We versturen liefdesbrieven met Gmail, gaan akkoord met het delen van ons complete adresbestand via WhatsApp, en zetten persoonlijke gegevens en foto’s op Facebook. Maar waar het op medische of persoonlijke gezondheidsgegevens aankomt lijken de meeste mensen een ander gevoel te krijgen bij het delen van hun informatie. Bij de gemiddelde zorgconsument – die wel veelvuldig gebruik maakt van allerlei sociale netwerken en klakkeloos gebruikersvoorwaarden accepteert – treedt er een zekere schrikreflex op als het gaat om medische gegevens. We vertrouwen een aantal bedrijven Silicon Valley, waar we vaak zonder de gebruiksvoorwaarden goed te lezen veel gevoelige data parkeren, haast meer dan onze eigen overheid en verzekeraars. Moeten we niet langzaam gaan wennen aan het idee dat een partij als Facebook, na het opkopen van je adres- en telefoongegevens, ook je persoonlijke gezondheidsgegevens in handen krijgt?
Heb je er ooit over nagedacht hoe je een lijst met contactpersonen te zien krijgt – inclusief foto en beschrijving – wanneer je een nieuwe chat wil starten in WhatsApp? Begin 2013 doet het College Bescherming Persoonsgegevens (CBP) onderzoek naar de werkwijze van WhatsApp.
Je moet verplicht toegang geven tot je volledige elektronische adresboek
Wie de app wil gebruiken, moet verplicht toegang geven tot zijn volledige elektronische adresboek. Het onderzoek wijst uit dat WhatsApp ook de mobiele telefoonnummers van niet-gebruikers bewaart. Zelfs wanneer persoon A geen WhatsApp gebruikt, kan hij of zij via de adresgegevens van persoon B in de datacollectie van het bedrijf terecht komen. En dat is in strijd met Nederlands privacyrecht. Naast het ongevraagde gebruik van adresboekgegevens is het CBP-rapport ook kritisch op het feit dat berichten makkelijk te onderscheppen zijn, en de matige beveiliging van de dienst.
In 2014 volgt er een nieuwe ontwikkeling: WhatsApp wordt voor een recordbedrag van 19 miljard dollar overgenomen door Facebook. Daarop dreigt het CBP met een dwangsom tegen het Amerikaanse bedrijf. Volgens Jacobs Kohnstamm, voorzitter van het College Bescherming Persoonsgegevens, verzamelt WhatsApp niet alleen persoonsgegevens van de gebruiker, maar het gehele adresboek op iemands smartphone. Die dataverzameling is in strijd met het recht op privacy, meent het CPB. De aanklacht is ontvangen door Amerikaanse juristen, maar er zijn nog geen verdere vorderingen, meldt het CBP desgevraagd.
"Het risico om die dataverzameling voor een compleet ander doel te gebruiken, is groot"
In een interview met Bloomberg beschijft Jacob Konstamm het gevaar: “Het risico om die dataverzameling voor een compleet ander doel te gebruiken, is groot.” Kohnstamm wijst erop dat WhatsApps methode van verzamelen van persoonsgegevens, zelfs van mensen die de service niet gebruiken, ‘extreem is’ en volgens Nederlandse en Europese wetgeving als illegaal kan worden beschouwd. Ook in Brussel klinkt een steeds luidere roep om Amerikaanse bedrijven, die hun service en producten voor de Europese markt (her)ontwerpen of laten vertalen en die inbreuk maken op privacywetten, strenger aan te gaan pakken. Die wetgeving moet Europese waakhonden meer tanden geven en sneller grenzen aan kunnen geven waar privacy in het geding komt.
Wie wordt de Facebook van de zorg?
De storm van kritiek rond WhatsApps overname is inmiddels wat gaan liggen, maar er blijft een aantal stofwolken hangen rond de thema’s privacy en (verkoop van) persoonlijke data. De discussies die online en offline gevoerd worden over het thema privacy hebben invloed op, en vormen zelfs, de manier waarop we met persoonlijke gezondheidsdiensten als apps, wearables en websites omgaan.
De zorgsector bleef tot enkele jaren geleden redelijk ongemoeid door die ontwikkelingen, lijkt het. Maar inmiddels groeien Amerikaanse bedrijven met als business case het verkopen van persoonlijke gegevens als kool. Neem Practice Fusion, aanbieder van (gratis) elektronische patiëntendossiers in de VS. Het verdienmodel van Practice Fusion rust op twee peilers: advertenties en gezondheidsdata exploiteren. Duizenden consumenten en artsen stemmen in met dat verdienmodel om een gratis dienst te kunnen gebruiken. Maar gratis bestaat niet: if it’s free, it’s you they are selling.
