Wie weet wat er in de cloud met onze medische gegevens gebeurt?
Google wil onze medische data, maar wat willen wij?
Gepubliceerd op vrijdag 30 september 2022
Care Studio, een onderdeel van Google Health, heeft aangekondigd in de VS patiëntendossiers te willen beheren. Het is niet ondenkbaar dat Care Studio straks ook ons Elektronisch Patiëntendossier wil beheren want onze overheid mag sinds kort data van Nederlandse burgers bewaren bij grote Amerikaanse cloudproviders. Huisarts Huib Rutten ziet risico’s en waarschuwt: “De regie moet altijd bij de patiënt liggen.”
Alles wijst erop dat burger, consument en patiënt in de huidige privacywedloop aan het kortste eind trekken. De recente rechtszaak tegen Meta is daarvan het jongste bewijs in een lange reeks. Meta heeft een langlopende zaak geschikt die draaide om gebruikersgegevens die dochter Facebook illegaal had gedeeld met onderzoeksbureau Cambridge Analytica. Als de voorlopige schikking, die onlangs is ingediend, ons iets vertelt, is het wel dat Big Tech zich veel kan permitteren. Onze privacy-rechten stellen in de praktijk bitter weinig voor.
Hoe zat het ook alweer? Facebook-gebruikers klaagden het bedrijf aan omdat Cambridge Analytica in 2015 via onder meer muziekquizjes data van gebruikers (en hun vrienden) had binnengehaald met de bedoeling hen politiek te profileren. Het bedrijf zou op die manier 87 miljoen profielen in handen hebben gekregen en gebruikt voor onder andere de verkiezingscampagne van Donald Trump in 2016. Het is waarschijnlijk de grootste privacyzwendel tot nu toe en alle reden om Mark Zuckerberg subiet en gezwind voor de rechter te slepen. Maar zover komt het in dit geval niet. De schikking, waarvan de voorwaarden niet bekend zijn gemaakt, betekent dat Zuckerberg niet hoeft te getuigen.
Medische data
Als het op privacy aankomt, gelden voor grote (tech-)bedrijven blijkbaar andere regels dan voor de rest van de samenleving. Van dat voordeel maken zij dankbaar gebruik (en soms misbruik) op alle mogelijke manieren. Ook medische data wordt maar wat graag binnengeharkt. Verzekeraar a.s.r. meet hoeveel en hoe vaak klanten bewegen door een veelgebruikte fitness-app te koppelen aan de eigen Vitality-app. Philips ontwikkelt een dataplatform voor het behandelen van patiënten met chronisch hartfalen. Het bedrijf combineert medische gegevens met apparaatmetingen en feedback van de patiënt thuis. Pfizer ontvangt in Israël over coronavaccinaties “geanonimiseerde geaggregeerde surveillancegegevens” van het ministerie van Volksgezondheid, liet woordvoerder Jan Willem de Heer van Pfizer Nederland eerder weten.
Met medische data (zeker in combinatie met menselijk dna) kan gepersonaliseerde zorg worden geleverd. Alle grote bedrijven hebben daar belangstelling voor. Ook Alphabet, het moederbedrijf van Google, laat zich niet onbetuigd. Care Studio, onderdeel van Google Health, wil patiëntendossiers gaan beheren in de VS, meldde het Financieele Dagblad onlangs. Met de Care Studio-app op de mobiel kunnen medici snel en eenvoudig relevante data vinden.
Tegelijkertijd lijkt onze eigen Rijksoverheid geen enkele intentie meer te hebben om barrières richting Big Tech op te werpen. Staatssecretaris Alexandra van Huffelen (D66) schreef onlangs aan de Tweede Kamer dat de overheid data van Nederlandse burgers voortaan mag bewaren bij grote Amerikaanse tech-bedrijven want dat is goedkoper. Etniciteit, religie en gezondheidsgegevens worden door Van Huffelen als gevoelig data aangemerkt en zijn volgens haar beschermd door de privacywet AVG inclusief versleuteling. Bovendien zijn eerder dit jaar afspraken gemaakt met Google over het bewaren van data. Maar je hoeft geen visionair te zijn om de risico’s te zien. Kan een commercieel bedrijf zich naar eer en geweten inzetten voor onze gezondheid? Daar zijn tal van vraagtekens bij te plaatsen.
