In aanloop naar de Masterclass Artificial Intelligence in Healthcare spreken we met één van de gastsprekers: advocate Magali Feys is oprichter van het advocatenkantoor AContrario en is gespecialiseerd in de complexe aspecten van informatietechnologie, gegevensbescherming en intellectueel eigendom. Als voorproefje van haar presentatie tijdens de Masterclass gaat ze alvast dieper in op de huidige ontwikkelingen op het gebied van gegevensbescherming.
De Amerikaanse videokunstenaar Richard Serra zei ooit: "It’s the consumer who is consumed. They are the product." Vrij vertaald naar onze informatie-maatschappij anno 2022: als een product of dienst gratis is, dan ben je zelf vaak het product. Denk aan de gratis apps die waardevolle data vergaren en waar bedrijven hun verdienmodel op baseren. Via gratis diensten van Facebook/Meta en Google worden complete profielen gemaakt en verkocht aan bijvoorbeeld adverteerders of andere geïnteresseerden.
"Wees transparant wat je met data gaat doen en hoelang data wordt opgeslagen"
Technologie-advocate Magali Feys sprak een aantal jaar geleden bij het Belgische televisieprogramma Terzake over het schandaal rond de virtuele assistent van Google. De VRT ontdekte dat medewerkers van Google naar opnames luisterden van Google Home en smartphone gebruikers. Magali Feys: "Google ontwikkelde een algoritme dat getraind moest worden om de Nederlandse taal te verfijnen. De GDPR (Algemene Verordening Gegevensbescherming) zegt dat de consument er redelijkerwijs vanuit moet gaan dat Google jouw data gebruikt om hun diensten te verbeteren. Het probleem was dat de virtuele assistent bleef opnemen nadat het spraakbevel, bijvoorbeeld 'hoe laat is het’, was gegeven. Een algoritme voor een bevel is niet hetzelfde als een algoritme dat hele gesprekken opvangt. Google wilde de callcenters voeden en verbeteren, op basis van de data uit de virtuele assistent. Daar hadden ze wel toestemming voor moeten vragen en hieromtrent transparant moeten communiceren."
Delen mag, maar wel volgens de richtlijnen
Volgens de Belgische advocate is het niet erg als bedrijven – of dat nu Google of start-ups zijn - persoonlijke data vergaren, zolang de gebruiker maar volledig op de hoogte is en akkoord gaat. "We weten dat dezelfde zoekopdrachten in Google bij verschillende mensen andere resultaten gaven, op basis van de profielen van gebruikers. Bijvoorbeeld twee verschillende aanbiedingen van vliegreizen. Dan gaat het fout."
"Het delen van data is geen issue. De GDPR zegt ook niet dat delen van data niet kan, maar je moet wel een aantal ethische en juridische principes vanuit de GDPR toepassen. Zoals de transparantie wat je met de data gaat doen en hoelang je het opslaat. We zien vaak dat deze randvoorwaarden missen. En sommigen hebben niet altijd de beste bedoelingen. Denk aan het schandaal met Facebook en Cambridge Analytica", aldus Feys.
Databescherming in de medische wereld
Databescherming speelt een steeds grotere rol nu de grens tussen de consument en de patiënt steeds meer vervaagt. Gezondheid en lifestyle zijn hot. Bedrijven als Apple, Google en Samsung bieden gezondheidsdiensten en -gadgets waarmee consumenten zelf hun gezondheid in de gaten houden. De interesse van de medische wereld is ook gewekt. Die werken steeds vaker samen met commerciële bedrijven, om gezondheidsdata te verzamelen en om gebruik te maken van bijvoorbeeld clouddiensten voor de opslag van patiëntendata.
Europese en nationale wettelijke kaders stellen dat ziekenhuizen en zorginstellingen niet zomaar gevoelige data mogen delen, al dan niet zonder toestemming. Sterker nog: er is juist vaak sprake van terughoudendheid in het delen van data. Aan Feys dan ook de vraag of het gebrek aan uitwisseling niet leidt tot een rem op innovatie en onderzoek.
Feys: "Ik snap dat ziekenhuizen medische data niet zomaar willen delen en dat ze bezwaren hebben op het gebied van privacy en ethiek. Desalniettemin merk ik dat dit te vaak als excuus wordt gebruikt om data niet te delen. Ik geloof dat er wel degelijk manieren zijn om data te delen zonder ethische, juridische of privacy bezwaren. Het gaat dan om secundair gebruik van data. Primaire data is voor de behandeling van de patiënt of voor een onderzoek waarvoor de data is opgehaald. Toch zien we dat dit niet gebeurt, omdat organisaties de technische implementatie of technische vertaalslag van de principes niet (juist) hebben gedaan of hierin niet hebben willen of kunnen investeren. In een ideale wereld zou men data beveiligd moeten bijhouden en dit per use case pseudonimiseren. De identiteit van de informatie-waarde dient gescheiden te worden. Vervolgens kan dit worden gedeeld met derden die, als er voldoende technische waarborgen zijn ingebouwd, aan de slag gaan met geanonimiseerde data dat waardevol is voor diens doeleinden."
