Artsen en instellingen willen de zorg steeds verder verbeteren. Steeds meerinstellingen zoeken naar manieren om relevante behandelgegevens te met elkaar delen om zodoende systemen te ontwikkelen die de arts kan ondersteunen bij het stellen van diagnoses of het maken van behandelkeuzes. In toenemende mate worden sensoren gebruikt om vitale lichaamsfuncties te meten, lopen patiënten thuis vrijwillig rond met slimme horloges die slaappatronen bijhouden, stappen tellen en de hartslag meten en registeren. Al dit soort systemen genereren data die erg interessant zijn voor het verbeteren van de zorg aan een patiënt. Momentopnamen (een enkel huisartsbezoek, een enkele bloedtest, e.d.) worden vervangen door trendlijnen die een nauwkeuriger beeld geven van de medische staat van een patiënt. Het wordt zo mogelijk om veel beter vast te stellen wat iemand mankeert en wat de beste behandeling voor die persoon zou zijn. De mogelijkheden met deze grote hoeveelheden data lijken eindeloos, maar kennen ook beperkingen.
Hoe mooi is het niet om een empirische analyse te krijgen van de kans dat een bepaalde behandeling in combinatie met bepaalde klachten succesvol zal zijn. De doelen die hierachter schuilen, lijken op het eerste gezicht heel nobel. Maar die doelen doen er niet aan af dat daarbij gezondheidsgegevens worden verwerkt waarop strenge regels van toepassing zijn. Hierna stippen wij de belangrijkste privacyrechtelijke aandachtpunten aan.
Wat zijn big data?
Een sluitende definitie van big data is er niet, maar in vrijwel alle definities kun je in ieder geval drie elementen onderscheiden: (a) grote hoeveelheden data, (b) die snel opgevraagd of geraadpleegd kunnen worden en (c) afkomstig zijn uit verschillende bronnen. Het gaat in de kern dus over het beschikbaar stellen en (her)gebruiken van data.
Het grote verschil tussen big data-analyses en traditioneel onderzoek is dat je in big data-analyses uit een grote hoeveelheid op zichzelf nietszeggende gegevens, relevante conclusies kunt trekken. Dat was tot een paar jaar geleden ondenkbaar. Door de immer toenemende rekenkracht van computersystemen en de toenemende hoeveelheid data kunnen steeds betere verbanden worden gelegd en profielen worden opgebouwd. Allerlei gegevens die zijn verzameld voor uiteenlopende doeleinden, kunnen nu dienen als onderzoeksobject voor onderzoek naar allerlei ziektes en aandoeningen.
Hier conflicteren big data-toepassingen al snel met fundamentele beginselen van het privacyrecht, omdat dergelijke data als het al niet op zichzelf om persoonsgegevens gaat, vaak in combinatie met elkaar te herleiden zijn tot een bepaalde persoon.
Privacywetgeving
Werken met big data in een zorgcontext betekent vrijwel altijd werken met medische persoonsgegevens. Hierdoor heb je al snel te maken met strenge regels voor uit (onder meer) de huidige Wet bescherming persoonsgegevens (Wbp), de komende Algemene Verordening Gegevensbescherming (AVG) en de Wet inzake de geneeskundige behandelingsovereenkomst (WGgbo).
Het verwerken van dergelijke gegevens is in beginsel verboden, tenzij de Wbp daarvoor een grondslag biedt óf de patiënt uitdrukkelijk toestemming geeft gegeven. Volgens de Wbp mogen medische persoonsgegevens in de zorg vrijwel uitsluitend verleend worden om zorg te verlenen of in het kader van wetenschappelijk onderzoek.
Medisch beroepsgeheim
Volgens de Wgbo mag een zorgverlener zonder toestemming van de patiënt geen gegevens met anderen delen, al bestaan op die strenge regel enkele uitzonderingen. Eén van die uitzonderingen is dat iemand die rechtstreeks betrokken is bij de uitvoering van de behandelingsovereenkomst patiëntgegevens mag verwerken, maar slechts voor zover dit noodzakelijk is voor de door hem in dat kader uit te voeren werkzaamheden.
Voor zover je een producent van medische hulpmiddelen of medische apps al als zo’n hulppersoon zou kunnen beschouwen, zal duidelijk zijn dat hij grond van deze strenge voorwaarde in ieder geval maar heel beperkt kennis mag krijgen van medische persoonsgegevens van patiënten. Die zijn immers al snel niet meer noodzakelijk voor de door de producent voor die behandelingsovereenkomst tussen zorgverlener en patiënt uit te voeren werkzaamheden.
Wetenschappelijk onderzoek?
Medische persoonsgegevens mogen buiten de context van de arts-patiëntrelatie dus al snel niet meer verwerkt worden. Maar de Wbp en de toekomstige AVG bevatten echter een nóg een uitzondering op het verbod om medische persoonsgegevens te verwerken, en wel voor wetenschappelijk of statistisch onderzoek. De Wbp stelt daarbij als aanvullende eis dat het onderzoek een algemeen belang moet dienen, de verwerking voor het onderzoek noodzakelijk moet zijn, het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost en bij de uitvoering is voorzien in waarborgen die maken dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. De Wgbo kent voor een zorgverlener vergelijkbare, zelfs nog iets striktere, voorschriften en voegt daaraan toe dat de betrokken patiënt tegen een verstrekking niet uitdrukkelijk bezwaar heeft gemaakt.
