1. Blog
  2. Cyberdefense
  3. Data I love you #5: in sickness and in health

Data I love you #5: in sickness and in health

Om onze data reis af te sluiten, vallen we terug op twee series: Homeland en The Circle.

Is het mogelijk om een ​​pacemaker te hacken?

Fragment uit aflevering 10 van het 2e seizoen van Homeland. Bron: Showtime

Gezondheidszorgapparatuur, zoals aangesloten insulinepompen of nieuwe generatie pacemakers, hebben grote beveiligingsfouten. In aflevering 10 van het tweede seizoen van Homeland, een Amerikaanse serie over spionage na 9/11, is Nicholas Brody een voormalige marinier en krijgsgevangene van Al-Qaeda. Hij wordt vrijgelaten door het Amerikaanse leger, gaat de politiek in en ontmoet William Walden, vice-president van de Verenigde Staten en voormalig directeur van de CIA. Zodra ze beginnen te praten, heeft hij pijn: zijn pacemaker wordt gehackt door een cybercrimineel.

Een pacemaker hacken: feit of fictie? In 2017 riep de Food and Drug Administration (FDA) – de Amerikaanse overheidsdienst die onder meer het op de markt brengen van medicijnen toestaat – 465.000 pacemakers terug om ze bij te werken. “FDA-onderzoekers hebben bewezen dat het mogelijk is om het apparaat op relatief korte afstand te besturen of de hartslag te versnellen”, schreef Usbek&Rica in september 2017.

Volgens 01net.com hebben onderzoekers van WhiteScope ondertussen 8.600 beveiligingsfouten gevonden in pacemakers die door vier verschillende bedrijven zijn vervaardigd, opnieuw in 2017. Dit cijfer omvat ook de componenten en software van derden die het apparaat laten werken.

Gegevens die niet aan de aandacht zijn ontsnapt van Marie Moe, een cybersecurity onderzoeker die zelf een pacemaker heeft. “Kunnen hackers mijn hart breken?”, is de bijna poëtische (zo niet letterlijke) titel die ze aan haar TEDx talk gaf.

In 2016, na de implantatie van de defibrillator in haar lichaam, werd ze gegrepen door een zorg: wat als cybercriminelen haar apparatuur op afstand konden hacken? Om het zeker te weten besluit ze het zelf te hacken. Met de hulp van haar onderzoeksteam koopt ze pacemakers op eBay of bij medische professionals.

De onderzoeker ontdekte niet alleen dat het mogelijk was om gegevens uit pacemakers te halen, maar ook om ze op afstand uit te schakelen (terwijl ze vrij dicht bij de beoogde personen bleven). Haar onderzoek heeft ook talrijke configuratiefouten en bugs aan het licht gebracht waarvan zij het slachtoffer is. Haar werk heeft er dus in de eerste plaats toe gediend om de werking van haar toestel en bij uitbreiding die van een hele sector te verbeteren.

Commodificatie van gezondheidsgegevens: voor of tegen?

Nog een cyberbeveiligingsspecialist, nog een TEDx, nog een pathologie. In 2015 gaven Salvatore Iaconesi, een ethische hacker, consultant voor multinationals, en professor een lezing over een ervaring die tragisch had kunnen zijn. Hij is getroffen door een hersentumor en worstelt om er een foto van te krijgen van zijn arts. Hij besluit het ziekenhuis dat hem behandelt te hacken en krijgt zijn hele medische dossier. Hij zet het online en roep de internetgebruikers op om hem te helpen.

Hij kreeg toen bijna een half miljoen contacten, sommige heel serieus (90 dokters en onderzoekers hielpen hem), andere meer persoonlijke (steunbetuigingen, gedichten…). Een kunstenaar maakte zelfs een 3D-print van zijn tumor. Elke nieuwe informatie die hij van zijn arts ontvangt, wordt vervolgens besproken met een team van specialisten via het platform dat hij heeft gecreëerd om de beste strategie voor genezing vast te stellen. Vandaag de dag doet Salvatore Iaconesi het goed en wil hij als specialist in open source een perfect voorbeeld zijn van het beschikbaar maken van medische data voor zoveel mogelijk mensen.

Net als Salvatore spreken veel stemmen zich uit om zoveel mogelijk gezondheidsgegevens openbaar te maken, onderzoek vooruit te helpen en/of patiënten te laten profiteren van het genereren van inkomsten met hun gegevens.

