Preview document (🔗 origineel)

---

Tweede Kamer der Staten-Generaal	2
Vergaderjaar 2019-2020

27 529 Informatie- en Communicatietechnologie (ICT) in de Zorg

Nr. 191 BRIEF VAN DE MINISTER VOOR MEDISCHE ZORG

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 4 oktober 2019

Het lid Van den Berg (CDA) heeft mij verzocht om een reactie op het artikel in het FD.nl d.d. 23 september 2019 met als titel «Strenge privacyregels hinderen medisch onderzoek in Nederland». Middels deze brief bericht ik uw Kamer daarover.

Strekking van het artikel in het FD

In het FD van 23 september jl. geven onderzoekers en commerciële partijen aan dat ze lastig aan data kunnen komen voor secundair gebruik, waaronder voor het ontwikkelen van artificiële intelligentie (AI). Ze geven aan dat de privacywetgeving hindernissen opwerpt waardoor innovatie in de weg wordt gestaan. In een later artikel in dezelfde krant betogen advocaten dat geschetste problematisering vanuit het veld vooral is ingegeven door onbekendheid en onduidelijkheid over de interpretatie van de privacyregels en daarmee samenhangende onzekerheid over de risico’s. En dat er in essentie veel meer binnen de privacy-wetgeving kan dan men veronderstelt. Ik sluit me daarbij aan.

Ik ondersteun de ontwikkeling van secundair datagebruik en algoritmes omdat het de kwaliteit van (gepersonaliseerde) zorg voor de patiënt kan verbeteren. Dit is mogelijk binnen de huidige kaders van de AVG. Bijvoorbeeld door nieuwe technieken toe te passen om te anonimiseren, en het vragen van toestemming goed te verankeren in de dagelijkse praktijk. Met de komst van Persoonlijke Gezondheidsomgevingen, op basis van MedMij, verwacht ik dat toestemmingsprocessen eenvoudiger worden. Ten slotte vraag ik aandacht voor het informeren van de patiënt. De AVG kent een informatieplicht en het goed informeren van patiënten is ook maatschappelijk zeer gewenst.

In deze brief zal ik een inhoudelijke schets geven van de mogelijkheden die de AVG nu biedt. Ik roep partijen op die mogelijkheden te benutten. Voor informatie over de van toepassing zijnde kaders kan het veld daarbij een beroep doen op de AVG-Helpdesk voor Zorg, Welzijn en Sport. Bredere vraagstukken rondom AI en de zorg vormen kernelementen van mijn brief aan uw Kamer over «data laten werken voor gezondheid» (Kamerstuk 27 529, nr. 164).

Later dit jaar zal ik u informeren over de opvolging hiervan, en zal u dan ook informeren over aanpalende vraagstukken en thema’s.

Privacy versus data delen: context

In de zorg hebben we veelal te maken met gevoelige persoonsgegevens en voor het verwerken daarvan gelden zoals iedereen begrijpt strenge regels. Ik vind het belangrijk dat burgers regie hierover hebben. De hoofdregel is om ten behoeve van onderzoek met niet herleidbare gegevens te werken. Als dat niet kan dient vooraf uitdrukkelijk toestemming te worden gevraagd in het licht van een helder doel, aan de patiënt, conform niet alleen de AVG (en voorheen de Wbp), maar bijvoorbeeld ook de verklaring van Taipei.

Het proces van het vragen van toestemming vergt het nodige vooraf op administratief en soms ook financieel gebied van zorginstellingen of bedrijven. Ik ben van mening dat dit hoort bij werken en ondernemen in de zorg. Op dit moment ontbreekt vooraf gegeven toestemming van patiënten veelal, wat de mogelijkheden om de medische data voor onderzoeksdoeleinden (verder) te verwerken beperkt.

De AVG is sinds 2018 van toepassing, en wijkt in samenhang met de Uitvoeringswet AVG op het punt van het omgaan met medische gegevens nauwelijks af van de Wet bescherming persoonsgegevens zoals we die voorheen kenden. Ook de regels rondom de geneeskundige behandelovereenkomst en het medisch beroepsgeheim zijn op dit punt niet veranderd. De AVG is beleidsneutraal geïmplementeerd. Wat wel aan grote verandering en ontwikkeling onderhevig is, zijn de technologische mogelijkheden. De technologische ontwikkelingen hebben ervoor gezorgd dat veel meer data beschikbaar is dan zo’n tien jaar geleden en het veel makkelijker is geworden om deze data tussen organisaties en zelfs over de landsgrenzen met elkaar te delen en databronnen samen te voegen. Kortom, niet zozeer de maatstaf voor het beschermen van de privacy is ingrijpend veranderd maar wel de technologische mogelijkheden en de bijbehorende risico’s.

