Ook jouw medische data liggen nu bij Google
Afbeelding door © Mark Reijntjens
De medische gegevens van honderdduizenden Nederlandse ziekenhuisbezoekers worden door bedrijven verwerkt, en zitten sinds kort zelfs in de cloud van techreus Google. Waarom weet niemand dat? Hoe zit dat met jouw privacy? En is het wel veilig? Welkom in de mistige wereld van medische gegevens buiten het veelbesproken patiëntendossier.
Dit verhaal gaat vermoedelijk ook over uw patiëntgegevens. Of anders die van uw ouders, broer, zus of andere familieleden. Dit stuk gaat over patiëntgegevens die worden verzameld en verwerkt door MRDM, Medical Research Data Management, een van de grootste medische databedrijven van het land.
Want wat de meeste Nederlanders niet weten: gegevens over ziektes en aandoeningen worden tegenwoordig uit het patiëntendossier gehaald en bùiten de muren van het ziekenhuis of de kliniek verwerkt, (ook) door commerciële bedrijven.
Miljoenen ziekenhuisbezoekers
MRDM verwerkt dossierinformatie van honderdduizenden tot miljoenen ziekenhuisbezoekers. Dat gebeurt op verzoek van de 120 Nederlandse ziekenhuizen, grotendeels betaald door zorgverzekeraars. De informatie wordt verzameld en verwerkt voor landelijke kwaliteitsregistraties en interne analyses voor ziekenhuizen. Zo kunnen ziekenhuizen hun prestaties met elkaar vergelijken en moet de zorg optimaliseren.
Voor de registratie van borstkanker bijvoorbeeld ontvangt MRDM alle informatie over iemands behandeling, variërend van medicijngebruik, het aantal ingrepen tot complicaties en opnamedagen. Per registratie worden gegevens uit het elektronisch patiëntendossier (EPD) gehaald en beveiligd met encryptie (versleuteling) naar MRDM gestuurd. De naam van de patiënt wordt vervangen door een nummer. Dit heet het pseudonimiseren van patiëntgegevens.
Verder lezen na de foto
Google Cloud
In totaal doet MRDM dat voor 22 landelijke kwaliteitsregistraties: van obesitasbehandelingen en borstimplantaten tot diabetes, longkanker en Parkinson. Het gaat dus niet om het patiëntendossier als geheel, maar MRDM verwerkt wèl onderdelen uit dat dossier.
En sinds kort worden die miljarden ‘datapunten’ niet meer opgeslagen in datacenters van een Nederlandse provider, maar in de Google Cloud, de populaire opslagservice van de techreus uit de VS. Waarom weten patiënten van niks? Is het wel veilig? Verslag van een zoektocht.
Wat is de Cloud?
Grote bestanden overal via internet toegankelijk
De term ‘cloud’, een overal zichtbare en bereikbare ‘wolk’, is in 1996 gemunt door medewerkers van computerfabrikant Compaq in Houston, maar nam pas het afgelopen decennium een grote vlucht. Consumenten kunnen hun foto’s, video’s en documenten stallen bij onder meer iCloud (Apple), OneDrive (Microsoft) Google Drive of Dropbox.
Dankzij steeds snellere internetverbindingen hoeven bestanden niet langer thuis op de harde schijf of op kantoor worden opgeslagen. Gegevens kunnen in grote datacenters worden geparkeerd en zijn via internet overal toegankelijk. Dit heet ‘cloud computing’ en geldt onder ict-experts als veel veiliger dan lokale opslag.
Voor bedrijven zijn er de datawolken van Microsoft Azure, Google Cloud Platform, Amazon Web Services, IBM Cloud en in Nederland ook KPN. Elke techgigant heeft inmiddels tientallen datacenters staan. Zo telt Google achttien cloudregio’s. Het in 2016 geopende datacenter in de Eemshaven, waar MRDM de gegevens van honderdduizenden Nederlandse patiënten parkeert, valt onder ‘Europe-West 4’.
Wat Google allemaal van je weet
Locaties, zoektermen, onlangs bekeken video’s en ga zo maar door. Google slaat het allemaal op. Misschien ook wel van jou, omdat je daar ooit toestemming voor gaf. Op takeout.google.comkun je alles wat Google van jou weet downloaden en bekijken.
