Onze medische gegevens, eenmaal, andermaal verkocht

Het is groot nieuws, farmabedrijven zouden geld bieden voor onze medische gegevens, zij het dan geanonimiseerd. Uiteraard reageerden staatssecretaris De Backer en minister De Block verwijzend naar de strenge privacy regels, naar de voorwaarden waaronder medische informatie wel ter beschikking mag gesteld worden.
En dat is zeer duidelijk en zonder discussie. De gegevens moeten geanonimiseerd zijn en de finaliteit (de reden waarvoor ze gebruikt worden) moet wetenschappelijk onderzoek zijn.
Dat de patiënt steeds moet geïnformeerd worden en zijn toestemming geven, is echter niet helemaal correct.
De nieuwe Europese regelgeving GDPR die begin 2018 van kracht wordt stelt dat toch enigszins anders.
In artikel 6.4 wordt gesteld dat onder bepaalde voorwaarden geen instemming noodzakelijk is, in die context is het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering noodzakelijk.
In artikel 89 vinden we mogelijke afwijkingen in verband met verwerking in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden.
Het kan dus wel dat anonieme of gepseudonimiseerde gegevens zonder toestemming gebruikt worden in wetenschappelijk onderzoek met algemeen belang.
De vraag is dus eerder met welke finaliteit worden deze gegevens gevraagd door de farma-industrie. Is het de bedoeling om deze gegevens te gebruiken voor spitstechnologisch onderzoek om onmisbare geneesmiddelen (verder) te ontwikkelen, of worden ze gebruikt door de marketingafdeling om gerichter de artsen en ziekenhuizen of zelfs patiënten aan te zetten tot voorschrijven en consumptie. CM suggereert duidelijk dit laatste.
Merkwaardig is dat in deze discussie het aspect “betalen” veel minder aan bod komt. In de patiëntenwet van 2002 wordt onomwonden gesteld dat de patiënt eigenaar is van zijn medisch dossier. De zorgverstrekker, in casu het ziekenhuis, is de beheerder van deze gegevens.
Stel dat de gegevens in de context van de GDPR op een correcte manier en om de juiste redenen verkocht worden, wie moet dan betaald worden? Het ziekenhuis of de patiënt?
Wat wil ik als patiënt? Dat mijn medische gegevens optimaal gebruikt worden voor mijn zorg en voor de verdere ontwikkeling van de gezondheidszorg, in het algemeen belang. Hiervoor wil ik onmiddellijk mijn consent geven. U toch ook? Ik vind het dan niet interessant of de vooruitgang in de gezondheidszorg verwezenlijkt wordt door een instelling betaald door de overheid of door een commercieel bedrijf. Als er maar levens gered worden, als de levenskwaliteit maar zo lang mogelijk op peil kan gehouden worden, als de kwaliteit van de zorg maar verbetert.
Ik heb er vertrouwen in dat straks met de invoering van de GDPR, met de hervorming van de privacy commissie, met de invoering van zware boetes, we een goede bescherming zullen hebben.
Maar, als er tussenpersonen een rol gaan spelen, zoals in de actuele case met QuintilesIMS, wat dan? Ook dan heb ik er vertrouwen in, want de finaliteit blijft belangrijk en de boetes ook.
Laat ons de discussie correct voeren. Is dit niet een merkwaardig neveneffect van de 10 jaar oude beslissing om alle medische informatie zo decentraal mogelijk te beheren. De afwijzing van een centraal medisch dossier, omdat men de overheid niet vertrouwde en vertrouwt, zorgt er nu voor dat men naar de overheid kijkt om te voorkomen dat de decentrale beheerders van de medische informatie deze niet zouden verkopen.
Laat ons de discussie correct voeren. Moeten we ons zorgen maken om geanonimiseerde gegevens, nu een patent gegeven is aan Clinerion “for technology which enables patient search and re-identification (by authorized personnel) using only anonymized patient data”? Is het anonimiseringscriterium achterhaald als dinsdag 10/10 Clinerion haar oplossing voorstelt? Is daardoor de GDPR al achterhaald vooraleer ze in voege komt?
Laat ons de discussie correct voeren. Met de enorme evolutie van de technologie in de gezondheidszorg (en andere sectoren) is waarschijnlijk morgen niet de privacy het heetste hangijzer, maar wel de ethiek en de deontologie. Als in mei volgend jaar GDPR een feit is, laat ons dan zo snel mogelijk een goed kader scheppen om de ethische en deontologische aspecten rond artificiële intelligentie, robotica, biobanken, big data, populatie management, financiële stromen, enz… in het gareel te houden.