Zorginstellingen die data hebben en daar graag zorgvuldig mee om gaan, zoals ziekenhuizen, geven aan te worstelen met ambities (ontwikkelen van zinvolle zorgtoepassingen) en risico’s (het beticht worden van het «zomaar» verstrekken van patiëntgegevens). Ze moeten zelf interpreteren hoe toelaatbaar delen van data is in het licht van de AVG. Dat vraagstuk zal in iedere casus door de verantwoordelijke zelf beoordeeld moeten worden en kan ik niet uit handen nemen. Ik zie tot mijn spijt dat, zoals in de artikelen wordt gemeld, in sommige gevallen de terughoudendheid in de interpretatie van de AVG leidt tot het niet meer uitwisselen of samenbrengen van data. Bijvoorbeeld omdat de kosten van het verstrekken van data anders te hoog oplopen, of om investeringen te beschermen, concurrentievoordeel te behalen of te behouden of vanwege andere belangen.

Samenvattend, ik zie dat er in het kader van de AVG meer ruimte is dan nu door zorginstellingen en bedrijven wordt genomen, en daarom roep ik hen op om binnen de bandbreedte zelf de mogelijkheden te benutten. Over deze mogelijkheden binnen de kaders hieronder meer.

Data delen binnen de kaders van de AVG

1. Werken met anonieme data

Ten eerste kunnen onderzoekers en bedrijven zoeken naar manieren om met anonieme data aan de slag gaan. Als data conform de daarvoor gestelde eisen te kwalificeren zijn als anoniem, dan zijn de AVG en UAVG niet van toepassing (overweging 26 AVG). De Artikel 29-werkgroep (nu European data protection board) heeft in haar opinie 5/2014 ¹ een nadere uitleg gegeven over anonimiseringstechnieken. Ik zie ook dat data (niet zijnde beeldmateriaal) die geheel niet-identificeerbaar is gemaakt voor gezondheidsonderzoek niet altijd bruikbaar is. Daarom zal ik hieronder ook ingaan op de mogelijkheden die de AVG en UAVG bieden. Voor de duidelijkheid: de Minister van Rechtsbescherming is verantwoordelijk voor de (interpretatie) van de AVG en UAVG.

2. Data verwerken ten behoeve van wetenschappelijk onderzoek

Ten tweede kennen de AVG en UAVG meerdere verwerkingsgrondslagen om niet-anonieme (medische) data te verwerken ten behoeve van wetenschappelijk onderzoek. Grofweg staan er twee wegen open. In de eerste plaats is verwerking mogelijk op basis van uitdrukkelijke toestemming van de betrokkene.

Indien de uitdrukkelijke toestemming van de betrokkene niet kan worden verkregen of een onevenredige inspanning kost (bijvoorbeeld omdat het gaat om een hele grote hoeveelheid gegevens zonder adressen), kan de verwerking alsnog plaatsvinden op grond van artikel 24 van de Uitvoeringswet AVG (UAVG). Voor onderzoek op het gebied van de volksgezondheid geldt artikel 7:458 BW.²

In artikel 24 UAVG worden cumulatief enkele nadere voorwaarden gesteld. Zo moet het onderzoek een algemeen belang dienen. Om te kunnen worden aangemerkt als wetenschappelijk onderzoek «in het algemeen belang», geldt dat het onderzoek als wezenlijk doel heeft het bevorderen en beschermen van de volksgezondheid door het op systematische wijze vergaren en bestuderen van gegevens. Dit maakt dat deze uitzondering niet is toe te passen indien er sprake is van onderzoek in uitsluitend commerciële of industriële context.

Wetenschappelijk onderzoek is vaak een samenwerking tussen publieke en private partijen. Zo wordt wetenschappelijk onderzoek steeds vaker gefinancierd of uitgevoerd door, of veelal in samenwerking met, commerciële partijen. Bijvoorbeeld door commerciële fabrikanten van medische hulpmiddelen of door farmaceuten. In sommige gevallen kan het ook voor deze wetenschappelijke onderzoeken onmogelijk zijn of een onevenredige inspanning vergen om toestemming te vragen, bijvoorbeeld indien men voor het onderzoek gebruik moet maken van een grote hoeveelheid data. Daarbij merk ik op dat het enkele feit dat er kosten gemoeid zijn met het vragen van toestemming niet kwalificeert als onevenredige inspanning.

Het moet verder redelijkerwijs aannemelijk zijn dat de resultaten van het onderzoek nieuwe wetenschappelijke inzichten genereren die geldend zijn voor een populatie groter dan de directe onderzoekspopulatie. De onderzoekers zullen zich moeten inspannen om hun resultaten inzichtelijk te maken voor een breder publiek dan alleen de kring van betrokken onderzoekers en betrokken patiënten.³ Over het onderzoek en de resultaten moet in de regel worden gepubliceerd, ook als de resultaten negatief zijn, en er dient te worden voldaan aan de uitgangspunten van FAIR data gebruik (Findable, Accessible, Interoperable, Reusable). Als niet aan deze voorwaarden wordt voldaan, kan het onderzoek niet worden aangemerkt als wetenschappelijk onderzoek in het algemeen belang. ⁴

