VZVZ beslist niet transparant over push-berichtenverkeer zonder toestemming

push-berichtenverkeerHet LSP bezorgt elektronische recepten van zorgverlener naar apotheek, ook wanneer de zorgverlener door de patiënt is geïnformeerd dat de betrokkene geen gebruik van het LSP te wenst te maken. De Vereniging van Zorgaanbieders Voor Zorgcommunicatie)VZVZ) is beheerder van en verantwoordelijke voor het Landelijk SchakelPunt(LSP). Ze betracht geen transparantie als het gaat om het elektronisch versturen van een vooraankondiging van een recept van een zorgverlener naar een apotheek. In diverse publicaties van VZVZ waaronder het factsheet “LSP en privacywetgeving“ laat VZVZ weten dat medische en persoonsgegevens van patiënten pas tussen zorgverleners uitgewisseld kunnen worden, nadat de patiënt daar uitdrukkelijke en geïnformeerde toestemming voor heeft gegeven. De toestemming(opt-in) moet volgens die informatie geregistreerd staan in zowel het zorginformatiesysteem (XIS) van de zorgaanbieder, als in de Verwijsindex van het LSP.

Niet van gediend

Als er geen toestemming is zouden volgens die informatie geen zorgdata via het LSP uitgewisseld kunnen worden. Bij het elektronisch versturen van een (vooraankondiging) van een recept gebeurt dat echter wel. Recent maakt iemand mij erop attent dat een recept van een zorgverlener in een ziekenhuis tot diens grote verbazing elektronisch via het LSP doorgestuurd bleek naar de apotheek. Ook al had deze patiënt nadrukkelijk laten weten geen toestemming te geven voor communicatie via het LSP. Noch in het ziekenhuis noch bij de apotheek stond, en dus ook niet in de LSP-index een opt-in-toestemming genoteerd stond. Deze persoon was daar niet van gediend.

Push/pull

Navraag bij de functionaris gegevensbescherming(FG) van VZVZ leverde op dat bij het versturen van de vooraankondiging van een recept volgens VZVZ sprake is van push-berichtenverkeer. Dat in tegenstelling tot het opvragen van zorgdata die ergens middels een opt-in-toestemming bij een zorgverlener raadpleegbaar zijn gemaakt. Dat is pull-berichtenverkeer.

Push-verkeer zoals een doorverwijzing of vooraankondiging (recept) valt onder (veronderstelde) toestemming op grond van de Wet op de Geneeskundige BehandelOvereenkomst, zegt de FG van VZVZ. Het pull verkeer, zoals het opvragen van een medicatieoverzicht of de Professionele samenvatting van de huisarts valt onder de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg(Wabvpz). Omdat volgens de FG het versturen van de vooraankondiging in het kader van de behandeling plaatsvindt, meent men bij VZVZ dat er dan sprake is van een veronderstelde toestemming. Daarom zou het volgens VZVZ via het LSP wel mogen.

Problematisch 

VZVZ laat over het LSP continu weten dat men alleen berichten verstuurt als er sprake is van een bij zorgverlener vastgelegde en daarmee automatisch in de verwijsindex van het LSP belande toestemming. Daardoor is het voor iemand die bewust geen communicatie van zijn/haar zorgdata via het LSP wil onbegrijpelijk dat VZVZ dat met push-berichten zoals een vooraankondiging van een recept wel doet.

Vreemd is dat men bij in diverse documenten erover spreekt dat gebruik van het LSP uitsluitend mogelijk is als men inlogt op het systeem met een UZI-pas en dat dezelfde VZVZ vermeldt dat bij het versturen van een vooraankondiging geen UZI-pas nodig is. De redenatie is dan: “deze functionaliteit noemen we een ‘Vooraankondiging’, omdat het voorschrift (nog) niet is voorzien van een digitale handtekening van de voorschrijver. Daardoor is het wettelijk gezien geen officieel recept. De voorschrijver heeft dan ook geen UZI-pas nodig om het voorschrift te versturen.“

Verre van transparant

Nergens maakt VZVZ in enig document duidelijk dat ze men voor het push-berichtenverkeer geen toestemming nodig zegt te hebben, maar wel overal stelt dat voor het berichtenverkeer via het LSP expliciete toestemming noodzakelijk vindt. Blijkbaar vindt men het te lastig om het aan de burgers uit te leggen en kijkt men gewoon qua voorlichting waar het schip strandt. Voor kritische patiënten is deze opstelling van VZVZ in het geheel niet te begrijpen en verwerpelijk

Vreemde gang van zaken

Het gebruik van een vooraankondiging van een recept door VZVZ is trouwens zeer vreemd. Ik schreef er al twee bijdragen over, op 19 december 2018 en op 9 januari 2019. Een recept is pas een recept als er een (digitale) handtekening op staat. Het versturen van een digitale handtekening via het LSP is  onmogelijk, vanaf 2008 al. De vooraankondiging moet daarom altijd gevolgd worden door een papieren recept. In de praktijk gebeurt dit niet. Dat is ook precies waar VZVZ naar toe wil. Ze heeft bij meerdere gelegenheden laten weten daarvan af te willen. Men probeert door kleine regio’s proefprojecten te laten doen een soort momentum te creëren, waardoor op termijn ook de Inspectie Gezondheidszorg en Jeugd(IGJ) de vooraankondiging al definitief recept gaat zien. Hetgeen de facto helemaal niet zo is.

Wel zorgdata  

Het is in mijn ogen ook onbegrijpelijk dat de IGJ toestaat dat sluipenderwijs iets doorgevoerd wordt tegen de letter van de wet in. Kortom er gebeuren vreemde zaken met die vooraankondigingen.Men moet zeer wel beseffen dat het met een vooraankondiging van een recept toch wel degelijk gaat om medische gegevens. Niet alleen vanwege het feit dat het om medicamenten gaat, maar ook omdat veelal aan de hand van de medicatie het onderliggende lijden met grote zekerheid achterhaald kan worden.

W.J. Jongejan, 25 september 2020

Afbeelding van Roland Steinmann via Pixabay

Dit is het 700-e artikel op deze website sinds april 2020

 

 

 




Online toestemmingsvoorziening gaat uit van onjuiste premisse t.a.v. medisch beroepsgeheim

OnlineOp 21 september 2020 schreef ik over de open consultatie van het Informatieberaad, vallend onder het ministerie van VWS, over de poging tot realisatie van Mitz, als Online ToestemmingsVoorziening(OTV). Het gaat om een private, megalomane, gecentraliseerde database, gekoppeld aan elektronische zorgdata-uitwisselingssystemen zoals het Landelijk SchakelPunt. In de documentatie bij die consultatie staat meer dan eens dat het medisch beroepsgeheim opgeheven is als de patiënt toestemming geeft om zijn zorgdata raadpleegbaar te maken voor andere zorgverleners. Niets is minder waar. Deze gedachte gaat uit van een verkeerde premisse. Namelijk de vooronderstelling dat de rol van de zorgverlener als medisch geheimhouder ophoudt te bestaan als de patiënt maar toestemming heeft gegeven. Toestemming om medische informatie over hem/haar naar andere zorgverleners te sturen dan wel elektronisch raadpleegbaar te maken.

