In 2015 kreeg Deepmind, een AI-divisie van Google, een grote hoeveelheid patiëntgegevens uit handen van een Brits ziekenhuis. Die deal bleek onveilig, omdat de gegevens waren te herleiden tot individuele personen. Een onderzoek naar die deal geeft advies hoe dit soort privacyschending te voorkomen.
Deepmind probeert met 'deep learning', een leertechniek voor computers, interssante informatie te ontwaren uit grote hoeveelheden data. Ziekenhuizen en andere zorginstellingen hebben veel interesse in deze aanpak. Ze hopen patiënten er beter mee te helpen door bijvoorbeeld ziektebeelden eerder te herkennen dankzij een intelligente computer. Dat kan mensenlevens redden.
Die computers moeten echter wel getraind worden, en daarvoor gingen in 2015 ziekenhuizen aangesloten bij de Royal Free London NHS Foundation Trust in zee met Deepmind. 1,6 miljoen patiëntendossiers kreeg het Google-bedrijf overhandigd om te gebruiken als trainingsmateriaal voor hun computerbrein. In het bijzonder zou Deepmind een app bouwen om de data over acuut nierfalen (AKI in het Engels) bij te houden.
Niet anoniem
Er zaten echter de nodige haken en ogen aan deze deal. New Scientist onthulde een jaar geleden dat het contract tussen Google en de Royal Free Trust veel meer toestond dan je zou verwachten gezien het beoogde doel. De data waren bovendien te linken aan inviduele patiënten. Zo kreeg Google bijvoorbeeld inzicht in bloedtests over de afgelopen vijf jaar. Aan de hand daarvan kon bedrijf in theorie allerlei gevoelige informatie over medische zaken zoals HIV, abortus of drugsoverdoses te pakken krijgen, gekoppeld aan individuele personen.
Daarnaast werden de patiënten van wie de gegevens waren niet goed geïnformeerd. De 1,6 miljoen mensen hadden geen expliciete toestemming gegeven voor het gebruik van hun data, iets dat wel is verplicht in de medische onderzoekswereld.
Die kwesties werden na de onthulling door New Scientist snel opgelost; een nieuw contract met minder breed geformuleerde voorwaarden haalde de angel uit het schandaal. De opstellers van het rapport van St John's University willen nu met hun onderzoek waarschuwen voor toekomstige deals met bedrijven. 'Waarom Google precies zoveel interesse had in patiëntgegevens blijft onduidelijk. Hoewel er niks in hun plannen staat over het gebruik, kun je je voorstellen dat ze er in de toekomst wel verregaande dingen mee willen doen.' Vandaar het indringende advies aan ziekenhuizen en zorginstellingen om iterst voorzichtig zijn voordat ze gegevens afstaan een een derde partij.
Nederland
Dat advies geldt net zo zeer voor Nederland, waar verzekeraars en ziekenhuizen gretig op de big data-golf meesurfen. In beginsel zijn de regels streng: medische data dienen altijd geanonimiseerd en versleuteld te zijn en de patiënt moet toestemming geven. Het is zaak om deze regels ook consistent te blijven uitvoeren.
Vorig jaar ontwierp de Radboud Universiteit voorbeeldcontract met een zelfd brede werking als dat tussen Deepmind en de Trust. De wetenschappers bedachten een praktisch toepasbare manier om de patiënt macht te geven over zijn gegevens en alleen bepaalde delen van het dossier te ontsluiten (lees 'Veilig patientgegevens delen'). Het Nijmeegse systeem zou elke vorm van 'misbruik' of te breed gebruik van gegevens onmogelijk maken.
Beeld: National Cancer Institute
Nieuwsbrief
Vond je dit een interessant artikel, abonneer je dan gratis op onze wekelijkse nieuwsbrief.