Bvas Brussel organiseerde onlangs een conferentie over privacy en innovatie in gezondheidsgegevens. De sprekers benadrukten de sterktes en zwaktes van ons land.
De oprichting van grote nationale en transnationale gezondheidsdatabanken biedt enorme mogelijkheden voor onderzoek en beheer van de volksgezondheid. Maar zijn burgers klaar om hun eigen gegevens toe te vertrouwen aan deze indrukwekkende innovatie? Het antwoord kan positief zijn als vertrouwen en transparantie gewaarborgd zijn. De uitdaging is groot, omdat er zoveel aanbieders en gebruikers van informatie zijn. “De rol van de Belgium Health Data Authority bestaat erin belanghebbenden die gezondheidssystemen beheren ertoe aan te zetten hun gegevens te delen”, legde Hans Constandt, Programme Manager van de Health Data Authority (HDA) uit. Een andere taak van de HDA is om die gegevens bruikbaar en toegankelijk te maken. Ten slotte moet ze diezelfde partijen stimuleren om de beschikbare gegevens te gebruiken, of hen zelfs helpen om ze te gebruiken.
Onderbenutte gegevens
Frank Robben betreurde dat “er veel gegevens beschikbaar zijn, maar dat er weinig mee wordt gedaan”. Hij sprak namens Thibaut Duvillier, adjunct-directeur-generaal van eHealth, die verhinderd was. De rol van het eHealth-platform, legde Frank Robben uit, is toch het beveiligen en toegankelijk maken van gezondheidsgegevens. Een van de belangrijkste handelingen die eHealth in dat verband verricht is anonimisering of pseudonimisering. In het eerste geval wordt elk identificatiekenmerk uit de gegevensverzameling verwijderd, zonder enige mogelijke terugkoppeling. In het geval van kleine groepen (‘kleine cellen’), waar omwille van het beperkt aantal personen in de groep toch een mogelijkheid tot identificatie bestaat, wordt een analyse van dat risico uitgevoerd. Indien nodig worden aanvullende beschermingsmaatregelen genomen.
Bij pseudonimisering wordt een kenmerk (bv. het rijksregisternummer) in het gegevensrecord vervangen door een ander (bv. een willekeurig cijfer). Bij die aanpak is het ook mogelijk om de gegevens te coderen voordat ze aan gebruikers ter beschikking worden gesteld. Natuurlijke personen kunnen dus altijd indirect worden geïdentificeerd. Voor het gebruik van gezondheidsgegevens in longitudinale studies is pseudonimisering nodig in plaats van anonimisering.
De rol van het Informatieveiligheidscomité (IVC)
Frank Robben lichtte de rol van het Informatiebeveiligingscomité (IVC) toe. “Een instrument waar veel landen ons om benijden”, voegde hij eraan toe. Het is het IVC dat beraadslaagt over de gegrondheid van een aanvraag, zowel op regelgevend vlak (AVG en andere wetsbepalingen) als op wetenschappelijk niveau. Laten we duidelijk zijn: het IVC is geen toezichthoudend orgaan. Maar het moet zich ervan vergewissen dat de gegevensbewaarder de gegevens op legitieme wijze heeft verkregen. Het moet ook de gegrondheid van de opzet van de aanvrager nagaan alvorens machtiging te verlenen voor de overdracht van de gegevens. “Dit is niet iets dat aan juristen en IT-specialisten kan worden overgelaten”, zei Robben. “Alleen gezondheidswerkers kunnen het wetenschappelijk belang van het project van de aanvrager beoordelen. Het is logisch dat zij in het IVC vertegenwoordigd zijn”.
Dominante stemmen
Damien Bertrand, Business Development Officer bij DNAlytics, kaartte de zwaktes aan. Hij benadrukte het belang van het delen van gezondheidsgegevens voor de economie, de volksgezondheid en het wetenschappelijk onderzoek. Vervolgens wees hij echter op het onvoldoende regelgevend kader in België: wie kan of mag wat doen? En waarvoor? “We moeten aan de slag gaan want andere landen staan op dit punt verder en hebben de neiging een dominante positie in te nemen bij de uitwerking van regels op Europees niveau”, betreurde hij.