Nieuwe standaarden voor prospectieve dubbel blinde studies met Artificial Intelligence in zorg

artificialKunstmatige intelligentie oftewel Artificial Intelligence heeft in de zorg al enige tijd veel aandacht gekregen. Problematisch is dat veel studies en publicaties, die de zegeningen van de AI verkondigen, veelal niet voldoen aan basiscriteria die wetenschappers stellen aan gedegen onderzoek en publicatie. De gouden standaard is daarbij de prospectieve dubbelblinde gerandomiseerde onderzoeksopzet (Randomised Controlled Trial).  Vanwege de vaak slechte kwaliteit van de RCT’s publiceerde een multinationale werkgroep in 1996 het Consolidated Standards of Reporting Trials (CONSORT) Statement en nadien in 2013 het bijbehorende Standard Protocol Items: Recommendations for Interventional Trials (SPIRIT) Statement. De CONSORT-richtlijn onderging revisie in 2001 en 2010. Het CONSORT-statement gaat over de rapportage-richtlijnen en het SPIRIT-statement over de onderzoeksopzet. Na revisies in 2001 en 2010. Op 9 september 2020 maakten Nature Medicine, het British Medical Journal en de Lancet tegelijk bekend dat beide richtlijnen uitgebreid waren. Het gaat om de CONSORT-AI en de SPIRIT-AI.

 Hard nodig

Het beschikbaar komen van dergelijke richtlijnen voor AI is van groot belang. Makers van dat soort toepassingen claimen met de door hen gepresenteerde resultaten vaak een gelijkwaardigheid maar ook superioriteit van de AI boven de menselijke beoordeling. Bij nadere beschouwing valt er dan veel op af te dingen. Op 30 december 2019 schreef ik daar al een keer een artikel: “Overhaaste invoering kunstmatige intelligentie in zorg verhoogt risico’s voor patiënt”.  Het British Medical Journal publiceerde  op 25 maart 2020 ook een zeer kritisch artikel over AI-onderzoeken in de zorg met de titel: “Artificial intelligence versus clinicians: systematic review of design, reporting standards, and claims of deep learning studies”.

Kritiek in BMJ

De conclusie van het onderzoek toon ik graag integraal:

“Deep learning AI is an innovative and fast moving field with the potential to improve clinical outcomes. Financial investment is pouring in, global media coverage is widespread, and in some cases algorithms are already at marketing and public adoption stage. However, at present, many arguably exaggerated claims exist about equivalence with or superiority over clinicians, which presents a risk for patient safety and population health at the societal level, with AI algorithms applied in some cases to millions of patients. Overpromising language could mean that some studies might inadvertently mislead the media and the public, and potentially lead to the provision of inappropriate care that does not align with patients’ best interests. The development of a higher quality and more transparently reported evidence base moving forward will help to avoid hype, diminish research waste, and protect patients”

Kaf van koren scheiden

Met de nieuwe CONSORT-AI en SPIRIT-AI protocollen gaat het eenvoudiger worden om de kwaliteit van de onderzoeksopzet en de rapportage in wetenschappelijke publicaties op waarde te schatten. Geen patiënt is gebaat met opgeblazen en niet geverifieerde beweringen over de effectiviteit van bepaalde digitale hulpmiddelen. Het gaat dan niet alleen om “tools” om beeldvormend onderzoek “beter” en sneller digitaal te onderzoeken  maar ook bijvoorbeeld de digitale chatbot Babylon van het bedrijf Babylon Health. Dat bedrijf beweerde in 2018 dat de resultaten van de Babylon-app op basis van AI gelijk op gingen men die van echte huisartsen. Die bewering stuitte toen ook op duidelijke kritiek van huisartsen(organisaties). Met de Babylon-appp is ook nooit een deugdelijke RCT opgezet.

Door de mand vallen

Het moge duidelijk zijn dat door de CONSORT-AI en de SPIRIT-AI gehypete digitale toepassingen in de zorg genadeloos door de mand gaan vallen. De Babylon-app hoort daar ook bij. Babylon Health weet dat ook dondersgoed, want op hun website staat:

Babylon’s AI services provide health information only, and do not provide a diagnosis. The AI services respond to the information entered, and the information provided is based on risk factors and statistics, rather than a personalised assessment. The AI services are not a substitute for a doctor, and should not be used in a medical emergency”.

Validering

Ook bij digitale toepassingen in de zorg is validering van cruciaal belang is. Die validering kan uitsluitend op basis van deugdelijke onderzoek en rapportage. De eisen daaraan zijn nu duidelijk geformuleerd en aan de wetenschappelijke wereld kenbaar gemaakt. Ongetwijfeld zullen de makers van AI-toepassingen gaan stellen dat digitale toepassingen andere  protocollen behoeven dan de niet-digitale, maar dat kan en mag niet als een deugdelijke verdediging gezien worden.  Zoiets zal ook eerst bewezen moeten worden.

W.J. Jongejan 17 september 2020

Afbeelding van Ahmed Gad via Pixabay




Ongewenste interferentie corona-app(Duitsland) en Exposure Notification Express op iPhones met IOS 13.7

interferentieVeel overheden een app die risicovolle corona-contacten meldt aan de gebruiker op een smartphone. De nabijheid van anderen meet de app op basis van bluetooth-technologie. De gebruikte technologie van de zonder gecentraliseerde database werkende app’s komt van een samenwerkingsverband van Google en Apple. Die technologie heet het Exposure Notification System(ENS).  De bouwers van de corona-apps bouwden deze technologie in. Sinds begin september 2020 komen Google en Apple met Exposure Notification Express(ENE). Dat is een software-systeem dat ontworpen is om het volksgezondheid-autoriteiten makkelijker te maken om het opsporingsprotocol eenvoudiger te implementeren. En dat zonder de noodzaak voor die autoriteiten zelf een app te ontwikkelen. Android-smartphones maken van ENE gebruik in een app. Apple integreerde ENE in versie 13.7 van het besturingssysteem IOS , zodanig dat  niet per se een speciale app nodig is. Nu blijkt de Duitse CoronaWarn- app op iPhones met 13.7 te hoge risico-inschattingen te geven.

CoronaWarn-app

Duitsland introduceerde op 16 juni 2020 de CoronaWarn-app op basis van het ENS van Google/Apple. Na de lancering van Exposure Notification Express op 1 september 2020 zijn er bij een aantal gebruikers van Apple smartphones(iPhones) die het van het besturingssysteem IOS versie 13.7 installeerden signalen van een te hoge risico-inschatting t.a.v. corona-besmetting. Op de website van het CoronaWarn app Open source project staat dat het om een klein aantal gebruikers gaat. Problematisch is echter dat woordvoerders meestal het probleem downplayen om “onrust vermijden”. SAP en Deutsche Telekom, die meewerken aan de CoronaWarn-app, waarschuwen ook voor dit probleem.

