31 mei

VWS faciliteert onaanvaardbare function-creep met zorgdata

stamp-143799_640

In de Volkskrant van vanmorgen openbaart de journalist Huib Modderkolk een memorandum van overeenkomst van VWS met vijf instituties in de zorg dat zeer grote gevolgen heeft voor de privacy van de burger en het medisch beroepsgeheim. Het memorandum is een overeenkomst tussen het ministerie van Volksgezondheid, Welzijn en Sport(VWS) en Zorgverzekeraars Nederland(ZN), Vektis, de Nederlandse Zorgautoriteit(NZa), de Inspectie(IGZ) en Zorginstituut Nederland. Via een “zorgmakelaar” kunnen gepseudonimiseerde zorgdata gedeeld worden door de betrokken partijen. De gegevens die bij bijv. zorgverzekeraars, Vektis en de Nza primair zijn vastgelegd hebben een duidelijke doelbinding. Het doel van de gegevensverzameling is voor elk van die instituties anders. Het onderling gaan delen van die informatie gaat voorbij aan die doelbinding. Het gaat uit van de gedachte dat de data er toch zijn en dat best wel handig lijkt die te koppelen. Het is echter een grove vorm van “function-creep” die grote consequenties heeft voor de privacy en het beroepsgeheim. Het feit dat VWS bij het tot stand komen van het memorandum een leidende en faciliterende rol heeft gespeeld geeft zeer te denken. Er lijkt niet sprake van enig moreel besef.

Lees verder

24 mei

SBG-database net zo “lek” als die van het DIS

female-296989_640 WJ

De stichting Benchmark Geestelijke GezondheidsZorg(SBG) is een kenniscentrum dat zich bezighoudt met het verbeteren van de kwaliteit van die zorg. Daartoe dienen zorgaanbieders in de GGZ, zowel instellingen als al dan niet vrijgevestigde zorgaanbieders in die sector, gegevens van patiënten elektronisch aan te leveren. Het benchmarken, dat men ermee doet is een strategie voor kwaliteitsverbetering. Door te vergelijken met andere behandelaars is het de bedoeling te kijken of de therapie anders, maar ook beter kan. Daartoe moet, sinds kort verplicht, een veelheid aan gegevens over patiënten elektronisch worden opgestuurd naar de SBG. Het gaat daarbij om gegevens over het volgen van de voortgang van een behandeling, de zogenaamde Routine Outcome Measurement(ROM)-gegevens en diagnostische data, de DBC-informatie op basis van de DSM-classificatie. Die laatste is een codelijst, specifiek voor psychische diagnoses. De manier van werken van de SBG met de informatie is identiek aan die bij het DIS(Diagnose Behandel Combinatie Informatie Systeem). Recent erkende de Nederlandse Zorgautoriteit(NZa) dat gegevens uit het DIS bij intelligente koppeling aan andere databases toch tot individuen herleidbaar zijn. Gezien de manier van werken speelt hetzelfde bij de SBG.

Lees verder

22 mei

LandelijkSchakelPunt steeds duidelijker dure reus op lemen voeten

statue-974783_640

Die conclusie is te trekken uit het door Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) zelf verstrekte cijfermateriaal. VZVZ heeft op haar website www.vzvz.nl een pagina ingericht met “10 feiten over het LSP” waar de genoemde informatie te vinden is. Door deze informatie in de loop der tijd bij te houden blijkt het allemaal niet zo goed te gaan. Met name is de toename van het aantal opt-in-toestemmingen sinds september 2015 dramatisch gedaald van één per zeven seconden tot één per tweeëndertig seconden. Er is ook nauwelijks enige toename van de kans om een zogenaamde professionele samenvatting (samenvatting van diagnosen) gepresenteerd te krijgen bij opvragen via het LSP. Het opvragen van de medicatiegeschiedenis vlot wel, maar zoals eerder hier betoogt, is die nooit volledig betrouwbaar. Het wordt steeds duidelijker dat het LSP een duur en reuzengroot systeem is geworden met een beperkte functionaliteit.

