Veilig patiëntgegevens delen
Medische gegevens veiliger en nuttiger maken dan nu het geval is. Dat is wat de Radboud Universiteit Nijmegen voor ogen heeft met een nieuw datasysteem, dat wordt toegepast bij een omvangrijk onderzoek naar de ziekte van Parkinson. Door alleen bepaalde brokjes informatie te ontsleutelen is de kans op gevaarlijke informatielekken kleiner.
Het systeem van de Radboud Universiteit moet onderzoekers meer informatie geven dan ze nu kunnen krijgen, en tegelijkertijd voorkomen dat gevoelige medische informatie in verkeerde handen valt. Dat gebeurt door een nieuwe externe partij te betrekken bij het uitgeven van informatie.
Op dit moment gaat het nogal ongestructureerd: een onderzoeker koelmt bij de dokter, vraagt om patiëntgegevens, en de arts geeft vervolgens informatie. Wil een onderzoeker daar een klein detail uit weten (bijvoorbeeld iemands leeftijd of familiegeschiedenis), dan moet hij alle gegevens in handen krijgen. Hoewel van onderzoekers wordt verwacht dat ze daar verantwoord mee omgaan, is dat risicovol, aangezien een lek meteen veel informatie weggeeft. Bovendien moet een onderzoeker soms bij meerdere artsen of ziekenhuizen langs om genoeg data voor zijn onderzoek te verzamelen.
Sleutelen
Maar nu is er PEP. Deze Polymorphic Encryption and Pseudonymisation-techniek, afkomstig van Radboud Universiteit-professoren prof.dr. Bart Jacobs en prof.dr. Eric Verheul, zorgt ervoor dat andere partijen alleen het voor hun relevante deel van de informatie krijgen. Dat doen de hoogleraren met een soort tweefasesysteem.
Allereerst versleutelen ze de geanonimiseerde data. Vervolgens vraagt een onderzoeker, verzekeraar of arts aan een aparte partij of ze gegevens mogen gebruiken. Zo ja, dan geeft deze partij – zonder zelf de gegevens in te kunnen zien – de relevante data aan de onderzoeker. Die moet de gegevens vervolgens ontsleutelen met een unieke sleutel die weer door een andere partij verstrekt wordt (dit kan bijvoorbeeld de patient zijn die kiest om mee te werken aan een onderzoek, of gegevens af te staan in ruil voor korting). De sleutel ontsluit alleen dat deel van de data waar de onderzoeker behoefte aan heeft.
Dat is een grote stap vooruit ten opzichte van het huidige systeem. Er past nu maar één sleutel op het hele pakket patiëntgegevens. Dankzij het polymorfe karakter van PEP is dat niet meer nodig. Nu zal het voor het eerst in de praktijk gebruikt worden voor een onderzoek naar Parkinson. 650 patiënten zullen de gegevens over de ontwikkeling van hun ziekte (die verzameld wordt door middel van een wearable) delen met onderzoekers over de hele wereld. PEP verzekert hen ervan dat die gegevens veilig gebruikt worden.
Simpele Encryptie
PEP is vooral vernuftig vanwege het ontwerp rond de versleutelde gegevens, met een externe partij die alle informatie verstrekt. De encryptie zelf is verrassend simpel. Verheul: 'We gebruiken een oude methode die gebruikmaakt van elliptische krommen, het zogenoemde ElGamal-systeem. Het wiskundige systeem maakt een twee sleutels aan: één openbare en één privésleutel. Die laatste komt in dit geval bijvoorbeeld in handen van de onderzoeker, de eerste is voor iedereen bruikbaar om gegevens te versleutelen. Het lijkt op het bekendere RSA-algoritme, maar volgens Verheul is RSA tegenwoordig moeilijk te gebruiken, omdat de sleutels steeds langer worden. Dat komt doordat RSA priemgetallen gebruikt, en daarbij geldt dat de sleutel beter is als het priemgetal langer is. Inmiddels zijn die getallen echter ruim 600 cijfers lang. ElGamal gebruikt wiskundige groepen, waardoor het beter werkt en korte sleutels heeft; typisch 80 cijfers voor vergelijkbare beveiliging.
