Goed beveiligingsbeleid biedt organisaties kansen
Het beveiligen van medische data is een zaak van levensbelang. Van de uitslag van een bloedonderzoek tot de CT-scan die meer moet uitwijzen; je persoonlijke gezondheidsinformatie wordt opgeslagen en verwerkt door talloze zorgverleners. Je vertrouwt er daarbij op dat deze patiëntgegevens goed beschermd worden. Maar is dit daadwerkelijk zo? En zo ja, hoe zorgen we dat dit zo blijft?

Het begint met data en eindigt met informatie
Vanaf het moment dat je je meldt bij de balie van het ziekenhuis ben je, behalve patiënt, ook een set gegevens geworden. De uitslagen van alle onderzoeken worden opgeslagen, gedeeld en geanalyseerd, om zo tot de best mogelijke behandeling te komen. Op dit moment is de hoeveelheid data per patiënt nog overzichtelijk te noemen. Het resultaat van een bloedonderzoek is een A4-tje vol getallen, en het vermoeden van een erfelijke aandoening kan vaak vastgesteld worden met een “ja” of “nee” test. De relatief kleine hoeveelheden data die deze tests opleveren kunnen centraal worden bewaard, om zorgverleners er directe toegang toe te geven. Dit is ook de gedachte achter het elektronisch patiëntendossier. Dat systeem functioneert echter nog niet zoals het bedoeld was, mede door technische uitdagingen en privacy bezwaren. Momenteel vormt dit nog geen heel groot probleem: de benodigde gegevens zouden in theorie ook door de patiënt kunnen worden meegenomen en vervolgens getoond aan de arts waar hij op dat moment bij in de spreekkamer zit. Kleine hoeveelheden data zijn immers ter plekke te analyseren, waarna de patiënt op de juiste manier kan worden behandeld.

De data-explosie
Met de opkomst van personalized medicine, quantified self en het goedkoper worden van genome sequencing zal het hiervoor geschetste beeld van patiëntgegevens echter drastisch veranderen. De gedachte is dat kennis van de (genetische) eigenschappen van een patiënt gebruikt kunnen worden om de behandeling te optimaliseren. Aangezien het door deze ontwikkeling inmiddels al bijna goedkoper is om alle genen te testen dan om er één te bekijken, is het niet onwaarschijnlijk dat de medische praktijk in de nabije toekomst steeds meer op big data zal gaan draaien. De hoeveelheid beschikbare onderzoeksdatasets in de Gene Expression Omnibus is een mogelijke voorbode van deze ontwikkeling.

De kansen van morgen vandaag al zien
Het is dus zaak om nu al op voorbereid te zijn op de kansen die morgen te bieden heeft. In het gebruik van big data liggen grote mogelijkheden, maar er zijn ook valkuilen. Vragen als ‘Waar worden de data opgeslagen, hoe worden ze beveiligd en wie heeft er onder welke voorwaarden toegang tot deze data?’ zijn daarom essentieel voor organisaties. Een duidelijke visie, een goed beleid hierover, en duidelijke communicatie naar buiten toe, dragen bij aan effectieve zorg en aan de vertrouwensband tussen zorgverlener en patiënt. Een voorbeeld hiervan is het laten borgen van de kwaliteit van medische apps door derde partijen.

Een vervolgvraag die steeds relevanter wordt is waar de data worden geanalyseerd. Grote datasets vereisen tenslotte grootse verwerkingscapaciteit. Analyse in de cloud lijkt op het eerste gezicht kansen te bieden om kosten te besparen op IT, maar dit kan duur uitpakken omdat de vertrouwelijkheid van patiëntgegevens te allen tijde gegarandeerd moet kunnen worden. Dat laatste kan lastig zijn als de data op andermans computer staan, en al helemaal als de partij met de data wordt overgenomen.

De benodigde extra veiligheidswaarborgen kunnen de kostenbesparing van cloudoplossingen teniet doen. Naast een glasheldere visie is dus ook een gedegen analyse van de kansen en risico’s van nieuwe technologie nodig. Kan en mag je bijvoorbeeld data uit verschillende bronnen combineren om betere zorg te kunnen bieden? IT kan hierbij de medische praktijk ondersteunen, maar mag nooit leidend zijn. Als de combinatie tussen zorg en IT echter juist wordt uitgevoerd, wordt iedereen er beter van en kunnen wij de verdere digitalisering in de zorg omarmen.

 

Joost Boele is cyber security adviseur bij Deloitte. Hij heeft een PhD in bioinformatica en houdt zich onder andere bezig met de technologische vraagstukken die de medische praktijk van de toekomst vormgeven.

In zijn verdere blogs gaat hij dieper in op de relatie tussen medische applicaties, medische apparatuur en medische data. Wil je in de tussentijd toch meer weten? Neem contact met hem op via JBoele@deloitte.nl.

 

 

5 REACTIES

  1. Deze discussie speelt inmiddels al jaren en de sector is nog geen steek verder. Waar het probleem zit is wel duidelijk, dit soort artikelen geeft helaas wel aan dat je ook niet bij de duurbetaalde consultants moet zijn, het artikel staat vol met uitgekauwde dooddoeners of vragen die we al jaren kunnen beantwoorden…

    Als nu eerst eens de governance en het verantwoord gebruik van medische gegevens goed geregeld wordt en de ICT afdelingen van al die instellingen ontdaan worden van de ICT dinosauriërs die helemaal niets van innovatie en big data analytics snappen komen we wellicht wat verder.

  2. Dat het een bende is in de beveiliging van persoonlijke gegevens en dat niet alleen in de medische omgeving maar ook bij de diverse overheden is glashelder.
    Zowel van overheden als zorgverzekeraars wordt een systeem van beheersbaarheid van privacy van mensen in gang gezet dat geen maat heeft. Allerhande databanken worden gekoppeld zonder dat de burger daar van op de hoogte is.

    Wat betreft de gezondheidszorg: Om je EPD te kunnen bekijken moet je al weer zoveel privé informatie beschikbaar stellen dat de zin je totaal vergaat. Je krijgt geen informatie of inzicht in wie er allemaal toegang hebben tot jouw privégegevens. Dat wordt systematisch geweigerd.
    Wanneer je duidelijk aangeeft dat medische gegevens niet mogen worden gedeeld geeft het geen garantie dat dit niet gebeurt.

    Las daarover vanmorgen nog een stuk, samengevat in: http://bit.ly/1JrrLWw