Dat ‘de privacy’ belangrijk medisch-wetenschappelijk onderzoek belemmert, is voor veel mensen binnen en buiten de zorg moeilijk te begrijpen. Vaak berust dit idee echter op misverstanden over de toepasselijke regels en misschien ook wel op vrees om het ‘fout’ te doen. Met multi party computation kunnen we wellicht de vereiste state of the art bescherming bieden.
Dat ‘de privacy’ belangrijk medisch-wetenschappelijk onderzoek belemmert, is voor veel mensen binnen en buiten de zorg moeilijk te begrijpen. Vaak berust dit idee echter op misverstanden over de toepasselijke regels en misschien ook wel op vrees om het ‘fout’ te doen. Met multi party computation kunnen we wellicht de vereiste state of the art bescherming bieden.
Een paar weken gelden was er wat reuring rond onderzoek naar oversterfte tijdens de Covid-pandemie. Dit naar aanleiding van een motie van het Kamerlid Omtzigt om die oversterfte in kaart te brengen. Het is niet de eerste keer dat er discussies ontstaan over het gebruik van medische persoonsgegevens voor onderzoek; tijdens Covid lijken ze alleen maar toegenomen, zowel in aantal als in scherpte.
Misverstanden
Een veelvoorkomend misverstand kunnen we misschien bij voorbaat al de wereld uit helpen. Zo wordt in het zorgdomein vaak gedacht dat belangrijk onderzoek voor de volksgezondheid onmogelijk wordt gemaakt door de combinatie van regels uit de AVG én het medisch beroepsgeheim uit de Wet geneeskundige behandelingsovereenkomst (WGBO). De WGBO kent echter voor dergelijk onderzoek een geen bezwaar-systeem. Dat kan worden toegepast als toestemming redelijkerwijs niet mogelijk is, maar het kunnen beschikken over gegevens voor onderzoek wel essentieel is. Te denken valt aan patiënten op de IC tijdens de eerste coronagolf, toen er nog veel onbekend was en onderzoek dus des te belangrijker. Een van de voorwaarden in de WGBO is dat de gegevens versleuteld moeten zijn volgens de stand van de techniek.
Ook in andere domeinen, bijvoorbeeld sociale zekerheid of bestrijding van (ondermijnende) criminaliteit, worden beperkingen gevoeld bij met name het delen van gegevens om mensen goed te kunnen helpen of om ongewenst gedrag te kunnen aanpakken. Vaak is een grondslag voor verwerken of delen wel aanwezig, maar het gaat om gevoelige gegevens zodat ook hier de hoogste eisen aan de vertrouwelijkheid moeten worden gesteld.
Multi party computation
De logische vervolgvraag is dan hoe we die vereiste state of the art bescherming kunnen bieden. Een antwoord kan zijn: multi party computation. Deze nog vrij jonge loot aan de informatiebeveiligingsstam maakt analyses over meerdere databronnen mogelijk zonder dat gevoelige gegevens in die bronnen zichtbaar worden of in bezit komen van partijen buiten de organisatie die verwerkingsverantwoordelijke is. De gegevens worden versleuteld bij de bron en vervolgens opgeknipt in zogenoemde secret shares. Iedere verwerkingsverantwoordelijke krijgt een eigen sleutel waarmee de gegevens worden versleuteld. Vervolgens kan, na instemming van de verwerkingsverantwoordelijke, op en met de versleutelde shares worden ‘gerekend’, zonder dat de gegevens op enige manier zichtbaar of bereikbaar zijn voor degene die de berekeningen uitvoert. De uitkomst van de berekeningen wordt uiteraard wel teruggegeven aan de partij die recht heeft op die uitkomsten, als resultaat van de gegevensanalyse.
De gegevens worden versleuteld bij de bron en vervolgens opgeknipt in zogenoemde secret shares
Op mij kwam de techniek aanvankelijk over als een nieuw soort block chain. Was dit ook weer een eeuwige (en weinig duurzame) belofte? Maar na een diepgaandere bestudering steeg mijn enthousiasme. Door de geavanceerde versleuteling, die de gegevens tijdens de verwerking absoluut geheim houdt, en door het bij de bron laten van de gegevens, kunnen we met MPC invulling geven aan gegevensbescherming by design. Dat opent mogelijkheden voor vormen van gegevensgebruik die tot nu toe inderdaad stuitten op ‘de privacy’.