Medisch beroepsgeheim

De informatie die tussen arts en patiënt gewisseld is en de resultaten van onderzoek plus overwegingen van de arts vallen onder het medisch beroepsgeheim. De arts legt die vast in een zorg-informatiesysteem. Deze informatie valt onder het medisch beroepsgeheim. Dat beroepsgeheim is bij wet belegd bij de arts. Die is er ook door zijn artseneed aan gehouden. De klassieke betekenis van het beroepsgeheim is dat bij het delen van informatie met een andere zorgverlener er altijd sprake moet zijn van toestemming van de patiënt. Toestemming voor welke informatie, voor welk doel, met een gekende derde wordt uitgewisseld. Een generieke (algemene) toestemming om toekomstige, dus nog onbekende, informatie uit te wisselen is daar al strijdig mee. Laat staan dat een aparte voorziening(als Mitz) die buiten de twee partijen staat waar het medisch beroepsgeheim op toeziet, toestemmingen centraal gaat regelen.

Rol van arts als geheimhouder

Wat betreft de toestemming van de patiënt om zorgdata te delen met niet-behandelaars dient men zich terdege te beseffen dat die toestemming het medisch beroepsgeheim niet noodzakelijkerwijs opheft. Een arts heeft de plicht zich af te vragen of het beschikbaar stellen van zorgdata aan derden wel in het belang is van de patiënt. De arts is en blijft de geheimhouder die eigenstandig beslist over het verschaffen van zorgdata aan instanties. Het kan zeer wel voorkomen dat hoewel de patiënt toestemming gaf, de arts het niet in het belang van de patiënt acht dat die informatie uitgewisseld wordt. Niet verlangd kan worden dat de arts, ook al zegt de patiënt toestemming te geven, automatisch medische informatie, in welke vorm dan ook doorstuurt. Of die gegevens klakkeloos openstelt voor toekomstige raadpleging.

Kasteel

In mijn artikel van 21 september 2020 beschreef ik een artikel d.d. 3 juli 2020 van Tim Franssen, genaamd “Het Mitz-verstand van toestemming in de zorg.” Hij is werkzaam bij de Stichting NUTS, een decentraal communicatienetwerk voor de zorg.  Tim beschreef het medisch beroepsgeheim als een kasteel(van Hackenstein) met sterke muren waarvan de kasteelheer altijd zelf bepaalde wie toegang heeft. Met Mitz zou hij de toestemming voor het betreden van het kasteel uit handen geven aan een verre instantie die hij op voorhand maar moet vertrouwen. Franssen stelt heel terecht dat de  zorgverlener en de patiënt de enige twee mensen op deze planeet zijn die kunnen inschatten of die informatie relevant is voor andere personen. En of het delen van die informatie niet schadelijk is voor de patiënt. Andere personen (gebruikers van een UZI pas, de organisatie achter Mitz) de macht geven om autonoom die keuze te maken is dus per definitie een slecht idee

 Hoe zou het wel kunnen?

Tim Franssen geeft ook een oplossingsrichting aan. Hij schrijft:

“Dit probleem is eigenlijk vrij simpel op te lossen. Ik zit in die spreekkamer bij die arts, en hij doet een digitaal verzoek tot inzage van mijn gegevens bij de zorginstelling waarmee ik een behandelrelatie heb. Zowel ik (op mijn mobieltje) als mijn zorginstelling kunnen dat verzoek goedkeuren of afwijzen. Daarmee hebben de relevante personen het laatste woord. In de analogie van het kasteel: er komt een onbekende zonder papieren aan de poort. In plaats van die onbekende in staat te stellen om zichzelf papieren te verschaffen, word ik even naar de poort geroepen om zelf te bepalen wat er moet gebeuren.”

Oplossing

Voor deze handelswijze bestaat een oplossing. Ik beschreef het op 24 januari 2020. De Whitebox die een alternatief biedt voor het Landelijk SchakelPunt werkt volgens dat principe. Daarin is de toestemming om zorgdata te delen totaal anders belegd dan wat men met Mitz wil. Er is met de Whitebox dan ook geen centrale index maar een indexloze push-autorisatie waarbij arts en patiënt bepalen wat er met de informatie gebeurt.

Openstellingsdwang

Het gevaar dat vast zit aan het maken van een OTV als Mitz is dat er door het maken van de toestemmingsdatabase een openstellingsdwang komt bij zorgverleners om de zorgdata volledig raadpleegbaar te maken. In het hierboven beschrevene heb ik duidelijk willen maken dat zoiets nooit kan bij het juist hanteren van het medisch beroepsgeheim. Komt het met Mitz tot die openstellingsdwang dan is met Mitz de bijl gezet aan de wortel van het medisch beroepsgeheim.

W.J. Jongejan, 22 september 2020

Afbeelding van kalhh via Pixabay




Powerplay ZN om online toestemmingsvoorziening Mitz door te drukken

PowerplayRond de toestemmingsverlening om inzage in medische data elektronisch breed mogelijk te maken was het een tijdje stil. Eind 2018 maakte een speciale Stuurgroep Gespecificeerde Toestemming aan minister Bruno Bruins op VWS duidelijk dat het elektronisch regelen van de gespecificeerde toestemming onvoldoende uitvoerbaar was voor burgers, patiënten en zorgaanbieders. In 2019 denkt de minister lang na hoe het verder moet. Hij noemt het eind 2019 een complexe situatie en zegt pas op de plaats te willen maken. Toen al werd duidelijk hoe het krachtenspel in elkaar zat en dat het zoals het liep tegen het zere been van Zorgverzekeraars Nederland(ZN) was. Er speelden destijds al gedachten aan een Online ToestemmingsVoorzie-ning(OTV) met de naam Mitz. En wat verschijnt er op 7 september 2020? De aankondiging van het Informatieberaad over een open consultatie voor een OTV genaamd Mitz. Met als “oplegger” een dringend begeleidend schrijven van ZN.

Open consultatie?

Het Informatieberaad, vallend onder het ministerie van VWS, kondigt de open consultatie aan over een werkdocument “Online toestemmingsvoorziening : Mitz als bouwsteen”. Ideeën en suggesties kan men sturen naar OpenConsultatiesInformatieBeraadzorg@minvws.nl . De vraag is echter hoe open deze consultatieronde wel zal zijn. Normaliter is het zo dat open consultatierondes vanuit de overheid volgens een vast stramien verlopen.  Bij wetsontwerpen legt de overheid deze via de website Internetconsultaties voor aan de burger. Daarbij publiceert de overheid de ingebrachte reacties op die website. Het Informatieberaad geeft geen informatie over het al dan niet publiceren van de ingebrachte ideeën en suggesties. Daardoor is de gedachte gerechtvaardigd dat die buiten het zicht van de belangstellenden zullen blijven.

