image_pdfimage_print
22 okt 2019

Controle VZVZ op onrechtmatige opt-in-toestemmingen voor LSP stelt niets voor

controleSoms levert het bijwonen van een rechtszaak meer informatie op dan je anderszins kunt verkrijgen. Op 15 oktober 2019 dienden bij de rechtbank Midden-Nederland twee bestuursrechtelijke zaken. Het ging daarbij om het afwijzen door de Autoriteit Persoonsgegevens(AP) van twee handhavingsverzoeken die de burgerrechtenvereniging Vrijbit daar indiende. Het betrof in het eerste verzoek het niet handhaven bij onrechtmatig genoteerde opt-in-toestemmingen voor het Landelijk SchakelPunt(LSP) door apothekers. Het tweede verzoek ging over het niet handhaven bij ondeugdelijke procedures voor het verkrijgen van toestemmingen. De Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), verantwoordelijk voor het LSP, heeft altijd gezegd steekproefsgewijs controle uit te voeren op het verkrijgen van en noteren van opt-in-toestemmingen. Als toehoorder, niet als procespartij, bij beide zittingen aanwezig kreeg ik eindelijk een inkijk in de “controle”-methodes. Desgevraagd gaf men daar mij eerder nooit antwoord op. Antwoorden op vragen van de rechters tonen dat controles, vooraf aangekondigd bij zorgaanbieders, nauwelijks iets voorstellen.

Lees verder

16 okt 2019

Zilveren Kruis verplicht ROM-men in contract GGZ. En de toestemming van de patiënt dan?

zilveren kruisGisteren zag ik het nieuwe contract dat zorgverzekeraar Zilveren Kruis(ZK) aan zorgaanbieders aanbiedt in de geneeskundige GGZ. Daarin staat een verplichting tot verzamelen van Routine-Outcome Monitoring(ROM)-gegevens. Zeer recent heeft Akwa GGZ, de rechtsopvolger van de Stichting Benchmark GGZ(SBG), de in de periode 2012-2018 verzamelde ROM-data vernietigd. Akwa GGZ deed dat op basis van een uitspraak van de Autoriteit Persoonsgegevens. ZK wil zorgverleners verplichten tot ROM-men en ze door laten sturen naar Akwa GGZ. Het argument is nu: gegevens opsturen om te ver-/be-werken voor wat nu heet “transparantie van de kwaliteit van zorg. Eerder was, ook op de website van Akwa GGZ ditzelfde omschreven als  “ten behoeve van benchmarking en zorginkoop”. Het is onmiskenbaar  dat ondanks de andere terminologie Akwa GGZ ( en andere belanghebbenden) koste wat kost toch door willen gaan met verwerking van ROM-data voor dat doel. Problematisch bij dit alles is de toestemmingsverlening door de patiënt.

Lees verder

12 okt 2019

Roze olifant in AO VWS: toekomst zorgdata-uitwisseling zonder gespecificeerde toestemming

roze olifantOp woensdag 9 oktober 2019 was het Algemeen Overleg(AO) van minister Bruins met de vaste Tweede Kamercommissie voor VWS. (Hier trouwens) alsnog te volgen. Het ging om de elektronische gegevensuitwisseling in de zorg en de gegevensbescherming. De reuzegrote roze olifant die tijdens het debat aanwezig was, betrof de toekomst van de uitwisseling van zorg-data zonder gespecificeerde toestemming. De Kamerleden bevroegen de minister indringend, maar niet op dat punt. Zij namen genoegen met de toezegging dat de minister in 2020 met een nieuw plan komt. Minister Bruins kondigde aan lid 2 van artikel 15 a in de Wet aanvullende bepalingen verwerking persoonsgegevens niet te doen ingaan. In dat lid zou die wet het gebruik van de gespecificeerde toestemming regelen. Hij doet het niet  omdat hij het verwaterde model van gespecificeerde toestemming met 28 keuzemogelijkheden i.p.v. 160 bij nader inzicht toch niet geschikt vond voor invoering.

