Gegevensbescherming van gezondheidsdata, waar is de privacy?
Datum: | 13 juni 2018 |
Auteur: | Trix Mulder |
Van het meten van je hartgezondheid tot een simpele stappenteller, voor bijna iedere gezondheidsvraag is er tegenwoordig wel een app-oplossing te vinden.
Als we kijken naar de aantallen beschikbare apps is dat niet vreemd. Waren er in 2014 nog 100.000 gezondheidsapps te vinden in de verschillende appstores, in 2017 was dat aantal gestegen naar 325.000 apps. En met wearables gaat het al niet veel slechter, alleen al in het eerste kwartaal van 2017 werden wereldwijd 26,3 miljoen wearables verkocht. Het zelf meten en bijhouden van je gezondheid is dankzij deze technologieën steeds gemakkelijker geworden.
Wie leest de privacy voorwaarden?
Al deze apps en wearables creëren grote hoeveelheden data. Maar wat gebeurt er eigenlijk met alle informatie die wordt gegenereerd over jouw gezondheid? De nieuwe Algemene Verordening Gegevensbescherming (AVG) stelt dat data die via gezondheid- en fitnessapps verzameld wordt niet verwerkt mag worden, tenzij wordt voldaan aan de vereisten die genoemd staan in artikel 9 AVG. De eerste uitzondering is indien uitdrukkelijk toestemming wordt gegeven door de persoon wiens gegevens worden verwerkt. Voor velen waarschijnlijk een herkenbare uitzondering, aangezien onderzoek heeft aangetoond dat bijna niemand de privacyvoorwaarden leest die worden aangeboden door apps, wearables of websites. Over het algemeen gaat men akkoord met de privacyvoorwaarden en downloadt men de app zonder te weten wat er met de data gebeurt die wordt verzameld.
Wat kan/mag een arts met de data van jouw activity tracker?
Een toenemende complicatie is het gebruik van commerciële apps in een medische context. Een mooi voorbeeld hiervan is gebruikt in de gratis online cursus over de bescherming van gezondheidsgegevens, die afgelopen maanden ontwikkeld is door de Rijksuniversiteit Groningen. Daarin bleek de fictieve patiënt Anna zwanger. In de eerste weken van haar zwangerschap zag ze op haar wearable dat haar hartslag soms bij lichte inspanning ineens heel hoog bleek te zijn. Deze informatie was voor haar een reden om een extra bezoek aan haar gynaecoloog te brengen, waarbij ze de informatie deelde met haar arts. Voor haar arts was het lastig om deze data te gebruiken in de behandeling. Niet alleen omdat ze niet kon beoordelen hoe betrouwbaar de metingen van Anna’s wearable waren, maar ook omdat ze het vanuit haar beroepsgeheim belangrijk vindt om te weten wie toegang heeft tot de data.
Bescherming van gezondheidsdata door de AVG
Vanuit het oogpunt van gegevensbescherming speelt het onderscheid tussen medische data en overige gezondheidsdata geen rol. De AVG beschermt ‘gegevens over gezondheid’ in het algemeen, medische data krijgen geen extra bescherming. Wel is het zo dat, naast het geven van toestemming, de AVG een uitzondering toekent op het verbod van het verwerken van ‘gegevens over gezondheid’ indien de gegevens nodig zijn voor het verstrekken van gezondheidszorg, mits dit gebeurt onder verantwoordelijkheid van iemand die beroepsgeheim heeft. In Nederland is dit beroepsgeheim geregeld in de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO).
Beroepsgeheim versus moderne technologie: wat kan de blockchain betekenen?
Het beroepsgeheim en het gebruik van (commerciële) moderne technologieën botst dus nog weleens, aangezien het lastig is te beoordelen of de verwerking van data vanuit bijvoorbeeld apps en wearables inderdaad plaatsvindt onder de verantwoordelijkheid van bijvoorbeeld de behandeld arts. Hier zal gezocht moeten worden naar een oplossing.
Een van de ‘oplossingen’ die vaak genoemd wordt de laatste tijd is blockchain. Als je sommige artikelen mag geloven, dan is blockchain het antwoord op alle vragen. Het lastige van de blockchain is echter dat er geen eenduidige definitie is van wat wel of niet onder het begrip ‘blockchain’ valt. Moet de blockchain bijvoorbeeld altijd gedistribueerd, toegankelijk voor een ieder en onveranderlijk zijn? Of zijn er ook variaties op deze uitgangspunten mogelijk? En zo ja, waar liggen dan de grenzen; wanneer kun je een systeem nog blockchain noemen en wanneer niet meer?
Internationaal congres over de blockchain
Op 29 en 30 november van dit jaar organiseert de onderzoeksgroep Public Trust and Public Law van de Rijksuniversiteit Groningen een internationaal congres over dit onderwerp in samenwerking met het Nederlands Instituut voor Law and Governance. Tijdens de deze twee dagen wordt er gediscussieerd over diverse juridische kansen en mogelijkheden die samenhangen met het begrip blockchain. En wie weet wordt er dan ook consensus bereikt over wat de blockchain nou precies inhoudt, en belangrijker: voor welke problemen blockchain inderdaad een oplossing kan bieden en voor welke problemen andere technologieën misschien geschikter zijn.
De online cursus (in het Engels) over de bescherming van gezondheidsdata start weer op 25 juni 2018. Aanmelden kan via: https://www.futurelearn.com/(...)otecting-health-data
Over de auteur
Mr. dr. T. (Trix) Mulder is oud-medewerker van de sectie IT-recht. Zij is gepromoveerd op een proefschrift getiteld: The effect of the legal framework (Dutch, German and European) on the use of health data from apps and wearables.