Maison / Technologie / Google a utilisé des contrats d’échange pour obtenir des conditions d’accès en masse aux données des patients du NHS.

Google a utilisé des contrats d’échange pour obtenir des conditions d’accès en masse aux données des patients du NHS.

Nouveau scientifique a conclu un accord juridique entre la division santé de Google et le National Health Service (NHS) du Royaume-Uni, qui prévoit la possibilité de passer en bloc cinq ans de données de patients dans le cadre d’un processus de novation de contrat.

Si vous ressentez un sentiment de déjà vu, vous avez tout à fait raison: Retour en 2016 il est apparu – également via Nouveau scientifique Demande d’accès à l’information – DeepMind, propriété de Alphabet, acquis par Google en 2014, avait reçu une injection massive de données sur les patients d’un London NHS Trust.

La révélation qu’un grand nombre d’enregistrements de patients du NHS (environ 1,6 million dans ce cas) avait été discrètement transmise à un Google une entreprise d’origine a mené à une longue enquête réglementaire et, enfin, à 2017, une conclusion selon laquelle le Royal Free NHS Trust avait enfreint la loi britannique en transmettant les données des patients à DeepMind pour le développement d’une application d’alertes appelée Streams.

Malgré le constat de l’absence de base légale pour le partage des données lors du développement de l’application, DeepMind a continué à signer des accords avec NHS Trusts.

Il a également lancé une offensive agressive de relations publiques – en organisant des réunions avec les patients, en publiant ses contrats avec les NHS Trusts (bien que des expurgations) et en mettant en place un conseil de surveillance indépendant chargé de contrôler sa division de la santé.

Ces réviseurs nommés par DeepMind ont ensuite averti du risque de la société pouvoir exercer un pouvoir de monopole excessif en raison de l’infrastructure d’accès aux données, il était associé à l’application Streams.

Puis l’année dernière une annonce explosive: le service de santé de DeepMind serait intégré à Google – dans le cadre d’une réorganisation commerciale ordonnée par son parent commun, Alphabet. La prise de contrôle controversée a été achevée le mois dernier. Donc pour DeepMind, lisez Google maintenant.

Cette décision a fait des années de protestations de DeepMind lors du scandale de la gouvernance des données – alors qu’il avait affirmé à plusieurs reprises que les données des patients ne seraient jamais partagées avec Google – sans aucune valeur. Les dossiers médicaux des citoyens britanniques se dirigent désormais directement vers les serveurs de Google.

Trois ans plus tard, c’est comme si rien n’avait changé sauf l’ordre des noms. Indépendamment d’une chute réglementaire et guidage pointu National Data Guardian du Royaume-Uni sur l’utilisation des données des patients pour le développement d’applications.

Taunton et Somerset NHS Foundation Trust – une des fiducies qui a signé un contrat de cinq ans avec DeepMind pour Streams – a encré un nouveau contrat avec Google qui inclut la même disposition pour les données de patient «actives» à transmettre en masse.

Il s’agit là d’un curieux retour en arrière étant donné que la confiance est ce qu’on appelle un «exemple numérique mondial» (GDE), ce qui signifie qu’elle reçoit un financement gouvernemental supplémentaire pour financer les meilleures pratiques numériques dans des domaines tels que le partage d’informations afin de créer un modèle de transformation numérique qui: d’autres fiducies peuvent suivre. Ce qui inclut, dans son cas, le développement d’API ouvertes à l’aide d’un standard international d’interopérabilité des données entre systèmes de santé, appelé FHIR (alias: Fast Healthcare Interoperability Resources).

DeepMind, quant à lui, regroupait la licence d’un API FHIR dans ses contrats Streams avec Trusts – ce qui signifie qu’elle posséderait l’architecture de distribution sous-jacente pour les services numériques dépendants des données ainsi que l’application Streams elle-même. Et le nouveau contrat que Taunton a signé avec Google couvre le même sujet, avec des clauses relatives à la conception et au développement de l’API FHIR pour les flux.

