Een vals dilemma: privacy versus datasolidariteit
Artikel gepubliceerd in iBestuur
Veel mensen denken ‘als data over mij gaan, dan zijn het automatisch persoonsgegevens die beschermd moeten worden’. Data zijn geen eigendom, maar een gemeengoed. Gezondheidsdata gaan over de patiënt, maar zijn niet van de patiënt. Samen met Antoinette Vlieger en Egge van der Poel pleit ik voor datasolidariteit als concept waarmee bewuste afwegingen gemaakt worden tussen collectieve en individuele belangen, tussen de huidige privacy en de gezondheidszorg van generaties na ons.
Data zijn een gemeengoed
Wie een pleidooi schrijft voor datasolidariteit, kan rekenen op forse kritiek. Recentelijk hebben twee van ons een bijdrage geleverd aan een stuk in het FD met de titel “gezondheidsdata zijn een goudmijn”. Op diverse plekken werd geïnsinueerd dat een financiële goudmijn bedoeld werd, terwijl het stuk overduidelijk doelde op de kennis goudmijn. Professor Barbara Prainsack pleitte onlangs op iBestuur voor datasolidariteit. Een positieve ontwikkeling, want privacy domineert als zogenaamde tegenpool nog altijd het publieke debat. Maar ten aanzien van privacy zijn veel belangrijke aspecten onbekend: de huidige en aankomende Europese wetgeving, de stand van zaken qua beschermende technologieën, en de nuances in het ethische debat ten aanzien van maatschappelijke waarde versus commerciële waarde.
Vrijwel niemand weet hoe radicaal het Europees data-recht inmiddels is. Data moeten vaak verplicht beschikbaar gesteld worden voor hergebruik, winsten hierop zijn veelal niet toegestaan, en als het om persoonsgegeven gaat, blijft de privacy geborgd. Data zijn namelijk geen eigendom, maar een gemeengoed. Gezondheidsdata gaan over de patiënt, maar zijn niet van de patiënt. Ook andere partijen hebben vrijwel nooit een vermogensrecht op data. Binnen de Europese wetgeving bestaat hooguit het databankrecht: als iemand risicodragend investeert in een bepaalde set data, met het doel om met die set de investering terug te verdienen, uitsluitend dan ontstaat er een databankrecht. Bij gezondheidsdata is hier vrijwel nooit sprake van: de meeste data ontstaan als bijproduct in het zorgproces. Er is dus niet risicodragend geïnvesteerd in die dataset. Europa heeft zo – expres – de mogelijkheid tot vermogensrechten op gezondheidsgegevens vrijwel uitgesloten. Die data worden namelijk -terecht- beschouwd als een goed dat toekomt aan de gemeenschap; een bien commun. Vanuit die gedachte werkt de EU aan het verplicht maken van het delen van zorgdata (onder strikte voorwaarden uiteraard). Al sinds 2003 zijn allerlei wetten en instrumenten gemaakt om (bredere) datarechten aan burgers te geven, wat onder andere heeft geleid tot de Wet Hergebruik Overheidsinformatie (vergelijkbaar met de Wet Open Overheid). Als binnenkort de European Health Data Space (EHDS) een feit is, dan zal iedere wat grotere zorgverlener verplicht zijn om data beschikbaar te maken voor wetenschap, beleidsonderzoek en onderwijs, maar ook voor het ontwikkelen van nuttige gezondheidsproducten.
Privacy en het mozaïek-effect
Een veelgehoord argument tegen (verdere) ontsluiting van gezondheidsdata, is dat de privacy van de betreffende patiënten ‘in de toekomst’ in het geding kan komen. Door nu nog onvoorziene combinaties van databronnen kunnen pseudonieme data opeens niet meer veilig blijken. Dit is een variant op het mozaïek effect: het risico dat persoonlijke of gevoelige informatie over iemand wordt onthuld, door het combineren van verschillende gegevensbronnen.
Technologie is niet zaligmakend, maar het privacyvraagstuk is nu juist iets waar technologie ons verder kan helpen.
Deze hypothetische privacy-schendingen duiken in allerlei vormen op tijdens discussies over de (on)wenselijkheid van verdergaand datagebruik, vaak nadat alle zwaarwegende bezwaren zijn besproken. Gaan we de gegevens versleutelen, hanteren we een centrale of een gedistribueerde aanpak voor de analyse, is het mogelijk om met geanonimiseerde of gepseudonimiseerde data te werken: dergelijke afwegingen worden veelal in een vroege fase van het project besproken. Wanneer er eindelijk ruimte is voor de volgende stap, dan is er altijd wel een verstokte ‘voorvechter van privacy’ die betoogt dat het nu dan wel goed geregeld kan zijn, maar “wat als deze dataset in de toekomst wordt gekoppeld aan een andere dataset?” Het mozaïek-effect als laatste retorische redmiddel.
Privacy en technologie
Technologie is niet zaligmakend, maar het privacyvraagstuk is nu juist iets waar technologie ons verder kan helpen. Met de komst van privacy-enhancing technologieën (PETs) kan men op een decentrale, federatieve manier data met elkaar delen terwijl het risico op herleidbaarheid tot een minimum is teruggebracht. Een recente studie van de Data Sharing Coalition geeft aan wat deze technieken zijn en hoe deze gebruikt kunnen worden. Simpel gezegd komt het erop neer dat we encryptietechnieken, zoals we gewend zijn om te gebruiken voor bijvoorbeeld websites, ook kunnen inzetten om berekeningen te maken op encrypted data. Een alledaagse analogie: u bent met 30 man op een verjaardag en benieuwd wat het hoogst genoten salaris is. Met behulp van PETs kan een dergelijke berekening worden uitgevoerd, waarbij geen van uw feestgenoten publiekelijk hoeft vrij te geven hoeveel hij of zij verdient. Door data niet te kopiëren en onder encryptie berekeningen uit te voeren, is de kans op herleidbaarheid minimaal.
