NHSX verkwanselt ivm corona gepseudonimiseerde patiëntdata als zijnde geanonimiseerd aan tech-bedrijven

NHSXThe Guardian schrijft op 12 april 2020 in een  uitgebreid artikel dat de National Health Service in  het Verenigd Koninkrijk(V.K.) grote volumina patiëntdata deelt met het Amerikaans bedrijf Palantir dat zich bezig houdt met Artificial Intelligence(AI), om een uitweg uit de coronacrisis te vinden. Dat gebeurt via een Britse start-up, Faculty. Eerder op 29 maart 2020 liet de BBC al weten dat de NHS sinds zeer kort gebruik maakt van de diensten van Amazon, Microsoft en Palantir om zorgdata te gebruiken voor het maken van virtuele dashboards. Dat met de bedoeling om een optimale inzet van mankracht en middelen tijdens coronacrisis te garanderen. Een woordvoerder van de NHS liet eerder weten dat betrokken firma’s de data niet zelf zouden beheren of voor eigen doeleinden mochten gebruiken. De bedrijven zouden alleen maar toegang hebben tot geaggregeerde of geanonimiseerde data. Dat blijkt helemaal niet het geval te zijn.    

Veel vertrouwelijke data

De documenten die The Guardian inzag, laten zien dat de NHS grote aantallen tot individu herleidbare informatie doorgeeft. Het  gaat om vertrouwelijke medische informatie die ook als die geanonimiseerd zou zijn zeer gevoelig en vertrouwelijk is. Van die anonimisering is geen sprake zoals ik in de volgende alinea zal uitleggen. Het heeft te maken met de wijze waarop men de data verzamelt. De bedoeling is het om met de inspanningen van Palantir en Faculty data uit verschillende NHS-bronnen samen te voegen in één grote database. Waarna Palantir de data zou gaan be-/verwerken, om o.a. ook tot voorspellingsmodellen te komen. Uit ambtelijke kringen klinkt echter nu bezorgdheid over de ongekende omvang van de hoeveelheid vertrouwelijke informatie die in het project heen en weer gepompt wordt. Die bezorgdheid betreft ook de onvoldoende aandacht voor privacy, ethiek en dataprotectie.

Beslist geen anonieme data

The Guardian somt een viertal belangrijke punten op. De eerste twee zijn :

  • Hoewel “geanonimiseerd” geeft men vertrouwelijke informatie betreffende het bellen van mensen van het alarmnummer(111). Dat zijn: geslacht, postcode, symptomen, voorschrijven van medicatie en het precieze tijdstip waar het gesprek beëindigd werd. Die data koppelen met andere data maakt dat data herleidbaar zijn tot individuen.
  • Het project blijkt een “pseudo NHS-nummer” per patiënt te gebruiken om connecties te kunnen maken met andere databestanden waaronder een zogenaamde “master patient index”. Dat is een database van de NHS die sociale marketing dat gebruikt om de Britse bevolking onder te verdelen in verschillende typen op huishoudens-niveau.

Waar zagen we dit eerder? Het gebruik maken van een pseudo-NHS nummer kennen we in Nederland eigenlijk ook. Hier heet dat het “zorgtrajectnummer”. De database met ROM-data van de inmiddels opgeheven Stichting Benchmark GGZ(SBG) gebruikte die ook. Net als de DIS-database; die van het DBC-informatiesysteem. Zodra men dat soort nummers gebruikt is er niet meer sprake van een anonieme dataset.

Nog twee punten

Daarnaast laat The Guardian weten:

  • Locatiedata van smartphones kunnen gebruikt worden in de te maken massa-database. Tenminste twee private bedrijven hebben de overheid van het V.K. aangeboden te helpen met contact-opsporing aan de hand van locatiedata. De NHS-leiding weigerde mee te delen welke bedrijven die locatiedata wilden leveren en hoe de NHS-die dacht te gebruiken.
  • Faculty stelde voor om een simulatie te maken voor een beleid dat dreef op “kudde-immuniteit. Dat is inmiddels al vanaf half maart door ministers verlaten omdat het te controversieel is.

Dat gebeurt via NHSX, een organisatie die de regering oprichtte in 2019 om zorgdata te delen en transparant te maken.

Verbazingwekkend

Het is verbazingwekkend dat de regering van het V.K. en in het bijzonder de bewindslieden verantwoordelijk voor de NHS zich verlaat op bedrijven uit de V.S. .Amazon’s AWS-divisie schakelt men in vanwege de cloud-computing capaciteit. Microsoft’s Azure divisie zou men nodig hebben vanwege de benodigde gigantische data-opslag en van Palantir zou men de Foundry-software nodig hebben om data uit meerdere bronnen in één database te kunnen brengen. Het verbaast dat men binnen het V.K. niet zelf binnenlands tot oplossingen denkt te kunnen komen op het gebied van data-be-/verwerking. Het inschakelen van de Amerkaanse bedrijven is een teken van wanhoop en tegelijkertijd een testimonium paupertatis.

Luchtje

Problematisch is verder dat Palantir het bedrijf is van de uiterst rechtse miljardair Peter Thiel met warme connecties in de V.S met de alt-right-beweging en Breitbart. Verrassend genoeg is de Britse start-up Faculty het bedrijf dat tot voor kort onder de naam ASI Data Science door het leven ging. Het bedrijf werkte onder die naam voor het ministerie van binnenlandse zaken(Home Office) om terrorisme propaganda online op te sporen..

Volksverlakkerij

Wat je weer ziet gebeuren dat grote hoeveelheden gevoelige data gedeeld worden met derden met voorbijgaan aan basale eisen van dataprotectie. In het V.K. zou men beter moeten weten. De data worden gedeeld door NHSX, een organisatie die in 2019 opgericht werd om zorgdata beter digitaal te benutten en transparant te maken. Het is de voortzetting van de Care.Data tak van de NHS die ophield te bestaan door schandalen vanwege het delen van NHS-data met o.a. Deepmind, onderdeel van Google.

W.J. Jongejan, 14 april 2020

Afbeelding van PublicDomainPictures via Pixabay