De Kilometer Heffing |
Fri 19-Apr-24 19:23:13 |
Petities TEGEN de kilometer heffing (tot april 2007).
|
|
Petities TEGEN de kilometer heffing (tot april 2007).
|
|
Datum: Sat 30 March 2019
Door: Niels Klaassen & David Bremmer
Privacy - De medische gegevens van honderdduizenden Nederlandse ziekenhuisbezoekers worden door bedrijven verwerkt, en zitten sinds kort zelfs in de cloud van techreus Google. Waarom weet niemand dat? Hoe zit dat met jouw privacy? En is het wel veilig? Welkom in de mistige wereld van medische gegevens buiten het veelbesproken patiëntendossier.
Dit verhaal gaat vermoedelijk ook over uw patiëntgegevens. Of anders die van uw ouders, broer, zus of andere familieleden. Dit stuk gaat over patiëntgegevens die worden verzameld en verwerkt door MRDM, Medical Research Data Management, een van de grootste medische databedrijven van het land.
Want wat de meeste Nederlanders niet weten: gegevens over ziektes en aandoeningen worden tegenwoordig uit het patiëntendossier gehaald en bùiten de muren van het ziekenhuis of de kliniek verwerkt, (ook) door commerciële bedrijven.
MRDM verwerkt dossierinformatie van honderdduizenden tot miljoenen ziekenhuisbezoekers. Dat gebeurt op verzoek van de 120 Nederlandse ziekenhuizen, grotendeels betaald door zorgverzekeraars. De informatie wordt verzameld en verwerkt voor landelijke kwaliteitsregistraties en interne analyses voor ziekenhuizen. Zo kunnen ziekenhuizen hun prestaties met elkaar vergelijken en moet de zorg optimaliseren.
Voor de registratie van borstkanker bijvoorbeeld ontvangt MRDM alle informatie over iemands behandeling, variërend van medicijngebruik, het aantal ingrepen tot complicaties en opnamedagen. Per registratie worden gegevens uit het elektronisch patiëntendossier (EPD) gehaald en beveiligd met encryptie (versleuteling) naar MRDM gestuurd. De naam van de patiënt wordt vervangen door een nummer. Dit heet het pseudonimiseren van patiëntgegevens.
In totaal doet MRDM dat voor 22 landelijke kwaliteitsregistraties: van obesitasbehandelingen en borstimplantaten tot diabetes, longkanker en Parkinson. Het gaat dus niet om het patiëntendossier als geheel, maar MRDM verwerkt wèl onderdelen uit dat dossier.
En sinds kort worden die miljarden 'datapunten' niet meer opgeslagen in datacenters van een Nederlandse provider, maar in de Google Cloud, de populaire opslagservice van de techreus uit de VS. Waarom weten patiënten van niks? Is het wel veilig? Verslag van een zoektocht.
Dit verhaal begint drie maanden geleden met een tip van een klokkenluider. Deze tipgever mailt dat de medische data van een groot aantal Nederlanders naar de Google Cloud verhuizen. Hij ziet veiligheidsrisico's voor de privacy, vreest dat Google aan de haal gaat met de medische gegevens.
In de ict bestaat al jaren een trend om zoveel mogelijk gegevens in de cloud op te slaan. Amerikaanse technologiebedrijven als Google, Amazon en Microsoft floreren erdoor. De voordelen van opslag in de 'datawolk' zijn legio: het is goedkoper, gegevens zijn overal beschikbaar en de beveiliging in een groot datacenter geldt als sterker dan die van lokale servers.
In de medische sector is centrale opslag van patiëntgegevens echter zwaar omstreden. Het invoeren van het landelijk elektronisch patiëntendossier leidde tot jarenlange discussies en werd in 2011 aanvankelijk helemaal afgeschoten. Via een omweg kwam het EPD er toch, maar gegevens worden veelal lokaal opgeslagen, op eigen servers. Pas op initiatief van de patiënt, bijvoorbeeld bij een verhuizing, mag een medisch dossier van arts wisselen.
