De waarde van data

In mei 2018 treedt de General Data Protection Regulation (GDPR) in werking. Een dataprotectie verordening, geldend voor de hele EU, die de individuele rechten van burgers beschermt en tegelijk een vrij en veilig dataverkeer garandeert. Op zich is de GDPR oké, vindt André Dekker, hoogleraar Clinical Data Science en werkzaam bij Maastro Clinic. Maar de verordening wordt ingewikkeld gevonden, waardoor uit behoudzucht niets mag. En de balans is doorgeslagen naar teveel privacybescherming, waardoor de waarde van de data uit het oog wordt verloren. ‘We moeten oppassen dat we niet het kind met het badwater weggooien.

Hij heeft een droom, hoogleraar Clinical Data Science André Dekker. Er komt een dag dat het gesprek van dokter en patiënt over de juiste behandeling wordt ondersteund door een objectief datasysteem. Wordt er gekozen voor de zwaarste behandeling, inclusief bijwerkingen? Of kiest men voor de beste kwaliteit van leven? Het datasysteem geeft onmiddellijk en exact aan welke behandeling het beste resultaat zal geven. Vooralsnog is deze methodiek er niet en verdrinkt de gemiddelde dokter en zorgprofessional in een zee van klinische data (persoonlijke gegevens, diagnoses, beeldvorming, DNA-gegevens), medische besluiten en niet-relevant bewijs.

Opgegooid muntje 
Het gevolg hiervan is dat de uitkomst van behandelingen feitelijk uiterst onzeker is, stelt Dekker vast. “Zo blijken artsen niet beter dan een opgegooid muntje te voorspellen of een specifieke kankerpatiënt na x jaar nog in leven zal zijn! Ze weten vooraf dus niet welke behandeling de beste is.” Hij is ervan overtuigd dat kunstmatige intelligentie hier uitkomst gaat brengen. De systemen om relaties te leggen tussen gestructureerde data zijn er al. Er wacht eigenlijk maar één groot probleem op oplossing. Klinische data liggen onbereikbaar verspreid over duizenden ziekenhuizen en mogen deze niet zomaar verlaten. Een situatie die het directe gevolg is van wetgeving.

De nieuwe Europese dataregulering, de GDPR, verandert hier niets aan. Dekker is er redelijk positief over, maar veel begrippen vragen nog wel om opheldering. Zoals de eis van ‘de-identificatie’: het anonimiseren van data. Belangrijk, omdat je met anonieme data doen mag wat je wilt. Maar de GDPR geeft niet aan hoe ver je hierin moet gaan? “Via beelden en dna-kenmerken is iemand te traceren. Zijn deze data nog anoniem als ze maar over één persoon kunnen gaan?’ Er staan veel van zulke onduidelijke begrippen in de verordening. ‘Het risico is dat men hierdoor in een conservatieve houding schiet en dat er vooral in de beginfase niets mag.” Dat zou volgens hem de slechtste toepassing van de Europese verordening zijn.

Gemiste kans 
Er zit volgens Dekker een verkeerde filosofie achter de GDPR. “Het systeem van toestemming vragen aan de patiënt is opgezet om bij medische ingrepen fysieke schade te voorkomen of goed te verantwoorden als dit toch moet. Die eis is ook gaan gelden voor privacyrisico’s. Dat is raar, want de kans op fysieke schade als gevolg van datalekken is minimaal. Dat is van een totaal andere orde dan bij een patiënt een handicap veroorzaken.” De balans is doorgeslagen naar teveel privacybescherming, waardoor de waarde van data uit het oog is verloren. “Dit leidt ertoe dat ziekenhuizen op slot gaan en we niet van elkaar kunnen leren welke behandeling het beste werkt. Het gaat uiteindelijk ten koste van wetenschap, zorg en maatschappij. Is het die prijs waard?”

Dekker vindt de GDPR een gemiste kans. Liever ziet hij een wet die zich niet focust op de controle van data, maar aangeeft wat je wél mag doen. Waarom krijgt een KWF-onderzoeker wel de gevraagde data en een zorgverzekeraar om fraudeurs op te sporen niet? “Dat is een ethische vraag die belangrijker is dan de controle op de data. Hoe krijg je een systeem waarin je deze afweging goed kunt maken? Dat vind ik een veel bredere basis van wetgeving dan wat we nu hebben.”

Onderzoekstrein 
Om het probleem van de onbereikbaarheid van data op te lossen heeft Dekker een ander concept van data-uitwisseling bedacht: de Personal Health Train (PHT). In plaats van dat de data naar het onderzoek worden gebracht, gaat het onderzoek naar de databezitter. Dit onder het motto: Als de berg niet naar Mohammed wil komen, dan moet Mohammed naar de berg. Een arts of onderzoeker laat een onderzoeksvraag langs diverse datastations (ziekenhuizen bijvoorbeeld) ‘reizen’ en haalt zo, in een gecodeerde vorm, de antwoorden op. Wat zijn bijvoorbeeld de voorspellers van longkankeruitkomsten? Na zijn rondreis komt het treintje terug met een antwoord: leeftijd x geslacht + 3 x de grootte van de tumor – twee x een bepaald gen. Dekker: “Zo leren we van andermans data zonder deze data te verplaatsen.”

Grote winst van de PHT is bovendien dat er helemaal geen privacyprobleem is. Omdat er geen data het ziekenhuis verlaten bestaat er geen risico op privacybreuk. Dekker verwacht dan ook niet dat de nieuwe verordening obstakels opwerpt. Integendeel, de GDPR biedt juist kansen om veel meer onderzoekstreinen te laten rijden. “Dat zien we nu al gebeuren in Nederland. En dat we hier hierin vooroplopen is helemaal een win-winsituatie. We laten Europa zien dat dit de juiste methodiek is en zijn wat dit betreft een gidsland.”

© maastrichtuniversity.nl