Big data in de zorgsector
Auteur: Dimitri van Hoewijk en Elisabeth Thole | Beeld: Yvonne Kroese | 15-12-2020
De zorg en de sector life sciences zijn van oudsher data-intensieve sectoren. Patiëntendossiers, resultaten van klinische onderzoeken – alles wordt geregistreerd in databanken. Dit maakt de medische sector interessant voor de toepassing van nieuwe technologieën. Big data-analyses zijn veelbelovend voor het verbeteren van de patiëntenzorg. Tegelijkertijd maakt het groeiend aantal big datatoepassingen dat zorgbestuurders rekening moeten houden met alle juridische uitdagingen die daarmee gepaard gaan. Hoe kunnen zorgbestuurders ervoor zorgen dat zij desondanks de meerwaarde halen uit de big data, zonder dat bijvoorbeeld privacy daarbij een belemmering vormt? Daarover gaat dit essay.
Kostenbesparingen en meer efficiency
De digitale transformatie in de medische wereld kent vele vormen. Vaak begint het met de digitalisering van patiëntendossiers. Patiëntgegevens vormen de bulk van de data in de zorg. Door middel van digitalisering worden deze data toegankelijk gemaakt voor de patiënt en alle bij de patiënt betrokken partijen in bijvoorbeeld een persoonlijke gezondheidsomgeving. Daarmee kan de zorg veel gerichter op de patiënt worden afgestemd. Denk aan de verzending van waarschuwingen wanneer medicijnen moeten worden ingenomen of bepaalde meetbare waarden worden overschreden. Door bijvoorbeeld dubbele diagnostiek te voorkomen wordt op kosten bespaard, wat de efficiency van de zorg vergroot.
De koppeling van individuele patiëntgegevens aan diverse datasets maakt het mogelijk nieuwe, volledig op de patiënt afgestemde behandelmethoden te ontwikkelen. De digitaal beschikbare data worden uitgewisseld met andere bronnen, zoals die voortkomen uit klinische onderzoeken of de patiëntendossiers van relevante populaties. Door de technische mogelijkheden om alle ontgonnen gegevens razendsnel te doorzoeken en met behulp van kunstmatige intelligentie (ki) te analyseren, worden de gecombineerde data enorm verrijkt. Uit deze dwarsverbanden ontstaan nieuwe inzichten, die artsen en onderzoekers helpen bij interventies en research naar toekomstige behandelmethoden.
De verzameling van data wordt extra versneld door de voortdurende monitoring door zogenaamde wearables. Deze draagbare applicaties – verwerkt in slimme armbandjes, smartphones en horloges, maar ook in kastjes voor bijvoorbeeld hartslagmeting en bloedsuikerspiegelcontrole – controleren voortdurend de lichaamsactiviteit van hun gebruiker. Die wordt zo direct geïnformeerd over zijn of haar toestand. De gigantische hoeveelheid data die deze wearables verzamelen, kan weer worden gekoppeld aan de gegevens van talloze andere gebruikers. Zo komt personalised care binnen handbereik.
Digitaal klinisch onderzoek
Big data, ki en ongekende rekenkracht van moderne computers faciliteren ook nieuwe vormen van onderzoek naar nieuwe geneesmiddelen. Naast de traditionele in vitro- en in vivo-onderzoeken is onderzoek in silico in opkomst. Met behulp van big data worden populatiemodellen gebouwd. Met digitale simulaties kunnen onderzoekers de respons van patiënten op geneesmiddelen bestuderen.
Niet alleen wordt hiermee de ontwikkeltijd van geneesmiddelen aanzienlijk versneld, ook kunnen eenvoudiger nieuwe indicaties worden getoetst en naar de praktijk gebracht. Daarnaast ontstaan mogelijkheden voor het op patiëntniveau voorspellen van therapeutisch voordeel en bijwerkingen. Het doelmatig geneesmiddelengebruik neemt toe.
Data ontginnen en gebruiken: een juridische uitdaging
Bij deze beloften horen ook juridische uitdagingen. Die hebben te maken met de strenge wetgeving die sinds jaar en dag toeziet op het op de markt brengen van geneesmiddelen en medische hulpmiddelen, en de manier waarop patiëntgegevens mogen worden gedeeld. Bij iedere innovatieve wearable of app die gezondheidsgegevens verwerkt, is de vraag of het een medisch hulpmiddel betreft. Mogelijk is voor de slimme armband die de hartslag of bloedsuikerspiegel meet en daar een advies aan koppelt een zogeheten CE-markering als medisch hulpmiddel vereist. Daarmee geeft de fabrikant aan dat het product voldoet aan de relevante Europese regelgeving. Als de app vervolgens als verzekerde zorg aan patiënten wordt geleverd, kan de leverancier ook kwalificeren als zorgaanbieder. Dat heeft mogelijk nadelige gevolgen: de onderneming moet een bepaald pensioenfonds hanteren, voldoen aan specifieke governance-vereisten of de bezoldiging van het management maximeren. Veel makers van op big data gebaseerde medische toepassingen zijn zich onvoldoende bewust van de specifieke eisen voor medische apparatuur en de mogelijke consequenties voor de bedrijfsvoering.
