We willen graag alert zijn als het gaat om het delen van onze (medische) gegevens, maar vaak weten we niet eens dat het gebeurt, laat staan door wie en waarom. Dat geldt ook voor de 50 miljoen Amerikanen waarvan de medische gegevens in de handen vielen van Google, zonder dat hen ooit om toestemming werd gevraagd. Kan dat in Nederland ook gebeuren?
De ene na de andere techgigant stort zich op de gezondheidsmarkt. Apple en Samsung verzamelen via onze mobiele telefoons en smartwatches allerlei persoonlijke gegevens over onze gezondheid, Microsoft is een AI-systeem aan het testen waarbij gesprekken tussen doctoren en patiënten worden opgenomen en Amazon begon in september met een nieuwe pilot genaamd ‘Amazon Care’. Ook Google wil graag een aandeel in de zeer profijtelijke e-healthmarkt. Zo kocht het bedrijf afgelopen november het bedrijf Fitbit voor 2,1 miljard. Met deze aankoop werd Google ook meteen de nieuwe eigenaar van gezondheidsgegevens van de ruim 28 miljoen gebruikers die de activiteitstracker om hun pols dragen. Dat bleek echter niet voldoende voor het techbedrijf: begin november bracht de Wall Street Journal naar buiten dat Google en zorgverzekeraar Ascension een deal hadden gesloten, waarbij de zorggegevens van miljoenen Amerikanen aan Google werden overgedragen. Een samenwerking tussen een techgigant die constant op zoek is naar meer en meer persoonlijke gegevens en een grote zorgverzekeraar met gevoelige data van ruim 50 miljoen Amerikanen. Dit is op zijn zachts gezegd opvallend te noemen.
De samenwerking tussen Google en Ascension draagt de naam ‘Project Nightingale’ en focust volgens het persbericht van Google op drie pijlers: de infrastructuur van Ascension naar de Cloud verhuizen, de G Suite software van Google implementeren en het gezamenlijk werken aan de verbetering van tools voor de zorg om zowel de kwaliteit als de veiligheid naar een hoger plan te tillen. Deze service verlenen ze volgens de Wall Street Journal zelfs gratis aan Ascension, omdat Google wil kijken of ze een platform kunnen ontwikkelen wat breder kan worden ingezet en uiteindelijk kan worden verkocht aan meer zorgverzekeraars.(1)
Er wordt in het persbericht geen woord gerept over de kennisgeving aan patiënten waarvan de data zijn gedeeld. Waren zij op de hoogte van het project? Zouden de personen om wiens gegevens het gaat niet zelf de macht moeten krijgen om te bepalen of de gegevens mogen worden gedeeld met andere partijen, of op zijn minst geïnformeerd moeten worden?
Één van de medewerkers van het project vond van wel en besloot niet langer stil te blijven. De klokkenluider was een van de circa 250 medewerkers die toegang hadden tot de data uit het project. Bij het dagblad The Guardian deed de medewerker zijn verhaal en er werd een video met beelden van de dossiers gepubliceerd op het videoplatform Dailymotion. De video is inmiddels weer verwijderd, maar de klokkenluider stelt in de video dat de gegevens niet zijn geanonimiseerd. Bovendien stelt hij dat Google in de toekomst, anders dan het bedrijf zelf beweert, de data wel degelijk kan delen of verkopen aan derde partijen. Met het creëren van persoonlijke profielen van patiënten kan de techgigant gericht gaan adverteren voor de zorgindustrie.’
Project Nightingale mag dan de grootste samenwerking ooit zijn als het gaat om de hoeveelheid medische persoonsgegevens die wordt gedeeld, maar het is niet de eerste keer dat een samenwerking tussen Google en een medische organisatie in opspraak komt. In 2017 werd aangekondigd dat het medische centrum van de Universiteit van Chicago patiëntendata ging delen met Google voor het ontwikkelen van AI-tools. In 2019 werden beide partijen aangeklaagd voor het onrechtmatige delen van dossiers zonder de data voldoende te anonimiseren, waardoor de privacy van patiënten in gevaar kwam.
Zelfs als de data wel geanonimiseerd zijn, staat de privacy van patiënten op het spel. Zo werd Deepmind, een zusteronderneming van Google, in 2016 door de Britse privacywaakhond beschuldigd van privacyschending, nadat het bedrijf de geanonimiseerde data van 1.6 miljoen patiënten had verkregen. Het van oorsprong Britse bedrijf, gespecialiseerd in AI, werkte samen met Britain’s National Health Service (NHS) voor het ontwikkelen van een applicatie. Volgens de Britse toezichthouder werd er echter meer medische informatie werd gedeeld dan noodzakelijk. Deepmind kreeg uiteindelijk geen boete, maar na aankondiging dat het project werd verhuisd naar zusterbedrijf Google waren er opnieuw ernstige zorgen over de privacy van patiënten.
