Zo lopen de gootjes als het regent: longread over big-data en LSP

facade-258169_640Er bestaat een grote samenhang tussen elektronische  medische datacommunicatie, het LSP, de Persoonlijke GezondheidsDossiers (PGD’s), big-data en wetsontwerp 33509 dat op 27-09-2016 voorligt ter plenaire behandeling en stemming in de Eerste Kamer. Zorgdata houden de gemoederen al enige tijd bezig. Het elektronisch communiceren van zorgdata heeft voor de overheid de mogelijkheid geopend veel data te verzamelen. Dat is inmiddels al op vele manieren gebeurd, onder andere in het DBC-Informatie-Systeem(DIS). Dat daarbij function-creep op de loer ligt en ook plaats vindt hoef ik hier niet uit te leggen. Het ministerie van VWS poogde in en eerder stadium het Landelijk Elektronisch Patiëntendossier(L-EPD) van de grond te krijgen, maar die poging strandde in april 2011 in de Eerste Kamer. Daarna zorgde de minister ervoor dat het Landelijk SchakelPunt(LSP), de kern van het L-EPD, overging in private handen. Daartoe werd de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) opgericht. Het gebruik van het LSP, dat alleen  goed van de grond kan komen als vrijwel alle burgers hun opt-in-toestemming geven bij de brondossierhouders(huisartsen en apothekers) kampt met forse problemen, omdat de burger wel massaal ja zegt tegen het delen van medicatiegegevens via de apotheken, maar bij huisartsen veel terughoudender is. Slecht één derde van de Nederlanders geeft de toestemming voor het delen van de samenvatting van het huisartsdossier. Door het voortsudderen van het LSP-gebruik en de wens van grote bedrijven big-data-analyses te doen zijn er allerlei bewegingen gaande van VWS en private partijen waarbij andere wegen gezocht worden om zorgdata uit te wisselen en te ontginnen voor exploitatie (resourcegrabbing). Zie: http://www.beroepseer.nl/nl/groepsblog/algemeen/itemlist/user/3492-abvaneldijk . Een centrale rol bij het dataverkeer van medische informatie speelt het wetsontwerp 33509.

33509

Komende week(27 september) behandelt de Eerste Kamer het wetsontwerp 33509 over de elektronische communicatie van medische informatie.  Dat gaat niet alleen over datacommunicatie via het LSP maar over alle vormen van medische datacommunicatie. Ook dataverkeer van medische informatie die grote concerns willen gebruiken bij big-data-analyse valt daaronder. Wetsontwerp 33509 speelt dus een cruciale centrale rol.

De manier waarop burgers toestemming verlenen om medische data beschikbaar te stellen voor inzage in die data is bijzonder slecht geregeld in het wetsontwerp. Een algemene(generieke) toestemming om medische samenvattingen beschikbaar te stellen voor inzage werd door critici te uitgebreid geacht. Daarop kwam de minister met het gedrocht van de gespecificeerde toestemming. Dat houdt in dat de patiënt medische gegevens beschikbaar stelt voor inzage ,maar daarbij kan aangeven welke groepen zorgaanbieders wel of niet inzage mogen hebben in die informatie. Tijdens de laatste behandelingsrondes in de Eerste Kamer wilde de minister de gespecificeerde toestemming voor een jaar of drie laten rusten vanwege invoeringsproblemen in het veld. Tegelijk wil ze toch het wetsontwerp door de Eerste Kamer loodsen met een tijdelijke(drie jaar) goedkeuring om alleen de generieke toestemming te gebruiken. Dit is een zeer vreemde en buitengewoon ongewenste move. Het verstandigste dan ook is als de Eerste Kamer het wetsontwerp niet aanneemt.

PGD

Inspelend op de wens van patiënten eigen data te beheren is VWS gaan beseffen dat via de weg van Persoonlijke GezondheidsDossiers(PGD’s) misschien te bereiken was wat met het LSP niet gaat lukken. Via de Nederlandse Patiënten Consumenten Federatie(NPCF), thans Patiëntenfederatie Nederland(PN), verkent men het pad van de PGD’s ook uitgebreid. Geen verrassing omdat de federatie financieel voor meer dan 80 % drijft op subsidies vanuit het ministerie van VWS. Er bestaan een aantal commerciële PGD’s, oa Microsoft HealthVault. Meerdere grote bedrijven, maar ook de Engelse NHS, hebben zich er mee bezig gehouden, doch velen slaagden er niet in het  tot een succes te maken. In Nederland ligt het nu wat anders, omdat er vanuit het ministerie direct en indirect support is voor het gebruik van  een commercieel PGD. De PGD’s zouden aanvankelijk in de optiek van minister en PN deels gevuld worden door de patiënt zelf en deels via informatie die de patiënt bij burger en apotheek opvraagt onder het motto: “ik wil mijn data”. Toen het duidelijk werd dat het LSP-gebruik op de beoogde manier niet veel ging betekenen, zijn er andere ideeën opgeborreld om toch van het LSP een succes te maken.

