Onderzoek in de gezondheidszorg redt levens. Weinig mensen zullen dit ter discussie stellen. Ondertussen staan veel onderzoekers voor een dilemma. Om goed onderzoek te kunnen doen zijn betrouwbare en representatieve gegevens nodig. Patiëntgegevens, wel te verstaan. Een tricky business, want de Autoriteit Persoonsgegevens kijkt mee en boetes liggen op de loer in geval van een datalek.

Maar je kunt bijna niet zonder persoonsgegevens. Je hebt gegevens nodig als leeftijd, woonplaats en geslacht en die moeten overeenkomen met de werkelijkheid, anders heb je er niets aan. Dit staat op gespannen voet met de privacywetgeving, die zegt dat je persoonsgegevens alleen mag gebruiken voor het doel waarvoor je ze gekregen hebt. In geval van ziekenhuizen is dat: de behandeling. En niet onderzoek.

Een oplossing die vooral in de zorg wordt toegepast is die van de trusted third party. Data van de zorginstelling wordt vervangen door een pseudoniem en via de trusted third party verstrekt aan de onderzoeker. Het opzetten en beheren van zo’n constructie is complex en daardoor ook vrij kostbaar. Een nog tijdrovender en ingewikkelder oplossing is het zelf creëren van data. De enige manier is de werkelijke gegevens handmatig om te zetten in zelf gecreëerde data, waarbij verbanden tussen gegevens intact blijven. Een arbeidsintensief werkje.  

Dat  maakt dat ziekenhuizen toch vaak kiezen voor het gebruik van bestaande patiëntgegevens. Tegen de klippen op - want juist in de zorg is de ambitie groot om integer met patiëntgegevens om te gaan. Gebruik van echte gegevens stuit op veel weerstand - want kans op een datalek -, maar men ervaart het als een voldongen feit. Toch is er nog een derde mogelijkheid die vaak over het hoofd wordt gezien: anonimiseren met behoud van representativiteit. 

Door slim gebruik te maken van nieuwe technologische mogelijkheden, kan data lokaal zo worden bewerkt dat de gegevens anoniem zijn, terwijl de representativiteit behouden blijft. Met andere woorden: de gebruikte gegevens zijn niet herleidbaar naar een unieke patiënt, maar de gegevens van de totale onderzochte populatie zijn volledig representatief. Doordat dit proces lokaal draait, is er bovendien geen sprake meer van een structurele afhankelijkheid van een externe partij. Ook hoeven de gegevens de organisatie niet te verlaten.

Anonimiseren en pseudonimiseren lijken op elkaar. Een groot verschil was vroeger dat anonimiseren niet herhaalbaar was en pseudonimiseren wel. Een ander verschil was dat pseudonimiseren omkeerbaar was en anonimiseren niet. Dat is deels nog steeds het geval. Daarmee is anonimiseren vanuit privacy-oogpunt veiliger, want er is geen sleutel beschikbaar om de gegevens terug te halen. Maar soms kan het wenselijk zijn om geanonimiseerde gegevens toch te herstellen. Dat wordt tegenwoordig opgelost door bij het anonimiseren een bestaande, alleen intern gebruikte sleutel níet te anonimiseren.

Ga je daarmee niet wéér recht in tegen de privacywetten? Nee. Bij medisch onderzoek zijn er situaties denkbaar, waarin het cruciaal is dat de gebruikte gegevens herleid kunnen worden naar een unieke patiënt. Dit kan door met behulp van autorisatiemanagement te zorgen dat de arts wel, maar de onderzoeker niet, aan de hand van de gecreëerde sleutel, de echte patiënt kan achterhalen. Hiermee wordt op een aantoonbare manier invulling gegeven aan de privacywetgeving. De echte gegevens worden niet gebruikt voor het onderzoek, waarmee de privacy van de patiënten is gewaarborgd.

Alles bij de bron; Computable