Testen is de komende periode een actueel thema voor veel ziekenhuizen. Dit komt doordat bij veel ziekenhuizen in de komende één à twee jaar een migratie naar een nieuwe versie van een epd-pakket voor de deur staat. Dit zijn trajecten waarvan je 100 procent zeker wilt weten dat ze goed verlopen. Je moet alle patiëntgegevens behouden, ongeacht of je overgaat naar een nieuwe versie van het huidige e[d of migreert naar een epd van een andere leverancier.
Testdata
Om dit te valideren, wordt in migratietrajecten veel aandacht besteed aan testen. Van tevoren worden testscenario’s bedacht die, als ze succesvol doorlopen zijn, een goede indruk gegeven van de resultaten na de migratie. Betrouwbaar testen staat of valt echter met betrouwbare testdata. Als de testdata niet representatief is voor de situatie zoals die in productie voorkomt, dan is het resultaat van de test waardeloos.
Datalek
Logisch dus dat er binnen ziekenhuizen kritisch wordt gekeken naar manieren om te kunnen testen met betrouwbare testdata. Maar gelet op het grote belang dat men binnen de sector hecht aan het beschermen van de privacy van patiënten, lijkt testen met de echte patiëntgegevens een slechte keuze. Immers, als die gegevens in meer omgevingen gebruikt worden dan alleen de productieomgevingen, waarbij bovendien meer medewerkers meer rechten hebben, dan neemt het risico op een datalek exponentieel toe. Dat dit een groot probleem is, blijkt bijvoorbeeld uit het feit dat 27 procent van alle gemelde datalekken in 2016 afkomstig was uit de zorg! Alle reden dus om te zoeken naar alternatieven.
Oplossing
Er zijn een aantal mogelijke opties, je kunt de gegevens vervangen door gegeneerde gegevens, je kunt de gegevens pseudonimiseren of je kunt ze anonimiseren.
Gegeneerde gegevens
Gegeneerde gegevens zijn fictieve gegevens die specifiek gemaakt worden om aan te sluiten bij een vooraf bedachte testsituatie. Dit maakt deze gegevens uitstekend geschikt voor gebruik in een testomgeving, maar deze gegevens kennen ook een groot nadeel. Je test namelijk alleen die gevallen die je zelf voorzien hebt. Situaties die je niet verwacht, worden ook niet getest.
Gepseudonimiseerde gegevens
Gepseudonimieerde gegevens zijn echte patiëntgegevens waarbij de privacygevoelige elementen vervangen worden door een pseudoniem. Dit pseudoniem is voor ‘gewone’ gebruikers niet direct herleidbaar naar de echte patiënt, maar voor bepaalde gebruikers wel. Denk hierbij bijvoorbeeld aan wetenschappelijk onderzoek waarbij het voor de analist niet noodzakelijk is om de echte patiëntgegevens te kunnen inzien, maar waarbij het wel essentieel dat een arts indien noodzakelijk kan achterhalen van welke patiënt het pseudoniem is. In een testomgeving zijn gespeudonimiseerde gegevens in de regel minder veilig dan geanonimiseerde gegevens doordat pseudonimiseren in tegenstelling tot anonimiseren omkeerbaar is.
Geanonimiseerde gegevens
Geanonimiseerde gegevens zijn net als gepseudonimiseerde gegevens, gebaseerd op echte patiëntgegevens. Hierbij worden de privacygevoelige elementen anoniem gemaakt zodat ze niet meer herleidbaar zijn naar een uniek individu. Dit proces in onomkeerbaar. Met andere woorden, het is niet mogelijk om het proces van anonimiseren ongedaan te maken. Dit maakt deze gegevens vanuit privacyperspectief veiliger dan gepseudonimiseerde gegevens. Als het anonimiseren op een slimme manier gebeurt, dan worden relaties in stand gehouden en dan blijft de representatieve waarde van de set intact.
