Akwa maakt onrechtmatig verkregen ROM-data toch raadpleegbaar

illegal

Op de website van Akwa GGZ, kortweg Akwa genoemd, staat dat sinds 15 maart 2019 een geanonimiseerde dataset van ROM-data, verkregen van haar rechtsvoorganger SBG, te raadplegen is. Het gaat om data, waarvoor geen toestemming aan de patiënt gevraagd is, voor het mogen be-/verwerken. SBG beheerde de data in gepseudonimiseerde vorm. In maart 2017 gaf de toenmalige minister van VWS, Edith Schippers, in haar antwoord op Kamervragen aan dat voor het verwerken van die data een wettelijke grondslag nodig is. Het verkrijgen van expliciete toestemming van de patiënt is één van die grondslagen. Terwijl de Autoriteit Persoonsgegevens(AP) nog steeds, al meer dan 100 weken, onderzoek doet naar de rechtmatigheid van de verwerking door SBG, komt Akwa met de beschikbaarstelling van de data voor onderzoek door professionals. Ook al gaat het om anonimisatie na de aanvankelijke pseudonimisatie, het blijven onrechtmatig verkregen data, die niet hergebruikt mogen worden.  Een even opmerkelijke als juridisch aanvechtbare stap van Akwa.   

SBG

Deze afkorting stond voor Stichting Benchmark GGZ dat, volledig betaald door zorgverzekeraars, Routine Outcome Monitoring(ROM)-data verzamelde en be-/verwerkte. Die data komen uit vragenlijsten die de patiënt invult en die het mogelijk maakt het verloop van de therapie met de therapeut te evalueren. Ten onrechte zijn deze data opgevat als een bron van gegevens om de kwaliteit van de zorg te meten en te vergelijken. SBG kwam in de problemen toen in de loop van 2017 er een heftig debat ontstond over het gebruik van deze data. Aangezien het om gepseudonimiseerde data ging, dienden die beschouwd moeten worden als (bijzondere) persoonsgegevens. Dientengevolge had mede omdat SBG die data buiten de instellingen en praktijken van zorgaanbieders verwerkte, toestemming aan de patiënt gevraagd moeten worden.

Heel verhaal

Akwa zet op haar website een heel verhaal over nu raadpleegbaar gemaakte data:

“Omdat we buiten de privacy discussie over eerder verzamelde uitkomstinformatie wensen te blijven, nemen wij uitsluitend gegevens over van SBG die relevant zijn voor het benutten van uitkomstgegevens. De dataset die wij hebben overgenomen, is ontdaan van gegevens zoals pseudo BSN en de herkomstgroepering. Vervolgens hebben we onderdelen van de resterende dataset zodanig bewerkt dat de gegevens niet kunnen worden herleid naar personen, ook niet wanneer we nieuwe gegevens ontvangen.”

Dit verhaal doet helemaal niets af aan de onrechtmatige verwerving van de dataset door SBG. Akwa mag en kan daarom deze dataset ondanks de door haar gedebiteerde maatregelen gewoon niet gebruiken. Ze maakt zich schuldig aan “heling”.

 Onwillige AP

Normaal gesproken zou men verwachten dat de toezichthouder, in dit geval de Autoriteit Persoonsgegevens(AP) toeziet op een dergelijk kwalijke handelswijze. De AP lijkt echter dit gebruik stilzwijgend te faciliteren. Dat gebeurt via twee sporen. Het heeft te maken met een sinds begin 2016 lopende rechtszaak , aangespannen door de burgerrechten-vereniging Vrijbit tegen de AP en een handhavingsverzoek van een ex-GGZ patiënte bij de AP. In het eerste geval traineert de AP al een paar jaar een uitspraak over het zonder toestemming van de patiënt gebruiken van gepseudonimiseerde data. In het tweede geval is de AP al meer dan 100 weken bezig met onderzoek over de vraag over de onrechtmatigheid van de verwerking van gepseudonimiseerde ROM-data door SBG. Het lijkt erop dat de AP een uitspraak erover voor zich uit schuift tot na het bekend worden van de uitspraak in de zaak UTR 16/4199 WBP V93 van Vrijbit tegen haar.

Vrijbit

De zaak UTR 16/4199 WBP V93 gaat over de wijze waarop de Nederlandse Zorgautoriteit (NZa) de medische diagnose- en behandelgegevens (DBC’s) van de gehele Nederlandse bevolking periodiek opeist van de zorgverleners, deze zelf verwerkt in het DBC Informatie Systeem(DIS) en verstrekt aan derde partijen. De laatste zitting in deze zaak was op 15 februari 2019. De uitspraak wordt verwacht op of vlak voor 11 mei 2019.

 Oogluikend toestaan

De AP kan door dit alles met recht verweten worden oogluikend de handelswijze van Akwa toe te staan. Wat deze materie wel heel erg duidelijk maakt dat als er enorme belangen in het spel zijn de AP geneigd is de oren te laten hangen naar invloedrijke belanghebbenden bij het verzamelen van die data. Al eerder stelde ik dat het een toezichthouder onwaardig is. Des te frustrerender is het dat de AP met haar gedrag die belanghebbenden in hoge mate faciliteert. Akwa probeert grenzen te verkennen met haar in juridisch opzicht opmerkelijke actie.

W.J. Jongejan, 21 april 2019

 

 

 

 

 




Zorgdata verwerken, MRDM en gepseudonimiseerde data

big data

Recent zorgde een bericht in het Algemeen Dagblad op 30 maart 2019 voor flink wat rumoer. Het zorgdata verwerkende bedrijf Medical Research Data Management(MRDM) blijkt deze data opgeslagen te hebben in de Google Cloud(locatie Eemshaven). Het gegeven dat het om gepseudonimiseerde data gaat, die volgens de vigerende wet- en regelgeving gewoon als bijzondere persoonsgegevens beschouwd moeten worden maakt het één en ander nog interessanter. Binnen MRDM heeft men zelf ook wel door dat er sprake is van bijzondere persoonsgegevens. Op 17 mei 2018 hield het bedrijf een informatiebijeenkomst gegevensbescherming  waarin dit onderwerp en de relatie tot de Algemene Verordening Gegevensverwerking(AVG) ter sprake kwam. Sprekers waren onder andere de “zorg”-jurist Theo Hooghiemstra en zijn confrater Evert-Ben van Veen, directeur van het bedrijf MedLaw. Bij het doorspitten van de positie van het bedrijf MRDM stuitte ik op een kluwen van zorg-data-verwerkende bedrijven die plotseling de Value Based HealthCare(VBHC) hoog in het vaandel hebben staan.

