image_pdfimage_print
01 jun

Bij inzet wet dwangsom besluit trage Autoriteit Persoonsgegevens negatief

AP-slak met agent

Dat de Autoriteit Persoonsgegevens(AP) moeite heeft met het nemen van beslissingen over principiële zaken is voor insiders geen geheim. Door het verloop van enkele mij bekende zaken die bij de AP aanhangig zijn gemaakt, werd het mij recent duidelijk hoe de nieuwste verdedigingslinie van de AP eruit ziet bij lastige zaken. Het gaat daarbij om handhavingsverzoeken die ingediend zijn door burgers vanwege in hun ogen evidente overtredingen ten aanzien van de privacy. Helaas is het zo dat de AP bij dit soort handhavingsverzoeken buitengewoon traag reageert. Beslissingen blijven soms een half jaar, maar ook wel eens langer dan een jaar uit. Als dan na een ingebrekestelling de AP nog niet met een besluit komt, kan de burger met een beroep op de Wet dwangsom en beroep bij niet tijdige beslissingen(Wdbntb) een beslissing eisen of naar de bestuursrechter gaan. Als de burger die eis op basis van de Wdbntb daadwerkelijk neerlegt bij de AP, maakt deze in het gunstigste geval het de aanvrager duidelijk dat zij negatief zal gaan beslissen op het handhavingsverzoek als dat doorgezet wordt. Of de AP heeft inmiddels al negatief besloten. Het argument voor het negatief beslissen is dan dat de aanvrager de AP niet voldoende tijd gegund heeft om “fatsoenlijk” onderzoek te doen. het is te gênant voor woorden, maar het gebeurt.

Lees verder

15 mei

Laakbare traagheid handelsmerk Autoriteit Persoonsgegevens bij principiële kwesties

AP handelsmerk

Meerdere zeer principiële zaken, waarin van de Autoriteit Persoonsgegevens(AP) als toezichthouder een beslissend oordeel gevraagd wordt, slepen zich zeer lang voort. Daarbij lijkt het erop dat de AP alle, maar dan ook alle, mogelijkheden benut om geen oordeel te hoeven vellen over principiële zaken, dan wel probeert het oordeel over een bepaalde datum poogt te tillen. Daarbij doel ik specifiek op de ingangsdatum van de Algemene Gegevens Verordening(AVG): 25 mei.  Dat is over tien dagen. Ik doel daarbij op handhavingsverzoeken over de gedragscode zorgverzekeraars, ingediend  bij de rechtsvoorganger van het AP, het College Bescherming Persoonsgegevens(CBP) in maart 2015. Daarnaast die betreffende de verwerking van medische persoonsgegevens in het DIS( DBC Informatie Systeem), ingediend in mei 2015 , maar ook die over de onrechtmatige verzameling van Routine Outcome Monitoring(ROM) gegevens, ingediend in maart 2017.

Lees verder

01 mei

Tuchtzaken medisch tuchtcollege succesvol bij onbevoegde inzage

grens overschrijden

Het onbevoegd inzien van het medische dossier in de “Barbie”-kwestie binnen het Haga-Ziekenhuis in Den Haag door 85 medewerkers, die geen behandelrelatie met mevr. S.de J. hadden, heeft interessante tuchtrechtelijke kanten. Als onder deze medewerkers artsen en verpleegkundigen zijn, dan hebben deze zich schuldig gemaakt aan het schenden van het medisch beroepsgeheim en niet gehandeld zoals van hen verwacht mocht worden. De jurisprudentie laat zien dat medische beroepsbeoefenaren in dit soort gevallen het tuchtcollege de overtreders wel veroordeeld. Het is uitermate interessant hoe in deze kwestie met grootschalige onbevoegde inzage van een medisch dossier de bevoegde instanties gaan reageren. Daarbij doel ik niet alleen op de Autoriteit Persoonsgegevens, in kennis gesteld door de directie van het Haga-ziekenhuis, maar ook de Inspectie Gezondheidszorg en Jeugd. Deze laatste zou één van de partijen kunnen  zijn die tuchtzaken kan instellen tegen de  overtredende medewerkers die onder de Wet op de beroepen in de individuele gezondheidszorg(Wet BIG) vallen.

