FAQ - Gegevens over kinderen met kanker in de cloud
Het Prinses Máxima Centrum gaat DNA- en klinische gegevens van kinderen met kanker via de cloud beschikbaar stellen aan onderzoekers die werken aan kinderkanker, in Nederland en daarbuiten. Meer informatie daarover lees je in dit nieuwsbericht. We kunnen ons voorstellen dat je hier vragen over hebt. Staat jouw vraag er niet tussen? Stuur een bericht naar bigdatacore@prinsesmaximacentrum.nl.
Over de gegevens
Binnen wetenschappelijk onderzoek wordt nauw samengewerkt tussen onderzoekers van verschillende instituten. Dat doen ze om kennis en vaardigheden bij elkaar te brengen, en zo het onderzoek sneller en beter te doen. Het Prinses Máxima Centrum deelt dus al vaker gegevens van kinderen met onderzoekers buiten het Máxima. Dat wordt gedaan op basis van strenge afspraken over de beveiliging en het gebruik van die gegevens met de samenwerkingspartners.
Nu gaat het Máxima gegevens van kinderen met kanker via de cloud ook breder beschikbaar stellen aan onderzoekers die werken aan kinderkanker, in Nederland en daarbuiten. Zo kan er nog meer, sneller en beter onderzoek gedaan worden. En kan de kennis die verstopt zit in al die data tot nieuwe inzichten leiden, om in de toekomst de behandeling van kinderkanker te verbeteren.Onderzoekers in het Máxima verzamelen twee soorten data. Beide soorten gegevens van kinderen met kanker staan in de cloud.
Bij de eerste soort gaat het om gegevens over de diagnose en behandeling van kinderen met kanker. Bijvoorbeeld het type tumor, het geslacht van het kind en de leeftijd toen de kanker werd vastgesteld, en het behandelprotocol.
Daarnaast gebruiken onderzoekers materiaal van kinderen met kanker in de Biobank – zoals tumorweefsel of bloed – om metingen te doen in het lab. Dat doen ze alleen met toestemming van ouders en kind. Zo brengen ze afwijkingen in het DNA van de tumor in kaart, en kijken ze naar het effect daarvan op de gen-activiteit in de kankercellen.De onderzoeksgegevens mogen in de cloud alleen gebruikt worden op basis van een versleuteling. Daarmee voorkomen we dat gegevens verzameld voor het onderzoek te herleiden zijn naar individuele kinderen. Het gebruik van DNA-gegevens is volgens de wet wel herleidbaar tot personen. In de praktijk is dat echter heel moeilijk en onwaarschijnlijk: er is ingewikkelde software, veel rekenkracht en een grote database met gegevens van heel veel personen voor nodig. Het gebruik van DNA-gegevens voor het herleiden van personen is ook expliciet bij wet verboden.
Alleen geverifieerde gebruikers – van het Máxima of van collega-onderzoekers bij andere, vertrouwde, instellingen – krijgen toegang tot onze cloudomgeving. Alle gebruikers moeten een training volgen voordat ze in de cloudomgeving mogen. Onderzoekers krijgen alleen toegang tot de data die ze nodig hebben om hun taken uit te voeren. Ze moeten altijd met een multi-factor authenticatie inloggen bij de cloudomgeving.
Sommige stukken van onze cloudomgeving zijn alleen toegankelijk vanaf het computernetwerk in het Máxima voor extra veiligheid.
Over de cloud
De cloud is een manier om gegevens makkelijk en veilig beschikbaar te maken vanuit alle plekken. De gegevens (data) staan opgeslagen op servers in een datacentrum binnen de EU. Als gebruiker kun je vanuit waar dan ook inloggen om bij die gegevens te kunnen.
In het onderzoek naar kinderkanker wordt steeds meer data geproduceerd. Alle informatie over het DNA van één tumor is bijvoorbeeld wel 300GB aan data. Ook medische beelden, bijvoorbeeld CT- of MRI-scans, gebruiken heel veel opslagruimte.
Voor onderzoek is niet alleen steeds meer opslagruimte, maar ook steeds meer computerkracht nodig. Anders kost het misschien wel maanden om onderzoek te doen dat met snellere computers maar een paar dagen duurt.
