Onderzoek en de privacy van patiënten

Onderzoek en de privacy van patiënten

Is er verband tussen wonen in stad X en aandoening Y? Welke invloed heeft leefstijl A op de gezondheid van mannen boven de 50? Hebben vrouwen die kinderen hebben gekregen meer of minder kans op ziekte Z? Onderzoek in de zorg gaat over mensen. Maar hoe voorkom je dat de identiteit van die mensen ‘op straat’ komt te liggen?

Onderzoek in de gezondheidszorg redt levens. Weinig mensen zullen dit ter discussie stellen. Sterker nog: mensen doneren graag en veel om ziektes als kanker en hartklachten beter te kunnen behandelen of zelfs de wereld uit te helpen. Veel van die donaties en fondsen gaan naar onderzoek.

 

Het dilemma
Ondertussen staan veel onderzoekers voor een dilemma. Om goed onderzoek te kunnen doen zijn betrouwbare en representatieve gegevens nodig. Patiëntgegevens, wel te verstaan. Een tricky business, want de Autoriteit Persoonsgegevens kijkt mee en boetes liggen op de loer in geval van een datalek – u zou niet de eerste zijn die het overkwam.

 

Dan maar zonder?

Maar je kunt bijna niet zonder persoonsgegevens. Je hebt gegevens nodig als leeftijd, woonplaats en geslacht en die moeten overeenkomen met de werkelijkheid, anders heb je er niets aan. Dit staat op gespannen voet met de privacywetgeving, die zegt dat je persoonsgegevens alleen mag gebruiken voor het doel waarvoor je ze gekregen hebt. In geval van ziekenhuizen is dat: de behandeling. En niet onderzoek.

 

Trusted Third Party
Een oplossing die vooral in de zorg wordt toegepast is die van de Trusted Third Party. Data van de zorginstelling wordt vervangen door een pseudoniem en via de Trusted Third Party verstrekt aan de onderzoeker. Het opzetten en beheren van zo’n constructie is complex en daardoor ook vrij kostbaar. Voor grote onderzoeken met meerdere partijen kan dit een geaccepteerd nadeel zijn, maar voor onderzoeken binnen één (kleine) instelling zal dit nadeel zwaarder wegen. Wel biedt het soelaas in het privacyvraagstuk: de gegevens in handen van de onderzoeker zijn niet meer herleidbaar tot unieke personen.

 

Zelf data maken
Een nog tijdrovender en ingewikkelder oplossing is het zelf creëren van data. Klinkt eenvoudig – want hebben we daar niet allerlei tools voor? Ja, maar de data die zo’n tool creëert heeft geen enkel verband met de werkelijkheid en is dus niet representatief. De enige manier is de werkelijke gegevens handmatig om te zetten in zelf gecreëerde data, waarbij verbanden tussen gegevens intact blijven. Een arbeidsintensief werkje.

 

Voldongen feit?

Dat deze oplossingen zo veel inspanning vergen, maakt dat ziekenhuizen toch vaak kiezen voor het gebruik van bestaande patiëntgegevens. Tegen de klippen op – want juist in de zorg is de ambitie groot om integer met patiëntgegevens om te gaan. Gebruik van echte gegevens stuit op veel weerstand – want kans op een datalek – maar men ervaart het als een voldongen feit. Toch is er nog een derde mogelijkheid die vaak over het hoofd wordt gezien: anonimiseren met behoud van representativiteit.

 

Anonimiseren
Die optie is de laatste tijd in opkomst, juist omdat het op een relatief eenvoudige manier een einde maakt aan het privacy-dilemma. Door slim gebruik te maken van nieuwe technologische mogelijkheden, kan data lokaal zo worden bewerkt dat de gegevens anoniem zijn, terwijl de representativiteit behouden blijft. Met andere woorden: de gebruikte gegevens zijn niet herleidbaar naar een unieke patiënt, maar de gegevens van de totale onderzochte populatie zijn volledig representatief. Doordat dit proces lokaal draait, is er bovendien geen sprake meer van een structurele afhankelijkheid van een externe partij. Ook hoeven de gegevens de organisatie niet te verlaten.

 

Herhaalbaar?
Anonimiseren en pseudonimiseren lijken op elkaar. Een groot verschil was vroeger dat anonimiseren niet herhaalbaar was en pseudonimiseren wel. Herhaalbaarheid is in onderzoeken vaak nodig om toeval te kunnen uitsluiten. Tegenwoordig zijn oplossingen voorhanden waarmee data consistent over tijd geanonimiseerd kan worden. Met andere woorden: patiënt Jansen wordt altijd patiënt Pietersen.

 

Omkeerbaar?
Een ander verschil was dat pseudonimiseren omkeerbaar was en anonimiseren niet. Dat is deels nog steeds het geval. Daarmee is anonimiseren vanuit privacy-oogpunt veiliger, want er is geen sleutel beschikbaar om de gegevens terug te halen. Maar soms kan het wenselijk zijn om geanonimiseerde gegevens toch te herstellen. Dat wordt tegenwoordig opgelost door bij het anonimiseren een bestaande, alleen intern gebruikte sleutel níet te anonimiseren. Het is zelfs mogelijk om een nieuwe sleutel aan te maken die kan worden gebruikt om de daadwerkelijke patiëntgegevens te achterhalen.

 

Autorisatiemanagement
Ga je daarmee niet wéér recht in tegen de privacywetten? Nee. Bij medisch onderzoek zijn er situaties denkbaar, waarin het cruciaal is dat de gebruikte gegevens herleid kunnen worden naar een unieke patiënt. Stel dat wordt vastgesteld dat een anonieme patiënt een bepaalde aandoening heeft waarbij directe behandeling noodzakelijk is. In dat geval moet de behandelend arts de patiënt kunnen benaderen. Dit kan door met behulp van autorisatiemanagement te zorgen dat de arts wel maar de onderzoeker niet, aan de hand van de gecreëerde sleutel, de echte patiënt kan achterhalen.

 

Hiermee wordt op een aantoonbare manier invulling gegeven aan de privacywetgeving. De echte gegevens worden niet gebruikt voor het onderzoek, waarmee de privacy van de patiënten is gewaarborgd.