Megalomane constructie

Het 32 pagina’s tellende en op 1 september 2020 gedateerde werkdocument is opgesteld door de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), de beheerder van het Landelijk SchakelPunt(LSP). Het document laat zien dat men een enorme, gecentraliseerde, toestemmingendatabase wil gaan aanleggen om medische informatie van burgers bij de bron, bij de zorgverlener, raadpleegbaar te maken. Men wil bij Mitz als OTV niet dat alle zorgaanbieders een rechtstreekse aansluiting op Mitz krijgen. Wat men wel wil is een koppeling van Mitz rechtstreeks op een uitwisselingssysteem(zie hoofdstuk 5.4.1 Uitwisselingssystemen). Dus een koppeling van Mitz met het LSP. Het is dus overduidelijk dat men met deze constructie het zwak functionerende LSP een boost wil geven. Ondanks alle inspanningen en meer dan een half miljard euro functioneert het LSP op dit moment voornamelijk als doorgifteluik van medicatieoverzichten. ZN is het uitgeven van veel geld voor weinig functionaliteit zat en zet de vlucht naar voren in.

Uit handen geven

Wat er met Mitz de facto gebeurt, als het gerealiseerd wordt, is dat men het beheer van geregistreerde toestemmingen(het beheer van de toestemmingsformulieren) uitbesteedt aan Mitz. Dat betekent dat men er dan maar op moet vertrouwen dat een private instantie je vertelt dat je de medische data van iemand die bij jou en door jou is vastgelegd, volledig moet delen met een raadplegende zorgverlener. Tim Franssen, product developer, interaction designer en privacy voorstander, schreef er op 3 juli 2020 op LinkedIn een zeer lezenswaardig stuk over, genaamd “Het Mitz-verstand van toestemming in de zorg”. Hij vergeleek de dossier van de zorgverlener met een kasteel, bewoond door arts en patiënt met sterke muren, waarvan men altijd zelf de toegang beheerde. Met Mitz zou je, in zijn ogen, een buiten jouw zicht liggende instantie moeten gaan vertrouwen die beweert dat de toegang tot jouw kasteel veilig en verantwoord is.

Opeens buitenparlementair

Wat men nu probeert, met Zorgverzekeraars Nederland voorop, is het buitenparlementair regelen van toestemmingen voor het raadpleegbaar maken van medische informatie. Het wekt grote verbazing omdat tot nu toe, mede door de regiebrieven van voormalig minister voor de zorg, Bruno Bruins, de gedachtewisseling en beleidsontwikkeling plaatsvond in samenspraak met de Tweede Kamer. Vreemd is dan ook te moeten constateren dat Zorgverzekeraars Nederland die Mitz net als het LSP volledig wil betalen, Mitz als private voorziening wil opzetten. Men lijkt bij het opzetten van Mitz voor het gemak te vergeten dat het daarbij zal gaan om een privaatrechtelijk systeem zonder een wettelijke basis. Alleen al om er gegevens in te mogen verwerken is toestemming nodig. Mitz zou indien gerealiseerd volgens ZN- en VZVZ-plan niet eens een rechtspersoon met een wettelijke taak zijn.

Verplichte standaard?

Dat het menens is van ZN blijkt heel duidelijk uit de tekst van de “oplegger”-brief bij het consultatiedocument van VZVZ. ZN spreekt van de behoefte en de noodzaak van een generieke dienst voor patiënten en zorgaanbieders met betrekking tot toestemmingskeuzes aangaande de elektronische uitwisseling van gegevens. Men stelt zich niet eens de vraag of het wel anders kan of dat het een onsje minder kan.

Dat kan namelijk wel. In het Whitebox-concept is de toestemming om zorgdata te delen totaal ander belegd. Daar geen centrale index maar een indexloze push-autorisatie.  Ik beschreef het op 24 januari 2020. ZN wil met VZVZ Mitz tot een bouwsteen maken. Zorgbouwstenen worden door Nictiz in het kader van standaardisatie gemaakt.

Mitz, in de vorm van een privaat initiatief, als verplichte standaard neerzetten gaat toch echt te ver.

W.J. Jongejan, 21 september 2020

Afbeelding van skeeze via Pixabay




Nieuwe standaarden voor prospectieve dubbel blinde studies met Artificial Intelligence in zorg

artificialKunstmatige intelligentie oftewel Artificial Intelligence heeft in de zorg al enige tijd veel aandacht gekregen. Problematisch is dat veel studies en publicaties, die de zegeningen van de AI verkondigen, veelal niet voldoen aan basiscriteria die wetenschappers stellen aan gedegen onderzoek en publicatie. De gouden standaard is daarbij de prospectieve dubbelblinde gerandomiseerde onderzoeksopzet (Randomised Controlled Trial).  Vanwege de vaak slechte kwaliteit van de RCT’s publiceerde een multinationale werkgroep in 1996 het Consolidated Standards of Reporting Trials (CONSORT) Statement en nadien in 2013 het bijbehorende Standard Protocol Items: Recommendations for Interventional Trials (SPIRIT) Statement. De CONSORT-richtlijn onderging revisie in 2001 en 2010. Het CONSORT-statement gaat over de rapportage-richtlijnen en het SPIRIT-statement over de onderzoeksopzet. Na revisies in 2001 en 2010. Op 9 september 2020 maakten Nature Medicine, het British Medical Journal en de Lancet tegelijk bekend dat beide richtlijnen uitgebreid waren. Het gaat om de CONSORT-AI en de SPIRIT-AI.

 Hard nodig

Het beschikbaar komen van dergelijke richtlijnen voor AI is van groot belang. Makers van dat soort toepassingen claimen met de door hen gepresenteerde resultaten vaak een gelijkwaardigheid maar ook superioriteit van de AI boven de menselijke beoordeling. Bij nadere beschouwing valt er dan veel op af te dingen. Op 30 december 2019 schreef ik daar al een keer een artikel: “Overhaaste invoering kunstmatige intelligentie in zorg verhoogt risico’s voor patiënt”.  Het British Medical Journal publiceerde  op 25 maart 2020 ook een zeer kritisch artikel over AI-onderzoeken in de zorg met de titel: “Artificial intelligence versus clinicians: systematic review of design, reporting standards, and claims of deep learning studies”.

Kritiek in BMJ

De conclusie van het onderzoek toon ik graag integraal:

“Deep learning AI is an innovative and fast moving field with the potential to improve clinical outcomes. Financial investment is pouring in, global media coverage is widespread, and in some cases algorithms are already at marketing and public adoption stage. However, at present, many arguably exaggerated claims exist about equivalence with or superiority over clinicians, which presents a risk for patient safety and population health at the societal level, with AI algorithms applied in some cases to millions of patients. Overpromising language could mean that some studies might inadvertently mislead the media and the public, and potentially lead to the provision of inappropriate care that does not align with patients’ best interests. The development of a higher quality and more transparently reported evidence base moving forward will help to avoid hype, diminish research waste, and protect patients”

Kaf van koren scheiden

Met de nieuwe CONSORT-AI en SPIRIT-AI protocollen gaat het eenvoudiger worden om de kwaliteit van de onderzoeksopzet en de rapportage in wetenschappelijke publicaties op waarde te schatten. Geen patiënt is gebaat met opgeblazen en niet geverifieerde beweringen over de effectiviteit van bepaalde digitale hulpmiddelen. Het gaat dan niet alleen om “tools” om beeldvormend onderzoek “beter” en sneller digitaal te onderzoeken  maar ook bijvoorbeeld de digitale chatbot Babylon van het bedrijf Babylon Health. Dat bedrijf beweerde in 2018 dat de resultaten van de Babylon-app op basis van AI gelijk op gingen men die van echte huisartsen. Die bewering stuitte toen ook op duidelijke kritiek van huisartsen(organisaties). Met de Babylon-appp is ook nooit een deugdelijke RCT opgezet.

