Dit keer gaat het Horizon-gesprek over ‘business intelligence’, een wijds begrip waarin datamining een prominente plaats inneemt. Informatiesystemen slurpen meer en meer data uit de samenleving en organisaties op en husselen deze op oncontroleerbare wijze door elkaar totdat er nieuwe informatie uit voortkomt (proces met ‘black box’). Toepassing van datamining in het ziekenhuis lijkt zeer bruikbaar voor het maken van risicoprofielen van patiënten. Maar hoe betrouwbaar is met datamining verkregen kennis, en hoe staat het met de privacy? Is de ‘identity protector’ de oplossing?
De Horizon Onder deze naam organiseren Cap Gemini Technology Consulting, Het Financieele Dagblad en Computable een serie ronde-tafelgesprekken over recente ontwikkelingen in de informatietechnologie. Als locatie voor de bijeenkomsten is gekozen voor de verkeerstoren van Schiphol. Zodat tour d’horizon in dit geval ook letterlijk mag worden genomen. |
Voorspelde risico’s
Peter Houweling, anesthesist in het Diakonessenhuis, is een warm voorstander van een nauwere betrokkenheid van medisch specialisten bij het zakelijke wel en wee van een ziekenhuis. Het geeft volgens hem geen pas meer om als kleine ondernemer alleen maar naar het zakelijk eigenbelang te kijken. Evenmin past het een moderne specialist meer om alleen maar te kijken naar dat deel van de patiënt, waarvoor hij heeft gestudeerd. Hij zou in principe de hele ‘routing’ van een patiënt door het ziekenhuis moeten kunnen volgen: van opname tot en met ontslag.
"Het gaat erom dat de verschillende afdelingen in een ziekenhuis nauw samenwerken en van elkaars activiteiten op de hoogte zijn. Daarvoor moeten letterlijk en figuurlijk soms muren worden geslecht", aldus Houweling, die meent dat informatisering de hoeksteen zal zijn voor het succes. Hij refereert aan een enquête die het weekblad Elsevier recent heeft gehouden onder de grootste ziekenhuizen in Nederland. Overduidelijk bleek dat het ziekenhuismanagement verwachtte dat het elektronisch uitwisselen van gegevens een groot effect zal hebben op het beter en efficiënter functioneren van de intra- en extramurale gezondheidszorg. Die elektronische dossiers zijn nodig om de informatie over de patiënten voor iedereen die daartoe is geautoriseerd, snel en gemakkelijk beschikbaar te stellen en om – in logistieke termen gesproken – de informatiestroom gelijke tred te laten houden met het fysieke product. Het ziekenhuisinformatiesysteem zal daarom gekoppeld en geïntegreerd moeten worden met de afzonderlijke informatiesystemen die er in een ziekenhuis gebruikt worden. Bijvoorbeeld met die van de afzonderlijke specialisten(maatschappen). Dat is op zich al een hele klus. Want wat te denken van de validiteitsproblemen van alle data, de controle op de integriteit ervan, de beveiligingsaspecten en de online beschikbaarheid van de gegevens? Desondanks is het dringend gewenst in het belang van een kwalitatief hoogwaardige gezondheidszorg tegen aanvaardbare kosten, vindt Houweling. Niet alleen omdat door betere informatie en registratie een hoop onnodige fouten kunnen worden voorkomen. Zo wordt bijvoorbeeld in sommige studies aangetoond dat bij het voorschrijven van medicijnen in ziekenhuizen in dertig procent van alle recepten kleine tot grote fouten zitten. Mede vanwege de gebrekkige (handgeschreven en dus onleesbare) informatievoorziening. Deze fouten worden weliswaar meestal door de ziekenhuisapotheek gecorrigeerd, maar in een aantal gevallen kunnen de medicatiefouten tot ernstige complicaties leiden. In een recent onderzoek naar aan anesthesie gerelateerde ongelukken, is aangetoond dat er per jaar tweehonderd mensen tijdens een operatie overlijden vanwege complicaties tijdens en als gevolg van de toegediende verdoving. Vooral voor Houweling, zelf in het dagelijks leven immers anesthesist, is dat laatste een onverkwikkelijke zaak. Hij pleit er dan ook voor de gedigitaliseerde gegevens van patiënten in gegevenspakhuizen te verzamelen en te gebruiken voor het maken van risicoanalyses. De gegevens van patiënten die met een zogeheten onvoorspeld risico het ziekenhuis binnenkomen, kunnen met de in het gegevenspakhuis aanwezige modellen worden vergeleken, opdat zij tijdens de verdere behandeling een ‘voorspeld risico’ lopen. Op het eerste gezicht lijkt het voor de patiënt niet zoveel uit te maken. Of je nu door de kat of door de hond gebeten wordt, nietwaar. Maar toch: "Aan de hand van heel veel gegevens maken we allerlei modellen. Bijvoorbeeld welke risico’s lopen mensen met welke kenmerken en medicijnen op een longontsteking of een hartaanval, wanneer zij voor een kwaal X behandeld moeten worden. Wanneer een patiënt binnenkomt, kunnen zijn individuele gegevens als het ware langs de modellen worden gehaald, waarna we informatie krijgen over de medicijnen die hij wel of niet kan gebruiken. Ook kan een risicoanalyse worden gemaakt wanneer er een besluit tot opereren moet worden genomen."
