Meest recente artikelen
Recente berichten
- Jeugdzorgdata net als GGZ-HONOS-data straks massaal naar NZa 3 juli 2024
- Ook sterfbed Co-Med oogt niet fraai vanwege zorggegevens 28 juni 2024
- Minister Helder jokt tegen Kamer in antwoord op motie Joseph 26 juni 2024
- Old-school Edifact bij huisarts-ICT-systeem Medicom in de fout 20 juni 2024
- Gunstige jurisprudentie inzake ontvankelijkheid HONOS-rechtszaak 19 juni 2024
Recente reacties
- wjjongejan op Afschermen onderdelen zorgdossier huisarts belangrijker dan ooit
- Herman Slagman op Afschermen onderdelen zorgdossier huisarts belangrijker dan ooit
- wjjongejan op ZN vindt zorgvraagtypering van NZA geen werkbaar alternatief
- Maurice Hintzen op ZN vindt zorgvraagtypering van NZA geen werkbaar alternatief
- wjjongejan op Toestemmingsvoorziening Mitz juridisch mijnenveld voor huisarts
Documenten
![](https://zorgictzorgen.nl/wp-content/uploads/2021/02/GPDR_compliant_Guetzli_150x81.jpg)
Meest gebruikte termen
33509 Akwa GGZ AP Autoriteit Persoonsgegevens AVG CBP Chipsoft DIS Eerste Kamer eHealth GGZ GGZ Nederland HIS HONOS IGJ KNMG KNMP LHV LSP Medicom medisch beroepsgeheim MedMij NHS NICTIZ NZa opt-in-toestemming Patiƫntenfederatie Nederland PGO Philips privacy ROM ROM-data SBG VGZ Vrijbit VWS VZVZ Wbp ZIS ZN zorgdata zorgprestatiemodel zorgrobot zorgverzekeraars Zorgverzekeraars Nederland
Privacy-discussie komt data-miners in de zorg niet uit.
/door wjjongejanPrivacy-discussie komt data-miners in de zorg niet uit. Zorgdata zijn te kwetsbaar om als commodity(grondstof) zonder informed consent gebruikt te worden.
VWS wil armoe van toestemmingsregister zorgcommunicatie de XIS-sen in fietsen
/door wjjongejanVWS wil armoe van toestemmingsregister zorgcommunicatie de XIS-sen in fietsen. Onduidelijke brief minister Bruins noopt tot exegese.
Akwa maakt onrechtmatig verkregen ROM-data toch raadpleegbaar
/door wjjongejanAkwa maakt onrechtmatig verkregen ROM-data toch raadpleegbaar. Van SBG gekregen dataset blijft na anonimiseren gewoon illegaal verkregen.
Kwaadwillend knoeien met medische digitale beelden realiteit
/door wjjongejanKwaadwillend knoeien met medische digitale beelden realiteit. End-to-end-encryptie tussen scanner en PACS-server van eminent belang.
eHealth: de wet van Jongejan en redenen voor uitblijven doorbraak
/door wjjongejaneHealth: de wet van Jongejan en redenen voor uitblijven doorbraak. In gesprek met kritische zorgICT-kenner Gerard Freriks.
UZI-pas en rijbewijs: een slechte combinatie
/door wjjongejanUZI-pas en rijbewijs: een slechte combinatie. Zo maar eens wat praktische problemen bij het verkrijgen van een nieuwe UZI-pas.
Wanhoopspoging VWS om toestemming bij elektronische zorgcommunicatie uit te schakelen
/door wjjongejanWanhoopspoging VWS om toestemming bij elektronische zorgcommunicatie uit te schakelen. De onderliggende redenatie is juridisch onhoudbaar.
Zorgdata verwerken, MRDM en gepseudonimiseerde data
/door wjjongejanZorgdata verwerken, MRDM en gepseudonimiseerde data. Een wir-war-van bedrijven, gevestigd op hetzelfde adres, faciliteert Value Based Healthcare met data waar geen toestemming voor gevraagd is.
Forse boete AP voor MENZIS i.v.m. onvoldoende toezicht op inzage medische dossiers
/door wjjongejanForse boete Autoriteit Persoonsgegevens voor MENZIS i.v.m. onvoldoende toezicht op inzage medische dossiers.
Juridische overwegingen bij medische data door MRDM en opslag bij Google Cloud
/door wjjongejanOp 1 april 2019 schreef ik op deze website een artikel over een bericht van het Algemeen Dagblad op 30 maart. Het betrof de verwerking van massale hoeveelheden medische data in gepseudonimiseerde vorm door het bedrijf Medical Research Data Management (MRDM) en de opslag van die data op de Google Cloud op de locatie Eemshaven. Inmiddels is de politiek ook wakker geschud, hebben Kamerleden van D66 en SP vragen gesteld en heeft minister Bruins opdracht gegeven aan de Autoriteit Persoonsgegevens onderzoek te doen. Er zitten interessante juridische kanten aan deze materie, voornamelijk van principiƫle aard. Niet alleen gaat het dan over het feit dat de data in de Google Cloud nu opgeslagen staan, maar ook over de positie van MRDM en de data-verzamelende zorginstellingen. De jurist Theo Hooghiemstra, kind aan huis bij het Ministerie van VWS, en in allerlei gremia betrokken bij data-uitwisseling, blijkt geen zwart/wit antwoord te kunnen geven of de in de Google Cloud opgeslagen data wel veilig zijn.
