image_pdfimage_print
30 jan 2019

Rathenau Instituut kritisch over data delen in de zorg o.a. met PGO’s

digitaal

Het Rathenau Instituut publiceerde op 23 januari 2019 haar rapport: “Gezondheid Centraal: Zorgvuldig data delen in een digitale samenleving.“ Het instituut houdt zich al ruim 30 jaar bezig met onderzoek en debat over de impact van wetenschap, innovatie en technologie op de samenleving. Het fungeert als denktank en geeft gevraagd en ongevraagd advies aan de politiek. Over het data delen in de zorg blijkt het instituut de voordelen te zien. Tegelijkertijd geeft het een zeer genuanceerd en kritisch oordeel over de digitale ontwikkelingen. Naast het rapport maakte het instituut ook een bericht aan het parlement in de vorm van een samenvatting. De onderzoekers schrijven dat het de verwachting is dat burgers door zelf hun data te beheren meer grip krijgen op de zorg. Het is de vraag of die op basis daarvan betere zorgadviezen krijgen, of ze daardoor werkelijk meer regie hebben op onze gezondheid. En of regie bij de burger over meer data wel zo wenselijk is. Onderzoek van het Rathenau Instituut laat zien dat het zorgvuldig en veilig delen van data gebaat is bij kleinschaligheid en focus. Niet bij grootschaligheid en het koppelen van zoveel mogelijk systemen aan bijvoorbeeld een landelijke zorginfrastructuur. Men stelt dat de kwaliteit van data en van goede zorg hierbij centraal moet staan en burgers worden beschermd tegen onwenselijk gebruik van hun data. In onderstaande tekst zal ik op enkele onderdelen apart ingaan.

Lees verder

28 jan 2019

Bittere privacy-smaak bij cookie-beleid AKWA-website voor GGZ

bittere smaak

Tegenwoordig vind je op elke zich zelf respecterende website een melding over privacy en hoe men omgaat met cookies. Dan komt ook de vraag of je het gebruik van cookies wel of niet accepteert. Soms verschijnt een keuzelijst waarmee je naast het geheel afwijzen ook bepaalde keuzen kunt maken. Akwa– de Alliantie voor kwaliteit in de GGZ- is de rechtsopvolger van de Stichting Benchmark GGZ(SBG) dat de Routine Outcome Monitoring(ROM)-data van patiënten in de GGZ wederrechtelijk zonder expliciete toestemming verzamelde en be-/verwerkte. Per 15 januari 2019 ging SBG op in Akwa.  Op de website van Akwa toont men onderin dat  de website externe scripts en cookies gebruikt om ”je beleving te verbeteren”. Met de knop “Mijn instellingen” wekt men de indruk dat je dan ook zelf zaken kan aan- en uitzetten. Niets is minder waar. Er blijkt geen mogelijkheid om het cookie-gebruik te personaliseren en dat als persoonlijke instellingen op te slaan. Akwa zegt in haar privacyverklaring veel waarde te hechten aan privacy. In de instellingen voor de cookies stelt het dat de keuzemogelijkheden zichtbaar zijn in de linker zijde van het Instellingen scherm. Keuzes kunnen volgens Akwa door de gebruiker op elk gewenst moment gewijzigd worden. Er valt echter niets te kiezen. Alleen de aankondiging dat men Google Analytics gebruikt is te zien.

