In den 1880er Jahren, als die weltberühmte Mayo-Klinik noch eine junge brüderliche chirurgische Praxis im neuen Bundesstaat Minnesota war, kritzelten die Ärzte Notizen über ihre Patienten in schwere, ledergebundene Akten. 1907 hatte sich ein Arzt namens Henry Plummer etwas Besseres ausgedacht. Er dachte, die Episoden der Krankengeschichte eines Patienten sollten sich alle an einem Ort befinden und nicht zwischen den Zeitschriften vieler Ärzte verstreut sein. Deshalb führte er ein neues System ein, das für jeden Mayo-Patienten einen zentral untergebrachten Aktenordner und eine eindeutige Identifikationsnummer erstellte, die auf jedes Blatt Papier geschrieben werden sollte, das darin enthalten war - Arztnotizen, Laborergebnisse, Patientenkorrespondenz, Geburts- und Sterbeurkunden. Er erkannte den wissenschaftlichen Wert dieser Dossiers und überzeugte Mayos Führung, sie jedem Arzt in der Praxis für Lehre und Forschung zur Verfügung zu stellen.
Diese Entwicklung kennzeichnete den Beginn der modernen Krankenaktenerfassung in den USA. Und von Anfang an war das Bestreben von einer untrennbaren Spannung zwischen Teilen und Geheimhaltung geprägt - zwischen der Möglichkeit, Patientendaten für neue medizinische Erkenntnisse abzurufen, und dem Recht der Patienten, diese Informationen geheim zu halten.
Letzte Woche trat diese Spannung erneut zutage, als die Mayo-Klinik bekannt gab, dass Google damit beginnen würde, die Patientendaten des Krankenhauses in einer privaten Ecke der Cloud des Unternehmens sicher zu speichern. Es ist eine Umstellung von Microsoft Azure, wo Mayo seit Mai letzten Jahres Patientendaten gespeichert hat, als es ein jahrelanges Projekt abgeschlossen hat, um alle Pflegeeinrichtungen auf ein einziges elektronisches Patientenakten-System zu bringen. (Projekt Plummer, hieß es.)
Die Änderung signalisiert die Ambitionen des erbauten Krankenhauses in Bezug auf seine riesigen Datenbestände. Google führt die vielbeschworenen Bemühungen an, künstliche Intelligenz zur Verbesserung der Gesundheitsfürsorge einzusetzen. Experimente lesen medizinische Bilder, analysieren Genome, sagen Nierenerkrankungen voraus und suchen nach Augenproblemen, die durch Diabetes verursacht werden. Im Rahmen der 10-jährigen Partnerschaft plant Google, sein umfassendes KI-Know-how in die kolossale Sammlung von klinischen Aufzeichnungen von Mayo einzubringen. Der Technologiegigant plant auch, ein Büro in Rochester, Minnesota, zu errichten, um die Partnerschaft zu unterstützen, lehnte es jedoch ab, anzugeben, wie viele Mitarbeiter das Unternehmen beschäftigen oder wann es öffnen wird.
Krankenhausbeamte sagen, dass strenge Kontrollen den Zugriff von Google auf Mayo-Daten einschränken. Trotz der besten Absichten und höchsten Ziele können Daten ihren Silos entkommen. Einige Experten für Gesundheitsdaten befürchten, dass diese Art von Partnerschaften die Fäden der alternden US-Datenschutzgesetze und das Flickenteppich an Vorschriften für medizinische Daten durchziehen.
"Das Problem ist, dass Googles Geschäftsmodell darin besteht, Daten zu verwenden oder zu verkaufen", sagt Lawrence Gostin von der Georgetown Law School, der ausführlich über die Reform der Datenschutzgesetze im Gesundheitswesen geschrieben hat. "Ich bin keineswegs davon überzeugt, dass Google möglicherweise keine identifizierbaren Informationen für seine Geschäftszwecke verwendet."
Dies sind Informationen, über die das Unternehmen nur verfügen darf, wenn die Patienten gemäß dem US-amerikanischen Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA), dem höchsten Gesetz zum Schutz der Privatsphäre von Gesundheitsinformationen des Landes, ausdrücklich zustimmen. Die HIPAA verlangt, dass Gesundheitsdienstleister ohne ausdrückliche Genehmigung des Patienten keine personenbezogenen Gesundheitsinformationen an Dritte weitergeben.