Worden na je telefoonnummer ook je gezondheidsgegevens aan Facebook verkocht?
En dat levert een hoop nieuwe vragen op, die specifiek betrekking hebben op het gebied waar de traditionele gezondheidszorg en nieuwe technologische toepassingen elkaar raken. Is het denkbaar dat een groot commercieel bedrijf als Facebook of Google, door het inlijven van een bedrijf als Fitbit of een medische app, ook persoonlijke gezondheidsinformatie in handen krijgt? Of stel je voor dat Facebook Practice Fushion overkoopt, en daarmee de medische dossier van tientallen miljoenen Amerikanen in handen krijgt. Worden na je telefoonnummer ook je gezondheidsgegevens aan Facebook verkocht? Wat betaalt Facebook, Apple of Google voor jouw persoonlijke gezondheidsdossier?
Gebrek aan wantrouwen = vertrouwen?
Daarvoor moeten we eerst terug naar de vraag waarom we welwillend staan tegenover dataverzameling, op steeds grotere schaal, door commerciële bedrijven. Wat is de reden dat mensen hun hele hebben en houden eigenlijk aan online gratis diensten als WhatsApp en Gmail toevertrouwen? Gemakzucht, zeggen sommigen. Omdat het gratis is. Omdat WhatsApp voorziet in een latente behoefte en sneller, goedkoper, beter is dan alle vorige alternatieven. In ruil voor gratis en goede services delen we – soms zonder daar volledig van op de hoogte te zijn – veel van onze persoonlijke gegevens met niet-gereguleerde, commerciële bedrijven.
Vertrouwen we onze overheid inmiddels minder met onze medische gegevens dan anonieme softwareontwikkelaars in Silicon Valley waar onze liefdesverklaringen naar toe gaan? Marcel Heldoorn heeft als beleidsmedewerker bij Patiëntenfederatie
"We kijken tegenwoordig haast positiever aan tegen marktpartijen dan tegen de overheid"
NPCF veel discussies en argumenten meegemaakt veel over de houding van Nederlandse patiënten en consumenten ten opzichte van hun persoonlijke gegevens. Heldoorn: “We zijn blijkbaar nogal teleurgesteld in hoe de overheid zich opstelt. Dat heeft onder meer te maken met het sentiment van het toenmalige Elektronische Patiënten Dossier (EPD).
Heldoorn: “Dat gaf een verkeerd signaal, ‘de minister wil iets met onze medische gegevens’. Voor veel mensen is het niet logisch dat een overheid dat doet. Ook verzekeraars, zo blijkt uit veel reputatieonderzoeken, staan niet als heel betrouwbaar bekend bij veel mensen. Dus we kijken tegenwoordig haast positiever aan tegen marktpartijen."
Het is niet zozeer vertrouwen in commerciële (vaak anonieme) bedrijven, maar juist het ontbreken van wantrouwen waardoor mensen het gebruiken, denkt Heldoorn: “Of het echt vertrouwen is, dat vraag ik me af, het is meer gemak denk ik. En dat is heel wankel, want zodra WhatsApp wordt overgenomen door Facebook zegt men in één keer: we stappen over en zeggen de dienst op.” Om daarna weer terug te komen bij de service, omdat de peer pressure van vrienden en familie die de dienst blijven gebruiken toch te groot blijkt.
Maarten den Braber, digital health expert en mede-oprichter van Quantified Self Europe, herkent die observatie van een gebrek aan wantrouwen. “De overheid loopt in sommige opzichten achter op de commercie. Tegelijkertijd is het ook een taak van de overheid om burgers te wijzen op de gevaren van sommige alternatieven. Ik denk dat dat ook zal gaan gebeuren aankomende tijd. Waarschijnlijk moet het een paar keer goed misgaan voordat we denken: hé, waarom heb ik mijn gegevens daaraan toevertrouwd? Dat gebeurt pas als een niet-gereguleerde partij wordt opgedoekt, of gegevens komen op straat te liggen.”
"Ik denk dat het een paar keer goed moet misgaan voordat we ons realiseren wat er met onze gegevens gebeurt"
Een softwareontwikkelaar in de zorg schetst eenzelfde beeld. We zijn door de EPD-discussie afgeschrikt door het idee van een nationale centrale data-opslag. “Het gaat over hét elektronisch patiëntendossier, ergens in Nederland staat een grote zwarte bak waar al mijn gegevens in staan. Dat beeld strookt natuurlijk niet met de werkelijkheid, maar er is wat dat betreft een beeldvorming ontstaan waardoor we wantrouwend naar de overheid kijken als het om onze persoonlijke gezondheidsinformatie gaat.”