Omgaan met privacyregels
De grootste juridische uitdaging voor data-innovatie in de zorg is de privacyregelgeving. De regels voor het omgaan met patiëntengegevens zijn streng en de Autoriteit Persoonsgegevens heeft de zorgsector op haar radar. Dat heeft een verklaarbare reden: gezondheidsgegevens zijn gevoelige gegevens. Datalekken komen bovendien het vaakst voor in de zorgsector. Aandacht voor de privacyregels is dan ook van belang, nu zorginstellingen en aanbieders van innovatieve technologie over steeds meer data beschikken om zorg op niveau te kunnen blijven verlenen. De vraag is hoe de privacy van patiënten gewaarborgd blijft, zonder dat dit afbreuk doet aan de kansen en de mogelijkheden die innovaties en big data bieden.
Bestuurders in de zorgsector moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Veel zorgaanbieders menen dat de effectiviteit van behandelingen, de kostenbesparingen en de kwaliteitsverbeteringen in de zorg door de privacyregels worden belemmerd. Dit is een eenzijdige perceptie, die vraagt om een fris perspectief: kijk vroegtijdig – dus nog voordat de gegevens worden verzameld – welke regels van toepassing zijn, hoe deze het beste kunnen worden geïmplementeerd en welke risico’s er zijn voor de belanghebbenden. De meerwaarde uit de data halen, doe je door innovatiebeleid en privacybeleid gelijk op te laten gaan.
Begin met een gedegen privacybeleid
Zorginstellingen hebben een intern privacybeleid nodig. De zorginstelling zal alle juridische, technische en organisatorische maatregelen en risico’s in kaart moeten brengen. Een belangrijk basisprincipe daarbij is dat er met zo min mogelijk persoonsgegevens moet worden gewerkt. Persoonsgegevens zijn gegevens die – eventueel in combinatie met elkaar – herleidbaar zijn tot een persoon, tot iemands naam, geslacht, geboortedatum of burgerservicenummer. Wie geen persoonsgegevens verwerkt, hoeft geen rekening te houden met de strenge privacyregels. Dat is vaak goed mogelijk. Een patiëntenportaal is bijvoorbeeld goed te testen met anonieme gegevens.
Het kan lastig zijn gegevens grondig te anonimiseren. In een dataset van patiënten met zeldzame ziekten bijvoorbeeld, kun je de namen wel verwijderen, maar zijn gegevens soms toch herleidbaar naar individuele patiënten. Indien het aantoonbaar nodig is om ook te beschikken over persoonsgegevens, moet worden gekeken hoe de privacy van de patiënt het beste wordt beschermd. Dat kan door bijvoorbeeld door gegevens te pseudonimiseren of door privacy by design toe te passen. In die gevallen is nog steeds sprake van persoonsgegevens, maar zijn de gegevens niet te herleiden tot personen.
Vaak moeten zorgaanbieders Data Protection Impact Assessments (DPIA) uitvoeren. Met dit instrument brengt een organisatie vooraf de grootste privacyrisico’s van de gegevensverwerking in kaart. Daarna volgen contractuele afspraken met alle belanghebbenden over de beveiliging van de persoonsgegevens. Ook worden betrokkenen geïnformeerd met een privacyverklaring. Betrek altijd de Functionaris voor de Gegevensbescherming (FG), degene die binnen de organisatie toezicht houdt op de toepassing en naleving van de AGV, bij de uit te voeren privacy-acties. Indien uit de DPIA volgt dat er restrisico’s zijn, dan zal de big datatoepassing ook aan de Autoriteit Persoonsgegevens moeten worden voorgelegd.
Aansprakelijkheid voorkomen
Wie draagt de aansprakelijkheid voor de data? De regels zijn in de praktijk niet altijd duidelijk. Vooral bij data die met behulp van ki worden verwerkt, vraagt dat om heldere afspraken. Aansprakelijkheidsclaims kunnen uit verschillende hoeken komen: van de samenwerkingspartners, de patiënten (eventueel via collectieve acties) of de toezichthouder, die hoge boetes kan opleggen voor overtreding van de regels.
Ten slotte is het verstandig voor pioniers in data-analytics in de zorg om de governance van de onderneming op het databeleid aan te passen. Werkt een zorginstelling samen met een commercieel bedrijf, dan is het goed om de aansprakelijkheid voor en de zeggenschap over de data nauwkeurig vast te leggen. Zo is het raadzaam de structuur van een joint-venture zo in te richten dat verdere groei door bijvoorbeeld nieuwe investeerders of bij een verkoop van de onderneming niet wordt geblokkeerd.
Ofwel, om de toegevoegde waarde van big data optimaal te kunnen toepassen, is tijdige en kritische voorbereiding noodzakelijk.
Dit essay is gepubliceerd in Management Scope 01 2021.