Journalist Martijn Bekhuis heeft dat gedaan. Deze informatie heeft Google allemaal van Martijn: Zijn gehele digitale telefoonboek. Met alle namen, telefoonnummers en e-mailadressen. Alle filmpjes die hij bekeek op YouTube. Elke zoekopdracht die hij ooit heeft uitgevoerd via Google. Elke plek die hij sinds september 2013 bezocht. Aankopen die hij heeft gedaan via webshops. Elke spraakopdracht die hij via Google heeft gedaan staat als audiobestand opgeslagen. Alle emails die Martijn ontvangen en verstuurd heeft. Foto’s die ooit in zijn Google cloud zijn gekomen. Alle afspraken uit de agenda van Martijn. Ook welke applicaties op zijn telefoon hebben gestaan en recensies die Martijn geschreven heeft.
1. De tip
Dit verhaal begint drie maanden geleden met een tip van een klokkenluider. Deze tipgever mailt dat de medische data van een groot aantal Nederlanders naar de Google Cloud verhuizen. Hij ziet veiligheidsrisico’s voor de privacy, vreest dat Google aan de haal gaat met de medische gegevens.
In de ict bestaat al jaren een trend om zoveel mogelijk gegevens in de cloud op te slaan. Amerikaanse technologiebedrijven als Google, Amazon en Microsoft floreren erdoor. De voordelen van opslag in de ‘datawolk’ zijn legio: het is goedkoper, gegevens zijn overal beschikbaar en de beveiliging in een groot datacenter geldt als sterker dan die van lokale servers.
Omstreden
In de medische sector is centrale opslag van patiëntgegevens echter zwaar omstreden. Het invoeren van het landelijk elektronisch patiëntendossier leidde tot jarenlange discussies en werd in 2011 aanvankelijk helemaal afgeschoten. Via een omweg kwam het EPD er toch, maar gegevens worden veelal lokaal opgeslagen, op eigen servers. Pas op initiatief van de patiënt, bijvoorbeeld bij een verhuizing, mag een medisch dossier van arts wisselen.
De tip leidt dus tot de vraag: hoe gaan ziekenhuizen en artsen om met onze patiëntgegevens? En hoe groot is die wereld van medische data buiten dat patiëntendossier?
Verder lezen na de foto
2. De zoektocht
De business van MRDM loopt als een tierelier
De weken daarna benaderen we experts, bevragen we enkele grote ziekenhuizen. Wat blijkt? Het elektronische patiëntendossier is slechts het halve verhaal. De medische sector is zwaar gereguleerd. Om de veiligheid van patiënten te waarborgen, moeten ziekenhuizen, zorgverzekeraars, farmaceuten en andere spelers aan strenge eisen voldoen. In Nederland betekent dat: registreren, verantwoorden, alles bijhouden. De administratieve operatie is enorm, de gevoeligheid van de gegevens vergt veel ict-kennis.
En dit is het punt waarop een bedrijf als MRDM in beeld komt. Ze nemen deze administratieve rompslomp uit handen van ziekenhuizen. Met het verzamelen, verwerken en opslaan van deze gegevens is het in Deventer gevestigde bedrijf groot geworden. MRDM startte zeven jaar geleden als een tak van het Leids Universitair Medisch Centrum, maar is inmiddels de grootste in het medische dataland en verwerkt de patiëntgegevens van honderdduizenden tot miljoenen Nederlanders. ,,Hun business loopt als een tierelier’’, zegt een ingewijde uit de medische consultancy.
Strenge protocollen
Naïef zijn de ziekenhuizen niet als het om privacy gaat. Patiëntendata worden verwerkt volgens strenge protocollen, speciale certificaten moeten de privacy verder waarborgen. Zo domineren twee aanbieders de markt voor EPD-software, deze dossiers worden – zover bekend – niet in clouds opgeslagen.
Het VUmc ziekenhuis stelt op vragen van deze krant dat er ‘vrijwel geen gebruik wordt gemaakt’ van cloudoplossingen. ,,De gezondheidszorg wil en kan hierin niet voorop lopen omdat op het verwerken van medische gegevens het zeer zwaar wegende beroepsgeheim van toepassing is.’’