Kluwen

Bij het uitzoeken wat nu precies de positie is van het bedrijf MRDM bleek het lastig om de positie die het bedrijf in zorgdataverwerking in kaart te brengen. Het bedrijf is gevestigd op de Leeuwenbrug 115 te Deventer. Op dat adres blijken ook LOGEX Participatie II B.V, Brightingale B.V., Value2Health, en One2Many B.V. gevestigd te zijn. Ook de servicedesk van het Leidse Dutch Institute of Clinical Auditing(DICA) blijkt er aanwezig te zijn. De samenhang tussen enkelen van deze wordt enigszins duidelijk in de presentatie van de directeur Paul Crauwels. (sheet 4)

LOGEX

LOGEX en Value2Health hangen onder de LOGEX-groep, waarbij MRDM de dataverwerking doet en weer data door levert aan bijv. DICA. Het blijkt nog iets ingewikkelder omdat ZorgInvest B.V. de moeder maatschappij van Value2Health blijkt te zijn.  Binnen ZorgInvest zien we ook het uit  het voorbije jaren bekende Prismant weer terug. Dat heette tijdelijk, als onderdeel van Kiwa, Kiwa Carity, maar werd onder de naam Prismant bij Zorginvest ingelijfd.  De LOGEX-groep blijkt naar eigen zeggen de eerste Europese speler te zijn in geavanceerde software en analytics voor het meten van uitkomsten en kosten van zorg. We zien hier een ontwikkeling waarbij op grote schaal het uitbaten van zorgdata het businessmodel vormt voor een woud aan bedrijven. Alle bedrijven zijn met zorgdata bezig, maar het is lastig aan te geven waarin ze van elkaar verschillen. Men stelt dat op basis van deze zorgdata therapieën verbeterd kunnen worden en zorg efficiënter ingericht kan worden. Toch bekruipt mij bij dit alles het gevoel van data-harvesting op grote schaal.

AVG

Op de in de inleiding genoemde informatieavond belichtten ieder vanuit een andere hoek Theo Hooghiemstra en Evert-Ben van Veen de situatie van het verwerken van bijzondere persoonsgegevens. De AVG staat op zich het verwerken van medische gegevens als zijnde bijzondere persoonsgegevens toe maar er dient toestemming voor gevraagd te worden. In het geval van MRDM door de ziekenhuizen die de data aanleveren aan de patiënten. Dat gebeurt nu niet. Hooghiemstra ziet wel dat bij gepseudonimiseerde data de AVG van toepassing is en dat wel toestemming van de betrokkene nodig is. Hij komt in de discussie toch tot een wat vreemde toelichting. Hij stelt bij de Autoriteit Persoonsgegevens en bij de koepels gezegd te hebben dat je er niet tegen moet verzetten, maar dat het tijd kost om dit goed in te regelen. Het als bijzondere persoonsgegevens moeten beschouwen van gepseudonimiseerde zorgdata is echter een gevolg van vigerende wet- en regelgeving. Daarbij dient gewoon gehandhaafd te worden door de toezichthouder en niet afgewacht tot het goed ingeregeld is.

MedLaw

Evert-Ben van Veen van het juridisch adviesbureau MedLaw ziet dat duidelijk anders. In zijn presentatiesheets en in zijn tekst wijst hij de tegenstelling toestemming vragen of anders volledig anonimiseren van data af. Hij zegt uit te willen gaan van de gedachte dat als we een solidair zorgsysteem hebben datasolidariteit vanzelfsprekend moet zijn. Dat liet hij op deze website ook weten in een reactie op een op 1 april 2019 verschenen artikel van mij. Het is een wat makkelijk redenatie, want waar stopt die solidariteit dan.  Dezelfde redenatie kan men ook ophangen over een solidaire samenleving en zo veronderstellen dat alle data van burgers daardoor uit solidariteit uitgewisseld mogen worden. Hij stelde op de bijeenkomst ook dat gegevens niet direct-identificerend moeten zijn en in een veilig systeem gebruikt worden. Maar ja, wat versta je onder “direct identificerend” en wie bepaalt wat ‘veilig” is of “veilig genoeg”. Hij gaat voorbij aan de vigerende wet- en regelgeving en wil eigenlijk de gegroeide, niet legale manier van dataverwerking faciliteren. Van Veen voelt wel wat voor een optout-regeling. De patiënt moet dan wel weten dat hij deze vorm van negatieve toestemming kan uitoefenen. Dus dat betekent toch een extra actie richting patiënten wat hij eigenlijk niet wil.

Nog even dit

De data die MRDM van ziekenhuizen aangeleverd krijgt zijn minimaal voor een groep van zeven ziekenhuizen van de Santeon-groep niet-gepseudonimiseerd, nog ruwe data, als ze het ziekenhuis via een beveiligde verbinding verlaten richting MRDM. Pas bij dat bedrijf vindt zo nodig pseudonimisatie plaats. Zie hoofdstuk 3.1 van het Dataprotocol dd 10 januari 2017 van de Santeongroep.  De opgeslagen data zijn wel versleuteld.  Het gaat om de volgende ziekenhuizen: Canisius Wilhelmina Ziekenhuis(Nijmegen), Catharina Ziekenhuis (Eindhoven), Maasstad Ziekenhuis(Rotterdam), Martini Ziekenhuis(Groningen), Medisch Spectrum Twente(Enschede), OLVG(Amsterdam) en het St. Antonius Ziekenhuis(Utrecht/Nieuwegein/Woerden).

Als het ruwe data zijn, had toestemming aan de patiënt sowieso gevraagd moeten worden. Mij is het als zorggebruiker van één van die ziekenhuizen nooit gevraagd. Het werken met een veronderstelde toestemming is niet correct.