Il comprend également une section non validée spécifiant que cette API FHIR, désormais fournie par Google Health UK, servira de passerelle via laquelle les fabricants d’applications tiers (initialement sur iOS) peuvent accéder aux «données de confiance pertinentes».

Toutefois, les clauses commerciales du contrat étant rédigées, il n’est pas clair si Google facturera aux développeurs l’accès aux API. quand nous a demandé au fondateur de DeepMind à ce sujet En 2016, Mustafa Suleyman nous a dit qu’il «ne savait pas». (Google n’a pas répondu à une question sur les conditions commerciales de Streams.)

Dans son contrat novateur avec Taunton, il est prévu d’envoyer cinq ans de données historiques sur les consultations et les diagnostics des patients, ainsi que la base de données électronique des dossiers des patients.

Nous avons demandé à la Fiducie pourquoi le contrat prévoyait la possibilité de transmettre en masse les données des patients car il dispose désormais de ses propres API FHIR. Un porte-parole nous a dit que c’est parce que «en 2016, lorsque nous avons signé le contrat, nous n’étions pas un GDE, nous n’avions donc pas accès au FHIR», ajoutant que «nous aurions dû annuler le contrat et renégocier, alors que nous l’avons nové. comme pour comme ".

Pourtant, Yeovil, un client du NHS, a choisi de ne pas céder son contrat de DeepMind à Google, n’ayant jamais déployé l’application Streams.

Ainsi, dans le cas de Taunton, il n’est pas tout à fait clair pourquoi il a été novateur. Son porte-parole nous a confirmé qu’il n’avait pas non plus lancé Streams. Il n’a pas non plus l’intention de le faire pour le moment, a-t-il déclaré.

Mais une porte-parole de Google nous a dit que le Trust avait conclu un accord avec Google Health afin d’explorer ses futures collaborations sur les moyens par lesquels les outils mobiles pourraient soutenir ses priorités numériques.

Le porte-parole de Taunton a suggéré que si le Trust envisageait de développer avec Google des applications de soins de santé numériques utilisant les dispositions relatives aux données en bloc des patients dans le contrat novaté, il chercherait à consulter les patients à l’avance. Mais les termes du contrat prévoient déjà l’accès aux données des patients.

Le porte-parole a indiqué que le Trust considérait le maintien d’une relation contractuelle avec Google-DeepMind comme une "opportunité". Bien que nous ne sachions pas si cela risque d’être lié contractuellement à Google en tant que fournisseur unique d’API FHIR pour des applications de soins de santé numériques tierces. Ou si elle pouvait utiliser sa propre infrastructure FHIR pour s’ouvrir à l’innovation extérieure bien que cet accord ait été signé par Google. (Nous avons demandé à la Fiducie des éclaircissements techniques et juridiques à ce sujet.)

Taunton nous a également envoyé cette déclaration, attribuée à David Shannon, son directeur du développement stratégique:

Aucune donnée patient n’est actuellement partagée entre Taunton et Somerset NHS Foundation Trust et Deepmind ou Google Health, et nous n’utilisons aucune application Google Health. Si nous travaillions avec DeepMind ou Google Health sur toute innovation numérique susceptible de prendre en charge les soins des patients, les travaux seraient dirigés par des cliniciens et nous entretiendrions un dialogue ouvert et transparent avec nos patients. Lorsque nous avons signé le contrat avec DeepMind en 2016, nous n’avions pas d’infrastructure FHIR, mais nous sommes maintenant un exemple numérique mondial et utiliserions la technologie la plus appropriée et sécurisée à notre disposition.

