Implantaten, pacemakers, nanobots en digitale pillen zijn steeds beter in staat gezondheidsdata te monitoren en onze gezondheid te beïnvloeden. Het geheel aan devices in en rond het lichaam, ook wel ‘Internet of Bodies’ genoemd, ontsluit nieuwe kansen en nieuwe risico’s. Hoe kunnen cto’s van zorginstellingen hierop anticiperen? En welke protocollen, wetten en regels wijzen hen de weg?
Tekst: Ton Verheijen Beeld: ENVATO
De 29-jarige Noland Arbaugh, verlamd vanaf zijn schouders tot zijn tenen, liet de wereld zien dat het menselijk lichaam met technologie kan worden aangesloten op het internet en vervolgens tot meer in staat is dan een mens kan bevatten. In 2023 liet Arbaugh een Neuralink-chip in zijn hoofd implanteren. Met behulp van niets anders dan brainpower kon hij vervolgens schaken op zijn laptop. ‘Such a wild experience’, zei Arbaugh met onderkoeld enthousiasme.
Digitale pillen
De connectie tussen het menselijk lichaam en internet is natuurlijk niet nieuw. De term Internet of Bodies (IoB) werd in 2016 gemunt door professor Andrea Matwyshyn van de Universiteit van Pennsylvania. Zij beschreef IoB als een netwerk waarvan de functionaliteit (in elk geval deels) gebaseerd is op internet en kunstmatige intelligentie.
Naast brain-computer interfaces (van Neuralink en andere partijen) worden ook smart watches, smart glasses, smart rings, pacemakers, elektronische tatoeages, sensoren en digitale pillen tot het IoB gerekend. Eigenlijk bestaat het IoB uit alle gezamenlijke technologie die gezondheidsdata verzamelt, monitort, verbetert en/of beïnvloedt. Naast ongekende nieuwe mogelijkheden betekent dat ook: nieuwe risico’s op het vlak van ethiek, privacy en compliance. Zorginstellingen die ermee aan de slag willen, worden geconfronteerd met vraagstukken rond veiligheid van persoonsgegevens, geheimhoudingsplicht, opslag, uitwisseling en beveiliging van data.
Pacemaker hacken
Micha Groeneveld, jurist bij ICTRecht, is gespecialiseerd in de zorgsector en ziet zorginstellingen momenteel worstelen met het surplus aan nieuwe mogelijkheden. Volgens Groeneveld is het vrijwel ondoenlijk om alle regels te benoemen waar de zorg mee te maken heeft en krijgt. Hij noemt de belangrijkste: ‘Met het onderwerp IoB in het achterhoofd denk ik dat vooral Europese regels van belang zijn, zoals de AVG, MDR, AI Act, Data Act en Verordening cyberweerbaarheid. En dit is slechts een kleine greep.’ (Zie kadertekst voor een toelichting op deze wetten.)
Of al deze wetten en regels de risico’s dekken is de vraag. Groeneveld: ‘Ik mag hopen dat IoB-devices niet zodanig met elkaar verbonden raken dat er echt een netwerk ontstaat dat je als IoB kunt betitelen want als je alles met elkaar laat praten, vergroot je het aanvalsoppervlak en de risico’s. Sinds ik met ethical hackers samenwerk en bekend ben geraakt met de continue stroom aan zerodays en andere misbruikte kwetsbaarheden, is mijn vertrouwen in de beveiliging van software sowieso flink gedaald. Ik ken ethical hackers die via klimaatinstallaties een netwerk in kunnen komen. Zorginstellingen zullen soortgelijke zorgen hebben. Je wilt als cto toch zeker weten dat zo’n geintje niet via een pacemaker mogelijk is.’
Klantprofielen kunnen verfijnd worden door klikgedrag te combineren met de cortisol- en dopaminespiegel
Autoriteit Persoonsgegevens
Een zorginstelling wil volgens Groeneveld weten of het gebruik van een device ertoe gaat leiden dat er poorten opengezet moeten worden in firewalls, of het wifi-netwerk belast gaat worden, welke data er over het netwerk gaat lopen en welke connecties nodig zijn met bijvoorbeeld het Elektronisch Patiëntendossier (EPD). Goed ingevoerd zijn in wetten, regels en protocollen voorkomt problemen. Maar de mens blijft vaak de beperkende factor, stelt Groeneveld: ‘Je kunt nog zoveel regels hebben, in de praktijk zijn het meestal mensen die in phishing mails trappen, gevaarlijke websites bezoeken of te lui zijn om hun apparatuur te beveiligen door sterke wachtwoorden te maken en updates binnen te halen.’
Voor overheidsinstanties zijn de risico’s topprioriteit. De Autoriteit Persoonsgegevens (AP) heeft aangekondigd strenger te gaan controleren op databeveiliging in de zorgsector en het Ministerie van VWS heeft onlangs een brief gestuurd naar zorgbestuurders met een oproep om verantwoordelijkheid te nemen en te voldoen aan wetgeving en kaders zoals de AVG, NEN-7510 en de nieuwe Cyberbeveiligingswet (Cbv). Groeneveld: ‘En dan hebben we ai nog niet genoemd. Veel zorginstellingen willen met kunstmatige intelligentie aan de slag.’ Overzicht houden is de grote uitdaging. ICTRecht heeft daarvoor de Digital Decade Roadmap ontwikkeld.