Black box
Houweling is zelf zes jaar geleden gestart met het opzetten van een eigen patiënteninformatiesysteem voor de anesthesisten op de operatiekamer. Er zitten inmiddels gegevens in van 50.000 patiënten, onderverdeeld in 118 kenmerken. Zo langzamerhand is het informatiesysteem uitgegroeid tot een gegevenspakhuis waarin voorspellende modellen zijn opgenomen over de wijze waarop mensen op hun verdoving reageren. Het Utrechtse Diakonessenhuis is tot nu toe het enige in Nederland dat zo’n gegevenspakhuis opbouwt.
Houweling werkt samen met zijn collega’s in het Amerikaanse Durham. Zijn grote wens is dat er over een paar jaar een nationale databank met medische gegevens is, die gebruikt kunnen worden om risicoprofielen en -analyses voor alle denkbare ziektebeelden en medische situaties te maken. Daartoe zouden niet alleen zoveel mogelijk medische gegevens van patiënten gestandaardiseerd moeten worden aangeleverd, maar ook speciale zoekalgoritmen ontwikkeld om naar samenhang en verbanden te speuren in die enorme gegevensbrei. Op die manier zou dit nationale medische gegevenspakhuis kunnen uitgroeien tot de ‘business intelligence’ van de gehele Nederlandse zorgsector.
Of het ooit zover zal komen? De technologie zal niet zo’n groot struikelblok vormen als de wil van de betrokken partijen (overheid, verzekeraars en zorgverleners) en de financiële middelen. Ook zal er nog een stevig robbertje gevochten moeten worden met de Registratiekamer, die waakt over de privacy van de Nederlandse burgers.
John Borking is als vice-president van de Registratiekamer belast met ‘privacy audits’ en ’technology assessments’ van producten die op de Nederlandse markt worden gezet. Hij noemt zichzelf niet zozeer een informatiepolitieagent, maar kijkt wel heel nadrukkelijk naar systemen en producten om te zien of deze zich wel of niet aan de privacywet houden. Vanuit een dergelijk oogpunt bekijkt hij ook de ideeën van Houweling. Aan zo’n medische kennisbank, grootschalig in nationaal verband of kleinschalig op ziekenhuisniveau, kleven volgens Borking nogal wat privacybezwaren. En dan gaat het nog niet eens zozeer om de privégegevens van individuen die in een informatiesysteem worden opgenomen. Daarvoor zijn regels die kunnen worden nageleefd. De kritiek van Borking richt zich veel meer op ‘het gevaar van de black box’. "Met datamining-tools genereer je nieuwe informatie. Je kunt tot nieuwe voorspellende modellen komen, waarvan je niet voor honderd procent weet of ze wel betrouwbaar zijn. Welke methoden worden er gebruikt en hoe bewaak je de kwaliteit? Dat zijn vragen die de Registratiekamer zich stelt bij een onderwerp als ‘datawarehousing’ en -‘mining’. Wij zijn van mening dat iedereen, wiens gegevens betrokken zijn bij ‘datamining’, het recht moet hebben om zich tegen de uitkomst van het proces van ‘datamining’ te verzetten. Wanneer dat recht bestaat, houdt het tegelijkertijd in dat je het hele proces moet kunnen terugredeneren. Vanaf de uitkomst terug tot aan de invoer van de data. Het probleem met die datamining-tools is dat het proces niet reproduceerbaar is. Dat bedoel ik met ‘het gevaar van de black box’.