Michèle Anahory, Olivier Spreux (beiden advocaten in gezondheidsrecht), Robert Chu en Alexis Normand (managers van de start-up Embleema) ondertekenden alle vier een opiniestuk dat in januari 2019 in Le Monde werd gepubliceerd, waarin zij pleitte dat “elke burger in staat moet zijn om de exploitatie van zijn of haar gegevens, in de vorm van licenties, voor gedefinieerde doeleinden toe te staan ​​en in royalty’s te worden betaald.”

Voor hen is de observatie eenvoudig: “Als het zich op een pathologie richt, verwerft farmaceutisch onderzoek gedigitaliseerde medische dossiers tegen hoge kosten. De overname door Roche van softwarebedrijf Flatiron begin 2018 voor $ 1,9 miljard (€ 1,65 miljard) gaf het laboratorium bijvoorbeeld de volledige medische geschiedenis van ongeveer 200.000 kankerpatiënten de handen , of ongeveer $ 10.000 per dossier. Zelfs als het doel legitiem is, omdat het de ontwikkeling van behandelingen is, weten de patiënten er niets van.”

Het collectief stelt verder: “Onze gegevens worden inderdaad beschouwd als activa door de platforms, die ze verzamelen en verkopen. De waarde van de gegevens van Europese burgers zal in 2020 zo’n 1.000 miljard euro bedragen. Individuen profiteren niet van deze bloeiende business.

Twee van de ondertekenaars, Robert Chu en Alexis Normand, weten hier iets van. Hun start-up Embleema haalde in februari 2019 € 3 miljoen op. Deze fondsenwerving werd met name uitgevoerd in samenwerking met Pharmagest, een Frans bedrijf gespecialiseerd in de marketing van digitale oplossingen voor apotheken.

Embleema heeft een digitaal platform ontwikkeld met de naam PatientTruth, gebaseerd op blockchain, dat “patiënten de controle over hun medische gegevens wil teruggeven om de lancering van nieuwe behandelingen te versnellen”, legde Les Echos in februari 2019 uit.

“Dit is een enorme verbetering ten opzichte van het huidige model waarbij tussenpersonen […] alle waarde vastleggen van de gegevens waarvan de bron: patiënt, ziekenhuis of onderzoekscentrum geen vergoeding ontvangt, of zelfs niet weet dat ze worden verkocht”, legt Robert Chu, voorzitter van Embleema, uit aan Les Echos.

Gezondheidsgegevens, een nieuwe zakelijke uitdaging voor GAFAM?

Deze consensuele uitwisseling van medische gegevens is benadrukt in de film The Circle, gebaseerd op de gelijknamige roman (geschreven door Dave Eggers).

In de nabije toekomst heeft de jonge Mae net haar droombaan geland: ze sluit zich aan bij een van de teams van The Circle, de grootste technologieservicegroep ter wereld (dit is niets meer of minder dan een onverholen karakterisering van Alphabet, het moederbedrijf van Google). Het bedrijf leeft en ademt door de gegevens die het verzamelt, analyseert en verkoopt. Een van de diensten die het biedt, zal ten goede komen aan Mae’s vader, die multiple sclerose heeft. In ruil voor een gratis behandeling moet hij akkoord gaan met permanent toezicht van The Circle. Al zijn gezondheidsgegevens gaan dus naar het bedrijf.

Zijn GAFAM’s – Google, Amazon, Facebook, Apple en Microsoft – werkelijk geïnteresseerd in onze medische gegevens? Voor elk van hen is het antwoord ja. Er zijn zoveel artikelen over hun projecten gerelateerd aan de medische sector dat we ons moeten beperken tot die van Google. Allereerst om de link met het fictiewerk The Circle te behouden, en simpelweg om de analyse niet te verzwaren.

data blog 5

Screenshot Baseline’s website. Bron: projectbaseline.com

In 2017 lanceerde Verily, de gezondheidsdochter van Google, het Baseline-project: 10.000 vrijwilligers werden gerekruteerd om te worden uitgerust met een batterij aan verbonden objecten (en dat gaat zelfs zo ver als de sensoren onder hun matras). Het doel? Om de evolutie van hun gezondheid op afstand en gedurende vier jaar te volgen.

In medisch onderzoek wordt dit een cohortonderzoek genoemd. Het is een vrij gangbare praktijk die eruit bestaat de evolutie van de gezondheidstoestand van een bepaalde populatie in de loop van de tijd te observeren. Het enige nieuwe feit is dat Google de eerste niet-academische speler is die er een lanceert. Het Baseline-project is opgezet in samenwerking met de universiteiten van Stanford en Duke. Het benodigde aantal fondsen: 100 miljoen dollar. In januari 2019 had Verily $ 1 miljard opgehaald.