Masterplan

Gaandeweg is uit diverse publicaties duidelijk geworden wat het “masterplan” in dezen is. Het gaat om de koppeling van de PGD’s aan het LSP. Over verschillende onderdelen heb ik de afgelopen maanden op mijn website www.zorgictzorgen.nl gepubliceerd.

https://zorgictzorgen.nl/pgds-schuiven-sluipend-richting-lsp-op/

https://zorgictzorgen.nl/aanvalsvlak-lsp-voor-indringers-weer-groter-door-pgd-lsp-koppeling-2/

https://zorgictzorgen.nl/betalen-met-je-eigen-zorgdata-voor-big-data-analyse-philips/

Door de burger zijn/haar PGD via een portaal van VZVZ te laten koppelen aan het LSP kan zorginformatie heen en weer gepompt worden en is men niet meer zo afhankelijk van lastige zorgaanbieders die OF geen aansluiting op het LSP hebben OF indien wel aangesloten zorgaanbieders geen opt-in-toestemmingen aan patiënten vragen. Een opvragende zorgaanbieder kan met de PGD-LSP koppeling ook informatie uit een PGD opvragen.

Toegang

De aansluiting van burgers op het LSP vergroot het aanvalsvlak voor inbraakpogingen gigantisch. Zorgaanbieders moeten met speciale pasjes(UZI-pas) inloggen. Voor de patiënten is bedacht dat het inloggen met behulp van RDA-technologie zou moeten gaan lopen. RDA staat voor Remote Document Authenticatie. Daarbij wordt m.b.v. de Near Field Chip(NFC) van een modern paspoort of rijbewijs uitgelezen met een modern type smartphone. 50 % van de smartphones in 2014 zou dit al kunnen. Het beveiligingsniveau dat bij de DigiD met sms bevestiging nog Stork 2 was, wordt nu Stork 3 (maximum is 4).

Zie: https://ecp.nl/projecten//elektronische-identiteit-in-nederland/4516/rdw.html

Over deze verandering in het eID-stelsel van de overheid schreef de Algemene Rekenkamer zeer recent een zeer kritisch artikel om de Tweede kamer meer achtergrondgegevens te verschaffen  bij de besluitvorming over die verandering.

Hoe het ook zij de RDA-beveiliging zal een gigantisch probleem blijven. De vraag is natuurlijk waar de burger zijn/haar data heeft staan. Kansrijk daarbij is Microsoft Healthvault, een cloud-based dataplatform, waar een ieder zijn/haar zorgdata kan opslaan in een digitaal kluisje. De burger zou dan gegevens uit het eigen PGD via het LSP inzichtelijk kunnen maken voor zorgaanbieders en ook via het LSP gegevens bij zorgaanbieders opvragen, bijvoorbeeld medicatiegegevens bij apotheken. De communicatie van de burger met de zorgkluis zou dan via een app op een smartphone kunnen lopen. Begin dit jaar is een proef op beperkte schaal gestart in Friesland, waarbij medicatiegegevens via een aan het LSP-gekoppeld portaal uitgewisseld worden. Zie: https://zorgictzorgen.nl/wp-content/uploads/2015/12/Presentatie-Esther-Bijma-OZIS-Fryslan-GERRIT.pdf . Het uitwisselschema dat gebruikt wordt ziet er zo uit(schema uit presentatie Esther Bijma uit bovenstaande link)

Schema 1

De grote bedrijven

Het Philips-concern houdt zich niet meer bezig met gloeilampen of televisies maar focust zich op “Health”. Naast het maken van scanners is een nieuwe bedrijfsfilosofie geformuleerd waarin men inzet op big-data-analyse die daarna te gelde wordt gemaakt. Die data moeten ergens vandaan komen. Dat kan niet door wat contracten met ziekenhuizen of individuele zorgaanbieders te sluiten, maar kan alleen slagen als het concern op grote schaal toegang krijgt tot zorgdata. Recent werd het me door een publicatie in een online-magazine duidelijk wat Philips beoogt. (Zie: http://www.digitalezorg.nl/digitale/interview-met-jeroen-tas-philips-over-ehealth-het-gaat-om-het-totale-gezondheidspad/ ) Niet alleen een bedrijf als Philips is overigens geïnteresseerd in zorgdata. Ook een bedrijf als RELX(voorheen Reed-Elsevier) heeft big-data-honger. (zie:  http://www.nrc.nl/nieuws/2016/07/27/privacyregels-zitten-groei-in-de-weg-3335942-a1513630). Door de publicatie van het interview met Philips-directeur Jeroen Tas is het duidelijk dat men bij dat bedrijf aanstuurt op de toegang tot de achterkant van een soort zorgkluis(lees: PGD) waardoor data op gepseudonimiseerde wijze daar afgetapt kunnen worden.