Lees verder

30 aug 2019

Binnenkort buigt bestuursrechter zich over onrechtmatige opt-in-toestemmingen voor LSP

bestuursrechterDonderdag 12 september 2019 om 11 uur is het zo ver. Dan dient voor de meervoudige kamer van de Rechtbank Midden-Nederland bij de sector bestuursrecht mijn zaak tegen de Inspectie Gezondheidszorg en Jeugd(IGJ). Het betreft een door mij ingediend handhavingsverzoek bij de bestuursrechter. De meerdere keren voorgekomen onrechtmatige notering van een opt-in-toestemming voor het Landelijk SchakelPunt(LSP) bij verschillende apotheken vormt de basis van dit verzoek. Aangezien de Autoriteit Persoonsgegevens waar dit ook gemeld is zeer afhoudend is heb ik ook de weg via de IGJ ook bewandeld. Mijn handhavingsverzoek bij de IGJ betreft alle apotheken in Nederland. Het  is ingegeven door het feit dat de IGJ krachtens de Wet kwaliteit klachten en geschillen zorg(Wkkgz) een handhavingsbevoegdheid heeft ten aanzien van zorgaanbieders, dus ook de apotheken. Ik schreef over dit onderwerp al zeker drie keer op deze website.(A, B, C  Lees verder

24 jul 2019

Autoriteit Persoonsgegevens lekt URL van interne applicatie bij bekijken websites

lektRecent, 22 juli 2019, viel het mij voor de tweede maal in Google Analytics op, dat als iemand van de Autoriteit Persoonsgegevens(AP) deze website bezoekt de bron zichtbaar is. Ik bedoel dat Google Analytics de URL van het intranet van de AP toont. Nieuwgierig als ik ben hoe het bezoek aan de website ZorgICTZorgen zich ontwikkelt, kijk ik af en toe naar het real-time-overzicht. Op de kaart kan je met grote stippen zien in welke plaats iemand inlogt. Als iemand in Den Haag inlogt, ben ik altijd wat alerter. Meestal is de bron afgeschermd zodat die niet zichtbaar is. Van de AP dus blijkbaar niet. De reden van het bezoek aan mijn website door één of meerdere medewerkers van de AP was gelegen in een recente publicatie over de boete en last onder dwangsom die de organisatie oplegde aan het Haga-ziekenhuis. Het doet mij in ieder geval deugd te weten dat binnen de AP-organisatie men mijn blogs in ieder geval leest.  Lees verder

17 jul 2019

Makkelijk scoren voor verder lakse Autoriteit Persoonsgegevens bij Haga-ziekenhuis

makkelijk scorenOp 16 juli 2019 maakte de  Autoriteit Persoonsgegevens(AP) bekend dat ze Het Haga-ziekenhuis in Den Haag een zeer hoge boete van 460.000 euro en een forse last onder dwangsom oplegde. Het besluit dateert van 18 juni 2019. Het gaat om de nasleep van een berucht datalek uit april 2018. Toen raakte bekend dat 85 ziekenhuismedewerkers onterecht het medische dossier van de “reality ster Barbie” ingezien hadden. Het kwam naar buiten door een tip via de klokkenluiderssite PubLeaks aan de tv-rubriek EenVandaag. Ik schreef er in 2018 drie keer over. (A, B, C). De AP kwam toen in actie en deed onderzoek bij het Haga-ziekenhuis. Eigenlijk kon de AP het zich niet permitteren om geen onderzoek te doen en geen maatregelen af te kondigen vanwege de forse publiciteit rond deze gebeurtenis. Bij de AP lopen meerdere zaken waarbij sprake is van schending van de privacyrechten van burger in de zorg waar de AP geen beslissing neemt en/of onderzoek op de lange baan schuift.

Lees verder

31 mei 2019

Voorlopige beslissing AP over oude SBG-database bij AKWA raakt veel databases

slotOp 21 april 2019 maakte ik op deze website melding van het feit dat AkWA GGZ ROM-data, verkregen van de opgeheven Stichting Benchmark GGZ, opnieuw raadpleegbaar had gemaakt. Dat was met ingang van 15 maart 2019. Daarbij wees ik op het laakbare van deze openstelling, omdat het om veelal zonder toestemming verkregen bijzondere persoonsgegevens ging. 29 mei 2019 maakte AKWA GGZ bekend dat zij met onmiddellijke ingang de toegang tot die data op slot gedaan heeft. Dat doet AKWA op last van de Autoriteit Persoonsgegevens(AP).  Men laat weten dat dit gebeurt naar aanleiding van een voorlopig standpunt van AP over de status van deze informatie. De AP beschouwt een deel van de verarmde dataset vooralsnog als persoonsgegevens. Blijkbaar heeft de AP dus kort geleden contact gezocht met AKWA GGZ over deze materie. Dat is zeer opvallend te noemen, omdat de AP al ruim twee jaar bezig is onderzoek te doen over de status van door derden geaggregeerde gepseudonimiseerde zorgdata. De demarche van de AP richting AKWA is van grote betekenis voor andere grote verzamelingen van zorgdata. Niet alleen in de sector van de GGZ maar ook in de somatiek. Overigens rept  de AP op de eigen website met geen woord over deze stap richting AKWA.

