De Algemene Verordening Gegevensbescherming legt ook de zorg veel verplichtingen op. Begrijpelijk, want gezondheidsgegevens zijn nu eenmaal zeer privé en een zorgvuldige verwerking ervan is van levensbelang voor de vertrouwensrelatie tussen patiënt en medische hulpverlener. Bovendien zijn medische data erg waardevol en nodigen ze uit tot manipulatie en misbruik. Maar bij een vrije uitwisseling van medische data, een voorwaarde voor het monitoren van ziektebeelden en voor wetenschappelijk onderzoek, voelt de AVG soms als onnodige ballast. Er bestaat immers al zoveel wet- en regelgeving waaraan zorgverleners moeten voldoen, naast natuurlijk het medisch beroepsgeheim.
Nu is de wetgever de zorg al tegemoetgekomen door de sector een uitzonderingspositie te gunnen bij de toepassing van de AVG. Het verbod op de verwerking van medische gegevens zonder toestemming geldt niet ‘als deze noodzakelijk is voor doeleinden van het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten’.
Hoofdbrekens over de implementatie van de AVG
Desondanks heeft de implementatie van de AVG zorgverleners de afgelopen maanden veel hoofdbrekens, nachtrust en budget gekost. Zo moeten zorgverleners in het kader van de AVG documenteren welke ‘bijzondere persoonsgegevens’ (= alle medische gegevens) zij van zorgconsumenten verwerken en met wie ze deze delen. Er moet kunnen worden aangetoond dat in de gebruikte systemen het noodzakelijke is gedaan om de privacy van individuen te beschermen en datalekken te voorkomen. Voor de uitwisseling van persoonsgegevens mogen alleen nog beveiligde portals worden gebruikt en er moeten privacy impact assessments worden uitgevoerd. Met softwareleveranciers (en dat zijn er in de zorg veel) moeten in veel gevallen verwerkersovereenkomsten zijn afgesloten, en zorginstellingen en individuele zorgverleners moeten weten hoe privacy by design en privacy by default (de standaardinstellingen voor gegevensbescherming) zijn verweven in de software van hun systemen. Ten slotte zijn zorgverleners verantwoordelijk als er iets misgaat en kunnen in het kader van de AVG forse boetes bij overtreding worden opgelegd.
Is de AVG toekomstbestendig?
Maar zijn al deze maatregelen wel toekomstbestendig? Bieden ze de zorgconsument ook nog voldoende gegevensbescherming als de zorg straks wordt gedomineerd door lerende machines, gezondheidsapps en autonoom werkende robots?
Het antwoord is nee. De algoritmische dataverwerking door zelflerende systemen onttrekt zich aan de werking van de AVG. Terwijl steeds meer van onze keuzes, aannames en beslissingen worden voorgekookt op basis van buiten ons medeweten door algoritmen gefabriceerde dataprofielen. Met name in de zorg.
Hebben we onze tijd en budgetten dan besteed aan een nutteloos achterhoedegevecht? Dat is ook niet het geval. Mits we snel vervolgstappen zetten, is dit een nuttige eerste aanzet.
Medische data anonimiseren
Daarom moeten we nu al nadenken over hoe we privacy in de zorg straks vorm moeten geven. Een deel van de oplossing ligt in het anonimiseren van medische metadata. Als deze in de verwerkingsfase niet langer herleidbaar zijn tot individuen, sla je twee vliegen in één klap: er is geen sprake meer van het verwerken van persoonsgegevens waardoor de AVG niet langer relevant is en je voldoet aan de hoogste eisen op het gebied van gegevensbescherming.
In Nederland wordt al veelvuldig gebruik gemaakt van het zogeheten ‘pseudonimiseren’ van persoonsgegevens. Met de aldus bewerkte data kunnen op geaggregeerd niveau data-analyses worden uitgevoerd. Bij pseudonimisering wordt de sleutel naar identificatie op een veilige plek bewaard. Via deze sleutel zijn de gegevens echter uiteindelijk nog wel tot individuen herleidbaar en daardoor blijft de AVG van toepassing op gepseudonimiseerde (medische) persoonsgegevens. Voor het gebruik van gepseudonimiseerde medische gegevens bij wetenschappelijk onderzoek blijft dus gelden dat daarvoor in de meeste gevallen voorafgaande toestemming van de betrokkenen is vereist.
Er is een wetswijziging op Europees niveau voor nodig om het gebruik van gepseudonimiseerde medische persoonsgegevens bij wetenschappelijk onderzoek vrij te stellen van de toestemmingsverplichting.
Ontwikkeling en introductie dataprivacy-codicil
Voorts moet door zorgverleners, zorgverzekeraars en de Nederlandse Zorgautoriteit snel een begin worden gemaakt met de ontwikkeling en introductie van een dataprivacy-codicil. Met zo’n codicil krijgt iedere patiënt een naar eigen voorkeuren en inzichten in te stellen digitaal slot op de deur van de eigen, aldus beter beveiligde, medische dataset. Een versleuteld en persoonsgebonden algoritme bewaakt de zelfgeproduceerde dataset en bepaalt wie toegang krijgt en wie niet. In de codering zijn de persoonlijke voorwaarden opgenomen waartegen hij of zij de data beschikbaar stelt. Ook bevat het codicil een versleutelde link naar de medische geschiedenis in het epd. De patiënt krijgt bijvoorbeeld via zijn of haar DigiD toegang tot de instellingen, en dataverwerkers verkrijgen alleen via deze sluis toegang tot de relevante medische data. De tijdrovende toestemmingsprocedure wordt verkort en door gebruik te maken van opt-out (je moet aangeven als je geen toegang wilt verschaffen) zal de dekking haast volledig zijn. In combinatie met het anonimiseren van metadata zijn de digitale grondrechten van patiënten zo beter gegarandeerd dan de wetgever kan afdwingen.
Verre toekomstmuziek? Welnee. De technologie is er klaar voor en de AVG heeft ons een stap dichterbij realisatie gebracht. De bal ligt nu bij de wetgever om de noodzakelijke vervolgstappen mogelijk te maken.
Yvette van Gemerden is privacy expert en partner bij PwC.
Thema ”De Zorg na de AVG” (algemene verordening gegevenswerking) Voor elke zorginstelling of daaraan gelijk was het gisteren, ook vandaag en ook morgen de uitdaging om de processen op orde te hebben, incl. wie, wat doet? en waar gegevens worden opgeslagen dan wel de kanalen waar gegevens te vinden zijn en opgeslagen / verbonden worden. Eigenlijk is de AVG een opmaat om de gegevensverwerking vooral nauwlettend uit te voeren. Dat betekent dat automatiseringsprotocollen op orde moet zijn en voortdurend getest. Doen we (onderneming) wat we zeggen? Is de gegevensverwerking een beheersbaar gesloten systeem. Zijn alle backups nauwgezet geregeld en afgebakend. Zijn alle in- outs van alle werkende systemen gecontroleerd?