Lees verder

18 mei

Autoriteit Persoonsgegevens blaft weer en bijt opnieuw niet

dogs-567257_640

In januari en maart dit jaar besteedde Omroep Max tot twee keer toe in het programma Meldpunt aandacht aan het voorbereiden van het scannen van patiëntendossiers uit ziekenhuizen door gevangenen in België. In het tweede programma meldde omroep Max dat zeven Nederlandse ziekenhuizen het zo uitbesteden van dit werk bevestigden, maar dat men informatie had dat het om totaal veertien ziekenhuizen ging. In de Tweede kamer werden mondelinge vragen hier over gesteld, waarop de minister van VWS schreef dat de Autoriteit Persoonsgegevens (AP) actie moest ondernemen. Dat is nu gebeurt. De actie valt nogal tegen, want er zijn drie ziekenhuizen nader aan de tand gevoeld. Uiteindelijk ontdekte de AP dat één van die drie ziekenhuizen geen bewerkingsovereenkomst had afgesloten en dat bij de twee anderen deze niet voldeed aan alle wettelijk eisen voortvloeiende uit de Wet bescherming persoonsgegevens. Geen maatregel in de vorm van een boete dus, wel het verzoek om binnen korte termijn de zaken op orde te hebben. De ziekenhuizen hoorden echter op voorhand te weten dat het uitbesteden van werk aan papieren patiëntendossiers moet voldoen aan strenge voorwaarden. Voorbeelden dat het mis kon gaan waren al voorhanden. De AP deed trouwens geen onderzoek naar alle ziekenhuizen waarvan bekend was dat die zo handelden.

Lees verder

16 mei

Gen-patenten en medische big-data analyse

dna-24559_640

Op het eerste gezicht lijken het twee volkomen verschillende grootheden, maar er bestaat wel degelijk belangrijke gemeenschappelijke aspecten. Het is zeker leerzaam om de toenemende pogingen van wereldwijd opererende bedrijven om genen te patenteren en om biometrische en zorg-gegevens van mensen te verzamelen en te analyseren met elkaar te vergelijken. Het gaat daarbij om “gene-grabbing” versus “health-data-grabbing”. Het doel van beide activiteiten is om de markt volledig naar de eigen hand te zetten, bestaande gegevens intensief te exploiteren en snel te komen tot grote winsten. In de landbouw hebben de acties van zeer grote bedrijven als Monsanto, Syngenta, Bayer, BASF, Dow en Pioneer tot grote weerstand geleid bij critici. Deze bedrijven patenteren al dan niet genetische gemanipuleerde gewassen, waardoor een monopolie-positie ontstaat op de gebieden waarop die bedrijven actief zijn. Ook is getracht bij de mens voorkomende genen te patenteren en op die basis dure diagnostische tests exclusief op de markt te brengen(BRCA-testen bij borstkanker). De laatste paar jaar wordt duidelijk hoe grote bedrijven zich storten op het toegang krijgen tot omvangrijke hoeveelheden biometrische gegevens, bijv. door de data die via meet- en fitnessapps verkregen worden. Daarnaast sluiten bedrijven als Google contracten met zorginstellingen om grote hoeveelheden medische data te kunnen analyseren. Dat gebeurt echt niet op filantropische basis, maar met het oogmerk expertsystemen en andere diagnostische/besluitvormings-programma’s op de markt te brengen. Die dan weer voor veel geld in de zorgsector aan de man gebracht kunnen worden.

Lees verder

13 mei

BCC bij e-mail niet gebruiken kan zeer kwalijk en kostbaar blijken

email-273502_640

Dat ervoer in Londen een sexual health clinic, onderdeel van de Chelsea and Westminster NHS Foundation Trust. Die kreeg van de Information Commissioner’s Office(ICO), de Britse equivalent van de Autoriteit Persoonsgegevens een boete van 180.000 Pound Sterling vanwege het zeer slordig versturen van e-mails. Het e-mailen van patiëntgegevens met standaard e-mail is sowieso uit den boze, maar ook met iets wat onschuldig lijkt kan het misgaan.  Een nieuwsbrief die ging over de behandeling van HIV-patiënten werd aan 781 email-adressen gestuurd door gebruik te maken van het CC- in plaats van het BCC-veld. Hierdoor was het aan alle ontvangers duidelijk naar wie nog meer de mail verzonden was. Het speelde zich af in 2015. De berichtgeving hierover staat op de website www.theregister.co.uk. Aangezien het ook voor de Nederlandse zorg van belang is besteed ik er graag aandacht aan. 730 personen waren direct uit de emailadressen herleidbaar. Van de ontvangers was een klein aantal niet lijdend aan een HIV-besmetting. Een nieuwsbrief verzenden. Het lijkt allemaal zo onschuldig maar bij een dermate gevoelig onderwerp als HIV moet men extra beducht zijn op uitglijders. Het was ook de tweede keer dat de instelling op dezelfde wijze in de fout ging. In 2010 gebeurde het eerder.