Pseudonimiseren
De zorgorganisaties die wel data extern delen doen dit niet altijd op de juiste manier, ziet Feys in haar praktijk: "Wat er nu gebeurt is dat een ziekenhuis zegt dat de data gepseudonimiseerd is als ze de namen en leeftijd weghalen in de patiëntendata: ze maskeren vaak enkele van de directe identificerende kenmerken. Maar daar wringt de schoen, want op basis van andere (indirecte) kenmerken kan een patiënt alsnog worden geïdentificeerd."
"In het verleden is dit vaak fout gegaan. De stelling is vaak dat pseudonimisering niet werkt, maar dat klopt niet. Datasets worden te makkelijk opgebouwd. Bijvoorbeeld door een naam van de patiënt te veranderen in X1. Maar vervolgens kan er makkelijk naar kenmerken van X1 worden gezocht om toch achter de identiteit te komen", aldus Feys.
De advocate gelooft sterk in het pseudonimiseren van data, conform de standaard die in de GDPR is gedefinieerd. Dus het technisch opsplitsen van de identiteit van de betrokkene en de informatiewaarde. Het gaat om data die per user case wordt vergaard en die nodig is om een bepaald doel te bereiken. Als die data vervolgens wordt doorgestuurd, dan is dat geen probleem volgens Feys, want men kan niet achter de identiteit komen.
"Neem een cliënt van Acontrario die software voor natuurlijke taalverwerking (NLP) ontwikkelde. NLP is dezelfde AI-technologie zoals Google voor de virtuele spraakassistent inzet. Onze cliënt had al vanuit de basis algoritmes geïmplementeerd om stukjes gesproken opnames te selecteren, in plaats van hele conversaties. Deze stukjes zijn te klein om iemand te identificeren, maar wel nuttig om het algoritme te trainen. Op die manier ga je dus pseudonimiseren in lijn met de GDPR. Dan kan je veel met de data gaan doen. Dat zegt de GDPR ook. Het informeren hoeft niet meer (maar kan mogelijk wel nog wenselijk zijn), want het is in feite geen persoonlijke data meer. In het voorbeeld van het schandaal rond de virtuele assistent van Google was dit de oplossing geweest."
Data protection by design
De cliënt van Magali Feys maakte gebruik van een strategie gebaseerd op data protection by design. Data wordt gestructureerd, gelabeld en gepseudonimiseerd. Zo wordt de privacy gewaarborgd. Dit is volgens haar ook de manier waarop in de gezondheidszorg gewerkt moet worden. Als ziekenhuizen een data governance model toepassen, dan voldoen ze aan de GDPR richtlijnen en kunnen ze veel meer uit hun data halen.
"Een groot techbedrijf heeft veel meer werk om compliant te worden dan een startup"
Feys stelt dat met name startups profijt hebben van een model gebaseerd op data protection by design. "Een groot techbedrijf heeft veel meer werk om compliant te worden dan een startup. Een klein bedrijf kan dit nog tijdens de ontwikkelfase meenemen."
"Sterker nog, ik denk dat startups een enorm voordeel hebben wanneer data protection by design echt een strategie is. Via incubatoren wordt daar veel aandacht aan gegeven. Het is een unique selling point, omdat de startup tegen de sector kan zeggen wat ze aan gegevensbescherming hebben gedaan en dat niemand zich zorgen hoeft te maken. De trend is dat nu ook grotere organisaties als ziekenhuizen al snel met vragen rondom GDPR komen. Die zien ook dit voordeel."
Vertrouwen is essentieel
En in hoeverre is het compliant zijn met wettelijke kaders zoals de GDPR door zorgorganisaties goed te controleren? Feys: "Het is niet makkelijk om de GDPR bij elke organisatie te controleren. Daar is mankracht voor nodig. We merken wel dat als een paar organisaties op de vingers worden getikt, dat anderen daar gevoelig voor zijn en bewuster omgaan met de GDPR.”
Het gaat volgens Feys niet alleen om de wijze waarop een organisatie data deelt met externen, maar ook om de relatie met consumenten of patiënten. "Vertrouwen in de digitale wereld is belangrijk. We willen niet dat onze persoonlijke data wordt misbruikt. Als je een marketing email ontvangt, dan ligt niemand daar wakker van. Maar er zijn ook situaties die veel meer impact hebben. Ik heb ooit met mensen van een bank gezeten en die zeiden dat ze de data van klanten wilden verzamelen om zo meer invloed uit te oefenen op het betalingsverkeer. Bijvoorbeeld wanneer je als consument in een winkel wilt betalen en de bank laat weten dat die aankoop eigenlijk niet verantwoord is, op basis van het historische uitgavepatroon. Dat zou een enorme breuk betekenen in het vertrouwen van klanten."
Magali Feys is een van de gastsprekers tijdens de Masterclass Artificial Intelligence in Healthcare op 19 & 20 juni. Tijdens deze masterclass (Engelstalig) ontdekt u welke kansen en mogelijkheden AI biedt voor uw zorgorganisatie, en krijgt u inzicht in de succesfactoren en valkuilen van de implementatie van AI.
Plaats een Reactie
Meepraten?Draag gerust bij!