​Hoe een second opinion de privacy niet schaadt

Een arts die een second opinion vraagt is de normaalste zaak van de wereld en soms zelfs noodzakelijk. Dit kan tegenwoordig door een appje te sturen en de foto van bijvoorbeeld een wond mee te zenden. Heel praktisch, maar wat houdt dit in voor de privacy van de patiënt? Waarmee moeten we rekening houden en zijn er (andere) oplossingen?

Gisteren kwam een artikel online over het gebruik van WhatsApp in de zorg. Hierin werd uitgelegd dat het praktisch gezien een begrijpelijke keuze is. Een appje sturen is effectief en in sommige gevallen zelfs levensreddend. Maar dit betekent niet dat het altijd netjes en veilig gebeurt.

Naar onze mening hoeft ‘appen in de zorg’ absoluut niet erg te zijn. In het artikel van gisteren reageert de Patiëntenfederatie NPCF dat het vooral belangrijk is dat de verstuurde informatie of foto’s niet herleidbaar zijn tot een individueel persoon. Een goed punt natuurlijk. Bij veel foto’s in de zorg staan de kenmerken van de patiënt op de rand van de afbeelding. Een goed begin is dit deel vwaarin deze gegevens staan weg te laten en vooral ook geen specifieke ID-informatie in de conversatie te gebruiken. Zo is het niet herleidbaar over wie je aan het appen bent, zou je denken.

Anoniem is nooit echt anoniem

Data anoniem maken is heel moeilijk. Een foto die gemaakt wordt met je telefoon wordt namelijk voorzien van het exacte tijdstip en vaak ook de locatie. Koppel die twee aan, bijvoorbeeld, het afsprakenboek van een arts en de patiënt kan na wat puzzelen achterhaald worden. Met een mooi woord heet dit her-identificatie. Er zijn meerdere methodes om dit te doen, zo leert ons ook de wetenschap. Kortom, we weten dat iets anoniem maken (bijna) nooit werkt.

Dus waarom het risico nemen? Ga er vanuit dat de foto’s en het appje wél persoonsgegevens zijn en behandel ze ook zo. Zorg dus in ieder geval voor veilige middelen om de gegevens uit te wisselen. Gebruik dus niet WhatsApp, maar op z’n minst een versleutelde variant zoals Kanta Messenger, Signal of TextSecure. Of gebruik een speciaal voor dit doel, het uitwisselen van medische gegevens, gebouwde app.

Rol voor zorgverleners

Goed nieuws is dat die beveiligde apps er zeker zijn. Een belangrijke stap hierin is echter dat het management van het ziekenhuis of de zorginstelling hierin zelf het voortouw neemt. Stel uw medewerkers de tooling beschikbaar om op een laagdrempelige wijze met elkaar te kunnen communiceren. De directie van de zorginstelling is uiteindelijk verantwoordelijk voor issues die plaatsvinden. Dit betekent dat, als er een issue optreedt door het gebruik van bijvoorbeeld WhatsApp, de directie hiervoor uiteindelijk verantwoordelijk is. Voorkomen is onmogelijk, maar door beveiligde tooling beschikbaar te stellen en hiervoor duidelijk beleid te maken zet je een aantal concrete en goede stappen.

Zijn we er dan? Nee, nog één ding moet geregeld worden. Er zijn verschillende aanbieders die beveiligd appen mogelijk maken. Dat is goed: dan hebben management en zorgverleners in ieder geval een keuze over welke app te gebruiken. Dan moeten we wel voorkomen dat de arts die de app van app-ontwikkelaar A gebruikt niet kan communiceren met de arts die de app van app-ontwikkelaar B gebruikt en er zo alsnog ongelukken gebeuren. Dat kun je oplossen door 1 aanbieder te kiezen, maar dan krijg je een monopoly, of we spreken met elkaar een standaard af. E-mail werkt zo: als een G-mail-gebruiker een e-mail stuurt kan een Outlook-gebruiker deze gemakkelijk lezen. Dit verklaart waarschijnlijk ook een groot deel van het succes van e-mail.

Dus wees kritisch. Zo zijn er populaire apps die medici goed ondersteunen maar waarvan niet alles duidelijk is. Neem bijvoorbeeld Figure 1. Deze app laat gebruikers foto’s van (aandoeningen van) patiënten delen, voor advies, commentaar en educatie van de andere gebruikers. Een nobel doel! Ze doen hun best om anonimiteit van patiënten te garanderen, maar het is niet duidelijk of ze daarin slagen. De vraag is of ze bijvoorbeeld locatie-informatie, tijdsinformatie en overige metadata uit de foto’s verwijderen. Hun FAQ geeft daar in ieder geval geen duidelijkheid over. Daarnaast is dit een gesloten systeem: indien je niet Figure 1 gebruikt kun je niet meedoen. Dat komt uitwisselbaarheid van de data niet ten goede en kan leiden tot een monopoly voor deze app, wat in een dusdanig belangrijk gebied als gezondheidszorg wellicht niet wenselijk is.

Veiligheid zoals altijd voorop

Kortom: moeten we artsen verbieden om te appen? Nee zeker niet, want de bijdrage van dit communicatiemiddel aan het welzijn van patiënten is evident. Maar we moeten wel zorgen dat ze de mogelijkheid krijgen het middel veilig te gebruiken. En daar liggen schone taken voor zowel het management van de ziekenhuizen als voor de makers van apps.

Deze blogpost is geschreven door Rob Peters, manager Assuring Medical Apps bij Deloitte Innovation en Jan-Jan Lowijs, privacy expert binnen het Security & Privacy team van Deloitte.