In Israël gebeurt ‘het’. In een ongekend tempo worden burgers gevaccineerd tegen het coronavirus en farmaciebedrijf Pfizer, leverancier van het Pfizer-BioNTech-vaccin, zit op de eerste rij voor ontvangst van alle data. Zo op het oog lijkt het een gelukkig huwelijk als we de Israëlische ambassadeur in Nederland, Naor Gilon, beluisteren. Gilon zei onlangs tegen het AD: ‘Wij hebben Pfizer ervan weten te overtuigen dat we een geweldige proeftuin zijn voor hun vaccin. We geven hen alle data over wat er met mensen gebeurt na vaccinatie.’
Jan Willem de Heer, woordvoerder van Pfizer Nederland, bevestigt dat Pfizer de ‘geanonimiseerde geaggregeerde surveillancegegevens’ van het Israëlische ministerie van Volksgezondheid ontvangt. Dat betekent niet dat Pfizer toegang heeft tot naar individuen herleidbare data, stelt De Heer. Het gaat onder meer om de datum waarop eventuele symptomen optraden, de vaccinatiegeschiedenis en data uit de Nationale Medische Gegevensbank. Zo wil Pfizer inzicht krijgen in het effect van zijn vaccin op de gezondheid van in Israël ingeënte burgers tussen 17 januari en 6 maart 2021. Het begin van de analyseperiode komt overeen met zeven dagen nadat mensen hun tweede dosis van het vaccin hebben gehad.
Er is een harde strijd gaande over wie onze medische data mag beheren. Grote tech- en farmaciebedrijven als Pfizer, Roche, Oracle, IBM en Salesforce zouden dat maar wat graag doen. En dat gaat verder dan alleen vaccinatiedata. Zo meet verzekeraar a.s.r. hoe veel en vaak klanten bewegen door een veelgebruikte fitness-app te koppelen aan de eigen Vitality-app. Philips ontwikkelt een dataplatform voor het behandelen van patiënten met chronisch hartfalen en combineert medische gegevens met apparaatmetingen en feedback van de patiënt thuis. Het Engelse GaitQ, een spin-off van Oxford University, ontwikkelt een fitbit voor om de enkel, om data binnen te halen van tien miljoen Parkinson-patiënten wereldwijd. Allemaal hoogtechnologische en gezondheidsbevorderende tools. Maar als er één domein is waar onze privacy van het grootste belang is, dan is het wel ons medisch dossier. Brengt de bemoeienis van de grote techbedrijven onze grondrechten in het geding?
Beheer mag niks kosten
Pfizer gelooft in het delen van de gegevens van klinische trials met alle deelnemers in een studie. Woordvoerder De Heer: ‘Onderzoekers, deelnemers, regelgevende instanties en andere partijen die handelen in het belang van patiënten, moeten toegang hebben tot die informatie. Ook patiënten willen goed geïnformeerd worden over het onderzoek en de resultaten. Denk bijvoorbeeld aan weefsel dat voor medisch onderzoek wordt verwijderd. Of aan bijwerkingen van een geneesmiddel. Daarbij is het belangrijk dat hun privacy wordt beschermd, de autoriteit van toezichthouders behouden blijft en stimulansen voor nieuw onderzoek worden gehandhaafd.’
Dat klinkt plausibel. Maar Pfizer is een commerciële partij met winstoogmerk. Het is de vraag of winst maken altijd het belang van patiënten dient. Pfizer verdient geld met vaccins. Stel dat een patiënt meer opschiet met een gezonde leefstijl, dan lijkt dat niet direct in het belang van Pfizer. Om die reden lijken overheden meer geschikt om het beheer op zich te nemen. ‘Maar die hebben een ander probleem’, zegt data-professional Marcel van der Kuil, voorvechter van quantified self, een wereldwijde community die experimenten uitvoert om zelfkennis op te bouwen door persoonlijke data beter te benutten. Van der Kuil: ‘Beheer gaat over veilig, efficiënt en kosteneffectief verzamelen, bewaren en gebruiken van data. Overheden kunnen die taak vaak niet aan want beheer mag niks kosten en er worden fouten gemaakt. Het datalek bij de GGD is daar een voorbeeld van. Gezondheidsgegevens, contactgegevens en het burger-servicenummer van miljoenen Nederlanders lekten uit en konden illegaal verhandeld worden. Overheden, maar ook zorginstellingen, missen kennis en ervaring, tijd en geld om het beheer goed te implementeren: afspraken maken met alle partijen en risico’s en verantwoordelijkheden duidelijk benoemen.’