Lees verder

21 apr 2019

Akwa maakt onrechtmatig verkregen ROM-data toch raadpleegbaar

illegal

Op de website van Akwa GGZ, kortweg Akwa genoemd, staat dat sinds 15 maart 2019 een geanonimiseerde dataset van ROM-data, verkregen van haar rechtsvoorganger SBG, te raadplegen is. Het gaat om data, waarvoor geen toestemming aan de patiënt gevraagd is, voor het mogen be-/verwerken. SBG beheerde de data in gepseudonimiseerde vorm. In maart 2017 gaf de toenmalige minister van VWS, Edith Schippers, in haar antwoord op Kamervragen aan dat voor het verwerken van die data een wettelijke grondslag nodig is. Het verkrijgen van expliciete toestemming van de patiënt is één van die grondslagen. Terwijl de Autoriteit Persoonsgegevens(AP) nog steeds, al meer dan 100 weken, onderzoek doet naar de rechtmatigheid van de verwerking door SBG, komt Akwa met de beschikbaarstelling van de data voor onderzoek door professionals. Ook al gaat het om anonimisatie na de aanvankelijke pseudonimisatie, het blijven onrechtmatig verkregen data, die niet hergebruikt mogen worden.  Een even opmerkelijke als juridisch aanvechtbare stap van Akwa.    Lees verder

09 apr 2019

Zorgdata verwerken, MRDM en gepseudonimiseerde data

big data

Recent zorgde een bericht in het Algemeen Dagblad op 30 maart 2019 voor flink wat rumoer. Het zorgdata verwerkende bedrijf Medical Research Data Management(MRDM) blijkt deze data opgeslagen te hebben in de Google Cloud(locatie Eemshaven). Het gegeven dat het om gepseudonimiseerde data gaat, die volgens de vigerende wet- en regelgeving gewoon als bijzondere persoonsgegevens beschouwd moeten worden maakt het één en ander nog interessanter. Binnen MRDM heeft men zelf ook wel door dat er sprake is van bijzondere persoonsgegevens. Op 17 mei 2018 hield het bedrijf een informatiebijeenkomst gegevensbescherming  waarin dit onderwerp en de relatie tot de Algemene Verordening Gegevensverwerking(AVG) ter sprake kwam. Sprekers waren onder andere de “zorg”-jurist Theo Hooghiemstra en zijn confrater Evert-Ben van Veen, directeur van het bedrijf MedLaw. Bij het doorspitten van de positie van het bedrijf MRDM stuitte ik op een kluwen van zorg-data-verwerkende bedrijven die plotseling de Value Based HealthCare(VBHC) hoog in het vaandel hebben staan. Lees verder

04 apr 2019

Forse boete AP voor MENZIS i.v.m. onvoldoende toezicht op inzage medische dossiers

forrse boete

Waar iedereen eigenlijk aldoor bang voor was, blijkt echt gebeurd te zijn. Een zorgverzekeraar geeft personen binnen de organisatie die niet bevoegd zijn inzage in medische dossiers. In het zojuist verschenen jaarverslag over 2018 van de zorgverzekeraar Menzis is te lezen dat men in dat jaar een boete van 50.000 euro van de Autoriteit Persoonsgegevens(AP) kreeg. Het ging om de constatering in 2017 door de AP dat er binnen Menzis onvoldoende toezicht was op wie toegang had tot medische persoonsgegevens EN het onvoldoende snel doorvoeren van verbeteringen op advies van de toezichthouder. Het bericht over de boete staat enigszins weggemoffeld in het jaarverslag 2018 en is niet op de website rechtstreeks zichtbaar. Daarnaast lijkt de Autoriteit Persoonsgegevens Menzis ook publicitair te sparen

Lees verder