Dominante techpartijen als Google, Amazon en Apple ontwikkelen in de VS steeds meer nieuwe diensten die zich richten op zorginnovaties. Ze werken daarbij nauw samen met klassieke spelers, zoals ziekenhuizen, medische faculteiten, medicijnfabrikanten maar ook de World Health Organization (WHO). On body devices, spraaktechnologie en AI: de verwachtingen zijn hoog gespannen. Maar er zijn ook zorgen, want misbruik van patiënten- en gebruikersdata vormt een niet onaanzienlijk risico.
In september 2019 kondigde Apple maar liefst drie nieuwe gezondheidsonderzoeken aan in samenwerking met grote gezondheidszorgorganisaties, waaronder diverse ziekenhuizen en de World Health Organization. Alle drie de onderzoeken richten zich specifiek op Apple Watch-dragers. Als die de nieuw ontwikkelde Apple Research App downloaden, verandert het slimme horloge namelijk in een permanente monitor – een ‘on body device’ - die de hartslag van de gebruiker meet, de hoeveelheid lawaai waaraan hij of zij wordt blootgesteld en de hoeveelheid lichaamsbeweging per dag.
Zelfs de menstruatiecycli van vrouwelijke gebruikers kunnen via de nieuwe app worden gemeten – niet toevallig is één van de studies een langetermijnonderzoek naar menstruatiecycluspatronen. Deze Apple Women's Health Study, opgezet samen met het National Institute of Environmental Health Sciences (NIEHS) en Harvard, moet onder meer de screening en risicobeoordeling van bepaalde gynaecologische aandoeningen gaan ondersteunen, zoals het polycystisch eierstoksyndroom (PCOS) of osteoporose.
De parameters hartslag en hoeveelheid beweging worden geanalyseerd in het kader van de Apple Heart and Movement Study. Doel is hier om in kaart te brengen hoe de hartslag en de activiteit samenhangen met ziekenhuisopnames, ernstige valpartijen, de algemene gezondheid van het hart en kwaliteit van het leven. Voor deze studie werkt de techgigant onder meer samen met de American Heart Association.
De Apple Hearing Study, tot slot, moet onderzoekers van de Universiteit van Michigan meer inzicht bieden in de geluidsniveaus waaraan gewone consumenten worden blootgesteld en hoe die hun gehoorgezondheid zouden kunnen beïnvloeden. De resultaten van deze studie worden ook gedeeld met de WHO.
Achilleshiel
De drie studies zijn goede voorbeelden van een veel bredere trend: grote techbedrijven hebben de zorgsector ontdekt als nieuw terrein voor innovaties. Zo kondigde Amazon onlangs een nieuwe functie aan voor Alexa, die het mogelijk maakt om apotheekinformatie te koppelen aan de slimme luidspreker. Alexa waarschuwt de gebruiker vervolgens wanneer die zijn medicijnen moet innemen en kan ook zelfstandig nieuwe medicijnen bestellen. Die service is vooralsnog alleen beschikbaar voor klanten van de keten Giant Eagle Pharmacy, maar Amazon heeft al laten doorschemeren in de toekomst ook andere grote apothekers te willen laten aansluiten. Daarnaast ontwikkelt Amazon ook nieuwe spraaktechnologie om het werk van medici te verlichten, zoals dicteersoftware die om kan gaan met specifieke (para)medische terminologie (Amazon Transcribe Medical).
Ook Google laat zich niet onbetuigd. Het bedrijf werkt namelijk al sinds 2018 samen met zorgorganisatie Ascension, dat actief is in 21 Amerikaanse staten. Ascension verleent de divisie Google Brain toegang tot patiëntgegevens, om op basis van kunstmatige intelligentie (AI) en machine learning software tot nieuwe inzichten te komen. Aanvankelijk was dit zogeheten Project Nightingale geheim, maar nadat de Wall Street Journal was getipt door enkele bezorgde Ascension-medewerkers brachten beide partijen de samenwerking in de openbaarheid.
Project Nightingale bracht direct de achilleshiel van dit soort vormen van samenwerking aan het licht: in hoeverre is het wenselijk, of zelfs gevaarlijk, dat grote techspelers toegang krijgen tot identificeerbare gebruikersgegevens die zijn verzameld als onderdeel van ‘studies’ of ‘nieuwe diensten’? Of zoals Wall Street Journal-journalist Rob Copeland het formuleert: “Tot voor kort wisten noch patiënten noch artsen dat ten minste 150 Google-medewerkers toegang hebben tot een groot deel van de gegevens van tientallen miljoenen patiënten in 21 staten, met inbegrip van laboratoriumresultaten, doktersdiagnoses en hospitalisatieverslagen, gekoppeld aan namen van patiënten en geboortedata.”
Permanent karakter
Vrijwel direct na de publicatie van het artikel in de krant deed Ascension een persbericht uitgaan waarin de samenwerking met Google werd toegelicht en ‘robuuste inspanningen’ op het gebied van gegevensbeveiliging en -bescherming werden toegezegd. Apple en Amazon gaven al eerder aan ‘meerdere lagen van verificatie’ in te zetten om de informatie van de gebruiker te beschermen, inclusief spraakherkenning en wachtwoorden. Toch is het de vraag of dat voldoende is, want meer en meer blijkt dat de zorg een zeer interessante sector is voor cybercriminelen. Volgens verzekeraar Beazley Breach Response is maar liefst 37 procent van alle ransomware-aanvallen gericht op zorginstellingen.
Patiëntgegevens zijn op meerdere manieren te misbruiken, zegt Vincent Zeebregts, countrymanager van Fortinet Nederland, een grote internationale speler in ‘network security’. “Medische patiëntgegevens worden momenteel tegen recordprijzen verhandeld op het dark web. Deze gegevens onderscheiden zich van andere data vanwege hun permanente karakter. Dit in tegenstelling tot bijvoorbeeld een creditcard, die je makkelijk kan vervangen. Cybercriminelen hebben, nadat ze de informatie hebben gestolen, zeeën van tijd om geld te verdienen met patiëntengegevens. Dat doen ze onder meer met de verkoop van grote partijen gestolen identiteitsgegevens, door het afpersen van mensen die verborgen willen houden dat ze bepaalde ziektes hebben, of door de informatie te gebruiken als input voor social engineering-trucs om slachtoffers op nieuwe manieren te benadelen.”
Het feit dat steeds meer zorginstellingen, en met name ziekenhuizen, intensief gebruikmaken van IoT-apparaten verbreedt volgens Zeebregts het ‘aanvalsoppervlak’ - oftewel het aantal manieren en apparaten waarop een cyberaanval uitgevoerd kan worden. “De betrouwbaarheid en veiligheid van IoT-apparaten staan of vallen bij de manier waarop ze zijn ontwikkeld en getest. Zijn er beveiligingsmechanismen ingebouwd tijdens elke stap in het ontwikkelingsproces, of is de beveiliging een sluitpost geweest en achteraf even snel aangebracht voordat de apparatuur in gebruik werd genomen?”
Het lastige is dat patiënten zelf nog weinig kunnen ondernemen om hun gegevens veilig te houden. Die verantwoordelijkheid ligt bij de zorgsector. Zeebregts: “Met welke partij ze ook in zee gaan, zorginstellingen moeten serieus investeren in security die alle lagen van het netwerk beveiligt.”
Lees ook: ‘Zorgwerk biedt platform voor meer zorgcapaciteit’
Lees ook: ‘Duxxie: gemak, transparantie en efficiency’