Wetenschappelijk onderzoek wordt onder bovengenoemde voorwaarden geacht verenigbaar te zijn met het oorspronkelijke doel (behandeling van de patiënt). Wat precies onder wetenschappelijk onderzoek in juridische zin moet worden verstaan, is niet duidelijk. Naar ons oordeel valt een gezamenlijk onderzoek tussen een ziekenhuis en een leverancier van medische hulpmiddelen ter verbetering daarvan (zoals medical devices en medische apps) hier niet zonder meer onder. Het doel is dan immers primair commercieel.
Wetenschappelijk onderzoek met medische persoonsgegevens mag alleen maar als er een duidelijk algemeen belang is en aan strenge eisen wordt voldaan (waaronder dataminimalisatie, pseudonimisering, geheimhouding, beveiliging). Dit komt eigenlijk neer op het vormgeven en inrichten van een gecontroleerde database en onderzoekomgeving waar gericht onderzoek mee kan plaatsvinden op daarvoor beschikbaar gestelde data. De patiënt moet in dit verband zeer goed worden geïnformeerd (wie doet wat met welke gegevens en voor welke doeleinden?). Vooralsnog geldt in de meeste gevallen dat de patiënt uitdrukkelijk moet instemmen met het wetenschappelijke onderzoek. Zelfs als aan de strenge voorwaarden voor het niet-vragen van toestemming is voldaan, moet de patiënt altijd nog in de gelegenheid zijn om bezwaar te maken tegen gebruik van zijn gegevens. Ook dat impliceert informatie over het verder gebruik van de gegevens.
Dit alles betekent dat medische persoonsgegevens volgens ons op grond van de regels voor wetenschappelijk onderzoek niet zonder inspraak van de patiënt kunnen worden verzameld in een “bigdatavergaarbak”, om daarmee vervolgens eindeloze koppelingen mee te maken en/of toepassingen mee te doen. Voor een gericht onderzoek is onder strikte voorwaarden toestemming niet nodig, als vaststaat dat het vragen van toestemming (nagenoeg) onmogelijk is en waarborgen zijn gecrëerd dat geen grotere inbreuk wordt gemaakt op de persoonlijke levenssfeer dan strikt noodzakelijk.
Uitdrukkelijke toestemming: de Wet bescherming persoonsgegevens kent ook een algemene uitzonderingsbepaling voor het verwerken van medische persoonsgegevens. Het algemeen verbod om medische persoonsgegevens te verwerken is namelijk niet van toepassing als de betrokkene daarvoor uitdrukkelijk toestemming heeft gegeven. In dat geval geldt niet de restrictie dat het onderzoek wetenschappelijk moet zijn. Dit betekent dat ook big data-toepassingen in theorie mogelijk zijn. Wel moet ook dan de patiënt nauwgezet geïnformeerd worden over het gebruik van zijn gegevens alvorens hij toestemming geeft (informed consent).
De toestemming van de patiënt moet betrekking hebben op een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen. Duidelijk zal moeten zijn om welke verwerking het gaat, van welke gegevens voor welk doel dit zal plaatsvinden en als gegevens aan derden worden verstrekt om welke derden het gaat. De toelichting bij de wet vermeldt dat een zeer brede en onbepaalde machtiging tot het verwerken van gegevens niet mag.
Is anonimiseren de oplossing?
Ja en nee. Als persoonsgegevens volledig geanonimiseerd zijn en dus noch direct noch indirect terug te voeren zijn op een individu, dan kun je niet meer spreken van een persoonsgegeven en is de privacywetgeving niet meer van toepassing.
Maar het anonimiseren van medische persoonsgegevens is op zichzelf ook verwerking van persoonsgegevens en daarvoor moet eveneens een rechtvaardiging worden gevonden in de strenge wetgeving over het verwerken van gezondheidsgegevens van patiënten. Die grondslag heeft een producent in ieder geval niet, omdat hij de gegevens via de band van de behandelingsovereenkomst tussen arts en patiënt onder zich heeft en het anonimiseren per definitie niet noodzakelijk is voor zijn werkzaamheden in dat kader. Alleen de zorgverlener kan dus onder strikte voorwaarden tot anonimisering overgaan.
Bedacht moet bovendien worden dat gegevens in combinatie al snel herleidbaar zijn. Gegevens die versleuteld zijn (waarbij de naam bijvoorbeeld vervangen is door een code zijn ‘pseudoniem’) zijn volgens de toekomstige AVG en de autoriteit persoonsgegevens nog steeds een persoonsgegeven.
Altijd behoort te worden nagegaan of anoniem wel echt anoniem is. Gegevens blijken namelijk in de praktijk lang niet altijd echt anoniem. Aan op het oog op zichzelf anonieme gegevens als bijvoorbeeld röntgenfoto’s worden namelijk dikwijls metadata toegevoegd. Dikwijls worden metadata toegevoegd. Dit gebeurt om de kwaliteit van de data kunnen borgen., Die metadata zorgen ervoor dat de herkomst van de gegevens zichtbaar blijft. Aan de hand van die metadata kan vaak relatief eenvoudig op indirecte wijze weer worden achterhaald welke persoon op welke dag op welk tijdstip in het ziekenhuis is geweest, waardoor er naar de letter van de wet weer sprake is van een persoonsgegeven waarop de strenge wetgeving van toepassing is.
Ook voor het anonimiseren van gegevens ten behoeve van big data-onderzoek kan overigens uitdrukkelijk toestemming worden gevraagd. In dat geval is er helemaal niets tegen op het gebruik van die gegevens voor verdere toepassingen.