Verwerking gepseudonimiseerde zorgdata niet meer mogelijk? Overheid komt met wetje

verwerking data Op 22 juli 2019 schreef ik al een artikel over de internetconsultatie die op 19 juli  startte over een wetsontwerp. Het gaat over het wetsontwerp  voor het creëren van een wettelijke grondslag voor het verwerken van gepseudonimiseerde persoonsgegevens in twee kwaliteitsregistraties. Te lang is gedacht dat het probleem van het centraal verwerken van gepseudomiseerde persoonsgegevens ten behoeve van kwaliteitsregistraties wel zou overwaaien dan wel zich zelf zou oplossen. In plaats van te bezien of de gecentraliseerde verwerking nu wel de weg is die verder bewandeld moet worden, kiest de overheid voor het verdedigen van bestaande belangen. Ze kiest voor reparatiewetgeving die rammelt en dubieuze kanten heeft. In mijn artikel van 22 juli had ik het er al over dat men voor het op centraal niveau verzamelen van zorgdata in de verslavings-en de traumazorg er voor het gemak van uit ging dat de geregistreerden op voorhand handelingsonbekwaam zijn.

Lees meer

Raad van State tikt kabinet gevoelig op de vingers om Wmebv

tik op vingersDe Raad van State(RvS) publiceerde op 24 juli 2019 haar advies over de Wet modernisering elektronische bestuurlijk verkeer(Wmebv). In dit wetsontwerp wil het kabinet vastleggen hoe de elektronische communicatie tussen overheid en burger in haar ogen in de komende jaren zou moeten verlopen. De RvS dient met haar advies een gevoelige tik uit aan het kabinet. Het gebeurt op het moment dat het wetsontwerp naar de Tweede kamer gaat.  Meer specifiek krijgen de opstellers, het ministerie van Binnenlandse Zaken en Koninkrijksrelaties(BZ) en het ministerie van Justitie en Veiligheid(JenV) die tik op de vingers. Het wetsontwerp dateert van 2016. Toen vond in februari de internetconsultatie plaats. De hoofdconclusie van de RvS is eigenlijk dat het kabinet in het willen toepassen van elektronische communicatie met de burger heel erg naar zich zelf toe redeneert. De RvS komt in de samenvatting van haar advies tot een viertal kernpunten. Die zal ik afzonderlijk bespreken.

Lees meer

Autoriteit Persoonsgegevens lekt URL van interne applicatie bij bekijken websites

lektRecent, 22 juli 2019, viel het mij voor de tweede maal in Google Analytics op, dat als iemand van de Autoriteit Persoonsgegevens(AP) deze website bezoekt de bron zichtbaar is. Ik bedoel dat Google Analytics de URL van het intranet van de AP toont. Nieuwgierig als ik ben hoe het bezoek aan de website ZorgICTZorgen zich ontwikkelt, kijk ik af en toe naar het real-time-overzicht. Op de kaart kan je met grote stippen zien in welke plaats iemand inlogt. Als iemand in Den Haag inlogt, ben ik altijd wat alerter. Meestal is de bron afgeschermd zodat die niet zichtbaar is. Van de AP dus blijkbaar niet. De reden van het bezoek aan mijn website door één of meerdere medewerkers van de AP was gelegen in een recente publicatie over de boete en last onder dwangsom die de organisatie oplegde aan het Haga-ziekenhuis. Het doet mij in ieder geval deugd te weten dat binnen de AP-organisatie men mijn blogs in ieder geval leest.  Lees meer

Mag VWS patiënten handelingsonbekwaam noemen om gepseudonimiseerde zorgdata te verzamelen?

handelingsonbekwaamOp 19 juli 2019 startte de internetconsultatie van een wetsvoorstel voor het creëren van een wettelijke grondslag voor het verwerken van gepseudonimiseerde persoonsgegevens in twee kwaliteitsregistraties. En het doorleveren aan derden, wat expliciet in het wetsontwerp benoemd staat. Het betreft het Landelijk Alcohol Drugs Informatie Systeem (LADIS) en de Landelijke Trauma Registratie (LTR). Doel van die registraties is het bevorderen van de kwaliteit en veiligheid van de gezondheidszorg op die gebieden. Naast deze zijn er andere, nog grotere, “kwaliteitsregistraties”. Daarbij speelt ook het probleem dat de daarin verzamelde data gepseudonimiseerde zorggegevens betreft. Daarvoor behoeft men in principe toestemming van de betrokkene. In het wetsvoorstel( plus memorie van toelichting) tot wijziging van de Wet kwaliteit, klachten en geschillen zorg, kortweg Wkkgz, probeert de minister van VWS de twee genoemde registraties weer op gang te krijgen. Omdat sinds begin 2016 gepseudonimiseerde data gewoon als persoonsgegevens beschouwd dienen te worden hebben de data-verzamelende instanties een groot probleem. Toestemming van de patiënt is daardoor nodig. Daardoor  stokte de aanlevering van veel data. Veelal was geen toestemming van de patiënt gevraagd. Een aantal registraties kwam vrijwel droog te staan. Dit probleem speelt niet alleen bij LADIS en LTR, maar ook bijv. bij de verzameling van ROM-data. Ik schreef hier meerdere keren over.

Lees meer

In hoeverre zitten Nederlandse zorgdata in schaduwdatabase Cosmos van Epic?

schaduwenOp de website van het NRC-Handelsblad verscheen op 17 juli 2019 een openhartig artikel van een gynaecoloog in opleiding aan het Amsterdam UMC, Sabra Dahhan. De papieren versie verscheen een dag later. In dit artikel kaart zij de verzameling van zorgdata aan door Epic, leverancier van Ziekenhuis InformatieSystemen(ZIS-sen) in een grote schaduwdatabase, Cosmos, genaamd, in de Verenigde Staten. Naast aandacht ervoor kaart zij ook de discrepantie aan die bestaat tussen het gebruik van deze data door Epic en het gebruik van zorgdata door Nederlandse wetenschappelijk onderzoekers. Het is een zeer moedige poging om dit onderwerp in de media bespreekbaar te maken. Moedig, ook in juridische zin, omdat het voor zorgmedewerkers die in een ziekenhuis werken waar Epic als ZIS gebruikt wordt, eigenlijk niet goed mogelijk is om iets negatiefs te ventileren over dit systeem. Het heeft te maken met zwijgbepalingen(“gag-clauses”) in contracten tussen de leverancier en het ziekenhuis. Ik schreef hier enkele keren over, o.a. op 22 maart 2019.      Lees meer