Slecht beheer houdt volgens Van der Kuil in dat data ligt opgeslagen op een plek die niemand zich nog herinnert. ‘Het zwerft ergens rond in folders op het netwerk en er zijn geen afspraken gemaakt over de zoek- en vind-structuur.’ Alleen met adequaat beheer, in lijn met wettelijke regels zoals de AVG, kan data goed worden uitgewisseld en extra waarde krijgen. Er ontstaan nieuwe ideeën en inzichten. Een goed voorbeeld is de app IRMA, een digitaal paspoort op je eigen mobiel. Persoonsgegevens staan alleen in de IRMA-app en zijn beschermd met een PIN. Je laat alleen die gegevens van jezelf zien die in een bepaalde situatie relevant en nodig zijn.
Met name de mix van open data en gesloten data bezorgt organisaties hoofdpijn. Open data is vrij te bekijken en te gebruiken. Meestal is die verzameld voor of door overheidsinstanties, gemeenten, provincies, het Rijk, de EU of overheden van andere landen. Ook organisaties die worden gefinancierd uit publieke middelen, stellen hun data vaak beschikbaar. Denk aan woningcorporaties, ziekenhuizen, hogescholen en universiteiten. Gesloten data, bijvoorbeeld van onderzoeksbureau’s of social media, mag vanwege veiligheid en privacy juist niet worden gedeeld. Zowel open als gesloten data moeten volgens Van der Kuil beter beschikbaar komen, en worden gecombineerd. Voor snellere communicatie en snellere besluitvorming.
Blockchain voor vaccinatiedata
De deelnemers moeten de spelregels bepalen, vindt Van der Kuil. Dat principe kan wellicht ook toegepast worden op beheer van de vaccinatiedata. Zo zouden gevaccineerden, (nog) niet-gevaccineerden, medisch specialisten en overheden met elkaar af moeten spreken welke data wordt beheerd en gedeeld, voor welk doel, wat ermee mag worden gedaan en hoe deelnemers moeten worden geïnformeerd.
In Nederland is het beheer van vaccinatiedata momenteel echter verdeeld over de GGD, huisartsen en ziekenhuizen. Volgens Van der Kuil moet de burger in elk geval een flinke vinger in de pap hebben als het gaat om persoonlijke informatie rond dna (maar ook vingerafdrukken en irisscans). Dat zijn bijzondere persoonsgegevens en die zijn door de wetgever extra beschermd. Een door burgers beheerd eco-systeem zou een goed idee zijn, stelt Van der Kuil. Een blockchain kan geschikt zijn om gegevens vast te leggen. Een blockchain geeft altijd realtime antwoord op de vraag: Ben je gevaccineerd? Van der Kuil: ‘Als de burger zelf kan beslissen wie zoiets mag weten en wanneer, dan helpt dat enorm, bijvoorbeeld in het kader van data-minimalisatie. Je gebruikt niet meer data dan nodig is om het doel te bereiken. Gevaccineerd of niet? Als er dan toch nog een datalek is, dan ligt er niets of bijna niets op straat.’
Wim de Ridder, voormalig hoogleraar aan de Universiteit Twente en nu werkzaam voor onderzoeksbureau Future Studies, plaatst het beheer van medische data in een breder perspectief. Een grote, wereldwijde trend is ‘gepersonaliseerde zorg’, stelt hij: ‘Daarvoor heb je menselijk dna nodig en dat is de duurste data van dit moment. Alle grote partijen hebben daar belangstelling voor. En allemaal zogenaamd met goede bedoelingen.’ De Ridder vindt dat betrouwbare eco-systemen het beste beheerd kunnen worden door maatschappelijke coöperaties zonder winstoogmerk. Een mooi voorbeeld is Het Nationaal Zorgplatform (zie kader). De coöperatie is de baas en bepaalt wat de doelstelling is en wie mag meedoen. Daarbij moet wel rekening worden gehouden met het feit dat Nederland een klein land is en geen sterke ‘datavuist’ kan maken naar het buitenland, naar machtige partijen als Amazon, Facebook, Apple, Google en Alibaba.
De Ridder vindt niet dat big tech en big farma de ruimte moeten krijgen om het beheer van vaccinatiedata naar zich toe te trekken: ‘Tenzij zij zich volledig committeren aan het doel en alles staven met het patiëntenbelang. De vraag is of ze dat willen. Ik was bijvoorbeeld in gesprek met farmaciebedrijf Roche over onze ideeën. Zij hadden geen belangstelling, ze wilden alle data voor zichzelf houden.’
