“Beschermen van privacy moet in het systeem zijn ingebakken”

/, Interview, Technologie/“Beschermen van privacy moet in het systeem zijn ingebakken”

Snel lezen

  • Het is vrij eenvoudig om te achterhalen welke genetische informatie bij een persoon hoort;
  • Er wordt (te) veel waarde gehecht aan de voorspellende waarde van genetische informatie;
  • Door databanken op een goede manier te ontwerpen kan de privacy beschermd worden.

Gepubliceerd in Flux, juni 2014

Ann Cavoukian

Ann Cavoukian

Voor minder dan 1500 euro kun je inmiddels je DNA-volgorde laten bepalen en zo je erfelijke eigenschappen in kaart brengen. Inmiddels zijn wereldwijd de DNA-volgordes van duizenden mensen opgeslagen in databanken bij publieke instellingen en commerciële bedrijven. Ze worden onder meer gebruikt om na te gaan of en zo ja in hoeverre een bepaalde aandoening erfelijk bepaald is en om na te gaan hoe iemand reageert op behandeling. De heilige graal van het onderzoek is ‘personalised medicine’ een specifiek op de persoon gerichte behandeling op basis van zijn erfelijke eigenschappen. Een mooi ideaal, maar het lijkt erop dat er nogal wat ‘collateral damage’ ontstaat bij het realiseren ervan, omdat de privacy van genetische informatie moeilijk te beschermen is. Ook al is de genetische informatie ontkoppeld van persoonsgegevens, dan nog blijkt het mogelijk om betrekkelijk eenvoudig te achterhalen welke genetische informatie bij welke persoon hoort met behulp van een slim stuk software. Vandaar dat je veelvuldig hoort: “In the genomics era, privacy is dead”.

‘Oh, nonsens’, zegt Ann Cavoukian. ‘Als ik voor iedere keer dat me in de afgelopen twintig jaar werd gezegd dat privacy niet meer bestaat, een dollar had gekregen, dan was ik nu vreselijk rijk.’ Als Information and Privacy Commissioner hield ze de afgelopen 15 jaar toezicht op de naleving van de privacywetgeving in de Canadese provincie Ontario. Een vierde termijn wil ze niet meer; per 1 juli wordt ze bestuursvoorzitter van het ‘Privacy and Big Data Center’ van Ryerson University in Toronto.

Cavoukian geldt als een van de meest vooraanstaande privacy experts in de wereld. De door haar ontwikkelde 7 Fundamentele Principes voor Privacy by Design, zijn breed geaccepteerd als uitgangspunt voor het inbouwen van privacy in het ontwerp van databestanden. ‘Binnen enkele jaren hebben we, hoop ik, de technieken om genetische informatie volledig te ontkoppelen van persoonsgegevens en dan kunnen we de principes van Privacy by Design ook toepassen op genetische informatie.’

 

Laten we beginnen bij het begin: Van wie is mijn genetische informatie eigenlijk? Is dat mijn eigendom?

‘De term eigendom gebruiken we niet als het gaat om genetische informatie, althans niet in juridische zin. Meestal spreken we van bewaken en beheren (custody & control). Degene die je genetisch materiaal afneemt, bewaakt en beheert jouw gegevens, maar heeft daarmee ook een zorgplicht. Hij moet je ze beschermen, zodat ze alleen gebruikt kunnen worden voor toepassingen waarvoor jij toestemming hebt gegeven. Die toestemming zou standaard moeten zijn bij genetische informatie, met andere woorden die informatie zou niet gebruikt mogen worden, zonder expliciete toestemming, maar dat is nog lang niet overal het geval.’

 

Hele volksstammen leggen hun hebben en houden bloot op internet. Waarom zou dat anders zijn voor genetische informatie?

‘Om misverstanden te voorkomen; privacy gaat niet over geheimhouding, maar over individuele controle. Dus als jij je genetische informatie op Internet wil delen, is dat in principe jouw zaak. Maar voordat mensen zoiets doen, is het van groot belang dat ze goed worden geïnformeerd over de onbedoelde gevolgen van zo’n stap. Het is namelijk niet alleen je eigen genetische informatie die je via internet openbaar maakt, maar ook die van je ouders, je broers en zussen en je kinderen en kleinkinderen. Je kunt zo’n besluit niet zomaar nemen, want je raakt aan de belangen van heel veel andere mensen. Dat gaat dus wel een stap verder dan via Twitter of Facebook laten weten wat je aan het doen bent.’

 

Sommige familieleden willen het misschien niet eens weten?

‘Als privacy commissioner pleit ik altijd voor het recht van mensen om te weten wat er over hen wordt verzameld en opgeslagen, maar bij genetische informatie pleit ik vaak voor het recht om niet te weten. Mensen willen soms niet weten of ze een erfelijke ziekte hebben, zeker als er niets aan te doen is. Dat recht hebben ze, maar het is de vraag hoe je dat recht kunt beschermen. Wat doe je als je zus zich laat testen op BRCA-1 en -2, de genen voor borstkanker, maar je wil het zelf niet weten. Hoe zal dat de verhouding met je zus gaan beïnvloeden?’