Interferentie

De hogere risicoscore die de app met IOS 13.7 op iPhones aangeeft wijst eigenlijk maar in één richting. Het lijkt er op dat door het niet per se nodig zijn van een app voor Exposure Notification Express op iPhones er interferentie ontstaat tussen enerzijds een wel aanwezige app die dezelfde technologie gebruikt en anderzijds het besturingssysteem. Interferentie met summatie als gevolg. Het lijkt me dan zeer wel mogelijk dat al bij 7,5 minuut contact met een corona-positief persoon de detectietijd door het IOS 13.7 en de app gesummeerd wordt tot 2×7,5=15 minuten. Daardoor zal dus bij een veel kortere tijd dan de overal gehanteerde contacttijd van 15 minuten al een waarschuwing uitgaan. En bij 15 minuten contact een heftiger waarschuwing. Tot nu toe is er geen bericht in de media dat men weet wat de oorzaak van het probleem is en of er een oplossing voor is.

Nederland

Aangezien de Nederlandse app, de CoronaMelder ook gebruikt maakt van het Exposure Notification Systeem is het zeer wel mogelijk, ja zeer waarschijnlijk, dat het probleem ook hier zal spelen bij de landelijke uitrol van de CoronaMelder. Ik kan me gewoonweg niet voorstellen dat dit probleem hier niet zou spelen. Voor de makers van de CoronaMelder ligt er dus een schone taak om ook voor deze app te onderzoeken of de versie 13.7 van het iPhone IOS geen onnodige problemen geeft.

Gedoe

Terwijl er eigenlijk nergens ter wereld zeer positieve resultaten van corona-apps wordt gemeld kan je wel zien dat er eigenlijk in elk land gedoe is rond een corona-app. Zoals ik eerder betoogde laten al deze pogingen om de coronapandemie te helpen verminderen een wonderlijk soort cyber-optimisme zien. Dat techniek en specifiek digitale technologie een oplossing biedt voor alle ellende. Dat terwijl tot nu toe steeds duidelijker wordt dat het veranderen van menselijk gedrag de beste resultaten laat zien.

We gaan zien wat de volgende verwikkelingen rond corona-apps zijn en of Apple de vinger kan leggen op de zere plek.

W.J. Jongejan, 15 september 2020

Afbeelding van S. Hermann & F. Richter via Pixabay




Fitnesstracker Amazon Halo dringt te ver door in privéleven van gebruiker EN anderen

FitnesstrackerOp 27 augustus 2020 lanceerde de tech-gigant Amazon in de V.S. haar fitnesstracker Halo. Voor 99 dollar, in de introductieperiode 64,99 dollar, koop je dan een wearable. Die kan de hartslag meten, je activiteit vastleggen, slaap analyseren, lichaams-samenstelling meten en spraak analyseren wat betreft “energie” en positiviteit. Het om de pols te dragen apparaat werkt in samenwerking met de smartphone van de gebruiker. Amazon gaat echter veel verder met het gebruiken van data dan andere fitnesstrackers. Het meten van de lichaamssamenstelling gaat trouwens niet eens met gebruik van de Halo, maar door het uploaden van een viertal lichaamsfoto’s(voor/achter/twee zijaanzichten) in strakzittend ondergoed. Een “Deep Neural Network” van Amazon maakt er een 3D-beeld van met beoordeling en stuurt die retour. Voor de spraakanalyse neemt de Halo spraak op en beoordeelt die met Amazon Tone. Naar hun zeggen gaat het slechts om mensen te leren begrijpen hoe ze op anderen overkomen.  

Griezelige ontwikkeling

Amazon zoekt met deze fitnesstracker de randen op van wat oorbaar is EN gaat daar ruim overheen. Ook al beweert Amazon dat de privacy met de beoordeling van opgestuurde lichaamsfoto’s en met de spraakanalyse goed geregeld is, het is onverstandig een tech-bedrijf als Amazon daarover op zijn woord te geloven. Eerder ging het al gruwelijk mis met de “spraaksassistenten” Alexa en Echo van Amazon. Spraakfragmenten van gebruikers werden buiten hun weten door derden vertaald en beoordeeld. Volgens Amazon om de werking van Alexa en Echo te verbeteren maar het gebeurde buiten het zicht van de gebruiker. Met de Halo kan het zo zijn dat de eigenaar ervan wel weet dat het geval zijn spraak analyseert, maar met twee microfoons in het apparaat aan de pols neemt het ook spraak van anderen op die niet zullen weten dat hun spraak opgenomen wordt.

Lichaamssamenstelling

Het “meten” van de lichaamssamenstelling(bot, spieren, organen, vet) gebeurt zoals gezegd helemaal niet met de Halo, maar door het uploaden van lichaamsfoto’s naar Amazon’s cloud. Welke garantie men ook zegt te geven, het is van de zotte dat een tech-bedrijf aan gebruikers vraagt schaars geklede foto’s op te sturen. De les die met dat soort foto’s al menig keer geleerd is dat hoe de garanties ook zijn er altijd wat mis kan gaan. Men moet dit van de gebruikers niet willen vragen. Helemaal zot is dat men stelt dat de nauwkeurigheid beter is dan de meting bij de huisarts. Daarbij doelt de meting op een zogenaamde smart-weegschaal die op basis van impedantiometrie(lichaamsweerstandsmeting mbv elektriciteit) de lichaamssamenstelling meet. Het aardige is dat die methode ook maar een verre benadering is van de echt nauwkeurige meting. De gouden standaard is de DXA-methode die gebruik maakt van Röntgenstraling. DXA staat voor Dual-X-ray-Absorption).

Abonnement

Niet bepaald duidelijk op de website van Amazon staat dat het apparaat gekoppeld is aan een abonnement. Dat staat onderin bij de kleine letters. De eerste zes maanden zijn gratis maar daarna betaalt de gebruiker 3,99 dollar per maand aan Amazon. Voor een heel jaar zit je dan al gauw op de helft van het aankoopbedrag van de Halo. Het is geenszins uitgesloten en ook wel te verwachten dat die abonnementsprijs ooit gaat stijgen. Daarnaast is het zo dat het beëindigen van het abonnement de functionaliteit van de fitnesstracker fors terugloopt. Het is een vorm van koppelverkoop ä la Rockefeller in de jaren twintig van de vorige eeuw in het verre oosten. Die verkocht olielampen die op kerosine werkten. De lamp was te koop voor een schijntje, 7,5 dollarcent, maar het verkoop van de daardoor benodigde kerosine leverde Standard Oil een vermogen op.