De toenemende interesse naar gezondheidsgegevens vanuit de techgiganten geeft het delen van medische data een enigszins nare bijsmaak, maar er zijn ook redenen om de opmars van de techbedrijven in de medische wereld toe te juichen. Een bedrijf als Google heeft tenslotte de mensen en de middelen om daadwerkelijk verandering te brengen in de zorg. Met hun algoritmes en engineers kunnen ze zorg goedkoper en beter maken. Niet voor niets stond in Google’s persbericht dat het bedrijf met de data van Ascension technieken kan ontwikkelen die de zorg kunnen verbeteren, de kosten gaan verminderen en zelfs levens kunnen redden. Bij veel universitaire of medische onderzoeken wordt al gebruik gemaakt van medische data om bijvoorbeeld te kunnen voorspellen wanneer een terminale patiënt overlijdt. Ook het vergelijken van medische data van verschillende patiënten helpt artsen bij het stellen van een diagnose. Deepmind stelde eerder dit jaar zelfs dat hun algoritme de symptomen van acute nierproblemen zo’n twee dagen eerder kon opsporen dan een arts. Technische ontwikkelingen kunnen, ondanks alle negatieve geluiden, wel degelijk de gezondheidszorg vooruit helpen.
Toch rest de vraag waarom een bedrijf als Google daarvoor geen geanonimiseerde data kan gebruiken. In plaats van namen en geboortedata kunnen de patiëntendossiers worden voorzien van unieke identificatienummers die alleen terug zijn te leiden naar personen door zorgverzekeraar Ascension. Zolang medische data herleidbaar zijn naar personen wekt Google de indruk dat kwaliteit van de zorg niet de voornaamste reden is voor een samenwerking met Ascension.
Medische gegevens genieten in de Verenigde Staten bescherming vanuit een specifieke wet: de Health Insurance Portability and Accountability act (HIPAA). De technologie ontwikkelt zich alleen sneller dan de wetgeving kan bijbenen. De originele HIPAA stamt uit 1996. Grote techgiganten stonden destijds vaak nog in de kinderschoenen. Bij het opstellen van de HIPAA heeft de wetgever dan ook niet voorzien dat grote bedrijven de medische gegevens kunnen gaan gebruiken voor commerciële doeleinden.
In de wet is ruimte gelaten voor het delen van informatie om de zorginstellingen de kans te geven nieuwe technologieën te ontwikkelen en zo de zorg te verbeteren. Zo staat in de wet geschreven dat de zorginstelling medische gegevens mag delen met zakenpartners, “only to help the covered entity carry out it’s health care functions.” Zolang de zakenpartner de medische gegevens en patiëntendossiers gebruikt om de zorg te innoveren is het uitwisselen van de data in overeenstemming met de HIPAA. Ziekenhuizen of zorgverzekeraars hoeven bijvoorbeeld ook geen toestemming te vragen voor de opslag van gegevens in de cloud. Omdat de service die Google verricht kan worden gezien als kwaliteitsverbetering in de zorg voldoet Project Nightingale aan de vereisten van de HIPAA.
De wetgeving laat ook op andere vlakken nog te wensen over, waardoor het lijkt alsof Amerikaanse techbedrijven nu ongegeneerd hun gang kunnen gaan. Als medische data zijn gedepersonaliseerd is de HIPAA bijvoorbeeld niet meer van toepassing. Wat betekent dat je als patiënt geen invloed meer hebt op wie jouw data ziet, omdat de gegevens niet direct meer te herleiden zijn naar jou. Inmiddels weten we dat ‘anonieme’ gegevens vaak helemaal niet zo anoniem zijn, en met techgiganten die reeds via tal van andere wegen al een grote hoeveelheid data over ons verzamelen lijkt het niet onmogelijk dat zelfs de geanonimiseerde medische data ‘gewoon’ herleidbaar zijn.
Niet alleen in Silicon Valley zijn bedrijven hongerig naar medische gegevens. Ook in Nederland zijn er tal van voorbeelden te vinden waarbij de privacy van patiënten ondergeschikt was aan de vraag van bedrijven naar zoveel mogelijk data. Zo belandden begin 2019 de gegevens van honderdduizenden Nederlandse patiënten in de Google Cloud zonder dat de patiënten daarvoor toestemming hadden gegeven. De data werden op verzoek van 120 verschillende ziekenhuizen verzameld door een externe partij genaamd Medical Research Data Management (MRDM) en verwerkt voor kwaliteitsregistraties en interne analyses. Hoewel ziekenhuizen de data uit patiëntendossiers versleuteld naar MRDM stuurden, werden er toch vraagtekens gezet bij de keuze voor Google Cloud als opslagplaats. Minister Bruins verzocht de Autoriteit Persoonsgegevens (AP) dan ook om onderzoek te doen naar de gang van zaken, maar de AP zag na het inzien van verschillende verantwoordingsdocumenten bij de MRDM geen aanleiding voor nadere controle.