Lees verder

27 apr

Veelvuldige (85x) onrechtmatige inzage dossier Barbie noodt tot notificatieplicht

log-in

Begin april 2018 bleek dat bij de opname van de “reality tv-ster”Samantha de Jong alias Barbie in het Haga-Ziekenhuis in Den Haag begin dit jaar meerdere personen onrechtmatig het elektronische medische dossier  inkeken. Vijfentachtig bleken het te zijn. Die komen er allemaal met een waarschuwing van af. Het gaat om mensen, die geen medische behandelrelatie hadden met deze patiënt. Er is dan naast het onfatsoenlijk handelen sprake van het overtreden van gedragsregels, het privacyreglement van het ziekenhuis en de beroepsnormen die voor diverse soorten werkers gelden. Ik doel in dat kader op artsen en verpleegkundigen. De overtredingen in het Haga-Ziekenhuis kwamen naar buiten na het opvragen van logging-gegevens van het ZiekenhuisInformatieSysteem(ZIS). Ondanks eerdere incidenten en waarschuwingen van de Autoriteit Persoonsgegevens heeft dit zeer grootschalige incident kunnen plaatsvinden. Het is mijns inziend derhalve noodzakelijk om naast passende maatregelen voor de toegang tot de dossiers ook een notificatieplicht in te voeren richting patiënt en wel direct bij elke inzage in het dossier.

Lees verder

24 apr

Groot, traag, duur en vol lucht en VZVZ pimpt het op: het LSP(deel 2)

opblaasschildpad 2

Dat valt tussen de regels door te lezen in het rapport over het Landelijk SchakelPunt (LSP) dat de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) op 19 april 2018 op haar website zette. Het heet “Rapport effecten en baten gebruik zorginfrastructuur”. Gisteren besprak ik de eerste helft van dit rapport. Vandaag het tweede deel. Daarin een bespreking van de rest van de grafieken en tabellen die de “groei” van het LSP-gebruik aantonen, maar waar veel gebakken lucht in zit.

Lees verder

09 apr

IGJ schuift melding over ontbreken verificatieplicht VZVZ door naar AP

schuiver

Op 5 februari 2018 schreef ik op deze website een bijdrage met als titel “IGJ dient verificatieplicht tav toestemming delen medische data breder af te dwingen”. Het ging over de vraag van mij aan de Inspectie voor de Gezondheidszorg en Jeugd(IGJ) om de verificatieplicht die zij aan het Isala-ziekenhuis in Zwolle oplegde  breder te trekken. Daarbij vroeg ik de IGJ om stappen te zetten richting de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) vanwege het op enige schaal plaats vinden van onterechte opt-in-toestemmingen voor het delen van medische informatie via het Landelijk SchakelPunt(LSP).  Door een verificatieplicht kan het onterecht noteren van opt-in-toestemmingen voor het delen van medische gegevens over het LSP de kop ingedrukt worden. Over het onterecht doen noteren van opt-in-toestemmingen bij apotheken voor medicatiegegevens deed de burgerrechtenvereniging Vrijbit al in de herfst van 2017 twee handhavingsverzoeken aan de Autoriteit Persoonsgegevens(AP). In een reactie op mijn verzoek aan de IGJ heeft de coördinerend specialistisch inspecteur eHealth, drs. J.W. Krijgsman, mij op 15 maart 2018 laten weten dat de IGJ mijn verzoek niet in behandeling kon nemen en doorgeschoven heeft richting de AP.

Lees verder

05 feb

IGJ dient verificatieplicht tav toestemming delen medische data breder af te dwingen

only yes is yes

De Inspectie Gezondheidszorg en Jeugd(IGZ) van het ministerie van VWS is in het najaar van 2017 begonnen met verkennende gesprekken met zorginstellingen die gebruik maken van eHealth. eHealth is het gebruik van nieuwe informatie- en communicatietechnologieën, en met name internet-technologie, om gezondheid en gezondheidszorg te ondersteunen of te verbeteren. In dat kader bezocht de IGJ o.a. het Isala ziekenhuis in Zwolle. Daar waren op het gebruik van eHealth wat opmerkingen te maken door de inspectie. Eén daarvan was op welke wijze het ziekenhuis controle uitvoert of partijen die inzage in het Elektronisch Patiënten Dossier(EPD) hebben, ook toestemming hebben gevraagd aan de patiënt. Dit acht de IGJ van zo’n belang dat het voor eind februari dit jaar verwacht dat het ziekenhuis het borgen van de toestemming goed geregeld is in een verbeterplan. In wezen komt het neer op een verificatieplicht voor de instelling van een genoteerde toestemming van de patiënt voor inzage van zijn of haar medische data door andere zorgaanbieders. Het wonderlijk is dat de IGJ zich nu hier druk om maakt maar nimmer een punt gemaakt heeft van het niet controleren van een door een zorgaanbieder genoteerde opt-in-toestemming van de patiënt om medische data via het Landelijk SchakelPunt(LSP) te doen delen. De verantwoordelijke organisatie, de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), is nimmer door de IGJ en haar rechtsvoorganger de IGZ(Inspectie voor de GezondheidsZorg) aangesproken op het ontbreken van een verificatieplicht.