AVG

Zeer bedenkelijk is de rol die Nederland speelde bij de totstandkoming van de Algemene Verordening Gegevensbescherming die op 5 april 2016 door het Europees parlement is aangenomen en die de Wet bescherming persoonsgegevens grotendeels gaat vervangen. Daarin wordt gesteld in paragraaf 26 dat deze verordening geen betrekking heeft op de verwerking van dergelijke anonieme of gepseudonimiseerde gegevens, onder meer voor statistische of onderzoeksdoeleinden. Het positieve Nederlandse advies over deze verordening berustte op een panel-raadpleging van het Nivel(Nederlands Instituut voor onderzoek van de gezondheidszorg) en niet op een uitgebreide publieke raadpleging. Het was een voorbeeld van panel-democratie. De Nederlandse overheid lijkt het “Engelse model” te willen omarmen dat commerciële toegang tot zorgdata mogelijk wil maken. In het Verenigd Koninkrijk heeft de National HealthService(NHS) een onderdeel Care.Data dat de zorgdata wilde vermarkten. Daartoe sloot het NHS-onderdeel Care.Data contracten af met o.a Google’s DeepMind voor big-datanalyse. Ik schrijf nadrukkelijk “wilde” want zeer recent heeft de NHS het Care.data-programma gestopt vanwege het enorm dalen van het publieke vertrouwen door de afgesloten contracten. Burgers die in theorie een opt-out-mogelijkheid kunnen uitoefenen waren niet gekend over de mogelijkheid dat te doen. Bovendien gingen de contracten ook over zorgdata die tot vijf jaar terug vastgelegd waren, waardoor het uitoefenen van een opt-out vrijwel onmogelijk was..

Propaganda

In allerlei advertorials wordt geschermd met de gezondheidswinst die uit die big-data-analyse behaald kan worden. Nu reeds schept men een sfeer van: “ U bent gek als u niet meedoet. Het is zo goed voor u”. In de tussentijd is het gewoon handel op basis van resource-grabbing.

Overzicht

Onderstaand heb ik de samenhang tussen wat in het voorgaande besproken is vooer wat betreft Nederland trachten vast te leggen in een vereenvoudigd schema.

Schema 2

Beroepsgeheim

Het moge duidelijk zijn dat diverse partijen bezig zijn een ragfijn spel te spelen, zoals Marten Toonder meerdere keren in Bommel-verhalen liet optekenen. Het gaat in dit spel niet om wat grijpstuivers maar om een miljardenhandel. Het grote probleem met dit soort constructies is dat het zich absoluut niet verdraagt met het medisch beroepsgeheim dat niet een recht van de dokter is, maar een plicht. De patiënt heeft recht op de vertrouwelijkheid van de spreekkamer. Het geven van een eenmalige toestemming door de burger veronderstelt dat de burger zich altijd bewust is van het feit dat hetgeen vastgelegd wordt in het dossier van de zorgaanbieder te allen tijde gedeeld mag worden.

Bovendien gaat het ongelimiteerd verzamelen van zorgdata buiten behandelrelaties voorbij aan de klassieke betekenis van het beroepsgeheim. Daarin is het zo dat bij het delen van informatie met een andere zorgaanbieder  dan de brondossierhouder altijd sprake moet zijn van toestemming van de patiënt welke informatie voor welk doel met enige gekende derde wordt uitgewisseld. Een generieke (algemene) toestemming om toekomstige, dus nog onbekende,  informatie uit te wisselen is daar volledig strijdig mee. In die zin is de beoogde big-data-verzameling en – analyse niet verenigbaar met het medisch beroepsgeheim.

Voorbijgegaan wordt aan het feit, dat hetgeen vastgelegd is, geen volledig objectieve informatie is maar veelal een subjectieve beoordeling van wat besproken en onderzocht is. De zorgaanbieder zelf kent de werkelijkheid die achter die notities schuilt. Gaandeweg echter in een keten van gekoppelde systemen krijgt datgene wat vastgelegd wordt welhaast absolute waarde. Overgedragen informatie is in principe te onbetrouwbaar om volledig op te varen voor verdere behandeling van een patiënt.

