Berichten

Zorgdata verwerken, MRDM en gepseudonimiseerde data

/door

big data

Recent zorgde een bericht in het Algemeen Dagblad op 30 maart 2019 voor flink wat rumoer. Het zorgdata verwerkende bedrijf Medical Research Data Management(MRDM) blijkt deze data opgeslagen te hebben in de Google Cloud(locatie Eemshaven). Het gegeven dat het om gepseudonimiseerde data gaat, die volgens de vigerende wet- en regelgeving gewoon als bijzondere persoonsgegevens beschouwd moeten worden maakt het één en ander nog interessanter. Binnen MRDM heeft men zelf ook wel door dat er sprake is van bijzondere persoonsgegevens. Op 17 mei 2018 hield het bedrijf een informatiebijeenkomst gegevensbescherming  waarin dit onderwerp en de relatie tot de Algemene Verordening Gegevensverwerking(AVG) ter sprake kwam. Sprekers waren onder andere de “zorg”-jurist Theo Hooghiemstra en zijn confrater Evert-Ben van Veen, directeur van het bedrijf MedLaw. Bij het doorspitten van de positie van het bedrijf MRDM stuitte ik op een kluwen van zorg-data-verwerkende bedrijven die plotseling de Value Based HealthCare(VBHC) hoog in het vaandel hebben staan. Lees meer

Forse boete AP voor MENZIS i.v.m. onvoldoende toezicht op inzage medische dossiers

/door

forrse boete

Waar iedereen eigenlijk aldoor bang voor was, blijkt echt gebeurd te zijn. Een zorgverzekeraar geeft personen binnen de organisatie die niet bevoegd zijn inzage in medische dossiers. In het zojuist verschenen jaarverslag over 2018 van de zorgverzekeraar Menzis is te lezen dat men in dat jaar een boete van 50.000 euro van de Autoriteit Persoonsgegevens(AP) kreeg. Het ging om de constatering in 2017 door de AP dat er binnen Menzis onvoldoende toezicht was op wie toegang had tot medische persoonsgegevens EN het onvoldoende snel doorvoeren van verbeteringen op advies van de toezichthouder. Het bericht over de boete staat enigszins weggemoffeld in het jaarverslag 2018 en is niet op de website rechtstreeks zichtbaar. Daarnaast lijkt de Autoriteit Persoonsgegevens Menzis ook publicitair te sparen

Lees meer

Juridische overwegingen bij medische data door MRDM en opslag bij Google Cloud

/door

juridische

Op 1 april 2019 schreef ik op deze website een artikel over een bericht van het Algemeen Dagblad op 30 maart. Het betrof de verwerking van massale hoeveelheden medische data in gepseudonimiseerde vorm door het bedrijf Medical Research Data Management (MRDM) en de opslag van die data op de Google Cloud op de locatie Eemshaven. Inmiddels is de politiek ook wakker geschud, hebben Kamerleden van D66 en SP vragen gesteld en heeft minister Bruins opdracht gegeven aan de Autoriteit Persoonsgegevens onderzoek te doen. Er zitten interessante juridische kanten aan deze materie, voornamelijk van principiële aard. Niet alleen gaat het dan over het feit dat de data in de Google Cloud nu opgeslagen staan, maar ook over de positie van MRDM en de data-verzamelende zorginstellingen. De jurist Theo Hooghiemstra, kind aan huis bij het Ministerie van VWS, en in allerlei gremia betrokken bij data-uitwisseling, blijkt geen zwart/wit antwoord te kunnen geven of de in de Google Cloud opgeslagen data wel veilig zijn.

Lees meer

Wegduikende Autoriteit Persoonsgegevens faciliteert weer massale overdracht van medische data

/door

wegduikende

Op zaterdagochtend 30 maart 2019 verscheen op de website van het Algemeen Dagblad een artikel over het kopiëren van massale hoeveelheden patiëntendata naar servers van de Google-cloud. Enkele uren later gevolgd door een tweede artikel, genaamd: “Ook jouw medische data liggen nu bij Google”.  Dat gebeurde door het dataverwerkingsbedrijf Medical Research Data Management (MRDM), één van de grootste medische dataverwerkingsbedrijven van het land. Die kopieerde die data naar het Google Cloud Centre aan de Eemshaven te Groningen. Het gaat om gepseudonimiseerde behandelgegevens van honderdduizenden Nederlanders uit ziekenhuizen en bevolkingsonderzoeken. MRDM verzamelt en verwerkt zorgdata om er bigdata-analyse op uit te voeren. Wat hier gebeurt is al meerdere keren op andere terreinen gebeurt. Bij de verzameling van diagnosegegevens in het Diagnose BehandelCombinaties(DBC’s) in het DBC Informatie Systeem(DIS) gebeurt precies hetzelfde met gepseudonimiseerde gegevens. Ook bij het verzamelen van Routine Outcome Momitoring(ROM)-data uit de geestelijke gezondheidszorg(GGZ) gebeurt precies hetzelfde. Ik schreef er op deze website vaker over. Bij al die verwerkingen speelt de Autoriteit Persoonsgegevens(AP) een dubieuze, maar cruciale faciliterende rol.

Lees meer

Onbegrijpelijke gebeurtenis met geheime stukken in rechtszaak Vrijbit

/door

geheim

Tijdens één van de zittingen van de rechtbank Midden-Nederland op vrijdag 15 februari 2019 in de zaken die de burgerrechtenvereniging Vrijbit tegen de Autoriteit Persoonsgegevens(AP) aanspande deed zich iets zeer opmerkelijks voor. Ik beschreef zeer recent(14 februari 2019) deze twee zaken op deze website. In dat artikel maakte ik al melding van het feit de AP na het verstrijken van elk redelijke termijn in september 2018 plotseling een flinke stapel papier  bij de rechtbank deponeerde. Daarbij de melding dat een aanzienlijk deel van deze stukken onder geheimhouding werd aangeleverd en dus niet aan de eisende partij, Vrijbit, geopenbaard mocht worden. De rechtbank blijkt deze gang van zaken geaccepteerd te hebben.  De jurist Ab van Eldijk die samen met Vrijbit voorzitter Miek Wijnberg, de eisende partij vertegenwoordigde was  echter volstrekt verbijsterd toen de AP ter zitting alsnog enige geheime stukken wilde inbrengen.

Lees meer