Medische privacy onder druk
Op 19 september deed ik mee aan een debat van Privacy First over de toenemende druk op onze privacy vanuit de Europese Unie. Hieronder een samenvatting van wat ik heb beargumenteerd.
Vorige maand had ik nachtdiensten voor de cardiologie. Ik zat om drie uur ’s nachts met mijn hoofd op mijn hand gesteund, slaperig naar een computer scherm te staren. Ik wachtte op de uitslagen van een bloedonderzoek wat ik had aangevraagd voor een patiënt op onze afdeling. De kamer om mij heen was inmiddels donker geworden en ik denk dat ik eventjes ben weggedommeld. Ineens schrok ik wakker van een scherp geluid, de ringtone van de ambulance telefoon. Ze waren met loeiende sirenes onderweg naar het ziekenhuis met een bewusteloze man, op een hartfilmpje zagen ze dat hij een hartaanval had. Ik werk in een groot ziekenhuis, dus ik had al vele patiënten gezien met een hartaanval. We weten dat we snel en juist moeten handelen om een slechte afloop te voorkomen, en dat protocol zit in mijn hoofd gedrild. Maar de patiënt die binnenkwam op de Eerste Hart Hulp was jong – 32 jaar volgens zijn rijbewijs – en slank. Toen ik zijn jas open trok zag ik een groot litteken op zijn borstkas, alsof hij mogelijk recent aan zijn hart was geopereerd. Dit was niet de standaard patiënt met een hartaanval, er was meer aan de hand. Maar hij was niet bekend in ons ziekenhuis, en er was niemand aanwezig die mij aanvullende informatie kon geven. Op zo’n moment heb je maar minuten om de goede behandeling te kiezen maar hier was de juiste keuze is afhankelijk van gegevens die ik niet had.
Zowel op nationaal als op Europees niveau wordt gewerkt aan wettelijke kaders voor het centraal opslaan, inzien, uitwisselen en gebruiken van de medische gegevens van Nederlandse burgers. Het centraliseren en effectiever uitwisselen van medische gegevens kan zeker leiden tot betere zorg. Het sneller delen van gegevens tussen zorgverleners kan – zoals bij de jonge man die ’s nachts bij mij op de Eerste Hart Hulp kwam – zelfs letterlijk levensreddend zijn. Maar er zijn veel meer mogelijkheden. Zorgverzekeraars en grote commerciële partijen staan te springen om onze medische gegevens te analyseren en gebruiken. De data kunnen namelijk artificial intelligence (AI) en andere soorten predictie modellen voeden. Deze kunnen vervolgens gaan inschatten wie een verhoogd risico heeft op een bepaalde ziekte, of voorspellen wanneer een bepaalde behandeling succesvol zal zijn. Dat kan de zorg als geheel effectiever en efficiënter maken. Op individueel niveau kan dat betekenen dat ziekte vroeger wordt vastgesteld, of kunnen onnodige behandelingen (met de daarbij horende bijwerkingen) worden voorkomen.
Het klinkt allemaal mooi, maar er zijn ook redenen voor serieuze zorgen. We hebben het hier over onze meest persoonlijke, meest gevoelige data. Gegevens die ons kwetsbaar maken, die we sinds het begin van de medische geschiedenis altijd hebben behouden tot de vertrouwelijke arts-patiënt relatie. Gaan we die nu doorbreken? De risico’s zijn mijns inziens groot genoeg dat ik ondanks de mogelijke voordelen, zou willen stellen dat we niet verder gaan met enige wetgeving die onze medische privacy onder druk zet.
Zo maak ik mij zorgen dat er momenteel onvoldoende controle is om misbruik van data door commerciële partijen te voorkomen. Er zit ongekend veel winst potentieel in het grootschalig verzamelen en gebruiken van medische gegevens. We hebben gezien hoe BigTech bedrijven andere soorten data commercialiseren. Wie is de eigenaar van technische ontwikkelingen die voortkomen uit de analyse medische data van burgers? Deze financiële winst kan ook een verkeerde “incentive” geven. Een reden voor grote bedrijven om de politiek te lobby-en voor de verdere afbraak van privacy, zonder dat dit de gezondheid van de burger ten goede komt. We weten hoe groot de invloed van BigTech en BigPharma op onze politici kan zijn. Zeker binnen de EU, waar veel beleid achter gesloten deuren wordt gemaakt met toegang voor consultants en het grootkapitaal maar niet voor de gewone burger. Hierin moeten we ook mee wegen dat we nog niet goed weten hoe de medische gegevens die we vandaag verzamelen in de toekomst gebruikt zullen worden. Een bekend voorbeeld is data over onze genen. Onderzoeken of iemand de aanleg heeft om een bepaalde ziekte te ontwikkelen kan artsen helpen om gericht te screenen. Maar kunnen we overzien hoe deze informatie over 10, 20 of 50 jaar zal worden gebruikt? Kunnen we voorkomen dat bedrijven de informatie gaan gebruiken om, bijvoorbeeld, mensen een verzekering of hypotheek te weigeren? Worden er algoritmes ontwikkeld om op basis van medische data te voorspellen wie waarschijnlijk crimineel is, om zo gericht politieonderzoek te doen? De eerste schade van dat soort onzin algoritmes hebben we al gezien in de toeslagenaffaire.