Combinatie
Voor gebruik ten behoeve van de implementatie van een nieuw epd, lijkt een combinatie van gegeneerde en geanonimiseerde gegevens een goede keuze. Door de privacygevoelige gegevens te anonimiseren, creëren we een betrouwbare testset die gebruikt kan worden binnen de grenzen van wet- en regelgeving. Als je deze set vervolgens aanvult met gegeneerde gegevens voor situaties waarin de productieomgeving niet voorziet, dan sla je als ziekenhuis dus twee vliegen in één klap. Je beschermt de privacy van de patiënten en je zorgt voor een soepele migratie.
Andere toepassingen
Sterker nog, als je het anonimiseren van patiëntgegevens eenmaal hebt ingericht, dan heb je hier op veel andere vlakken ook profijt van. Zo kun je bijvoorbeeld zonder aanvullende inspanningen ook een opleidingsomgeving anonimiseren, zorgen voor een betrouwbare demo omgeving of zelfs onderzoek doen met geanonimiseerde data.
Samenvatting
Samenvattend, bij veel ziekenhuizen staat de komende tijd een epd migratietraject gepland. Dit zijn trajecten waarbij sprake is van intensief testen. Om dit betrouwbaar te doen is representatieve testdata cruciaal. Een uitgelezen moment om te starten met het anonimiseren van patiëntgegevens. Hiermee lever je als ziekenhuis een bijdrage aan het verkleinen van het aantal datalekken en je zorgt er voor dat patiënten kunnen blijven rekenen op goed werkende epd’s.
Het is inderdaad gênant als je patiëntgegevens op straat komen te liggen maar om daar nu vooraf al rekening mee te houden door gegeneerde gegevens te gebruiken??? Ik neem aan dat gegenereerde gegevens bedoeld worden. Verder ben ik het wel eens met de strekking van het verhaal. testgegevens zijn vaak een ondergeschoven kindje met alle gevolgen van dien.
Ik ben het eens met Eric dat hier grote risico’s met betrekking tot datalekken ontstaan.
Anderzijds is dit geen nieuwtje op zich. De Zorgverzekeraars hakken ook al jaren met dit bijltje en moeten dus met niet te herleiden, meestal geanonimiseerde, data testen.
Het is inderdaad gênant als je patiëntgegevens op straat komen te liggen maar om daar nu vooraf al rekening mee te houden door gegeneerde gegevens te gebruiken? Ik neem aan dat gegenereerde gegevens bedoeld worden. Verder ben ik het wel eens met de strekking van het verhaal. testgegevens zijn vaak een ondergeschoven kindje met alle gevolgen van dien.
Goed stuk en in deze tijd, gezien de veranderende wetgeving, zeer relevant.
Er is ook nog een mogelijkheid bij geanonimiseerde gegevens dat deze beperkt zijn door de invoer mogelijkheden van het oude systeem niet alle mogelijkheden hebben. Dat is ook een reden om aanvullende gegenereerde test gegevens te gebruiken als je het nieuwe systeem volledig wilt testen.
Dan is het voordeel bij continuous testen dat je tijdens de bouw en later het gebruik van het systeem je testset aan kan vullen met nieuwe gevallen waarbij je de stabiliteit van de applicatie veel beter kan voorspellen.
Datamasking is allang verplicht, maar soms is het bijna niet mogelijk om met gegenereerde gegevens een representatieve test uit te voeren. Als in de bouwfase rekening wordt gehouden met mogelijkheden voor testautomatisering dan zou het goed moeten lukken. Het is soms een probleem bij ketentesten met externe koppelingen. Dan moeten de ketenpartners ook voorzieningen treffen en komt de discussie wie betaalt wat om de hoek kijken, dat is een risico op zich.
Vooralsnog is het dus beter om als particulier geen inschrijving in het EPD te hebben. Zolang je niet levensbedreigende ziekten hebt voegt het EPD niets toe. De overheid houdt geen toezicht meer en het is momenteel totaal onduidelijk wie er toegang hebben tot de gegevens. Als het issue van testen al een thema wordt dan is het duidelijk dat patientgegevens niet zijn afgeschermd zonder toestemming van de patiënt. Inmiddels hebben er ook al een paar securityincidenten plaatsgevonden m.b.t. Het EPD