Berichten

Gepseudonimiseerde data zijn te kraken, ook die van de CoronaMelder

krakenOp de website www.security.nl verscheen op 2 november 2020 een interessant redactioneel artikel. Daarin maakt men duidelijk dat privacy-ontwerper en technologiecriticus Tijmen Schep een manier bedacht heeft waarmee elke geïnteresseerde met behulp van een programma kan achterhalen of gebruikers van de CoronaMelder-app in zijn of haar omgeving besmet is. Dat gebeurt met behulp van een door Schep geschreven programma op de website www.coronadectective.eu. Dat programma, CoronaDetective, vraagt dan toegang tot bluetooth en scant de directe omgeving op smartphones van mensen die de CoronaMelder geïnstalleerd hebben. Je hoeft niet eens zelf de CoronaMelder geïnstalleerd te hebben. Door die app worden codes(pseudoniemen) uitgezonden die geregistreerd worden door de CoronaDetective. Je kunt ermee zien of een persoon ver weg was of dichtbij, of hij net vertrokken is. Ook of een smartphone naar je toe komt of  zich verwijdert. Je kunt zo identiteiten van mensen koppelen aan die pseudoniemen. Lees meer

Problematische inzage gepseudonimiseerde microdata via CBS, ook door Chinese universiteiten

ChineseAlhier publiceerde ik enkele malen(A, B, C ) over de zeer problematische inzage van microdata van het Centraal Bureau van de Statistiek(CBS) door derden. Dat betreft hoofdzakelijk om universitaire instellingen, maar ook om bedrijven en organisaties. Op de lijst van instellingen die gebruik mogen maken van microdata staan echter ook twee universiteiten in Hong Kong. Sinds 1 juli 1997 is Hong Kong een speciale bestuurlijke regio van China en valt dus onder Chinese jurisdictie. Het is de vraag of het gewenst is dat universiteiten die vallen onder een hier ongewenste staatsvorm microdata van het CBS mogen inzien. Buitengewoon problematisch is het dat daarbij om gepseudonimiseerde data gaat. Die dienen door de uitspraak van de artikel 29 werkgroep van Europese privacy-toezichthouders in april 2014 zeker vanaf dat moment toch als (bijzondere) persoonsgegevens beschouwd te worden. Door intelligente koppelingen tussen databestanden kunnen data namelijk toch naar een persoon herleid worden. Lees meer

Autoriteit Persoonsgegevens moet wel onderzoek doen bij SBG om ROM-data

agentje

Op 1juni 2017 werd bekend dat de Autoriteit Persoonsgegevens(AP) een onderzoek start bij de Stichting Benchmark Geestelijke Gezondheidszorg(SBG), of het werk dat zij voor, en in opdracht van, de GGZ-branche uitvoert, voldoet aan de wet- en regelgeving. Formeel gesproken gaat het om de vraag of de SBG ten eerste als verantwoordelijke is aan te merken in de zin van de privacywetgeving en ten tweede  persoonsgegevens verwerkt. Naar buiten toe lijkt het erop dat de AP eigenstandig tot dit onderzoek heeft besloten, maar niets is minder waar. Hoewel de AP al lange tijd zelf tot de conclusie had moeten komen dat een onderzoek en handhavingsbesluit geboden was, deed ze dat niet. Uiteindelijk kwam ze pas in actie na het indienen van een klacht plus handhavingsverzoek door een belanghebbende. Het gaat daarbij om iemand van wie als patiënt ROM-data verwerkt zijn door de SBG zonder toestemming.

Lees meer

Autoriteit Persoonsgegevens verre van waaks als privacy-waakhond

AP hondehok met klein hondje

Terwijl de Autoriteit Persoonsgegevens(AP) in haar jaarverslag over 2016 opgeeft over alles waar ze op toe zag o.a. in de zorg, is het goed op deze plaats eens stil te staan bij het aperte falen van de AP. Juist over zaken, waarvan de AP door deelname aan Europees overleg  weet van had, liet ze duidelijk steken vallen. In een aantal landelijke databases worden centraal medische gegevens van burgers opgeslagen. Voorbeelden zijn het DBC Informatie Systeem(DIS), de Argus-database en de ROM-database. Het toezicht daarop is een taak van de Autoriteit Persoonsgegevens.

Lees meer

VWS laat ware aard zien bij beantwoording ROM-Kamervragen

kat vws

Het ministerie van VWS beantwoordde, bij monde van de staatssecretaris Martin van Rijn op 8 mei 2017 een tweede reeks Kamervragen(Lilian Marijnissen, SP) over de ROM-problematiek. De antwoorden laten duidelijk zien, dat de top van het ministerie bezig is tijd te rekken. Tijd, waarmee men de Stop benchmark met ROM-beweging probeert uit te putten en waarin reparatiewet-/regelgeving voorbereid wordt.  Het blijkt dat het ministerie van VWS onverkort vasthoudt aan het verplicht aanleveren van Random Outcome monitoring-data aan de Stichting Benchmark GGZ(SBG). De antwoorden geven echter  ook een inkijkje in hoe men in de toekomst denkt om te gaan met het vullen van data-verzamelingen, waarvoor toestemmingsverlening niet mogelijk is, daarbij een beroep doend op het algemeen belang. De SBG, volledig betaald door de zorgverzekeraars, beoogt met de ROM-data benchmarking(kwaliteitsvergelijking) mogelijk te maken tussen individuele zorgaanbieders en zorginstellingen en zorginkoop door de zorgverzekeraars te faciliteren. Dat, terwijl het gebruik van ROM-data helemaal niet bedoeld is daarvoor,  maar voor het evalueren en bijsturen van de therapie bij een individuele patiënt. Op deze website schreef ik recent meerdere artikelen over de ROM-problematiek. Het ministerie probeert met haar antwoorden slinks enkele zeer heikele punten op het gebied van privacy te omzeilen.

Lees meer