Zorgaanbieders horen dit te weten en zijn ook, tuchtrechtelijk, gehouden om los van de via communicatie verkregen informatie bij verdere behandeling zelfstandig hun oordeel te vormen met (aanvullend) diagnostisch onderzoek. De concerns die de zorgdata willen aftappen  willen die beperking niet zien en hebben slechts oog voor het om niet  verkrijgen/tappen/gappen/grabben van data met een zeer hoge marktwaarde. De marktwaarde komt tot uiting in de prijs die zij de burger/zorgverzekeraar/overheid willen laten betalen voor hun uit die data verkregen product.

Geen noodzaak

Behoudens de door bedrijven gevoelde drang om met big-data geld te verdienen is er strikt genomen geen noodzaak voor dergelijke data-verzamelingen met gegevens van miljoenen mensen. Onderzoeken naar nut en noodzaak van therapieën of het ontdekken van potentiele dwarsverbanden kan ook beter en betrouwbaarder door medische professionals op veel beperktere schaal bereikt worden met gerichte en beperkte gegevensverzamelingen die een omschreven doel hebben. In een recent rapport van de Wetenschappelijk Raad voor het Regeringsbeleid, gemaakt door Leo Ottes, wordt dat bevestigd. In hoofdstuk 9.5 stelt Ottes dat met big-data alleen verbanden kunnen worden aangetoond, waarbij het niet zeker is of deze verbanden betekenis hebben. Hij vervolgt daarna met de constatering dat big-data wetenschappelijk onderzoek niet kan vervangen. De geschiedenis heeft geleerd dat bij mega-dataverzamelingen zonder een duidelijke doelbinding onvermijdelijk sprake is van “function-creep”. Het kan ook anders. Met het Whitebox-alternatief is communicatie van zorgdata tussen zorgaanbieders onderling mogelijk zonder gebruik van een tussenstation als het LSP en zonder dat sprake is van systemen die aan deze verbinding gekoppeld zitten . En het opvragen van betrouwbare gegevens voor een specifiek onderzoeksdoel blijft ook dan nog steeds mogelijk.

W.J. Jongejan

5 antwoorden
  1. petra
    petra zegt:

    L.S,

    Van een vriend in de medische sector, hoorde ik het vgl verslag :

    Een man met klachten over galstenen, komt bij de spoedeisende hulp in het AZG. Zijn medisch huisartsendossier wordt opgehaald door de verpleegkundige mbv het pasje van de arts.
    Standaard wordt dit gedaan en standaard worden die gegevens uitgeprint.
    De print bevat gegevens over de patient: zelfmoordpoging+ psychose+ SOA + scheiding etc.
    Gegevens teruggaand tot jaren her. Deze print blijft bij de printer liggen. Iedereen, zelfs de schoonmaker neemt er kennis van.
    Later ligt de uitdraai op de afdeling en kan iedereen die er in wil of in moet kijken, dat doen. En allemaal bij een patient die komt voor klachten betreffende galstenen. En het ergste: de man zelf weet van niets, want kan zijn eigen gegevens niet inzien.

    Mijn kennis vertelt mij dit met de opmerking: totaal onnodige informatie; de huisarts zou deze verslaglegging zo niet moeten doen. Onbegrijpelijk, vonden de artsen dit. En het ergste nog: dit komt dagelijks voor.

    Is er geen duidelijke richtlijn voor een huisarts.?Informatie mag toch alleen teruglopen tot een half jaar terug?
    Medicatie opsomming zou voldoende moeten zijn . Daaraan is toch voldoende af te lezen.

    Op het scherm bij de apotheek staat : alleen huisarts, apotheker en specialist mogen informatie opvragen via het LSP. Maar wat als iedere dokterassistente, apothekersassistente, verpleegkundige deze informatie kan ophalen mbv het pasje van de verantwoordelijke en vervolgens de informatie laat slingeren? Via VZVZ wordt er bericht gestuurd dat er iemand informatie heeft opgehaald via het LSP, maar wie dat heeft opgehaald , is niet te zien. Alleen de naam van de specialist of de apotheker, maar niet van de andere medewerkers die de informatie doodleuk ophalen in naam van hun baas.. Ik vind de informatie op de schermen om toestemming te geven voor het LSP, heel onbetrouwbaar en onjuist hierdoor.
    Zet heel eerlijk wie er allemaal informatie kan ophalen. Geef betere richtlijnen waardoor situaties als hierboven geschetst NIET optreden.
    Mensen worden gewoon verkeerd voorgelicht. Zou iedereen weten hoe de zaken in de praktijk toegaan, dan gaf de helft van de mensen nog geen toestemming.

