Berichten

A-EPD My Health Record slaagt niet in adequaat managen cybersecurity-risico’s

A-EPDIn The Guardian van maandag 25 november  2019 stond een interessant artikel over problemen bij het Australische Elektronische PatiëntenDossier(A-EPD), My Health Record. De verantwoordelijke instantie, de Australian Digital Health Agency(ADHA), blijkt fors te kort te schieten op het gebied van cybersecurity en interne controles. Het Australian National Audit Office(ANAO) stelt dat ADHA cybersecurity en privacy-risico’s niet adequaat managede. De auditorganisatie schreef dat  ADHA voor het centrale A-EPD systeem op zich passende maatregelen nam om de cyberveiligheid te garanderen. Maar men stelde tegelijk vast dat men naliet  voor afdoende bescherming te zorgen tegen cyberaanvallen via sites/apps van derden en via zorgaanbieders-organisaties. Het betekent dat als je de voordeur beveiligt, maar de achterdeur open laat staan er grote cybersecurity-risico’s bestaan voor in het systeem opgeslagen zorgdata. Het A-EPD is al jaren een bron van zorg en discussie in Australië. Ik schreef er al drie keer over. (In 2016, in 2017 , in 2018). Lees meer

Jurist KNMG rijdt scheve schaats bij toestemmingsverlening voor uitwisseling zorgdata

scheve schaatsOp 22 oktober 2019 schreef Sjaal Nouwt, juridisch adviseur van de Koninklijke Nederlandse Maatschappij ter bevordering van de Geneeskunst(KNMG), een zeer opmerkelijke column. Hij schreef op persoonlijke titel op de website van de KNMG, maar wel met duidelijke vermelding van zijn functie. De titel luidt: “We zijn nog geen steek verder”.  Ook op de website van Medisch Contact staat het artikel. Hij beschrijft hierin de problemen rond het elektronisch uitwisselen van patiëntgegevens en de toestemmingsverlening daarbij. En komt daarbij met een zeer opmerkelijke gedachte voor een adviseur gezondheidsrecht van de overkoepelende artsenorganisatie in Nederland.  Hij doet de suggestie de eis van ‘uitdrukkelijke toestemming’ maar helemaal uit de wet te schrappen. Althans, voor wat betreft de elektronische uitwisseling van patiëntgegevens tussen zorgverleners onderling. Hij doelt daarbij op artikel 15 a lid 1 van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg(Wabvpz). Het is een zeer opmerkelijk standpunt, omdat het ingaat tegen de privacy van de patiënt. Tevens gaat het in tegen het standpunt van de Autoriteit Persoonsgegevens(AP).

Lees meer

Controle VZVZ op onrechtmatige opt-in-toestemmingen voor LSP stelt niets voor

controleSoms levert het bijwonen van een rechtszaak meer informatie op dan je anderszins kunt verkrijgen. Op 15 oktober 2019 dienden bij de rechtbank Midden-Nederland twee bestuursrechtelijke zaken. Het ging daarbij om het afwijzen door de Autoriteit Persoonsgegevens(AP) van twee handhavingsverzoeken die de burgerrechtenvereniging Vrijbit daar indiende. Het betrof in het eerste verzoek het niet handhaven bij onrechtmatig genoteerde opt-in-toestemmingen voor het Landelijk SchakelPunt(LSP) door apothekers. Het tweede verzoek ging over het niet handhaven bij ondeugdelijke procedures voor het verkrijgen van toestemmingen. De Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), verantwoordelijk voor het LSP, heeft altijd gezegd steekproefsgewijs controle uit te voeren op het verkrijgen van en noteren van opt-in-toestemmingen. Als toehoorder, niet als procespartij, bij beide zittingen aanwezig kreeg ik eindelijk een inkijk in de “controle”-methodes. Desgevraagd gaf men daar mij eerder nooit antwoord op. Antwoorden op vragen van de rechters tonen dat controles, vooraf aangekondigd bij zorgaanbieders, nauwelijks iets voorstellen.

Lees meer

Minister Bruins in mijnenveld verdaagd door standstill rond gespecificeerde toestemming

mijnenveldVanmiddag om 14.00u vindt een Algemeen Overleg(AO) van de vaste Tweede Kamercommissie voor VWS plaats. Het onderwerp is de elektronische gegevensuitwisseling in de zorg en gegevensbescherming. Het lijkt een gewoon overleg maar rond dit overleg is een gigantisch krachtenspel gaande met aan de ene kant de minister en aan de andere kant de verzamelde zorgverzekeraars en belanghebbenden bij het Landelijk SchakelPunt(LSP). Kernpunt in de opstelling van de minister is dat hij pas op de plaats wil maken bij het realiseren van een Online-ToestemmingsVoorziening(OTV) voor opvraagbaar gemaakte zorgdata.  De aanvankelijke 160 keuzemogelijkheden ging iedereen in de zorg te ver. Na reductie van het aantal keuzemogelijkheden tot 28 ontstond een zeer verwaterde invulling van het begrip “gespecificeerde toestemming”. Daar wil de minister ook niet aan. Hij wil pas op de plaats maken en ook de bij de gespecificeerde toestemming horende wetsregel niet in 2020 doen ingaan. Voorstanders willen echter koste wat kost de marscolonne door laten marcheren.

Lees meer

VZVZ op VolgJeZorg toont geen zorgverlener meer die inzage via LSP in dossier had

VZVZEen  zorgverlener die inzage had  in medische gegevens van een patiënt via het Landelijk SchakelPunt(LSP) was  tot voor kort direct te achterhalen op www.volgjezorg.nl. Na 7 augustus 2019 toont deze website niet meer welke zorgverlener inkeek. Men toont alleen de instelling/praktijk waar de zorgverlener werkt. VZVZ, als verantwoordelijke voor het LSP, stelt dat je zelf dan maar binnen de instelling op zoek moet gaan naar wie de data opvroeg.  Het betekent dat als je op voorhand niet zeker weet of de persoon die inzage had wel een behandelrelatie met je heeft. En dat je zelf binnen de instelling moet gaan vragen wie dat deed. In aanmerking nemend dat specialisten buiten spreekuren om niet tot nauwelijks bereikbaar zijn voor de patiënt betekent het dat het praktisch onmogelijk is om inzage vlot te verifiëren.

Lees meer