Commissievergadering, agendapunt 5. Inspreken ‘Privacy en security in gepersonaliseerde zorg’, 11 mei 2016 Inspreekverslag Prof. Bas Bloem en Prof. Bart Jacobs Prof. Bas Bloem: De gezondheidszorg is aan belangrijke veranderingen onderhevig. De belangrijkste trend in de gezondheidszorg momenteel is de focus op personalized care en personalized medicin. In de bestrijding van chronische ziekten als kanker of bijvoorbeeld parkinson wordt duidelijk dat een effectieve behandeling voor elke mens verschillend is en wordt bepaald door genen en patronen op moleculair niveau. Hiernaast is er een hang naar gebruik van persoonlijke hulpmiddelen en sensoren (wearables) om de eigen gezondheid in de gaten te houden. Deze trend is niet meer weg te denken uit de moderne maatschappij. Dit levert een schat aan data, die de diagnosestelling en effectiviteit van de behandeling vooruit kan helpen. Big data research van al deze persoonlijk verzamelde data kan helpen om ziektemodellen te ontrafelen een juiste diagnose te stellen en een passende behandeling of medicatie te verwerven. Het is een grote ambitie om chronische ziekten beter in beeld te krijgen en daadwerkelijke oplossingen te genereren. Dit biedt grote kansen voor big data bedrijven zoals Google, Intel, Apple en Philips, maar juist ook voor de regionale kleinere MKB-partijen, die de zelfzorghulpmiddelen en apps produceren. Zeker in het netwerk van ParkinsonNet zijn een groot aantal kleinere MKB-partners aanwezig, die door het uitgebreide artsen- en patiëntnetwerk geïnteresseerd zijn om hun innovatieve zelfzorgproducten via ParkinsonNet op de markt te brengen. (bijv ook in de proeftuin Zorg van de Toekomst die onlangs door EFRO- OP-Oost is gehonoreerd). Dit biedt grote economische kansen voor de regio. Het levert echter ook gevaren op: de recente commotie rondom de uitgelekte overeenkomst tussen de U.K.'s National Health Service en Google en eerder al door de Patriot Act en de Snowden publicaties over het verzamelen van grote hoeveelheden persoonlijke data van burgers en instanties, laat zien dat in de huidige setting van de omgang met persoonsgegevens de huidige beveiliging onvoldoende is. Wij, artsen, doen er alles aan om de persoonlijke gegevens van patiënten zo goed mogelijk (met eigen oplossingen) te beveiligen, maar wij kunnen dit momenteel niet doen met de juiste waarborgen. Ook de gegevens die nu zonder onze tussenkomst via smart phones door patiënten of burgers worden verzameld, worden momenteel zonder goede persoonsbeveiliging opgeslagen in de cloud en doorgestuurd aan tal van partijen. Dat maakt onze samenwerking met de groep van Prof Bart Jacobs van zeer groot belang en biedt met onze beider expertises een grote kans, om op de trend naar big data in health goed in te kunnen spelen en als regio een prominente rol te gaan spelen en economische kansen te creëren.
Prof. Bart Jacobs Het huidige voorstel zet in op een unieke nieuwe methode om de persoonlijke data goed te beveiligen, voordat deze data worden verstuurd voor opslag in de cloud of worden verstuurd aan gebruikers. De methode krijgt zeer lovende referenties in binnen- en buitenland en heeft volgens experts het in zich om hiermee een Europese nieuwe standaard te kunnen worden (voldoend aan alle laatste EU en NL
1
regelgeving en verordeningen bekend onder de naam General Data Protection Regulation, in het kort: GDPR). Computerbeveiliging is in de tegenwoordige tijd regelmatig in het nieuws en veelal negatief: privacy en het schenden van persoonsgegevens kan grote projecten en bedrijven maken of breken. Zeker als het gaat over persoonsgegevens in de gezondheidszorg, is een juiste omgang en het voorkomen van de mogelijkheid van inbreuk op de data van zeer groot belang. De samenwerking tussen deze twee groepen: Radboudumc en Radboud Universiteit op gebied van data privacy en security, heeft op dit speerpunt met beider expertise en reputatie