Nous avons contacté le contrôleur britannique de la protection des données, l’OIC, pour lui demander de confirmer que le contrat conclu prévoyait la transmission de données en bloc à Google. Un porte-parole nous a signalé une déclaration publiée plus tôt ce mois-ci: l’OIC ne peut approuver les mesures prises pour atténuer les risques supplémentaires pour les données à caractère personnel résultant de modifications contractuelles. Nous avons été régulièrement informés de ces modifications et avons informé les organisations de leurs obligations en vertu de la loi sur la protection des données. "

En juillet, le régulateur a également publié un mise à jour sur son enquête d’application Royal Free Streams, écrivant ensuite:

… Avant le transfert des flux de DeepMind vers le nouveau Google Health Unit, l’OIC a clairement indiqué aux contrôleurs utilisant le service Streams qu’ils devront disposer de la documentation légale appropriée pour garantir que leur traitement est conforme aux exigences du GDPR (règlement général sur la protection des données). Les organisations doivent s’assurer et documenter les mesures appropriées pour réduire les risques liés à la protection des données au-delà des obligations contractuelles et de l’obligation incombant à Google Health en vertu de la législation sur la protection des données, telles que les audits, les rapports et autres mesures appropriées.

Comme nous l’avons dit, le contrat de Google avec Taunton a été expurgé afin de supprimer tous les détails des conditions commerciales. Par conséquent, il n’est pas clair quelles conditions sont liées aux futurs travaux potentiels sur Streams / une API FHIR pour des tiers. Bien que DeepMind ait offert le paquet Streams gratuitement aux fiducies pendant les cinq premières années, les paiements ne sont versés que si ses coûts de support de service dépassent 15 000 £ par mois. On peut donc supposer que les termes restent les mêmes pour la durée du contrat initial.

Dans le nouveau contrat conclu avec Google, les dispositions de Taunton relatives aux données globales définissent les patients «actifs» – qui est le seul type de patients dont les données peuvent être transmises, selon ses termes mêmes – comme suit: «(1) patients avec des voies électives ouvertes; (2) les patients avec des voies d’admission d’urgence avec une activité en attente non programmée; (3) Patients admis en urgence dans les 6 mois précédant le point de transfert (c’est-à-dire) avant la mise en service des Streams; ».

Sam Smith, coordinateur du groupe de défense de la confidentialité des données de santé MedConfidentiel, soutient que cette définition est contradictoire pour un téléchargement unique. Sinon, cela impliquera une énorme quantité de travail pour l’hôpital qui, at-il dit, n’aidera pas non plus les patients qui ne répondent pas à la définition du terme "patients actifs" la veille de l’exportation mais le lendemain.

"Ces accords montrent à quel point peu de choses ont changé pour l’un des projets de données du NHS les plus controversés des cinq dernières années", a-t-il déclaré dans un communiqué. «Bien que le contrat avec Royal Free ait été déclaré illégal, Trusts a signé des contrats pour transmettre à Google plus de 12 années de données sur les patients provenant d’une douzaine d’hôpitaux – sans même dire le montant de leur salaire.

«Si c’est le genre d’accord que le premier ministre britannique Boris Johnson va encourager, alors la confiance du public sera catastrophique. Les patients doivent savoir ce qu’il advient de leurs données et être en mesure de voir exactement quel type d’accords sont passés pour les obtenir. "

Contrairement à DeepMind, qui était sur la défensive tout au long de l’exercice 2016-2017 après le scandale de la gouvernance des données Royal Free, Google Health ne s’est pas engagé à publier ses contrats avec les trusts du NHS.

Jusqu’à présent, ses autres contrats avec NHS Trusts n’ont pas été rendus publics. Cependant, s’ils ont tous été novés de la même manière, ils contiendront probablement les mêmes termes que ceux convenus avec DeepMind.

Google a également dissout le conseil de surveillance indépendant créé par DeepMind, affirmant que ce n’était pas la bonne structure pour superviser la stratégie globale de Google Health. Il y a donc eu une nette réduction du niveau de transparence concernant le traitement des données des patients, les contrats ayant été transférés au géant de la technologie. Ce qui ne semble guère bon du point de vue de la confiance du patient.

Une chose est claire: l’ambition de Google pour sa division de la santé désormais élargie est de chercher à appliquer l’intelligence artificielle aux données de santé à des fins de prévision et de diagnostic. C’était également l’intention de DeepMind, spécialiste de l’IA, qui avait prévu de réutiliser les données des patients de Royal Free pour la formation des IA, bien qu’il ait prétendu s’être éloigné de la situation, une fois que des autorisations réglementaires supplémentaires seraient nécessaires.

