Berichten

NHSX verkwanselt ivm corona gepseudonimiseerde patiëntdata als zijnde geanonimiseerd aan tech-bedrijven

/door

NHSXThe Guardian schrijft op 12 april 2020 in een  uitgebreid artikel dat de National Health Service in  het Verenigd Koninkrijk(V.K.) grote volumina patiëntdata deelt met het Amerikaans bedrijf Palantir dat zich bezig houdt met Artificial Intelligence(AI), om een uitweg uit de coronacrisis te vinden. Dat gebeurt via een Britse start-up, Faculty. Eerder op 29 maart 2020 liet de BBC al weten dat de NHS sinds zeer kort gebruik maakt van de diensten van Amazon, Microsoft en Palantir om zorgdata te gebruiken voor het maken van virtuele dashboards. Dat met de bedoeling om een optimale inzet van mankracht en middelen tijdens coronacrisis te garanderen. Een woordvoerder van de NHS liet eerder weten dat betrokken firma’s de data niet zelf zouden beheren of voor eigen doeleinden mochten gebruiken. De bedrijven zouden alleen maar toegang hebben tot geaggregeerde of geanonimiseerde data. Dat blijkt helemaal niet het geval te zijn.     Lees meer

Aanleggen centrale databases met gepseudonimiseerde zorgdata is organisatorische en politieke keuze

/door

marionetOp deze website heb ik vele artikelen geschreven over de problemen die gepaard gaan met het gecentraliseerd verzamelen van gepseudonimiseerde zorgdata. Voorbeelden van dat soort dataverzamelingen zijn het DBC Informatie Systeem(DIS), de ROM-dataverzameling door SBG(GZ) en de poging tot voortzetting door Akwa GGZ, en de databases van de verslavings- en traumazorg. Die laatste trokken vorige week aandacht omdat het ministerie van VWS met een reparatiewetje wil komen om die data toch centraal te verzamelen zonder toestemming van de patiënt. Het opslaan van (zorg)data op persoonsniveau in gecentraliseerde databases is zowel een organisatorische als een politieke keuze. Het concept van centrale databases, eventueel gekoppeld via knooppunten is een ICT-concept van rond 2000. Politiek interessant met de gedachte aan centraal overzicht en centrale sturing. Technisch is er anno 2019 geen noodzaak meer om systemen op een dergelijke wijze in te richten. De kwetsbaarheid is groot en er zijn grote privacy-issues. Bovendien heb je voor beleid(sondersteunende) informatie geen tot persoon herleidbare data nodig. Decentrale opslag, met een goed afsprakenstelsel hoe men met de data omgaat is een reëel alternatief dat echter niet openlijk ondersteund wordt.

Lees meer

Verwerking gepseudonimiseerde zorgdata niet meer mogelijk? Overheid komt met wetje

/door

verwerking data Op 22 juli 2019 schreef ik al een artikel over de internetconsultatie die op 19 juli  startte over een wetsontwerp. Het gaat over het wetsontwerp  voor het creëren van een wettelijke grondslag voor het verwerken van gepseudonimiseerde persoonsgegevens in twee kwaliteitsregistraties. Te lang is gedacht dat het probleem van het centraal verwerken van gepseudomiseerde persoonsgegevens ten behoeve van kwaliteitsregistraties wel zou overwaaien dan wel zich zelf zou oplossen. In plaats van te bezien of de gecentraliseerde verwerking nu wel de weg is die verder bewandeld moet worden, kiest de overheid voor het verdedigen van bestaande belangen. Ze kiest voor reparatiewetgeving die rammelt en dubieuze kanten heeft. In mijn artikel van 22 juli had ik het er al over dat men voor het op centraal niveau verzamelen van zorgdata in de verslavings-en de traumazorg er voor het gemak van uit ging dat de geregistreerden op voorhand handelingsonbekwaam zijn.

Lees meer

Mag VWS patiënten handelingsonbekwaam noemen om gepseudonimiseerde zorgdata te verzamelen?

/door

handelingsonbekwaamOp 19 juli 2019 startte de internetconsultatie van een wetsvoorstel voor het creëren van een wettelijke grondslag voor het verwerken van gepseudonimiseerde persoonsgegevens in twee kwaliteitsregistraties. En het doorleveren aan derden, wat expliciet in het wetsontwerp benoemd staat. Het betreft het Landelijk Alcohol Drugs Informatie Systeem (LADIS) en de Landelijke Trauma Registratie (LTR). Doel van die registraties is het bevorderen van de kwaliteit en veiligheid van de gezondheidszorg op die gebieden. Naast deze zijn er andere, nog grotere, “kwaliteitsregistraties”. Daarbij speelt ook het probleem dat de daarin verzamelde data gepseudonimiseerde zorggegevens betreft. Daarvoor behoeft men in principe toestemming van de betrokkene. In het wetsvoorstel( plus memorie van toelichting) tot wijziging van de Wet kwaliteit, klachten en geschillen zorg, kortweg Wkkgz, probeert de minister van VWS de twee genoemde registraties weer op gang te krijgen. Omdat sinds begin 2016 gepseudonimiseerde data gewoon als persoonsgegevens beschouwd dienen te worden hebben de data-verzamelende instanties een groot probleem. Toestemming van de patiënt is daardoor nodig. Daardoor  stokte de aanlevering van veel data. Veelal was geen toestemming van de patiënt gevraagd. Een aantal registraties kwam vrijwel droog te staan. Dit probleem speelt niet alleen bij LADIS en LTR, maar ook bijv. bij de verzameling van ROM-data. Ik schreef hier meerdere keren over.

Lees meer

Franstalige Belgische huisartsen weigeren ook gepseudonimiseerde patiëntgegevens aan te leveren

/door

neenIn België heeft de organisatie van Franstalige huisartsen, het Collège de Médecine Générale (CMG), haar leden dringend aangeraden geen patiëntgegevens uit zorgtrajecten door te sturen naar het Wetenschappelijk Instituut voor de Volksgezondheid(WIV) / l’Institut scientifique de Santé publique (ISP). Het is hen duidelijk geworden dat de medische persoonsgegevens niet in geanonimiseerde vorm aangeleverd en verwerkt worden(zoals beloofd), maar in gepseudonimiseerde vorm. Het gaat in wezen om precies dezelfde discussie als die in Nederland gevoerd is en wordt over de verzameling van Diagnose BehandelCombinaties(DBC’s) in het DBC InformatieSysteem(DIS) en de Routine Outcome Monitoring(ROM)-data door de Stichting Benchmark GGZ(SBG). Ook in België wordt door de betreffende opvragende instantie gezegd dat de gegevens niet tot een individu te herleiden zijn, maar blijken de data niet geanonimiseerd verstuurd en verzameld te worden maar gepseudonimiseerd. Die dienen door de uitspraak van de artikel 29 werkgroep van Europese privacy-toezichthouders in april 2014 zeker vanaf dat moment toch als (bijzondere) persoonsgegevens beschouwd te worden. Door intelligente koppelingen tussen databestanden kunnen data toch naar een persoon herleid worden.

Lees meer