AVG en pseudonimisering: Nederlandse strengheid
De AVG krijgt vaak de schuld van het feit dat data niet kunnen worden gedeeld, maar deze wet is uitsluitend van toepassing als de ontvanger kan achterhalen over wie de data gaan, en de privacy dus in het geding is. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen “waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt.” Als een ontvanger van gepseudonimiseerde data de sleutel niet heeft, zal hier veelal niet aan zijn voldaan, en is de AVG dus niet van toepassing, omdat niemands privacy in het geding is.
Datasolidariteit als concept beoogt om betere, bewuste afwegingen te maken tussen collectieve en individuele belangen, tussen de huidige privacy en de gezondheidszorg van generaties na ons.
De Nederlandse AP neemt ten aanzien hiervan een strenger standpunt in; juist omdat bestanden eventueel ooit gekoppeld kunnen worden, zijn pseudonieme gegevens wat de AP betreft eigenlijk altijd toch gewoon persoonsgegevens. Elke theoretische mogelijkheid wordt dus meegewogen, niet elke mogelijkheid waarvan redelijkerwijs te verwachten is dat deze zal worden gebruikt. Deze interpretatie heeft eraan bijgedragen, dat een groot deel van de bevolking een zeer strenge positie inneemt: als data over mij gaan, dan zijn het automatisch persoonsgegevens die beschermd moeten worden, denkt men, terwijl het dan uitsluitend een toekomstige, theoretische mogelijkheid betreft. Wellicht ooit… denkt men. Punt is, als wellicht ooit de privacy inderdaad in het geding komt omdat door het mozaïek-effect bestanden herleidbaar worden, dan moet men gaan voldoen aan de zeer strenge eisen van de AVG, maar niet eerder dan dat.
Datasolidariteit als leidend ethisch principe
Het maatschappelijke debat over het delen van gezondheidsdata roept veel emoties en tegenstellingen op. Datasolidariteit als concept beoogt om betere, bewuste afwegingen te maken tussen collectieve en individuele belangen, tussen de huidige privacy en de gezondheidszorg van generaties na ons. De potentiële waarde creatie staat centraal; het doel dat men ermee beoogt te bereiken, en dus niet of de data-vrager bijvoorbeeld een (semi)publieke organisatie is. Er zijn massa’s private organisaties die maatschappelijk nut beogen, dus hen op deze grond passeren zonder ons te verdiepen in de vraag wat in een concreet geval met data wordt beoogd, zou discriminatie zijn. Bovendien wordt geld verdienen aan data steeds moeilijker gemaakt; ook in de (concept) EHDS staat dat bij het aanvragen van data veelal ten hoogste de marginale kosten in rekening mogen worden gebracht. Gezondheidsgegevens zijn immers een publiek goed, dat aan de gemeenschap ten goede moet komen. De datastromen moeten daarom net als fietspaden gefinancierd worden uit de grote pot. Het ongemak en onbehagen waarmee het debat over data delen in de zorg wordt gevoerd, terwijl de relevante wetgeving eigenlijk heel degelijk in elkaar steekt, geeft aan dat we ons samen moeten verdiepen in de juistheid van onze afwegingskaders. Het is niet a of b, de zaken liggen subtieler. Datasolidariteit als ethisch principe is wellicht een tegenhanger van de op het mozaïek-effect hamerende privacy-dogmatici, maar juist een partner van privacy-realisten. Want ook data-solidairen menen dat state of the art ICT moet worden ingezet om het vereiste vertrouwen te creëren, zodat gezondheidsdata kunnen worden ingezet voor publieke meerwaarde zonder iemand te schaden.
Datasolidariteit gaat erom dat het verschil wordt gezien tussen een reëel privacy risico en een wat ongemakkelijk gevoel over een theoretische mogelijkheid.
Geen onderzoek doen met data is nu juist onethisch
Want is het alternatief? Dat we geen onderzoek doen met de schat aan medische gegevens die dagelijks in het zorgverleningsproces ontstaan? Dan gaat er allerlei kennis verloren. Zonder data kunnen er geen kwaliteitscontroles verricht worden, kunnen farmaceuten niet voldoen aan hun wettelijke plicht om te controleren of er op langere termijn niet toch bijwerkingen optreden. En als toestemming altijd de eis is, wordt big data onderzoek onmogelijk. Is het gebruik van medische data onethisch? Wij denken dat het andersom is. Artsen beloven niet te schaden en deze belofte beperkt zich niet tot de huidige patiënten. Wat wij bedoelen met datasolidariteit is dus dit: een subtielere blik op privacy vraagstukken, in het belang van toekomstige patiënten. Datasolidariteit gaat erom dat het verschil wordt gezien tussen een reëel privacy risico en een wat ongemakkelijk gevoel over een theoretische mogelijkheid. Het voelt inderdaad niet zo prettig, als data die zijn verzameld terwijl je op een kwetsbaar moment bij een dokter zat, worden gebruikt voor onderzoek. Maar we moeten leren dat dit gevoel over het algemeen geen reële privacy risico’s oplevert. Dit, terwijl het nalaten van onderzoek de volgende generatie wel degelijk reële risico’s oplevert; het risico dat we bepaalde toekomstige patiënten niet kunnen helpen, wat met (solidair) dataonderzoek wel had gekund.