Wegduikende Autoriteit Persoonsgegevens faciliteert weer massale overdracht van medische data
Op zaterdagochtend 30 maart 2019 verscheen op de website van het Algemeen Dagblad een artikel over het kopiëren van massale hoeveelheden patiëntendata naar servers van de Google-cloud. Enkele uren later gevolgd door een tweede artikel, genaamd: “Ook jouw medische data liggen nu bij Google”. Dat gebeurde door het dataverwerkingsbedrijf Medical Research Data Management (MRDM), één van de grootste medische dataverwerkingsbedrijven van het land. Die kopieerde die data naar het Google Cloud Centre aan de Eemshaven te Groningen. Het gaat om gepseudonimiseerde behandelgegevens van honderdduizenden Nederlanders uit ziekenhuizen en bevolkingsonderzoeken. MRDM verzamelt en verwerkt zorgdata om er bigdata-analyse op uit te voeren. Wat hier gebeurt is al meerdere keren op andere terreinen gebeurt. Bij de verzameling van diagnosegegevens in het Diagnose BehandelCombinaties(DBC’s) in het DBC Informatie Systeem(DIS) gebeurt precies hetzelfde met gepseudonimiseerde gegevens. Ook bij het verzamelen van Routine Outcome Momitoring(ROM)-data uit de geestelijke gezondheidszorg(GGZ) gebeurt precies hetzelfde. Ik schreef er op deze website vaker over. Bij al die verwerkingen speelt de Autoriteit Persoonsgegevens(AP) een dubieuze, maar cruciale faciliterende rol.
Autoriteit Persoonsgegevens
De AP speelt die rol omdat ze oogluikend het verwerken van gepseudonimiseerde gegevens voor andere doeleinden dan waarvoor ze bedoeld zijn, zonder nadere toestemming van de patiënt, toestaat. Diverse pogingen om de AP bij de les te houden stranden op de halsstarrige houding van de AP om een beslissing te nemen over de gevolgen van de status van gepseudonimiseerde patiëntgegevens. Die pogingen zijn in gang gezet via de burgerrechtenvereniging Vrijbit in samenwerking met de Stichting KDVP en door een handhavingsverzoek aan de AP door een ex-patiënte uit de GGZ in het voorjaar van 2017. Naar het DIS doorgestuurde data zijn gepseudonimiseerd. Dat geldt ook voor de ROM-data die eerst naar de Stichting Benchmark GGZ gingen en nu naar de rechtsopvolger Akwa in samenwerking met De Nieuwe Entiteit als verwerker. Het handhavingsverzoek dat de ex-patiënte in maart 2017 deed aan de AP hield in dat de AP gevraagd werd er op toe te zien dat de verzameling en verwerking van ROM-data gestaakt moest worden omdat zulks zonder toestemming van de patiënt gebeurde. Mede naar aanleiding van dit handhavingsverzoek startte de AP een onderzoek in juni 2017 richting SBG.
Gepseudonimiseerde patiëntgegevens
Patiëntgegevens die gepseudonimiseerd zijn dienen te worden beschouwd als (bijzondere) persoonsgegevens. Pseudonimisatie is namelijk geen anonimisatie. Bij dat laatste is sprake van een onomkeerbaar proces. Na anonimisatie is geen herleiding tot een persoon mogelijk. In het artikel in het AD geeft de directeur van het bedrijf ook aan dat enkele werknemers die ontsleuteling kunnen toepassen. De AP heeft zelf in 2015 duidelijk gemaakt dat pseudonimisatie een beveiligingsmaatregel is die de herleidbaarheid tot het individu beperkt, maar niet voorgoed onmogelijk maakt.
Geen toestemming gevraagd
Dat verwerkte de voormalige minister van VWS Edith Schippers in een antwoord op Kamervragen in maart 2017 over het verzamelen van en verwerken van ROM-data. Zij bevestigde dat pseudonimiseren slechts een beveiligingsmaatregel is. Daarnaast zei ze dat er dus voor de verwerking van gepseudonimiseerde gegevens een wettelijk grondslag nodig is op basis van de Wet bescherming persoonsgegevens(Wbp). Het verkrijgen van expliciete toestemming van de patiënt is één van de grondslagen. Noch in het geval van de DIS-data, noch bij de ROM-data, noch bij de door MRDM verwerkte data is van die toestemmingsvraag sprake.
