image_pdfimage_print
29 apr 2020

Standpunt AP over temperatuurmeting bij werknemers bij corona-bestrijding terecht

standpuntDe Autoriteit Persoonsgegevens(AP) liet op 24 april 2020 in een persbericht weten dat werkgevers die bij werknemers de temperatuur (willen) opnemen in het kader van de corona-bestrijding overtreding zijn. Zelfs niet als ze de werknemer eerst om toestemming vragen. Werkgevers riskeren hoge boetes. Deze uitspraak zorgde op Twitter meteen voor een forse hoeveelheid afwijzende reacties. De gezondheidseconoom Xander Koolman vroeg zich af of de voorzitter van de AP, Aleid Wolfsen, wel met dit bericht werkelijk onze maatschappelijke voorkeuren weergaf. Met de uitspraak van de AP zet die heel duidelijk haar piketpaaltjes uit in een periode waarin, om maar iets te doen tegen het coronavirus, maatregelen worden genomen die strijdig zijn met de privacy. Bovendien zijn ze vaak onbetrouwbaar of niet goed onderbouwd. Het meten van de lichaamstemperatuur van werknemers is volgens de AP een ernstige overtreding van de Algemene Verordening Gegevensbescherming(AVG) en de daarbij behorende uitvoeringswet.

Lees verder

23 apr 2020

Groot aantal dossiers niet aangemeld op LSP met corona-opt-in

dossiersVanwege de coronacrisis heeft de minister van VWS recent bewerkstelligd, dat met instemming van de Autoriteit Persoonsgegeven(AP), in huisarts-informatie-systemen(HISsen), samenvattingen van zorgdata van meer Nederlanders in te zien zijn op huisartsenposten. Dat kan met gebruikmaking van het Landelijk SchakelPunt(LSP). De noodprocedure waarbij opt-in-toestemming van hen die nog geen besluit hierover genomen hebben in de HISsen automatisch op “ja” wordt gezet, blijkt nogal wat haken en ogen te hebben. Hetgeen voor kenners ook wel te verwachten was. Nu blijkt dat een substantieel deel van de geforceerde opt-in-toestemmingen de LSP-computer niet bereikt. Bij gebruikers van minimaal één huisartsinformatiesysteem(HIS), MicroHIS, blijkt 20 tot 25 % van de dossiers niet aangemeld te worden. Dat blijkt te berusten op het niet geregistreerd zijn van de toegangspas voor het LSP, de UZI-pas, binnen dat huisartsinformatiesysteem. Bij andere HIS-sen kan uiteraard hetzelfde spelen. Lees verder

08 apr 2020

VWS en Autoriteit Persoonsgegevens vertellen maar halve verhaal over corona-opt-in

APOp 25 maart 2020 liet minister de Jonge van VWS weten dat hij werkte aan een mogelijkheid van een corona-opt-in voor het Landelijk SchakelPunt(LSP). Omdat slechts de helft van de Nederlanders toestemming gaf om huisartsdata raadpleegbaar te maken via het LSP ziet men op de huisartsposten nu tijdens de coronacrisis een probleem. Informatie over onderliggende ziekten en andere medische informatie zou niet tijdig beschikbaar zijn. Om die reden liet de minister weten dat hij werkte aan een oplossing om de huisartsdata van alle Nederlanders via het LSP benaderbaar te maken, uitgezonderd degenen die al aangaven het absoluut niet te willen. De Autoriteit Persoonsgegevens(AP) liet op 30 maart in een brief aan VWS weten geen bezwaar te hebben tegen deze noodoplossing, mits die tijdelijk is, alleen op huisartsenpost en SEH gebruikt wordt en de patiënt op die zorglocaties om toestemming wordt gevraagd. Helaas vertelt men slechts het halve verhaal.   Lees verder