De tip leidt dus tot de vraag: hoe gaan ziekenhuizen en artsen om met onze patiëntgegevens? En hoe groot is die wereld van medische data buiten dat patiëntendossier?
De business van MRDM loopt als een tierelier
De weken daarna benaderen we experts, bevragen we enkele grote ziekenhuizen. Wat blijkt? Het elektronische patiëntendossier is slechts het halve verhaal. De medische sector is zwaar gereguleerd. Om de veiligheid van patiënten te waarborgen, moeten ziekenhuizen, zorgverzekeraars, farmaceuten en andere spelers aan strenge eisen voldoen. In Nederland betekent dat: registreren, verantwoorden, alles bijhouden. De administratieve operatie is enorm, de gevoeligheid van de gegevens vergt veel ict-kennis.
En dit is het punt waarop een bedrijf als MRDM in beeld komt. Ze nemen deze administratieve rompslomp uit handen van ziekenhuizen. Met het verzamelen, verwerken en opslaan van deze gegevens is het in Deventer gevestigde bedrijf groot geworden. MRDM startte zeven jaar geleden als een tak van het Leids Universitair Medisch Centrum, maar is inmiddels de grootste in het medische dataland en verwerkt de patiëntgegevens van honderdduizenden tot miljoenen Nederlanders. "Hun business loopt als een tierelier", zegt een ingewijde uit de medische consultancy.
Naïef zijn de ziekenhuizen niet als het om privacy gaat. Patiëntendata worden verwerkt volgens strenge protocollen, speciale certificaten moeten de privacy verder waarborgen. Zo domineren twee aanbieders de markt voor EPD-software, deze dossiers worden - zover bekend - niet in clouds opgeslagen.
Het VUmc ziekenhuis stelt op vragen van deze krant dat er 'vrijwel geen gebruik wordt gemaakt' van cloudoplossingen. "De gezondheidszorg wil en kan hierin niet voorop lopen omdat op het verwerken van medische gegevens het zeer zwaar wegende beroepsgeheim van toepassing is."
Als we genoeg informatie hebben, benaderen we MRDM. De deur gaat snel wagenwijd open. Dus zitten we begin februari in een wat anoniem kantoorpand bij het treinstation van Deventer tegenover MRDM-directeur Paul Crauwels en 'privacy-officer' Theo Bisseling. Crauwels: "Wij zijn blij dat we dit verhaal een keer kunnen vertellen. Er doen veel indianenverhalen de ronde."
Ze leggen uit dat MRDM vooral klinische gegevens aanlevert voor kwaliteitsregistraties, op verzoek van de ziekenhuizen. "Voor tal van ziekten. We doen veel kankers: borst, long, pancreas, maag. Maar ook diabetes, Parkinson en hartziekten."
Daarnaast levert het bedrijf analyses van behandelingen aan specialisten, ziekenhuizen en beroepsgroepen. "Ziekenhuizen willen kwaliteit vergelijken", zegt directeur Crauwels. "Wij verzamelen en verwerken informatie over behandelingen, onze algoritmes analyseren de data en ziekenhuizen krijgen dan rapporten terug met hun prestaties."
Zo wordt de gezondheidszorg beter en goedkoper, aldus MRDM. "Dan zie je bijvoorbeeld dat twee ziekenhuizen goede resultaten boeken bij de aanpak van darmkanker, maar dat de kosten bij de één veel hoger liggen. Wat blijkt? Het ene ziekenhuis laat patiënten onnodig lang op de intensive care liggen."
Per patiënt gaat het om tientallen tot soms vijfhonderd verschillende 'datapunten', variërend van behandelduur, aantal ingrepen en complicaties tot de medicatie en de medische voorgeschiedenis. De data worden versleuteld, zodat persoonsgegevens niet herleidbaar zijn.
Op verzoek van behandelaars of ziekenhuizen kunnen veel gegevens weer ontsleuteld worden. "Maar er kunnen bij ons maar heel weinig mensen bij de brondata, ikzelf niet eens", zegt Crauwels.
