Berichten

Voorlopige beslissing AP over oude SBG-database bij AKWA raakt veel databases

/door

slotOp 21 april 2019 maakte ik op deze website melding van het feit dat AkWA GGZ ROM-data, verkregen van de opgeheven Stichting Benchmark GGZ, opnieuw raadpleegbaar had gemaakt. Dat was met ingang van 15 maart 2019. Daarbij wees ik op het laakbare van deze openstelling, omdat het om veelal zonder toestemming verkregen bijzondere persoonsgegevens ging. 29 mei 2019 maakte AKWA GGZ bekend dat zij met onmiddellijke ingang de toegang tot die data op slot gedaan heeft. Dat doet AKWA op last van de Autoriteit Persoonsgegevens(AP).  Men laat weten dat dit gebeurt naar aanleiding van een voorlopig standpunt van AP over de status van deze informatie. De AP beschouwt een deel van de verarmde dataset vooralsnog als persoonsgegevens. Blijkbaar heeft de AP dus kort geleden contact gezocht met AKWA GGZ over deze materie. Dat is zeer opvallend te noemen, omdat de AP al ruim twee jaar bezig is onderzoek te doen over de status van door derden geaggregeerde gepseudonimiseerde zorgdata. De demarche van de AP richting AKWA is van grote betekenis voor andere grote verzamelingen van zorgdata. Niet alleen in de sector van de GGZ maar ook in de somatiek. Overigens rept  de AP op de eigen website met geen woord over deze stap richting AKWA.

Lees meer

Frankrijk koppelt onvrijwillige opname-database aan terrorisme-database

/door

Frankrijk anti-terreur Per decreet heeft de Franse regering op 6 mei 2019 geregeld dat per 7 mei 2019 een nogal ingrijpende  koppeling in werking gezet tussen twee databases. Het gaat om de database van onvrijwillig opgenomen psychiatrische patiënten en een terroristen-database van de veiligheidsdiensten. De databases hebben de namen HOPSYWEB en FSPRTHet doel is, zoals gesteld in de aanhef van het decreet, om radicalisering te voorkomen. Het is voorstelbaar dat de staat pogingen doet radicalisering van personen in een vroeg stadium op het spoor te komen. Wat hier echter gebeurt is dat een medische registratie als verlengstuk gaat dienen van opsporingsinstanties en als zodanig  een onderdeel is van politionele en justitiële activiteiten. Uit het decreet blijkt dat het om persoonsgegevens van individuen gaat, namelijk de achternaam,  de voornamen en de geboortedatum. Bij een match van personen die in beide databases voorkomen voert men dan nader onderzoeks- / opsporingswerk uit. Een dergelijke koppeling van databases kennen we, zover we weten in Nederland (nog) niet. Het is echter wel bekend dat opsporings- en veiligheidsdiensten in Nederland  zoiets best wel zouden willen. Het is daarom goed om in de gaten te houden wat er in het buitenland gebeurt

Lees meer

Autoriteit Persoonsgegevens moet wel onderzoek doen bij SBG om ROM-data

/door

agentje

Op 1juni 2017 werd bekend dat de Autoriteit Persoonsgegevens(AP) een onderzoek start bij de Stichting Benchmark Geestelijke Gezondheidszorg(SBG), of het werk dat zij voor, en in opdracht van, de GGZ-branche uitvoert, voldoet aan de wet- en regelgeving. Formeel gesproken gaat het om de vraag of de SBG ten eerste als verantwoordelijke is aan te merken in de zin van de privacywetgeving en ten tweede  persoonsgegevens verwerkt. Naar buiten toe lijkt het erop dat de AP eigenstandig tot dit onderzoek heeft besloten, maar niets is minder waar. Hoewel de AP al lange tijd zelf tot de conclusie had moeten komen dat een onderzoek en handhavingsbesluit geboden was, deed ze dat niet. Uiteindelijk kwam ze pas in actie na het indienen van een klacht plus handhavingsverzoek door een belanghebbende. Het gaat daarbij om iemand van wie als patiënt ROM-data verwerkt zijn door de SBG zonder toestemming.

Lees meer

Autoriteit Persoonsgegevens verre van waaks als privacy-waakhond

/door

AP hondehok met klein hondje

Terwijl de Autoriteit Persoonsgegevens(AP) in haar jaarverslag over 2016 opgeeft over alles waar ze op toe zag o.a. in de zorg, is het goed op deze plaats eens stil te staan bij het aperte falen van de AP. Juist over zaken, waarvan de AP door deelname aan Europees overleg  weet van had, liet ze duidelijk steken vallen. In een aantal landelijke databases worden centraal medische gegevens van burgers opgeslagen. Voorbeelden zijn het DBC Informatie Systeem(DIS), de Argus-database en de ROM-database. Het toezicht daarop is een taak van de Autoriteit Persoonsgegevens.

Lees meer

Grote, ook financiële, consequenties van niet-legitiem gevulde zorgdatabases

/door

stop

In meerdere databases binnen de gezondheidszorg blijken de afgelopen jaren gegevens, die tot individuen herleidbaar zijn, te zijn verzameld zonder dat daar een wettelijke basis voor bestaat. De minister van VWS erkende in de beantwoording van Kamervragen van Renske Leijten(SP) , dat deze handelswijze niet legitiem is. De vragen betroffen de database bij de Stichting Benchmark GGZ(SBG) die deze organisatie vult met ROM-data die aangeleverd moeten worden door GGZ-zorgaanbieders. Deze gegevens bevatten gepseudonimiseerde persoonsgegevens. Die blijken op basis van een uitspraak uit april 2014 van Europese privacy-toezichthouders toch als bijzondere persoonsgegevens beschouwd te moeten worden.  Daarvoor is toestemming van de patiënt hoe dan ook vereist. Die toestemming is nimmer gevraagd en vastgelegd. Om die reden werd in november 2016 door de brancheorganisatie GGZ Nederland al aangeraden geen verdere vulling van de ARGUS-database bij de SBG te doen plaatsvinden. Dit is de database met gegevens betreffende vrijheid beperkende interventies in de GGZ. Ook de database van het DBC-Informatie Systeem(DIS) dat door de Nederlandse Zorgautoriteit(NZa) beheerd wordt  kent een dergelijke vulling. Er zijn veel meer centrale databases in de zorg die op een dergelijke manier gevuld worden, zoals de SBG in haar persbericht op 11 april 2017 aangaf.  Het ontbreken van een wettelijke basis voor de vulling van deze databases heeft nogal wat consequenties, ook financiële.

Lees meer