Berichten

Klungelige doofpot-poging bij datalek in Amersfoort

/door

doofpot

Op 15 juni is het onderzoekrapport dat Verdonck Klooster & Associates(VKA) maakte over het datalek in de gemeente Amersfoort gepubliceerd. Het gaat daarbij om het versturen van een Excel-bestand met (jeugd)zorg-gegevens van rond de 1900 burgers per email naar een foutief emailadres. Het rapport laat tussen de regels door zien dat vanaf 28 januari, toen het bestand verstuurd werd, langdurig door diverse diensten binnen de gemeente gedacht is dat het probleem ondershands op te lossen was. Het duurde tot 7 april voor de gemeente het datalek meldde aan de Autoriteit Persoonsgegevens(AP). Dat gebeurde pas nadat de AP zelf de gemeente belde met de mededeling dat de foutieve ontvanger van de email de AP op de hoogte had gesteld van het datalek. Drie diensten van de gemeente de afdeling Sociale Wijkteams(SW), IT-Dienstverlening en Advies(IDTA) en Juridische Dienstverlening en advies(JDA) wisten in de tussentijd van het probleem, evenals de gemeentesecretaris. De verantwoordelijk wethouder Imming was al die tijd niet op de hoogte van het probleem.

Lees meer

VWS faciliteert onaanvaardbare function-creep met zorgdata

/door

stamp-143799_640

In de Volkskrant van vanmorgen openbaart de journalist Huib Modderkolk een memorandum van overeenkomst van VWS met vijf instituties in de zorg dat zeer grote gevolgen heeft voor de privacy van de burger en het medisch beroepsgeheim. Het memorandum is een overeenkomst tussen het ministerie van Volksgezondheid, Welzijn en Sport(VWS) en Zorgverzekeraars Nederland(ZN), Vektis, de Nederlandse Zorgautoriteit(NZa), de Inspectie(IGZ) en Zorginstituut Nederland. Via een “zorgmakelaar” kunnen gepseudonimiseerde zorgdata gedeeld worden door de betrokken partijen. De gegevens die bij bijv. zorgverzekeraars, Vektis en de Nza primair zijn vastgelegd hebben een duidelijke doelbinding. Het doel van de gegevensverzameling is voor elk van die instituties anders. Het onderling gaan delen van die informatie gaat voorbij aan die doelbinding. Het gaat uit van de gedachte dat de data er toch zijn en dat best wel handig lijkt die te koppelen. Het is echter een grove vorm van “function-creep” die grote consequenties heeft voor de privacy en het beroepsgeheim. Het feit dat VWS bij het tot stand komen van het memorandum een leidende en faciliterende rol heeft gespeeld geeft zeer te denken. Er lijkt niet sprake van enig moreel besef.

Lees meer

Autoriteit Persoonsgegevens blaft weer en bijt opnieuw niet

/door

dogs-567257_640

In januari en maart dit jaar besteedde Omroep Max tot twee keer toe in het programma Meldpunt aandacht aan het voorbereiden van het scannen van patiëntendossiers uit ziekenhuizen door gevangenen in België. In het tweede programma meldde omroep Max dat zeven Nederlandse ziekenhuizen het zo uitbesteden van dit werk bevestigden, maar dat men informatie had dat het om totaal veertien ziekenhuizen ging. In de Tweede kamer werden mondelinge vragen hier over gesteld, waarop de minister van VWS schreef dat de Autoriteit Persoonsgegevens (AP) actie moest ondernemen. Dat is nu gebeurt. De actie valt nogal tegen, want er zijn drie ziekenhuizen nader aan de tand gevoeld. Uiteindelijk ontdekte de AP dat één van die drie ziekenhuizen geen bewerkingsovereenkomst had afgesloten en dat bij de twee anderen deze niet voldeed aan alle wettelijk eisen voortvloeiende uit de Wet bescherming persoonsgegevens. Geen maatregel in de vorm van een boete dus, wel het verzoek om binnen korte termijn de zaken op orde te hebben. De ziekenhuizen hoorden echter op voorhand te weten dat het uitbesteden van werk aan papieren patiëntendossiers moet voldoen aan strenge voorwaarden. Voorbeelden dat het mis kon gaan waren al voorhanden. De AP deed trouwens geen onderzoek naar alle ziekenhuizen waarvan bekend was dat die zo handelden.

Lees meer

Vreemde deal Google met NHS-ziekenhuizen. Nederland geen haar beter

/door

analytics-1368293_640

 

Recent kwam via een publicatie op de website van de New Scientist naar buiten dat Google via een bedrijf, DeepMind, dat men in 2014 opkocht voor 400 miljoen Pound Sterling, toegang krijgt tot zorggegevens van enkele miljoenen mensen. Die data zijn afkomstig uit drie ziekenhuizen van de Royal Free Trust in Londen. Ze vallen onder de National Health service(NHS). Het gaat om de gegevens van de ongeveer 1,6 miljoen mensen die jaarlijks die ziekenhuizen bezoeken. Ook wordt toegang verkregen tot de door die ziekenhuizen opgeslagen zorggegevens van de afgelopen vijf jaar. Aanvankelijk leek het erop dat de deal tussen Google en de Royal Free Trust alleen over acuut nierlijden zou gaan, maar de nu bekend geworden samenwerkingsovereenkomst laat zien dat het om een veel meer data van legio ziekten gaat. De overeenkomst met een commerciële partij die aan data-mining doet roept veel vragen op. Zowel wat privacy betreft als ook over de wenselijkheid een dergelijk bedrijf te faciliteren bij het exploreren en exploiteren van medische gegevens. In Nederland is het geen haar beter. Tot voor zeer kort konden gegevens uit het DBC InformatieSysteem(DIS) door derden gebruikt worden voor nadere analyse.

Lees meer

Proof of Concept Ketenzorg oorzaak extra opt-in-toestemming

/door

yes-1015480_640

Van de opt-in-toestemming bestaan diverse smaken. Ik berichtte hier al eerder op 2 juni 2015 en op 17 november 2015 over, Op 25 april 2016 liet de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), beheerder van het Landelijk SchakelPunt(LSP) via de website van SKIPR weten dat men een nieuwe fase in het berichtenverkeer ingeluid heeft. VZVZ laat weten dat binnenkort de Proof of Concept gaat plaatsvinden van de ” informatie-uitwisseling ketenzorg”. Anders gezegd, men gaat kijken of het idee hoe het ongeveer zou moeten gaan uitvoerbaar en haalbaar is. Vreemd genoeg meldt VZVZ het niet op de eigen website. Samengewerkt wordt met de ketenzorg-software leverancier Vital Health Software. De stappen die nu gezet worden vereisen een hernieuwde opt-in-toestemming van burgers die eerder hun goedkeuring gaven aan het delen van hun medische gegevens via het LSP.  Van het ketenzorg-programma dat in 2013 met het convenant en programma ketenzorg gestart werd had de Proof of Concept al in 2014 moeten plaatsvinden, daarna de pilotstudies in 2015 en de landelijke uitrol in 2016. Er is dus sprake van minstens twee jaar vertraging. Reeds in 2013 was te voorspellen dat het toen gelanceerde programma onrealistisch was qua planning. Het was gewoonweg veel te ambitieus van opzet. Lees meer