Kafka-achtige toestanden
Rob Walker moet Borking in dit opzicht gelijk geven. "Het wordt steeds lastiger om de processen uit te leggen, omdat het allemaal steeds ingewikkelder wordt."
Walker geeft binnen de groep ATS (Advanced Technology Services) van Cap Gemini leiding aan een club van twintig mensen die zich voornamelijk met datawarehousing- en -miningprojecten bezighouden. Zes jaar geleden is hij gestart met het exploreren van methoden en theorieën op het gebied van het voorspellen met modellen en lerende computers. Vanaf die tijd heeft hij naar eigen zeggen honderden dataminingprojecten onder handen gehad. Onder andere bij Houweling en het Diakonessenhuis. De technologie rond datawarehousing en datamining is de afgelopen jaren fors doorontwikkeld. In de praktijk blijkt de technologie betrouwbaarder te zijn dan de mens. Volgens Walker maken proeven met bijvoorbeeld kredietacceptatie bij banken en verzekeringsmaatschappijen dat duidelijk. "Maar de mens blijft altijd eindverantwoordelijk. Het mag nooit zo zijn dat de machine uiteindelijk automatisch beslissingen gaat nemen, waar medewerkers zich achter kunnen verschuilen. Het is en blijft altijd een stuk gereedschap", meent Walker, die de huiver van Borking deelt voor gevaarlijke Kafka-achtige toestanden waardoor mensen hun leven lang achtervolgd blijven door verkeerd opgeslagen en geïnterpreteerde gegevens. Zo zijn de databanken van de politie ernstig vervuild. Toch zitten de gegevens van één op de tien Nederlanders in dergelijke databases. Wat gebeurt er precies wanneer een dataminingtool wordt losgelaten op verkeerde gegevens? Borking: "We willen weten, stap voor stap, wat er gebeurt tijdens zo’n datamining-proces en wat het betekent voor privé-personen. Naarmate er minder met ge-aggregeerde gegevens gewerkt gaat worden en meer met individuele gegevens, zijn er meer waarborgen nodig."
Volgens Walker zal er op het gebied van kwaliteitsbewaking van de gegevens – vooral als het gaat om de integriteit, validiteit en authenticiteit – nog wel het een en ander moeten worden gedaan. Desondanks is het nu mogelijk om met kwalitatief inferieure data goede validaties te maken. De intelligentie van de datamining-tools maakt het zelfs al mogelijk de kwaliteit van de data aan te geven.
Ook Houweling is zich bewust van de privacy-schendende aspecten van gegevensverzamelingen. "Toch zijn ze een extra informatiebron waar we in de zorg veel aan kunnen hebben. In de gezondheidszorg zijn heel veel verschillende middelen en therapieën voor een zelfde genezingsproces. In de meeste gevallen kiest een specialist op basis van zijn gevoel en ervaring een behandeling. Slechts vijftien procent van de geneeskunst is bewezen, de overige vijfentachtig procent berust op gevoel en ervaring. Is het dan niet onze plicht om ervoor te zorgen dat we meer zogeheten ‘evidence based medicin’ gaan bedrijven? Dat kan alleen maar door veel gegevens vast te leggen, te analyseren en in profielen en modellen te verwerken. Zo kunnen we uiteindelijk de kwaliteit van de zorg op een hoger peil brengen zonder dat er uiteindelijk extra investeringen moeten worden gedaan. De informatie is er toch, althans zou er toch moeten zijn. Ze behoort alleen digitaal verzameld en opgeslagen te worden." Overigens stipt de anesthesist hier zijdelings een zeer interessant probleem aan, dat echter in de discussie nauwelijks verder is uitgewerkt: de samenstelling van de ‘business intelligence’ van een organisatie. In de IT-wereld wordt ‘business intelligence’ bijna per definitie vertaald met databanken en gegevenspakhuiss. Daarin liggen de gegevens die met behulp van datamining-tools tot informatie kunnen worden omgevormd. Zo worden gegevenspakhuizen dan kennisbanken en vormen zij de ‘business intelligence’. Kennis is echter meer. Zij is samengesteld uit zowel informatie als ervaring. Een aantal organisaties, denk aan de Belastingdienst, probeert nu ook de ervaringsfeiten van de medewerkers in digitale systemen vast te leggen. Op die manier kunnen informatiesystemen worden uitgebouwd tot échte kennisbanken (informatie én ervaring). Het is ook om die reden dat Borking waarschuwt voor de ‘black box’ waarin de gehele intelligentie van een organisatie verdwijnt en op oncontroleerbare wijze gemanipuleerd wordt. Met zijn fulmineren tegen allerlei privacy-gevaren, wijst de vice-president van de Registratiekamer tegelijkertijd op het risico dat veel organisaties lopen, wanneer zij het digitaliseren van de ‘business intelligence’ niet met allerlei kwaliteitsborging omringen.
