Is iedereen binnen de gezondheidssector klaar voor GDPR?
...

Is iedereen binnen de gezondheidssector klaar voor GDPR? Maggie De Block: Zowel bij Volksgezondheid als Sociale Zaken zijn er heel veel data voorhanden. De FOD Volksgezondheid, het Riziv en allerhande diensten hebben samengewerkt om zich voor te bereiden op de GDPR. Er zijn draaiboeken gemaakt en workshops geweest. Maar ook uitwisseling van informatie met andere partners, zoals de Nationale Raad voor Ziekenhuisvoorzieningen. Ook voor de ziekenhuizen was het nodig om te kijken of hun bestaande systemen aangepast konden worden en of het nodig was. Maar het zal geen grote schok zijn, eerder een verbetering voor de patiënt dat de veiligheid en bescherming van de privacy gegarandeerd kunnen worden. Zeker tegenover landen waar men nog niet zover stond. Was dat vroeger anders? Maggie De Block: Vandaag heb je bewijs van wie er in het dossier kijkt. Toen ik zelf nog als dokter werkte, lagen de papieren dossiers achter de balie van het ziekenhuis of op het bureau in de huisartspraktijk. Soms raakten die verloren, soms werden ze meegegeven met de patiënt of met iemand die hen begeleidde. Mensen konden dossiers zomaar inkijken en er zelfs iets uitscheuren. Dat is vandaag allemaal niet meer mogelijk. Philippe De Backer: Op dat vlak is GDPR een opportuniteit. Met de juiste IT-systemen kan je onbevoegden weren en weet je wie toegang heeft en wie iets wijzigt. En als het misloopt, zijn er sancties. Dat is voor mij de kracht van GDPR. Vroeger moest dat via het gerecht, nu kan dat ook via administratieve sancties. Is er in ziekenhuizen een zogenaamd 'Break The Glass' principe, dat iemand toch toegang krijgt tot een medisch dossier in geval van nood? Maggie De Block: Dat is er voor noodgevallen, maar de behandelende arts en de medische directie worden wel op de hoogte gebracht. Philippe De Backer: Bij een levensbedreigende situatie is er altijd het gerechtvaardigd belang om dit toe te laten. Wordt er met de nieuwe wetgeving ook proactief gecontroleerd in de sector? Bijvoorbeeld op consumentgerichte smartphoneapps die je bloeddruk of hartslag meten? Maggie De Block: Voor dergelijke mHealth-toepassingen ontwikkelen we nu een validatiepiramide met drie verschillende niveaus. Artsen zullen apps uit elk van drie niveaus kunnen adviseren. Om toe te treden tot de onderste laag heeft een app een CE-markering (in regel met de Europese regelgeving, nvdr.) nodig. De ontwikkelaar moet ook een verklaring afleggen dat zijn app GDPR-compliant is. De tweede trap is dat er ook een meerwaarde moet zijn voor de patiënt en zijn of haar opvolging. Apps op dit niveau moeten ook gegevens kunnen uitwisselen met onze andere eGezondheids-toepassingen. Daar komen ook compliancetesten bij. Als een toepassing voldoet aan deze voorwaarden, krijgt ze een stempel voor dit tweede niveau. Het hoogste, derde niveau is voorbehouden aan toepassingen waarvoor is aangetoond dat hun gebruik gezondheidseconomische winst oplevert. Ze moeten uiteraard ook voldoen aan alle voorwaarden voor de onderste twee niveaus. Wat als ik morgen een app maak en me niets aantrek van de regels? Maggie De Block: Dan gaat die niet in die piramide staan. Maar ik kan misschien wel een paar duizend burgers overtuigen om het toch te gebruiken, hoort daar geen controle op? Maggie De Block: Dat kan je bijna niet tegenhouden. Veel van die apps komen ook uit het buitenland. Het belangrijkste is dat onze zorgverstrekkers dankzij de piramide weten welke apps ze met een gerust hart kunnen adviseren of voorschrijven. Philippe De Backer: Er is wel, naast de beslissingspiramide, een algemene controle mogelijk. Binnen de Gegevensbeschermingsautoriteit, de opvolger van de Privacycommissie komt er een inspectiedienst die audits kan doen bij organisaties en die op eigen initiatief controleert. Op basis van die onderzoeken zijn er sancties mogelijk. Ziekenhuizen die voor specifieke software kiezen, doen dat vaak voor decennia. Maakt dat het niet moeilijk wanneer zo'n speler zwaar in de fout gaat? Je kan hen er niet zomaar uitgooien. Maggie De Block: Maar ze kunnen het wel rechtzetten. Je moet het kind niet met het badwater