een nieuwe methodologie ontwikkeld, die het antwoord kan bieden op de zorgen rondom het garanderen van de privacy en security van patiënt gegevens. De methode heet Polymorfe Encryptie en Pseudonimisering, in kort: PEP. De methode PEP verzorgt dat, voorafgaand aan het versturen van data, deze dusdanig versleuteld en gepseudonimiseerd is, dat de data wel te gebruiken is voor klinisch onderzoek, maar deze data nooit te herleiden zijn tot het individu wat de data ter beschikking stelt. Dit in tegenstelling tot allerlei producten en apps die nu al data in de cloud bewaren en ter beschikking stellen, waarbij deze garantie niet gegeven kan worden. De PEP methodologie biedt daarmee ook de service aan de al lopende producten en centra die momenteel al van de gezondheidsdata van grote aantallen personen gebruik maken. Het is van zeer groot belang om deze methodologie uit te werken tot een publieke en voor ieder bereikbare infrastructuur. Dit omdat met private middelen er altijd ook belangen zijn in de commerciële sfeer en daarbij de absolute veiligheid in het geding is, ofwel de suggestie van belangenverstrengeling de burgers en patiënten niet het vertrouwen zal geven om de eigen data voor klinisch onderzoek ter beschikking te stellen. Het voornemen van beider groepen is om in de regio, in Nijmegen, een internationaal opererend expertisecentrum te ontwikkelen vanuit de nieuwe PEP methodologie. Dit kennis- en expertisecentrum zal vanuit Nijmegen, zowel big data investeringen kunnen aantrekken, waarbij de IP en kennis hier in de regio gegarandeerd behouden blijft, als ook (regionale) MKB-partners kunnen aantrekken, die met de PEP methodologie, infrastructuur en keurmerk hun producten een onderscheidend voordeel kunnen geven: namelijk het goed beveiligd hebben van alle data die door hun (zelfzorg-) producten of apps in de cloud worden bewaard of uitgestuurd. Met de PEP software kan hun product zo aangepast worden, dat er enkel versleutelde en gepseudonimiseerde data worden uitgelezen, waarmee nooit de identiteit van de drager van deze persoonsgegevens bekend kan worden. Bij het uitdelen van het PEP-keurmerk wordt aan alle gebruikers van de zelfzorgproducten helder gemaakt dat met het gebruik, hun persoonsgegevens goed beveiligd zijn, gecontroleerd door dit PEP-keurmerk. Experts in binnen- en buitenland op het gebied van persoonsgegevens hebben aangegeven dat de PEP methodologie antwoord kan geven op alle door de regelgeving vereiste waarborgen en verordeningen. Zij geven aan dat dit het antwoord kan zijn op de internationale vraag en dat hiermee de PEP methodologie grote kansen biedt om de internationale EU-standaard te kunnen worden. Met de unieke kenniscombinatie heeft de regio grote kansen om de standaard en expertisecentrum blijvend in de regio te verankeren, en daarmee een hub te doen ontstaan met aanzuigende werking van private partijen in de regio.
2
Vragen: Vraag 1: Waarom is dit verzoek aan provincie gedaan en bijv. niet aan het Rijk, nationaal of aan NWO? Dit verzoek betreft niet het onderzoek, maar de verdere ontwikkeling van de PEP methodologie naar een marktrijp product en de benodigde infrastructuur, dus NWO is geen optie. Daarnaast, zijn er eerder vanuit het rijk investeringen gedaan op bijv. het kenniscentrum ICT, dit kenniscentrum is dan ook voor de regio verloren gegaan en zal blijvend gevestigd zijn in Den Haag. Onze poging is om de aanwezige kennis, reputatie en infrastructuur blijvend te vestigen in onze regio, standplaats Nijmegen, waardoor wij ook in staat zijn de profiteren van de aanzuigende werking naar vestiging van MKB-partijen in de zorg (waarvan een groot aantal al in ons netwerk aanwezig is) en in staat zijn grote vervolginvesteringen aan te trekken van big data bedrijven. Waarbij deze wel de data kunnen gebruiken voor hun onderzoek, maar nimmer deze data kunnen traceren naar de identiteit van de persoon achter deze data.
