aan de leiding van de drie Royal Free ziekenhuizen in Londen, lekte gisteren uit. In die brief geeft ze een vernietigend oordeel over het beschikbaar stellen van medische dossiers aan derden. Het gaat om de geruchtmakende deal, die deze ziekenhuizen afsloten met DeepMind, een onderdeel van Google. DeepMind is van origine een Britse start-up die zich bezighoudt met kunstmatige intelligentie en die gebruikt om medische expert-programma’s en apps te ontwikkelen. Door genoemde deal kreeg Google’s DeepMind de beschikking over 1,6 miljoen patiëntendossiers. In de brief van de National Data Guardian, die fungeert als de belangrijkste adviseur voor de National Health Service op het gebied van data-protectie, stelt deze dat de onderafdeling van Google de beschikking kreeg over deze tot persoon herleidbare medische dossiers op een ”inappropiate legal basis”. Over de nogal vreemde deal schreef ik al eerder op 6 mei 2016 en 8 juli 2016.

Impliciete toestemming

Dame Fiona Caldicott is zeer duidelijk in haar drie pagina’s tellen(A, B, C) de brief aan de leiding de ziekenhuizen van de Royal Free Trust van de NHS. Zij wijst er op dat zij al in 2016 aangegeven had, dat wanneer nieuwe technologie ontwikkeld wordt zoiets op zich niet beschouwd kan worden als directe zorg, zelfs als het beoogde eindresultaat, als men die nieuwe technologie gaat toepassen, ingezet wordt als directe zorg. Ze breekt vervolgens de redenatie af die de leiding van de Royal Free ziekenhuisorganisatie hanteerde als basis waarop de data met Google gedeeld konden worden. Die leiding stelde dat impliciete toestemming(“implied consent”) van de patiënt voor directe zorg opgevat kon worden als een wettelijke basis om data te delen( met Google). Juridisch gezien is de behandelrelatie die een arts en patiënt aangaan een in de wet verankerde behandelingsovereenkomst.  In Nederland is dit geregeld in de Wet op de geneeskundige behandelingsovereenkomst(Wgbo)

Antwoord Caldicott

De National Data Guardian zegt in de brief dat zij het in december 2016 al niet eens was met de redenatie van de leiding van de Royal Free Hospitals.

“Implied consent is only an appropiate legal basis for the disclosure of identifiable data for the purpose of direct care if it aligns with peoples reasonable expectations, i.e. in a legitimate relationship. When I wrote to you in December, I said that I did not believe that when patient data is shared with Google Deepmind, implied consent for direct care was an appropiate legal basis”

Het is duidelijk dat zij de toestemming die de patiënt impliciet geeft bij het ondergaan van medische zorg niet ongeclausuleerd opgerekt wil zien richting naar een toestemming om er andere dingen mee doen die niets met directe zorg te maken heeft.

Antwoord ziekenhuizen

De ziekenhuizen verdedigden zich met de argumentatie dat DeepMind een app, Streams genaamd, aan het ontwikkelen was met “artificiële data” en dat de data in de 1,6 miljoen patiëntendossiers alleen gebruikt werden om deze app met een beperkt aantal clinici uit te testen en te valideren. Caldicott stelt hierop dat de data dus voor het valideren van de app gebruikt zijn en niet voor directe zorg. Zij geeft haar bevindingen behalve aan de leiding van de ziekenhuizen en de leiding van DeepMind ook door aan de Information Commissioner, Elizabeth Denham. Deze hoogste “privacywaakhond” in het Verenigd Koninkrijk bestudeert de zaak al en komt binnenkort met haar conclusie of de dataoverdracht wel legaal was. Zij kan ook nadere maatregelen treffen en sancties opleggen.

Brede toestemming

Terwijl in het Verenigd Koninkrijk bestuurders van ziekenhuizen bezig zijn met het oprekken van het toestemmingsprincipe bij het gebruik van patiëntdata, is het in Nederland juist de, nu demissionaire, minister van VWS, Edith Schippers die dit voor de tweede keer probeert met opnieuw een consultatieronde over het ontwerp van Wet zeggenschap lichaamsmateriaal. In de memorie van toelichting in hoofdstuk 5.1.1 geeft de minister namelijk aan dat het wetsvoorstel het mogelijk moet maken dat de patiënt bij het afnemen van lichaamsmateriaal een “brede” toestemming geeft. Dit houdt in de ogen van de minister ten eerste in dat de toestemming niet alleen beperkt blijft tot lichaamsmateriaal dat op het moment van vragen al vrij is gekomen of vlak daarna zal vrijkomen, maar ook op in de verdere toekomst (eventueel elders, en mogelijk zelfs na overlijden) beschikbaar komend lichaamsmateriaal. Daarnaast houdt ‘breed’ in dat toestemming die nodig is voor speciaal afnemen ook betrekking kan hebben op meerdere afnames. Ik beargumenteerde in mijn artikel op 2 mei 2017 dat zoiets onbestaanbaar is, omdat het begrip doelbinding bij dataverzamelingen met dit wetsontwerp volledig overboord wordt gegooid. Bij een “brede” toestemming introduceert een bewindspersoon een eenmalige volmacht voor een niet of nauwelijks omschreven doel. In het Verenigd Koninkrijk beschouwde men de toestemming die de patiënt geeft om behandeld te worden als zo’n volmacht.

Gevaarlijk

Het oprekken van het toestemmingsprincipe, omdat dat lastig zou zijn om nieuwe dingen in de zorg te ontwikkelen en te introduceren, is een hellend vlak. Denken dat zoiets alleen in het buitenland gebeurt, is een vorm van het hoofd in het zand steken. Zeker als in ons eigen land de minister van VWS hetzelfde probeert te doen. Privacy en patiëntenrechten vereisen continu aandacht. Wat technisch kan en aanlokkelijk lijkt, moet niet klakkeloos toegepast worden, maar verdient ruime overdenking. Hierdoor wordt voorkomen, dat achteraf, zoals in het Verenigd Koninkrijk, men met de scherven zit.

W.J. Jongejan