Lees verder

15 jan

Afwijkende opvattingen over AVG door leverancier ZIS

vraagtekens

Recent, op 2 januari 2018, publiceerde ik op deze website een bijdrage over de Algemene Verordening Gegevensbescherming die op 25 mei 2018 ingaat. Ik beschreef de enorme hoeveelheid papierwerk die de kleinschalig werkenden zorgaanbieders boven het hoofd hangt, maar ook de onmogelijkheid om een reële juridisch volwaardige partij te zijn ten opzichte van grote ICT-leveranciers, bijvoorbeeld die van het HuisartsInformatieSysteem(HIS). Deze week werd mij op de website van Medisch Contact duidelijk dat exact hetzelfde probleem speelt bij minimaal één van de grote twee Ziekenhuis Informatie Systeem(ZIS) leveranciers, Chipsoft. In een artikel “Afspraken over veiligheid patiëntgegevens: niet voor ons?” van de hand van Mark van Houdenhoven, CEO van de Maartenskliniek en bijzonder hoogleraar Economische bedrijfsvoering in de gezondheidszorg aan de Faculteit der managementwetenschappen van de Radboud Universiteit in Nijmegen doet hij  een boekje open over het niet willen tekenen door Chipsoft van de bewerkersovereenkomst, nodig voor de AVG. Tussen de regels door wordt duidelijk dat de ZIS-leverancier een wel heel erg dominante positie inneemt.

Lees verder

05 jan

Aftrap juridische actie tegen risicoprofiling door Nederlandse overheid

kickoffOp vrijdagavond 19 januari 2018 organiseert het Platform Bescherming Burgerrechten in theater De Nieuwe Liefde in Amsterdam een avondvullende bijeenkomst over “profiling” door de overheid met behulp van het Systeem Risico Indexering(SyRI). Die avond vindt de aftrap plaats van de rechtszaak tegen de Staat der Nederlanden vanwege het op grote schaal maken van risicoprofielen maken van haar burgers met SyRI. Het doel van dit systeem is in zichzelf al ongeëvenaard, omdat het niet beoogt om uitkerings-, belasting en arbeidsfraude vast te stellen, maar om de risico’s hierop in kaart te brengen. Met andere woorden, dit systeem voorziet in de mogelijkheid om risicoprofielen van niet-verdachte burgers te maken. Weinigen hebben weet van de omvang van het maken van deze risicoprofielen. De rechtszaak gaat gevoerd worden door het  Public Interest Litigation Project (PILP) en het Nederlands Juristen Comité voor de Mensenrechten(NCJM) in samenwerking met het Platform Bescherming Burgerrechten. Deikwijs Advocaten zal in de rechtszaal acteren.  Het NCJM beoogt het strategisch procederen voor mensen- en burgerrechten in Nederland. De campagne van het Platform Bescherming Burgerrechten, die rond deze rechtszaak van start is gegaan, heeft de zeer toepasselijke titel: “Bij voorbaat verdacht” gekregen. Op dit moment staat een overleg met het ministerie van Sociale Zaken en Werkgelegenheid gepland waarin de aangesloten partijen hun eisen omtrent SyRI op tafel leggen. Mocht daar geen gewenst resultaat uit komen, dan wordt de rechtszaak in gang gezet. Formeel is vanwege de rechtsgang een dergelijke stap noodzakelijk.

Lees verder

01 dec

Staatssecretaris veronderstelt geven van expliciete toestemming bij doorgaan leveren ROM-data

duim omhoog

Tijdens een overleg van de staatssecretaris van VWS Paul Blokhuis op 29 november 2017 met de vaste Tweede Kamercommissie voor VWS deed de bewindsman een bijzondere uitspraak. (39-48 sec. in de video)  Ondervraagd over de aanlevering van Routine Outcome Monitoring(ROM)-data aan de Stichting Benchmark GGZ(SBG) gaf hij namelijk aan dat hij er vanuit ging dat de instellingen en zorgaanbieders in de Geestelijke GezondheidsZorg(GGZ) die nu nog die data aanleveren daar ordentelijk toestemming voor hebben gevraagd aan de patiënt. Dat is totaal iets anders dan de truc met de zogenaamde “veronderstelde toestemming” die de brancheorganisatie van werkgevers in de GGZ, GGZ Nederland(GGZ NL) recent lanceerde. Het gaat met die constructie niet om een expliciete toestemming van de patiënt, maar om de veronderstelling dat die geen bezwaar kan en mag maken als de ROM-data voor kwaliteitsbewaking wordt gebruikt. Dat terwijl de data in dat geval wel de instelling verlaten en toch door SBG verzameld en ver-/be-werkt worden voor terug levering aan de instelling/zorgaanbieder. Dat zit zou kunnen zonder expliciete toestemming is een kapitale misvatting. De staatssecretaris blijkt dat te bevestigen.

Lees verder