Dataminer  

Waarom moet men Amazon niet op hun woord geloven als ze het hebben over het bewaken van de privacy van de gebruikers. Eerdere privacy-issues rond de Alexa en Echo van Amazon wijzen in die richting. Beloften van grote tech-bedrijven ten aanzien van privacy zijn meestal boterzacht. Meerdere privacy-experts uit de V.S. spreken dan ook hun zorgen uit over de Halo. Ze zien Amazon zelf niet veel met de data van de Halo gaan doen, maar wel dat Amazon met deze handel zich richt op verzekeraars, ook zorgverzekeraars als ultiem doel van haar handel. Het eerste bewijs daarvoor is er al door een deal die zorgverzekeraar Cerner met Amazon sloot over de Halo.

Het delen van data door grote tech-bedrijven met “law enforcement agencies” in de V.S. is al eerder voorgekomen. Het delen van spraakdata verkregen met de Halo is derhalve geenszins uitgesloten.

Mensenrechtenprobleem

Dr Sandra Wachter, associate professor in Artificial Intelligence ethiek aan de universiteit van Oxford, stelt in een gesprek met Business Insider dat een algoritme dat in staat is de emoties in de stem van mensen te herkennen, een potentieel mensenrechtenprobleem is.

“Our thoughts and emotions are protected under human rights law for example the freedom of expression and the right to privacy. Our emotions and thoughts are one of the most intimate and personal aspects of our personality. In addition, we are often not able to control our emotions. Our inner thoughts and emotions are at the same time very important to form opinions and express those. This is one of the reasons why human rights law does not allow any intrusion on them. Therefore, it is very important that this barrier is not intruded, and that this frontier is respected,”

Daar heb ik niets aan toe te voegen.

W.J. Jongejan, 11 september 2020

Afbeelding van Selena Gallagher via Pixabay




Mag InformatieKnooppunt Zorgfraude bij bestrijding zorgfraude straks zelf wel winst maken?

InformatieKnooppunt Het doorlezen van 67 pagina’s van een Nota van Toelichting op een Algemene Maatregel van Bestuur(AMvB) is geen sinecure. Ook niet het doorploegen van 15 pagina’s tekst van die AMvB. Toch levert het onverwachte informatie op. Het betreft stukken die behoren bij het wetsontwerp Wet bevorderen samenwerking en rechtmatige zorg(Wbsrz). Op woensdag 9 september begint in een procedurevergadering van de commissie voor VWS in de Tweede kamer de parlementaire behandeling. Bij zorgfraude gaat het bijvoorbeeld om de vraag of er sprake is van het onevenredig winst maken door een zorgaanbieder dan wel zorginstelling.  De genoemde onverwachte informatie nam ik waar in een zin in de Nota van Toelichting waarin VWS hardop zich iets afvraagt. Namelijk of de instelling die de signalen van mogelijke zorgfraude verzamelt en die gegevens “verrijkt”, het maken van winst al dan niet tot doel mag hebben. Een dergelijke zin roept namelijk een hele serie vragen op.

InformatieKnooppunt Zorgfraude

Het gaat hierbij om het InformatieKnooppunt Zorgfraude(IKZ) dat in het wetsontwerp naast het Waarschuwingsregister wordt vorm gegeven. Met de laatstgenoemde wil VWS zowel natuurlijke personen als rechtspersonen  registreren waarvan de gerechtvaardigde overtuiging bestaat dat zij fraude hebben gepleegd, om andere instanties voor deze partijen te waarschuwen.  Met het IKZ daarentegen beoogt men een instelling die informatie over zorgfraude moet verzamelen en verrijken. Die informatie is dan afkomstig van CIZ, de colleges van B&W van gemeenten, de IGJ, inspectie SZW, de rijksbelastingdienst, waaronder de FIOD, de zorgautoriteit en zorgverzekeraars. De verrijkte informatie levert het IKZ dan weer terug aan de aanleverende partijen. Er bestaat overigens nu al een IKZ, maar als een samenwerkingsverband van de hierboven genoemde veldpartijen. Het ministerie van VWS wil  met de Wbsrz van het IKZ een stichting maken.

Aparte zin

In het ambtelijk concept d.d. 04-09-2020 van de Nota van Toelichting bij de AMvB staat in hoofdstuk 4.7.6(De aanwijzing van het InformatieKnooppunt Zorgfraude en de daaraan verbonden voorschriften) op pagina 51 in het tweede blok tekst de volgende zin.

“In overweging moet worden (genomen) of de instelling het maken van winst al dan niet tot doel mag hebben”.  

Deze overweging acht ik veelbetekenend in het licht van hoe de financiering van het IKZ in de AMvB en in de Nota van toelichting beschreven staat. In artikel 3.20 lid 1 van de AMvB staat namelijk dat de minister van VWS verantwoordelijk gesteld wordt voor de financiering van het IKZ. VWS denkt daarbij  aan een instellingssubsidie op grond van de kaderwet VWS-subsidies.(zie Nota van toelichting pag. 63). VWS zegt ook dat het IKZ geen zelfstandig bestuursorgaan wordt.

Privatisering IKZ?

De door mij aangehaalde zin strookt niet met de voorgestelde financiering met subsidies. Als het IKZ een zelfstandig bestuursorgaan zou worden, hetgeen niet speelt, had het winst maken ook niet tot de mogelijkheden behoord. Derhalve blijft als enige mogelijkheid over dat men bij VWS er aan denkt dat de stichting IKZ op termijn als een soort private onderneming door het leven kan gaan. In dat kader is het nu al oprichten van een Stichting IKZ een stap die het in de toekomst privatiseren reeds faciliteert. Betaling voor de diensten zou dan moeten plaatsvinden door de deelnemende partijen die in de tweede alinea van dit artikel beschreven staan.

Hoeveel winst is gerechtvaardigd?

Als men zou besluiten dat de Stichting IKZ op enig moment winst zou mogen maken, dan doet zich automatisch de gerechtvaardigde vraag voor, die ook bij het onderzoeken van zorgfraude geldt, voor: “Wat is een rechtmatige winst”. Bij het onderzoeken van zorgfraude hanteert men op enig moment namelijk een afkappunt van wat men als rechtmatige en niet-rechtmatige winst moet zien. Daarbij komt dan ook weer de vraag op wie of welke instantie de handel en wandel van het IKZ beoordeelt als ze winst mag maken.