Door de mand vallen

Het moge duidelijk zijn dat door de CONSORT-AI en de SPIRIT-AI gehypete digitale toepassingen in de zorg genadeloos door de mand gaan vallen. De Babylon-app hoort daar ook bij. Babylon Health weet dat ook dondersgoed, want op hun website staat:

Babylon’s AI services provide health information only, and do not provide a diagnosis. The AI services respond to the information entered, and the information provided is based on risk factors and statistics, rather than a personalised assessment. The AI services are not a substitute for a doctor, and should not be used in a medical emergency”.

Validering

Ook bij digitale toepassingen in de zorg is validering van cruciaal belang is. Die validering kan uitsluitend op basis van deugdelijke onderzoek en rapportage. De eisen daaraan zijn nu duidelijk geformuleerd en aan de wetenschappelijke wereld kenbaar gemaakt. Ongetwijfeld zullen de makers van AI-toepassingen gaan stellen dat digitale toepassingen andere  protocollen behoeven dan de niet-digitale, maar dat kan en mag niet als een deugdelijke verdediging gezien worden.  Zoiets zal ook eerst bewezen moeten worden.

W.J. Jongejan 17 september 2020

Afbeelding van Ahmed Gad via Pixabay




Ongewenste interferentie corona-app(Duitsland) en Exposure Notification Express op iPhones met IOS 13.7

interferentieVeel overheden een app die risicovolle corona-contacten meldt aan de gebruiker op een smartphone. De nabijheid van anderen meet de app op basis van bluetooth-technologie. De gebruikte technologie van de zonder gecentraliseerde database werkende app’s komt van een samenwerkingsverband van Google en Apple. Die technologie heet het Exposure Notification System(ENS).  De bouwers van de corona-apps bouwden deze technologie in. Sinds begin september 2020 komen Google en Apple met Exposure Notification Express(ENE). Dat is een software-systeem dat ontworpen is om het volksgezondheid-autoriteiten makkelijker te maken om het opsporingsprotocol eenvoudiger te implementeren. En dat zonder de noodzaak voor die autoriteiten zelf een app te ontwikkelen. Android-smartphones maken van ENE gebruik in een app. Apple integreerde ENE in versie 13.7 van het besturingssysteem IOS , zodanig dat  niet per se een speciale app nodig is. Nu blijkt de Duitse CoronaWarn- app op iPhones met 13.7 te hoge risico-inschattingen te geven.

CoronaWarn-app

Duitsland introduceerde op 16 juni 2020 de CoronaWarn-app op basis van het ENS van Google/Apple. Na de lancering van Exposure Notification Express op 1 september 2020 zijn er bij een aantal gebruikers van Apple smartphones(iPhones) die het van het besturingssysteem IOS versie 13.7 installeerden signalen van een te hoge risico-inschatting t.a.v. corona-besmetting. Op de website van het CoronaWarn app Open source project staat dat het om een klein aantal gebruikers gaat. Problematisch is echter dat woordvoerders meestal het probleem downplayen om “onrust vermijden”. SAP en Deutsche Telekom, die meewerken aan de CoronaWarn-app, waarschuwen ook voor dit probleem.

Interferentie

De hogere risicoscore die de app met IOS 13.7 op iPhones aangeeft wijst eigenlijk maar in één richting. Het lijkt er op dat door het niet per se nodig zijn van een app voor Exposure Notification Express op iPhones er interferentie ontstaat tussen enerzijds een wel aanwezige app die dezelfde technologie gebruikt en anderzijds het besturingssysteem. Interferentie met summatie als gevolg. Het lijkt me dan zeer wel mogelijk dat al bij 7,5 minuut contact met een corona-positief persoon de detectietijd door het IOS 13.7 en de app gesummeerd wordt tot 2×7,5=15 minuten. Daardoor zal dus bij een veel kortere tijd dan de overal gehanteerde contacttijd van 15 minuten al een waarschuwing uitgaan. En bij 15 minuten contact een heftiger waarschuwing. Tot nu toe is er geen bericht in de media dat men weet wat de oorzaak van het probleem is en of er een oplossing voor is.

Nederland

Aangezien de Nederlandse app, de CoronaMelder ook gebruikt maakt van het Exposure Notification Systeem is het zeer wel mogelijk, ja zeer waarschijnlijk, dat het probleem ook hier zal spelen bij de landelijke uitrol van de CoronaMelder. Ik kan me gewoonweg niet voorstellen dat dit probleem hier niet zou spelen. Voor de makers van de CoronaMelder ligt er dus een schone taak om ook voor deze app te onderzoeken of de versie 13.7 van het iPhone IOS geen onnodige problemen geeft.

Gedoe

Terwijl er eigenlijk nergens ter wereld zeer positieve resultaten van corona-apps wordt gemeld kan je wel zien dat er eigenlijk in elk land gedoe is rond een corona-app. Zoals ik eerder betoogde laten al deze pogingen om de coronapandemie te helpen verminderen een wonderlijk soort cyber-optimisme zien. Dat techniek en specifiek digitale technologie een oplossing biedt voor alle ellende. Dat terwijl tot nu toe steeds duidelijker wordt dat het veranderen van menselijk gedrag de beste resultaten laat zien.

We gaan zien wat de volgende verwikkelingen rond corona-apps zijn en of Apple de vinger kan leggen op de zere plek.

W.J. Jongejan, 15 september 2020

Afbeelding van S. Hermann & F. Richter via Pixabay




Fitnesstracker Amazon Halo dringt te ver door in privéleven van gebruiker EN anderen

FitnesstrackerOp 27 augustus 2020 lanceerde de tech-gigant Amazon in de V.S. haar fitnesstracker Halo. Voor 99 dollar, in de introductieperiode 64,99 dollar, koop je dan een wearable. Die kan de hartslag meten, je activiteit vastleggen, slaap analyseren, lichaams-samenstelling meten en spraak analyseren wat betreft “energie” en positiviteit. Het om de pols te dragen apparaat werkt in samenwerking met de smartphone van de gebruiker. Amazon gaat echter veel verder met het gebruiken van data dan andere fitnesstrackers. Het meten van de lichaamssamenstelling gaat trouwens niet eens met gebruik van de Halo, maar door het uploaden van een viertal lichaamsfoto’s(voor/achter/twee zijaanzichten) in strakzittend ondergoed. Een “Deep Neural Network” van Amazon maakt er een 3D-beeld van met beoordeling en stuurt die retour. Voor de spraakanalyse neemt de Halo spraak op en beoordeelt die met Amazon Tone. Naar hun zeggen gaat het slechts om mensen te leren begrijpen hoe ze op anderen overkomen.  