In plaats van die karrenvrachten aan medische data van alle patiënten op servers van een Nederlandse provider te bewaren, gebeurt dat nu in de cloud van Google. De dataverhuizing naar de Eemshaven zal dit jaar vrijwel helemaal voltooid zijn.
Voor Google is het technisch gezien een fluitje van een cent om deze anonieme data naar een persoon te herleiden.
De komst van het elektronisch patiëntendossier leidde destijds tot grote discussies en werd in 2011 afgeschoten. Nu is het er toch.
Feitelijk kan Google zelf niet bij de data
Opvallend genoeg weten veel patiënten niet van het bestaan van bedrijven als MRDM, laat staan van de verhuizing naar de cloud. De reden voor de onzichtbaarheid is technisch-juridisch: voor de wet bestaat MRDM als zodanig niet; ze opereert volledig in opdracht en onder verantwoordelijkheid van de ziekenhuizen en behandelaars, alsof het bedrijf onderdeel is van het ziekenhuis.
En dus is de onderneming als dataverwerker niet verplicht om toestemming te vragen aan patiënten óf om hen te informeren. Crauwels van MRDM: "We maken er geen geheim van, maar we hóeven het niet te melden. Als iemand het kan melden, is dat het ziekenhuis. En zij zijn dat niet verplicht."
MRDM beklemtoont aan alle eisen te voldoen. De overgang naar opslag in de cloud is in lijn met de Europese Algemene Verordening Gegevensbescherming (AVG), stelt het bedrijf. Google zelf benadrukt in een reactie dat de data standaard versleuteld worden, dat Google de gegevens 'niet kan inzien of analyseren', aldus een woordvoerder: "Klanten houden volledige controle over hun eigen data." MRDM kiest om meerdere reden voor de cloud, vertelt Crauwels. Vooral vanwege de veiligheid, maar ook vanwege de lagere kosten en de mogelijkheid om bij nieuwe klussen razendsnel extra opslagcapaciteit te realiseren. Lokale partijen als KPN vielen af. Crauwels: "We willen het hoogst haalbare op beveiligingsniveau. Google, Microsoft en Amazons AWS kennen een beveiligingsniveau dat lokale dienstenleveranciers niet hebben."
Volgens MRDM is alles veilig. Er zou een waterdicht contract liggen met Google: "Feitelijk kan Google er zelf niet bij, ze doen niks met de data", zegt Crauwels.
Eventuele spionage door de Amerikaanse overheid is ook geen reëel scenario, vindt de directeur. "De vraag is of de Amerikaanse overheid geïnteresseerd is in massale zorggegevens van Nederlanders. Hackers beschouw ik als een veel groter risico; zij proberen steeds vaker binnen te dringen in databases van overheden en ziekenhuizen." Google biedt hiertegen 'maximale security', stelt Crauwels.
De directeur erkent dat de datahonger van Google hem soms een ongemakkelijk gevoel bezorgt. "Aan het begin wilden we het ook absoluut niet, we waren niet overtuigd dat het veilig was, er heerste scepsis. Maar er is een duidelijk verschil tussen Google voor privédiensten en Google voor bedrijven: als bedrijf kun je heel goed afspraken met ze maken. Wereldwijd is de trend dat steeds meer data in de cloud verwerkt worden omdat het veel veiliger is."
Medische gegevens zouden niet moeten worden opgeslagen bij een buitenlands bedrijf
Strikt wettelijk lijkt MRDM veilig, maar verschillende kenners plaatsen kanttekeningen bij de gang van zaken. EPD-expert Guido Van 't Noordende spreekt van 'een risicovolle route': "Burgers moeten altijd kunnen zien wie de verwerkers van hun data zijn, ook als het gepseudonimiseerde gegevens zijn." Pseudonimisering biedt geen garantie voor veiligheid van patiëntgegevens, waarschuwt hij: "Voor een gigant als Google, die al zoveel andere data van mensen bezit, is het technisch vaak een fluitje van een cent om deze data toch naar een persoon te herleiden."
