Google zou betrokken zijn bij een project in de VS waarbij zij namens Project Nightingale medische informatie van miljoenen Amerikanen verwerkt, zonder medeweten van patiënten en artsen.1 Hieraan doen 2600 ziekenhuizen, medische posten en andere faciliteiten mee onder de naam Ascension. Dit is het op één grootste medische gezondheidssysteem in VS.
Minstens 150 Google medewerkers zouden toegang hebben tot complete gezondheidsgeschiedenis, inclusief de namen en geboortedata van patiënten. Deze gegevens worden gebruikt om de zorgverlening te verbeteren. Daarnaast wil de organisatie ook data vergaren zodat meer tests kunnen worden uitgeschreven, of zodat onderzocht kan worden waar er meer geld aan een individuele patiënt kan worden verdiend.
Deze verwerking zou op grond van de Amerikaanse Health Insurance Portability and Accountability Act uit 1996 plaatsvinden. Deze wet bepaalt dat ziekenhuizen met partners medische gegevens mogen delen, zonder patiënten hiervan op de hoogte worden gesteld. Het doel hiervan moet zijn de organisatie te helpen zijn gezondheidstaken uit te voeren. Daarnaast zal Google hiermee hun kennis omtrent kunstmatige intelligentie sterk kunnen verbeteren.
Google verwerkt in dit geval niet zelfstandig de medische gegevens, maar doet dit namens Ascension. Onder de AVG betekent dit dat Google als verwerker gegevens namens de verwerkingsverantwoordelijke Ascension verwerkt. De grondslag hiervan onder de AVG zal zijn de wettelijke plicht om deze gegevens te verwerken. Zo kunnen zorginstellingen in Nederland bijvoorbeeld Google (of anderen) inschakelen voor het verwerken van gegevens voor het doen van onderzoek naar de kwaliteit van de zorg.2
In dit geval is het echter de vraag of er onder deze Amerikaanse wetgeving een wettelijke plicht bestaat om te onderzoeken op welke wijze meer financieel gewin kan worden gehaald bij patiënten. Ook indien dit juridisch in orde zou zijn, speelt altijd de publieke opinie een rol in deze kwesties. Zo haalde Google onlangs nog het nieuws met het bericht dat honderdduizenden patiëntgegevens naar de servers van Google waren verhuisd.3
Deze publieke opinie wordt grotendeels gevormd door de gedachte dat organisaties als Google en Facebook niet juist met persoonsgegevens kunnen omgaan.4 Ook schandalen als Cambridge Analytic hebben deze bedrijven niet positief geholpen. Het is dan ook erg belangrijk voor organisaties om aan deze kant extra aandacht te schenken. Er zal voorts rekening moeten worden gehouden met het feit dat hoeveel meer mensen toegang hebben tot deze dataset, des te groter het risico op bijvoorbeeld een datalek zal zijn. Ook zal de impact van deze risico's zal groter zijn naar gelang de omvang van de dataset.
Van belang is om deze verwerkingen van diverse kanten te bekijken. Klopt alles juridisch? Zo ja, dan moet gekeken worden hoe het publiek kan reageren op bijvoorbeeld technologische veranderingen of het verwerken van gigantische datasets. Door deze vragen te stellen voordat een nieuw project live gaat, kunnen deze nieuwsberichten worden voorkomen. In onze privacy impact assessment (PIA) stellen wij dan ook deze vragen, naast de algemene juridische vragen. Wilt u weten hoe u dit soort berichten zelf in de hand kan houden? Neem dan vrijblijvend contact met ons op.
Voetnoten
- https://www.wsj.com/articles/google-s-secret-project-nightingale-gathers-personal-health-data-on-millions-of-americans-11573496790
- Dit vindt dan plaats op grond van de Wet kwaliteit, klachten en geschillen zorg
- https://deprivacyconsultant.nl/honderdduizenden-patientgegevens-verhuisd-naar-google
- https://en.wikipedia.org/wiki/Privacy_concerns_regarding_Google