Griezelige ontwikkeling

Amazon zoekt met deze fitnesstracker de randen op van wat oorbaar is EN gaat daar ruim overheen. Ook al beweert Amazon dat de privacy met de beoordeling van opgestuurde lichaamsfoto’s en met de spraakanalyse goed geregeld is, het is onverstandig een tech-bedrijf als Amazon daarover op zijn woord te geloven. Eerder ging het al gruwelijk mis met de “spraaksassistenten” Alexa en Echo van Amazon. Spraakfragmenten van gebruikers werden buiten hun weten door derden vertaald en beoordeeld. Volgens Amazon om de werking van Alexa en Echo te verbeteren maar het gebeurde buiten het zicht van de gebruiker. Met de Halo kan het zo zijn dat de eigenaar ervan wel weet dat het geval zijn spraak analyseert, maar met twee microfoons in het apparaat aan de pols neemt het ook spraak van anderen op die niet zullen weten dat hun spraak opgenomen wordt.

Lichaamssamenstelling

Het “meten” van de lichaamssamenstelling(bot, spieren, organen, vet) gebeurt zoals gezegd helemaal niet met de Halo, maar door het uploaden van lichaamsfoto’s naar Amazon’s cloud. Welke garantie men ook zegt te geven, het is van de zotte dat een tech-bedrijf aan gebruikers vraagt schaars geklede foto’s op te sturen. De les die met dat soort foto’s al menig keer geleerd is dat hoe de garanties ook zijn er altijd wat mis kan gaan. Men moet dit van de gebruikers niet willen vragen. Helemaal zot is dat men stelt dat de nauwkeurigheid beter is dan de meting bij de huisarts. Daarbij doelt de meting op een zogenaamde smart-weegschaal die op basis van impedantiometrie(lichaamsweerstandsmeting mbv elektriciteit) de lichaamssamenstelling meet. Het aardige is dat die methode ook maar een verre benadering is van de echt nauwkeurige meting. De gouden standaard is de DXA-methode die gebruik maakt van Röntgenstraling. DXA staat voor Dual-X-ray-Absorption).

Abonnement

Niet bepaald duidelijk op de website van Amazon staat dat het apparaat gekoppeld is aan een abonnement. Dat staat onderin bij de kleine letters. De eerste zes maanden zijn gratis maar daarna betaalt de gebruiker 3,99 dollar per maand aan Amazon. Voor een heel jaar zit je dan al gauw op de helft van het aankoopbedrag van de Halo. Het is geenszins uitgesloten en ook wel te verwachten dat die abonnementsprijs ooit gaat stijgen. Daarnaast is het zo dat het beëindigen van het abonnement de functionaliteit van de fitnesstracker fors terugloopt. Het is een vorm van koppelverkoop ä la Rockefeller in de jaren twintig van de vorige eeuw in het verre oosten. Die verkocht olielampen die op kerosine werkten. De lamp was te koop voor een schijntje, 7,5 dollarcent, maar het verkoop van de daardoor benodigde kerosine leverde Standard Oil een vermogen op.

Dataminer  

Waarom moet men Amazon niet op hun woord geloven als ze het hebben over het bewaken van de privacy van de gebruikers. Eerdere privacy-issues rond de Alexa en Echo van Amazon wijzen in die richting. Beloften van grote tech-bedrijven ten aanzien van privacy zijn meestal boterzacht. Meerdere privacy-experts uit de V.S. spreken dan ook hun zorgen uit over de Halo. Ze zien Amazon zelf niet veel met de data van de Halo gaan doen, maar wel dat Amazon met deze handel zich richt op verzekeraars, ook zorgverzekeraars als ultiem doel van haar handel. Het eerste bewijs daarvoor is er al door een deal die zorgverzekeraar Cerner met Amazon sloot over de Halo.

Het delen van data door grote tech-bedrijven met “law enforcement agencies” in de V.S. is al eerder voorgekomen. Het delen van spraakdata verkregen met de Halo is derhalve geenszins uitgesloten.

Mensenrechtenprobleem

Dr Sandra Wachter, associate professor in Artificial Intelligence ethiek aan de universiteit van Oxford, stelt in een gesprek met Business Insider dat een algoritme dat in staat is de emoties in de stem van mensen te herkennen, een potentieel mensenrechtenprobleem is.

“Our thoughts and emotions are protected under human rights law for example the freedom of expression and the right to privacy. Our emotions and thoughts are one of the most intimate and personal aspects of our personality. In addition, we are often not able to control our emotions. Our inner thoughts and emotions are at the same time very important to form opinions and express those. This is one of the reasons why human rights law does not allow any intrusion on them. Therefore, it is very important that this barrier is not intruded, and that this frontier is respected,”

Daar heb ik niets aan toe te voegen.

W.J. Jongejan, 11 september 2020

Afbeelding van Selena Gallagher via Pixabay




Mag InformatieKnooppunt Zorgfraude bij bestrijding zorgfraude straks zelf wel winst maken?

InformatieKnooppunt Het doorlezen van 67 pagina’s van een Nota van Toelichting op een Algemene Maatregel van Bestuur(AMvB) is geen sinecure. Ook niet het doorploegen van 15 pagina’s tekst van die AMvB. Toch levert het onverwachte informatie op. Het betreft stukken die behoren bij het wetsontwerp Wet bevorderen samenwerking en rechtmatige zorg(Wbsrz). Op woensdag 9 september begint in een procedurevergadering van de commissie voor VWS in de Tweede kamer de parlementaire behandeling. Bij zorgfraude gaat het bijvoorbeeld om de vraag of er sprake is van het onevenredig winst maken door een zorgaanbieder dan wel zorginstelling.  De genoemde onverwachte informatie nam ik waar in een zin in de Nota van Toelichting waarin VWS hardop zich iets afvraagt. Namelijk of de instelling die de signalen van mogelijke zorgfraude verzamelt en die gegevens “verrijkt”, het maken van winst al dan niet tot doel mag hebben. Een dergelijke zin roept namelijk een hele serie vragen op.

InformatieKnooppunt Zorgfraude

Het gaat hierbij om het InformatieKnooppunt Zorgfraude(IKZ) dat in het wetsontwerp naast het Waarschuwingsregister wordt vorm gegeven. Met de laatstgenoemde wil VWS zowel natuurlijke personen als rechtspersonen  registreren waarvan de gerechtvaardigde overtuiging bestaat dat zij fraude hebben gepleegd, om andere instanties voor deze partijen te waarschuwen.  Met het IKZ daarentegen beoogt men een instelling die informatie over zorgfraude moet verzamelen en verrijken. Die informatie is dan afkomstig van CIZ, de colleges van B&W van gemeenten, de IGJ, inspectie SZW, de rijksbelastingdienst, waaronder de FIOD, de zorgautoriteit en zorgverzekeraars. De verrijkte informatie levert het IKZ dan weer terug aan de aanleverende partijen. Er bestaat overigens nu al een IKZ, maar als een samenwerkingsverband van de hierboven genoemde veldpartijen. Het ministerie van VWS wil  met de Wbsrz van het IKZ een stichting maken.