De opslagruimte, computerkracht en de programma’s om al die berekeningen uit te voeren heten samen IT-infrastructuur. De IT-infrastructuur van de research afdeling in het Máxima is niet meer krachtig genoeg om de steeds groeiende hoeveelheid onderzoeksgegevens te verwerken.
Daarom maakt het Prinses Máxima Centrum gebruik van clouddiensten van een commerciële partij. Dit zorgt voor een snellere, flexibelere en goedkopere manier van werken met grote hoeveelheden data.Het Máxima maakt gebruik van zogenaamde publieke cloud infrastructuur. Dit soort diensten wordt bijvoorbeeld geboden door Google Cloud, Microsoft Azure en Amazon Web Services. Deze partijen bieden de computerkracht en dataopslag vanuit datacentra over de hele wereld. Het Máxima heeft afspraken gemaakt met Google over de beschikbaarheid van de opslag en computerkracht, de beveiliging van de gegevens en wie er toegang heeft tot de gegevens die daar worden opgeslagen. Het Máxima heeft de controle over de data, Google Cloud treedt enkel op als de zogenaamde verwerkende partij. Google Cloud wordt door middel van audits gecontroleerd of ze aan de gemaakte afspraken voldoen. Deze audits worden uitgevoerd door externe onafhankelijke auditors.
Nee, het gebruik van clouddiensten in het Máxima is alleen bedoeld voor onderzoek. En dan speciaal zogenaamd preklinisch onderzoek. Dus bijvoorbeeld onderzoek in het lab of met patiëntgegevens, en geen onderzoek waar een behandeling bij kinderen getest wordt.
Over beveiliging en privacy
Het Máxima heeft afgesproken dat alle data die onze onderzoekers op het Google Cloud Platform zetten alleen binnen de EU worden opgeslagen en bewerkt. Het liefst op de server van Google die in Groningen staat. Voor sommige toepassingen en diensten maken we gebruik van datacentra op andere plekken in de EU, bijvoorbeeld in België of Finland.
Nee. In het contract met Google hebben we afgesproken dat ze geen toegang krijgen tot onze gegevens en code. De naleving daarvan en de beveiliging van Google Cloud wordt gecontroleerd door onafhankelijke derde partijen. Dat geeft zekerheid over de beveiliging en toegang tot de data.
Google Cloud is één van de best beveiligde aanbieders van clouddiensten. Ze beveiligen hun data zowel fysiek (in de datacentra) als digitaal.
Alle aanbieders van clouddiensten, dus ook Google Cloud, moeten voldoen aan de Europese (GDPR) en Nederlandse (AVG) privacywetgeving. Bij het opslaan van data in Nederland moet Google Cloud dus ook voldoen aan alle Nederlandse wetten en regels op het gebied van kwaliteit, veiligheid en privacy.Het veilig omgaan met privacygevoelige gegevens is een belangrijke kernwaarde van het Prinses Máxima Centrum. Dat hebben we toegepast in alle aspecten van de technologie die we gebruiken, waaronder het gebruik van de cloud. Daarnaast zijn onze onderzoekers ook zelf verantwoordelijk voor het zorgvuldig omgaan met onderzoeksdata. Daarin volgen ze de nationale Gedragscode Gezondheidsonderzoek.
Alleen geverifieerde gebruikers – van het Máxima of van collega-onderzoekers bij andere instellingen – krijgen toegang tot onze cloudomgeving. Alle gebruikers moeten een training volgen voordat ze in de cloudomgeving mogen. Onderzoekers krijgen alleen toegang tot de data die ze nodig hebben om hun taken uit te voeren. Ze moeten altijd met een multi-factor authenticatie inloggen bij het Google Cloud Platform.
Sommige stukken van onze cloudomgeving zijn alleen toegankelijk vanaf het computernetwerk in het Máxima voor extra veiligheid.
Het Máxima behoudt altijd de controle over de onderzoeksgegevens en de verwerking ervan. Gegevens die op het Google Cloud Platform staan worden bijvoorbeeld versleuteld als ze niet in gebruik zijn. Tijdens rekentaken kan een beheerder van Google wel toegang krijgen tot de gegevens, maar dit hebben we nadrukkelijk verboden in de afspraken met Google. Het Máxima voert jaarlijks een veiligheidstest uit om er zeker van te zijn dat er geen zwakke plekken zijn in de beveiliging van onze IT-infrastructuur.