W.J. Jongejan, 9 april 2019

 




Forse boete AP voor MENZIS i.v.m. onvoldoende toezicht op inzage medische dossiers

forrse boete

Waar iedereen eigenlijk aldoor bang voor was, blijkt echt gebeurd te zijn. Een zorgverzekeraar geeft personen binnen de organisatie die niet bevoegd zijn inzage in medische dossiers. In het zojuist verschenen jaarverslag over 2018 van de zorgverzekeraar Menzis is te lezen dat men in dat jaar een boete van 50.000 euro van de Autoriteit Persoonsgegevens(AP) kreeg. Het ging om de constatering in 2017 door de AP dat er binnen Menzis onvoldoende toezicht was op wie toegang had tot medische persoonsgegevens EN het onvoldoende snel doorvoeren van verbeteringen op advies van de toezichthouder. Het bericht over de boete staat enigszins weggemoffeld in het jaarverslag 2018 en is niet op de website rechtstreeks zichtbaar. Daarnaast lijkt de Autoriteit Persoonsgegevens Menzis ook publicitair te sparen

Weggemoffeld

De passage waarin de boete vermeld staat is in het hoofdstuk 2 van het jaarverslag onder de kop “Beleid en resultaten”.  Wat staat er precies?

“Naar aanleiding van een onderzoek bij Menzis eind 2017 , constateerde toezichthouder AP dat Menzis onvoldoende toezag op wie er binnen onze organisatie toegang had tot persoonsgegevens betreffende de gezondheid. Gebleken is dat enkele medewerkers onnodig toegang hadden tot deze gegevens. Hoewel met de toegangsmogelijkheid niet verkeerd is omgegaan en de AP tijdens het ondezoek constateerde dat er geen sprake is van verkeerd of oneigenlijk gebruik van persoonsgegevens, hebben we dit signaal zeer serieus genomen. We hebben de toegang voor deze medewerkers dan ook onmogelijk gemaakt. De AP vindt echter dat deze verbeteringen onvoldoende snel zijn doorgevoerd en heeft ons een boete opgelegd van € 50.000. Wij vinden het vanzelfsprekend dat alleen bevoegde personen toegang hebben tot gezondheidsgegevens van klanten. Onze klanten hebben er recht op dat wij onze taak als zorgverzekeraar goed uitvoeren. In haar onderzoek constateerde de AP dat bij Menzis het bewaken van de privacy op een adequate wijze in de cultuur van het bedrijf is geborgd. Wij betreuren dan ook de oplegging van de boete. Het is voor ons een belangrijk signaal dat wij nog alerter moeten zijn rondom privacy. We zullen ons hier de komende jaren op blijven richten in nauwe samenwerking met toezichthouders zoals de AP, DNB(De Nederlandse Bank) en NZa(Nederlandse Zorgautoriteit). Tevens zullen wij naar onze klanten met regelmaat communiceren over de maatregelen die wij nemen om de privacy te blijven borgen”

Schandelijk

De wijze waarop Menzis met dit probleem omgaat is ronduit schandelijk te noemen. Men krijgt een bezoek van de privacy-toezichthouder. Die constateert twee flinke problemen en men reageert er traag op. Na de boete wordt er opeens wel onmiddellijk een einde gemaakt aan inzage door niet daartoe bevoegde personen.

Op haar website meldt Menzis op 7 maart 2018 dat ze met de AP in gesprek is in verband met een bezoek van de AP. Men spreekt in algemene bewoordingen over het beleid welke medewerkers tot persoonsgegevens krijgen zonder te melden dat het om medische persoonsgegeven gaat. Ook niet dat het in de ogen van de AP om onbevoegde inzage ging. Ook de logging van de inzage zou verbeterd moeten worden. Blijkbaar was die onder de maat. Tot eind 2018 zou Menzis naar eigen zeggen in de gelegenheid gesteld zijn deze onderdelen verder te verbeteren. Met geen woord wordt gerept over inzage door onbevoegde personen.

Bevoegd/onbevoegd

Er blijkt uit de besluitvorming van de AP dat er blijkbaar sprake is van een verschil van mening tussen de AP en Menzis over wie bevoegd is tot inzage. Menzis zegt in het jaarverslag dat ze vanzelfsprekend alleen bevoegde personen inzage geeft. Toch geeft de AP een aanzienlijke boete vanwege het niet goed regelen van de inzage van medische dossiers.

Menzis spreekt over een uitstekende verhouding met de toezichthouders, waaronder de AP. Blijkbaar had men toch niet de tijd tot eind 2018, omdat de AP nog in 2018 de boete van 50.000 euro  oplegt. Anders was die nooit in het jaarverslag 2018 terecht gekomen.

Politiek item

Het inzien van medische dossiers door medewerkers van zorgverzekeraars ligt al enige tijd onder een vergrootglas. Een wetsontwerp dat in het kader van het bestrijden van zorgfraude is gemaakt door het ministerie van VWS sleept zich vanaf 2014 voort door het parlement. Het gaat om het wetsontwerp 33.980. Mede vanwege de angst dat zorgverzekeraars ontercht inzage in medische dossier zouden krijgen werd in december 2018 de minister voor de zorg Bruno Bruins, gevraagd daar nog eens goed over na te denken. Plenaire behandeling staat u gepland voor 14 mei 2019. Het is echter de vraag of na de boete voor Menzis door de AP de Eerste Kamer niet totaal anders gaat denken over deze materie.

AP spaart Menzis publicitair

De Autoriteit Persoonsgegevens is een notoir trage reageerder en laat niet vaak haar tanden zien. Nu blijkbaar wel. Wat echter bijzonder vreemd is dat op de website van de AP geen enkel bericht over deze boete aan Menzis te vinden is. Ook met de zoekfunctie op de website is niets over deze boete te vinden. Het ziet er dan ook naar uit dat de AP Menzis publicitair behoorlijk spaart ondanks het opleggen van de boete.

Vertrouwen weg

Door wat er gebeurd is bij Menzis moeten we dus stellen dat we een zorgverzekeraar niet klakkeloos kunnen vertrouwen als het gaat om berichtgeving dat alleen maar bevoegde personen inzage hebben in medische dossiers. Het stoort mij ook dat Menzis nog van alles in haar bericht in het jaarverslag probeert af te dingen op het oordeel van de AP. We weten dit nu van Menzis maar het is de vraag of het bij de andere zorgverzekeraars beter gesteld is.

