Advertorial

Zorgdata veilig versleuteld tijdens data-analyse

“Privacy-by-Design gegevensverwerkingen opzetten is een vak. Het vraagt een zorgvuldige en multidisciplinaire aanpak, zowel technisch als juridisch. We hebben geen standaard silver, gold en diamond pakket waaruit klanten kunnen kiezen.” Directeur Hans van Vlaanderen vertelt graag over de maatwerkoplossingen die ZorgTTP wel biedt. Dat doet hij natuurlijk op zijn stand tijdens het congres, maar ook alvast in dit magazine.

“ZorgTTP denkt met de klant mee in het hele ontwerpproces”, begint Hans. “Onze adviseurs zijn ervaren in het identificeren van de risico’s die bij gegevensverwerking en -uitwisseling komen kijken. En ook de maatregelen die je kunt treffen, brengen we in kaart. We hebben de afgelopen 10 jaar een softwareplatform ontwikkeld waarmee we elke opdrachtgever passend ondersteunen bij het beveiligen van persoonsgegevens. We zijn een trusted third party. Dat betekent dat we actief deel uitmaken van het verwerkingsproces. We kunnen verantwoordelijkheid afleggen over wat er gebeurt als data van een databron naar een andere organisatie gaat voor analyse. Pseudonimiseren volgens de AVG vereist zowel technische als organisatorische maatregelen om herleiding te voorkomen. Als onafhankelijke sleutelbewaarder helpen we onze opdrachtgevers te voldoen aan deze eis.”

ZorgTTP zorgt dat aanbieders en vragers van privacy-gevoelige data met een gerust hart kunnen delen en gebruiken.

Centrale en decentrale data-analyse Bij het uitwisselen van gegevens voor research- en kwaliteitsdoeleinden vindt meestal pseudonimisering plaats. ZorgTTP is daarbij een soort intermediair die de beschikbare data van een zorgverlener pseudonimiseert voor de organisatie die de data-analyse uitvoert. Traditioneel worden alle gegevens op een centrale plek opgeslagen.

Pseudonimisatieketen:

Innoveren en complexe pseudonimisatie ZorgTTP experimenteert ook volop met data-analyse in gedecentraliseerde vorm, benadrukt Hans. “Dat heet secure multi party computation (MPC). Je doet dan met meerdere partijen berekeningen op de data, zonder dat die data permanent op een centrale plek worden opgeslagen. De gegevens worden wel tijdelijk en versleuteld bij elkaar gebracht. Maar aan het einde van de rit is alleen het resultaat van die berekeningen te zien. Met onderzoeksorganisatie TNO innoveren we met een pilot waarbij het Erasmus MC en zorgverzekeraar Zilveren Kruis fictieve data inbrengen in een onderzoek naar hartfalen. Onze bijdrage als trusted party is hierbij zowel technisch als juridisch. We leveren de nodige rekenkracht en sluiten verwerkersovereenkomsten met de betrokken organisaties. Een andere innovatie is de pseudonimisatieservice voor de Rijksuniversiteit Groningen en het UMCG. Daarmee kan een onderzoeker gebruik maken van zowel eenvoudige als meer complexe pseudonimisatie modellen. Bijvoorbeeld als het gaat om meerdere datasets of als gegevens over een langere tijd gebruikt moeten worden. Of als vanuit verschillende bronnen data van dezelfde persoon moet worden gekoppeld. Voor verschillende van die stappen zijn scenario’s uitgewerkt en technische oplossingen bedacht om gegevens te versleutelen en beveiligen.”

Tijdens het congres vertellen de adviseurs van ZorgTTP graag alles over beveiliging van persoonsgegevens via Privacy by Design, een Privacy Impact Assessment, Privacy Enhancing Technology en pseudonimiseren. ZorgTTP zorgt dat aanbieders en vragers van privacy-gevoelige data met een gerust hart kunnen delen en gebruiken.