weggooien. Philippe De Backer: Het systeem wil organisaties zo snel mogelijk in regel krijgen. Het is niet de bedoeling om zo veel mogelijk boetes uit te schrijven en geld te innen. Wel om zo snel mogelijk te remediëren als er een probleem is en dat daarbij helder en transparant gecommuniceerd wordt. De Gegevensbeschermingsautoriteit kan ook verbieden om bepaalde data te gebruiken zolang het probleem niet is opgelost. In het Verenigd Koninkrijk heeft de NHS, de Britse gezondheidszorg, een deal gesloten met Google rond de gegevens van zes miljoen Britten. Kan dat ook in ons land? Maggie De Block: Neen. Al zeker niet via Google en sowieso niet over persoonlijke patiëntendossiers. Wat wel kan is geanonimiseerde gegevens gebruiken als big data voor onderzoek. Die worden bijvoorbeeld aan de farmaceutische industrie ter beschikking gesteld, uiteraard onder strenge voorwaarden. Het pact met de farmasector van drie jaar geleden laat dat toe, maar enkel met een volledige anonimisering. Philippe De Backer: Je kent de technologie van vandaag, maar niet die van morgen. Dus als we zoiets doen, moet het in zeer gecontroleerde omstandigheden: geanonimiseerd en met een duidelijke finaliteit in het kader van research of kwaliteitscontrole. Zomaar data van patiënten doorgeven is onbespreekbaar, illegaal onder GDPR en onethisch. In dat pact staat dat enkel voor zeer specifieke research in zeer specifieke omstandigheden de gegevens toegankelijk zijn. Hoe gaat dat inkijken in zijn werk? Er moeten algoritmes op worden losgelaten dus ik veronderstel dat ze niet met een laptop naar uw kabinet komen? Maggie De Block: De betrokken partijen hebben infrastructuur gebouwd om de informatie waar ze toegang tot krijgen te kunnen gebruiken. Voor specifieke projecten wordt er een link gelegd, maar het is géén open lijn waarbij data voor eender wat gebruikt kunnen worden. Die organisaties zijn daar zelf vragende partij voor. Ze willen niet blootgesteld worden aan bepaalde klachten of problemen die kunnen ontstaan. Er is een wederzijdse verstandhouding dat er zorgvuldig en correct moet worden omgesprongen met gegevens en ze zijn bereid een aantal hordes te nemen om dat te kunnen doen. Hoever staan de plannen om big data te gebruiken in de Belgische gezondheidszorg? Maggie De Block: We zijn bezig met 'Data for better health'. Daar gaan we enkele proefprojecten rond doen, net zoals we dat eerder met mobile health deden. Zo kunnen we praktijkervaring opdoen en vervolgens de juiste kaders definiëren. Wat is het einddoel daarbij? Maggie De Block: De patiënt betere zorg aanbieden. Als we gegevens hebben over grote groepen patiënten, kunnen we ook kijken waar en hoe een zeldzaam ziektepatroon zich ontwikkelt of hoe patronen in genetisch materiaal zich ontwikkelen. Dan spreken we over DNA? Philippe De Backer: Als er vraag is naar meer gepersonaliseerde geneeskunde, dan heb je ook meer persoonlijke data nodig. Wel moeten dan de transparantie en toestemming naar de patiënt toe duidelijk afgebakend zijn zodat men enkel binnen dat kader werkt. De stap naar gepersonaliseerde geneeskunde biedt absoluut voordelen. Sommige geneeskundige therapieën werken slechts bij een deel van de bevolking, dat vraagt dat je ook bepaalde persoonlijke gegevens deelt in een context opdat je beter geholpen zou kunnen worden. Gaan zulke gegevens van bij de start geanonimiseerd zijn? Maggie De Block: Bij big data gaat het áltijd om geanonimiseerde gegevens. We hebben daar beveiligde databanken voor, bijvoorbeeld bij het Kankerinstituut. Daar komt alle info samen en die kan voor onderzoeksdoeleinden voor bepaalde zaken gebruikt worden, maar binnen een afgesproken kader. Wat als onderzoeksrechters morgen pleiten om die bewaarde medische gegevens te gebruiken om misdaden op te lossen? Philippe De Backer: Dat is volledig disproportioneel. We gaan geen data van 11 miljoen onschuldige mensen verzamelen om een paar schuldigen te vinden. Het argument zal zijn dat de data er toch al is. Philippe De Backer: Niet iedereen zit in die database, enkel mensen die bepaalde behandelingen volgen. Zal er nooit een database met gegevens over elke boreling komen? Philippe De Backer: No