Lees verder

25 jan 2019

Schaamteloze juridische redenatie IGJ beperkt recht benadeelde burger

shame on you

Opt-in-toestemming voor het Landelijk SchakelPunt(LSP) is voor mij tot drie maal toe buiten mijn wil genoteerd.  Op deze website heb ik meerdere keren u op de hoogte gehouden over de pogingen om er voor te zorgen dat toezichthouders toezien op een correcte handelswijze en handhaven. Dat laatst gebeurt niet. Zowel de Autoriteit Persoonsgegevens(AP) als de Inspectie Gezondheidszorg en Jeugd(IGJ) hebben een broertje dood aan die activiteiten. Naar analogie van een handhavingsopdracht van de IGJ aan het Isala-ziekenhuis in Zwolle vroeg ik de IGJ om handhavend op te treden tegen apotheken die onterecht opt-in-toestemmingen van bezoekende patiënten noteren. Eerder deed ik dat bij de AP in samenspraak met de burgerrechtenvereniging Vrijbit. Bij de afhandeling van de verzoeken blijkt hoe beide controlerende instanties (waakhonden?) eigenlijk geen hand uitsteken. Ze doen zoveel mogelijk moeite om het verzoek van de burger af te wijzen en hem/haar te ontmoedigen. De wijze van handelen is op zijn zachtst gênant te noemen en beperken de burger in hoge mate zijn recht te halen. De controlerende instanties laten de verdenking dan ook op zich dat zij het wederrechtelijk handelen faciliteren dan wel sanctioneren.

Lees verder

22 jan 2019

Minister de Jonge (VWS) krijgt Big Brother Award 2018 en genereert mist via woordvoerder

brug mist

Wat is er toch aan de hand met het ministerie van VWS dat het grossiert in Big Brother Awards? Bits of Freedom(BOF) organiseert jaarlijks de uitreiking ervan. BOF vraagt aandacht voor personen, bedrijven en overheden die grove inbreuken hebben gemaakt op de privacy en vrijheid van burgers. In  2011 won minister Edith Schippers de persoonlijke Big Brother Award voor het forceren van een doorstart van het elektronisch patiëntendossier ondanks dat het niet gesteund werd door de Eerste Kamer. In 2016 kreeg zij de publieksprijs voor haar voorstel voor een nieuwe Wet marktordening gezondheidszorg.  Die maakte een uitbreiding mogelijk voor zorgverzekeraars om inzage te krijgen in medisch dossiers. Als lid van de expertjury 2018 nomineerde ik minister Hugo de Jonge van hetzelfde ministerie. Het doet me dan ook deugd dat Bits of Freedom deze nominatie heeft gehonoreerd. De minister heeft gemeld dringende bezigheden elders te hebben waardoor hij de prijs niet in ontvangst komt nemen in De Rode Hoed in Amsterdam. Zijn woordvoerder stuurde een korte verklaring die echter veel onduidelijkheid genereert.

Lees verder

22 jan 2019

Rapport mega-hack Singapore Health(juni 2018) door APT verrassend openhartig

hacker

Op 10 januari 2019 publiceerde de onderzoekscommissie uit Singapore een 545 pagina’s lang rapport over de mega-hack van SingHealth. Die afkorting staat voor Singapore Health Services Private Limited. SingHealth bracht op 20 juli 2018 naar buiten dat er persoonsgegevens van anderhalf miljoen patiënten gestolen waren plus nog 160.000 medicatiedossiers van poliklinische patiënten. Het voornaamste doel leek het medische dossier van de premier van Singapore geweest te zijn, Lee Hsien Loong. Verrassend openhartig is het rapport over de toedracht van de mega-hack.  Dat is opmerkelijk aangezien in en over de zorg men meestal niet zo open is over gecompromitteerde data. Het betrof een zeer ingenieuze en met behoorlijke wat hulpmiddelen uitgevoerde cyberaanval die van 23 augustus 2017 tot 20 juli 2018 plaatsvond. De aanval kan beschouwd worden als een Advanced Persistent Threat(APT) die goed voorbereid geweest moet zijn. In 2017 verschafte de hacker zich toegang tot de database van SingHealth,  de SingHealth Sunrise Clinical Manager (SCM) database. Pas in de periode van 27 juni tot en met 4 juli 2018 vond de datadiefstal plaats. Tijdens de periode dat de hacker(s) actief was had men kunnen weten dat er vreemde zaken gaande waren, maar door menselijk falen vond  geen actie plaats.