Aparte zin

In het ambtelijk concept d.d. 04-09-2020 van de Nota van Toelichting bij de AMvB staat in hoofdstuk 4.7.6(De aanwijzing van het InformatieKnooppunt Zorgfraude en de daaraan verbonden voorschriften) op pagina 51 in het tweede blok tekst de volgende zin.

“In overweging moet worden (genomen) of de instelling het maken van winst al dan niet tot doel mag hebben”.  

Deze overweging acht ik veelbetekenend in het licht van hoe de financiering van het IKZ in de AMvB en in de Nota van toelichting beschreven staat. In artikel 3.20 lid 1 van de AMvB staat namelijk dat de minister van VWS verantwoordelijk gesteld wordt voor de financiering van het IKZ. VWS denkt daarbij  aan een instellingssubsidie op grond van de kaderwet VWS-subsidies.(zie Nota van toelichting pag. 63). VWS zegt ook dat het IKZ geen zelfstandig bestuursorgaan wordt.

Privatisering IKZ?

De door mij aangehaalde zin strookt niet met de voorgestelde financiering met subsidies. Als het IKZ een zelfstandig bestuursorgaan zou worden, hetgeen niet speelt, had het winst maken ook niet tot de mogelijkheden behoord. Derhalve blijft als enige mogelijkheid over dat men bij VWS er aan denkt dat de stichting IKZ op termijn als een soort private onderneming door het leven kan gaan. In dat kader is het nu al oprichten van een Stichting IKZ een stap die het in de toekomst privatiseren reeds faciliteert. Betaling voor de diensten zou dan moeten plaatsvinden door de deelnemende partijen die in de tweede alinea van dit artikel beschreven staan.

Hoeveel winst is gerechtvaardigd?

Als men zou besluiten dat de Stichting IKZ op enig moment winst zou mogen maken, dan doet zich automatisch de gerechtvaardigde vraag voor, die ook bij het onderzoeken van zorgfraude geldt, voor: “Wat is een rechtmatige winst”. Bij het onderzoeken van zorgfraude hanteert men op enig moment namelijk een afkappunt van wat men als rechtmatige en niet-rechtmatige winst moet zien. Daarbij komt dan ook weer de vraag op wie of welke instantie de handel en wandel van het IKZ beoordeelt als ze winst mag maken.

Is weg ooit weg?

Zorgfraude is een verwerpelijke activiteit. Niettemin moet men bij alle maatregelen die men neemt om die te bestrijden zich afvragen of wat men onderneemt wel zo verstandig is. Het wetsontwerp Wbsrz tuigt weer een forse gecentraliseerde database op waarin men veel gegevens van personen en instellingen vastlegt. Met dwarsverbindingen naar diverse deelnemende partijen. Hoewel het Waarschuwingsregister en het IKZ een in jaren beperkte bewaartermijn van de data kennen is het de vraag of ten onrechte als “zorgfraude” geregistreerde gegevens ook elders verdwijnen. Het IKZ levert namelijk de door haar verrijkte data terug aan de deelnemende partijen. Hoewel het IKZ op enig moment de data verwijdert,  de doorgeleverde data kunnen bij de andere databases nog gewoon existeren. Waar dat toe kan leiden bewijst de casus van Ron Kowsoleea uit het verleden.

W.J. Jongejan, 9 september 2020

Afbeelding van Alexas_Fotos via Pixabay




HIS-portaal-leverancier pusht openstelling zorgdata via portaal flink

HIS-portaal-leverancierOp  1 juli 2020 ging de Wet cliëntenrechten bij elektronische verwerking van gegevens in.  Op basis daarvan moest vanaf 1 juli 2020 de patiënt kosteloos inzage krijgen in de bij een zorgverlener elektronisch vastgelegde zorgdata. De bedoeling was dat zulks zou gebeuren met PGO’s (Per-soonlijke GezondheidsOmgevingen). Omdat de daarvoor benodigde overkoepelende informatiestandaard die het zorgICT-standaardisatie-instituut Nictiz maakt nog niet af is, kregen zorgverleners uitstel tot 1 januari 2021 om inzage van zorgdata via een PGO te regelen. Prompt doken leveranciers van HuisartsInformatieSystemen(HIS-sen) en portaal-leveranciers op de mogelijkheid rond juli 2020 hetzelfde inzichtelijk te maken voor de patiënt via het huisartsenportaal. Aan de inspanningen van de HIS-leveranciers hiervoor besteedde ik op 2 juni 2020 al aandacht. Aangezien het inzage bieden via een portaal ook voor een HIS-portaal-leverancier, zoals Pharmeon.B.V., financieel aantrekkelijk is, is nu in berichtgeving aan huisartsen te zien dat die deze route zeer actief promoot, zonder wettelijke noodzaak.(A,B) 

Verschil PGO versus portaal

Een PGO is een app/programma op smartphone of tablet waarmee de patiënt zelf zijn zorgdata digitaal van de zorgverlener(huisarts, specialist, apotheek) naar zich toe haalt en lokaal opslaat. Bij een HIS-portaal maakt de zorgverlener diezelfde zorgdata inzichtelijk op de website van de zorgverlener. De patiënt kan het inzien, maar laadt de data niet in een PGO. Voor dat inzichtelijk maken van de data via beide mogelijkheden maakt men gebruik van de zogenaamde MedMij-protocollen.

Financieel aantrekkelijker

Voor het beschikbaar maken van de zorgdata voor de patiënt is het OPEN-programma opgezet. Het ministerie van VWS betaalt dat. Er gaat 75 miljoen euro subsidie in om. Van die subsidie worden o.a.  de HIS-leveranciers betaald die hun software moeten aanpassen. Ook krijgen de huisartsen er een deel van vanwege de aanzienlijke inspanning die ze zich moeten gaan getroosten. Zij moeten op verzoek de zorgdata op passende wijze aan een PGO van een patiënt aanleveren.

In tegenstelling tot de openstelling van data richting een PGO is de weg via een huisartsen-portaal niet via subsidie geregeld  Het is een dienstverlening die de huisarts aan de HIS-leverancier en aan de portaalleverancier extra moet betalen. Tot heden kwam ik één uitzondering tegen. Het huisartsinformatiesysteem TetraHIS verhoogde de prijs voor het abonnement voor openstelling van zorgdata via het portaal niet. Zie het naschrift onder het artikel van artikel 2 juni 2020.

Verwarrend

Voor huisartspraktijken is het nogal verwarrend dat het OPEN-(subsidie)programma twee mogelijkheden kent om de online inzage te realiseren: via patiëntenportalen of via persoonlijke gezondheidsomgevingen (PGO’s) die voldoen aan MedMij-eisen. De portaal-leverancier Pharmeon schermt dan ook driftig met het OPEN-programma om zowel inzage via het portaal als via een PGO te promoten. In een mail aan huisartsen|(A,B) maakt men gewag van 100 deelnemende praktijken met de portaal-mogelijkheid. De Landelijke HuisartsenVereniging schreef hierover echter dit jaar:

“Het OPEN-programma kent twee mogelijkheden om de online inzage te realiseren: via  patiëntenportalen of via  persoonlijke gezondheidsomgevingen (PGO’s) die voldoen aan MedMij-eisen. Praktijken die gebruik maken van een portaal bij hun HIS kunnen(WJJ: niet moeten) dus per 1 juli 2020 online inzage bieden via hun portaal. Zij zullen dus per 1 juli kunnen voldoen aan het wettelijk recht op elektronische inzage (dat per 1 juli 2020 ingaat) door een elektronisch afschrift te maken van het dossier dan wel op een andere manier elektronische inzage te geven aan de patiënt. Zodra de koppeling met het PGO dan gereed is, kunnen ze ook via een PGO patiënten inzage geven.”