Ik weet dat er over reikwijdte van de definitie van wetenschappelijk onderzoek (in zijn algemeenheid) veel vragen leven, ook in andere landen waar de AVG geldt. De artikel 29 werkgroep (nu European Data Protection Board) heeft geoordeeld dat het begrip wetenschappelijk onderzoek niet verder kan worden opgerekt dan de gebruikelijke betekenis, en vat «wetenschappelijk onderzoek» in deze context op als een onderzoeksproject dat opgezet wordt in overeenstemming met de relevante methodologische en ethische normen van de sector, en conform goede praktijken.⁵

Ik begrijp de roep om de beperkingen voor wetenschappelijk onderzoek te adresseren in Europees verband. Dat doe ik ook. In Europees verband (het E-health network) heb ik daarom aandacht gevraagd voor dit probleem. Binnenkort komt de Europese Commissie met een handleiding met als doel eenduidige implementatie en interpretatie van de AVG op het gebied van secundair gebruik van zorgdata.

3. Inregelen van toestemming en de processen die daarbij horen

Ten derde is het zaak om binnen zorginstellingen en bedrijven de toestemming en de processen die daarbij horen goed te regelen voor nu in en de toekomst. Niet alleen voor eigen onderzoek, maar ook voor andere partijen. Ik ondersteun het zorgveld in dit proces om in binnen- en buitenland te onderzoeken of er best-practices zijn die daarbij het beste gehanteerd kunnen worden. Ik kijk ook uit naar de resultaten van de enquête van de Patiëntenfederatie naar de beweegredenen van patiënten om al dan niet toestemming te geven voor het gebruiken van hun data, en welke informatie zij nodig hebben om hierover goed te kunnen beslissen.

Verder zal ik het veld ondersteunen met praktische informatie over wat wel en niet kan. Dit doe ik door op zeer korte termijn een «Wegwijzer voor AI» op de website van het Informatieberaad te plaatsen, met hierin o.a. informatie over de belangrijkste juridische kaders die van toepassing zijn bij ontwikkeling en implementatie van AI in de zorg. Daarnaast kan eenieder bij de AVG-Helpdesk terecht met vragen over de AVG in de dagelijkse praktijk van zorg. Voor vragen waar geen eenvoudig antwoord op is en welke een knelpunt blijven ben ik bereid te kijken naar en te helpen bij het wegnemen van die knelpunten.

Samenwerken

Ten slotte, ik ben enthousiast over het feit dat de door het veld gehanteerde Gedragscode Gezondheidsonderzoek op dit moment wordt herzien door de Federa (een samenwerkingsverband van onderzoekers in de gezondheidszorg), mede om deze congruent te maken aan de normen van de AVG en UAVG. Dat zal niet alleen voor ziekenhuizen maar ook voor bedrijven en patiënten houvast en helderheid kunnen bieden in deze lastige materie.

Er bestaat al een aantal mooie samenwerkingsverbanden tussen ziekenhuizen om data te delen, zoals «Data4Lifesciences» en «Health-RI». Samenwerken wordt ook door de coalitie als belangrijke stap voorwaarts gezien (zie motie van het lid Van den Berg, Kamerstuk 32 864, nr. 9). De motie is aangenomen op 24 september jl. en heeft als strekking bevordering van samenwerken tussen UMC’s bij databanken. Ik zie ook dat andere partijen (ook buiten de zorg) bezig zijn om voortgang te boeken op dit punt. Er is een datadeelcoalitie afgesloten tussen partijen voor het maken van een afsprakenstelsel om data te delen. Zo is MedMij een belangrijke deelnemer aan deze coalitie omdat zij met hun afsprakenstelsel vertrouwen wekken voor samenwerking en datadeling. Dit initiatief ondersteun ik van harte en ik moedig partijen in de zorg aan om zich ook aan te sluiten bij de datadeelcoalitie. Verder neemt VWS deel aan de Nederlandse AI Coalitie, daar is een werkgroep specifiek bezig met het vraagstuk van (cross-sectorale) data-delen.

De Minister voor Medische Zorg,
B.J. Bruins

---

1. Groep gegevensbescherming artikel 29, Advies 5/2014 over anonimiseringstechnieken, Goedgekeurd op 10 april 2014.↩︎

2. Artikel 7:458 BW bevat een regeling die van toepassing is voor het gebruik van gegevens die zijn vergaard in het kader van een geneeskundige behandelingsovereenkomst ten behoeve van statistiek of wetenschappelijk onderzoek op het gebied van de volksgezondheid. Deze bepaling geldt als lex specialis op artikel 24 UAVG, de bepalingen gelden naast elkaar. De voorwaarden die beide artikelen stellen komen gedeeltelijk overeen.↩︎

3. Kamerstuk 21 561, nr. 11, p. 47↩︎

4. Groep gegevensbescherming artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, Laatstelijk herzien en vastgesteld op 10 april 2018, pagina 32↩︎

5. Groep gegevensbescherming artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, Laatstelijk herzien en vastgesteld op 10 april 2018, pagina 32.↩︎