Berichten

Andere wind waait bij Autoriteit Persoonsgegevens

Andere wind waait bij Autoriteit Persoonsgegevens. Ze richt haar pijlen ook op overheden en laat zien technische detailkennis te bezitten.

NHSX verkwanselt ivm corona gepseudonimiseerde patiëntdata als zijnde geanonimiseerd aan tech-bedrijven

NHSXThe Guardian schrijft op 12 april 2020 in een  uitgebreid artikel dat de National Health Service in  het Verenigd Koninkrijk(V.K.) grote volumina patiëntdata deelt met het Amerikaans bedrijf Palantir dat zich bezig houdt met Artificial Intelligence(AI), om een uitweg uit de coronacrisis te vinden. Dat gebeurt via een Britse start-up, Faculty. Eerder op 29 maart 2020 liet de BBC al weten dat de NHS sinds zeer kort gebruik maakt van de diensten van Amazon, Microsoft en Palantir om zorgdata te gebruiken voor het maken van virtuele dashboards. Dat met de bedoeling om een optimale inzet van mankracht en middelen tijdens coronacrisis te garanderen. Een woordvoerder van de NHS liet eerder weten dat betrokken firma’s de data niet zelf zouden beheren of voor eigen doeleinden mochten gebruiken. De bedrijven zouden alleen maar toegang hebben tot geaggregeerde of geanonimiseerde data. Dat blijkt helemaal niet het geval te zijn.     Lees meer

Waarom bestuurders bij databases vaak onterecht het woord “anonimiseren” gebruiken

waaromIn een recent interview in  het dagblad Het Parool op 16 augustus 2019 figureerde Jeroen Muller. Hij is de bestuursvoorzitter van de grootste GGZ-instelling van Amsterdam. Het interview vond plaats naar aanleiding van de vernietiging door Akwa GGZ van de ROM-database die afkomstig was van de opgeheven Stichting Benchmark GGZ. Het ging daarbij om gepseudonimiseerde zorgdata uit de geestelijke gezondheidszorg(GGZ). Jeroen Muller sprak in het interview over het “dubbel anonimiseren” van de data. Het gebruik van de term “anonimiseren” van data in plaats van “pseudonimiseren” is niet zo maar een verspreking. In de loop der tijd is het op gaan vallen hoe voorstanders, vaak afkomstig uit de bestuurslaag van de zorg, de pil van het op centraal(landelijk)  niveau  data verzamelen proberen te vergulden. Dat doen ze door te spreken over “anoniem”, “bijna anoniem” of “vrijwel anoniem” als het om gepseudonimiseerde data gaat. Ik zal in deze bijdrage ingaan op de vraag waarom ze dit doen.

Lees meer

Australië wil aantonen kwetsbaarheid gepseudonimiseerde (zorg)data strafbaar stellen

arrestatie

Enkele dagen terug, om precies te zijn op 8 februari, trok een artikel op de website The Register mijn aandacht. Het gaat om een wonderlijk wetsvoorstel dat de senaat nu in Australië behandelt. Het gaat om de  Privacy Amendment (Re-identification Offence) Bill 2016. In dit wetsvoorstel wil men het aantonen, dat data in gepseudonimiseerde databases  toch makkelijk te herleiden zijn tot individuele personen strafbaar stellen, met een maximum gevangenisstraf van twee jaar. Directe aanleiding voor het wetsontwerp is een wetenschappelijk artikel, geschreven door drie wetenschappers van de universiteit van Melbourne in 2016 dat het betrekkelijk eenvoudig was een gepseudonimiseerd bestand van een zorgverzekeraar(Medicare) gedeeltelijk te ontcijferen. Dat bestand was openbaar en toegankelijk geweest via een overheidswebsite. In plaats van dergelijke publicaties te beschouwen als een soort gratis advies en een extra stimulans om data veiliger op te slaan en te beheren heeft men in een soort reflex de faliekant verkeerde weg gekozen. Pogingen tot de-pseudonimisering wil men strafbaar gaan stellen zonder de (overheids)-instanties die de databases beheren de verplichting op te leggen om de gegevens deugdelijk te pseudo- of te anonimiseren. Een zeer onevenwichtig besluit dus.

Lees meer