Geen noodzaak

Voor huisartsen is er dus geen noodzaak om per se al in 2020 de inzage van de zorgdata via een portaal te regelen, omdat per 1 januari 2021 de inzage via de PGO’s toch al geregeld en betaald is. De HIS-portaal-leverancier Pharmeon is trouwens geen kleine speler in HIS-land. Het verzorgt de patiëntenportalen van de vijf  meest gebruikte HIS-sen.

Ondergraving positie PGO’s

Wat hier gebeurt onder het voldoen aan de OPEN-programma-regels(om zorgdata online inzichtelijk te maken) is dat men de positie van de PGO’s stelselmatig ondergraaft. En dat terwijl de PGO’s, waar het ministerie van VWS zich al onder Edith Schippers warm voor maakte, al geen verdienmodel hebben. Zowel de ontwikkeling, als de uitrol, als ook de financiering van het gebruik vond en vindt plaats met forse subsidiëring door VWS. De regeling om het gebruik te subsidiëren loopt van 1 oktober 2019 tot eind 2020 en kan twee maal met een jaar verlengd worden.

Aparte dynamiek

Het is niet erg logisch te verwachten dat een patiënt zowel gebruik zal maken van het patiëntenportaal om de zorgdata in te zien, en tegelijkertijd pogingen gaat doen om via een andere weg zorgdata in het PGO te krijgen. Voor het werkveld betekent het uitbreiden van de functionaliteit van het patiëntenportaal een extra kostenpost. De openstelling via de PGO’s zou immers volledig door subsidie aan ICT-leveranciers en huisartsen zijn afgedekt. De evidente concurrentie tussen openstelling van de zorgdata via het portaal en de PGO’s zou niet gespeeld hebben als de overkoepelende informatiestandaard van Nictiz die nodig is voor de PGO’s eerder dit jaar klaar geweest zou zijn.

W.J. Jongejan,  7 september 2020

Afbeelding van Gerd Altmann via Pixabay




Medische data zichtbaar te koop op World Wide Web: een waarschuwing

Medische Het is de grootste angst van zorgmedewerkers en IT-beveiligingsspecialisten die zich om veilig gebruik van zorgdata bekommeren dat een hacker medische verwerft en te koop aanbiedt. In de krochten van het internet is nu een voorbeeld daarvan te zien. Het betreft een aanbod op een forum op het internet waar illegale handel in gegevens plaatsvindt, waaronder inloggegevens en databases. Iemand met de naam “Databox” biedt daar een forse database te koop aan. Daarin: “Fields: Gender, Full name, Phone-number, Mobile-number, Address, Email, medication and more.” Die laatste twee wijzen op een gestolen database met medische informatie. Matthijs Koot, IT-beveiligings-specialist, bezorgt als hij is over privacy-kwesties, tipte mij over het bestaan van deze “advertentie”. Zijn proefschrift uit 2012, genaamd “Measuring and Predicting Anonimity”, beantwoordde vragen als “Hoe anoniem zijn geanonimiseerde gegevens?’ en ‘In hoeverre is het mogelijk geanonimiseerde gegevens te de-anonimiseren?”.

“Advertentie”

De aanbieder van de data draagt de toepasselijke naam “Databox”. Op het forum heeft hij/zij de status “God”. Dat kan afhangen van de “prestaties”, maar ik vernam dat zo’n status ook gewoon te koop is. De persoon die op dat underground-forum de data te koop aanbiedt heeft het over een database met 4,4 miljoen “records”. Hij of zij laat een screenshot zien met de persoonsgegevens van een man van 49 jaar waarop wel de persoonsgegevens te zien zijn. Essentiële data op de afbeelding heb ik gezwart. De kop van het dataveld Diagnose(Diagnostico) is te zien, maar niet de inhoud. Theoretisch is het mogelijk dat de persoon die dit koopaanbod doet opschept over data die hij/zij niet bezit en indruk probeert te maken door te bluffen. De inhoud van het aanbod suggereert echter wel dat een gestolen/gekopieerde mega-database de basis is voor dit aanbod. Bovendien lijkt de opmerking “Dumped it this year” de indruk te wekken dat de gegevens afkomstig zijn uit hacking door hem of haar zelf.

Afkomstig van?

De data hoeven niet noodzakelijkerwijs uit een ziekenhuisomgeving te komen. Het kan ook afkomstig zijn van een ziektekostenverzekeraar of een overheidsinstelling die zich bezighoudt met de zorg. In het bericht van “Databox” noemt deze een “record count van 100k. Daarmee bedoelt hij/zij dat er een sample-bestand is met 100.000 regels waaraan de eventuele koper kan zien dat het om serieuze data gaat. Dat wijst erop dat het bij de personen in de bestanden waarschijnlijk om ambtenaren gaat. Naar verluidt staan alleen al in de voorbeeldgegevens ook medicatiegegevens van ruim 100 ambtenaren, waaronder iemand van de Colombiaanse luchtmacht. Dat was af te leiden uit onderdelen van de mailadressen in de bestanden.

Wat gebeurt ermee?

Het misbruik van gestolen persoonsgegevens met medische data beschreef ik eerder op 21 mei 2019

Grofweg kan men het misbruik in vier categorieën indelen.

  • Diefstal van de medische identiteit. Met iemands medische gegevens probeert men medische diensten te verkrijgen: voorschriften voor medicatie(opiaten bijv.), medische ingrepen, valse verzekeringsclaims
  • Financiële fraude met gebruikmaking van tot een persoon herleidbare informatie bij banken en creditcard-maatschappijen. Medische dossiers bevatten namelijk vaak informatie over betaalwijze, bankgegevens etc.
  • Gebruik maken van gevoelige zorgdata om individuen te bedreigen, af te persen of te beïnvloeden. Daarbij kan het om echte buitgemaakte data zijn, maar ook gemanipuleerde data. VIP’s en bekende publieke personen zijn extra kwetsbaar. Zulke gegevens kunnen worden misbruikt voor gerichte phishing, chantage en andere narigheid. Denk aan medicatie die verband houdt met gevoelige onderwerpen, zoals hiv-remmers en psycho-actieve-geneesmiddelen,.
  • Buitgemaakte data kunnen gebruikt worden bij verder gaande cyberaanvallen. Zo kan informatie gebruikt worden om nieuwe aanvallen uit te voeren met buitgemaakte toegangs-/authenticatie-informatie.