20 dec 2019

Uitspraak Autoriteit Persoonsgegevens gaat ook andere be-/verwerkers zorgdata aan

uitspraakOp 16 december 2019 deed de Autoriteit Persoonsgegevens(AP) uitspraak over het gepseudonimiseerd verzamelen van zorgdata. Het betrof de Routine Outcome Monitoring(ROM)-gegevens uit de geestelijke gezondheidszorg(GGZ). De Stichting Benchmark GGZ(SBG) verzamelde die en overhandigde die bij bedrijfsbeëindiging aan de opvolger Akwa GGZ  De uitspraak van de AP was vernietigend. De vraag is of de uitspraak van de AP geen consequenties heeft voor allerhande dataverzamelingen in de zorg waarbij sprake is van be-/verwerking van gepseudonimiseerde zorgdata. De AP stelde vast(pag.19 punt 4.2.3  in link) dat SBG op hun gepseudonimiseerde dataset onvoldoende technische waarborgen en/of maatregelen had genomen om de risico’s op herleidbaarheid, koppelbaarheid en deduceerbaarheid in voldoende mate weg te nemen. Om zo te kunnen spreken van een anonieme dataset. Het risico op indirecte herleidbaarheid was in onvoldoende mate weggenomen. Het is de vraag of andere bedrijven en instellingen die zich met zorgdata-verzamelen bezig houden ook niet fout bezig zijn. Lees verder

18 dec 2019

Wetenschappelijk onderzoek en publicaties op basis van onrechtmatig verkregen zorgdata

onrechtmatigAan de Universiteit Leiden bestaat sinds 2015 de leerstoel Routine Outcome Monitoring(ROM) en Benchmarking. Deze leerstoel is betaald door de Stichting Benchmark GGZ(SBG) die ROM-data uit de GGZ verzamelde en be-/verwerkte. Voor de duidelijkheid: SBG werd volledig door de zorgverzekeraars betaald. De uitspraak van de Autoriteit Persoonsgegevens (AP) op 16 december 2019 maakt duidelijk dat SBG onrechtmatig ROM-data verzamelde en be-/verwerkte. Na een onderzoek van 138 weken deed  de AP uitspraak en stelde dat door onvoldoende pseudonimisering er sprake was van gebruik van bijzondere persoonsgegevens bij SBG en de opvolger Akwa GGZ. De laatste kreeg een berisping. Vanwege de opheffing van SBG per 1 januari 2019 ontliep SBG een maatregel. Al in 2017 maakte Judica Berkelaar, ex GGZ-patiënte, dat kenbaar aan eerst SBG en vervolgens de AP. Lange tijd sprak SBG tegen dat er ook maar iets onoorbaars gebeurde. Lees verder

16 dec 2019

Vernietigend oordeel AP over jarenlang zonder toestemming verzamelen van patiëntengegevens

vernietigendJarenlang verzamelde de Stichting Benchmark GGZ(SBG) buiten medeweten van patiënten onrechtmatig Routine Outcome Monitoring(ROM)-data en be-/verwerkte die. Daarna nam SBG-opvolger Akwa GGZ onrechtmatig data over van SBG en stelde die onrechtmatig open voor onderzoek. Dat is het vernietigende oordeel van de Autoriteit Persoonsgegevens(AP) over het verzamelen, be-/verwerken van onvoldoende gepseudonimiseerde door SBG en het handelen van Akwa GGZ. De uitspraak is gedaan n.a.v. een op 24 maart 2017 ingediend handhavingsverzoek bij de AP van een vasthoudende ex- GGZ-patiënte, Judica Berkelaar. Omdat haar data zonder haar toestemming ooit naar SBG waren gestuurd, diende zij autonoom in eerste instantie hierover een  klacht in bij SBG. Deze werd niet ontvankelijk verklaard. Dit was reden voor Berkelaar om een handhavingsverzoek in te dienen bij de AP.  Heden, op 16 december 2019,  na 138 weken,  deed de AP uitspraak, na eerder op 3 december 2018 het handhavingsverzoek nog afgewezen te hebben. De kern van de uitspraak is dat SBG onvoldoende gepseudonimiseerde patiëntgegevens verwerkte, waardoor die alsnog als bijzondere persoonsgegevens aangemerkt konden worden.

Lees verder

22 okt 2019

Controle VZVZ op onrechtmatige opt-in-toestemmingen voor LSP stelt niets voor

controleSoms levert het bijwonen van een rechtszaak meer informatie op dan je anderszins kunt verkrijgen. Op 15 oktober 2019 dienden bij de rechtbank Midden-Nederland twee bestuursrechtelijke zaken. Het ging daarbij om het afwijzen door de Autoriteit Persoonsgegevens(AP) van twee handhavingsverzoeken die de burgerrechtenvereniging Vrijbit daar indiende. Het betrof in het eerste verzoek het niet handhaven bij onrechtmatig genoteerde opt-in-toestemmingen voor het Landelijk SchakelPunt(LSP) door apothekers. Het tweede verzoek ging over het niet handhaven bij ondeugdelijke procedures voor het verkrijgen van toestemmingen. De Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), verantwoordelijk voor het LSP, heeft altijd gezegd steekproefsgewijs controle uit te voeren op het verkrijgen van en noteren van opt-in-toestemmingen. Als toehoorder, niet als procespartij, bij beide zittingen aanwezig kreeg ik eindelijk een inkijk in de “controle”-methodes. Desgevraagd gaf men daar mij eerder nooit antwoord op. Antwoorden op vragen van de rechters tonen dat controles, vooraf aangekondigd bij zorgaanbieders, nauwelijks iets voorstellen.

