Zorgdata verwerken, MRDM en gepseudonimiseerde data

big data

Recent zorgde een bericht in het Algemeen Dagblad op 30 maart 2019 voor flink wat rumoer. Het zorgdata verwerkende bedrijf Medical Research Data Management(MRDM) blijkt deze data opgeslagen te hebben in de Google Cloud(locatie Eemshaven). Het gegeven dat het om gepseudonimiseerde data gaat, die volgens de vigerende wet- en regelgeving gewoon als bijzondere persoonsgegevens beschouwd moeten worden maakt het één en ander nog interessanter. Binnen MRDM heeft men zelf ook wel door dat er sprake is van bijzondere persoonsgegevens. Op 17 mei 2018 hield het bedrijf een informatiebijeenkomst gegevensbescherming  waarin dit onderwerp en de relatie tot de Algemene Verordening Gegevensverwerking(AVG) ter sprake kwam. Sprekers waren onder andere de “zorg”-jurist Theo Hooghiemstra en zijn confrater Evert-Ben van Veen, directeur van het bedrijf MedLaw. Bij het doorspitten van de positie van het bedrijf MRDM stuitte ik op een kluwen van zorg-data-verwerkende bedrijven die plotseling de Value Based HealthCare(VBHC) hoog in het vaandel hebben staan.

Kluwen

Bij het uitzoeken wat nu precies de positie is van het bedrijf MRDM bleek het lastig om de positie die het bedrijf in zorgdataverwerking in kaart te brengen. Het bedrijf is gevestigd op de Leeuwenbrug 115 te Deventer. Op dat adres blijken ook LOGEX Participatie II B.V, Brightingale B.V., Value2Health, en One2Many B.V. gevestigd te zijn. Ook de servicedesk van het Leidse Dutch Institute of Clinical Auditing(DICA) blijkt er aanwezig te zijn. De samenhang tussen enkelen van deze wordt enigszins duidelijk in de presentatie van de directeur Paul Crauwels. (sheet 4)

LOGEX

LOGEX en Value2Health hangen onder de LOGEX-groep, waarbij MRDM de dataverwerking doet en weer data door levert aan bijv. DICA. Het blijkt nog iets ingewikkelder omdat ZorgInvest B.V. de moeder maatschappij van Value2Health blijkt te zijn.  Binnen ZorgInvest zien we ook het uit  het voorbije jaren bekende Prismant weer terug. Dat heette tijdelijk, als onderdeel van Kiwa, Kiwa Carity, maar werd onder de naam Prismant bij Zorginvest ingelijfd.  De LOGEX-groep blijkt naar eigen zeggen de eerste Europese speler te zijn in geavanceerde software en analytics voor het meten van uitkomsten en kosten van zorg. We zien hier een ontwikkeling waarbij op grote schaal het uitbaten van zorgdata het businessmodel vormt voor een woud aan bedrijven. Alle bedrijven zijn met zorgdata bezig, maar het is lastig aan te geven waarin ze van elkaar verschillen. Men stelt dat op basis van deze zorgdata therapieën verbeterd kunnen worden en zorg efficiënter ingericht kan worden. Toch bekruipt mij bij dit alles het gevoel van data-harvesting op grote schaal.

AVG

Op de in de inleiding genoemde informatieavond belichtten ieder vanuit een andere hoek Theo Hooghiemstra en Evert-Ben van Veen de situatie van het verwerken van bijzondere persoonsgegevens. De AVG staat op zich het verwerken van medische gegevens als zijnde bijzondere persoonsgegevens toe maar er dient toestemming voor gevraagd te worden. In het geval van MRDM door de ziekenhuizen die de data aanleveren aan de patiënten. Dat gebeurt nu niet. Hooghiemstra ziet wel dat bij gepseudonimiseerde data de AVG van toepassing is en dat wel toestemming van de betrokkene nodig is. Hij komt in de discussie toch tot een wat vreemde toelichting. Hij stelt bij de Autoriteit Persoonsgegevens en bij de koepels gezegd te hebben dat je er niet tegen moet verzetten, maar dat het tijd kost om dit goed in te regelen. Het als bijzondere persoonsgegevens moeten beschouwen van gepseudonimiseerde zorgdata is echter een gevolg van vigerende wet- en regelgeving. Daarbij dient gewoon gehandhaafd te worden door de toezichthouder en niet afgewacht tot het goed ingeregeld is.

MedLaw

Evert-Ben van Veen van het juridisch adviesbureau MedLaw ziet dat duidelijk anders. In zijn presentatiesheets en in zijn tekst wijst hij de tegenstelling toestemming vragen of anders volledig anonimiseren van data af. Hij zegt uit te willen gaan van de gedachte dat als we een solidair zorgsysteem hebben datasolidariteit vanzelfsprekend moet zijn. Dat liet hij op deze website ook weten in een reactie op een op 1 april 2019 verschenen artikel van mij. Het is een wat makkelijk redenatie, want waar stopt die solidariteit dan.  Dezelfde redenatie kan men ook ophangen over een solidaire samenleving en zo veronderstellen dat alle data van burgers daardoor uit solidariteit uitgewisseld mogen worden. Hij stelde op de bijeenkomst ook dat gegevens niet direct-identificerend moeten zijn en in een veilig systeem gebruikt worden. Maar ja, wat versta je onder “direct identificerend” en wie bepaalt wat ‘veilig” is of “veilig genoeg”. Hij gaat voorbij aan de vigerende wet- en regelgeving en wil eigenlijk de gegroeide, niet legale manier van dataverwerking faciliteren. Van Veen voelt wel wat voor een optout-regeling. De patiënt moet dan wel weten dat hij deze vorm van negatieve toestemming kan uitoefenen. Dus dat betekent toch een extra actie richting patiënten wat hij eigenlijk niet wil.

Nog even dit

De data die MRDM van ziekenhuizen aangeleverd krijgt zijn minimaal voor een groep van zeven ziekenhuizen van de Santeon-groep niet-gepseudonimiseerd, nog ruwe data, als ze het ziekenhuis via een beveiligde verbinding verlaten richting MRDM. Pas bij dat bedrijf vindt zo nodig pseudonimisatie plaats. Zie hoofdstuk 3.1 van het Dataprotocol dd 10 januari 2017 van de Santeongroep.  De opgeslagen data zijn wel versleuteld.  Het gaat om de volgende ziekenhuizen: Canisius Wilhelmina Ziekenhuis(Nijmegen), Catharina Ziekenhuis (Eindhoven), Maasstad Ziekenhuis(Rotterdam), Martini Ziekenhuis(Groningen), Medisch Spectrum Twente(Enschede), OLVG(Amsterdam) en het St. Antonius Ziekenhuis(Utrecht/Nieuwegein/Woerden).

Als het ruwe data zijn, had toestemming aan de patiënt sowieso gevraagd moeten worden. Mij is het als zorggebruiker van één van die ziekenhuizen nooit gevraagd. Het werken met een veronderstelde toestemming is niet correct.

W.J. Jongejan, 9 april 2019