Wanneer je persoonlijke informatie zoals naam, adres en burgerservicenummer uit een dataset haalt, kan die toch veilig worden verwerkt? De werkelijkheid is ingewikkelder. Anonimiseren is achterhaald: privacygevoelige informatie zoals medische data moet je versleutelen.
“Door de grote hoeveelheid data die wereldwijd over mensen beschikbaar is werkt anonimiseren niet meer”, zegt Andreas Peter, assistent-professor Computer Security & Privacy aan de Universiteit Twente. Peter leidde een subproject binnen het project ‘Trusted Healthcare Services’ van onderzoeksprogramma COMMIT/, waarbij hij probeerde een nieuw encryptieprotocol te ontwikkelen voor gevoelige medische data. “Wanneer je een geanonimiseerde dataset naast data uit andere bronnen legt is het vaak mogelijk om de data opnieuw te koppelen aan een individu. Encryptie is daarom de enige goede manier om privacy te waarborgen.”
Beter ademen met Big Data
Het nieuwe protocol werd getest tijdens een pilot in revalidatiecentrum Roessingh in Enschede. Daar draaide al een proef met COPD-patiënten. COPD is een longziekte waardoor ademen moeilijker is. Tijdens de behandeling is het belangrijk dat patiënten niet te veel, maar ook niet te weinig bewegen. Elke patiënt in de testgroep droeg een apparaatje bij zich dat alle beweging bijhield. Die apparaatjes verzonden de data naar de servers van Roessingh, waar de activiteit van alle patiënten werd geanalyseerd. Daaruit kwam voor elke patiënt een advies dat werd teruggezonden naar het apparaatje: beweeg komende week wat meer, bijvoorbeeld.
Deze vorm van data mining gaf goede resultaten, maar het systeem was erg privacygevoelig. “Je beschermt de privacy van de patiënten totaal niet als je vertrouwelijke data onversleuteld opslaat”, vertelt Peter. “Wat je eigenlijk zou moeten doen is ervoor zorgen dat alle individuele apparaatjes van de patiënten de data direct versleutelen tijdens het verzamelen. Die versleutelde data wordt dan naar de servers van het revalidatiecentrum verstuurd en blijft versleuteld tijdens het analyseren. De resultaten van die analyse worden versleuteld teruggegeven en pas door het ontvangende apparaat ontcijferd. Nergens in het proces kan de data worden ingezien, het is volledig privacyveilig.”
Het verwerken van data in versleutelde staat heet ‘homomorfe encryptie’ en is een van de meest ingewikkelde vormen van dataversleuteling. Om de benodigde protocollen te ontwerpen moet je weten hoe cryptografie werkt én hoe je cryptografische technieken toepast.
DNA-profiel
De pilot in revalidatiecentrum Roessingh was kleinschalig, maar Peter kijkt vooruit en ziet belangrijke toepassingen voor deze nieuwe techniek. Medische data wordt steeds intiemer door nieuwe ontwikkelingen in DNA-techniek en moet dus ook beter beveiligd worden. Er is een snelgroeiende industrie die relatief goedkoop op bestelling je DNA-profiel kan achterhalen. Je stuurt wat speeksel op en in het lab wordt je genoomdata geëxtraheerd. Uit die data kan onder andere blijken of er een verhoogde kans op kanker of alzheimer is.
Volgens Peter is het logisch dat ook deze dna-data uiteindelijk terechtkomt in medische dossiers. “Het is extreem gevoelige informatie”, zegt hij, “en niet alleen omdat werkgevers of zorgverzekeraars liever niet in zee gaan met mensen in risicogroepen. Je dna vertelt namelijk niet alleen iets over jou, maar ook over je familie. Het bevat het medische patroon met alle risico’s en erfelijkheden van je kinderen en ouders. Met jouw dna-data kun je de privacy van directe familie in gevaar brengen.”
Compromissen
De beveiligingsproblemen rond medische data zijn de afgelopen jaren veel besproken en Peter vindt dit volkomen terecht. “Op medische conferenties waar ik kom, meent men dat privacy in de weg staat van het genezen van ernstige ziektes als kanker. Sommigen vinden dat álle data beschikbaar moet zijn, ongeacht de privacy-implicaties. Maar er is geen compromis nodig tussen privacy en functionaliteit, we kunnen het allebei doen. Het is een uitdaging, maar uit onze onderzoeksresultaten blijkt dat we met homomorfe encryptie medische data kunnen analyseren zonder dat de privacy daarbij in gevaar komt.”