Bescherming van gezondheidsgegevens
Het is heel belangrijk dat patiëntengegevens veilig bewaard worden, zodat deze vertrouwelijke informatie goed beschermd wordt. Onze privacy kan op vier belangrijke manieren worden beschermd:
- Door het de-identificeren van informatie, bijvoorbeeld door het verwijderen van details over een persoon die hem of haar zouden kunnen identificeren
- Door het invoeren van onafhankelijke controleprocedures die garanderen dat patiëntengegevens om de juiste redenen worden gebruikt
- Door het toepassen van strikte juridische procedures vooraleer gegevens worden uitgewisseld of geraadpleegd
- Door het gebruik van een robuuste IT-beveiliging
Databescherming is een evenwichtsoefening
Wegen de voordelen van het gebruik van patiëntengegevens op tegen de risico’s? Wat kan er allemaal fout gaan en wat zouden de gevolgen daarvan zijn?
Patiëntengegevens delen zal nooit volledig zonder risico zijn, maar er moeten gepaste en efficiënte maatregelen van kracht zijn die er voor zorgen dat deze risico’s zo klein mogelijk zijn. Gegevens worden dan ook gedeïdentificeerd waar mogelijk, controleprocedures gaan na wie toegang heeft tot de gegevens en strenge sancties kunnen worden opgelegd wanneer gegevens worden misbruikt.
Kan ik geïdentificeerd worden aan de hand van de gegevens?
Persoonlijk identificeerbare gegevens kunnen alleen gebruikt worden als je daar toestemming voor geeft of als dat wettelijk verplicht is, en ook dan kan dit enkel mits strenge veiligheidsmaatregelen. Zonder je toestemming kunnen deze gegevens niet gebruikt worden voor verzekerings- of reclamedoeleinden. Sommige gegevens zullen gebruikt worden om statistieken op te maken die regelmatig door je gezondheidsdienst worden gepubliceerd, zoals betreffende de wachttijden op de dienst spoedgevallen in verschillende ziekenhuizen of betreffende de vaccinatiegraad. Deze informatie kan alleen openbaar worden gemaakt wanneer de gegevens geanonimiseerd zijn zodat het niet mogelijk is een individu persoonlijk te identificeren.
Spectrum aan identificeerbaarheid
In de praktijk is er een breed spectrum aan identificeerbaarheid van gegevens. Dit spectrum varieert van volledig identificeerbare persoonsgegevens tot gegevens die een ingrijpend anonimiseringsproces hebben doorlopen.
De lat ligt zeer hoog voor gegevens om als "anoniem" te worden beschouwd door de GDPR, wat betekent dat binnen veel toepassingen de gebruikte gegevens nog steeds als persoonlijke gegevens zullen worden beschouwd. De identificeerbaarheid van gegevens hangt af van zowel kenmerken van de dataset op zich als van de omgeving of toepassing waarin de gegevens worden bewaard en gebruikt. Sommige omgevingen waarin gegevens worden opgeslagen, bevatten technische controles op de zaken waarmee de gegevens kunnen gekoppeld worden en beperkingen op wie toegang heeft tot de gegevens. De controles die worden gebruikt om gegevens te beschermen, zijn net zo belangrijk als de kenmerken van de gegevens op zich.
Meer over...
Een belangrijke kwestie in het gebruik van gezondheidsgegevens voor doeleinden die verder gaan dan directe, individuele zorg, betreft het vinden van een evenwicht tussen, enerzijds, het maximaliseren van de mogelijke voordelen van dit gebruik en, anderzijds, het beschermen van de gegevens tegen mogelijke schade. Over het algemeen is de bruikbaarheid van gezondheidsgegevens het grootst wanneer er slecht beperkte beschermingsmaatregelen worden opgelegd aan het hergebruik, maar dit verhoogt ook de mogelijke risico's betreffende de beveiliging van de gegevens en de privacyrisico’s.
Er zijn twee types gezondheidsgegevens die verschillend worden behandeld: geanonimiseerde gegevens en identificeerbare gegevens.
Geanonimiseerde gegevens
Wanneer gegevens volledig anoniem worden gemaakt, hoeven ze niet beschermd te worden door de GDPR. Het anonimiseringsproces zelf beschermt personen immers tegen mogelijke schadelijke uitkomsten en gevolgen. Anonimisering is een continuüm: er zijn verschillende technieken die verschillende graden van bescherming bieden, zoals hieronder beschreven.