Lees verder

18 jan 2019

Raadselachtige spook-incasso door apotheek verontrust patiënt

spook

De afgelopen dagen vond een raadselachtig voorval plaats in het Rijnmondgebied. Een jonge vrouw ontdekte dat van haar ING-bankrekening een bedrag was afgeboekt op basis van een automatische incasso. Zij woont ten zuiden van de Nieuwe Waterweg en heeft daar ook haar vaste apotheek. De incasso kwam van een apotheek ten noorden van de Nieuwe Waterweg op ongeveer 13 kilometer afstand. Nu is het bijzondere dat de patiënt nog nimmer bij de incasserende apotheek geweest is of anderszins als klant daar iets betrokken heeft. De eigen apotheek van de benadeelde vrouw heeft ook niets uitbesteed of ondershands besteld bij de apotheek waar de incasso vandaan lijkt te komen Navraag bij die apotheek maakt het alleen maar raadselachtiger. Men zegt niets af te weten van een bij ING ingediende automatische incasso. Op het bankafschrift is geen referentie te zien over welke verstrekking/levering het gaat, wel een verzekerings- en een factuurnummer. Ook staat er een naam van een patiënt op het rekeningafschrift maar het erbij vermelde verzekeringsnummer blijkt nog uit de tijd voor het ingaan van de zorgwet(2006) te stammen. Lees verder

16 jan 2019

Waakhond Autoriteit Persoonsgegevens vertoont extreem egelgedrag

egelherder

Wat doet een egel als er gevaar dreigt? Hij zet zijn stekels op en rolt zich op als bescherming tegen de boze buitenwereld. Precies dat gedrag vertoont de Autoriteit Persoonsgegevens(AP) met heikele kwesties zoals de verwerking van medische gegevens. Op 8 januari 2019 ontving de ex-patiënte uit de geestelijke gezondheidszorg(GGZ) die 93 weken voordien een handhavingsverzoek deed bij de AP, het bericht dat haar handhavingsverzoek was afgewezen. De AP gaf, na in gebreke stelling door de verzoekster om binnen een redelijke termijn tot een beslissing te komen, aan dat het onderzoek nog niet afgerond was en daarom het handhavingsverzoek afwees.  Het verzoek betrof de vraag om handhavend op te treden tegen het onrechtmatig verzamelen en verwerken van (medische en bijzondere) persoonsgegevens door de Stichting Benchmark GGZ(SBG) aangezien die gegevens in hoofdzaak verwerkt worden zonder toestemming van de patiënt. Meer in het bijzonder was gevraagd de verwerking van de gegevens op te schorten en toe te zien op directe vernietiging van de gegevens die opgeslagen zijn in de databank van SBG. Voor degenen die het nog niet begrepen hadden vertel ik hier dan maar dat het gaat om de Routine Outcome Monitoring(ROM) data. Even op deze website zoeken onder de categorie of de tag “ROM” laat meer dan zestig artikelen zien.

Lees verder

14 jan 2019

Foutieve digitale verzending labdata bij dokters met zelfde naam

lab-onderzoek

Een keten is zo sterk als de zwakste schakel. Dat is de bekende conclusie die ook weer toepasselijk was bij de digitale doorgifte van laboratoriumuitslagen richting zorgaanbieders. Enkele dagen terug trok een Twitter-bericht van een huisarts uit het zuiden des lands mijn aandacht. Die meldde dat hij bij herhaling laboratoriumuitslagen uit een groot ziekenhuis kreeg betreffende patiënten die niet bij hem in de praktijk ingeschreven zijn en die hij niet zelf aanvroeg. In het 55 km van zijn praktijk afliggende ziekenhuis werkt wel zijn broer als specialist. Zo af en toe heeft hij er een patiënt onder behandeling of opgenomen. Onveranderlijk ging het om foutief verzonden laboratoriumuitslagen van patiënten van zijn broer die specialist in dat ziekenhuis is. Het gaat hier om medische gegevens die onterecht naar een verkeerde ontvanger gezonden worden, ook al is die ontvanger iemand die onder het medisch beroepsgeheim valt. Het gaat evenals een fax die naar een verkeerde ontvanger gestuurd kan worden om een datalek. Nu vraag je je af hoe zoiets in een sterk geautomatiseerde en geformaliseerde wereld die rond labuitslagen bestaat mogelijk is. Het blijkt zoals eigenlijk altijd te gaan om een menselijke fout.