Wat door critici lang gevreesd is, blijkt helaas waarheid.

W.J. Jongejan, 4 april 2019

 

 




Juridische overwegingen bij medische data door MRDM en opslag bij Google Cloud

juridische

Op 1 april 2019 schreef ik op deze website een artikel over een bericht van het Algemeen Dagblad op 30 maart. Het betrof de verwerking van massale hoeveelheden medische data in gepseudonimiseerde vorm door het bedrijf Medical Research Data Management (MRDM) en de opslag van die data op de Google Cloud op de locatie Eemshaven. Inmiddels is de politiek ook wakker geschud, hebben Kamerleden van D66 en SP vragen gesteld en heeft minister Bruins opdracht gegeven aan de Autoriteit Persoonsgegevens onderzoek te doen. Er zitten interessante juridische kanten aan deze materie, voornamelijk van principiële aard. Niet alleen gaat het dan over het feit dat de data in de Google Cloud nu opgeslagen staan, maar ook over de positie van MRDM en de data-verzamelende zorginstellingen. De jurist Theo Hooghiemstra, kind aan huis bij het Ministerie van VWS, en in allerlei gremia betrokken bij data-uitwisseling, blijkt geen zwart/wit antwoord te kunnen geven of de in de Google Cloud opgeslagen data wel veilig zijn.

Onduidelijke positie MRDM

Uit de berichten in het Algemeen Dagblad doet het bedrijf MRDM voorkomen dat het contractueel een onderdeel is van de aanleverende zorginstellingen (zie daarin punt 4: Kan dit zomaar?) en dus geen derde zou zijn die de data voor de zorginstellingen be-/verwerkt. Het bedrijf doet ermee voorkomen geen zelfstandige onderneming te zijn. Het vreemde aan die constructie is dat meerdere zorginstellingen dezelfde onderneming als onderdeel van hun organisatie zouden hebben. Dat maakt de zelfstandigheid van MDRM dan ook twijfelachtig.  Toch profileert  MRDM zich zelf naar buiten als een zelfstandige onderneming, als Trusted Party. Op haar website profileert MRDM zich ook als zelfstandige onderneming met als klanten een baaierd aan zorginstellingen.

Verwerkingsverantwoordelijke en be-/verwerker

Bij het be-/verwerken van data is er volgens de Algemene Verordening Gegevensbescherming(AVG) altijd een verwerkingsverantwoordelijke die het doel van en de middelen van de gegevensverwerking vaststelt. Deze heeft de zeggenschap over hetgeen wordt verwerkt, kan instructies geven voor de gegevensverwerking en heeft hierop feitelijke invloed. Het gaat hier vooral om wie daadwerkelijk de beslissingen neemt en feitelijk bepaalt wat er met die gegevens gebeurt. De verwerker verwerkt persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke. In het geval van gepseudonimiseerde zorgdata dienen we op basis van uitspraken van de Autoriteit Persoonsgegevens gewoon te spreken over het verwerken van (bijzondere) persoonsgegevens. Daarbij is bij hergebruik voor een ander doel toestemming van de patiënt noodzakelijk.

MRDM

De reactie van MRDM doet duidelijk uitkomen dat zij zichzelf “slechts” ziet als een bewerker die medische gegevens verwerkt in opdracht van ziekenhuizen. Dit standpunt houdt in dat MRDM niet eigenstandig mag beslissen op welke wijze en waarvoor de door ziekenhuizen aangeleverde data worden verwerkt. Dit betekent ook dat de doorlevering van data aan Google gebeurt in opdracht van de ziekenhuizen die door MRDM worden aangemerkt als de verantwoordelijke voor de verwerkingen die door hen als bewerker worden uitgevoerd.

Eigen Initiatief?

Mocht de doorlevering van de medische data aan Google Cloud op eigen initiatief van MRDM geschied zijn dan moet zij worden aangemerkt als verwerkingsverantwoordelijke . Die kan en moet dan worden aangesproken op de vereisten die gelden voor het verwerken van deze bijzondere persoonsgegevens.

Wettelijke en verdragsrechtelijke eisen

Bewerkers die worden ingeschakeld voor de verwerking van bijzondere persoonsgegevens moeten gehouden kunnen worden aan dezelfde wettelijke en verdragsrechtelijke vereisten zoals die gelden voor de verwerkingsverantwoordelijke. Een andere opvatting is onhoudbaar omdat anders het inschakelen van een buitenlandse bewerker die niet gehouden is aan in Nederland geldige wet en regelgeving tot een “reguliere optie” wordt voor het in strijd met de wet(illegaal) verwerken van persoonsgegevens van Nederlanders.

Zeer problematisch

Een ander problematisch punt in deze casus is echter dat besturen van ziekenhuizen zonder toestemming van de patiënt menen te kunnen en mogen beschikken over behandelinformatie van in het ziekenhuis werkzame zorgverleners. De gegevens in dossiers van zorgverleners zijn verkregen voor de behandeling van de patiënt en mogen niet aan derden die niet direct bij de behandeling betrokken zijn slechts worden door geleverd voor enig ander welbepaald doel zonder expliciete geïnformeerde toestemming van de patiënt.

Toe-eigening zeggenschap zorgdata

Ook buiten deze casus speelt dit bij de pogingen tot verstrekking van ROM-data door GGZ-instellingen aan eerst SBG en thans Awka met De Nieuwe Entiteit als verwerker. De gedachte dat besturen van GGZ-instellingen uit hoofde van hun functie menen te kunnen beschikken over gegevens in patiëntdossiers van zorgverleners is  volstrekt onjuist. In het model-privacy-reglement  van GGZ Nederland voor GGZ-zorginstellingen  worden de besturen van zorginstellingen tot verwerkingsverantwoordelijke gemaakt  die het doel en de middelen van de verwerking vaststellen.

Het gevolg is dat niet de cliënt met de zorgverlener bepaalt of persoons-/behandelgegevens van de cliënt de instelling verlaten, maar de zorgaanbieder, zijnde het bestuur en de directie van de zorginstelling. Ik schreef hierover op 29 maart 2018.

