Politieke en publieke overheden ontwikkelen best sluitende systemen van gegevensdelving, -deling en -verwerking, dat privacy van patiënten het minst in het gedrang brengt. Dat is een van de aanbevelingen uit de thesis van Prof. Peleman, voormalig hoofdarts van het UZ Gent.
Renaat Peleman schreef zopas een thesis ‘Big data’ voor medisch-wetenschappelijk onderzoek (1). De centrale onderzoeksvraag: kun je ‘Big data’ -medische gegevens gepuurd uit het Elektronisch Patiëntendossier (EPD), maar ook gegenereerd door gezondheidsapps en gebruikt voor vroeg-detectie, onderzoek en behandeling- inzetten voor ethisch en medisch correct wetenschappelijk onderzoek? Onderzoek dat dus spoort met geïnformeerde toestemming, veiligheid, transparantie, privacy,…?
Enkele bevindingen uit de thesis:
- Klinische studies zijn geen vrijgeleide om toegang te krijgen tot gegevens gedekt door het beroepsgeheim. Ze moeten uitgevoerd worden met respect voor de informationele privacy van de patiënt.
- De rechtsverhouding tussen ziekenhuis en patiënt is neergeschreven in de ‘privacy clausule’. In die clausule wijst het ziekenhuis de patiënt op het volledige privacyreglement van het ziekenhuis. De clausule vat de inhoud van dit privacyreglement kort samen. Het ziekenhuis stelt dus een reglement op voor de bescherming van de persoonlijke levenssfeer, met een lijst van de categorieën van personen die toegang hebben tot de persoonsgegevens en een register van de verwerkingsactiviteiten.
- Bij medische dossiers kan niet om wissen van gegevens gevraagd worden die het ziekenhuis verplicht moet bewaren in een medisch dossier.
- Er bestaat machtsasymmetrie tussen individuele burger en de dataverzamelaars zoals overheid en bedrijfsleven die onder invloed van innovatie steeds meer data verzamelen, analyseren en te gelde maken.
- Het Privacy Shield-verdrag was voor veel organisaties de grondslag voor doorgifte van persoonsgegevens aan partijen in de VS, bijvoorbeeld voor clouddiensten. Volgens het arrest HvJ (Schrems II) beschermt dit verdrag onvoldoende de privacy van EU-burgers, onder meer omdat het geen beperkingen oplegt aan de rechten van Amerikaanse inlichtingen- en veiligheidsdiensten. Het is dan ook ongeldig en met onmiddellijke ingang vervalt het als basis voor de doorgifte van gegevens naar de VS.
- Dit Schrems II-arrest zal van belang zijn in de Brexit-saga en de omgang met data na juli 2021.
- Zorginstellingen die rondgezondheidsgegevens samenwerken met bedrijven zoals Google, Apple, Facebook, Microsoft en Amazon, zouden een sluitend systeem van gegevensdelving, -deling en -verwerking moeten/kunnen ontwikkelen met de minste impact op de privacy van de patiënten.
- De opting-in mogelijkheid is belangrijk voor de geloofwaardigheid: zijn burgers vrij om te kiezen of ze gegevens willen delen, dan wel of ze enkel een app of bepaalde functies erin willen gebruiken of niet.
- Ondanks de inspanningen van tal van Europese spelers zoals het Europees Bureau voor Gegevensbescherming (EDPB), de lidstaten en de Belgische Gegevens Beschermings Autoriteit (GBA), lijkt Europa nog lang geen realistische structurele oplossing te kunnen bieden voor de onzekerheid die het Schrems II arrest met zich meebrengt.
- Vele bedrijven begraven hun controles voor gegevensverzameling diep in hun websites. Zelfs als consumenten ze kunnen vinden, zijn hun keuzes waarschijnlijk niet van toepassing op de dochterondernemingen of gelieerde ondernemingen van een bedrijf. Gebruikers wijzigen hun standaardinstellingen echter meestal niet, zelfs niet als dit betekent dat hun gegevens worden verzameld.
- GDPR-regels bieden de beste waarborg voor bewaking van privacy. Het ontwerp van ‘Verordening over een Europese Aanpak van Artificiële Intelligentie’ (april 2021) biedt perspectief: opbouwen van vertrouwen bij het publiek in de manier waarop ‘big data’ wordt gebruikt is essentieel. Een meer zichtbare rol van een onafhankelijk toezichtsorgaan, zoals de EDPD of de GBA die mogelijke risico's en ethische kwesties voor nieuwe technologieën beoordelen, kan bijdragen aan de publieke transparantie en acceptatie.
Aanbevelingen
Renaat Peleman formuleert op het einde van de thesis enkele aanbevelingen. Een greep daaruit: de EU moet een antwoord vinden op het verdwijnen van het Privacy Shield. De “Kaderwet (GBW)” die nu bestaat, verdient meer duidelijkheid en leesbaarheid in plaats van de huidige soms onduidelijke en vage bewoordingen. Patiënten rekruteren via sociale media moet mogelijk zijn. Een eenduidig advies van de Orde van Artsen is aangewezen.
Overheden (politieke en publieke) zouden best sluitende systemen ontwikkelen voor het behoud van de geloofwaardigheid van het gebruik van data. Een sluitend systeem van gegevensdelving, -deling en -verwerking moet worden geïnstalleerd dat het minst impacteert op de privacy van de patiënten. De opting-in mogelijkheid is dan belangrijk, en ook opting-out.
Peleman is er ook voorstander van dat men al van in het vroegste stadium privacy als waarde opneemt in het ontwerp. Dan vermijdt men volgens hem heel wat mogelijke problemen.
Tot slot een boodschap voor de medische wereld: geneeskundestudenten en artsen moeten begrijpen hoe ze veilig en effectief kunnen omgaan met ‘big data’ in de zorg. Hier is een belangrijke rol weggelegd voor het toevoegen van ethische aspecten van ‘big data’ aan het medisch curriculum.
(1) ‘Big data’ voor medisch-wetenschappelijk onderzoek, Renaat Peleman, Postgraduaat in het gezondheidsrecht en de gezondheidsethiek (2020-2021), promotor: Nils Broeckx, U Antwerpen