Vreemde deal Google met NHS-ziekenhuizen. Nederland geen haar beter

analytics-1368293_640

 

Recent kwam via een publicatie op de website van de New Scientist naar buiten dat Google via een bedrijf, DeepMind, dat men in 2014 opkocht voor 400 miljoen Pound Sterling, toegang krijgt tot zorggegevens van enkele miljoenen mensen. Die data zijn afkomstig uit drie ziekenhuizen van de Royal Free Trust in Londen. Ze vallen onder de National Health service(NHS). Het gaat om de gegevens van de ongeveer 1,6 miljoen mensen die jaarlijks die ziekenhuizen bezoeken. Ook wordt toegang verkregen tot de door die ziekenhuizen opgeslagen zorggegevens van de afgelopen vijf jaar. Aanvankelijk leek het erop dat de deal tussen Google en de Royal Free Trust alleen over acuut nierlijden zou gaan, maar de nu bekend geworden samenwerkingsovereenkomst laat zien dat het om een veel meer data van legio ziekten gaat. De overeenkomst met een commerciële partij die aan data-mining doet roept veel vragen op. Zowel wat privacy betreft als ook over de wenselijkheid een dergelijk bedrijf te faciliteren bij het exploreren en exploiteren van medische gegevens. In Nederland is het geen haar beter. Tot voor zeer kort konden gegevens uit het DBC InformatieSysteem(DIS) door derden gebruikt worden voor nadere analyse.

DeepMind

Dit bedrijf is een Britse start-up die zich bezighoudt met kunstmatige intelligentie en die gebruikt om medische expert-programma’s/apps te ontwikkelen. De bedoeling is om bijv. te kunnen voorspellen welke patiënten grotere kans op complicaties hebben. In februari van dit jaar leek het erop dat DeepMind met de genoemde NHS-ziekenhuizen alleen een deal had gesloten om een app, Streams, te kunnen maken die acute nierbeschadiging snel kan opsporen. Naar nu blijkt behelst de overeenkomst de verwerking van veel meer gegevens van de in de ziekenhuizen behandelde patiënten. Het gaat om de naar schatting 1,6 miljoen mensen die in 2016 de ziekenhuizen zullen passeren. Daarenboven krijgt DeepMind toegang tot de gegevens van alle patiënten die de laatste vijf jaar de ziekenhuizen bezochten. In de overeenkomst staat op pagina 3 waarvoor de data gebruikt worden.

“Outputs include tools toe enhance adherence to, and implementation, of, NHS/NICE guidelines. This will consist of: (i) Patient Safety Alerts for Acute Kidney Injury, and (ii) Real time clinical analytiscs, detection, diagnosis en decision support to support treatment and avert clinical deterioration across a range of diagnoses and organ systems.”

Het gaat dus om veel meer dan alleen acute nierbeschadiging.

Beveiliging

Heel veel staat er in de overeenkomst over hoe de beveiliging van de data en de verwerking ervan geregeld is. De gegevens worden naar een Trusted Third Party gestuurd. Patiëntgegevens worden gepseudonimiseerd. Het vervelende van pseudonimisering is echter dat als er bij een big-data-analyse maar genoeg databestanden gekoppeld worden het zeer wel mogelijk is de identiteit van iemand te herleiden. Hoe meer data des te minder anoniem dus.

Privacy

Er wordt in het hele document met geen woord gerept over de toestemming van de patiënt om mee te werken. De NHS kent alleen een opt-out-principe. Van alle patiënten worden de gegevens gebruikt behalve van degenen die dat niet willen. Voor het komende jaar kunnen mensen eventueel nog aangeven niet te willen dat hun gegevens gebruikt worden, maar voor de data die tot vijf jaar terug gebruikt mogen worden is dat niet mogelijk. Het opt-out-principe is een niet wenselijke toestemmingsvorm. In Nederland kennen we het opt-in-principe, waarbij verwerking in principe niet mag tenzij de patiënt toestemt. Bovendien zit de patiënt bij bezoek aan deze ziekenhuizen in een afhankelijkheidsrelatie waardoor weigeren psychologisch gezien moeilijk is.

