Autoriteit Persoonsgegevens lekt URL van interne applicatie bij bekijken websites

/door

lektRecent, 22 juli 2019, viel het mij voor de tweede maal in Google Analytics op, dat als iemand van de Autoriteit Persoonsgegevens(AP) deze website bezoekt de bron zichtbaar is. Ik bedoel dat Google Analytics de URL van het intranet van de AP toont. Nieuwgierig als ik ben hoe het bezoek aan de website ZorgICTZorgen zich ontwikkelt, kijk ik af en toe naar het real-time-overzicht. Op de kaart kan je met grote stippen zien in welke plaats iemand inlogt. Als iemand in Den Haag inlogt, ben ik altijd wat alerter. Meestal is de bron afgeschermd zodat die niet zichtbaar is. Van de AP dus blijkbaar niet. De reden van het bezoek aan mijn website door één of meerdere medewerkers van de AP was gelegen in een recente publicatie over de boete en last onder dwangsom die de organisatie oplegde aan het Haga-ziekenhuis. Het doet mij in ieder geval deugd te weten dat binnen de AP-organisatie men mijn blogs in ieder geval leest.  Lees meer

Mag VWS patiënten handelingsonbekwaam noemen om gepseudonimiseerde zorgdata te verzamelen?

/door

handelingsonbekwaamOp 19 juli 2019 startte de internetconsultatie van een wetsvoorstel voor het creëren van een wettelijke grondslag voor het verwerken van gepseudonimiseerde persoonsgegevens in twee kwaliteitsregistraties. En het doorleveren aan derden, wat expliciet in het wetsontwerp benoemd staat. Het betreft het Landelijk Alcohol Drugs Informatie Systeem (LADIS) en de Landelijke Trauma Registratie (LTR). Doel van die registraties is het bevorderen van de kwaliteit en veiligheid van de gezondheidszorg op die gebieden. Naast deze zijn er andere, nog grotere, “kwaliteitsregistraties”. Daarbij speelt ook het probleem dat de daarin verzamelde data gepseudonimiseerde zorggegevens betreft. Daarvoor behoeft men in principe toestemming van de betrokkene. In het wetsvoorstel( plus memorie van toelichting) tot wijziging van de Wet kwaliteit, klachten en geschillen zorg, kortweg Wkkgz, probeert de minister van VWS de twee genoemde registraties weer op gang te krijgen. Omdat sinds begin 2016 gepseudonimiseerde data gewoon als persoonsgegevens beschouwd dienen te worden hebben de data-verzamelende instanties een groot probleem. Toestemming van de patiënt is daardoor nodig. Daardoor  stokte de aanlevering van veel data. Veelal was geen toestemming van de patiënt gevraagd. Een aantal registraties kwam vrijwel droog te staan. Dit probleem speelt niet alleen bij LADIS en LTR, maar ook bijv. bij de verzameling van ROM-data. Ik schreef hier meerdere keren over.

Lees meer

In hoeverre zitten Nederlandse zorgdata in schaduwdatabase Cosmos van Epic?

/door

schaduwenOp de website van het NRC-Handelsblad verscheen op 17 juli 2019 een openhartig artikel van een gynaecoloog in opleiding aan het Amsterdam UMC, Sabra Dahhan. De papieren versie verscheen een dag later. In dit artikel kaart zij de verzameling van zorgdata aan door Epic, leverancier van Ziekenhuis InformatieSystemen(ZIS-sen) in een grote schaduwdatabase, Cosmos, genaamd, in de Verenigde Staten. Naast aandacht ervoor kaart zij ook de discrepantie aan die bestaat tussen het gebruik van deze data door Epic en het gebruik van zorgdata door Nederlandse wetenschappelijk onderzoekers. Het is een zeer moedige poging om dit onderwerp in de media bespreekbaar te maken. Moedig, ook in juridische zin, omdat het voor zorgmedewerkers die in een ziekenhuis werken waar Epic als ZIS gebruikt wordt, eigenlijk niet goed mogelijk is om iets negatiefs te ventileren over dit systeem. Het heeft te maken met zwijgbepalingen(“gag-clauses”) in contracten tussen de leverancier en het ziekenhuis. Ik schreef hier enkele keren over, o.a. op 22 maart 2019.      Lees meer

Makkelijk scoren voor verder lakse Autoriteit Persoonsgegevens bij Haga-ziekenhuis

/door

makkelijk scorenOp 16 juli 2019 maakte de  Autoriteit Persoonsgegevens(AP) bekend dat ze Het Haga-ziekenhuis in Den Haag een zeer hoge boete van 460.000 euro en een forse last onder dwangsom oplegde. Het besluit dateert van 18 juni 2019. Het gaat om de nasleep van een berucht datalek uit april 2018. Toen raakte bekend dat 85 ziekenhuismedewerkers onterecht het medische dossier van de “reality ster Barbie” ingezien hadden. Het kwam naar buiten door een tip via de klokkenluiderssite PubLeaks aan de tv-rubriek EenVandaag. Ik schreef er in 2018 drie keer over. (A, B, C). De AP kwam toen in actie en deed onderzoek bij het Haga-ziekenhuis. Eigenlijk kon de AP het zich niet permitteren om geen onderzoek te doen en geen maatregelen af te kondigen vanwege de forse publiciteit rond deze gebeurtenis. Bij de AP lopen meerdere zaken waarbij sprake is van schending van de privacyrechten van burger in de zorg waar de AP geen beslissing neemt en/of onderzoek op de lange baan schuift.

Lees meer

Stroperige beleidsvoornemens VWS in brief over elektronische gegevensuitwisseling zorg

/door

stroperigGrote woorden gebruikt minister Bruno  Bruins voor medische zorg in zijn brieven aan de Tweede Kamer over elektronische gegevensuitwisseling in de zorg. Versnellen, verplichten, de regie nemen, een “roadmap”, prioritaire processen: het kan niet op.  De eerste brief dateert van 20 december 2018, de tweede van 9 april 2019 en de  derde verscheen 12 juli 2019. Het ademt allemaal daadkracht. Maar dat valt ondanks het stuwende woordgebruik op de keper beschouwd vies tegen. Favoriet in zijn woordgebruik is de eenheid van taal en de zorgbouwstenen. Die hebben hun echter hun eigen dynamiek waarbij de ontwikkeling van de bouwstenen vlotter lijkt te gaan dan de eenheid van taal. Als je goed leest wat hij in zijn meest recente brief schrijft, gaat het om stroperige initiatieven met een lange doorlooptijd. Hij komt met praktisch onhaalbare initiatieven en overdreven verwachtingen. Daarnaast blijkt hij zijn voornemen uit de vorige brief om de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg(Wabvpz) uit te kleden bij nader inzien toch niet door te zetten.

Lees meer