Patiënten

Het is triest om te moeten constateren dat in dit data-geweld de rechten van patiënten om zelf te beschikken over wat er met zijn/haar data gebeurt met de voeten worden getreden. Allerlei constructies worden opgetuigd om over die data te beschikken. De Autoriteit Persoonsgegevens die daarover zouden moeten waken slaapt of is onwillig krachtige beslissingen te nemen.

W.J. Jongejan, 3 april 2019

 

 

 

 

 

 

 

 

 

 




Wegduikende Autoriteit Persoonsgegevens faciliteert weer massale overdracht van medische data

wegduikende

Op zaterdagochtend 30 maart 2019 verscheen op de website van het Algemeen Dagblad een artikel over het kopiëren van massale hoeveelheden patiëntendata naar servers van de Google-cloud. Enkele uren later gevolgd door een tweede artikel, genaamd: “Ook jouw medische data liggen nu bij Google”.  Dat gebeurde door het dataverwerkingsbedrijf Medical Research Data Management (MRDM), één van de grootste medische dataverwerkingsbedrijven van het land. Die kopieerde die data naar het Google Cloud Centre aan de Eemshaven te Groningen. Het gaat om gepseudonimiseerde behandelgegevens van honderdduizenden Nederlanders uit ziekenhuizen en bevolkingsonderzoeken. MRDM verzamelt en verwerkt zorgdata om er bigdata-analyse op uit te voeren. Wat hier gebeurt is al meerdere keren op andere terreinen gebeurt. Bij de verzameling van diagnosegegevens in het Diagnose BehandelCombinaties(DBC’s) in het DBC Informatie Systeem(DIS) gebeurt precies hetzelfde met gepseudonimiseerde gegevens. Ook bij het verzamelen van Routine Outcome Momitoring(ROM)-data uit de geestelijke gezondheidszorg(GGZ) gebeurt precies hetzelfde. Ik schreef er op deze website vaker over. Bij al die verwerkingen speelt de Autoriteit Persoonsgegevens(AP) een dubieuze, maar cruciale faciliterende rol.

Autoriteit Persoonsgegevens

De AP speelt die rol omdat ze oogluikend het verwerken van gepseudonimiseerde gegevens voor andere doeleinden dan waarvoor ze bedoeld zijn, zonder nadere toestemming van de patiënt, toestaat. Diverse pogingen om de AP bij de les te houden stranden op de halsstarrige houding van de AP om een beslissing te nemen over de gevolgen van de status van gepseudonimiseerde patiëntgegevens. Die pogingen zijn in gang gezet via de burgerrechtenvereniging Vrijbit in samenwerking met de Stichting KDVP en door een handhavingsverzoek aan de AP door een ex-patiënte uit de GGZ in het voorjaar van 2017. Naar het DIS doorgestuurde data zijn gepseudonimiseerd. Dat geldt ook voor de ROM-data die eerst naar de Stichting Benchmark GGZ gingen en nu naar de rechtsopvolger Akwa in samenwerking met De Nieuwe Entiteit als verwerker. Het handhavingsverzoek dat de ex-patiënte in maart 2017 deed aan de AP  hield in dat de AP gevraagd werd er op toe te zien dat de verzameling en verwerking van ROM-data gestaakt moest worden omdat zulks zonder toestemming van de patiënt gebeurde. Mede naar aanleiding van dit handhavingsverzoek startte de AP een onderzoek in juni 2017 richting SBG.

Gepseudonimiseerde patiëntgegevens

Patiëntgegevens die gepseudonimiseerd zijn dienen te worden beschouwd als (bijzondere) persoonsgegevens. Pseudonimisatie is namelijk geen anonimisatie. Bij dat laatste is sprake van een onomkeerbaar proces. Na anonimisatie is geen herleiding tot een persoon mogelijk. In het artikel in het AD geeft de directeur van het bedrijf ook aan dat enkele werknemers die ontsleuteling kunnen toepassen. De AP heeft zelf in 2015 duidelijk gemaakt dat pseudonimisatie een beveiligingsmaatregel is die de herleidbaarheid tot het individu beperkt, maar niet voorgoed onmogelijk maakt.

Geen toestemming gevraagd

Dat verwerkte de voormalige minister van VWS Edith Schippers in een antwoord op Kamervragen in maart 2017 over het verzamelen van en verwerken van ROM-data. Zij bevestigde dat pseudonimiseren slechts een beveiligingsmaatregel is. Daarnaast zei ze dat er dus voor de verwerking van gepseudonimiseerde gegevens een wettelijk grondslag nodig is op basis van de Wet bescherming persoonsgegevens(Wbp). Het verkrijgen van expliciete toestemming van de patiënt is één van de grondslagen. Noch in het geval van de DIS-data, noch bij de ROM-data, noch bij de door MRDM verwerkte data is van die toestemmingsvraag  sprake.

Laffe houding

De AP heeft door de loop der tijd blijk gegeven van het niet eigenstandig krachtige beslissingen nemen. Ze laat haar oren hangen naar de politiek en naar grote veldpartijen zoals de zorgverzekeraars. De rechtszaak van Vrijbit en KVDP loopt al vanaf begin 2016 en wordt door toedoen van de AP telkenmale getraineerd. Het onderzoek van de AP over het verzamelen van ROM-data door eerst SBG en huidige rechtsopvolgers is na 94 weken nog steeds niet afgerond. Het handhavingsverzoek is om formele gronden afgewezen. De vraagstelster stelde ruim 100 weken na maart 2017 de AP in gebreke vanwege het niet nemen van een beslissing binnen de normaal geldende termijnen. De AP stelde dat het verzoek te moeten afwijzen omdat het onderzoek nog niet was afgerond(sic!)

Legaal?

Het bedrijf MRDM stelt dat alles volkomen legaal gebeurt. In haar persbericht staat dat het zorgdata verwerkt in opdracht van de partij die wettelijk verantwoordelijk is voor die data, met een vooraf afgestemd doel. Ziekenhuizen geven volgens MRDM opdracht om de gegevens te verwerken ten behoeve van kwaliteitsverbetering, kostenbeheersing en/of onderzoek. Daarmee haalt het bedrijf letterlijk een uitzonderingsbepaling in de AVG aan, waar in punt 52 staat dat die gronden een uitzondering kunnen zijn voor het verbod op het verwerken van bijzondere persoonsgegevens. Men gaat echter daarbij voorbij aan het feit dat voor het verwerken van bijzondere persoonsgegevens voor een ander doel dan waarvoor ze initieel vergaard zijn toestemming nodig is van de patiënt. Daar hoort de AP op toe te zien en op te handhaven.