Als je Den Braber vraagt naar hoe denkbaar het scenario is dat jouw gezondheidsgegevens in handen van een ‘niet-gereguleerde partij’ komen, hoeft hij niet lang na te denken. “Ik denk dat het zeker denkbaar is dat een bedrijf als Fitbit in de toekomst overgenomen wordt door een groter bedrijf. We hebben het al gedeeltelijk gezien met de overname van Nest (het bedrijf maakt o.a. slimme thuistechnologie zoals thermostaten, red.), waarmee behoorlijk wat privégegevens in handen van Google komen.”
SOA bespreken per mail
Op dagelijkse basis delen we al veelvuldig onze gezondheidsgegevens. Jongeren chatten over een opgelopen SOA via WhatsApp of sturen een selfie bij de GGD via SnapChat, in Gmail schrijf je over je aanstaande zwangerschap, op Twitter publiceren Withings-gebruikers hun actuele meetgegevens direct vanuit hun draadloze Withings weegschaal. Toch reageren we sneller terughoudend op de vraag van onze huisarts om medische gegevens te delen dan wanneer je een foto van je creditcard door appt. Is die schrikreflex als het om medische informatie gaat vreemd? Heeft het te maken met het gevoel dat we voor zaken waar we niet zelf voor kiezen – zoals lichamelijk aandoeningen – graag zelf bepalen met wie we die gegevens delen?
Natuurlijk speelt er nog een ander belangrijk verschil tussen de gegevens die we willens en (on)wetens delen, en persoonlijke medische informatie die zo veel mogelijk afgeschermd moet worden. Medische informatie wordt beschouwd als gevoelige persoonsgegevens, waarbij extra eisen gelden als
Voor ons lichaam gelden andere regels
toevoeging op de toch al strenge Wet bescherming persoonsgegevens (Wbp). Ook heeft iedere zorgverlener te maken met het beroepsgeheim: patiënten kunnen er zeker van zijn dat hun medische gegevens nooit zonder hun toestemming aan anderen worden gegeven of doorgespeeld. Ingekaderd door wet- en regelgeving gaan we op een fundamenteel andere manier om met onze medische gegevens dan met alle informatie die we vrijwillig op Twitter, Facebook of Instagram delen. Voor ons lichaam gelden andere regels.
Je medische dossier verlaat het ziekenhuis of de huisartsenpraktijk hopelijk niet. Maar waar de discussie over eigendom en bescherming van data en privacy wel gevoerd gaat worden, is in het domein van gezondheids- en fitnesstoepassingen, van wearables tot nieuwe sensortechnologie,
Big data betekent big influence: misschien niet direct, maar wel als lange termijn strategie
hardware en software. Het risico om die dataverzamelingen – met bijvoorbeeld gegevens over je hardlooprondes, gewicht, vitale functies, en eetpatronen – voor andere doelen te gebruiken, is groot, is het sentiment na de overname van WhatsApp. Als de NSA-affaire en de toenemende invloed van bedrijven als Facebook één ding hebben aangetoond, is het dat big data tevens big influence betekent. Misschien niet direct, maar wel als lange termijn strategie.
Privacy is een groot en gecompliceerd probleem, waarvan het effect op jou zeer klein is, herkent Den Braber. “Eigenlijk weet je helemaal niet zo goed meer waar het spoor naar toe leidt als je ergens op ‘ja’ klikt of de terms & agreements niet hebt gelezen. Het onderliggende contract van online
Privacy is een groot en gecompliceerd probleem, waarvan het effect op jou zeer klein is
diensten is zo veel ingewikkelder geworden. We missen een goede toolset om die problemen overzichtelijk en in een bredere maatschappelijke discussie over bijvoorbeeld privacy of surveillance te kunnen plaatsen.” Dimitri Tokmetzis schreef afgelopen maand in De Correspondent een artikel over hoe data uit Runtastic – een veelgebruikte hardloop app – bij zeker zes bedrijven in vier verschillende landen terecht komt. We hebben geen idee hoe een app onze data rondstrooit, schrijft Tokmetzis.
Den Braber waarschuwt dat die gezondheidsdata van apps en services ook gebruikt kunnen worden voor identificatie. “Er is minder bekend over de mogelijkheden om fysiologische informatie af te leiden en als informatie te zien en te delen. Gezondheidsinformatie is een relatief nieuw gegeven. Dat verklaart de onbekendheid met het idee dat gezondheidsinformatie ook kritieke persoonlijke informatie is. Maar je hartslag is net zo waardevol als je e-mails: beide zijn door jou gegenereerd en naar jou te herleiden.”
Plaats een Reactie
Meepraten?Draag gerust bij!