    Medewerkers in de medische sector zijn niet doordrongen van de privacy van de patienten
    DOE ER WAT AAN !

    • wjjongejan
      wjjongejan zegt:

      Beste Peter,
      Hier speelt iets aparts. Via het LSP kan een SEH-tegenwoordig alleen medicatiegegevens en zogenaamde ICA-gegevens opvragen. Dat zijn de Interacties, Contra-indicaties en Allergieën. Overigens kan dat alleen als de patiënt bij zijn apotheek/apotheken zijn opt-in-toestemming heeft gegeven voor het delen van die informatie. Gegevens over contacten(spreekuurconsulten etc) en diagnosen(episoden) staan in de Professionele Samenvatting(PS) in het dossier van de huisarts. Die PS kan (nog) niet opgevraagd worden door SEH-artsen.
      Wat wel kan is dat de patiënt op een geïntegreerde SEH geweest is waar huisartsenpost en SEH op één locatie met twee loketten naast elkaar werken. Als de patiënt zich met de galsteen-koliek gemeld heeft aan het HAP loket van die post dan kan daar een uitdraai zijn gemaakt omdat bij verleende opt-in-toestemming voor huisartsdata de huisartsenpost die data kan opvragen. Als daar een print gemaakt is en bij doorverwijzen van de huisartsenpost naar de SEH-meegegeven is aan de patiënt dan kan zo’n overzicht op die manier in het ziekenhuis verdaagd zijn.
      Overigens kan de patiënt altijd in het huisartsdossier consultverslagen en diagnosen(episoden) doen afschermen voor LSP-bevraging. Die afgeschermde regels worden dan niet opgenomen in de professionele samenvatting.

  2. Klaas de Graaff
    Klaas de Graaff zegt:

    Wat maken wij ons druk om inzage van goedbedoelde gegevens. Het publiceren van gegevens uit het strafregister
    van rechtbanken, openbaar ministerie en politie lijkt mij iets wat beschermd moet worden.

  3. Gerard Freriks
    Gerard Freriks zegt:

    Een goed artikel.
    Ik zou aan enkele genoemde criteria (zoals Doelbinding, en Privacy) willen toevoegen dat elk medisch dossier gevuld wordt door een auteur (de zorgverlener). Het goed documenteren van de door een zorgverlener geleverde zorg is een verlichting. Zo’n medisch dossier dient dus primair de borgverlener/auteur. De auteur heeft de plicht de privacy van zijn patiënt te waarborgen. Ik vraag mij af of enige toestemming van de patient de auteur/zorgverlener ontslaat van de plicht tot het bewaken van de privacy en de patiënt goed te adviseren bij het beoordelen van een gericht verzoek tot openbaarmaking van de privacy gevoelige gegevens en het geven van een doelgericht antwoord.
    Er dreigt bij aannemen van de voorliggende wet dat de auteur/zorgverlener zijn zorgplicht niet waar kan maken omdat een niet doelgericht verzoek de patiënt uit zal nodigen om alle gegevens voor in lengte van dagen beschikbaar te stellen.

    Vervolgens is er het probleem van (pseudo-) annonimisatie. Vaak blijkt dat dit niet voldoende. daarom is additionele bewerking van de data vaak nodig om de privacy te kunnen garanderen. Ook dreigt er het gevaar dat meerdere data bronnen aan elkaar gekoppeld kunnen gaan worden en dat op deze wijze de privacy onderdruk komt te staan.
    Big-Data heeft als probleem dat data verzameld voor het ene wel omschreven doel hergebruikt gaat worden voor andere doeleinden. Dit maakt de betrouwbaarheid een stuk lager, zoals Wim Jongejan terecht schrijft. Indien dmv onjuist hergebruik patiënten profielen gemaakt gaan worden door markt partijen (bv verzekeraars) dan heeft dat mogelijk grote ongewenste, onbedoelde, gevolgen voor patiënten.

    Mijn conclusie is dat een uitgebreide risico analyse gemaakt moet worden om bovenstaande problemen in kaart te brengen.
    VWS, NPF en het NIVEL acht ik niet instaat om dit onafhankelijk op basis van deskundigheid te doen.

Trackbacks & Pingbacks

Reacties zijn gesloten.