Een Autoriteit Persoonsgegevens die wegkijkt bij kritische vragen en geen beslissing durft te nemen is de naam Autoriteit niet waardig. Ze faciliteert onwettige praktijken.

O ja: ook nu weer betalen de zorgverzekeraars grotendeels de acties van MRDM.

W.J. Jongejan, 1 april 2019.

 

 

 




Onbegrijpelijke gebeurtenis met geheime stukken in rechtszaak Vrijbit

geheim

Tijdens één van de zittingen van de rechtbank Midden-Nederland op vrijdag 15 februari 2019 in de zaken die de burgerrechtenvereniging Vrijbit tegen de Autoriteit Persoonsgegevens(AP) aanspande deed zich iets zeer opmerkelijks voor. Ik beschreef zeer recent(14 februari 2019) deze twee zaken op deze website. In dat artikel maakte ik al melding van het feit de AP na het verstrijken van elk redelijke termijn in september 2018 plotseling een flinke stapel papier  bij de rechtbank deponeerde. Daarbij de melding dat een aanzienlijk deel van deze stukken onder geheimhouding werd aangeleverd en dus niet aan de eisende partij, Vrijbit, geopenbaard mocht worden. De rechtbank blijkt deze gang van zaken geaccepteerd te hebben.  De jurist Ab van Eldijk die samen met Vrijbit voorzitter Miek Wijnberg, de eisende partij vertegenwoordigde was  echter volstrekt verbijsterd toen de AP ter zitting alsnog enige geheime stukken wilde inbrengen.

Gang van zaken

De geheime stukken bracht de AP in de zaak UTR 16/3326 WBP V97 in.  Bij deze zaak gaat om het afgewezen verzoek van Vrijbit op 3 mei 2015 aan de AP om een eind te maken aan de onrechtmatige verzameling en verwerking van medische gegevens door de zorgverzekeraars. Ter zitting meldde de voorzitter  van de rechtbank dat de onder geheimhouding door de AP ingebrachte stukken ter beoordeling waren voorgelegd aan een andere rechter in de rechtbank, belast met het beoordelen van geheime stukken. Die had geoordeeld dat het geheimhouden van deze stukken, die betrekking hadden op de kern van deze procedure, te weten de verwerking van medische persoonsgegevens bij zorgverzekeraars, gepermitteerd werd,  en niet ter beschikking gesteld behoefden te worden aan Vrijbit.

Loos gebaar

Ter zitting kreeg Vrijbit alsnog één A4-tje uitgereikt, met daarop de omschrijving van een tweetal stukken die de AP ter plekke nog aan het dossier wilde toevoegen.  Het is bevreemdend dat de rechtbank niet direct  bezwaar gemaakt heeft tegen het verzoek van de AP om op deze wijze ter zitting nieuwe stukken in te brengen. Overigens is het verzoek om geheimhouding afkomstig van  zorgverzekeraars die informatie met betrekking tot de verwerking van medische persoonsgegevens menen te kunnen aanmerken als geheime bedrijfsinformatie.

No fair trial

Op de hierboven beschreven wijze is er geen sprake van een “fair trial”. Een tegenpartij die nota bene toezichthouder is op privacy-zaken traineert gedurende enkele jaren een procedure over de systematische grootschalige verwerking van medische persoonsgegevens in strijd met de wet en verdrag. Zij meent dat in een dergelijke even gevoelige als belangrijke procedure stukken geheim gehouden kunnen worden die betrekking hebben op de (onrechtmatige) wijze waarop zorgverzekeraars medische persoonsgegevens verwerken die zijn verkregen met doorbreking van het medisch beroepsgeheim.  Van een gelijke informatiepositie van procespartijen is daarmee geen sprake meer. Als informatie over de wijze waarop medische persoonsgegevens worden verwerkt door zorgverzekeraars gemaakt wordt tot geheime bedrijfsinformatie dan wordt daarmee een vrijbrief afgegeven voor elk gebruik van beschikbare medische persoonsgegevens, omdat controle daarop tot een illusie is geworden.

Ingewikkeld

Eén van de punten die in deze zitting aan de orde kwam was de beperking in het onderzoek naar de zorgverzekeraars dat de AP zich zelf had opgelegd. De zaak ging erom dat er een einde wordt gemaakt aan de wijze waarop zorgverzekeraars in Nederland volgens procedures beschreven in de  Gedragscode  Zorgverzeke-raars (medische) persoonsgegevens verzamelen en verwerken op een wijze die strijdig is met nationale en internationale wetgeving ter bescherming van het recht op een privéleven en die tevens een inbreuk vormt op het medisch beroepsgeheim. Je zou dan ook verwachten dat de AP onderzoek gedaan had bij alle zorgverzekeraars en bij de overkoepelende organisatie Zorgverzekeraars Nederland. Dat was niet het geval. De AP beperkte zich tot vier zorgverzekeraars. In de rechtszaal was Zorgverzekeraars Nederland ook niet aanwezig. Wel had zorgverzekeraar Zilveren Kruis ter zitting een advocaat afgevaardigd. Hij sprak welgeteld drie korte zinnen tijdens de zitting.

Onbevredigend

De vertoonde procesgang maakte op mij een zeer onbevredigende indruk. Het beeld bleef hangen van een wegdraaiende en duikende AP, die door niet handhavend op te treden de belangen van zorgverzekeraars laat prevaleren boven de belangen van burgers, boven het belang van het medisch beroepsgeheim en het behoud van vertrouwelijkheid in de zorg.

De rechtbank probeert over zes weken de uitspraak te doen, maar de voorzitter liet weten dat gezien de ingewikkeldheid van de materie mogelijk de uitsteltermijn van nog eens zes weken in beeld komt.