Laffe houding
De AP heeft door de loop der tijd blijk gegeven van het niet eigenstandig krachtige beslissingen nemen. Ze laat haar oren hangen naar de politiek en naar grote veldpartijen zoals de zorgverzekeraars. De rechtszaak van Vrijbit en KVDP loopt al vanaf begin 2016 en wordt door toedoen van de AP telkenmale getraineerd. Het onderzoek van de AP over het verzamelen van ROM-data door eerst SBG en huidige rechtsopvolgers is na 94 weken nog steeds niet afgerond. Het handhavingsverzoek is om formele gronden afgewezen. De vraagstelster stelde ruim 100 weken na maart 2017 de AP in gebreke vanwege het niet nemen van een beslissing binnen de normaal geldende termijnen. De AP stelde dat het verzoek te moeten afwijzen omdat het onderzoek nog niet was afgerond(sic!)
Legaal?
Het bedrijf MRDM stelt dat alles volkomen legaal gebeurt. In haar persbericht staat dat het zorgdata verwerkt in opdracht van de partij die wettelijk verantwoordelijk is voor die data, met een vooraf afgestemd doel. Ziekenhuizen geven volgens MRDM opdracht om de gegevens te verwerken ten behoeve van kwaliteitsverbetering, kostenbeheersing en/of onderzoek. Daarmee haalt het bedrijf letterlijk een uitzonderingsbepaling in de AVG aan, waar in punt 52 staat dat die gronden een uitzondering kunnen zijn voor het verbod op het verwerken van bijzondere persoonsgegevens. Men gaat echter daarbij voorbij aan het feit dat voor het verwerken van bijzondere persoonsgegevens voor een ander doel dan waarvoor ze initieel vergaard zijn toestemming nodig is van de patiënt. Daar hoort de AP op toe te zien en op te handhaven.
Een Autoriteit Persoonsgegevens die wegkijkt bij kritische vragen en geen beslissing durft te nemen is de naam Autoriteit niet waardig. Ze faciliteert onwettige praktijken.
O ja: ook nu weer betalen de zorgverzekeraars grotendeels de acties van MRDM.
W.J. Jongejan, 1 april 2019.
Toch maar een korte reactie, een beetje tegen beter weten in gezien de verbeten niet aflatende kruistocht van de auteur van deze blog. Ik ga het niet hebben over de AP en andere negatieve uitlatingen van de blog. Twee zaken uitsluitend. Namelijk 1: mogen de patiëntgegevens voor di doel worden gebruikt,2: zijn de gegevens veilig.
Over 1.
Toen de heer Jongeneel nog wel praktiserend huisarts was, gebruikte die vast ervaringen met eerdere patiënten bij een volgende patiënt. Dan gebruikte die dus de ervaring met de eerdere patiënt voor een ander doel. Althans in diens nogal rigide redenering. Bij die eerdere patiënt was het om die patiënt zo veel mogelijk te helpen. Maar er van uitgaande dat Jongeneel (toen) wel luisterde, dacht die bij de volgende sterk vergelijkbare patiënt: heb ik eerder meegemaakt, moet het zus of zo aanpakken. Ervaringen met eerdere patiënt werden voor een volgende patiënt ingezet. Zonder die eerdere patiënt(en) om toestemming te vragen.
Ik vind dat helemaal geen ander doel maar waarvoor de gezondheidszorg zou moeten staan. Deels ook is gebaseerd. Want er van uitgaande dat Jongeneel als huisarts zich ook aan de NHG richtlijnen hield, was dat ook op ervaringen van en met eerdere patiënten. Veelal via observationeel onderzoek en kwaliteitsregistraties en lang niet altijd via trials met expliciete toestemming. En die NHG richtlijnen worden op basis van die ervaringen regelmatig herzien.
De Wet kwaliteit, klachten en geschillen in de zorg (Wkkgz) vereist zelfs dat zorgaanbieders hun ervaringen met de kwaliteit van zorg vergelijken met zorgaanbieders van een gelijke categorie. Dat is waar een organisatie als MRDM in het spel komt, om die vergelijkingen mogelijk te maken.