Vier betrokken partijen
Bij wat er gebeurt zijn vier partijen betrokken: patiƫnten, zorginstellingen, het bedrijf MRDM en Google Cloud. In de berichtgeving noemt men het meeste de laatste, maar dat is maar een deel van het verhaal. Met name de rechten van patiƫnten ten aanzien van die data zijn onderbelicht.
Onduidelijke positie MRDM
Uit de berichten in het Algemeen Dagblad doet het bedrijf MRDM voorkomen dat het contractueel een onderdeel is van de aanleverende zorginstellingen (zie daarin punt 4: Kan dit zomaar?) en dus geen derde zou zijn die de data voor de zorginstellingen be-/verwerkt. Het bedrijf doet ermee voorkomen geen zelfstandige onderneming te zijn. Het vreemde aan die constructie is dat meerdere zorginstellingen dezelfde onderneming als onderdeel van hun organisatie zouden hebben. Dat maakt de zelfstandigheid van MDRM dan ook twijfelachtig. Toch profileert MRDM zich zelf naar buiten als een zelfstandige onderneming. Op haar website profileert MRDM zich als zelfstandige onderneming met als klanten een baaierd aan zorginstellingen.
Verwerkingsverantwoordelijke en be-/verwerker
Bij het be-/verwerken van data is er volgens de Algemene Verordening Gegevensbescherming(AVG) altijd een verwerkingsverantwoordelijke die het doel van en de middelen van de gegevensverwerking vaststelt. Deze heeft de zeggenschap over hetgeen wordt verwerkt, kan instructies geven voor de gegevensverwerking en heeft hierop feitelijke invloed. Het gaat hier vooral om wie daadwerkelijk de beslissingen neemt en feitelijk bepaalt wat er met die gegevens gebeurt. De verwerker verwerkt persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke. In het geval van gepseudonimiseerde zorgdata dienen we op basis van uitspraken van de Autoriteit Persoonsgegevens gewoon te spreken over het verwerken van (bijzondere) persoonsgegevens. Daarbij is bij hergebruik voor een ander doel toestemming van de patiƫnt noodzakelijk.
MRDM
De reactie van MRDM doet duidelijk uitkomen dat zij zichzelf āslechtsā ziet als een bewerker die medische gegevens verwerkt in opdracht van ziekenhuizen. Dit standpunt houdt in dat MRDM niet eigenstandig mag beslissen op welke wijze en waarvoor de door ziekenhuizen aangeleverde data worden verwerkt. Dit betekent ook dat de doorlevering van data aan Google gebeurt in opdracht van de ziekenhuizen die door MRDM worden aangemerkt als de verantwoordelijke voor de verwerkingen die door hen als bewerker worden uitgevoerd.
Eigen Initiatief?
Mocht de doorlevering van de medische data aan Google Cloud op eigen initiatief van MRDM geschied zijn dan moet zij worden aangemerkt als verwerkingsverantwoordelijke . Die kan en moet dan worden aangesproken op de vereisten die gelden voor het verwerken van deze bijzondere persoonsgegevens.
Wettelijke en verdragsrechtelijke eisen
Bewerkers die worden ingeschakeld voor de verwerking van bijzondere persoonsgegevens moeten gehouden kunnen worden aan dezelfde wettelijke en verdragsrechtelijke vereisten zoals die gelden voor de verwerkingsverantwoordelijke. Een andere opvatting is onhoudbaar omdat anders het inschakelen van een buitenlandse bewerker die niet gehouden is aan in Nederland geldige wet en regelgeving tot een āreguliere optieā wordt voor het in strijd met de wet(illegaal) verwerken van persoonsgegevens van Nederlanders.
.
Zeer problematisch
Een ander problematisch punt in deze casus is echter dat besturen van ziekenhuizen zonder toestemming van de patiĆ«nt menen te kunnen en mogen beschikken over behandelinformatie van in het ziekenhuis werkzame zorgverleners. De gegevens in dossiers van zorgverleners zijn verkregen voor de behandeling van de patiĆ«nt en mogen niet aan derden die niet direct bij de behandeling betrokken zijn slechts worden door geleverd voor enig ander welbepaald doel zonder expliciete geĆÆnformeerde toestemming van de patiĆ«nt.
Toe-eigening zeggenschap zorgdata
Ook buiten deze casus speelt dit bij de pogingen tot verstrekking van ROM-data door GGZ-instellingen aan eerst SBG en thans Awka met De Nieuwe Entiteit als verwerker. De gedachte dat besturen van GGZ-instellingen uit hoofde van hun functie menen te kunnen beschikken over gegevens in patiƫntdossiers van zorgverleners is volstrekt onjuist. In het model-privacy-reglement van GGZ Nederland voor GGZ-zorginstellingen worden de besturen van zorginstellingen tot verwerkingsverantwoordelijke gemaakt die het doel en de middelen van de verwerking vaststellen.
Het gevolg is dat niet de cliƫnt met de zorgverlener bepaalt of persoons-/behandelgegevens van de cliƫnt de instelling verlaten, maar de zorgaanbieder, zijnde het bestuur en de directie van de zorginstelling. Ik schreef hierover op 29 maart 2018.
Patiƫnten
Het is triest om te moeten constateren dat in dit data-geweld de rechten van patiƫnten om zelf te beschikken over wat er met zijn/haar data gebeurt met de voeten worden getreden. Allerlei constructies worden opgetuigd om over die data te beschikken. De Autoriteit Persoonsgegevens die daarover zouden moeten waken slaapt of is onwillig krachtige beslissingen te nemen.
W.J. Jongejan, 3 april 2019
Juridische overwegingen bij medische data door MRDM en opslag bij Google Cloud. MRDM creƫert mist over haar positie in de datatransfer/-verwerking.