W.J. Jongejan, 18 februari 2019

19 februari 2019:  wat tekstuele aanpassingen in meerdere alinea’s door informatie  verkregen van andere ter zitting aanwezigen.

 




Geheimzinnigheid Autoriteit Persoonsgegevens in principiële rechtszaken

geheime stukken

Aanstaande vrijdag 15 februari 2019 dienen in de ochtend twee zeer interessante zaken over het verzamelen en verwerken van medische gegevens bij de Rechtbank Midden-Nederland in Utrecht. Locatie: Vrouwe Justitiaplein 1. Het gaat om zeer principiële zaken bij de bestuursrechter. De burgerrechtenvereniging Vrijbit voert die al enige tijd. In beide zaken is de Autoriteit Persoonsgegevens(AP) de gedaagde partij. De procesgang duurt al vanaf 2015. De AP heeft op velerlei wijzen de procesgang ernstig vertraagd. Om 09.00u dient de zaak UTR 16/4199 WBP V93 en om 10.30u de zaak UTR 16/3326 WBP V97. Over dit onderwerp  schreef ik al eerder op 15 maart 2017. De komende zittingen zijn zeer interessant voor geïnteresseerden in de privacy van burgers en van patiënten in het bijzonder. De zaken zijn een voortzetting van de rechtszaken met dezelfde nummering die op 10 maart 2017 in Utrecht dienden. In dit artikel zal ik duidelijk maken dat het handelen van de AP een toezichthouder onwaardig is.

De zaak over het DIS

De zaak UTR 16/4199 WBP V93 gaat over de wijze waarop de Nederlandse Zorgautoriteit (NZa) de medische diagnose- en behandelgegevens (DBC’s) van de gehele Nederlandse bevolking periodiek opeist van de zorgverleners, deze zelf verwerkt in het DBC Informatie Systeem(DIS) en verstrekt aan derde partijen. Het DIS, waarvan het College Bescherming Persoonsgegevens(CBP), de rechtsvoorganger van de AP, elf jaar geleden al aangaf dat het geen tot de persoon herleidbare persoonsgegevens zou mogen bevatten. Toch grijpt de AP maar niet in, hoewel al jaren terug onomstotelijk is komen vast te staan dat het wel degelijk om persoonsgegevens gaat. Het handelt in deze kwestie om de behandeling van een beroepszaak die het gevolg is van een handhavingsverzoek dat al meer dan twee jaar geleden werd ingediend.

De zaak over de onrechtmatige gedragscode zorgverzekeraars

De zaak UTR 16/3326 WBP V97 gaat om het afgewezen verzoek van Vrijbit op 3 mei 2015 aan de AP om een eind te maken aan de onrechtmatige verzameling en verwerking van medische gegevens door de zorgverzekeraars. Die gaan tot op de dag van vandaag met de medische gegevens van hun klanten om volgens een gedragscode die strijdig is met de fundamentele rechten op bescherming van het privéleven van patiënten en medisch beroepsgeheim.

Enorme vertraging

Door toedoen van de AP hebben beide zaken een enorme vertraging opgelopen. Ook een verschoning van een rechter daags voor een zitting in december 2016 zorgde voor een uitstel van drie en een halve maand. De reden was niet direct duidelijk, maar nadien bleek dat de partner van één van de rechters een bedrijf had dat zich met de verwerking van medische data professioneel bezig hield.

Coulance rechtbank voor AP

De rechtbank gaf in haar voorlopige uitspraak van 21 augustus 2017 de AP acht weken de tijd om uitgebleven handelen(handhaven) richting NZa(zaak UTR 16/4199 WBP V93) en richting zorgverzekeraars(zaak UTR 16/3326 WBP V97) alsnog te herstellen. Na dit tijdsbestek gaf de AP aan nog 26 weken nodig te hebben voor wat de rechtbank vroeg. De rechtbank stond dit toe. Na die tijd bleek de AP nog steeds niet voldaan te hebben aan het verzoek van de rechtbank. De rechtbank bood ze een vinger, maar de AP nam meer dan een hele hand! Toen in de loop van 2018 door Vrijbit aan de rechtbank kenbaar was gemaakt dat elke redelijk termijn overschreden was, kwam de AP op 17 september 2018 opeens met een zeer uitzonderlijke actie.

Geheime stukken

De AP presenteert dan aan de rechtbank in beide dossiers(zaak UTR 16/4199 WBP V93 en zaak UTR 16/3326 WBP V97) een zes centimeters hoge stapel papieren met geheime informatie. Die stukken waren alleen ter inzage voor de rechtbank. In deze kwesties van zeer principiële aard is een dergelijke ontwikkeling toch wel erg vreemd. Blijkbaar zijn er zulke grote belangen bij de door Vrijbit gewraakte activiteiten waarop de AP zou moeten acteren dat men  voor deze werkwijze kiest.

Geen equality of arms

In de rechtsgang is het een buitengewoon groot goed dat beide partijen over dezelfde informatie beschikken en daarop hun handelen afstemmen. Als beide procespartijen niet over dezelfde documenten beschikken kan dat in strijd zijn met het recht op een eerlijk proces onder art. 6 van het Europese Verdrag van de Rechten van de mens(EVRM). Het is het principe van de “equality of arms”. Slecht s in een zeer beperkt aantal gevallen kan hier van af geweken worden als daar een omschreven wettelijke grondslag(uitspraak Raad van State) voor is.

Stuitend

Het is stuitend om te zien hoe een toezichthouder op de privacy, die de AP behoort te zijn, haar handhavende taak niet waarmaakt. Ook stuitend is de wijze waarop de procesgang eindeloos getraineerd is en de wijze waarop men uiteindelijk met processtukken aankomt die niet door de andere procespartij ingezien mogen worden.

Het is handelen dat een toezichthouder onwaardig is, slechts verklaarbaar door grote belangen die diverse partijen in de gegevensverzameling en -verwerking hebben.