Cette juilletJuste avant de céder sa division de la santé à Google, les scientifiques DeepMind et Google ont publié un article de recherche dans lequel ils détaillaient un modèle d’apprentissage approfondi permettant de prédire en permanence la probabilité future qu’un patient développe une maladie constituant une menace de mort, appelée insuffisance rénale aiguë. . La même condition pour laquelle l’application Streams utilise actuellement un algorithme NHS pour générer des alertes.

DeepMind a affirmé que le modèle AKI d’AI permet une intervention plus rapide, qu’il décrit comme «sa plus grande avancée en matière de recherche sur les soins de santé à ce jour». Cependant, le modèle a été formé à l’aide de données de patients américains du ministère des Anciens combattants qui biais majoritairement masculins: 93,6%. Il existe donc d’importantes réserves quant à la manière dont le modèle d’IA pourrait être appliqué en toute sécurité à d’autres populations moins asymétriques et plus diverses.

Le contrat de Google avec Taunton stipule que les données des patients (si la société en reçoit réellement) ne peuvent être utilisées qu’aux fins de soins directs aux patients, donc pas pour le développement de logiciels.

Nous ne devons pas non plus présumer que nous développons des modèles d’IA. Des autorisations réglementaires supplémentaires seraient nécessaires à des fins expérimentales telles qu’elles ne tomberaient manifestement pas dans le cadre des «soins directs aux patients».

Dans le même temps, le contrat esquisse l’image la plus claire de ce que Google a à l’esprit avec Streams: une application dont la portée a déjà évolué, passant d’un enveloppeur mobile pour les alertes algorithmiques NHS à une application plus large de gestion des tâches et des alertes servie via une chaîne de diffusion appartenant à Google. API FHIR.

Dans une section des définitions de contrat, le logiciel «Streams: Task Management» est défini comme «une plate-forme de gestion de tâches cliniques et de messagerie textuelle fournie sous la forme d’une application logicielle mobile»; tandis que la «plate-forme Streams: Mobile» est définie comme un dispositif médical de classe I non mesurable fourni sous la forme d’une application mobile capable d’évaluer la détection en temps réel de l’AKI – et «qui est extensible de manière générale à un (i) patient alertes de sécurité, et (ii) la détection en temps réel et l’aide à la décision pour soutenir le traitement et éviter la détérioration clinique dans une gamme de diagnostics et de systèmes d’organes, y compris les nouvelles versions et / ou les nouvelles versions (y compris, sans limitation, les versions incluant fonctionnalité pour la saisie et la visualisation des signes vitaux et autres aspects définis dans la feuille de route) fournis dans le cadre des services de support ».

Dans le cadre de ces paramètres généraux, les Streams peuvent clairement devenir le meilleur moyen de fournir des alertes basées sur l’IA et une aide à la décision aux cliniciens au chevet de l’hôpital.

Au Royaume-Uni du moins, on peut s’interroger sur la manière dont Google pourrait pousser l’IA dans son sas FHIR, à moins de pouvoir obtenir un accès avancé aux données nécessaires au niveau de la population afin de former des modèles d’IA pertinents.

Après tout, c’est le NHS, et non Google, qui détient ces informations personnelles confidentielles pour les patients.

Et comme sir John Bell m’a dit , après avoir rédigé la revue du gouvernement britannique sur le secteur des sciences de la vie il y a quelques années: «Ce que fait Google dans (autres secteurs), nous occupons une position unique équivalente dans le secteur de la santé. Les données constituent l’essentiel de la valeur. La pire chose que nous puissions faire est de le donner gratuitement.

Source

A propos newstrotteur-fr

Découvrez également

L’armée américaine revendique un «succès» dans le piratage de l’Etat islamique

L’armée américaine prétend avoir “réussi” à perturber les efforts de propagande en ligne de l’État …

Laisser un commentaire

Do NOT follow this link or you will be banned from the site!