Leids Universitair Medisch Centrum
Ondertussen werken start-ups aan compleet andere methodes om data te beheren. Met de app Schluss wordt het individu weer volledig de baas over de eigen data zoals gezondheidsgegevens. Het beheer is gewaarborgd in de techniek en met een coöperatie zonder winstoogmerk. Oprichter Marie-José Hoefmans wil de regie op deze manier weer volledig bij het individu leggen.
Hoefmans: ‘De zeggenschap ligt met Schluss volledig bij het individu. Dat geldt ook voor vaccinatiedata. Onze methode is waterdicht. Schluss werkt met persoonlijke kluisjes die gedistribueerde versleutelde dataopslag faciliteren. De data wordt versnipperd en elk versnipperd stukje wordt versleuteld. Daarna worden die versnipperde, versleutelde stukjes data over het internet verspreid. Alleen jij hebt de sleutel om de stukjes weer bij elkaar te brengen. Ook wij kunnen er niet meer bij.’
Met Schluss bepaal je zelf aan wie je je gegevens ter inzage geeft, voor welk doel en voor welke periode. De toestemming voor inzage kun je intrekken of uitbreiden. Gebruik van de inzage wordt vastgelegd in een logboek. Hoefmans: ‘De data blijft in jouw kluis staan. Een partij kan toegang tot (een deel) van jouw data vragen voor een doel en voor een periode. Als jij die toegang voor dat doel verleent, wordt dat in jouw kluis vastgelegd. En er wordt ook bijgehouden of en wanneer die inzage gebruikt wordt. Bij het Leids Universitair Medisch Centrum (LUMC) loopt een test voor de opslag van dna met Schluss. Enorm complexe materie, die we platslaan met zelfbeheer. Gemakkelijk en veilig. Met onze app hadden de problemen bij de GGD nooit kunnen gebeuren.’
Analyse Israël
Terug naar Pfizer, dat grote plannen heeft met het delen (en beheren) van kennis en data. Voor het Elektronisch Patiënten Dossier (EPD) heeft Pfizer geen belangstelling volgens Jan Willem de Heer, maar voor datagedreven gezondheidszorg des te meer. Dat zal de kwaliteit van patiëntenzorg verder verbeteren. Dat klinkt plausibel. Toch is er veel kritiek in de samenleving op de groeiende macht van big tech en big farma. Ze zouden zich verre moeten houden van publieke functies omdat hun belangen slechts deels overeenkomen met de belangen van gezonde burgers. Woordvoerder De Heer stelt echter dat Pfizer zich inzet voor ‘verantwoordelijk en transparant’ gebruik van persoonsgegevens, aan het bedrijf toevertrouwd door patiënten, klanten en medewerkers. Pfizer stelt in het openbaar data te delen ‘ongeacht of die resultaten neutraal, negatief of positief zijn’.
In Israël is Pfizer al een eindje op weg. De Heer: ‘De meest recente analyse toont aan dat twee weken na de tweede vaccindosis de bescherming tegen het coronavirus nog sterker is. De effectiviteit van ons vaccin was ten minste 97 procent bij het voorkomen van symptomatische ziekte, ernstige ziekte en overlijden. Dit uitgebreide bewijs uit de praktijk in Israël kan van belang zijn voor landen over de hele wereld wanneer zij hun eigen vaccinatiecampagnes voortzetten.’
Wim de Ridder vraagt zich af of de gegevens van Pfizer inderdaad geanonimiseerd zijn. Dat is van eminent belang voor de deelnemers. Om die reden is cruciaal in de hele discussie wat het doel is van de organisatie die de data beheert. Wil een ICT-bedrijf klanten helpen? Data verzamelen? Computers verkopen? Wil een farmaceutisch bedrijf vaccins verkopen? Mensen gezond oud laten worden? In dat laatste geval moet er ook aandacht zijn voor preventie, vroege signalering, een gezonde leefstijl en (in het geval van corona) toediening van extra vitamine D voor meer weerstand, een oplossing waar honderden artsen wereldwijd zich hard voor maken. Het lijkt niet waarschijnlijk dat een farmaceutisch bedrijf daarvoor gaat strijden, waarschuwt De Ridder: ‘Met winstmaximalisatie als doel, zit je bijna altijd fout.’
