Berichten

Autoriteit Persoonsgegevens ontloopt weer verantwoordelijkheid

/door

lego-674611_640

Autoriteit Persoonsgegevens wil op formele gronden niet tot een oordeel over een overtreding van de Wet bescherming persoonsgeggevens(Wbp) komen. In juli liet ik via deze website weten dat in Nijmegen een taskforce opgericht is om het aantal opt-in-toestemmingen voor het delen van patiëntengegevens, die bij huisartsen en apotheek opgeslagen liggen, te optimaliseren. Men wil daarbij gebruik maken van thuiszorgmedewerkers, die dan plaatsvervangend voor de bron-dossierhouders(huisarts/apotheek) de opt-in-toestemmingsvraag willen gaan stellen. Op 23 juli liet ik weten dat deze actie strijdig is met artikel 33 en 34 van de Wet bescherming persoonsgegevens. Op 12 juli heb ik bij de Autoriteit persoonsgegevens(AP) een handhavingsverzoek gedaan vanwege de overtreding van beide artikelen.  Op 17 augustus ontving ik antwoord van de AP.

Lees meer

Autoriteit Persoonsgegevens ondergraaft stelselmatig eigen gezag

/door

police-1058422_640

Het is opvallend hoe de Autoriteit Persoonsgegevens(AP), voorheen het College Bescherming Persoonsgegevens(CBP) al enige tijd opereert bij geconstateerde overtredingen. Ondanks het feit, dat die hebben plaatsgevonden is steevast het beleid om bij het beloven van beterschap geen sancties op te leggen. Volstaan wordt met de waarschuwing, dat het na beloofde verbeteringen niet weer mag gebeuren. Deze halfslachtige houding voedt de gedachte, dat de AP een toezichthouder is die de bij wet verkregen tanden(per 1 januari  2016 nog aangescherpt) niet wil laten zien door geen sancties op te leggen. Daardoor ontstaat het beeld, dat de AP een verlengstuk is van de wetgever en uitsluitend de implementatie van wetten met zachte hand corrigeert en helpt uitvoeren. Ze wordt het verlengstuk van de politiek en geen krachtige, onafhankelijke, toezichthouder. Het speelt eigenlijk bij alle zaken die de AP onderzoekt, maar twee onderzoeken die van groot belang zijn voor de privacy van de burger, licht ik er voor u uit.

Lees meer

Klungelige doofpot-poging bij datalek in Amersfoort

/door

doofpot

Op 15 juni is het onderzoekrapport dat Verdonck Klooster & Associates(VKA) maakte over het datalek in de gemeente Amersfoort gepubliceerd. Het gaat daarbij om het versturen van een Excel-bestand met (jeugd)zorg-gegevens van rond de 1900 burgers per email naar een foutief emailadres. Het rapport laat tussen de regels door zien dat vanaf 28 januari, toen het bestand verstuurd werd, langdurig door diverse diensten binnen de gemeente gedacht is dat het probleem ondershands op te lossen was. Het duurde tot 7 april voor de gemeente het datalek meldde aan de Autoriteit Persoonsgegevens(AP). Dat gebeurde pas nadat de AP zelf de gemeente belde met de mededeling dat de foutieve ontvanger van de email de AP op de hoogte had gesteld van het datalek. Drie diensten van de gemeente de afdeling Sociale Wijkteams(SW), IT-Dienstverlening en Advies(IDTA) en Juridische Dienstverlening en advies(JDA) wisten in de tussentijd van het probleem, evenals de gemeentesecretaris. De verantwoordelijk wethouder Imming was al die tijd niet op de hoogte van het probleem.

Lees meer

VWS faciliteert onaanvaardbare function-creep met zorgdata

/door

stamp-143799_640

In de Volkskrant van vanmorgen openbaart de journalist Huib Modderkolk een memorandum van overeenkomst van VWS met vijf instituties in de zorg dat zeer grote gevolgen heeft voor de privacy van de burger en het medisch beroepsgeheim. Het memorandum is een overeenkomst tussen het ministerie van Volksgezondheid, Welzijn en Sport(VWS) en Zorgverzekeraars Nederland(ZN), Vektis, de Nederlandse Zorgautoriteit(NZa), de Inspectie(IGZ) en Zorginstituut Nederland. Via een “zorgmakelaar” kunnen gepseudonimiseerde zorgdata gedeeld worden door de betrokken partijen. De gegevens die bij bijv. zorgverzekeraars, Vektis en de Nza primair zijn vastgelegd hebben een duidelijke doelbinding. Het doel van de gegevensverzameling is voor elk van die instituties anders. Het onderling gaan delen van die informatie gaat voorbij aan die doelbinding. Het gaat uit van de gedachte dat de data er toch zijn en dat best wel handig lijkt die te koppelen. Het is echter een grove vorm van “function-creep” die grote consequenties heeft voor de privacy en het beroepsgeheim. Het feit dat VWS bij het tot stand komen van het memorandum een leidende en faciliterende rol heeft gespeeld geeft zeer te denken. Er lijkt niet sprake van enig moreel besef.

Lees meer

Autoriteit Persoonsgegevens blaft weer en bijt opnieuw niet

/door

dogs-567257_640

In januari en maart dit jaar besteedde Omroep Max tot twee keer toe in het programma Meldpunt aandacht aan het voorbereiden van het scannen van patiëntendossiers uit ziekenhuizen door gevangenen in België. In het tweede programma meldde omroep Max dat zeven Nederlandse ziekenhuizen het zo uitbesteden van dit werk bevestigden, maar dat men informatie had dat het om totaal veertien ziekenhuizen ging. In de Tweede kamer werden mondelinge vragen hier over gesteld, waarop de minister van VWS schreef dat de Autoriteit Persoonsgegevens (AP) actie moest ondernemen. Dat is nu gebeurt. De actie valt nogal tegen, want er zijn drie ziekenhuizen nader aan de tand gevoeld. Uiteindelijk ontdekte de AP dat één van die drie ziekenhuizen geen bewerkingsovereenkomst had afgesloten en dat bij de twee anderen deze niet voldeed aan alle wettelijk eisen voortvloeiende uit de Wet bescherming persoonsgegevens. Geen maatregel in de vorm van een boete dus, wel het verzoek om binnen korte termijn de zaken op orde te hebben. De ziekenhuizen hoorden echter op voorhand te weten dat het uitbesteden van werk aan papieren patiëntendossiers moet voldoen aan strenge voorwaarden. Voorbeelden dat het mis kon gaan waren al voorhanden. De AP deed trouwens geen onderzoek naar alle ziekenhuizen waarvan bekend was dat die zo handelden.

Lees meer