Dat brengt mij tot mijn tweede zorg: er is een toenemende tendens van overheden om zich te bemoeien met verschillende aspecten van onze gezondheid. Dit hoeft niet altijd slecht te zijn. De overheid heeft immers de verantwoordelijkheid om goede gezondheidszorg mogelijk te maken. Maar er zijn voldoende voorbeelden van hoe dit kan gaan wrijven met onze grondrechten. Tijdens 2021 en 2022 heeft de Nederlandse overheid (met aanmoediging van de EU) met het coronatoegangsbewijs laten zien dat het bereid is om onderscheid te maken tussen burgers op basis van hun medische gegevens. Gezondheidspassen zouden nooit voorwaarden mogen worden voor onze vrijheid. Het verder centraliseren en digitaliseren van medische gegevens maakt ons vele malen kwetsbaarder voor dit soort autoritair overheidsingrijpen.
Zo zal er ook een goed alternatief beschikbaar moeten zijn voor mensen die niet willen deelnemen aan systemen die hun medische gegevens centraliseren of uitwisselen met derde partijen. Of kunnen zij door hun terechte keuze straks geen zorg meer krijgen? Een “alles of niets” systeem voor het uitwisselen van medische gegevens zou kunnen betekenen dat als iemand niet akkoord gaat met het delen van al zijn/haar medische gegevens via een centraal punt (zoals het landelijk elektronisch patiënten dossier) hij/zij geen enkele mogelijkheid meer heeft om elektronisch gegevens te sturen naar medische behandelaren. Er moeten dus op zijn minst alternatieven bestaan. Daarnaast lopen we het risico dat overheden (op aandringen van commerciële partijen) enkel inzetten op systemen waar geld mee kan worden verdiend, niet op alternatieven die onze privacy beter zouden beschermen maar minder winst potentieel hebben. En wat gebeurt er wanneer mensen niet akkoord gaan met de input van hun medische gegeven in AI predictie modellen om bijvoorbeeld in te schatten wat de kans van slagen van een bepaalde behandeling zou zijn? Mag hen dan door zorgverzekeraars of andere partijen medische hulp worden geweigerd?
In vele situaties van data gebruik mist momenteel de nodige transparantie. Hierdoor kunnen wij burgers de betrokken commerciële partijen en overheden niet controleren. Het gebruik van medisch gevoelige informatie moet altijd gepaard gaan met volledige openheid, zo dat wij kunnen vaststellen als het mis gaat, en overheden kunnen dwingen tot corrigerende actie. Dit houdt in dat systemen open source moeten zijn, en modellen en AI beschikbaar voor beoordeling door onafhankelijke onderzoekers. Dit is extra belangrijk omdat beleidsmakers vaak weinig inhoudelijke kennis hebben over deze onderwerpen. Om transparantie te garanderen zullen alle aspecten van beleid rondom de opslag en uitwisseling van medische gegevens begrijpelijk en inzichtelijk moeten worden gemaakt voor iedereen. En burgers moeten een duidelijke route hebben om invloed uit te oefenen op het beleid hieromheen.
Net zoals bij andere grote vraagstukken van deze tijd, wordt rondom het uitwisselen van medische gegevens vaak gedaan alsof er maar één optie is. Zo denken de meeste artsen en beleidsmakers dat situaties zoals de casus waar ik mee begon alleen maar kunnen worden voorkomen met één centraal medisch dossier. Hierbij wordt volledig genegeerd dat er met de huidige technologie allerlei andere opties bestaan voor het decentraal opslaan van gegevens, die vervolgens eigendom blijven van de patiënt om naar eigen inzien te delen binnen een arts- patiënt relatie.
Vanuit privacy overwegingen zijn er goede redenen om definitief af te zien van wetgeving die medische gegevens verder centraliseert of beschikbaar stelt aan (AI van) overheidsinstanties of commerciële partijen. Indien we hier toch stappen in willen nemen is een uitvoerig maatschappelijk gesprek essentieel om onze medische data te beschermen en misbruik door BigTech en BigPharma te voorkomen. Wetgeving moet hierin duidelijk maken wat de doelstellingen zijn en hoe volledige transparantie wordt gewaarborgd. Er moet eerlijk worden besproken of dezelfde doelstellingen ook kunnen worden behaald met minder privacy overtredingen. En er moet altijd keuze zijn, verschillende mogelijkheden waardoor mensen vrij zijn om niet akkoord te gaan met het delen van hun medische gegevens.
Het is mij inmiddels duidelijk dat politici niet beschikken over de moed en wilskracht om op te staan tegen BigTech en BigPharma, en dat de EU deze dagen elke mogelijkheid aangrijpt om zijn controle over burgers te vergroten. Dus ik vrees dat alleen betrokken artsen en patiënten, die medische privacy met luide stem opeisen, kunnen voorkomen dat de vertrouwelijke arts-patiënt relatie voorgoed verdwijnt.