Aggregeren van gegevens
Gegevensaggregatie verwijst naar het samenvoegen van gegevens, zodat individuen niet langer kunnen geïdentificeerd worden, zoals in het voorbeeld hieronder
Individuele gegevens: A is volledig gevaccineerd tegen COVID-19, B is volledig gevaccineerd tegen COVID-19, enz.
.png)
...en geaggregeerde gegevens: In deze populatie is 80% van de mensen volledig gevaccineerd tegen COVID-19.
.png)
Gegevenswisseling
Gegevenswisseling gebeurt wanneer bepaalde eigenschappen op individueel niveau worden herschikt. Hierdoor kunnen onderzoekers nog steeds analyses uitvoeren op de volledige dataset maar zijn vergelijkingen op individueel niveau nutteloos geworden, zoals in het voorbeeld hieronder.
Originele dataset:
Zelfde dataset, herschikt:
Small cell risicoanalyse
Een “small cell risicoanalyse” is een statistische analyse die gebruikt wordt om het risico van heridentificatie te meten wanneer het om slechts een kleine groep mensen gaat, bijvoorbeeld in het geval van zeldzame ziekten of wanneer veel variabelen worden gecombineerd.
Voordelen en nadelen van anonieme gegevens
- Enerzijds is het voor onderzoekers gemakkelijker om anonieme gegevens te gebruiken, omdat er weinig of geen beperkingen zijn aan het gebruik ervan. Er moet bijvoorbeeld geen toestemming worden gevraagd aan de deelnemers van een onderzoek. Voor burgers garanderen anonieme gegevens dat er geen directe, persoonlijke schade - zoals een schending van de privacy, discriminatie of onbedoelde commercialisering - kan ontstaan wanneer gegevens over hen worden gebruikt. Het is echter belangrijk op te merken dat uit verschillende publicaties is gebleken dat het soms toch mogelijk is om personen in geanonimiseerde datasets opnieuw te identificeren. Klik hier om een voorbeeld te zien.
- Anderzijds zijn anonieme gegevens minder bruikbaar. Sommige onderzoeksvragen kunnen niet worden beantwoord zonder identificerende informatie. Het is bijvoorbeeld moeilijker om verschillende eigenschappen te vergelijken: als je wil weten welke invloed een COVID-19 infectie heeft op mensen met astma, terwijl je corrigeert voor leeftijd, risicoberoepen en andere factoren, dan moet je toegang hebben tot al deze variabelen die het mogelijk maken individuen te identificeren. Voor burgers is het onmogelijk rechtstreeks voordeel te halen uit het hergebruik van gezondheidsgegevens wanneer deze volledig geanonimiseerd zijn.
Identificeerbare gegevens
Identificeerbare gegevens zijn alle soorten gegevens waarbij het mogelijk is om te achterhalen wie de individuele persoon achter de gegevens is. Dit omvat zowel:
- persoonlijk identificeerbare gegevens, zoals een naam, adres, ID-nummer, nummer van de sociale zekerheid, enz.
- gedeïdentificeerde of gepseudonimiseerde gegevens, waarbij een persoons naam en andere direct identificeerbare informatie zijn verwijderd. Dit soort gegevens wordt zeer vaak hergebruikt in gezondheidsonderzoek. Er bestaan verschillende technieken om gegevens te depersonaliseren, die verschillende niveaus van bescherming bieden. Gegevens kunnen bijvoorbeeld worden gepseudonimiseerd door bepaalde identificeerbare eigenschappen te vervangen of door een specifieke codering toe te passen (zoals het veranderen van namen in cijfers). Een vertrouwde derde partij kan daarbij instaan voor de communicatie tussen twee partners om ervoor te zorgen dat geen van beide partners alle sleutels in handen heeft om de codering ongedaan te maken. Het kan echter nog steeds mogelijk zijn personen opnieuw te identificeren wanneer hun gegevens worden gecombineerd met verschillende andere bronnen. Dit kan je vergelijken met het toevoegen van extra pixels aan een foto of het samenvoegen van verschillende stukjes van een puzzel.
Alle gegevens die als identificeerbaar worden beschouwd, worden beschermd door de GDPR. Het gebruik ervan wordt onder meer beperkt op basis van twee gronden: toestemming (consent) of "een opdracht van algemeen belang". Klik hier als je meer wil weten over je rechten op basis van de GDPR.