Vraag 2: Hoe wordt gegarandeerd dat dit niet een project wordt wat infrastructuur oplevert, maar geen gebruikers die de infra gebruiken en kunnen financieren? Beantwoording: Momenteel is al een groot aantal gebruikers aanwezig in het netwerk van ParkinsonNet en afdeling Privacy & Security. Bij de aanvang van EFRO project ParkinsonNext waren al meer dan 80 MKB-partners aanwezig die gebruik wilden maken van het netwerk om hun zelfzorgproducten op de markt te kunnen brengen, in de huidige proeftuin in Nijmegen is dit netwerk van MKB-partners ook uitgenodigd hiertoe. Tevens is uit het netwerk van Privacy & Security veel belangstelling aanwezig vanuit NXP, Philips, kleinere ICT- bedrijven en app bouwers. Zij hebben belangstelling voor de PEP beveiliging en keurmerk wat hun bedrijf en producten een onderscheidende voorsprong kan. Hiernaast hebben grote mondiale spelers interesse geuit een aangegeven mogelijk te willen investeren op deze regio, als deze de PEP infrastructuur kan bieden. Ze voldoen op dat moment aan alle regelgeving op terrein van privacy&security, zonder dat ze zelf als bedrijf het risico lopen. Met de PEP infrastructuur kan de regio daarmee een blijvende positie behouden, waarbij diverse partijen hun producten willen optimaliseren, maar ook grote big data partijen van de data gebruik kunnen maken, waarbij de privacy van de gegevens altijd gewaarborgd blijft en zonder dat persoonsgegevens worden overgedragen. Gegeven deze huidige belangstelling, zelfs nog voordat de infrastructuur gerealiseerd is, geeft ons de juiste garantie voor gebruik. (zie ook beantwoording vragen zoals door GS ter beschikking wordt gesteld). Vraag 3: Waarom investeren wij, wat gebeurt ermee zodra de techniek ontwikkeld is en wie ontvangen de baten? Beantwoording: De publieke financiering is nodig om de PEP methodologie in een open voor ieder toegankelijke omgeving beschikbaar te krijgen. Liever door deze regio gefinancierd om daarmee de infrastructuur hier in Nijmegen te kunnen behouden. De open source inbedding, garandeert dat, in tegenstelling tot een private spin off, bijvoorbeeld, dat de IP of rechten kunnen worden overgenomen door mondiale grote spelers en daarmee de infrastructuur en vervolginvesteringen uit deze regio zou gaan verdwijnen. Als wij de open source infrastructuur hier gaan realiseren is het verdienmodel dat alle gebruikers van deze PEP- technologie een licentie / vergoeding betalen voor de commerciële benutting van de data die met de PEP methodologie wordt opgeslagen (NB daarbij garantie nooit herleiding mogelijk tot persoonsgegevens). 3
Hiernaast zal het expertisecentrum verdienen aan het aanpassen van zelfzorg hulpmiddelen, smart phones of apps om de PEP software te implementeren en in te bouwen in deze producten, zodat deze een onderscheidend voordeel hebben t.o.v. concurrent producten. Denk hierbij aan ICT bedrijven in personalized serious games / health monitoring /activity trackers / stappentellers / smart phones / questionaires, data-mining op gespreksverslagen arts consults, eigen dashboards en user interfaces op gebied well being / quality of life. In de regio zijn een veelheid aan dit type MKB-partijen aanwezig. Uiteindelijk zullen partijen ook betalen voor het verkrijgen van het PEP keurmerk, wat de veiligheid van opslag en uitlevering van de data waarborgt met alle bescherming van persoonsgegevens. Hiernaast zullen veel ziekenhuizen en gezondheidscentra van deze infrastructuur gebruik willen maken, zodat de eigen klinische data ook op de juiste wijze beschermd worden. Dat is nl. momenteel niet het geval. Ook de publieke klanten als ziekenhuizen, zorginstellingen, huisartsen, Vektis, verzekeraars zullen een fee betalen voor toepassing van de PEP technologie in hun verwerving, opslag en uitlevering van de medische databestanden, zodat ten allen tijde wordt gegarandeerd dat de persoonsgegevens veilig en niet traceerbaar zijn. Dit is de garantie welke de PEP technologie hen biedt. Al deze baten komen dus terecht in het nieuwe publieke PEP expertise centrum in de regio. Vraag 4: Is deze technologie enkel toepasbaar in de medische wereld? Beantwoording: Nee, de techniek kan breder gebruikt worden, zoals op het terrein van binnenlandse veiligheid, terreur bestrijding of Internet of Things. Het is echter zo, dat we eerst nu de infrastructuur moeten bouwen, waarna we meerdere applicatiemogelijkheden blijven ontwikkelen. Voor nu is de basis gekozen op het terrein van de gezondheidszorg, vanwege de huidige onrust en de vraag naar afdoende beveiliging op dit gevoelige gebied. Vraag 5: Zijn voor de ontwikkeling