Dat Google en andere cloudaanbieders dat wettelijk niet mogen doen, is geen reden om dat risico dan toch maar te nemen, stelt Van 't Noordende, die liever ziet dat medische gegevens dus niet op externe servers worden opgeslagen. "Dan loop je dat risico veel minder." Privacyclub Privacy First vreest daarnaast dat de Amerikaanse overheid makkelijker kan spioneren bij 'eigen bedrijven' als Google.
De landelijke privacywaakhond Autoriteit Persoonsgegevens benadrukt dat medische gegevens alleen onder voorwaarden mogen worden opgeslagen in de cloud. "De provider kan gegevens voor zichzelf gebruiken zonder dat u hiervoor toestemming gegeven heeft", waarschuwt de AP in een brochure. Daarom is versleuteling of pseudonimisering raadzaam, zegt de toezichthouder. Volgens een woordvoerder van de Autoriteit is de cloudgang van MRDM 'zover bekend' niet expliciet getoetst bij de toezichthouder.
Hoe gaan we om met al die zorgdata?
Computerveiligheidsexpert Brenno de Winter noemt de massale opslag van medische gegevens bij Google 'buitengewoon zorgwekkend'. Hij noemt ook 'de lange arm' van de Amerikaanse overheid. "Klokkenluider Edward Snowden toonde gedocumenteerd aan hoe de inlichtingendiensten via Google spioneerden. Dat ze de gegevens in Eemshaven opslaan, doet dan niet ter zake."
Tweede Kamerleden reageren bezorgd. D66 en de SP willen uitleg hierover van ministers die over zorg en privacy gaan. "Medische gegevens, al zijn ze gepseudonimiseerd, zouden wat ons betreft niet opgeslagen moeten worden bij een buitenlands bedrijf dat deze data kan combineren met andere profielen", zegt SP-Tweede Kamerlid Maarten Hijink.
D66-Kamerlid Kees Verhoeven ziet zelfs drie problemen: "De schimmige onbekendheid is verontrustend. Over het EPD was een grote discussie, maar nu weten patiënten niet eens dat zo'n centrale partij veel data opslaat voor ziekenhuizen. Dat is maatschappelijk niet in de haak. Vervolgens leggen ze de gegevens bij een groot Amerikaans bedrijf, terwijl je ook voor een Europese speler kunt kiezen. En dan het versleutelen, het pseudonimiseren: in hoeverre kun je garanderen dat zaken niet herleidbaar zijn? En dat allemaal zonder te vragen aan de patiënten." Verhoeven wil dat de Autoriteit Persoonsgegevens de gang van zaken toetst; ook gaat hij schriftelijke vragen stellen: "Hoe gaan we om met al die zorgdata?"
MRDM neemt haar rol serieus, constateert Theo Hooghiemstra, expert op het gebied van persoonsgegevens in de zorg. "Ze zijn heel bewust bezig met de privacy en gegevensbescherming, is mijn beeld. Maar als ze de data nu bij Google opslaan, is wel een terechte vraag: is dat de goede plek, bij zo'n grote Amerikaanse partij met datamacht? Je kunt zeker met Google samenwerken, maar het is een partij die je goed in de klauwen moet houden, controleren, kritisch volgen. Het zou goed zijn als de Autoriteit Persoonsgegevens deze werkwijze - en die van andere verwerkers als MRDM - onafhankelijk toetst."
MRDM-baas Crauwels verdedigt de werkwijze resoluut. "Ziekenhuizen kiezen hier juist voor òmwille van het garanderen van de veiligheid van gegevens. Je kunt zeggen: 'ja, Google kan er vast technisch wel bij als ze willen', maar als je in dat soort complotten gelooft, kun je beter onder een steen gaan leven. Tegen vooroordelen valt niet op te discussiëren."
Bron: Algemeen Dagblad