OLV Ziekenhuis Aalst werkt aan breed inzetbare oplossing voor de-identificatie en pseudonimisatie

In de zorg zijn er ongelooflijk veel data beschikbaar. De kunst bestaat erin om die zo goed mogelijk in te zetten: voor beleidsondersteuning, voor klinisch onderzoek, om de zorg te verbeteren, om efficiënter te werken… De mogelijke toepassingen zijn eindeloos en de lijst wordt met de dag langer.

Er is bij dit alles één iets dat we nooit of te nimmer uit het oog mogen verliezen: als je patiëntendata ontsluit naar een externe partij of software, dan moet je die data veilig beschikbaar stellen en de privacywetgeving respecteren. Dat houdt onder meer in dat je ervoor zorgt dat personen in een dataset niet geïdentificeerd kunnen worden. Anders gezegd, je moet de data ontdoen van alle herkenbare persoonsgegevens, en versleuteld of gepseudonimiseerd ter beschikking stellen van de derde partij.

Heel vaak gebeurt dit vandaag op ad-hoc-basis. Maar dat vergt tijd en moeite, want je moet de oefening voor elke case overdoen.

Eén oplossing voor verschillende scenario’s

De IT-dienst van OLV Ziekenhuis in Aalst wil af van deze case-by-case-benadering. Ze namen Amaron onder de arm om een generieke oplossing uit te werken: een oplossing die je kan inzetten in verschillende scenario’s en die niets aan het toeval overlaat qua data privacy.

“Momenteel hebben we in het ziekenhuis verschillende cases in de pijplijn zitten. Bij IT willen we klaar zijn om nieuwe AI-services snel te kunnen aansluiten zodra dat nodig is,” vertelt Goedele Antonissen, IT-directeur bij OLV Ziekenhuis.

“Wat we gemaakt hebben, is een building block die je kunt hergebruiken voor verschillende cases. Op die manier kunnen we heel wat tijd besparen. En dat niet alleen: deze oplossing is ook een stuk veiliger. Met onze nieuwe oplossing kunnen we zonder extra werk voor elke service een ander pseudoniem gebruiken. Hierdoor kunnen verschillende exports nooit aan elkaar gelinkt worden.”
Goedele Antonissen, IT-directeur OLV Ziekenhuis 

Drie componenten

De oplossing voor de-identificatie en pseudonimisatie bestaat uit drie onderdelen:

1. De eigenlijke pseudonimisatie: waarmee je de identifiers van een patiënt geautomatiseerd weghaalt en de patiënt koppelt aan een code – voor elke service waarmee je koppelt een andere code.
2. Een audit luik: hiermee logt de oplossing wanneer iemand in aanraking komt met persoonsdata. Als een medewerker bijvoorbeeld de input en output file vergelijkt voor een kwaliteitscontrole, dan zal dit gevlagd worden in de audit log. Ook bij het ontsleutelen (iemand die aan de hand van de pseudocode de echte patiënt wil terugvinden) wordt de gebruiker in de audit log weggeschreven.
3. Een governance stuk: waarmee je het interne gdpr-proces kunt sturen en dit ook documenteert. Zo’n proces kan je inrichten op maat van de werking van je ziekenhuis en ook aanpassen naargelang de specifieke vereisten van een case. “Je kan er zover in gaan als je wilt, of het daarentegen eenvoudig houden,” zegt Goedele Antonissen.
   Mogelijke stappen in dit proces zijn onder meer:
   > de jurist die aangeeft dat er een contract is met de leverancier;
   > de DPO die bevestigt dat het leveranciersaddendum oké is;
   > de IT-afdeling die confirmeert dat de nodige maatregelen genomen zijn om de dataoverdracht veilig te laten verlopen;
   > het ethisch comité dat zijn goedkeuring geeft voor de data-ontsluiting.

Meerwaarde voor het ziekenhuis

“De combinatie van deze drie componenten maakt de oplossing volgens mij uniek. Dat je het proces kunt automatiseren en vooral ook aantoonbaar kunt maken is een grote meerwaarde voor het ziekenhuis.”
Goedele Antonissen

De oplossing is zo breed opgezet dat je er allerlei toepassingen mee kunt beheren:

• beelden doorsturen voor analyse in de cloud;
• gegevens voor studies pseudonimiseren;
• ongestructureerde tekst laten analyseren;
• een stuk van het medisch dossier exporteren naar een data warehouse etc.

“Zover zijn we vandaag nog niet, maar we weten wel dat dit alleen in belang zal toenemen. Het is dus belangrijk om hierop voorbereid te zijn met een oplossing die goed in elkaar zit, ook technisch,” vervolgt Goedele Antonissen.

De component voor pseudonimisatie en het auditluik zijn op dit moment zo goed als klaar en worden nu uitgebreid getest door de DPO; ook het governance proces krijgt stilaan vorm.

“Voor ons was het een logische keuze om te werken met Amaron. Als integrator kennen ze alle softwaretoepassingen die in de ziekenhuizen draaien en weten ze perfect hoe ze alles aan elkaar kunnen koppelen. Ze kennen die materie door en door, en ook in beelden zijn ze goed thuis. Ze hebben maar een half woord nodig en ze begrijpen wat je bedoelt. Amaron is wat ons betreft dus de ideale partner om de oplossing voor de-identificatie en pseudonimisering te bouwen,” besluit Goedele Antonissen.

Voordelen van de generieke oplossing voor de-identificatie en pseudonimisering: Nieuwe pseudonimisatieprojecten kunnen snel opgezet worden. Je bespaart heel wat tijd omdat je niet voor elke case afzonderlijk een oplossing hoeft uit te werken. Voor elke project wordt een andere identifier gebruikt. In geval van eventuele datalekken zal de combinatie van meerdere projecten op die manier geen bijkomende informatie opleveren waarmee je kunt achterhalen over welke patiënt het gaat. Het hele governance proces is gedocumenteerd, uitvoerbaar en dus ook aantoonbaar. Je werkt met een partner die een niet te evenaren kennis en expertise heeft op gebied van interoperabiliteit in de zorgsector.

Wens je meer informatie, een demonstratie of een offerte?