Geïnformeerde toestemming (informed consent)
Geïnformeerde toestemming wordt vaak gebruikt als juridische basis voor het verzamelen van gegevens in een klinische context of onderzoekscontext. Het vragen van geïnformeerde toestemming respecteert de individuele autonomie maar kan ook belastend zijn, zowel voor onderzoekers als voor burgers die tijd, middelen en energie moeten spenderen aan het telkens bevestigen van hun voorkeuren. Bovendien kan het in sommige omstandigheden bijna onmogelijk zijn om de toestemming van personen te vragen terwijl hun gegevens vereist zijn in een specifiek project. Een voorbeeld is het opvragen van gegevens van jaren geleden om zo trends en evoluties vast te stellen.
Een opdracht van algemeen belang
Voorbeelden van opdrachten van algemeen belang zijn surveillance of controle van ziekten en aandoeningen, archivering van gegevens voor historische of wetenschappelijke doeleinden, ondersteuning van een instelling bij een opdracht die in een eerdere richtlijn werd vastgelegd, ... Identificeerbare gegevens kunnen worden hergebruikt voor elke opdracht van algemeen belang op voorwaarde dat degelijk toezicht is gewaarborgd (zie hieronder).
Voordelen en nadelen van identificeerbare gegevens
- Enerzijds zijn identificeerbare gegevens zeer bruikbaar; ze kunnen gebruikt worden om vele vragen te beantwoorden, ook wanneer bepaalde variabelen moeten vergeleken worden, zoals roken en de doeltreffendheid van een behandeling tegen longkanker. Dit betekent dat men moet weten wie een roker is en wie een bepaalde behandeling heeft ondergaan. Wanneer het gebruik van bepaalde gegevens risico's inhoudt voor een individu’s privacy of wanneer het anderen schade kan toebrengen, kunnen de-identificatietechnieken worden gebruikt om deze risico's te beperken (zie hieronder).
- Anderzijds is het vaak een moeilijke evenwichtsoefening om te beslissen wat het juiste beschermingsniveau is voor een bepaald soort gegevens. Het gebruik van depersonalisatietechnieken kan tijdrovend en duur zijn. Voor burgers kan het gebruik van identificeerbare gegevens leiden tot directe, persoonlijke voordelen, maar het risico blijft altijd bestaan opnieuw geïdentificeerd te worden wanneer men dat niet wil.
Toezicht en controle
Verschillende soorten instanties en autoriteiten kunnen ervoor zorgen dat het hergebruik van gezondheidsgegevens (d.w.z. voor doeleinden die verder gaan dan directe, individuele zorg) verloopt in overeenstemming met de wet en met respect voor de privacy van burgers.
- Gegevensbeschermingsautoriteiten: gegevensbeschermingsautoriteiten zijn nationale bestuursorganen die toezicht kunnen houden op structurele koppelingen tussen grote databanken of die kunnen beslissen of iets als "een opdracht van algemeen belang" kan worden beschouwd.
- Data Protection Officer (DPO): sommige instellingen of bedrijven die persoonsgegevens verwerken onder de GDPR, moeten een DPO hebben die de gegevensverwerkers ondersteunt en ervoor zorgt dat zij zich aan de regels houden die in de GDPR staan beschreven.
- Ethische comités: wanneer nieuwe onderzoeksprojecten worden opgestart in ziekenhuizen of andere openbare instellingen, worden deze voorgelegd aan een multidisciplinair ethisch comité dat beslist of het onderzoeksprotocol ethisch verantwoord is en de voorgestelde methoden in verhouding staan tot de onderzoeksdoelstellingen.
- Comités voor gegevenstoegang: sommige databanken installeren comités voor gegevenstoegang die beslissen wie onder welke voorwaarden precies toegang krijgt tot gegevens.
Meer weten
- Identificeerbaarheid verder toegelicht
- Infografieken over het veilig bewaren van gegevens
- “De bescherming van burgers hun gezondheidsgegevens” (FR, France)
- Een inleiding tot de GDPR en de betekenis ervan voor patiëntengegevens (EN, UK)
- Codering, anonimisering en vertrouwde derde partijen (NL, FR, Belgium)
- Gegevensbeschermingsautoriteit (FR, EN, NL, Belgium)
- Vertrouwde derde partij – toegepaste codering (YouTube video, EN)
Heb je ideeën over de voorwaarden waaronder gezondheidsgegevens moeten gebruikt worden voor doeleinden die verder gaan dan individuele zorg?