Samenzwering
IoB is voer voor samenzweringstheorieën. Schrijver Yuval Noah Harari wees in 2020 op nieuwe mogelijkheden om patiënten (burgers?) op afstand te monitoren. ‘Surveillance under the skin’ zou volgens hem een belangrijke ontwikkeling worden. Deze ‘samenzwering’ lijkt nu al door de tijd ingehaald. Digitale pillen zijn uitgerust met microscopisch kleine sensoren, die biometrische data kunnen binnenhalen en doorsturen naar een pleister op de ribbenkast, die de gegevens doorstuurt naar een app. Nanobots, miniscule robotjes die tien keer kleiner zijn dan een rode bloedcel, kunnen volgens de Vereniging Innovatieve Geneesmiddelen snel door slijmlagen heen breken en zorgen voor betere medicijnafgifte bij bijvoorbeeld taaislijmziekte en bepaalde vormen van darmkanker.
Wie voert de regie over deze zorgprocessen? Je hoeft geen futurist te zijn om te snappen dat goedwillenden en kwaadwillenden dit kunnen doen. Harari wees erop dat het menselijk lichaam gehackt kan worden. Futurist en innovatie-expert Peter Joosten onderkent dat. Joosten, die in 2015 een chip met zijn contactgegevens liet implanteren in zijn hand, wijst onder meer op commercieel gebruik door monitoring van hormonen, gedrag en DNA. Klantprofielen kunnen verfijnd worden door klikgedrag te combineren met de cortisol- en dopaminespiegel. Daaruit kan bijvoorbeeld worden opgemaakt of iemand gevoelig is voor een aankoop of online gokverslaving. Als die data niet goed beschermd is, dan is dat een risico, stelt Joosten terecht.
Fantastic Voyage
Wat kan er? En hoe krijgen we dat geïmplementeerd? Dit zijn de veelgestelde vragen van cto’s in de zorg. Joosten: ‘Er kan steeds meer. Technologie wordt steeds kleiner, beter en goedkoper. Nu dragen we de medische technologie nog op ons lijf. De volgende stap is inslikken, inademen en implanteren. Dat levert nieuwe biometrische data, gedragsdata en gezondheidsdata op. Die belofte is er trouwens al een halve eeuw. In de film Fantastic Voyage uit 1967 gaan artsen in een soort onderzeeboot de bloedbaan van een patiënt in. Dat is natuurlijk science fiction, maar medicijnen zijn nog steeds afhankelijk van de bloedbaan. Om ze op de juiste plek in het lichaam te krijgen, wordt er geëxperimenteerd met nanotechnologie.’
Joosten adviseert zorginstellingen de ontwikkelingen rond IoB-technologie te blijven volgen en te kijken wat ermee kan. ‘Denk niet in losse devices maar in ecosystemen van netwerken, applicaties en cloud-infrastructuur.’ Hoewel hij zelf inmiddels twee chips in zijn hand heeft (‘ook een voor betalen’) is hij niet blind voor de risico’s van IoB. ‘Als de technologie vervangen moet worden, moet die uit het lijf en dat is niet zo makkelijk. Hoe zit het verder met het eigendomsrecht? Ik sprak eens een patiënt die een netvliesimplantaat had laten plaatsen om beter te kunnen zien. Prachtig, maar het bedrijf dat de technologie leverde ging failliet. Daar zit je dan met je implantaat. Verder adviseer ik zorginstellingen security by design vanaf de start mee te nemen, voor betere interoperabiliteit. IoB-devices moeten via een api kunnen praten met interne protocollen en het epd, anders heb je er nog niks aan.’
Wetten en regels
- Met de Algemene Verordening Gegevensbescherming (AVG) hebben zorginstellingen veel te maken in het kader van persoonsgegevens en geheimhoudingsplicht. Het doel van deze verordening is de bescherming van persoonsgegevens in de EU te uniformeren, waardoor individuen meer controle krijgen over persoonlijke data.
- De Medical Device Regulation (MDR) is specifiek bedoeld voor medische apparatuur en medische software die bij een mens wordt gebruikt.
- De AI Act legt specifieke regels op voor ai-systemen en verplicht organisaties te zorgen voor voldoende ai-geletterdheid bij medewerkers als ai wordt ingezet in risicovolle toepassingen, zoals het verwerken van persoonsgegevens of bedrijfsgevoelige data.
- De Data Act beoogt data vanuit bijvoorbeeld IoT-devices (Internet of Things) beschikbaar te maken voor gebruikers.
- De Verordening cyberweerbaarheid introduceert cybersecurityeisen voor alle producten met digitale elementen. Hierbij gaat het om hardware, software en losse componenten die vanaf 11 september 2027 in de EU op de markt worden aangeboden.
- Belangrijk voor zorginstellingen zijn verder de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz), de Wet elektronische gegevensuitwisseling in de zorg ( Wegiz), de European Health Data Space (EHDS) voor databeschikbaarheid en de NEN 7510 voor informatiebeveiliging.