De echte innovatie is niet de versleutelingsmethode, maar de polymorfe toepassing daarbinnen: het feit dat je na de versleuteling van data nog kunt bepalen wie de inhoud mag kunnen lezen zonder dat daarbij de data nog in plaintext tevoorschijn komt. Traditionele versleuteling kunnen we zien als het plaatsen van data in een kluis en het sluiten daarvan met een combinatie voor de beoogde gebruiker. Dat betekent dat het niet mogelijk is om de data nogmaals te verstrekken aan een andere gebruiker.
In de polymorfe opzet is de versleuteling in tweeën gesplitst : een generiek gedeelte (gebruikmakend van een generieke ElGamal publieke sleutel) en een her-sleutel gedeelte waarbij de data geschikt wordt gemaakt voor een bedoelde ontvanger. In PEP vindt het generieke gedeelte plaats bij de leverende partij (typisch een zorgaanbieder) en de her-sleuteling bij een centrale vertrouwde partij. Deze partij kan de data dus wel transformeren maar heeft geen toegang tot de data.
Koppelen
Bijkomend voordeel voor de onderzoeker is dat hij, na een onderzoek, de dataset kan uitbreiden en via hetzelfde proces de verrijkte gegevens terug kan stoppen in een database. 'Dat zorgt voor een veel efficiënter onderzoek en minder verlies van kennis', vertelt hoogleraar Verheul.
Het systeem gaat echter verder dan een fijne bijkomstigheid voor onderzoekers. Verheul: 'Hiermee wordt het makkelijker om veilig databases te koppelen en meer informatie te winnen. Stel dat je de kosten van een behandeling, de medische gegevens en de ervaring van een patiënt allemaal samenvoegt, dan wordt het plots mogelijk om een optimale behandeling te maken.'
Als (anekdotisch) voorbeeld noemt hij een heupoperatie. Een vergelijkend onderzoek in Nederland en Duitsland liet zien dat de Duitse patiënten veel sneller en beter herstellen en dat de behandeling goedkoper was. 'Dat lijkt te komen doordat de Duitsers meteen na de operatie mogen herstellen in een kuuroord, met partner of familie erbij. Dat effect van het kuuroord was te zien door de gegevens te combineren, en het bleek heel groot.' Binnen PEP wordt het ook mogelijk om niet-medische data die de patiënt zelf verzameld, e.g. vanuit gezondheid APPs, mee te nemen in de onderzoeken.
Menselijke maat
Hoewel PEP een stap vooruit is voor de rommelige wereld van patiëntgegevens is het systeem niet per se waterdicht. 'Technisch is het allemaal zo veilig als het kan, maar de menselijke kant is altijd spannend. Natuurlijk moet je oppassen met het samenvoegen van databases, omdat de gevolgen van een lek dan groot kunnen zijn.'
Verheul en collega's denken echter dat de veiligheid toeneemt doordat een externe partij de data beheert, maar niet kan inzien. Dat maakt het moeilijker om bruikbare gegevens onbedoeld in handen te krijgen. 'Natuurlijk bepaalt de interpretatie en toepassing van PEP straks hoe waterdicht het echt is. Maar ons ontwerp heeft de potentie om veiliger en efficiënter te zijn, en het levert ook nog meer informatie op om de gezondheidszorg vooruit te helpen.'
Kredietwaardigheid
Ziekenhuizen zijn zeker niet de enige plek waar PEP uitkomst kan bieden. 'Uiteindelijk hopen we dit landelijk uit te kunnen rollen op alle plekken waar overheid en niet-overheid bij elkaar komen.'
Als voorbeeld noemt hij het UWV (Uitvoeringsinstituut Werknemersverzekeringen), dat samenwerkt met het BKR (Bureau Krediet Registratie). Het UWV gebruikt identificerende informatie (het BSN), het BKR niet. Dat kan lastig zijn in de communicatie over burgers. 'Als BKR die informatie, voorzien van een BSN, pseudonymiseert en doorgeeft, wordt de kans op ongelukkige vergissingen rond kredietwaardigheid veel kleiner.' Ook gevoelige informatie bij justitie en politie is op deze manier te delen. Binnen het Nederlandse eID stelsel wordt met deze technologie op dit moment getest; sterker nog, dat is de oorsprong van PEP
foto George Hodan