Nederland

Nu zult u zeggen, Colombia is ver weg en niet te vergelijken met Nederland. Niets is minder waar. Digitaal gezien bestaan er geen afstanden. Trouwens ook in Nederland kennen we veel datalekken in de zorg. De Autoriteit Persoonsgegevens(AP) meldde op 19 september 2019 dat de zorg opnieuw koploper datalekmeldingen was bij de AP. Die publiceerde een handleiding over hoe te handelen bij een datalek in de zorg. Bovendien maakte de AP zelfs een brochure “5 tips voor zorginstellingen om datalekken te voorkomen”.  Het is dus van belang dat zorgaanbieders en apotheken hun informatiebeveiliging voldoende op orde hebben, en dat de kans op menselijke fouten zo klein mogelijk is.

NEN7510

In Nederland moeten zorgsystemen trouwens verplicht voldoen aan een beveiligingsnorm, de NEN7510″. Deze norm sluit een hack of menselijke fout niet uit, maar is voor de lezer misschien prettig als geruststellende afsluiter. Zowel Matthijs Koot als mij zijn geen één-op-één vergelijkbare incidenten bekend in Nederland. De door mij hierboven beschreven casus dient al een herinnering gezien te zijn aan het belang van privacy en goede informatiebeveiliging met betrekking tot gezondheidsgegevens.

W.J. Jongejan, 4 september 2020

Afbeelding van S K via Pixabay




Dwang/drang Coronamelder-app gebruiken alleen strafbaar als bewijsbaar door toezichthouder

Dwang/drangOp maandagmiddag 31 augustus 2020 vond in de Tweede kamer een technische briefing plaats voor de leden van de vaste Kamercommissie voor VWS omtrent de CoronaMelder-app. Voor VWS zat de directeur informatiebeleid/Chief Information Officer Ron Roozendaal aan tafel. Mevrouw Laura Ghirlanda, wetgevingsjurist vergezelde hem. Uitgebreid kwamen technische aspecten aan bod evenals de verschillende reviews en commentaren die in het kader van de app aan VWS uitgebracht waren. In het wetsontwerp bij de app heeft de minister van VWS expliciet een artikel opgenomen over de strafbaarstelling bij dwang om de app te gebruiken. De regering acht het van groot belang dat het gebruik te allen tijde vrijwillig is. Mensen mogen nooit, direct dan wel indirect, door wie dan ook worden gedwongen tot het gebruik van CoronaMelder of van andere vergelijkbare digitale middelen. Dat het pas strafbaar als het bewijsbaar is, lijkt een open deur, maar heeft wel degelijk consequenties.

 Wet voor CoronaMelder

In het wetsvoorstel dat voor de introductie van de CoronaMelder noodzakelijk is, staan een tweetal bepalingen die van belang zijn voor de handhaafbaarheid. In de eerste plaats gaat het om wijziging van de Wet publieke gezondheid(Wpg) waarin het verbod op het verplicht stellen  van de app geregeld is. Dat is artikel 6d dat men toevoegt aan de Wpg. Daarin in lid 8 te staan:

8. Het is verboden een ander te verplichten tot het gebruik van de notificatieapplicatie dan wel enig ander vergelijkbaar digitaal middel.”

Daarnaast bevat het wetsontwerp een bepaling die men toevoegt aan artikel 64 Wpg. In dat oude artikel staat dat het toezicht berust het Staatstoezicht op de volksgezondheid. Daaronder vallen de Inspectie Gezondheidszorg en Jeugd(IGJ) en de Nederlandse Voedsel- en Waren Autoriteit(NVWA). De toevoeging betreft het artikel 64 bis.

Artikel 64 bis

Dit artikel verruimt voor de coronabestrijding de toezichtmogelijkheden. Het belangrijkste is in dit kader artikel 64 bis lid 1:

  1. Met het toezicht op de naleving van artikel 6d, achtste lid, zijn voorts belast de bij besluit van Onze Minister aangewezen ambtenaren. Indien de aanwijzing ambtenaren betreft, ressorterende onder een ander ministerie dan dat van Onze Minister, wordt het besluit genomen in overeenstemming met Onze Minister die het mede aangaat.

Per ministerieel besluit kan de bewindsman van VWS bepalen welke toezichthouders verder ingeschakeld worden. Daarbij gaat het ook om toezichthouders van andere ministeries. Daarbij denkt de minister ook aan het toewijzen van het toezicht aan Bijzondere OpsporingsAmbtenaren(BOA’s) Dat staat in de Memorie van Toelichting bij het wetsontwerp.

Sancties

Als sancties heeft het wetsontwerp aan artikel 67 van de Wpg een artikel 67a toegevoegd.

Daarin staat:

Artikel 67a 1. Met een hechtenis van ten hoogste zes maanden of een geldboete van de derde categorie wordt gestraft degene die handelt in strijd met artikel 6d, achtste lid. 2. Het in het eerste lid strafbaar gestelde feit is een overtreding.  

De zes maanden hechtenis zijn direct duidelijk. Een geldboete van de derde categorie houdt een bedrag van 8700 euro in. Het is echter maar zeer de vraag of er na de recente uitglijder van minister Grapperhaus van Justitie en Veiligheid er veel BOA’s geneigd zullen zijn overtreders te verbaliseren. Dat in de wetenschap dat die zes maanden het gevang in kunnen gaan of een boete van maximaal 8700 euro kunnen krijgen.

Subtiele vraag Kees van der Staaij

Tijdens de briefing maakte het Kamerlid Kees van der Staaij(SGP) subtiel de opmerking dat naast dwang om de app te gebruiken, bijv. door een werkgever of in de horeca, drang ook mogelijk is. Daarbij gaf hij het voorbeeld van een sollicitant die bij een kennismakingsgesprek de opmerking zou kunnen krijgen dat de werkgever de gedachte uitspreekt dat het gebruik van de CoronaMelder-app bij het werk hoort. Met impliciet de gedachte dat geen app installeren niet leidt tot het krijgen van een baan. Het antwoord van de juriste Ghirlanda was tweeledig. Als eerste noemde zij dat misbruikbepalingen vooral een afschrikwekkende functie hebben. In de tweede plaats zei ze dat bij het vaststelling van een overtreding er wel bewijs moet zijn van dwang om de app te gebruiken. Ze noemde het niet expliciet, maar daarbij doelt ze wel op audiovisueel of schriftelijk bewijs.

Alles draait om de bewijsbaarheid

Drang in de vorm van mondelinge mededelingen met daaraan gekoppeld afhankelijkheid van de persoon/bedrijf/instelling die de app geïnstalleerd wil zien is zeer slecht bewijsbaar. Als iemand het gebruik van de app op subtiele wijze met drang afdwingt zal er nooit een boete of gevangenisstraf voor uitgedeeld gaan worden. Daarnaast speelt dat veel toezichthouders / toezichthoudende instanties in het recente verleden afgeknepen zijn door de overheid zelve. Men heeft daarom nauwelijks voldoende capaciteit voor de normale controletaken, laat staan dat ze het toezicht op de CoronaMelder adequaat kunnen uitvoeren.

Door de beantwoording van de vraag van Kees van der Staaij is het wel duidelijk dat de sanctiebepalingen vooral een papieren waarde hebben. De vraag is of er ooit iemand voor veroordeeld wordt.

W.J Jongejan, 1 september 2020

Afbeelding van Gerd Altmann via Pixabay