Stoppen big-data-programma NHS wake-up call voor Nederland

PublictrustWJ klaar

Op 6 juli heeft George Freeman, minister for life sciences in het Verenigd Koninkrijk, bekend gemaakt dat het controversiële Care.Data-programma met onmiddellijke ingang gestopt is. Met dit programma werden patiëntgegevens ter beschikking gesteld aan, vaak commerciële, derden voor big-data-analyses. Veel protesten van artsen, patiënten- en privacy-bewakende organisaties, die zich zorgen maakten over dit programma konden de oprichting en het functioneren niet tegenhouden. De basis van het huidige besluit van de minister wordt gevormd door het resultaat van twee onderzoeken: dat van de National Data Guardian(NDG) en het rapport van de Care Quality Commission. De voornaamste reden dat het nu gestopt is, komt door het handelen van de Care.Data organisatie zelf in de drie jaar van haar bestaan, waardoor de controverse nog verder opliep. Het publieke vertrouwen zakte diep. De grootste zorg van tegenstanders was dat het programma gevoelige medische data deelde met commerciële partijen zonder expliciete toestemming. Patiënten konden in theorie wel gebruik maken van een opt-out-recht, maar werden niet ingelicht over het gebruik van die data. Het opt-out-recht was daardoor zonder betekenis. Begin mei 2016 werd bekend dat de NHS een bedrijf van Google, DeepMind, toestemming had gegeven patiënten-data te gebruiken van drie Royal Free Trust ziekenhuizen zonder een duidelijk berichtgeving aan de betrokken patiënten. Daarbij kwam op 5 juli de melding dat het Moorfields Eye Hospital ook aan DeepMind data gaat leveren.

Big data

Uit de rapporten blijkt dat publieke draagvlak voor het analyseren van big data in de zorg ernstig is geschonden door de recente ontwikkelingen rond Care.Data. Het voornaamste probleem is het toestemmingsprincipe. In het Verenigd Koninkrijk wordt het opt-out-principe(weigeren dat data gebruikt worden als je het niet wilt) gebruikt. Men komt er nu op basis van de twee rapporten achter dat patiënten hun opt-out-mogelijkheid moeten kunnen gebruiken als hun persoonlijke medische gegevens gebruikt(lees: vermarkt) worden voor doeleinden die verder gaan dan de directe zorg. Daarmee wordt impliciet gezegd dat de patiënt tevoren op de hoogte moet zijn van het gebruik van zijn/haar medische data, dus afdoende is voorgelicht. De rapporten maken duidelijk dat data-analyse van big data in de zorg mogelijk moet zijn, maar voorzien van verbeterde randvoorwaarden.

Dataveiligheid

De rapporten gaan ook zeer uitgebreid in op de beveiliging van dataopslag en dataverkeer o.a. naar aanleiding van recente incidenten met datalekken en dataverlies. De data-security dient goed geborgd te zijn door duidelijke regelgeving en heldere sancties bij overtredingen daarvan. Ook gaat men in op het onverantwoord gebruik van verouderde apparatuur en software, waardoor beveiliging ernstig te kort kan schieten. Wat nu gebeurt is dus een duidelijk wake-up-call voor alle betrokkenen en een herijking van toestemmingsprincipes. Voor dat laatste onderdeel komt de NDG alleen al met een elftal aanbevelingen.

Parallellen

Er zijn duidelijk parallellen te trekken met het toestemmingsprincipe voor het gebruik van zorgdata in Nederland. Hier hebben we weliswaar het omgekeerde systeem: de opt-in-regeling, maar daarbij speelt ook wel degelijk het probleem of een patiënt wel op voldoende wijze in- dan wel voorgelicht is over de toestemmingsvraag. Ook speelt het probleem van het publieke vertrouwen. Wat duidelijk niet blijkt te werken is het Britse model van veronderstelde toestemming, waarbij een controversiële organisatie door het opzoeken van grenzen uiteindelijk zelf het onderspit delft. Het moge ook duidelijk zijn dat zij die in Verenigd Koninkrijk tevoren over de privacy ten aanzien van medische gegevens hun zorgen uitspraken gelijk kregen.

Het zou een les moeten zijn voor het ministerie van VWS en anderen, die het woord “privacy-maffia” bezigen.

W.J. Jongejan