3. MRDM wil af van ‘indianen-verhalen’
Als we genoeg informatie hebben, benaderen we MRDM. De deur gaat snel wagenwijd open. Dus zitten we begin februari in een wat anoniem kantoorpand bij het treinstation van Deventer tegenover MRDM-directeur Paul Crauwels en ‘privacy-officer’ Theo Bisseling. Crauwels: ,,Wij zijn blij dat we dit verhaal een keer kunnen vertellen. Er doen veel indianenverhalen de ronde.’’
Ze leggen uit dat MRDM vooral klinische gegevens aanlevert voor kwaliteitsregistraties, op verzoek van de ziekenhuizen. ,,Voor tal van ziekten. We doen veel kankers: borst, long, pancreas, maag. Maar ook diabetes, Parkinson en hartziekten.’’
Daarnaast levert het bedrijf analyses van behandelingen aan specialisten, ziekenhuizen en beroepsgroepen. ,,Ziekenhuizen willen kwaliteit vergelijken’’, zegt directeur Crauwels. ,,Wij verzamelen en verwerken informatie over behandelingen, onze algoritmes analyseren de data en ziekenhuizen krijgen dan rapporten terug met hun prestaties.’’
Zo wordt de gezondheidszorg beter en goedkoper, aldus MRDM. ,,Dan zie je bijvoorbeeld dat twee ziekenhuizen goede resultaten boeken bij de aanpak van darmkanker, maar dat de kosten bij de één veel hoger liggen. Wat blijkt? Het ene ziekenhuis laat patiënten onnodig lang op de intensive care liggen.’’
Karrenvrachten aan data
Per patiënt gaat het om tientallen tot soms vijfhonderd verschillende ‘datapunten’, variërend van behandelduur, aantal ingrepen en complicaties tot de medicatie en de medische voorgeschiedenis. De data worden versleuteld, zodat persoonsgegevens niet herleidbaar zijn.
Op verzoek van behandelaars of ziekenhuizen kunnen veel gegevens weer ontsleuteld worden. ,,Maar er kunnen bij ons maar heel weinig mensen bij de brondata, ikzelf niet eens’’, zegt Crauwels.
In plaats van die karrenvrachten aan medische data van alle patiënten op servers van een Nederlandse provider te bewaren, gebeurt dat nu in de cloud van Google. De dataverhuizing naar de Eemshaven zal dit jaar vrijwel helemaal voltooid zijn.
Verder lezen na de foto
Voor Google is het technisch gezien een fluitje van een cent om deze anonieme data naar een persoon te herleiden
4. Kan dat zomaar?
Feitelijk kan Google zelf niet bij de data
Opvallend genoeg weten veel patiënten niet van het bestaan van bedrijven als MRDM, laat staan van de verhuizing naar de cloud. De reden voor de onzichtbaarheid is technisch-juridisch: voor de wet bestaat MRDM als zodanig niet; ze opereert volledig in opdracht en onder verantwoordelijkheid van de ziekenhuizen en behandelaars, alsof het bedrijf onderdeel is van het ziekenhuis.
En dus is de onderneming als dataverwerker niet verplicht om toestemming te vragen aan patiënten óf om hen te informeren. Crauwels van MRDM: ,,We maken er geen geheim van, maar we hóeven het niet te melden. Als iemand het kan melden, is dat het ziekenhuis. En zij zijn dat niet verplicht.’’
MRDM beklemtoont aan alle eisen te voldoen. De overgang naar opslag in de cloud is in lijn met de Europese Algemene Verordening Gegevensbescherming (AVG), stelt het bedrijf. Google zelf benadrukt in een reactie dat de data standaard versleuteld worden, dat Google de gegevens ‘niet kan inzien of analyseren’, aldus een woordvoerder: ,,Klanten houden volledige controle over hun eigen data.’’ MRDM kiest om meerdere reden voor de cloud, vertelt Crauwels. Vooral vanwege de veiligheid, maar ook vanwege de lagere kosten en de mogelijkheid om bij nieuwe klussen razendsnel extra opslagcapaciteit te realiseren. Lokale partijen als KPN vielen af. Crauwels: ,,We willen het hoogst haalbare op beveiligingsniveau. Google, Microsoft en Amazons AWS kennen een beveiligingsniveau dat lokale dienstenleveranciers niet hebben.’’