Lees verder

11 jan 2019

LSP in huidige vorm ontoereikend om te voorzien in behoefte 2e lijn

Dat het LSP in de huidige vorm ontoereikend is om te voorzien in de behoefte van de tweede lijn is een zeer opmerkelijke uitspraak. Hij is gedaan door medewerkers van de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ). VZVZ is verantwoordelijk voor het Landelijk SchakelPunt(LSP). Die uitspraak deden ze op 13 december 2018 tijdens de jaarlijkse bijeenkomst van VZVZ met op het LSP aangesloten ziekenhuizen. Het gebeurt onder het motto “LSP gebruik & beheer voor Ziekenhuizen”. De uitspraak stond op een sheet in de presentatie van drie medewerkers over de over nieuwe ontwikkelingen bij VZVZ in de tweede lijn. Voor de rechtgeaarde criticus van het LSP is de ontoereikendheid van het LSP om ziekenhuizen te bedienen een open deur. Het LSP is in de huidige vorm een verouderd systeem met een sterk verouderde centralistische opzet. Het is niet opgezet volgens “privacy by design”. Het is zoals dat in de IT-wereld heet: een legacy-systeem. Opgezet in 2006 is er telkens wel aan gesleuteld en is de gebruikte software steeds aangepast, maar met blijft zitten met een erfenis uit het verleden. De infrastructuur om het LSP te laten werken is de Aorta-architectuuur. Het concept daarvan dateert van 2002. Voor IT-begrippen zijn het gedateerde ontwerpen.

Lees verder

09 jan 2019

Elektronische vooraankondiging recept is geen van vervanging digitaal recept

fout

Op 19 december 2019 maakte ik melding van een project in Noord Brabant om de elektronische  vooraankondiging van een recept te gebruiken als vervanging van een digitaal getekend recept.  Het gaat daarbij om het versturen van recepten door specialisten vanuit een ziekenhuis richting de apotheek. Bij de persuitingen over het project meldde men niets over het percentage fouten. Uit eigen cijfers van VZVZ, gepresenteerd op haar “Ziekenhuisdag” op 13 december 2018 blijkt dat een onacceptabel percentage, 5,7 procent(sheet 10 van 19) van de vooraankondigingen van recepten om meerdere redenen niet bij de apotheek aankwam.  De “ziekenhuisdag” had als thema: “LSP gebruik & beheer voor Ziekenhuizen”. Met het Landelijk SchakelPunt(LSP) is het vooralsnog onmogelijk om een digitaal getekend recept te versturen. Daarom proberen diverse belanghebbenden, o.a. de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) als verantwoordelijke voor het LSP,  controlerende instanties zoals de Inspectie Gezondheidszorg en Jeugd(IGJ) ervan te overtuigen dat de vooraankondiging afdoende is. VZVZ geeft  in haar presentatie op 13 december 2019 zelf meerdere oorzaken aan voor dit falen.  Een groot probleem is dat bij het niet arriveren van het  bericht bij de apotheek het LSP het bericht daarna niet nogmaals aanbiedt. Het voor-aangekondigde recept is daarmee elektronisch verdwenen. Als de patiënt geen papieren kopie meer bij zich heeft bij het bezoeken van de apotheek zal deze geen medicatie kunnen verstrekken.

Lees verder