Berichten

Datalek Amersfoort blijft lakmoestest voor Autoriteit Persoonsgegevens

/door

lakmoestest

Het is nu tien maanden terug(28 januari 2016) dat de gemeente Amersfoort een enorm datalek had doordat een medewerker van de afdeling sociale wijkteams zorggegevens van 1900 burgers in een onbeveiligde Excel-sheet per onbeveiligde email naar een verkeerde geadresseerde stuurde. De melding van het datalek aan de Autoriteit Persoonsgegevens(AP) deed de gemeente bovendien niet zelf. De foutief geadresseerde meldde het datalek aan de AP waarna de AP aan de gemeente Amersfoort vroeg hoe het zat. Een bestuurlijk rel was geboren die tot eind september voortsudderde.  Nog steeds deed de AP geen uitspraak over het al dan niet opleggen van sancties aan de Gemeente Amersfoort. Op zich is daar wel alle reden voor, zeker in het  licht van de zeer forse uitbreiding van de sanctiemogelijkheden die de AP op 1 januari 2016 kreeg. Er blijken flink wat datalekken te bestaan. Het dagblad Trouw meldde op 24 november  dat de AP sinds 1 januari bericht kreeg over 4700 datalekken, waarvan er 304 uit de ziekenhuizen kwamen. Dat komt neer op één per dag. De casus Amersfoort is zo interessant omdat het een bijzondere situatie betreft die een soort lakmoestest is voor wat betreft het gezag van de AP in het veld.

Lees meer

Autoriteit Persoonsgegevens trapt terecht open deuren in over verzuimsystemen

/door

stethoscoop De Autoriteit Persoonsgegevens(AP) krijgt regelmatig vragen over het opslaan van medische dossiers in verzuimsystemen. Daarom publiceerde de AP op 15 november 2016 wat wel en niet mag. Het gaat daarbij vooral over hoe de toegang tot de verzuimsystemen geregeld is en wie er toegang toe hebben. Dat aan dit onderwerp  toch een publicatie gewijd moet worden is op zich zorgelijk. Blijkbaar zijn er nog steeds werkgevers, die op wat voor wijze dan ook, inzicht in de medische gegevens in de verzuimregistratie van hun werknemers willen hebben. Een werkgever mag nooit inzage hebben in de medische gegevens van een werknemer en dient door een bedrijfsarts c.q. Arbo-dienst slechts een zeer beperkt aantal zaken over de ziekmelding gemeld te krijgen.

Lees meer

Tweede Kamer commissie wil niet eID-uitrol ingerommeld worden

/door

globe-205189_640

Om het DigiD-stelsel te kunnen vervangen werkt het ministerie van Binnenlandse Zaken al enige tijd aan het eID, het elektronisch identificatiemiddel. Op 28 september was er een algemeen overleg van de vaste Tweede Kamercommissie voor Binnenlandse Zaken over de uitwerking van de plannen voor de opvolging van de DigiD. Die wordt als te kwetsbaar ervaren en vormt door de eenzame plaats, die het nu inneemt, een zogenaamd “single point of failure”. In het overleg vorige maand werd minister Plasterk van Binnenlandse Zaken zeer kritisch bevraagd door de commissieleden. Daarbij ventileerden de commissieleden de angst dat er sluipenderwijs zonder duidelijk beslismoment een systeem geïntroduceerd wordt door de minister. Langs de weg van allerlei pilots in het veld lijkt men naar een soort fait accompli toe te werken zonder expliciet “go/no go-moment”. Kritische input kwam voor deze vergadering kwam van de Algemene Rekenkamer(onverwacht), de Autoriteit Persoonsgegevens, het Bureau ICT Toetsing(BIT), en de commissie Kuipers. Het BIT is als tijdelijke organisatie recent opgericht door de overheid om risicovolle ICT-projecten bij de overheid vooraf te toetsen. Minister Plasterk stelde de commissie Kuipers in om de mogelijkheden en de wenselijkheid van de diverse identificatie- en authenticatiemiddelen te evalueren die in pilots worden getest.  Lees meer