Naast MRDM wordt ook de software van het Amerikaanse bedrijf Epic in elf grote Nederlandse ziekenhuizen gebruikt om dossiers te beheren. Epic heeft met alle gegevens uit het dossier inmiddels een reusachtige hoeveelheid aan data verzameld die in een omgeving genaamd Cosmos worden ingezet voor het gebruik van algoritmes. Door de relatieve onbekendheid van Epic lijkt het een onschuldige speler, maar met een jaarlijkse omzet van 2,8 miljard dollar en tienduizend medewerkers doet het bedrijf niet onder voor techgiganten als Facebook en Apple.
Er zijn dus al grote internationale bedrijven die beschikken over gegevens uit de Nederlandse zorgdossiers, maar dit betekent niet meteen dat er in Nederland morgen ook een deal kan worden gesloten tussen Google en een grote zorgverzekeraar als Achmea of Zilveren Kruis. Voldoen aan de HIPAA-normen wil niet zeggen dat je ook voldoet aan de Europese privacynormen. Waar HIPAA ziet op de bescherming van de medische gegevens, is de Algemene verordening gegevensbescherming (AVG) gericht op de bescherming van gegevens in een veel bredere zin. Medische gegevensbescherming is daar slechts één onderdeel van, maar wel een belangrijk deel. Gegevens over onze gezondheid zijn bijzondere persoonsgegevens en genieten meer bescherming dan ’gewone’ persoonsgegevens. De ‘protected health information’ (PHI) zoals omschreven in de HIPAA omvat alle gegevens van iemands fysieke of mentale toestand, de zorgverlening en de vergoeding van eventuele zorgkosten. Onder de AVG moet het begrip gezondheidsheidsgegevens erg ruim worden geïnterpreteerd. De Europese privacytoezichthouders stellen dat niet alleen gegevens uit een medisch dossier daaronder vallen, maar ook zaken als het dragen van contactlenzen of roken. Het criterium van de toezichthouders is of er op basis van een bepaald gegeven, eventueel in combinatie met andere gegevens, conclusies kunnen worden getrokken over de gezondheid van een persoon.
In de Verenigde Staten moeten zorgaanbieders, ook wel ‘covered entities’ en hun businesspartners zich houden aan de HIPAA. De partners van de zorgaanbieders zijn organisaties die PHI verwerken ten behoeve van de zorgaanbieders voor een doel wat gedefinieerd is in de HIPAA. Anders dan bij de HIPAA moet in Nederland elke organisatie die persoonsgegevens verwerkt zich aan de AVG houden. Ook organisaties buiten Europa die hun diensten aanbieden in Nederland. Google is zo’n organisatie. De AVG lijkt dus waterdicht waar de HIPAA onvoldoende toereikend is.
De kans dat Amazon, Google of Facebook morgen alle medische gegevens van jouw Nederlandse zorgverzekering in handen krijgt is klein. De Europese wetgeving weet de privacy van onze medische gegevens voldoende te waarborgen, maar het kan nooit kwaad om kritisch te blijven. Ook minder bekende techbedrijven liggen op de loer en werken al samen met tal van Nederlandse ziekenhuizen zonder dat men daarvan lijkt wakker te liggen. Bovendien delen wel via eHealth-applicaties al massaal én vrijwillig gevoelige data over onze fysieke of mentale gesteldheid, zonder daarbij stil te staan.
Sommige onderzoekers stellen dat het van onmiskenbaar belang is dat medische data worden gedeeld en dat dit zelfs zo belangrijk is dat de privacy op de achtergrond ‘mag’ geraken, maar dan rest nog altijd de vraag of medische vooruitgang wel echt de prioriteit heeft bij techgiganten die hun inkomsten halen uit het adverteren. Eén ding is zeker: of het nu gaat om de Verenigde Staten of Nederland, dit is pas het begin van de techopmars in de gezondheidszorg.
(1) Google stelt wel betaald te krijgen voor de verleende services, maar wil verder in het persbericht niets loslaten over de financiën: https://cloud.google.com/blog/topics/inside-google-cloud/our-partnership-with-ascension
Dit artikel is ook te vinden in de dossiers AVG en Privacy in de zorg