Is weg ooit weg?

Zorgfraude is een verwerpelijke activiteit. Niettemin moet men bij alle maatregelen die men neemt om die te bestrijden zich afvragen of wat men onderneemt wel zo verstandig is. Het wetsontwerp Wbsrz tuigt weer een forse gecentraliseerde database op waarin men veel gegevens van personen en instellingen vastlegt. Met dwarsverbindingen naar diverse deelnemende partijen. Hoewel het Waarschuwingsregister en het IKZ een in jaren beperkte bewaartermijn van de data kennen is het de vraag of ten onrechte als “zorgfraude” geregistreerde gegevens ook elders verdwijnen. Het IKZ levert namelijk de door haar verrijkte data terug aan de deelnemende partijen. Hoewel het IKZ op enig moment de data verwijdert,  de doorgeleverde data kunnen bij de andere databases nog gewoon existeren. Waar dat toe kan leiden bewijst de casus van Ron Kowsoleea uit het verleden.

W.J. Jongejan, 9 september 2020

Afbeelding van Alexas_Fotos via Pixabay




HIS-portaal-leverancier pusht openstelling zorgdata via portaal flink

HIS-portaal-leverancierOp  1 juli 2020 ging de Wet cliëntenrechten bij elektronische verwerking van gegevens in.  Op basis daarvan moest vanaf 1 juli 2020 de patiënt kosteloos inzage krijgen in de bij een zorgverlener elektronisch vastgelegde zorgdata. De bedoeling was dat zulks zou gebeuren met PGO’s (Per-soonlijke GezondheidsOmgevingen). Omdat de daarvoor benodigde overkoepelende informatiestandaard die het zorgICT-standaardisatie-instituut Nictiz maakt nog niet af is, kregen zorgverleners uitstel tot 1 januari 2021 om inzage van zorgdata via een PGO te regelen. Prompt doken leveranciers van HuisartsInformatieSystemen(HIS-sen) en portaal-leveranciers op de mogelijkheid rond juli 2020 hetzelfde inzichtelijk te maken voor de patiënt via het huisartsenportaal. Aan de inspanningen van de HIS-leveranciers hiervoor besteedde ik op 2 juni 2020 al aandacht. Aangezien het inzage bieden via een portaal ook voor een HIS-portaal-leverancier, zoals Pharmeon.B.V., financieel aantrekkelijk is, is nu in berichtgeving aan huisartsen te zien dat die deze route zeer actief promoot, zonder wettelijke noodzaak.(A,B) 

Verschil PGO versus portaal

Een PGO is een app/programma op smartphone of tablet waarmee de patiënt zelf zijn zorgdata digitaal van de zorgverlener(huisarts, specialist, apotheek) naar zich toe haalt en lokaal opslaat. Bij een HIS-portaal maakt de zorgverlener diezelfde zorgdata inzichtelijk op de website van de zorgverlener. De patiënt kan het inzien, maar laadt de data niet in een PGO. Voor dat inzichtelijk maken van de data via beide mogelijkheden maakt men gebruik van de zogenaamde MedMij-protocollen.

Financieel aantrekkelijker

Voor het beschikbaar maken van de zorgdata voor de patiënt is het OPEN-programma opgezet. Het ministerie van VWS betaalt dat. Er gaat 75 miljoen euro subsidie in om. Van die subsidie worden o.a.  de HIS-leveranciers betaald die hun software moeten aanpassen. Ook krijgen de huisartsen er een deel van vanwege de aanzienlijke inspanning die ze zich moeten gaan getroosten. Zij moeten op verzoek de zorgdata op passende wijze aan een PGO van een patiënt aanleveren.

In tegenstelling tot de openstelling van data richting een PGO is de weg via een huisartsen-portaal niet via subsidie geregeld  Het is een dienstverlening die de huisarts aan de HIS-leverancier en aan de portaalleverancier extra moet betalen. Tot heden kwam ik één uitzondering tegen. Het huisartsinformatiesysteem TetraHIS verhoogde de prijs voor het abonnement voor openstelling van zorgdata via het portaal niet. Zie het naschrift onder het artikel van artikel 2 juni 2020.

Verwarrend

Voor huisartspraktijken is het nogal verwarrend dat het OPEN-(subsidie)programma twee mogelijkheden kent om de online inzage te realiseren: via patiëntenportalen of via persoonlijke gezondheidsomgevingen (PGO’s) die voldoen aan MedMij-eisen. De portaal-leverancier Pharmeon schermt dan ook driftig met het OPEN-programma om zowel inzage via het portaal als via een PGO te promoten. In een mail aan huisartsen|(A,B) maakt men gewag van 100 deelnemende praktijken met de portaal-mogelijkheid. De Landelijke HuisartsenVereniging schreef hierover echter dit jaar:

“Het OPEN-programma kent twee mogelijkheden om de online inzage te realiseren: via  patiëntenportalen of via  persoonlijke gezondheidsomgevingen (PGO’s) die voldoen aan MedMij-eisen. Praktijken die gebruik maken van een portaal bij hun HIS kunnen(WJJ: niet moeten) dus per 1 juli 2020 online inzage bieden via hun portaal. Zij zullen dus per 1 juli kunnen voldoen aan het wettelijk recht op elektronische inzage (dat per 1 juli 2020 ingaat) door een elektronisch afschrift te maken van het dossier dan wel op een andere manier elektronische inzage te geven aan de patiënt. Zodra de koppeling met het PGO dan gereed is, kunnen ze ook via een PGO patiënten inzage geven.”

Geen noodzaak

Voor huisartsen is er dus geen noodzaak om per se al in 2020 de inzage van de zorgdata via een portaal te regelen, omdat per 1 januari 2021 de inzage via de PGO’s toch al geregeld en betaald is. De HIS-portaal-leverancier Pharmeon is trouwens geen kleine speler in HIS-land. Het verzorgt de patiëntenportalen van de vijf  meest gebruikte HIS-sen.

Ondergraving positie PGO’s

Wat hier gebeurt onder het voldoen aan de OPEN-programma-regels(om zorgdata online inzichtelijk te maken) is dat men de positie van de PGO’s stelselmatig ondergraaft. En dat terwijl de PGO’s, waar het ministerie van VWS zich al onder Edith Schippers warm voor maakte, al geen verdienmodel hebben. Zowel de ontwikkeling, als de uitrol, als ook de financiering van het gebruik vond en vindt plaats met forse subsidiëring door VWS. De regeling om het gebruik te subsidiëren loopt van 1 oktober 2019 tot eind 2020 en kan twee maal met een jaar verlengd worden.

