Big Data is Big Money

26 augustus 2016

Belgische ziekenfondsen verkopen patiëntgegevens aan farmaceutische industrie stond vorige week als headliner op digitale zorg-magazine.nl

Sinds begin dit jaar worden patiëntengegevens aan farmaceutische bedrijven verkocht. De verkoop van de patiëntgegevens loopt via het Intermutualistisch Agentschap (IMA), waarin de Belgische ziekenfondsen zich hebben verenigd.

Patiënten zijn niet op de hoogte

Patiënten worden overigens niet op de hoogte gebracht van het feit dat hun patiëntgegevens worden of zijn doorverkocht. Dit is wettelijk gezien niet verplicht, aangezien de gegevens zijn geanonimiseerd. Alle patiëntgegevens die worden doorverkocht worden tweemaal gecodeerd, dit moet voorkomen dat farmaceutische bedrijven de identiteit van patiënten kunnen achterhalen.

Een hele geruststelling hoor ik u nu denken immers de gegevens worden geanonimiseerd? Wacht even, voor diegenen onder u die het werkwoord “anonimiseren” niet kennen halen we het woordenboek er even bij:

 Anonimiseren (derde persoon enkelvoud tegenwoordige geanonimiseerd, onvoltooid deelwoord anonimiseren, onvoltooid verleden deelwoord geanonimiseerd) (niet-Oxford Britse spelling) (transitief) Om anoniem te maken; met name gegevens die de identiteit van een persoon zou vestigen verwijderen.

Maar wat betekent dit voor u als persoon in kwestie in de praktijk?  Concreet gaat het om informatie over het aantal verpakkingen die van bepaalde medicamenten verkocht worden, hoeveel patiënten die gebruiken en de periode waarover ze de medicatie gebruiken. Informatie over de diagnose die patiënten krijgen, ontvangen de ziekenfondsen (nog) niet.

Toch is het door de medicatie die patiënten voorgeschreven krijgen vaak niet moeilijk om te achterhalen over welke ziekte of diagnose het gaat. “Voor ons is dat ook belangrijke informatie”, zegt de woordvoerder van het IMA. Hij benadrukt dat de gegevens twee keer gecodeerd worden, zodat farmaceutische bedrijven de identiteit van de leden niet kunnen achterhalen. Bovendien, zegt hij, gaat het om statistische gegevens, die kunnen helpen bij het ontwikkelen van geneesmiddelen. Voorlopig gebeurt het nog op beperkte schaal, maar de komende jaren zullen de inkomsten alleen maar toenemen, voorspelt hij. We hebben dit jaar een vijftal keer patiëntengegevens verkocht aan farmabedrijven, goed voor telkens 2.500 à 3.000 €.

Big Data

Alles verloopt volgens de regels

Alles verloopt volgens de regels, beklemtoont de IMA. “Bij elke verwerking en analyse van gegevens door het IMA of door andere instanties moeten we een machtiging krijgen van de Privacycommissie. Daarbij moeten we de algemene principes van de privacy wet respecteren en zorgen dat de veiligheid van de gegevens gewaarborgd is.”

Wettelijk gezien is daar ook niets fout mee, zegt de voorzitter van de Privacycommissie. “Als de gegevens volstrekt anoniem zijn, is er geen tussenkomst van de Privacycommissie en komt de privacywetgeving ook niet in beeld.” Of de leden van de ziekenfondsen er blij mee zijn dat hun gegevens gebruikt worden zonder dat ze daarvan op de hoogte zijn of toestemming gegeven hebben, is een heel andere vraag.

Enkele maanden geleden ontstond nog ophef toen de staatssecretaris voor Privacy in zijn beleidsnota verklaarde dat de overheid patiëntengegevens moet kunnen doorgeven of verkopen aan de farmaceutische sector. ‘Not done’, vond de publieke opinie. Ook toen ging het over anonieme gegevens, maar benadrukte de staatssecretaris dat patiënten op de hoogte zouden gebracht worden indien hun gegevens zouden verwerkt worden. Bij de verwerking en het doorverkopen van patiëntenbestanden doet het IMA dat niet.

Anoniem

Volgens de regels of niet, het verkopen van data is op zijn minst opvallend te noemen en over het zogenaamde anonimiseren is bij onze noorderburen al veel ophef ontstaan. blijkbaar kan je niet met honderd procent zekerheid garanderen dat uw persoonsgegevens niet te achterhalen zijn door middel van enkel een postcode en geboortedatum. Vooral in de kleinere gemeentes die ons land telt blijkt het niet al te lastig te zijn om de persoon in kwestie te achterhalen. Kortom het gaat er vooral om hoe er wordt geanonimiseerd en wie hier controle op uitoefent?

Nu ben ikzelf in het algemeen niet tegen de vooruitgang dankzij nieuwe technologieën zoals Cloud computing en Big Data, maar zou het toch wel op prijs stellen als men verantwoord omgaat met onze persoonlijke gegevens. Waarbij het tegenwoordig heel normaal en zelfs eenvoudig is dankzij onder andere ISO normering om uw lokale Cloud Service Provider te toetsen hoe zij met uw gegevens omgaan, lijkt het mijns inziens al knap lastig om uw ziekenfonds te gaan controleren op het correct beheren van uw gegevens. Laat staan dat er een procedure bestaat om dit op te vragen. Misschien dat de Privacy commissie hier eerst maar eens werk van moet maken, in plaats van de sociale media reuzen zoals Google en Facebook de strijd aan te binden? Immers op Facebook beslist u zelf wat u wel of niet kwijt wil van uw privacy, terwijl het nemen van medicijnen voor de meeste onder ons eerder een noodzakelijk kwaad is.

Ben benieuwd naar uw reacties……

Met dank aan Dominique Soenens als auteur van het artikel.

Peter Witsenburg

Peter Witsenburg

Information Security Implementation Lead Manager/Auditor & Data Protection Trainer in how to become GDPR compliant

Pin It on Pinterest

Share This