Datalek door diefstal laptop coassistent. Wie is waar aansprakelijk voor?

stealing-294489_640

Weer is er een datalek van zorgdata. Nu door diefstal van een laptop met daarop patiëntgegevens in een Excel-bestand. Dat bericht het Isala-ziekenhuis in Zwolle vandaag in een persverklaring. Het gaat om patiënten van de afdeling plastische chirurgie. In het Excel-bestand staan van 504 mensen de patiëntnamen, patiëntnummers, geboortedata en enkele relevante medische gegevens over het carpaal tunnel syndroom. De laptop blijkt het eigendom te zijn van een coassistent te zijn. Niet een directe werknemer van het ziekenhuis, maar iemand in opleiding tot basisarts in de laatste fase van de studie.  In dit specifieke geval is de vraag wie waar verantwoordelijk en aansprakelijk is. Weer speelt het probleem, zoals eerder met een gestolen mobiele harde schijf in het Anthonie van Leeuwenhoek-ziekenhuis(AvL) te Amsterdam  in maart dit jaar, dat de gegevens niet op de laptop hoorden te staan en dat het betreffende bestand niet beveiligd en versleuteld was. Het is in Excel een koud kunstje om een bestand met een wachtwoord te vergrendelen, zodat inzage niet zomaar mogelijk is. Los van die beveiliging zou een Excel-bestand met zorgdata op een mobiele gegevensdrager cryptografisch versleuteld dienen te zijn. Versleutelingsprogramma’s zijn tegenwoordig zelfs als freeware al te downloaden en maken na diefstal inzage zeer moeilijk dan wel onmogelijk.

Lees meer

Bom onder LSP door motie D66 bij aannemen wet datacommunicatie zorg

bomb-1602109_640

Na een parlementaire behandeling van 4 jaar en een martelgang met hoorzittingen en diverse behandelrondes in de Eerste Kamer is afgelopen dinsdag 3 oktober het wetsontwerp 33509 aangenomen. Het wetsontwerp beoogt de elektronische medische communicatie een wettelijke basis te geven. Tegelijkertijd legt het de mogelijkheid vast dat burgers hun medische dossier zelf kunnen gaan vastleggen in een zogeheten Persoonlijk GezondheidsDossier(PGD). Gebleken is dat commerciële partijen zeer geïnteresseerd zijn in die data.(uitzending Nieuwsuur 2 oktober vanaf minuut 17.43) . Tegelijkertijd is een motie van D66 in de Eerste Kamer aangenomen, die zegt dat de regering dataprotectie-by-design verder uit moet werken als het uitgangspunt voor de elektronische verwerking data. Het aparte is dat de landelijke infrastructuur om zorgdata uit te wisselen, met het Landelijk SchakelPun(LSP) als centraal systeem, helemaal niet opgezet is volgens het principe van dataprotectie-by-design. De nu functionerende systemen zijn eigenlijk te beschouwen als legacy-systemen met een opzet die niet meer van deze tijd is. Het ontwerp en uitvoering van het LSP dateert van voor 2006.

Lees meer

Big-data-analyse in zorg is afhankelijk van, volatiel, publiek vertrouwen

smoke-69124_640

In het Verenigd Koninkrijk heeft de gang van zaken rond het CareData-programma laten zien dat het publieke vertrouwen onmisbaar is als big-data-analyse in de zorg toegepast wordt. Door het razendsnel verdwijnen van dat vertrouwen was de overheid daar genoodzaakt op 6 juli 2016 de stekker uit dat programma te trekken. In Nederland staan we aan de vooravond van het faciliteren van big-data-analyse door (overwegend) grote bedrijven als het wetsontwerp 33509 in de Eerste Kamer aangenomen wordt. Het wetsontwerp beoogt de elektronische communicatie van zorgdata een wettelijke basis te geven. Voor het gebruik van zorgdata moet de patiënt toestemming geven. In het Verenigd Koninkrijk is dat op basis van een opt-out-regeling. In Nederland kennen we de opt-in-systematiek. De oorzaak van de plotselinge achteruitgang in het publiek vertrouwen in 2016 berustte grotendeels op deals, die CareData als onderdeel van de National Health Service sloot met externe partijen zoals Google’s Deepmind. Daarbij ging het om data waarvoor de patiënten niet of nauwelijks in staat waren hun opt-out-optie uit te voeren. Binnen zeer korte tijd gaven ruim 1,2 miljoen Britten aan dat ze niet wilden dat hun data gebruikt werden. Iets soortgelijks kan in  Nederland ook plaats vinden, ook al hebben we hier een ander toestemmingsprincipe.

Lees meer

Blufpoker tegen senatoren door gelegenheidscombinatie pro wetsontwerp zorgcommunicatie

c-m-coolidge-82531_640

Op 22 september j.l. publiceerde een beperkte gelegenheidscombinatie bestaande uit de Patiëntenfederatie Nederland(PN), de Nierstichting, het Reumafonds, ouderenorganisatie KBO-PCOB en de Koninklijke Nederlandse Maatschappij ter bevordering van de Pharmacie(KNMP) een oproep aan de leden van de Eerste Kamer. Het ging om het verzoek voor het wetsontwerp 33509 te stemmen. Dat wetsontwerp beoogt de elektronisch zorgcommunicatie een wettelijk te basis te geven, maar is de facto bedoeld om de zorgdata-uitwisseling een steeds centralistischer vorm te geven.  Aan de hand van een voorbeeld wordt aangegeven wat het belang is van betrouwbare  medicatieoverzichten, die men met centrale systemen beoogt. De oproep schetst echter een beeld dat helemaal niet bestaat of op zijn hoogst in rudimentaire vorm aanwezig is. Ook is het op dit moment al duidelijk dat het niet  mogelijk is een zeer betrouwbare medicatieoverzichten te presenteren. Dat komt door het ontbreken van de mogelijkheid bij categorieën voorschrijvende medici om die gegevens naar een centraal systeem(Landelijk  SchakelPunt=LSP)  te kunnen uploaden. De oproep laat tussen de regels door zien dat er sprake is van grote financiële belangen, die spelen bij het opzetten van een centraal systeem om de gespecificeerde toestemming vast te leggen.

Lees meer

Kamervragen over onveilige webbrowsers i.v.m. UZI-pas. VZVZ dekt zich in

questions-1328466_640

Op 21 september meldde ik op deze website dat alle UZI-pas-houders een email van het UZI-register gekregen hadden. Het UZI-register valt onder de dienst CIBG van het ministerie van VWS. In die email stond het dringende verzoek om met ingang van 1 oktober geen update van de webbrowsers te doen. Dat is dus overmorgen. Het heeft te maken met het uitfaseren per 1 oktober van de browser-hulpprogramma’s Java en Active X door de leveranciers van webbrowsers. Doet men de browser-updates wel, dan zal de UZI-pas niet meer werken was de boodschap. Deze pas is niet alleen in gebruik voor de autorisatie en authenticatie als een zorgaanbieder gebruik wil maken van het Landelijk SchakelPunt(LSP)om zorgdata uit te wisselen. Veel apotheek- en huisartsinformatie-systemen maken gebruik van de UZI-pas om werkers in te laten loggen in het systeem. Dat maakt dit probleem zeer pregnant. Inmiddels zijn door de Tweede Kamerleden Verhoeven en Dijkstra vragen gesteld over deze materie.

Lees meer