Aparte dynamiek

Het is niet erg logisch te verwachten dat een patiënt zowel gebruik zal maken van het patiëntenportaal om de zorgdata in te zien, en tegelijkertijd pogingen gaat doen om via een andere weg zorgdata in het PGO te krijgen. Voor het werkveld betekent het uitbreiden van de functionaliteit van het patiëntenportaal een extra kostenpost. De openstelling via de PGO’s zou immers volledig door subsidie aan ICT-leveranciers en huisartsen zijn afgedekt. De evidente concurrentie tussen openstelling van de zorgdata via het portaal en de PGO’s zou niet gespeeld hebben als de overkoepelende informatiestandaard van Nictiz die nodig is voor de PGO’s eerder dit jaar klaar geweest zou zijn.

W.J. Jongejan,  7 september 2020

Afbeelding van Gerd Altmann via Pixabay




Medische data zichtbaar te koop op World Wide Web: een waarschuwing

Medische Het is de grootste angst van zorgmedewerkers en IT-beveiligingsspecialisten die zich om veilig gebruik van zorgdata bekommeren dat een hacker medische verwerft en te koop aanbiedt. In de krochten van het internet is nu een voorbeeld daarvan te zien. Het betreft een aanbod op een forum op het internet waar illegale handel in gegevens plaatsvindt, waaronder inloggegevens en databases. Iemand met de naam “Databox” biedt daar een forse database te koop aan. Daarin: “Fields: Gender, Full name, Phone-number, Mobile-number, Address, Email, medication and more.” Die laatste twee wijzen op een gestolen database met medische informatie. Matthijs Koot, IT-beveiligings-specialist, bezorgt als hij is over privacy-kwesties, tipte mij over het bestaan van deze “advertentie”. Zijn proefschrift uit 2012, genaamd “Measuring and Predicting Anonimity”, beantwoordde vragen als “Hoe anoniem zijn geanonimiseerde gegevens?’ en ‘In hoeverre is het mogelijk geanonimiseerde gegevens te de-anonimiseren?”.

“Advertentie”

De aanbieder van de data draagt de toepasselijke naam “Databox”. Op het forum heeft hij/zij de status “God”. Dat kan afhangen van de “prestaties”, maar ik vernam dat zo’n status ook gewoon te koop is. De persoon die op dat underground-forum de data te koop aanbiedt heeft het over een database met 4,4 miljoen “records”. Hij of zij laat een screenshot zien met de persoonsgegevens van een man van 49 jaar waarop wel de persoonsgegevens te zien zijn. Essentiële data op de afbeelding heb ik gezwart. De kop van het dataveld Diagnose(Diagnostico) is te zien, maar niet de inhoud. Theoretisch is het mogelijk dat de persoon die dit koopaanbod doet opschept over data die hij/zij niet bezit en indruk probeert te maken door te bluffen. De inhoud van het aanbod suggereert echter wel dat een gestolen/gekopieerde mega-database de basis is voor dit aanbod. Bovendien lijkt de opmerking “Dumped it this year” de indruk te wekken dat de gegevens afkomstig zijn uit hacking door hem of haar zelf.

Afkomstig van?

De data hoeven niet noodzakelijkerwijs uit een ziekenhuisomgeving te komen. Het kan ook afkomstig zijn van een ziektekostenverzekeraar of een overheidsinstelling die zich bezighoudt met de zorg. In het bericht van “Databox” noemt deze een “record count van 100k. Daarmee bedoelt hij/zij dat er een sample-bestand is met 100.000 regels waaraan de eventuele koper kan zien dat het om serieuze data gaat. Dat wijst erop dat het bij de personen in de bestanden waarschijnlijk om ambtenaren gaat. Naar verluidt staan alleen al in de voorbeeldgegevens ook medicatiegegevens van ruim 100 ambtenaren, waaronder iemand van de Colombiaanse luchtmacht. Dat was af te leiden uit onderdelen van de mailadressen in de bestanden.

Wat gebeurt ermee?

Het misbruik van gestolen persoonsgegevens met medische data beschreef ik eerder op 21 mei 2019

Grofweg kan men het misbruik in vier categorieën indelen.

  • Diefstal van de medische identiteit. Met iemands medische gegevens probeert men medische diensten te verkrijgen: voorschriften voor medicatie(opiaten bijv.), medische ingrepen, valse verzekeringsclaims
  • Financiële fraude met gebruikmaking van tot een persoon herleidbare informatie bij banken en creditcard-maatschappijen. Medische dossiers bevatten namelijk vaak informatie over betaalwijze, bankgegevens etc.
  • Gebruik maken van gevoelige zorgdata om individuen te bedreigen, af te persen of te beïnvloeden. Daarbij kan het om echte buitgemaakte data zijn, maar ook gemanipuleerde data. VIP’s en bekende publieke personen zijn extra kwetsbaar. Zulke gegevens kunnen worden misbruikt voor gerichte phishing, chantage en andere narigheid. Denk aan medicatie die verband houdt met gevoelige onderwerpen, zoals hiv-remmers en psycho-actieve-geneesmiddelen,.
  • Buitgemaakte data kunnen gebruikt worden bij verder gaande cyberaanvallen. Zo kan informatie gebruikt worden om nieuwe aanvallen uit te voeren met buitgemaakte toegangs-/authenticatie-informatie.

Nederland

Nu zult u zeggen, Colombia is ver weg en niet te vergelijken met Nederland. Niets is minder waar. Digitaal gezien bestaan er geen afstanden. Trouwens ook in Nederland kennen we veel datalekken in de zorg. De Autoriteit Persoonsgegevens(AP) meldde op 19 september 2019 dat de zorg opnieuw koploper datalekmeldingen was bij de AP. Die publiceerde een handleiding over hoe te handelen bij een datalek in de zorg. Bovendien maakte de AP zelfs een brochure “5 tips voor zorginstellingen om datalekken te voorkomen”.  Het is dus van belang dat zorgaanbieders en apotheken hun informatiebeveiliging voldoende op orde hebben, en dat de kans op menselijke fouten zo klein mogelijk is.

NEN7510

In Nederland moeten zorgsystemen trouwens verplicht voldoen aan een beveiligingsnorm, de NEN7510″. Deze norm sluit een hack of menselijke fout niet uit, maar is voor de lezer misschien prettig als geruststellende afsluiter. Zowel Matthijs Koot als mij zijn geen één-op-één vergelijkbare incidenten bekend in Nederland. De door mij hierboven beschreven casus dient al een herinnering gezien te zijn aan het belang van privacy en goede informatiebeveiliging met betrekking tot gezondheidsgegevens.