 

Afgezien daarvan kun je je afvragen wat de voorspellende waarde is van genetische informatie?

‘Er wordt inderdaad vaak veel te veel waarde aan gehecht. Als je een ziekte hebt die door een enkel afwijkend gen wordt veroorzaakt – de Ziekte van Huntington bijvoorbeeld of een erfelijke spierziekte – dan is genetische informatie een goede voorspeller of je de ziekte al of niet zult krijgen. Hetzelfde geldt mogelijk voor het BRCA-1 en -2 gen, die gerelateerd zijn met borstkanker. Heel veel andere genen, die gerelateerd zijn aan een ziekte, hebben helemaal niet zo’n voorspellende kracht. Ze vergen interactie met andere genen en met omgevingsfactoren om tot expressie te komen, waardoor de kans vrij groot is dat je die ziekte nooit krijgt.’

 

Toch wordt er veel waarde aan gehecht?

‘Het baart me ernstig zorgen, dat verzekeringsmaatschappijen en werkgevers zoveel waarde hechten aan genetische informatie en daaruit verkeerde conclusies trekken. Stel dat iemand binnen een bedrijf wordt gezien als ‘high potential’, iemand die het gaat maken en daardoor snel carrière maakt. De kans is groot dat zijn carrière voortijdig tot een einde komt als zijn werkgever ontdekt dat hij een gen heeft dat kan leiden tot een hartkwaal. Terwijl de kans daarop heel klein is. De interpretatie van genetische informatie is vaak zo fout. Alweer 25 jaar geleden heb ik er een artikel over gepubliceerd, maar er is nog niets veranderd. Ik denk zelfs dat het erger is geworden, dat er nog meer gewicht wordt gehecht aan genetische informatie.’

 

In de nasleep van 9/11 werd privacy opgeofferd voor de belofte van veiligheid. Nu is er de belofte van personalised medicine. Gaat het vervullen daarvan niet ten koste van de privacy van genetische informatie?

‘Een op de persoon afgestemde medische behandeling op basis van zijn erfelijke informatie kan buitengewoon zinvol zijn. Maar dan heb je al een bepaalde ziekte, kanker of iets anders. Als kennis van je erfelijke informatie helpt bij het optimaliseren van de behandeling werkt dat direct in je voordeel. Bovendien kun je aangeven dat je genetische informatie niet mag worden gebruikt voor wetenschappelijk onderzoek’

 

De andere kant van het verhaal is dat voor de ontwikkeling van personalised medicine zogeheten ‘genome wide association studies’ worden gedaan om de correlatie tussen gen en ziekte vast te stellen en daartoe wordt van duizenden mensen de DNA-volgorde bepaald.

‘Dat is waar, maar dat zijn wel twee verschillende dingen. Laat ik voorop stellen dat ik op geen enkele manier het onderzoek naar personalised medicine zou willen blokkeren, want ik denk dat dat heel waardevol is. Wat je moet doen is ervoor zorgen dat de privacy daarbij niet in het geding komt. Een collega van me, Khaled el Eman, hoogleraar Electronic Health Information aan de Universiteit van Ottawa, is bezig met het ontwikkelen van technieken om genetische informatie niet-herleidbaar te maken, zodat je geen koppeling kunt leggen met de persoon die erbij hoort. Hij zegt nog een jaar of drie nodig te hebben voor een nagenoeg sluitend systeem. Dat is natuurlijk ideaal; onderzoekers kunnen de beschikken over genetische informatie zonder de privacy van betrokkenen te schaden. Dat is wat ik een win-win situatie noem; je kunt de informatie gebruiken en tegelijkertijd de privacy beschermen.’

 

Veel mensen zijn het niet met u eens. Volgens hen is het een zero sum game. Als je de belofte van ‘personalised medicine’ wil inlossen gaat dat ten koste van de privacy.

‘Ik vind dat een heel gevaarlijke redenering, omdat een inbreuk op de privacy als een boemerang bij je terug komt. We zien dat nu gebeuren bij de inbreuken op de privacy die het gevolg waren van 9/11. Sinds de onthullingen van Edward Snowden is er meer dan ooit interesse in bescherming van de privacy. Hetzelfde zal gebeuren met privacy en personal medicine. Als mensen zeggen ‘vergeet de privacy, laten we onze droom van personalised medicine waarmaken’ en er gaat iets mis, dan krijgen ze dat terug. Ik zeg altijd, pas op voor de onbedoelde gevolgen, als je denkt dat je privacy opzij kunt schuiven om je eigen doelen, hoe nobel ook, te verwezenlijken.’

 

Zijn onderzoekers daar gevoelig voor?

‘Steeds meer, merk ik. Laatst moest ik een lezing geven voor onderzoekers die bezig zijn met Big Data en daar bleek dat men zich wel bewust is van de gevaren van inbreuken op de privacy. Slachtoffers pikken dat niet meer en stappen naar de rechter. Dat kost bedrijven en instellingen enorme bedragen aan schadevergoeding, nog afgezien van de schade aan hun merknaam en hun reputatie. Meer en meer mensen zijn zich bewust van inbreuken op de privacy van mensen van wie jij de gegevens beheert en bewaakt. Steeds meer mensen kloppen daarom bij me aan om te vragen wat ze kunnen doen om de privacy van hun ‘datasubjects’ te beschermen.’