Commercieel

De vraag is of je het laten analyseren van medische gegevens wel moet uitbesteden aan een zeer grote commerciële partij als Google. Google is geen filantropische instelling en staat bekend om haar verdienmodel op basis van data-mining. Door het samenwerken met een bedrijf dat wereldwijd opereert en met DeepMind een nieuw marktdeel verkent, werkt men mee aan een monopolie-positie van dat bedrijf op het vlak van het exploreren en exploiteren van medische data. In het bekend geworden samenwerkingsprotocol is nergens een financiële paragraaf te vinden. Ik kan me niet goed voorstellen dat de tegenprestatie van Google alleen de aangekondigde expertsoftware wordt die op basis van de data ontwikkeld gaat worden.

Nederland

Je zou denken, dat een dergelijke beschikbaarstelling van medische gegevens in Nederland niet voorkomt. Niets is minder waar. Wij kennen hier een heel grote database waarin van de diagnosegegevens van alle Nederlanders opgeslagen zijn. Het gaat om het DIS. Dat is het DBC Informatie systeem dat onder verantwoordelijkheid van de Nederlandse Zorgautoritei(Nza) opereert. Tot voor zeer kort(tot december 2015) konden derden bij de NZa een aanvraag indienen om de gepseudonimiseerde gegevens te mogen gebruiken voor analyses. Het was al langer duidelijk dat de gepseudonimiseerde DIS-gegevens te herleiden waren tot individuen. Vanaf 2008 heeft de Koepel van DBC-vrije Praktijken(KDVP) al gezegd dat het DIS niet privacy-proof is. In 2015 gaf de NZa in een rechtszaak die de Open State Foundation had aangespannen, toe dat de DIS-gegevens tot personen herleidbaar waren. Daarop besloot de NZa eind 2015 de gegevens vooralsnog niet aan derden te verstrekken. Het College Bescherming Persoonsgegevens(CBP), nu Autoriteit Persoonsgegevens(AP) hield lange tijd vol dat het niet ging om persoonsgegevens, en stond doorlevering aan derden toe. Nadat de NZa had toegegeven dat de data niet echt anoniem zijn, besloot de AP een onderzoek in te stellen, want als het om bijzondere, want medische, persoonsgegevens handelt kan doorlevering aan derden niet plaatsvinden. In januari 2016 kwam de AP met een oordeel. Zorgverleners dienen de gegevens alleen nog maar anoniem, d.w.z. zonder de (direct en indirect) identificerende kenmerken aan te leveren. Bovendien moet er een andere oplossing komen voor de pseudonimisering van de gegevens. Gedacht wordt aan het tussen schakelen van een Trusted Third Party. Aan welke derden men gegevens uit het DIS verstrekt, wordt eigenlijk nergens duidelijk. Hoewel Google wel niet bij het DIS zal hebben aangeklopt, is het zeer wel mogelijk dat in Nederland medische data ten onrechte door derden zijn geanalyseerd.

Resourcegrabbing

Wat we met de deal van Google zien is eigenlijk een vorm van resource-grabbing. Grote spelers op de wereldmarkt pogen lucratieve deelmarkten te exploreren en verkregen informatie dan wel ervaring te gebruiken in hun businessmodel. De jurist Ab van Eldijk, voorzitter van de KDVP schreef er een zeer lezenswaardig artikel over. Google zet dan eens hier, dan eens daar, veel geld in om nieuwe deelmarkten te verkennen, maar stoot daarbij weleens de neus. In 2014 nam het voor 500 miljoen dollar Boston Robotics over, een bedrijf dat veelbelovend leek met zich zelf voortbewegende, soms humanoïde robots. Dit jaar zette Google het bedrijf weer in de verkoop en verschoof de aandacht naar het analyseren van medische data. Het al te makkelijk denken van zorginstellingen of koepelorganisaties over het beschikbaar stellen van die data faciliteert bedrijven die medische data willen gebruiken voor hun eigen verdienmodel.

W.J. Jongejan

07-05-2016 08.40u:  Niet werkende link naar artikel Ab van Eldijk hersteld.