W.J. Jongejan, 4 september 2020

Afbeelding van S K via Pixabay




Dwang/drang Coronamelder-app gebruiken alleen strafbaar als bewijsbaar door toezichthouder

Dwang/drangOp maandagmiddag 31 augustus 2020 vond in de Tweede kamer een technische briefing plaats voor de leden van de vaste Kamercommissie voor VWS omtrent de CoronaMelder-app. Voor VWS zat de directeur informatiebeleid/Chief Information Officer Ron Roozendaal aan tafel. Mevrouw Laura Ghirlanda, wetgevingsjurist vergezelde hem. Uitgebreid kwamen technische aspecten aan bod evenals de verschillende reviews en commentaren die in het kader van de app aan VWS uitgebracht waren. In het wetsontwerp bij de app heeft de minister van VWS expliciet een artikel opgenomen over de strafbaarstelling bij dwang om de app te gebruiken. De regering acht het van groot belang dat het gebruik te allen tijde vrijwillig is. Mensen mogen nooit, direct dan wel indirect, door wie dan ook worden gedwongen tot het gebruik van CoronaMelder of van andere vergelijkbare digitale middelen. Dat het pas strafbaar als het bewijsbaar is, lijkt een open deur, maar heeft wel degelijk consequenties.

 Wet voor CoronaMelder

In het wetsvoorstel dat voor de introductie van de CoronaMelder noodzakelijk is, staan een tweetal bepalingen die van belang zijn voor de handhaafbaarheid. In de eerste plaats gaat het om wijziging van de Wet publieke gezondheid(Wpg) waarin het verbod op het verplicht stellen  van de app geregeld is. Dat is artikel 6d dat men toevoegt aan de Wpg. Daarin in lid 8 te staan:

8. Het is verboden een ander te verplichten tot het gebruik van de notificatieapplicatie dan wel enig ander vergelijkbaar digitaal middel.”

Daarnaast bevat het wetsontwerp een bepaling die men toevoegt aan artikel 64 Wpg. In dat oude artikel staat dat het toezicht berust het Staatstoezicht op de volksgezondheid. Daaronder vallen de Inspectie Gezondheidszorg en Jeugd(IGJ) en de Nederlandse Voedsel- en Waren Autoriteit(NVWA). De toevoeging betreft het artikel 64 bis.

Artikel 64 bis

Dit artikel verruimt voor de coronabestrijding de toezichtmogelijkheden. Het belangrijkste is in dit kader artikel 64 bis lid 1:

  1. Met het toezicht op de naleving van artikel 6d, achtste lid, zijn voorts belast de bij besluit van Onze Minister aangewezen ambtenaren. Indien de aanwijzing ambtenaren betreft, ressorterende onder een ander ministerie dan dat van Onze Minister, wordt het besluit genomen in overeenstemming met Onze Minister die het mede aangaat.

Per ministerieel besluit kan de bewindsman van VWS bepalen welke toezichthouders verder ingeschakeld worden. Daarbij gaat het ook om toezichthouders van andere ministeries. Daarbij denkt de minister ook aan het toewijzen van het toezicht aan Bijzondere OpsporingsAmbtenaren(BOA’s) Dat staat in de Memorie van Toelichting bij het wetsontwerp.

Sancties

Als sancties heeft het wetsontwerp aan artikel 67 van de Wpg een artikel 67a toegevoegd.

Daarin staat:

Artikel 67a 1. Met een hechtenis van ten hoogste zes maanden of een geldboete van de derde categorie wordt gestraft degene die handelt in strijd met artikel 6d, achtste lid. 2. Het in het eerste lid strafbaar gestelde feit is een overtreding.  

De zes maanden hechtenis zijn direct duidelijk. Een geldboete van de derde categorie houdt een bedrag van 8700 euro in. Het is echter maar zeer de vraag of er na de recente uitglijder van minister Grapperhaus van Justitie en Veiligheid er veel BOA’s geneigd zullen zijn overtreders te verbaliseren. Dat in de wetenschap dat die zes maanden het gevang in kunnen gaan of een boete van maximaal 8700 euro kunnen krijgen.

Subtiele vraag Kees van der Staaij

Tijdens de briefing maakte het Kamerlid Kees van der Staaij(SGP) subtiel de opmerking dat naast dwang om de app te gebruiken, bijv. door een werkgever of in de horeca, drang ook mogelijk is. Daarbij gaf hij het voorbeeld van een sollicitant die bij een kennismakingsgesprek de opmerking zou kunnen krijgen dat de werkgever de gedachte uitspreekt dat het gebruik van de CoronaMelder-app bij het werk hoort. Met impliciet de gedachte dat geen app installeren niet leidt tot het krijgen van een baan. Het antwoord van de juriste Ghirlanda was tweeledig. Als eerste noemde zij dat misbruikbepalingen vooral een afschrikwekkende functie hebben. In de tweede plaats zei ze dat bij het vaststelling van een overtreding er wel bewijs moet zijn van dwang om de app te gebruiken. Ze noemde het niet expliciet, maar daarbij doelt ze wel op audiovisueel of schriftelijk bewijs.

Alles draait om de bewijsbaarheid

Drang in de vorm van mondelinge mededelingen met daaraan gekoppeld afhankelijkheid van de persoon/bedrijf/instelling die de app geïnstalleerd wil zien is zeer slecht bewijsbaar. Als iemand het gebruik van de app op subtiele wijze met drang afdwingt zal er nooit een boete of gevangenisstraf voor uitgedeeld gaan worden. Daarnaast speelt dat veel toezichthouders / toezichthoudende instanties in het recente verleden afgeknepen zijn door de overheid zelve. Men heeft daarom nauwelijks voldoende capaciteit voor de normale controletaken, laat staan dat ze het toezicht op de CoronaMelder adequaat kunnen uitvoeren.

Door de beantwoording van de vraag van Kees van der Staaij is het wel duidelijk dat de sanctiebepalingen vooral een papieren waarde hebben. De vraag is of er ooit iemand voor veroordeeld wordt.