Veiligheid
Volgens MRDM is alles veilig. Er zou een waterdicht contract liggen met Google: ,,Feitelijk kan Google er zelf niet bij, ze doen niks met de data’’, zegt Crauwels.
Eventuele spionage door de Amerikaanse overheid is ook geen reëel scenario, vindt de directeur. ,,De vraag is of de Amerikaanse overheid geïnteresseerd is in massale zorggegevens van Nederlanders. Hackers beschouw ik als een veel groter risico; zij proberen steeds vaker binnen te dringen in databases van overheden en ziekenhuizen.’’ Google biedt hiertegen ‘maximale security’, stelt Crauwels.
De directeur erkent dat de datahonger van Google hem soms een ongemakkelijk gevoel bezorgt. ,,Aan het begin wilden we het ook absoluut niet, we waren niet overtuigd dat het veilig was, er heerste scepsis. Maar er is een duidelijk verschil tussen Google voor privédiensten en Google voor bedrijven: als bedrijf kun je heel goed afspraken met ze maken. Wereldwijd is de trend dat steeds meer data in de cloud verwerkt worden omdat het veel veiliger is.’’
Verder lezen na de foto
5. Wat vinden experts?
Medische gegevens zouden niet moeten worden opgeslagen bij een buitenlands bedrijf
Strikt wettelijk lijkt MRDM veilig, maar verschillende kenners plaatsen kanttekeningen bij de gang van zaken. EPD-expert Guido Van ’t Noordende spreekt van ‘een risicovolle route’: ,,Burgers moeten altijd kunnen zien wie de verwerkers van hun data zijn, ook als het gepseudonimiseerde gegevens zijn.’’ Pseudonimisering biedt geen garantie voor veiligheid van patiëntgegevens, waarschuwt hij: ,,Voor een gigant als Google, die al zoveel andere data van mensen bezit, is het technisch vaak een fluitje van een cent om deze data toch naar een persoon te herleiden.’’
Dat Google en andere cloudaanbieders dat wettelijk niet mogen doen, is geen reden om dat risico dan toch maar te nemen, stelt Van ‘t Noordende, die liever ziet dat medische gegevens dus niet op externe servers worden opgeslagen. ,,Dan loop je dat risico veel minder.’’ Privacyclub Privacy First vreest daarnaast dat de Amerikaanse overheid makkelijker kan spioneren bij ‘eigen bedrijven’ als Google.
De landelijke privacywaakhond Autoriteit Persoonsgegevens benadrukt dat medische gegevens alleen onder voorwaarden mogen worden opgeslagen in de cloud. ,,De provider kan gegevens voor zichzelf gebruiken zonder dat u hiervoor toestemming gegeven heeft’’, waarschuwt de AP in een brochure. Daarom is versleuteling of pseudonimisering raadzaam, zegt de toezichthouder. Volgens een woordvoerder van de Autoriteit is de cloudgang van MRDM ‘zover bekend’ niet expliciet getoetst bij de toezichthouder.
Verder lezen na de foto
‘Buitengewoon zorgwekkend’
Hoe gaan we om met al die zorgdata?
Computerveiligheidsexpert Brenno de Winter noemt de massale opslag van medische gegevens bij Google ‘buitengewoon zorgwekkend’. Hij noemt ook ‘de lange arm’ van de Amerikaanse overheid. ,,Klokkenluider Edward Snowden toonde gedocumenteerd aan hoe de inlichtingendiensten via Google spioneerden. Dat ze de gegevens in Eemshaven opslaan, doet dan niet ter zake.”
Tweede Kamerleden reageren bezorgd. D66 en de SP willen uitleg hierover van ministers die over zorg en privacy gaan. ,,Medische gegevens, al zijn ze gepseudonimiseerd, zouden wat ons betreft niet opgeslagen moeten worden bij een buitenlands bedrijf dat deze data kan combineren met andere profielen’’, zegt SP-Tweede Kamerlid Maarten Hijink.