way.Maggie De Block: Dat heeft wetenschappelijk gezien geen enkele zin. Bovendien kan geen enkele rechter toegang forceren tot die databank in het kader van een onderzoek of om bewijslast te verzamelen. Heeft een patiënt ook het recht om te zeggen dat zijn of haar gegevens niet mogen gebruikt worden in het kader van big data? Maggie De Block: Voor big data mogen sowieso enkel afgeleide, geanonimiseerde gegevens gebruikt worden, op voorwaarde dat het sectoraal comité zijn akkoord heeft gegeven. Daarbovenop onderzoeken we of we een systeem kunnen opzetten waarbij een patiënt expliciet kan aangeven of zijn gegevens gebruikt mogen worden voor wetenschappelijk onderzoek of niet. Maar nogmaals: de voorwaarden zijn vandaag al zo streng dat misbruik bijna onmogelijk is. Trouwens, ik heb Johnson & Johnson bezocht, en die zijn helemaal niet geïnteresseerd in de gegevens van een klein ziekenhuis, laat staan van een individuele patiënt. Het gaat om gigantische databases om patronen te herkennen in functie van onderzoek naar pakweg Alzheimer of psychische stoornissen. Gelijk met de GDPR werd ook de Privacycommissie omgedoopt tot Gegevensbeschermingsautoriteit. Maar de vijf directeurs die dat orgaan leiden moeten nog benoemd worden. Philippe De Backer: De benoemingsprocedure loopt en de kandidaten zijn bezig met testen. Het parlement heeft gevraagd om die procedure zelf te doen en dat hebben we toegestaan. Ik heb gevraagd daar dringend werk van te maken. Maar de huidige Privacycommissie heeft dezelfde bevoegdheden. De Privacycommissie zelf heeft enkele keren aangegeven niet klaar te zijn voor de nieuwe wetgeving. Philippe De Backer: Daar ben ik het niet mee eens. We zijn wel klaar. Maar er zijn zaken zoals de sectorale overeenkomsten die de Privacycommissie sluit, die niet voor 25 mei konden gebeuren. Dat wil niet zeggen dat ze niet klaar zijn. Begin dit jaar zei de voorzitter nog aan onze redactie dat er weinig middelen zijn om alles naar behoren uit te voeren Philippe De Backer: Ze hebben intussen anderhalf miljoen euro extra gekregen van het parlement. Dat budget zullen we nu investeren in mensen en middelen om controles te doen. Die zestig mensen zijn op Europees en breder internationaal vlak enorm gerespecteerd, en dat moeten we ook ondersteunen. Nu is er vooral nood om te investeren in audit- en technische profielen, sensibilisering en informatieverstrekking. Iedereen wil in regel zijn met de GDPR, maar veel organisaties weten niet hoe ze dat moeten doen. Dat informatiegat moeten we invullen. De benoeming van de nieuwe autoriteit moet zo snel mogelijk gebeuren, maar 85 procent van de regelgeving is sowieso dezelfde. De Privacycommissie kan dus gerust in de eerste weken alvast waarnemen. Ik hoop alleszins dat het parlement, dat zelf heeft gevraagd om die verantwoordelijkheid, een tandje bijsteekt om de benoemingen zo snel mogelijk rond te krijgen. We staan nu aan het begin van de invoering van de GDPR. Verwachten jullie dat er binnen twee jaar inbreuken zijn vastgesteld en boetes zijn uitgeschreven? Philippe De Backer: Er gaan controles zijn, er zullen tekortkomingen worden vastgesteld en er zullen cases worden ontwikkeld en remediëringen worden opgelegd. En in sommige gevallen kan het dat er een boete volgt. Maar de GDPR dient natuurlijk niet om de koffers van de staat te vullen (lacht). Sowieso zijn we in België al een koploper op veel vlakken. Veel bedrijven zijn al de facto in orde, dus ik verwacht dat de afwijkingen erop minimaal zullen zijn. Maggie De Block: Het boetesysteem is niet bedoeld om er rijk van te worden. Het is een instrument om iedereen aan te zetten tot het correct gebruik van persoonsgegevens. De grotere pakkans dankzij meer controles is een hefboom om dit te bereiken. Hoe groot is die pakkans? Maggie De Block: "Je kan zelf klacht neerleggen bij misbruik. Er zullen dus ongetwijfeld klachten volgens van individuele burgers, van organisaties zoals Test-Aankoop die het systeem zullen testen, patiëntenorganisaties, maar ook van concurrenten die elkaar zullen aangeven als er iets niet klopt. Dat maakt van GDPR voor een stuk een label. Wie in orde is, krijgt extra vertrouwen van de burgers."