W.J Jongejan, 1 september 2020

Afbeelding van Gerd Altmann via Pixabay




IT-beveiligingsbedrijf Secura vindt inconsistenties in broncode CoronaMelder

SecuraOp verzoek van het ministerie van VWS doen IT-bedrijven onderzoek naar de veiligheid van de app voor corona-contact=opsporing, de CoronaMelder. Dat zijn: NFIR, Secura, Radically Open Security, Privacy Management Partners en FoxIT. Sinds vandaag, 29 augustus 2020 staat het rapport van het IT-beveiligingsbedrijf Secura.B.V. op de website van de Tweede Kamer. Daarin staat dat de app wel voldoet aan een aantal vereisten, zoals verwoord op pagina 4 en 5 van het rapport, maar toch inconsistenties bevat. Deze zijn weliswaar klein(minor), maar zijn uit het oogpunt van cybersecurity toch niet bepaald onbelangrijk. Ook waarschuwt Secura voor een potentieel probleem bij een onderdeel dat niet onder haar opdracht viel, maar waar een ander bedrijf over gaat. Dat gaat over de zogenaamde backend-voorziening. Vanuit de eigen expertise waarschuwt men dat daar een potentiële kwetsbaarheid aanwezig is door het tegelijkertijd aanwezig zijn van de tijdelijk blootstellingscodes en het IP-adres van de gebruiker.

Samenvatting

Aangezien het om een aantal zeer technische zaken gaat die zich moeilijk in kort bestek laten vertalen druk ik hierbij de hoofdpunten uit de managementsamenvatting af. Het rapport heeft overigens als publicatiedatum 19 augustus 2020.

As a result of the source code review Secura has ascertained that the iOS and Android versions of the applic atiOil adhere to security and privacy requirements. However, Secura found a number of minor inconsistencies while assessing the application’s source code.

Inconsistentie 1

Secura constateert verouderde software bij de iPhone-versie van de CoronaMelder:

  1. The iOS application makes use of a software library that implements transport security and other cryptographic functions, in a version (vi.1.1D) that is not the most recent version and Is known to contain vulnerabilities. The vulnerable parts of the library are not used by the app however,. therefore there is no impact to security or privacy. However using the most recent version of libraries that do not contain any known vulnerabilities is always recommended, especially when future versions of the app might contain code that does call vulnerable parts of the library.

Inconsistentie 2

Men vervolgt met commentaar op het niet goed controleren van digitale handtekeningen:

  1. Some cryptographic signatures used to validate the keys that unlock exposure notifications (so-called Temporary Exposure Keys, or TEK’s), are only partially checked. As a result all holders of a certificate recently issued by KPN as part of the PKI-Overheid service, could in theory produce valid signatures. This partially violates the integrity requirements defined in the architecture. However. because TEKs are protected in transit by a TLS connection and are also protected by an additional cryptographic GAEN-signature Secura was not able to identify a scenario where this flaw could be practically exploited by an attacker.

Inconsistentie 3

Secura gaat verder met commentaar op het niet herkennen van door gebruikers gemodificeerde besturingssystemen van smartphones.

  1. The app does not perform a check to see if it is running on a rooted or jailbroken device. Running any app on a rooted (Android) or jailbroken (iOS) device introduces security and privacy risks and can harm the integrity of all apps and communication. Not all users with a rooted or jail broken device might be aware of this. A warning to users trying to install the app on a rooted or jailbroken device could make them aware of the additional risks.

Inconsistentie 4

Tenslotte meldt Secura nog een item over “lokaas-berichten”:

  1. Decoy messages are sent in order to make it more difficult for attackers to gather any meaningful information from any messages. However, when the app is disabled. decoy messages are still sent. This is not fully in compliance with the functional requirements and under specific circumstances could help an attacker identify users of the app even if it is disabled.

Ronald Prins

De voormalige CEO van het IT-beveiligingsbedrijf Fox-IT liet op Twitter vandaag meteen weten toch wel even te schrikken dat de digitale handtekeningen niet goed gecontroleerd worden. Dat gaat om inconsistentie 2 hierboven. Dankzij andere maatregelen is dat niet te misbruiken, maar het zou toch niet mogen.

Root en jailbreak

Er bestaat een groep smartphone-gebruikers die graag het eigen besturingssysteem ervan kraakt, Bij Android-toestellen gaat het om het zogenaamde “rooten”. Bij iPhone-gebruikers gaat het om de “jailbreak” van het IOS-besturingssysteem. Deze mensen lopen met hun smartphone veiligheids- en privacy-risico’s. Zij krijgen(zie inconsistentie 3) geen waarschuwing. Technisch is het mogelijk dat de app kan constateren dat het om een gemuteerd toestel gaat en de gebruiker waarschuwen. Dat doet de CoronaMelder niet.

Niet vlekkeloos

Het rapport van Secura maakt duidelijk dat er aan meerdere dingen toch niet goed gedacht is ondanks de aandacht die het ministerie zegt te hebben voor een vlekkeloze app. Men moet zich wel bedenken dat het onderzoek dat nu voorligt maar een deel van de systematiek betreft. Andere IT-beveiligingsbedrijven moeten over andere onderdelen nog hun oordeel naar buiten brengen, o.a. over het door mij hierboven genoemde backend-probleem van de CoronaMelder(zie pagina 7 van het rapport.) Daarbij kan potentieel een tijdelijke besmettingscode aan een individueel persoon gelinkt worden.

Het één en ander laat wel zien dat het “eventjes” een nieuwe vlekkeloze app bouwen die voor alle Nederlanders zou moeten gaan werken er niet bij is.

W.J. Jongejan, 29 augustus 2020

Afbeelding van iXimus via Pixabay




De Correspondent recyclet schaamteloos 2 jaar oud artikel over blockchain, o.a in de zorg, in Engelstalige editie

correspondentZonder duidelijke vermelding dat het om een twee jaar oud artikel over blockchain-technologie gaat brengt The Correspondent op 21 augustus 2020 een exacte vertaling ervan in de Engelstalige versie. Het Nederlandstalige artikel kwam op 25 augustus 2018 online. Beide publicaties zijn verluchtigd met dezelfde illustraties. De tekst en de tekstindeling is op de taal na volledig identiek. Er staat geen expliciete vermelding van die eerdere publicatie met datum erbij. Wel staat onder het artikel “This piece first appeared on De Correspondent. Source: the article in Dutch here.” Pas bij het aanklikken van die link kan de lezer in kleine letters boven de Nederlandstalige versie zien dat het artikel twee jaar oud is. Het artikel gaat over de toepassing van blockchain-technologie, onder andere in de zorg. Twee voorbeelden noemt de auteur Jesse Frederik waarbij bij de aanvang van het project blockchain gehypet werd en men uiteindelijk geen blockchain gebruikte.

