De voornaamste conclusie van het rapport is dat centrale opslag bij een ‘beheerder’ goed mogelijk is zonder uitdrukkelijke toestemming van de patiënt en dat aldus ‘big data’ kunnen worden verkregen voor wetenschappelijk onderzoek en ‘commerciële doelen’. Maar wie op basis van dit rapport zijn systemen inricht, loopt grote kans om onrechtmatig te handelen, waarschuwt Van Veen.
NOPROS
Volgens Van Veen gaat het rapport voorbij aan de huidige inzichten omtrent het massaal verzamelen van gegevens. Via de zogenaamde ‘NOPROS’ methode is te controleren of de gegevensverwerking met in achtneming van redelijkerwijs beschikbare of te ontwikkelen ict NOodzakelijk, PROportioneel en Subsidiair is om legitieme doelen te bereiken.Steeds moet men beoordelen of gegevensverwerking door de centrale opslag via ‘privacy enhancing tehnologies’ niet met minder persoonsgegevens toekan. Het rapport stelt dat het voorlopig gaat om beelddata en in een later moment wellicht ook om patiëntgegevens. Maar zonder patiëntgegevens zijn de beelden niet bruikbaar, oppert Van Veen. Wanneer men alles centraal wil opslaan moet NOPROS toegepast worden. ‘Zolang de beoogde centrale opslag van ‘alles’ niet op basis van NOPROS voldoende hard kan worden gemaakt, is die onrechtmatig.’
‘Beheerder’, verantwoordelijke, bewerker
Zo spreekt het rapport spreekt van ‘‘beheerder’. Dat is of een bewerker of een verantwoordelijke in de zin van de Wet bescherming persoonsgegevens (WBP). Wanneer bijvoorbeeld de ‘beheerder’ zelf zou kunnen bepalen hoe de data voor onderzoek worden gebruikt, in plaats van elk van deelnemende zorginstellingen afzonderlijk, is deze volgens Van Veen geen bewerker meer maar verantwoordelijke. De toestemming van de patiënt voor het onderbrengen bij Almere DataCapital is dan in beginsel noodzakelijk.
Commerciële doeleinden
Het gebruik van patiëntgegevens voor commerciële doeleinden wordt in de notitie door Van Veen genuanceerd. In het rapport wordt gesteld dat anonieme patiëntgegevens zonder meer door commerciële partijen gebruikt mogen worden. Artikel 9 eerste lid WBP stelt echter dat verdere verwerking van persoonsgegevens verenigbaar moet zijn met de doelen waarvoor deze zijn verzameld. ‘Om aan de hoogstbiedende partij te verkopen welke geneesmiddelen ten behoeve van een bepaalde aandoening worden afgeleverd’ valt volgens van Veen onmogelijk met dit artikel te rijmen. Goed wetenschappelijk onderzoek door een commerciële partij zou wel mogelijk kunnen zijn.
(Zorgvisie/ICT – Mark van Dorresteijn | Twitter | Foto: Stockxhcng )
Notitie van Van Veen
In de notitie van Van Veen gaat hij verder in op het rapport ‘Big Data in de zorg: geheimhouding en privacy’.
– De notitie van Van Veen ‘Centrale opslag van ‘Big Data’ zonder toestemming van de patiënt mag niet (zonder meer)’
– Rapport ‘Big Data in de zorg: geheimhouding en privacy’.
Het verwerken voor medische doeleinden en data geanonimiseerd ‘Verkopen’, levert de verkopende partij financieel voordeel op. De betreffende patiënt, die niet eens weet dat zijn data geanonimiseerd werd gebruikt krijgt hierbij niet eens de keuze of mogelijkheid tot inspraak. Zou men het goed willen doen dan geef je elke patiënt wiens data je gebruikt na diens toestemming, een financiële vergoeding. Immers, er is sprake van een zakelijke financële transactie en overeenkomst. Zonder patiëntgegevens is namelijk geen transactie mogelijk.
Er is momenteel nog geen instrument geïmplemeteerd die dergelijke gang van zaken kan ‘Vooraf’ kan controleren en registreren. Te veel en te vaak hebben we helaas moeten zien dat zaken die fout gingen pas achetraf kon worden be/veroordeeld.
Juist in dit soort zaken is toetsing vooraf een vereiste.
Overigens, maar dit in de marge, een patiënt die om principiële redenen geen toestemming geeft tot gebruik van, heeft geen enkel toetsingsmiddel dat haar/zijn data dan ook niet zal worden meegenomen in geanonimiseerde vorm.
Er zijn nog flink wat zaken te regelen me dunkt.
Een organisatie als Nictiz heeft hier destijds buitengewoon heldere en nuttige rapporten over geproduceerd. Maar ja…
De politie(k) wil nu ook al in elke computer kunnen hacken en zo “” big brother”” OP STELTEN zetten .
Het is heel vreemd dat er word gesteld dat anoniem gegevens aangeleverd kunnen worden. In de zaak waarin Google zoekgegevens lekte die het had verzameld over een periode was het niet heel moeilijk om te achterhalen welke persoon het uiteindelijk over ging, zonder dat hierbij een naam werd gegeven.
Het is mij daarom niet helder en beangstigd mij daarom ook dat hier zo gemakkelijk over gedaan word. Persoonsgegevens anoniem maken zorgt niet per direct dat ze niet langer herleidbaar zijn. Dat moet wel het uitgangspunt zijn.
Ik vind het heel naar dat mensen die zich nu zo hard maken en daar nauwelijks veel ruchtbaarheid aan willen geven dat ze zo gemakkelijk over dit onderdeel heen lijken te willen stappen.
Ik vermoed dat de discussie hierover flink aangezwengeld dient te worden en dat mensen die voor commerciele belangen wensen deze informatie te verzamelen nu al stevig teruggefloten dienen te worden. Blijkbaar is het geld dat er mee verdient kan worden wel erg interessant, dat de nauwkeurigheid en zuiverheid er onder moeten leiden.
Big Data en wetenschappelijk onderzoek doen mij denken aan Japan en walvissen .