Nos données médicales une nouvelle fois vendues
​L’annonce a fait les grands titres des journaux la semaine dernière: des hôpitaux vendraient les données médicales de leurs patients. 
Bien sûr, le secrétaire d’Etat De Backer et la ministre De Block ont réagi en renvoyant aux règles strictes sur la vie privée et aux conditions sous lesquelles des informations médicales peuvent être mises à disposition.
Et c’est très clair et il n’y a pas de discussion. Les données doivent être anonymisées et la finalité (la raison pour laquelle elles sont utilisées) doit être la recherche scientifique.
Le fait que le patient doit toujours être informé et donner son consentement n’est toutefois pas tout à fait correct.
La nouvelle réglementation européenne GDPR qui entrera en vigueur début 2018 formule les choses de manière quelque peu différente.
L’article 6.4 stipule que sous certaines conditions, aucun consentement n’est nécessaire. Dans ce contexte, l’existence de certaines garanties dont éventuellement un cryptage ou une pseudonymisation est nécessaire.
A l’article 89, nous trouvons des exceptions possibles relatives au traitement dans l’intérêt général, dans la recherche scientifique ou historique ou encore à des fins statistiques.
Il est donc possible que des données anonymes ou pseudonymisées soient utilisées sans consentement dans la recherche scientifique avec un intérêt général.
La question à se poser est donc plutôt avec quelle finalité ces données sont demandées par l’industrie pharmaceutique. Le but est-il d’utiliser ces données pour la recherche de haute technologie afin de (continuer à) développer des médicaments essentiels ou sont-elles utilisées par le département marketing pour encourager de manière plus ciblée les médecins, les hôpitaux, voire les patients à la prescription et la consommation? Les mutualités chrétiennes suggèrent clairement cette deuxième hypothèse.
A noter dans cette discussion: l’aspect du paiement intervient nettement moins. Dans la loi sur les droits du patient de 2002, il est clairement stipulé que le patient est propriétaire de son dossier médical. Le prestataire de soins, in casu l’hôpital, est le gestionnaire de ces données.
Imaginons que les données soient vendues dans le contexte de la GDPR correctement et pour les bonnes raisons. Qui doit alors être payé? L’hôpital ou le patient?
Qu’est-ce que je veux en tant que patient? Que mes données médicales soient utilisées de manière optimale pour mes soins et pour le plus ample développement de soins de santé dans l’intérêt général. Vu sous cet angle, je donnerai directement mon consentement. Vous aussi quand même? Après, peu importe si les progrès dans les soins de santé sont réalisés par une institution payée par les autorités ou par une firme commerciale. Tant que cela permette de sauver des vies, de maintenir la qualité de vie le plus longtemps possible à un bon niveau et d’améliorer la qualité des soins.
Je suis confiant que demain, avec l’introduction de la réglementation GDPR, avec la réforme de la commission vie privée et avec l’introduction de lourdes amendes, nous aurons une bonne protection.
Mais quid si des intermédiaires y jouent un rôle comme dans le cas de la semaine dernière avec QuintilesIMS? Là aussi, je suis confiant, car la finalité reste importante et les amendes aussi.
Menons la discussion correctement. N’est-ce pas une conséquence de la décision prise il y a dix ans de gérer toutes les informations médicales de la façon la plus décentralisée possible? Le rejet d’un dossier médical central parce que l’on ne faisait pas confiance aux autorités fait en sorte que maintenant, on se tourne vers les autorités pour éviter que les gestionnaires décentralisés des informations médicales ne vendent ces données.
Poursuivons le raisonnement. Devons-nous nous tracasser pour des données anonymisées maintenant qu’un brevet a été donné à Clinerion «for technology which enables patient search and re-identification (by authorized personnel) using only anonymized patient data»?
Ce critère d’anonymisation sera-t-il dépassé si tout à l’heure, Clinerion présente sa solution? La réglementation GDPR sera-t-elle dépassée avant même d’entrer en vigueur?
Avec l’évolution considérable de la technologie dans les soins de santé (et les autres secteurs), la vie privée ne sera certainement pas demain la question la plus importante. Ce sera plutôt l’éthique et la déontologie. Si en mai de l’année prochaine, la GDPR devient un fait, créons alors le plus rapidement possible un bon cadre pour les aspects éthiques et déontologiques liés à l’intelligence artificielle, la robotique, les biobanques, le big data, la gestion de la population, les flux financiers, etc.