D66-Kamerlid Kees Verhoeven ziet zelfs drie problemen: ,,De schimmige onbekendheid is verontrustend. Over het EPD was een grote discussie, maar nu weten patiënten niet eens dat zo’n centrale partij veel data opslaat voor ziekenhuizen. Dat is maatschappelijk niet in de haak. Vervolgens leggen ze de gegevens bij een groot Amerikaans bedrijf, terwijl je ook voor een Europese speler kunt kiezen. En dan het versleutelen, het pseudonimiseren: in hoeverre kun je garanderen dat zaken niet herleidbaar zijn? En dat allemaal zonder te vragen aan de patiënten.’’ Verhoeven wil dat de Autoriteit Persoonsgegevens de gang van zaken toetst; ook gaat hij schriftelijke vragen stellen: ,,Hoe gaan we om met al die zorgdata?’’
Datamacht
MRDM neemt haar rol serieus, constateert Theo Hooghiemstra, expert op het gebied van persoonsgegevens in de zorg. ,,Ze zijn heel bewust bezig met de privacy en gegevensbescherming, is mijn beeld. Maar als ze de data nu bij Google opslaan, is wel een terechte vraag: is dat de goede plek, bij zo’n grote Amerikaanse partij met datamacht? Je kunt zeker met Google samenwerken, maar het is een partij die je goed in de klauwen moet houden, controleren, kritisch volgen. Het zou goed zijn als de Autoriteit Persoonsgegevens deze werkwijze – en die van andere verwerkers als MRDM – onafhankelijk toetst.’’
MRDM-baas Crauwels verdedigt de werkwijze resoluut. ,,Ziekenhuizen kiezen hier juist voor òmwille van het garanderen van de veiligheid van gegevens. Je kunt zeggen: ‘ja, Google kan er vast technisch wel bij als ze willen’, maar als je in dat soort complotten gelooft, kun je beter onder een steen gaan leven. Tegen vooroordelen valt niet op te discussiëren.’’
Bekijk hier een fragment uit de Ochtend Show to go, waarin onderzoeksjournalist Pim Lindeman uit de doeken doet hoe veel Google eigenlijk van je weet.
Gerelateerd nieuws
Wegduikende Autoriteit Persoonsgegevens faciliteert weer massale overdracht van medische data
Bron: ZorgICTZorgen | Door W.J. Jongejan | 1 april 2019
Op zaterdagochtend 30 maart 2019 verscheen op de website van het Algemeen Dagblad een artikel over het kopiëren van massale hoeveelheden patiëntendata naar servers van de Google-cloud. Enkele uren later gevolgd door een tweede artikel, genaamd: “Ook jouw medische data liggen nu bij Google”. Dat gebeurde door het dataverwerkingsbedrijf Medical Research Data Management (MRDM), één van de grootste medische dataverwerkingsbedrijven van het land. Die kopieerde die data naar het Google Cloud Centre aan de Eemshaven te Groningen. Het gaat om gepseudonimiseerde behandelgegevens van honderdduizenden Nederlanders uit ziekenhuizen en bevolkingsonderzoeken. MRDM verzamelt en verwerkt zorgdata om er bigdata-analyse op uit te voeren. Wat hier gebeurt is al meerdere keren op andere terreinen gebeurt. Bij de verzameling van diagnosegegevens in het Diagnose BehandelCombinaties(DBC’s) in het DBC Informatie Systeem(DIS) gebeurt precies hetzelfde met gepseudonimiseerde gegevens. Ook bij het verzamelen van Routine Outcome Momitoring(ROM)-data uit de geestelijke gezondheidszorg(GGZ) gebeurt precies hetzelfde. Ik schreef er op deze website vaker over. Bij al die verwerkingen speelt de Autoriteit Persoonsgegevens(AP) een dubieuze, maar cruciale faciliterende rol.
Autoriteit Persoonsgegevens
De AP speelt die rol omdat ze oogluikend het verwerken van gepseudonimiseerde gegevens voor andere doeleinden dan waarvoor ze bedoeld zijn, zonder nadere toestemming van de patiënt, toestaat. Diverse pogingen om de AP bij de les te houden stranden op de halsstarrige houding van de AP om een beslissing te nemen over de gevolgen van de status van gepseudonimiseerde patiëntgegevens. Die pogingen zijn in gang gezet via de burgerrechtenvereniging Vrijbit in samenwerking met de Stichting KDVP en door een handhavingsverzoek aan de AP door een ex-patiënte uit de GGZ in het voorjaar van 2017. Naar het DIS doorgestuurde data zijn gepseudonimiseerd. Dat geldt ook voor de ROM-data die eerst naar de Stichting Benchmark GGZ gingen en nu naar de rechtsopvolger Akwa in samenwerking met De Nieuwe Entiteit als verwerker. Het handhavingsverzoek dat de ex-patiënte in maart 2017 deed aan de AP hield in dat de AP gevraagd werd er op toe te zien dat de verzameling en verwerking van ROM-data gestaakt moest worden omdat zulks zonder toestemming van de patiënt gebeurde. Mede naar aanleiding van dit handhavingsverzoek startte de AP een onderzoek in juni 2017 richting SBG.