Identiteitsbeschermer
Net zoals hij zich bewust is van de risico’s die gegevensverzamelingen voor de privacy van mensen met zich meebrengen, is Houweling zich ook bewust van de gevaren die het volledig digitaliseren van de kennis van een organisatie met zich mee brengt. Hij wees al op de wanverhouding die er in de zorgsector bestaat tussen ‘weten’ en ‘gevoel en ervaring’, maar is ervan overtuigd dat verslaglegging in digitale vorm niet alleen voor datamining relevant is, maar ook voor de kwaliteitsbewaking van het zorgproces.
Houweling haalt een rechtszaak aan van iemand die, jaren na een acute operatie, aan zenuwuitval ging lijden en de oorzaak van deze kwaal zocht in een verkeerde behandeling in het ziekenhuis. De patiënt diende een klacht in, die de rechter toewees. Niemand in het ziekenhuis kon zich de behandeling goed herinneren, en sommige delen van het dossier waren onvindbaar of onleesbaar, zodat het verhaal van het slachtoffer de rechter heel plausibel in de oren klonk. Het zou toch prettig zijn geweest, wanneer in dit geval de behandeling volledig was geregistreerd. "Waar zit nu meer risico in: gegevens vastleggen of juist niet? En wanneer je concludeert dat vastlegging beter is, dan kun je het maar beter gelijk in digitale vorm doen", is de redenering van Houweling. "Wat we eigenlijk willen", zo vat Borking de discussie tot dan toe samen, "is gebruik maken van de moderne technologie, zonder geconfronteerd te worden met privacyproblemen."
Als apotheose van de discussie komt Borking met de ultieme oplossing: de identiteitsbeschermer (‘identity protector’) die de Registratiekamer samen met TNO heeft ontwikkeld. Het is software die, simpel gezegd, persoonsgebonden gegevens een pseudo-identiteit kan geven. Het is een pseudo-identiteit, aangezien uitsluitend functioneel geautoriseerde personen de ontcijferingssleutels kunnen krijgen om de anonimiteit op te heffen en de ware identiteit te kennen. Met de identiteitsbeschermer wordt momenteel driftig geëxperimenteerd. Onder andere in de zorgsector, waar hij is ingebouwd in het informatiesysteem van Siac. Ook voor het surfen op Internet kan de software zijn vruchten afwerpen. De software is in de PC te laden, waarna in alle anonimiteit over het Net kan worden gesurfed. Provider XS4all gaat ermee experimenteren. Een van de problemen die nog niet zijn opgelost is de wijze waarop de sleutels beheerd en uitgegeven gaan worden. Kan dat door één ttp (’trusted third party’) worden gedaan of zijn er meerdere voor nodig? Het model van de identititeitsbeschermer, waarvoor ook door de Europese Commissie belangstelling is getoond, is vrij bij de Registratiekamer en TNO verkrijgbaar en in principe door iedereen vrij te bouwen. Maar het is een technologische oplossing, en hoe betrouwbaar is die technologie?
Toch zijn de problemen rond datamining klein in vergelijking met wat ons op het gebied van ‘business intelligence’ nog te wachten staat. Borking, Houweling en Walker zijn het snel met elkaar eens wanneer hen gevraagd wordt de belangrijkste trends voor de komende drie jaar te benoemen: spraakherkenning, intelligente software-agents (‘smart agents’) en biometrische herkenning.
Aan het eind van dit millennium is één van de Skyport-discussies gewijd aan het beschermen van privacygevoelige informatie in gedigitaliseerde bestanden. Over een paar jaar gaat het gesprek misschien over de ‘smart agents’ die zich op geheel zelfstandige manier klonen. De black box van nu kan wel eens de doos van Pandorra van morgen zijn.
Cok de Zwart, freelance medewerker