Lees verder

10 mei

En opeens konden weekendarts en apotheker via het LSP geen gegevens opvragen

error-63628_640

Dat overkwam dit weekend de dienstdoende huisartsen op de huisartsenposten als ze gegevens wilden opvragen via het Landelijk SchakelPunt(LSP) bij huisartsen die een Huisarts Informatie Systeem(HIS) van de CompuGroup Medical(CMG) hebben. Ook de dienstdoende apothekers hadden er last van. Het gaat om de HIS-sen CMG-Huisarts, CMG-apotheekhoudend-Huisarts en CGM-HetHIS en de apotheeksystemen CMG-Apotheek en CMG-APOSYS. Er waren veel communicatieverstoringen tussen die systemen en het LSP. Dit blijkt uit een email die de gebruikers van CMG-systemen vandaag ontvingen. Bij het behandelen van een patiënt op de huisartsenpost was de informatie bij opvragen niet of onvolledig beschikbaar. De dienstdoende apotheken konden ook geen betrouwbare medicatieoverzichten via het LSP opvragen. Het bedrijf CMG vraagt daarom o.a. de apothekers bij de patiënten die in het weekend de dienstapotheek bezochten, indien nodig, opnieuw het LSP te bevragen. Het probleem is dat je bij bevragen van brondossiers bij binnenkomst van de gegevens wel weet wat je ziet, maar niet weet wat je mist. Daardoor is elk in dit weekend opgevraagd dossier niet volledig te vertrouwen.

Lees verder

09 mei

Nieuwe ronde in voortslepende behandeling wetsontwerp medische datacommunicatie

courtyard-591425_640

 

Het wetsontwerp 33509 dat de medische datacommunicatie een wettelijke basis moet geven is al vanaf 8 juli 2014 in behandeling bij de Eerste Kamer. Inmiddels zijn we bijna twee jaar verder en stuurt de vaste commissie voor VWS weer een serie vragen naar de minister. Die moet dan weer met een nota, dan wel nota van wijziging komen. Het einde van de behandeling van dit wetsontwerp is dus nog steeds niet in zicht. Na een deskundigenbijeenkomst op 5 april dit jaar heeft de commissie behoefte aan antwoorden op gerezen vragen. Het wetsontwerp geeft aan welke extra rechten en waarborgen voor cliënten van toepassing zijn bij elektronische gegevensuitwisseling en bij het beschikbaar stellen van gegevens via een elektronisch uitwisselingssysteem. In principe geldt het wetsontwerp voor alle vormen van elektronische medische datacommunicatie, maar het wetsontwerp is wel speciaal toegesneden op het gebruik van het Landelijk SchakelPunt(LSP).

Lees verder

06 mei

Vreemde deal Google met NHS-ziekenhuizen. Nederland geen haar beter

analytics-1368293_640

 

Recent kwam via een publicatie op de website van de New Scientist naar buiten dat Google via een bedrijf, DeepMind, dat men in 2014 opkocht voor 400 miljoen Pound Sterling, toegang krijgt tot zorggegevens van enkele miljoenen mensen. Die data zijn afkomstig uit drie ziekenhuizen van de Royal Free Trust in Londen. Ze vallen onder de National Health service(NHS). Het gaat om de gegevens van de ongeveer 1,6 miljoen mensen die jaarlijks die ziekenhuizen bezoeken. Ook wordt toegang verkregen tot de door die ziekenhuizen opgeslagen zorggegevens van de afgelopen vijf jaar. Aanvankelijk leek het erop dat de deal tussen Google en de Royal Free Trust alleen over acuut nierlijden zou gaan, maar de nu bekend geworden samenwerkingsovereenkomst laat zien dat het om een veel meer data van legio ziekten gaat. De overeenkomst met een commerciële partij die aan data-mining doet roept veel vragen op. Zowel wat privacy betreft als ook over de wenselijkheid een dergelijk bedrijf te faciliteren bij het exploreren en exploiteren van medische gegevens. In Nederland is het geen haar beter. Tot voor zeer kort konden gegevens uit het DBC InformatieSysteem(DIS) door derden gebruikt worden voor nadere analyse.

Lees verder

02 mei

Weer datalek met patiëntgegevens op mobiele gegevensdrager

firefighters-808901_640

Het is weer raak en je kon er ook gewoon weer op wachten. Een mobiele gegevensdrager, in dit geval een USB-stick, met daarop medische gegevens, raakte zoek bij verzending per post. Naar verluidt zijn de gegevens op de USB-stick niet versleuteld geweest. Op de website van het Algemeen Dagblad staat vanmorgen een artikel hierover. De gegevens betreffen de afhandeling van een schadeclaim die de GGD IJsselland aan de broek kreeg na een onterechte aangifte van verwaarlozing bij het Advies Meldpunt Kindermishandeling in 2013. De USB-stick was verstuurd naar SMI-Expertises, een onafhankelijk bureau voor de claimafhandeling van medische- en professionele beroepsfouten. Hij bevatte gedetailleerde informatie over de gezinssituatie, de onterechte beschuldiging bij het meldpunt kindermishandeling, onderzoeksrapporten en documenten van bureau jeugdzorg. Al met al dus zeer gevoelige informatie. Lees verder