Regie bij huisarts
Op dit moment is het in Nederland zo geregeld dat de huisarts de regie heeft over het EPD. “Specialisten, radiologen, orthopeden, fysiotherapeuten en andere zorgverleners sturen hun gegevens door naar het huisartseninformatiesysteem, de gebruikssoftware waar het EPD onder hangt”, aldus huisarts Huib Rutten, werkzaam in Leeuwarden in een praktijk met vier collega’s en 7.000 patiënten. Rutten heeft dagelijks met medische data en privacy te maken. Hij legt uit dat patiënt en huisarts samen in het EPD kunnen kijken naar de diagnose en het plan.
Stel: de patiënt moet naar de eerste hulp. Dan wordt het privacyvraagstuk een stuk ingewikkelder. Het betreffende ziekenhuis ziet vanwege de privacywet alleen gegevens in het scherm die in het eigen ziekenhuis geschreven zijn. Als er belangrijke informatie ontbreekt, moet de patiënt om toestemming gevraagd worden. Zo krijgt de eerste hulp, als het goed is, een compleet beeld. Maar in de praktijk is dat lastig, aldus Rutten: “Patiënten hebben eigenlijk de plicht om belangrijke informatie te delen met zorgverleners maar zijn vaak niet goed op de hoogte van hun medische situatie. Ze houden informatie achter of verzwijgen of vergeten die. Ze weten vaak niet welke medicijnen ze gebruiken of vergeten te vertellen dat ze bijvoorbeeld besmet zijn met Hepatitis B, waardoor de zorgverlener risico loopt. In het eigen ziekenhuis is dat wel bekend, honderd kilometer verderop weet men van niks.”
Om een zo volledig mogelijk beeld te krijgen (en risico’s uit te sluiten) moeten zorgverleners in Nederland elke keer toestemming vragen voor inzage in medische gegevens van patiënten. De chirurg moet toestemming vragen om het dossier van de cardioloog in te zien. De psychiater moet toestemming vragen aan de dermatoloog. De uroloog moet toestemming vragen aan de anesthesist, etcetera. Rutten: “Dat gaat niet altijd goed. Laatst is een uroloog aangeklaagd en veroordeeld door het Medisch Tuchtcollege omdat de patiënt geen toestemming had gegeven. Terwijl de uroloog dacht snel te kunnen doorverwijzen naar de anesthesist. De privacywet zit goede zorg dan in de weg.”
Technologie beschikbaar
Kortom: betere uitwisseling van medische gegevens heeft veel voordelen. Big Tech heeft de technologie in huis om het beheer hiervan op zich te nemen. En niet alleen dat. Google kan een laag kunstmatige intelligentie over het databeheer leggen en bijvoorbeeld snel patronen ontdekken in bijwerkingen van voorgeschreven medicijnen, de kans van een patiënt op een kwaadaardige aandoening of het risico op een baby met het syndroom van Down. De mogelijkheden zijn eindeloos (als we dat willen).
Maar als er één domein is waar onze privacy van het grootste belang is, dan is het wel ons medisch dossier. Kunnen we dit belangrijke werk aan een commerciële partij overlaten? Wat is het doel van Care Studio bij het beheer van data? Wil Care Studio vooral geld verdienen? Data verzamelen? Wil Care Studio ons dna? Of wil het bedrijf ons gezond oud laten worden? Allemaal tegenstrijdige ambities. Zo gaat een gezonde leefstijl niet samen met geld verdienen. Hoe dan ook: wat betreft privacy is de interne gang van zaken bij Google onmogelijk te controleren. We moeten dan vertrouwen op blauwe ogen. Pete Clardy van Google Health zegt in een promo op YouTube dit: “Bij het bouwen van tools voor medici is het onze verantwoordelijkheid om data veilig en betrouwbaar te houden. Daarvoor is Care Studio gebouwd. We bezitten de data niet en zullen die ook nooit verkopen.”
Huisarts Huib Rutten heeft zijn twijfels. Hij vindt dat de regie altijd bij de patiënt moet liggen. De patiënt heeft de keuze. Misschien wil die het EPD zelf beheren op een eigen dataserver. Prima. Misschien wil die het medisch dossier toevertrouwen aan een maatschappelijke coöperatie zonder winstoogmerk, de huisarts, het ziekenhuis, Care Studio of een andere partij. Ook goed, zolang de patiënt de beslissing neemt en zolang er geen monopolies ontstaan. Privacy-issues kunnen volgens Rutten ondervangen worden met marktwerking. Als tien partijen het beheer van het EPD gaan aanbieden, zal blijken welke partij het meest integer en transparant handelt en de gezondste klanten heeft. Rutten: “De dokter als coach, die de data kent, is daarbij handig. Aan een bemoeierige overheid of Big Tech is geen behoefte.”