Let wel, MPC is geen panacée. Ook als deze techniek wordt ingezet, is nog steeds sprake van verwerking van persoonsgegevens. De reikwijdte van dit AVG-begrip is heel ruim en ook versleutelde gegevens vallen er onder, want nog steeds op een of andere manier herleidbaar naar een identificeerbare persoon. Er zal dus altijd een grondslag voor het verwerken van de gegevens moeten zijn, en er moet aan het vereiste van doelbinding worden voldaan. Het gaat dan onder meer om wettelijke taak of plicht, toestemming of een overeenkomst, of er moet sprake zijn van verdere verwerking voor een verenigbaar doel. Onder dat laatste valt ook verwerking voor statistiek en onderzoek.
Gevoelige gegevens
MPC biedt goede mogelijkheden als gevoelige gegevens worden verwerkt. Dat kan ook gebruik van gegevens door en tussen overheidsorganisaties voor dienstverlening zijn. Bijvoorbeeld om mensen te attenderen op aanspraken die ze hebben, of op een wijziging in hun omstandigheden die daar invloed op heeft. Dat ondersteunt maatwerk en menselijke maat. Ik noemde eerder al het domein van de sociale zekerheid; het is goed om te zien dat SVB en UWV een pilot met MPC zijn gestart om gegevens te kunnen delen om ouderen te attenderen op een mogelijke aanvulling op hun AOW. Ook voor uitwisseling van gegevens voor het signaleren van problematische schulden zou dit goede perspectieven kunnen bieden. Het gaat in deze gevallen vaak om gevoelige gegevens, die de financieel-economische en soms ook sociale positie van mensen duiden. Extra zorg voor vertrouwelijkheid is dan logisch.
Ondermijnende criminaliteit
Een andere kans voor MPC zie ik in de hoek van de (ook eerder al genoemde) bestrijding van ondermijnende criminaliteit. De Wet gegevensverwerking door samenwerkingsverbanden biedt een grondslagen voor het delen van gegevens tussen deelnemers van in die wet benoemde samenwerkingsverbanden, zoals de RIEC’s, het FEC en iCOV. De vrees voor het ongebreideld samenvoegen en combineren van gegevens uit verschillende bronnen bezorgde de Tweede en nu ook de Eerste Kamer hoofdbrekens. Ik zou me kunnen voorstellen dat de inzet van MPC, waarbij gegevens bij de bron blijven en alleen beschikbaar zijn voor analyse onder een zeer sterke versleuteling, de aanvaardbaarheid van het wetsvoorstel kan vergroten. Onderzoek naar inzet van deze techniek bij de genoemde samenwerkingsverbanden zou dan ook de moeite waard zijn.
Virtuele data archipel
De inzet van MPC voor data-analyse wordt soms aangeduid als het creëren van een virtual data lake. Hoewel ik snap dat virtual natuurlijk juist beoogt uit te drukken dat het níet om een stuwmeer gaat, doet deze aanduiding toch geen recht aan het concept. Wat mij betreft kunnen we beter spreken van een virtuele data archipel, waar alleen veilige bruggen tussen gegevenseilanden worden geslagen als dat echt nodig is. Wat mij betreft zeker de moeite van het verder onderzoeken en beproeven waard.
Mariette Lokin is Principal consultant bij Hooghiemstra & Partners en onderzoeker aan de VU Amsterdam
Podcast BNR met Mariette Lokin
Hoe kunnen we het mogelijk maken dat organisaties meer data kunnen delen, binnen de strenge privacywet? Die vraag stond centraal in een podcast van BNR Eyeopeners waarin multi party computation, kortweg MPC, wordt besproken. Te gast zijn Mariette Lokin, Thomas Attema, onderzoeker bij TNO p het gebied van cryptografische technologieën en Roderick Rodenburg, CEO en medeoprichter van Roseman Labs die MPC als product aanbiedt op de markt.
