De waarde van data
In mei 2018 treedt de General Data Protection Regulation (GDPR) in werking. Een dataprotectie verordening, geldend voor de hele EU, die de individuele rechten van burgers beschermt en tegelijk een vrij en veilig dataverkeer garandeert. Op zich is de GDPR oké, vindt André Dekker, hoogleraar Clinical Data Science en werkzaam bij Maastro Clinic. Maar de verordening wordt ingewikkeld gevonden, waardoor uit behoudzucht niets mag. En de balans is doorgeslagen naar teveel privacybescherming, waardoor de waarde van de data uit het oog wordt verloren. 'We moeten oppassen dat we niet het kind met het badwater weggooien.'
André Dekker (1974) is professor Clinical Data Science at Maastricht University. His main research interest is the development of global data sharing infrastructures that are used to machine learn personalized models, that can predict cancer outcome after radiotherapy. Dekker is head of the Department of Research and Education of MAASTRO Clinic and leads the GROW-Maastricht University research division of MAASTRO Knowledge Engineering.
Gemiste kans
Er zit volgens Dekker een verkeerde filosofie achter de GDPR. “Het systeem van toestemming vragen aan de patiënt is opgezet om bij medische ingrepen fysieke schade te voorkomen of goed te verantwoorden als dit toch moet. Die eis is ook gaan gelden voor privacyrisico's. Dat is raar, want de kans op fysieke schade als gevolg van datalekken is minimaal. Dat is van een totaal andere orde dan bij een patiënt een handicap veroorzaken.” De balans is doorgeslagen naar teveel privacybescherming, waardoor de waarde van data uit het oog is verloren. “Dit leidt ertoe dat ziekenhuizen op slot gaan en we niet van elkaar kunnen leren welke behandeling het beste werkt. Het gaat uiteindelijk ten koste van wetenschap, zorg en maatschappij. Is het die prijs waard?”
Dekker vindt de GDPR een gemiste kans. Liever ziet hij een wet die zich niet focust op de controle van data, maar aangeeft wat je wél mag doen. Waarom krijgt een KWF-onderzoeker wel de gevraagde data en een zorgverzekeraar om fraudeurs op te sporen niet? “Dat is een ethische vraag die belangrijker is dan de controle op de data. Hoe krijg je een systeem waarin je deze afweging goed kunt maken? Dat vind ik een veel bredere basis van wetgeving dan wat we nu hebben.”
Onderzoekstrein
Om het probleem van de onbereikbaarheid van data op te lossen heeft Dekker een ander concept van data-uitwisseling bedacht: de Personal Health Train (PHT). In plaats van dat de data naar het onderzoek worden gebracht, gaat het onderzoek naar de databezitter. Dit onder het motto: Als de berg niet naar Mohammed wil komen, dan moet Mohammed naar de berg. Een arts of onderzoeker laat een onderzoeksvraag langs diverse datastations (ziekenhuizen bijvoorbeeld) 'reizen' en haalt zo, in een gecodeerde vorm, de antwoorden op. Wat zijn bijvoorbeeld de voorspellers van longkankeruitkomsten? Na zijn rondreis komt het treintje terug met een antwoord: leeftijd x geslacht + 3 x de grootte van de tumor - twee x een bepaald gen. Dekker: “Zo leren we van andermans data zonder deze data te verplaatsen.”
Grote winst van de PHT is bovendien dat er helemaal geen privacyprobleem is. Omdat er geen data het ziekenhuis verlaten bestaat er geen risico op privacybreuk. Dekker verwacht dan ook niet dat de nieuwe verordening obstakels opwerpt. Integendeel, de GDPR biedt juist kansen om veel meer onderzoekstreinen te laten rijden. “Dat zien we nu al gebeuren in Nederland. En dat we hier hierin vooroplopen is helemaal een win-winsituatie. We laten Europa zien dat dit de juiste methodiek is en zijn wat dit betreft een gidsland.”
Door: Hans van Vinkeveen (text), Ted Struwer (illustrations)