Artikel

De last van vertrouwen zo laag mogelijk maken!​

Uiteindelijk is gebruik van data, van medische gegevens, bottom line een zaak van vertrouwen op het niveau van het individu.

Marc van Lieshout gaf dit interview in 2019. Op 19 augustus 2021 is hij overleden.

Maar regelingen worden niet op individueel niveau gemaakt, gebruik van gegevens heeft altijd een breder perspectief, een maatschappelijke dimensie: hoe maken we het gebruik beheersbaar en controleerbaar? Wat mij betreft ligt de grote uitdaging erin om de last van het vertrouwen zo laag mogelijk te maken.

Aan het woord is Marc van Lieshout, senior privacy onderzoeker bij TNO. Hij houdt zicht bezig met privacy vriendelijke dienstenontwikkeling in de zorg.

“Mensen zijn bereid om eigen gegevens beschikbaar te stellen. Dat is geen probleem. Wij hebben daar onderzoek naar gedaan; mensen zijn bereid gegevens ter beschikking te stellen als het algemeen belang ermee gediend is. Denk bijvoorbeeld aan crowd control bij evenementen. Er zijn twee voorwaarden: zeker weten dat gegevens alleen daarvoor gebruikt worden en dat er geen commercieel doel aan verbonden is. Er zit altruïsme bij mensen, ze willen meewerken als anderen er baat bij hebben.”

Zeggenschap

“Medische gegevens kennen geen juridisch eigendomsrecht. Het is verwarrend te spreken over ‘eigendom van gegevens’. Dat bestaat niet. Je hebt wel zeggenschap over jouw individuele gegevens. De wet geeft individuele patiënten het recht om tot op zekere hoogte te bepalen wat er met hun individuele gegevens gebeurt.” Kan of moet de overheid stimuleren dat er beter gebruik wordt gemaakt van gegevens? Marc van Lieshout: “Daar zit in mijn ogen niet de crux. We kunnen nú al door veel gegevens bij elkaar te leggen ziektes veel beter begrijpen en ideeën krijgen voor betere behandelingen. Vanuit TNO zijn we daar volop mee bezig: we richten ons op lifestyle en wat mensen gezond houdt. Lastig is dat we in ons land maatschappelijk en verzekeringstechnisch niet zijn ingericht op het investeren in preventie.”

“De patiënt komt steeds meer in de regisseursstoel als het gaat om gebruik van eigen gegevens. Dat is best ingewikkeld. Hoeveel kennis heb je nodig? Zeggenschap volledig bij het individu leggen is een illusie. We moeten het zo organiseren dat mensen de regierol goed kunnen vervullen. Dan kom je bijvoorbeeld bij coöperaties.” In Amerika hebben patiënten zich verenigd. Daar zie je dat onder het motto “Live better, together” het platform Patientslikeme is ontstaan, het grootste gepersonaliseerde gezondheidsnetwerk ter wereld. “Meer dan 650.000 mensen hebben gezegd: wij beheren onze eigen gegevens, het is een soort coöperatie van gezondheidsgegevens en ze ontwikkelen zelf richtlijnen en procedures voor gebruik. Interessant is dat ze de gegevens ook commercieel beschikbaar stellen voor derde partijen om daar onderzoek mee te doen.” Patientslikeme heeft al geleid tot meer dan 100 wetenschappelijke publicaties.

 

Het is verwarrend te spreken over ‘eigendom’ van gegevens.

Toestemming van patiënten is niet strikt noodzakelijk om gebruik te maken van medische gegevens, zegt Marc. “In een Opinie heeft de groep van Europese privacytoezichthouders, de European Data Protection Board (EDPB), aangegeven dat het zelfs beter is om een andere grondslag, zoals het publieke belang van de verwerking, te gebruiken voor medisch-wetenschappelijk onderzoek. Het voordeel van het werken met een ‘health data cooperative’ is dat je áltijd weet om wie het gaat, en mensen dus altijd kunt informeren over je activiteiten. Daarnaast maken onderzoekers gebruik van technieken om te maskeren op welke patiënt bepaalde gegevens betrekking hebben. Zo kun je kolommen door elkaar gooien of ruis toevoegen, waardoor de analyse over de hele groep hetzelfde blijft, maar je voorkomt dat de resultaten rechtstreeks naar een bepaalde persoon leiden. Deze statistische trucs zijn om te voorkomen dat informatie herleidbaar is tot patiëntniveau. En daar kan je mee spelen. In een Opinie uit 2014 door de Artikel 29 Werkgroep (de voorloper van de huidige EDPB) is aangeven hoe gegevens met een goede versleuteling geanonimiseerd kunnen worden. Bij medisch onderzoek is nu al gebruikelijk om nooit met namen te werken, maar met identificatienummers. Met cryptografische technieken kan ik gegevens vervolgens versleutelen. In Europa formuleren we nu een antwoord op de vraag aan welke organisatorische en technische voorwaarden je moet voldoen om deze analyses te mogen plegen. Die zijn noodzakelijk om te blijven voldoen aan wettelijke voorwaarden maar ook om patiënten niet van je te vervreemden.Er zijn nog geen standaarden beschikbaar voor het organisatorische en technisch inregelen wáár je aan moet voldoen om onder de streep het antwoord te krijgen ‘het is op orde’. Juist daar moet de PHC Catalyst Alliance de goede dingen doen. Een deel van het werk bestaat uit het formuleren van en bijdragen aan de standaarden.”