 

En wat is dan uw antwoord?

‘Ja, dan kom ik toch weer aanzetten met mijn zeven principes voor Privacy by Design, waarmee je pro-actief voorkomt dat de privacy wordt geschonden. Die gelden ook voor het ontwerpen en bouwen van systemen voor het verzamelen, opslaan en uitwisselen van genetische data, op voorwaarde dat we die gegevens niet-herleidbaar kunnen maken. Daarom zit ik mijn collega Khaled el Eman, die bezig is met het ontwikkelen van dergelijke technieken, voortdurend achter zijn vodden (lacht).

Het allerbelangrijkste is dat die zeven principes aan de ontwerpers en bouwers van databanken laten zien dat je en gegevens kunt verzamelen, opslaan en gebruiken en de privacy kunt beschermen. Het voordeel daarvan is dat de beheerder van de gegevens zich veel minder zorgen hoeft te maken over privacybescherming.

 

Is de privacy van genetische informatie wettelijk goed beschermd?

‘Dat varieert enorm per land. Hier in Canada is er geen specifieke wettelijke bescherming van genetische informatie; het wordt behandeld als alle andere gezondheidsgegevens. In de Verenigde Staten wel. Daar heb je GINA, de Genetic Information Non-discrimination Act uit 2008, die verzekeringsmaatschappijen en werkgevers verbiedt om genetische informatie op te vragen. Ze mogen je zelfs niet vragen of je ooit een genetische test hebt laten doen. Ik vind dat een buitengewoon goede regel.’

‘Met de situatie in Europa ben ik minder vertrouwd. Ik weet dat in Duitsland wettelijk is geregeld dat verzekeringsmaatschappijen en werkgevers mensen niet mogen vragen om een genetisch onderzoek te laten doen noch om de resultaten van een genetische test op te vragen. In Groot-Brittannië is dat nog niet bij wet geregeld, maar geldt een vrijwillige afspraak tot 2017 dat de uitslag van een genetische test geen rol mag spelen bij het krijgen van een verzekering. De Raad van Europa tenslotte heeft vorig jaar een aanbeveling gedaan aan de lidstaten om ervoor te zorgen dat genetische informatie geen rol speelt bij het aanvragen van een verzekering. Het is een aanbeveling, maar ik hoop dat de lidstaten die zullen volgen en de bescherming van privacy van genetische informatie wettelijk zullen vastleggen.’

 

 

Privacy by Design

Eind jaren negentig al, ontwikkelde Ann Cavoukian het concept van Privacy by Design als antwoord op de groei van grootschalige, genetwerkte datasystemen. Het concept is gebaseerd op het inzicht dat de privacy niet kan worden beschermd door het opstellen van wettelijke regels en de naleving ervan, maar dat de bescherming ingebouwd moet worden in het ontwerp en functioneren van die grootschalige datasystemen. Het doel van Privacy by Design is dat enerzijds individuen verzekerd kunnen zijn van de controle op hun persoonlijke gegevens, terwijl anderzijds bedrijven en instellingen die gegevens kunnen benutten voor hun eigen doelstellingen.

De 7 Fundamentele Principes zijn:

  1. Proactief in plaats van reactief; preventief in plaats van herstellend;
  2. Privacy als standaard;
  3. Privacy geïntegreerd in het ontwerp;
  4. Volledige functionaliteit – Positive sum in plaats van zero sum;
  5. Veiligheid van begin tot eind;
  6. Zichtbaarheid en transparantie;
  7. Respect voor privacy – de gebruiker centraal.

In 2010 zijn de principes van Privacy by Design uitgeroepen tot internationale standaard voor privacybescherming.

 

Niet herleidbaar

De privacy van persoonlijke gegevens hangt sterk af van beschikbare technieken om ze niet-herleidbaar te maken naar het individu van wie die gegevens afkomstig zijn. Dat kan bijvoorbeeld door kenmerkende gegevens zoals naam en postcode te versleutelen of te vervangen door een reeks willekeurige namen. Een andere mogelijkheid is om gegevens te generaliseren. Een geboortedatum wordt dan de maand of het jaar van geboorte.

Voor genetische informatie is dat lastiger. Forensisch onderzoek laat zien dat een gebruikt koffiekopje of een sigarettenpeuk al voldoende informatie oplevert om te herleiden naar een opgeslagen genenkaart. Ook met software-gereedschappen kun je die link leggen. Om dat te voorkomen zou je, net als de geboortedatum, delen van het DNA kunnen generaliseren of vervangen door willekeurige DNA-volgordes. Daardoor gaat wel informatie verloren.

Cavoukian is tamelijk optimistisch over de ontwikkeling van dergelijke technieken, maar dat optimisme wordt niet door iedereen gedeeld.

By |2016-01-02T16:23:35+00:00oktober 31, 2014|