Big data heeft de manier veranderd waarop we gegevens beheren, analyseren en gebruiken. In de gezondheidssector kennen we sinds enkele jaren toepassingen zoals gezondheidsapps, stappentellers en andere wearables. Ze meten ons leven, stimuleren initiatief tot een gezonde levenswijze en waarschuwen ons voor gezondheidsproblemen. Big data presteert daarnaast ook goed in de gezondheidszorg. Data van ziekenhuizen, huisartsen, medische labo’s, maar ook van patiënten zelf, kunnen bijdragen tot gepersonaliseerde verzorging en betere preventie van gezondheidsproblemen. Maar om welke gegevens gaat het dan precies? Heeft het echt zo veel potentieel? En wat met privacy?
Mijn gegevens? Nuttig?
Je hebt het misschien al meegemaakt: je wordt door je huisdokter doorgestuurd naar een specialist, moet eerst nog een scan laten maken, je hebt een voorgeschiedenis van een allergie die is vastgesteld door een arts in het buitenland, je nieuwe kinesist weet niets van je revalidatie van 5 jaar geleden bij je inmiddels gepensioneerde fysio, en enkel je vorige huisarts kent de ziektebeelden van je ouders. Via klinische data (patiëntendossiers) en whereabouts (je ‘afgelegde parcours’) zouden deze data gebundeld kunnen worden, en zou de zorg bijgevolg kunnen verbeteren en efficiënter worden. Administratieve gegevens van patiënten alsook van zorgverstrekkers kunnen allemaal belangrijk zijn. Door verbeterde toegang tot data van patiënten, kan men verbanden van patronen en trends ontdekken, wat kan leiden tot lagere behandelingskosten en vermijding van symptomen of zelfs ziektes. Dankzij datasets kunnen apparaten bijvoorbeeld beroertes voorspellen of hartscans nauwkeuriger analyseren dan een dokter ooit zou kunnen. Kortom: de verwerking van big data binnen de zorgsector kan de algemene levenskwaliteit verhogen.
Dokters of verwerkers?
Het uitwisselen van medische gegevens tussen zorgverleners onderling of tussen patiënt en zorgverlener ligt aan de basis van heel wat nieuwe toepassingsmogelijkheden. Tegelijkertijd moeten er voldoende waarborgen blijven bestaan op vlak van informatieveiligheid, bescherming van de persoonlijke levenssfeer en het beroepsgeheim. Komt onze privacy dan niet in het gedrang naarmate meer en meer data wordt verzameld, verwerkt en gebruikt?
Vooraleer een ziekenhuis een verwerkingsactiviteit uitvoert, moet de rechtmatigheid hiervan worden nagegaan. Algemeen erkent de GDPR zes juridische grondslagen (niet-cumulatief) waarop een verwerking van persoonsgegevens kan steunen, zoals vermeld in artikel 6, eerste lid GDPR: toestemming van de betrokkene; de noodzaak voor de uitvoering van een overeenkomst; een wettelijke verplichting; de bescherming van vitale belangen; de vervulling van een taak van algemeen belang; en de behartiging van de ‘gerechtvaardigde belangen van de verwerkingsverantwoordelijke’.
Bovenop bovenstaande wettelijke grondslagen, is nog een extra juridische grondslag vereist voor het verwerken van gevoelige gegevens, zoals gezondheidsgegevens. In de gezondheidszorg gaat het namelijk om zeer vertrouwelijke en gevoelige informatie.