En voor wetenschappelijk onderzoek en statistiek veronderstelt de AVG in artikel 5.1.b zelfs een verenigbaarheid met het oorspronkelijke doel. Maar ik wil wel zover gaan dat we 5.1.b AVG helemaal niet nodig hebben. Inherent aan de zorg is dat wij blijven leren. Patiënten profiteren van eerdere ervaringen en dragen er via ‘hun’ gegevens aan bij. ‘hun’ tussen aanhalingstekens want zonder die eerdere ervaringen konden die gegevens nooit netjes via het O en E van het SOEP (subjectief, objectief, evaluatie, plan) in het dossier worden opgetekend. Was er ook geen plan, anders dan van het kruidenvrouwtje Klazien uit Koot en Bie indertijd.
Ad 2
Natuurlijk moet dit meten en vergelijken veilig gebeuren. In dat kader vind ik al dan niet anoniem (waarover nog een hele boom valt op te zetten) eigenlijk irrelevant. Het gaat er om dat onbevoegden geen toegang hebben tot die gegevens. Daaronder vallen inderdaad ook zorgverzekeraars. Er is geen enkele aanwijzing dat die gegevens niet veilig zouden zijn. Geldt ook voor opslag via Google Cloud, misschien nog wel meer daar. Want die heeft een veiligheid (ook in hun eigen belang) waar de meeste andere cloud providers slechts van kunnen dromen. Ook geen vermenging met andere google diensten want apart bedrijf. Natuurlijk zou die vermenging volstrekt uit den boze zijn.
Tot slot.
Dit zal de verbetenen vast niet kunnen overtuigen. Maar kom maar eens langs anders. Essentiële vraag: ben je voor een solidair zorgstelsel of niet. Ik vind, inderdaad volgende stap, dat daar onder voorwaarden, ook gegevenssolidariteit bij hoort. Binnen het publieke stelsel waarin SBG en MRDM opereren zijn die voorwaarden vervuld.
De schrijver bedient zich van nogal forse bewoordingen aan het begin van zijn toch lang geworden reactie. Spreken van “een verbeten niet aflatende kruistocht” getuigt niet van een respectvol uitwisselen van argumenten. Men kan van mening verschillen. Dat mijn mening u niet convenieert is nu wel duidelijk. In uw redenatie ad.1 maakt u toch wel een essentiële denkfout. U vergelijkt appels met peren. Uiteraard gebruikt een arts, ook ik, toen ik als huisarts werkte, eerdere ervaringen in zijn verdere handelen. Daarbij gaat het om gegevens die binnen de praktijk gebruikt worden en waarbij voor de verwerking geen derde wordt ingeschakeld. In het geval van MRDM is dat bedrijf ingeschakeld door ziekenhuizen/bevolkingsonderzoeken als derde om de gegevens te ver-/bewerken. Dat is een wezenlijk andere situatie en vereist een zeer zorgvuldige afweging en afhandeling. Voorbijgaan aan het feit dat gepseudonimiseerde gegevens toch als bijzondere persoonsgegevens beschouwd moeten worden en waarvoor derhalve toestemming voor gebruik dient te worden gevraagd is onzorgvuldig handelen.
Ad 2.Ik verschil met u van mening over het data in bewaring geven bij een buitenlandse, in dit geval, Amerikaanse partij. Ook deel ik uw mening niet over de positie van de zorgverzekeraars. Zij zijn volgens de berichten in het Algemeen Dagblad de voornaamste financier van MRDM en het data-onderzoek. Er geldt nog steeds dat wie betaalt bepaalt.
Het doortrekken van solidariteit bij de betaling van het zorgstelsel naar datasolidariteit is een gevaarlijke redenatie. Tot welk niveau mag ieder ander de data inzien? Dezelfde redenatie kan men ook ophangen over een solidaire samenleving en zo veronderstellen dat alle data van burgers daardoor uit solidariteit uitgewisseld mogen worden. Als SBG juridisch altijd correct gehandeld zou hebben had ze nog bestaan. De rechtsopvolger Akwa met De Nieuwe Entiteit als verwerker hanteert in tegenstelling tot SBG wel het toestemmingscriterium, althans in naam.
Tenslotte wil ik nog opmerken dat het niet van zorgvuldigheid getuigt als ik met Jongeneel wordt aangesproken. Mijn naam, Jongejan, staat normaal op deze website.