Blockchain

Dat is de technologie achter de Bitcoin die nogal wat adepten in de IT een allesbepalende rol in de IT toedichten. Ondanks alle beloften blijkt de blockchain eigenlijk maar niet door te breken. Grote bedrijven hebben aparte afdelingen ervoor ingericht er veel geld ingestoken. Maar op de keper beschouwd komt er eigenlijk maar zeer weinig succesvols naar buiten

Zuidhorn

Deze kleine plaats in het Groningse raakte in 2017 bekend in het nieuws. Met veel bombarie kwam in het nieuws(EenVandaag, Volkskrant, Groene Amsterdammer, RTLNieuws o.a.)  dat een student die er stage liep een blockchain-toepassing had gemaakt voor het kindpakket van de gemeentelijke sociale dienst in het kader van de armoedebestrijding. Uiteindelijk blijkt de toepassing in de vorm van een app er wel te zijn MAAR ZONDER BLOCKCHAIN. Maar daar berichtte men liever niet over in de media.

Kraamzorg

Het tweede geval was een kraamzorgapp die op blockchain zou werken. Daar bleek de toepassing wel volgens wat blockchain-principes te werken. Maar de onderdelen die ze gebruikten waren niet uniek voor die technologie. Bijv. de Merkle-trees die al vanaf 1979 bekend zijn en in oudere niet-blockchain-toepassingen ook gebruikt worden. Bovendien laat zorgverzekeraar VGZ die meedeed in het project nadien een applicatie bouwen met dezelfde functie maar dan zonder enige blockchain-technologie.

Zonde

Ik wil het schaamteloos opnieuw publiceren van een artikel door De Correspondent in de Engelstalige versie zonder duidelijke datumvermelding van de eerste versie nog net geen journalistieke doodzonde noemen. Maar een zonde, een schending van de regels in de journalistiek over eerdere publicatie van het artikel is het wel. Als je iets opnieuw publiceert in een andere taal zet je er gewoon luid en duidelijk bij dat het artikel eerde op die-en-die datum verscheen. Het gaat uiteindelijk om een fatsoenlijke bronvermelding.

Komkommertijd

Het lijkt erop dat men naar de inhoud van het artikel gekeken heeft en bedacht heeft dat de inhoud nog steeds actueel was en geen aanvullingen behoefde. Wat doe je dan in komkommertijd? Je laat het stuk vertalen en brengt het gewoon als een vers artikel. Zo moet je niet willen omgaan met de content op je website.

Blockchain is in de laatste jaren een soort religie geworden met een grote heilsverwachting die maar niet echt komt. Ik schreef er op 20 juni 2018 ook over.

Het aparte van wat The Correspondent deed is dat men van oud nieuws nieuw nieuws maakte, terwijl het nog actueel is.

W.J. Jongejan, 28 augustus 2020

Afbeelding van OpenClipart-Vectors via Pixabay

 




Corona-app India kreeg API voor notificatie werkgever over corona-status personeel

coronaOp 22 augustus 2020 heeft het Indiase Ministry of Economics &IT een naar onze begrippen ongehoorde dienstverlening voor het bedrijfsleven gestart. Men begon met een OPEN API Service die werkgevers van bedrijven met meer dan 50 werknemers in staat stelt kennis te nemen van de corona-teststatus van hun personeelsleden, voor zover die gebruik maken van de Indiase corona-app Aarogya Setu. Hetzelfde ministerie lanceerde die app begin april. De naam van de app staat voor: “brug voor de bevrijding van ziekte”. De app is het initiatief van hetzelfde ministerie. Een Application Programming Interface (API) is een verzameling definities op basis waarvan een computerprogramma kan communiceren met een ander programma of onderdeel daarvan. De Aarogya Setu app is in tegenstelling tot de CoronaMelder-app die in Nederland eraan zit te komen een zogenaamde gecentraliseerd werkende app. Daarbij slaat de app de contact-informatie op in een centrale database i.p.v. op de smartphone.

Toestemming???

Het argument op met deze API te komen is volgens het ministerie dat het bedrijfsleven zo veilig uit de corona-lockdown kunnen komen. Positief geteste mensen zouden zo buiten het bedrijf gehouden kunnen worden. Naar verluidt zou het met de Open API Service niet gaan om een publiek toegankelijke dienstverlening. Organisaties/bedrijven zouden alleen toegang krijgen na een door de autoriteiten goedgekeurd verzoek. Vergoelijkend stelt men verder dat als een organisatie/bedrijf toestemming krijgt de data alleen op te vragen zijn als de gebruiker van de corona-app vooraf toestemming gaf om de data te delen. Beide vooronderstellingen zijn zo zacht als boter. De grens tussen overheid en bedrijfsleven in India is diffuus. Het is een illusie te denken dat werknemers daar volledig vrijwillig een corona-app downloaden en gebruiken plus toestemming geven die data te doen delen.

Ongehoord en onbehoorlijk

Naar Nederlandse begrippen is het ongehoord dat een werkgever de beschikking krijgt over gezondheidsinformatie betreffende een werknemer en dat mag gebruiken bij zijn bedrijfsvoering. Het gaat totaal voorbij aan de privacy van het individu hoe naar het rondwaren van het corona-virus ook is. Het is ook zeer onbehoorlijk dat de overheid daar een rechtstreeks faciliterende rol bij speelt.

Gevaar

De handelswijze van de Indiase regering laat zien wat de gevaren zijn van het gebruik maken van gecentraliseerd werkende corona-contact-opsporingsapp. Het is niet voor niets dat in grote delen van Europa gekozen is voor de decentraal-opererende corona-app. Niet al te lang geleden switchte de regering van het Verenigd Koninkrijk van een centraal werkende corona-app naar een decentraal werkende. Wat de regering in India nu doet laat zien dat een regering om haar moverende redenen opeens aan een app allerlei andere computerapplicaties kan hangen die personen schaadt.

Privacybescherming

India kent geen nationale toezichthouder op het gebied van de bescherming van persoonsgegevens.  Ook neemt India niet deel aan enige conventie op dat vlak, die equivalent is aan de Europese GDPR of de Data Protection Directive. Het betekent dat de checks and balances in het systeem daar ontbreken om op een afgewogen manier om te gaan met medische(bijzondere) persoonsgegevens.

Waakzaamheid

India ligt ver weg . We hebben we hier een ander toezicht regime en een andere corona-app in de maak. Toch wil ik met dit artikel de waakzaamheid van een ieder op peil houden. Waakzaamheid over wat overheden kunnen beslissen over het omgaan met bijzondere persoonsgegevens.

Dit artikel berust voor een aanzienlijk deel op berichtgeving die vandaag op de website van het ICT-webmagazine The Register verscheen.

W.J. Jongejan, 25 augustus 2020

Afbeelding van iXimus via Pixabay