De verwerking van gevoelige gegevens wordt in principe verboden door artikel 9 GDPR. Hieronder vallen ook genetische gegevens, biometrische gegevens, gegevens betreffende seksueel gedrag en/of voorkeur en gegevens over gezondheid. De GDPR laat enkel in uitzonderlijke gevallen de verwerking van deze gegevens toe, namelijk indien één van de verwerkingsgronden uit het tweede lid van artikel 9 aanwezig zijn, zoals (onder andere) wanneer uitdrukkelijke toestemming werd bekomen, de verwerking noodzakelijk is omwille van verplichtingen en/of rechten uit het arbeidsrecht of het sociale zekerheidsrecht, redenen van algemeen belang op het gebied van de volksgezondheid, vitale belangen op het spel staan, de informatie door de betrokkene zelf openbaar werd gemaakt of wanneer de verwerking noodzakelijk is voor doeleinden van preventieve of (arbeids)geneeskundige aard.
Wanneer we dit toepassen op de gezondheidszorg, dan stellen we vast dat hier dagelijks gezondheidsgegevens worden verwerkt. Voor elk van deze verwerkingsactiviteiten zijn dan ook twee verwerkingsgronden nodig: in het algemeen één uit artikel 6 en in het bijzonder één uit artikel 9 GDPR.
Wetenschappelijk onderzoek
Wanneer men een stap verder gaat en deze gezondheidsgegevens wil (her)gebruiken voor wetenschappelijk onderzoek (om bijvoorbeeld patronen te ontdekken), wordt de situatie ingewikkelder.
Om te beginnen is gegevensoverdracht tussen de bronnen van de data, het onderzoeksplatform en de onderzoekers niet altijd nodig. Stel je bijvoorbeeld voor dat databronnen alleen moeten toestaan dat er big data-analyses worden uitgevoerd binnen hun systemen en dat hier enkel algemene conclusies worden uitgehaald: dan is er geen overdracht van persoonsgegevens en is de GDPR niet van toepassing.
De GDPR is echter wél van toepassing op de verwerkingsverantwoordelijke, om een analyse te maken van de gegevens die hijzelf beheert. Omdat de GDPR het beginsel van doelbinding hanteert, wil dit zeggen dat aan een patiënt moet uitgelegd worden voor welke specifieke doeleinden zijn/haar gegevens worden verzameld. En dan is een ‘hergebruik’ van patiëntengegevens voor wetenschappelijk onderzoek zeker niet het initiële doeleinde waarvoor de patiënt toestemming had gegeven. Wetenschappelijk onderzoek vormt echter een uitzondering op dit beginsel van doelbinding.
In de situatie dat er wél persoonsgegevens worden overgedragen, moeten alle nodige maatregelen worden genomen om de gegevens maximaal te beveiligen en de identificatie van patiënten te vermijden. Dit kan via anonimisering (de gegevens verliezen hun statuut van persoonsgegeven) of pseudonimisering (via een ‘derde vertrouwenspersoon’).
Wanneer de gegevens van de patiënt worden gebruikt om onderzoek te verrichten in het algemeen belang en alle ‘passende waarborgen’ voor veilig en onherkenbaar hergebruik daarbij in acht worden genomen, is het hergebruik van die gegevens mogelijk zonder de toestemming van de patiënt in kwestie. Zonder deze bijzondere uitzondering van algemeen belang, behoudt de patiënt zijn recht van bezwaar tegen de herwerking van zijn gegevens.
Conclusie
De Covid-19 pandemie heeft ondanks de bewonderenswaardige inspanningen van de Belgische zorgverleners duidelijke pijnpunten blootgelegd in de zorgsector. Naast nog andere ingrepen, kan het gebruik van big data echter op revolutionaire wijze de goede werking van de zorgsector in de hand werken, én daarbij de levenskwaliteit van mensen verhogen.
Waar we vaststellen dat de medische sector verschillende gronden kan inroepen voor de verwerking van persoonsgegevens, lijkt de GDPR in deze situaties alvast een zeer nauwkeurig en relevant kader te bieden dat de verschillende belangen op een evenwichtige wijze verzoent.
Meer weten over big data en gezondheidszorg, twijfel niet om ons te contacteren op hallo@dejuristen.be.
Geschreven door Emiel Koonen, Legal Adviser deJuristen, en Kris Seyen, Partner deJuristen