Elektronische zorgdata-communicatie griezelig gecentraliseerd met wetsontwerp 33509

/door

arrows-1412065_640

Gisteren behandelde de Eerste Kamer(EK) plenair het wetsontwerp 33509. Het wetsontwerp 33509 beoogt de medische datacommunicatie, in het bijzonder de uitwisseling van gegevens via het Landelijk SchakelPunt(LSP), een wettelijke basis te geven. Zeer uitgebreid voerden de minister van VWS en de diverse fracties het woord. Duidelijk werd dat VVD, PVDA en CDA het wetsontwerp zeggen te steunen. Terwijl het naar mijn gevoel meer de taak van de Eerste Kamer is algemene lijnen te beoordelen en te bezien of de wetgeving wel kloppend is, ontstond toch het beeld van een zich in technische uitwerking verliezende EK-leden. Hoewel het wetsontwerp over alle elektronische zorgcommunicatie gaat, is het toch impliciet wel zo dat het bestaande centrale zorgcommunicatie-systeem met het Landelijk SchakelPunt(LSP) steeds verder centraal ingebed wordt. Meerdere keren had men het over de vormgeving van een ICT-systeem dat de gespecificeerde toestemming technisch vormgeeft. Gewezen werd op het nodige commitment bij de deelnemende ICT-bedrijven en de bedragen die nodig zijn voor de financiering.  Dat komt neer op een centrale structuur in plaats van de decentrale vastlegging van de opt-in-toestemming die nu plaats vindt in de systemen van zorgaanbieders. Uiteraard gaat een dergelijk centraal toestemmingssysteem onderdeel uitmaken van de landelijke uitwisselstructuur van zorgdata.

Lees meer

Psychiatrie-afdeling UMCU balanceert op randje met big-data-analyse

/door

child-995067_640

Op 16 juli stond in het Financieel Dagblad(FD) een uitgebreid artikel van redacteur Marieke ten Katen met als titel: “Gedwongen opname? Op dag vijf zal de patiënt agressief zijn”. (1). Het gaat over de experimenten met big-data-analyse, die onder leiding van afdelingshoofd psychiatrie van het Universitair Medisch Centrum Utrecht(UMCU) Floor Scheepers(kinder – en jeugdpsychiater) sinds begin 2015 uitgevoerd worden met geanonimiseerde patiëntengegevens. Het betreft data uit 8000 patiëntendossiers. Het artikel vermeldt de steun van de Raad van Bestuur van het UMCU,  met name van vicevoorzitter Frank Miedema. De initiatiefneemster is onder de indruk van de mogelijkheden van big-data-analyse en ziet mogelijkheden, voor de psychiatrie, maar ook voor chronische ziekten als kanker, ziekte van Parkinson en dementie om met big-data-analyse nieuwe wegen in te slaan. De doelstelling is om tot software te komen, die een risicoprofiel kan opstellen van een patiënt en ook een persoonlijke behandeling kan voorstellen. Het gaat dus om een vergaande vorm van “profiling”. Profiling kent echter grote gevaren. Het belangrijkste gevaar is volgens Merel Eilander, woordvoerster bij de Autoriteit Persoonsgegevens, dat een patiënt anders wordt behandeld op grond van iets wat je zelf niet bepaald hebt of kunt controleren. Daarmee komt de individuele vrijheid in het geding. Software die drijft op de input van big-data zou een hulpmiddel moeten zijn, maar wordt in de praktijk vaak een alziend oog dat als vrijwel onfeilbaar beschouwd wordt. Teruggaand naar de titel van het artikel in het FD kan op basis van big-data-analyse daar eigenlijk alleen staan ”Gedwongen opname? Op dag vijf kan de patiënt in vergelijking met andere dagen agressief zijn”. De huidige titel straalt iets absoluuts uit.

Lees meer