Aber Skeptiker wie Gostin haben Grund zu Zweifel, dass Googles datenhungriger Betriebsstil mit dem sensiblen Geschäft des Gesundheitswesens vereinbar ist. Einige der anderen Gesundheitsexperimente des Technologieunternehmens stießen auf behördliche und rechtliche Probleme, darunter eine App namens Streams, die die DeepMind-Tochter zu einem AI-gestützten Assistenten für Ärzte und Krankenschwestern entwickelt. Eine Partnerschaft zwischen DeepMind und dem britischen National Health Service zur Erprobung der App verstößt gegen das Gesetz, da das Unternehmen laut einer Untersuchung des Datenschutzbeauftragten des Landes aus dem Jahr 2017 übermäßig breiten Zugang zu Aufzeichnungen über 1, 6 Millionen Patienten hat.
Im selben Jahr ging Google eine Data-Mining-Partnerschaft mit dem Medical Center der Universität von Chicago ein, die nun vor Gericht angefochten wird. Im vergangenen Juni verklagte ein Patient UCMC und Google, weil die elektronischen Krankenakten seiner und Tausender anderer Patienten an Google weitergegeben worden seien, ohne dass Zeit- und Datumsstempel entfernt worden seien.
Google und UCMC haben beide die Vorwürfe zurückgewiesen. Wenn dies zutrifft, wäre dies eine eindeutige Verletzung der HIPAA. Die Klage wurde jedoch nicht unter die HIPAA gestellt. Stattdessen werden betrügerische und unlautere Geschäftspraktiken nach dem Verbraucherschutzgesetz von Illinois sowie Verstöße gegen die Datenschutzrechte des Common Law geltend gemacht. In der Beschwerde wird beschrieben, wie Google deidentifizierte medizinische Aufzeichnungen theoretisch vollständig legal empfangen und sie dann mit seinen umfangreichen Datenbeständen über das Online-Verhalten von Personen kombinieren kann, einschließlich Standortbestimmung, Suchanfragen und Social-Media-Posts, um Personen neu zu identifizieren.
„Bis vor kurzem war die derzeitige Denkweise, dass nichts Schlimmes passieren kann, wenn diese Aufzeichnungen keinen Namen und keine Adresse haben, und ich glaube einfach, dass das nicht mehr stimmt“, sagt Michelle Mello, eine Gesundheitsrechtsexpertin bei Stanford Wer hat über den Fall Google / UCMC geschrieben. Sie weist darauf hin, dass die HIPAA 1996 verabschiedet wurde, bevor Google existierte und als die 20 Millionen Internetnutzer der USA jeden Tag nur etwa 30 Minuten brachen. Was Tech-Unternehmen mit nicht identifizierten Daten tun können, entlarvt Lücken im Datenschutz, die mit jeder Google-Suche und jedem Facebook-Post größer werden, sagt sie.
„Selbst wenn diese Daten verantwortungsbewusst übertragen wurden, sind sie nicht mehr in der Obhut von Unternehmen, die an Vorschriften jeglicher Art gebunden sind, und wir wissen nicht, welche Verknüpfungen durchgeführt werden und wo diese Daten möglicherweise vorhanden sind Am Ende ist es so weit “, sagt sie. „Mit den Daten der Menschen kann man viel anfangen, ohne Versprechen zu verletzen.“
Angesichts dieser Art von Bedenken geben die Beamten der Mayo-Klinik an, dass sie bei der Strukturierung der Google-Partnerschaft sorgfältig vorgegangen sind. Laut einem Sprecher des Krankenhauses ist es Google vertraglich untersagt, klinische Mayo-Daten mit anderen Datensätzen zu kombinieren. Das bedeutet, dass alle Daten, die Google über seine verbraucherorientierten Dienste wie Google Mail, Google Maps und YouTube über eine Person verfügt, nicht mit Zwischenspeichern bereinigter Mayo-Krankenakten kombiniert werden können. Um dies zu gewährleisten, stellt das Krankenhaus nicht identifizierte Daten Google nur in der von Mayo kontrollierten privaten Cloud zur Verfügung, in der alle Aktivitäten überwacht werden können.
Gostin sagt, dies sollte die Patienten in gewissem Maße beruhigen, ist jedoch keineswegs eine Garantie für die Privatsphäre. "Es ist schwierig, Google an seine Datenschutzverpflichtungen zu binden, und Mayo müsste gerichtlich eingreifen", sagt er. Patienten hätten wahrscheinlich keinen eigenen Rechtsweg, wenn die Vereinbarung nicht eingehalten würde. "Die wirkliche Lösung ist die nationale Gesetzgebung, die eine bessere Privatsphäre in mehreren Bereichen vorschreibt", sagt er. "Einschließlich daten- und cloudbasierter Dienste, sozialer Medien und des Internets."