Lees verder

16 okt 2019

Zilveren Kruis verplicht ROM-men in contract GGZ. En de toestemming van de patiënt dan?

zilveren kruisGisteren zag ik het nieuwe contract dat zorgverzekeraar Zilveren Kruis(ZK) aan zorgaanbieders aanbiedt in de geneeskundige GGZ. Daarin staat een verplichting tot verzamelen van Routine-Outcome Monitoring(ROM)-gegevens. Zeer recent heeft Akwa GGZ, de rechtsopvolger van de Stichting Benchmark GGZ(SBG), de in de periode 2012-2018 verzamelde ROM-data vernietigd. Akwa GGZ deed dat op basis van een uitspraak van de Autoriteit Persoonsgegevens. ZK wil zorgverleners verplichten tot ROM-men en ze door laten sturen naar Akwa GGZ. Het argument is nu: gegevens opsturen om te ver-/be-werken voor wat nu heet “transparantie van de kwaliteit van zorg. Eerder was, ook op de website van Akwa GGZ ditzelfde omschreven als  “ten behoeve van benchmarking en zorginkoop”. Het is onmiskenbaar  dat ondanks de andere terminologie Akwa GGZ ( en andere belanghebbenden) koste wat kost toch door willen gaan met verwerking van ROM-data voor dat doel. Problematisch bij dit alles is de toestemmingsverlening door de patiënt.

Lees verder

12 okt 2019

Roze olifant in AO VWS: toekomst zorgdata-uitwisseling zonder gespecificeerde toestemming

roze olifantOp woensdag 9 oktober 2019 was het Algemeen Overleg(AO) van minister Bruins met de vaste Tweede Kamercommissie voor VWS. (Hier trouwens) alsnog te volgen. Het ging om de elektronische gegevensuitwisseling in de zorg en de gegevensbescherming. De reuzegrote roze olifant die tijdens het debat aanwezig was, betrof de toekomst van de uitwisseling van zorg-data zonder gespecificeerde toestemming. De Kamerleden bevroegen de minister indringend, maar niet op dat punt. Zij namen genoegen met de toezegging dat de minister in 2020 met een nieuw plan komt. Minister Bruins kondigde aan lid 2 van artikel 15 a in de Wet aanvullende bepalingen verwerking persoonsgegevens niet te doen ingaan. In dat lid zou die wet het gebruik van de gespecificeerde toestemming regelen. Hij doet het niet  omdat hij het verwaterde model van gespecificeerde toestemming met 28 keuzemogelijkheden i.p.v. 160 bij nader inzicht toch niet geschikt vond voor invoering.

Lees verder

30 aug 2019

Binnenkort buigt bestuursrechter zich over onrechtmatige opt-in-toestemmingen voor LSP

bestuursrechterDonderdag 12 september 2019 om 11 uur is het zo ver. Dan dient voor de meervoudige kamer van de Rechtbank Midden-Nederland bij de sector bestuursrecht mijn zaak tegen de Inspectie Gezondheidszorg en Jeugd(IGJ). Het betreft een door mij ingediend handhavingsverzoek bij de bestuursrechter. De meerdere keren voorgekomen onrechtmatige notering van een opt-in-toestemming voor het Landelijk SchakelPunt(LSP) bij verschillende apotheken vormt de basis van dit verzoek. Aangezien de Autoriteit Persoonsgegevens waar dit ook gemeld is zeer afhoudend is heb ik ook de weg via de IGJ ook bewandeld. Mijn handhavingsverzoek bij de IGJ betreft alle apotheken in Nederland. Het  is ingegeven door het feit dat de IGJ krachtens de Wet kwaliteit klachten en geschillen zorg(Wkkgz) een handhavingsbevoegdheid heeft ten aanzien van zorgaanbieders, dus ook de apotheken. Ik schreef over dit onderwerp al zeker drie keer op deze website.(A, B, C  Lees verder