medici en participatie van meerdere ICT bedrijven nodig? Beantwoording: Nee, we hebben alle kennis in beide groepen voorradig. We laten een selectie van bedrijven toe in het ontwikkeltraject, om meteen de praktijk werking te kunnen demonstreren en de juiste gebruikersspecificaties te ontwikkelen. Het is vooral zo, dat we direct een aantal partijen willen ondersteunen, zodat we meteen een aanzuigende werking kunnen genereren voor de regionale MKBpartijen. Deze bedrijven zullen met de techniek meekijken, mogelijk de PEP software al inbouwen, waarmee zij zelf de data veilig kunnen opslaan. Tijdens het project wordt de veiligheid van de huidige klinische studies of partijen die nu al data (onbeschermd of onvoldoende beschermd) in de cloud opslaan al verbeterd. Wij bieden dus meteen van de start van het project een service aan deze partijen, ze zijn zelf niet nodig om de PEP infrastructuur te ontwikkelen. Vraag 6: Wat is de internationale belangstelling, hoeveel dragen zij momenteel al procentueel bij? Beantwoording: Er is momenteel gerichte belangstelling om een bedrag van 10 miljoen dollar te investeren op een klinische studie die beveiligd wordt via PEP. Dit bedrag zal echter nooit in de infrastructuur gaan voor de opbouw van PEP. Wij willen deze nl. in publieke handen in onze regio houden. Het laat wel zien, hoe groot het belang is van deze infrastructuur. Juist door deze aanwezigheid wordt onze regio ook interessanter voor het doen van klinische studies. Nijmegen staat al bekend vanwege haar klinische studies en het organiseren van patiënt cohorten. Met deze databeveiliging is er een unieke infrastructuur gerealiseerd, die deze positie alleen maar gaat versterken. Ook is het ontwikkelteam versterkt door de inhuur van een aantal nationale topjuristen, die blijft bewaken dat de 4
PEP infrastructuur aan alle EU en NL regelgeving blijft voldoen. Daarmee zullen de grote investeerders dus wel de data gaan afnemen voor hun klinische studies, maar nooit de personen kunnen achterhalen die de data voor deze studie hebben geleverd. Dat is tevens voor hen een juridische waarborg, waarmee ze claims van inbreuk op de wetgeving kunnen voorkomen. Vraag 7: Hoe ver reikt de ambitie? Beantwoording: De ambitie is groot. Met deze eigen investering van 9 ton en het subisidieverzoek van 7.5 ton willen we een duurzaam PEP expertisecentrum opbouwen en een keurmerk realiseren, waarmee we een structurele positie gaan innemen op het goed beveiligen van gezondheidsdata, het met deze waarborgen kunnen uitvoeren van grote klinische studies (internationaal) en waarmee we veel MKBpartijen kunnen gaan ondersteunen in het implementeren van de PEP software in hun zorgproducten of apps. Hiermee wordt een organisatie en verdienmodel gerealiseerd wat het expertisecentrum blijvend kan financieren, vanuit deze MKB-services, het keurmerk en de investeringen die door grote big data in deze regio zullen worden gedaan. Het is daadwerkelijk onze ambitie om DE HUB te worden voor “privacy en security van gepersonaliseerde zorg”. Vele invloedrijke mensen op het terrein van persoonsgegevens hebben zich al uitgesproken dat deze PEP methode “de Europese standaard moet worden”. Onze ambitie is om dat daadwerkelijk te gaan realiseren. Vraag 8: Het plan is ambitieus en zeer innovatief. Hoe groot is de kans dat meer kapitaal nodig is en daar nog meer publieke middelen bij nodig gaan zijn? Beantwoording: Het voorstel is zorgvuldig tot stand gekomen zowel qua inhoudelijke activiteiten als ook de bijbehorende begroting, wij zijn ervan overtuigd dat met onze eigen investering en het subsidie verzoek wij voldoende middelen ter beschikking hebben om “up and running” te komen. Daarmee wordt de PEP infrastructuur gerealiseerd. Met de huidige belangstelling hebben wij het vertrouwen dat deze infrastructuur leidt tot de vorming van een expertisecentrum met een eigen verdienmodel en financiering. Deze financiering zal dan voortkomen uit vergoedingen voor services aan regionale MKBpartners die hun producten met deze PEP infrastructuur en software willen verbeteren, door het keurmerk wat wordt verleend en door de investeringen door grote big data bedrijven die de veilige data infrastructuur willen gebruiken via een licentie. Hiernaast zullen veel ziekenhuizen en gezondheidscentra van deze infrastructuur gebruik willen maken, zodat de eigen klinische data ook op de juiste wijze beschermd worden. Dat is nl. momenteel niet het geval. Dit pallet biedt voldoende perspectief op een duurzame financiering van het PEP-expertisecentrum en het behoud en onderhoud van de PEP methodologie.
5