Gepseudonimiseerde patiëntgegevens
Patiëntgegevens die gepseudonimiseerd zijn dienen te worden beschouwd als (bijzondere) persoonsgegevens. Pseudonimisatie is namelijk geen anonimisatie. Bij dat laatste is sprake van een onomkeerbaar proces. Na anonimisatie is geen herleiding tot een persoon mogelijk. In het artikel in het AD geeft de directeur van het bedrijf ook aan dat enkele werknemers die ontsleuteling kunnen toepassen. De AP heeft zelf in 2015 duidelijk gemaakt dat pseudonimisatie een beveiligingsmaatregel is die de herleidbaarheid tot het individu beperkt, maar niet voorgoed onmogelijk maakt.
Geen toestemming gevraagd
Dat verwerkte de voormalige minister van VWS Edith Schippers in een antwoord op Kamervragen in maart 2017 over het verzamelen van en verwerken van ROM-data. Zij bevestigde dat pseudonimiseren slechts een beveiligingsmaatregel is. Daarnaast zei ze dat er dus voor de verwerking van gepseudonimiseerde gegevens een wettelijk grondslag nodig is op basis van de Wet bescherming persoonsgegevens(Wbp). Het verkrijgen van expliciete toestemming van de patiënt is één van de grondslagen. Noch in het geval van de DIS-data, noch bij de ROM-data, noch bij de door MRDM verwerkte data is van die toestemmingsvraag sprake.
Laffe houding
De AP heeft door de loop der tijd blijk gegeven van het niet eigenstandig krachtige beslissingen nemen. Ze laat haar oren hangen naar de politiek en naar grote veldpartijen zoals de zorgverzekeraars. De rechtszaak van Vrijbit en KVDP loopt al vanaf begin 2016 en wordt door toedoen van de AP telkenmale getraineerd. Het onderzoek van de AP over het verzamelen van ROM-data door eerst SBG en huidige rechtsopvolgers is na 94 weken nog steeds niet afgerond. Het handhavingsverzoek is om formele gronden afgewezen. De vraagstelster stelde ruim 100 weken na maart 2017 de AP in gebreke vanwege het niet nemen van een beslissing binnen de normaal geldende termijnen. De AP stelde dat het verzoek te moeten afwijzen omdat het onderzoek nog niet was afgerond(sic!)
Legaal?
Het bedrijf MRDM stelt dat alles volkomen legaal gebeurt. In haar persbericht staat dat het zorgdata verwerkt in opdracht van de partij die wettelijk verantwoordelijk is voor die data, met een vooraf afgestemd doel. Ziekenhuizen geven volgens MRDM opdracht om de gegevens te verwerken ten behoeve van kwaliteitsverbetering, kostenbeheersing en/of onderzoek. Daarmee haalt het bedrijf letterlijk een uitzonderingsbepaling in de AVG aan, waar in punt 52 staat dat die gronden een uitzondering kunnen zijn voor het verbod op het verwerken van bijzondere persoonsgegevens. Men gaat echter daarbij voorbij aan het feit dat voor het verwerken van bijzondere persoonsgegevens voor een ander doel dan waarvoor ze initieel vergaard zijn toestemming nodig is van de patiënt. Daar hoort de AP op toe te zien en op te handhaven.
Een Autoriteit Persoonsgegevens die wegkijkt bij kritische vragen en geen beslissing durft te nemen is de naam Autoriteit niet waardig. Ze faciliteert onwettige praktijken.
O ja: ook nu weer betalen de zorgverzekeraars grotendeels de acties van MRDM.
W.J. Jongejan, 1 april 2019.
Meer:
Doofpot WMO Leudal 