Laurent Alexandre, een chirurg en essayist, die door Les Echo werd geïnterviewd in 2017, verklaarde: “Baseline is een proeftuin voor Google, die klein begint om te leren voordat hij groot wordt. Mijn vermoeden is dat de platformspelers binnen tien of twintig jaar hun cohorten hebben gecreëerd, van niet 200.000 maar enkele tientallen miljoenen mensen, en die zullen ze gebruiken om medische studies op industriële schaal opnieuw te doen die tot nu toe twijfelachtig waren.”

En misschien heeft de chirurg een punt. De slogan van Baseline is: “We hebben de wereld in kaart gebracht, laten we nu de menselijke gezondheid in kaart brengen.

Gezondheidsgegevens verkrijgen via internet

Wanneer Google geen medische gegevens verkrijgt van vrijwillige patiënten, koopt de multinational deze van websites waarnaar in de zoekmachine wordt verwezen. Dat blijkt althans uit een onderzoek van de Financial Times dat Les Echos in november 2019 heeft opgepakt.

“Uit het onderzoek van het Britse dagblad blijkt dat de populairste gezondheidssites in het VK de meest gevoelige medische gegevens van hun gebruikers delen met tientallen online advertentiebedrijven over de hele wereld. En dat doen ze zonder duidelijk om toestemming te vragen, zoals vereist door de Europese Algemene verordening gegevensbescherming […]. Ongeveer 80% van de 100 onderzochte sites betreft’, zegt Les Echos.

En de financiële krant vervolgt: “De voorbeelden die de Financial Times geeft, zijn genoeg om een ​​medisch beroep gebonden aan de eed van Hippocrates te doen huiveren. Drugs.com stuurde namen van geneesmiddelen naar Google-dochter DoubleClick […] BabyCenter stuurde informatie over de ovulatiecyclus naar Amazon. De British Heart Foundation of Bupa, een particuliere medische dienstverlener, stuurde trefwoorden als ‘hartziekte’ of ‘een abortus overwegen’ naar Scorecard Research en BlueBay, een dochteronderneming van Oracle.’

Het VK is geen alleenstaand geval. In september 2019 werd in een ander onderzoek, dit keer uitgevoerd door Privacy International – een NGO die campagne voert tegen privacyschendingen –  gekeken naar 136 bijzonder populaire webpagina’s, die allemaal gericht waren op depressie. Deze waren beschikbaar in Frankrijk, Duitsland en het Verenigd Koninkrijk.

“76,04% van deze pagina’s bevat trackers van derden met marketingdoeleinden”, staat in het artikel. Ook hier behoren Google’s dochteronderneming DoubleClick, maar ook AdSense, tot de bedrijven die de meeste trackers op deze pagina’s hebben gepositioneerd.

“Informatie die onthult wanneer iemand zich verdrietig of angstig voelt – met name in combinatie met andere gegevens over hun interesses en gewoonten – kan worden gebruikt om internetgebruikers te targeten wanneer ze het meest kwetsbaar zijn”, analyseert Privacy International.

Dus of het nu gaat om het verkopen van producten of diensten aan internetgebruikers, het vermarkten van hun gezondheidsgegevens aan de giganten van de sector, het toestaan ​​van patiënten om extra inkomen te verdienen door hun gegevens te verkopen en/of het bevorderen van medicijnen en de ontwikkeling van nieuwe behandelingen, de kwestie van gezondheidsgegevens blijft netelig. Nog onbekend, in het licht van een soms haperende toepassing van de wet en ongelijkheden tussen landen, gaat deze kwestie ons allemaal aan: omdat deze gegevens in de eerste plaats van onszelf zijn.

Verre van het opleggen van een pasklaar antwoord, of het nu gaat om onze gezondheidsgegevens, de gegevens van onze kinderen, de gegevens die door onze huizen zijn vastgelegd, de gegevens die we na onze dood achterlaten, of de gegevens die we delen met onze gespreks-AI’s, hopen we dat deze reeks inhoud u aan het denken zal hebben gezet. Omdat het gebruik van onze gegevens geen kwestie van de toekomst is, zoals blijkt uit al deze werken die we hebben uitgelicht, maar een kwestie van het heden.

Delen