W.J. Jongejan, 14 februari 2019




Schaamteloze juridische redenatie IGJ beperkt recht benadeelde burger

shame on you

Opt-in-toestemming voor het Landelijk SchakelPunt(LSP) is voor mij tot drie maal toe buiten mijn wil genoteerd.  Op deze website heb ik meerdere keren u op de hoogte gehouden over de pogingen om er voor te zorgen dat toezichthouders toezien op een correcte handelswijze en handhaven. Dat laatst gebeurt niet. Zowel de Autoriteit Persoonsgegevens(AP) als de Inspectie Gezondheidszorg en Jeugd(IGJ) hebben een broertje dood aan die activiteiten. Naar analogie van een handhavingsopdracht van de IGJ aan het Isala-ziekenhuis in Zwolle vroeg ik de IGJ om handhavend op te treden tegen apotheken die onterecht opt-in-toestemmingen van bezoekende patiënten noteren. Eerder deed ik dat bij de AP in samenspraak met de burgerrechtenvereniging Vrijbit. Bij de afhandeling van de verzoeken blijkt hoe beide controlerende instanties (waakhonden?) eigenlijk geen hand uitsteken. Ze doen zoveel mogelijk moeite om het verzoek van de burger af te wijzen en hem/haar te ontmoedigen. De wijze van handelen is op zijn zachtst gênant te noemen en beperken de burger in hoge mate zijn recht te halen. De controlerende instanties laten de verdenking dan ook op zich dat zij het wederrechtelijk handelen faciliteren dan wel sanctioneren.

IGJ

In eerste instantie vond de IGJ dat er wel sprake was van een eigen belang dat ik had bij mijn handhavingsverzoek maar wees men het af toch af. Dat was omdat een mondelinge toestemming(die ik niet gegeven had) ook een rechtsgeldige toestemming is voor het LSP. Hoewel (vermeende) toestemmingen moeilijk achteraf te controleren zijn vond men dat de apotheken geen overtreding hadden begaan. Vreemd was ook dat men sprak van “mijn (al dan niet gegeven) toestemming. Daarmee op zijn minst de indruk wekkend dat men mij maar half geloofde. Tegen deze beslissing ging ik in bezwaar bij de directie Wetgeving en Juridische zaken van het ministerie van VWS waaronder de IGJ ressorteert.

Ontvankelijkheid

De juridische afdeling van het ministerie van VWS komt op een merkwaardige en in mijn ogen schaamteloze wijze met een redenatie waardoor ik niet ontvankelijk wordt verklaard. Ik zou in de ogen van de juristen geen belanghebbende zijn. Volgens artikel 1: 2 van de Algemene wet bestuursrecht(Awb) is een belanghebbend degene wiens belang rechtstreeks betrokken is bij het bestreden besluit. Om als belanghebbende in de zin van de Awb te kunnen worden aangemerkt  dient een natuurlijk persoon een voldoende objectief bepaalbaar, actueel, eigen en persoonlijk belang te hebben dat hem in voldoende mate onderscheidt van anderen en dat rechtstreeks door het omstreden besluit wordt geraakt.

Vreemde redenering

Wat schrijft de hoofdinspecteur Eckhausen van de IGJ in het besluit op bezwaar:

Om te kunnen verzoeken om handhaving is vereist dat verzoeker is aan te merken als belanghebbende. Het is vaste jurisprudentie (zie bijvoorbeeld ECLI:NL:RVS:2011: BP4700) dat een verzoek tot handhaving dat is ingediend door een niet-belanghebbende, niet kan worden aangemerkt als een aanvraag in de zin van artikel 1:3, derde lid, van de Awb, waardoor de afwijzing van zo’n verzoek geen besluit is als bedoeld in artikel 1:3 lid l Awb.

U bent echter niet aan te merken als belanghebbende in de zin van artikel 1:2 Awb.

Een verzoeker moet namelijk volgens vaste jurisprudentie van de ABRvS een bijzonder individueel belang hebben dat hem daarin onderscheidt van willekeurige anderen. Gedacht kan dan bijvoorbeeld worden aan een directe concurrent van het bedrijf dat de regels overtreedt die door de overtreding In een nadeliger positie wordt gebracht dan de overtreder. Hieruit volgt dat het algemeen belang dat met handhavend optreden is gediend, niet (tevens) een persoonlijk belang van u kan vormen bij uw verzoek tot handhaven (zie hiervoor: uitspraak RvS van l6 februari 2011, nr. 201008062/1/H3 en 201008151/1/H3, ECLI:NL:RVS:2011:BP4700). Het betreft namelijk geen bijzonder individueel belang dat u onderscheidt van willekeurige andere klanten van de door u genoemde apotheken. Het feit dat u ook bij andere apotheken het theoretische risico van onterechte aanmelding zonder toestemming loopt en dat iedereen zou moeten worden behoed tegen dit risico maakt niet dat sprake is van een dergelijk bijzonder individueel belang.

 Aangezien u geen belanghebbende bent bij uw verzoek om handhavend op te treden tegen apotheken waar u geen klant bent, is uw verzoek geen aanvraag in de zin van artikel 1:3, derde lid Awb. De afwijzing van dergelijk verzoek is dan ook geen besluit in de zin van artikel 1:3, eerste lid noch tweede lid Awb.

ABRvS= Afdeling Bestuursrechtspraak van de Raad van State

Jurisprudentie

Waar gaat de genoemde jurisprudentie (ECLI:NL:RVS:2011:BP4700) over ? Bij nazoeken blijkt die uitspraak te gaan om een zaak van een beruchte Dordrechtse huisjesmelker en kamerverhuurder M.K. Omdat de gemeente probeerde deze activiteiten te beteugelen. Als represaille teisterde die persoon de gemeente met WOB-verzoeken en andere rechtszaken. Het geval dat de Raad van State behandelde ging om twee panden, het OSB-gebouw en het voormalige LTS-gebouw te Dordrecht. Die waren in het bezit van de gemeente en de gemeente wilde daar woonruimtes in laten maken en schakelde daar een niet aan M.K. gelieerd bedrijf, Camelot, voor in. M.K. bestreed de handelswijze van gemeente Dordrecht omdat de gemeente daarmee zich op zijn marktsegment begaf. Er was rechtens geen enkele relatie tussen hem, de eigenaar van het ontroerend goed(de gemeente) en de uitvoerder namens de gemeente. Tot aan de Raad van State is telkens bevestigd dat M.K. geen belanghebbende was, dus niet ontvankelijk was.

Kromme

Het kromme van het aanhalen van de aangehaalde jurisprudentie is dat de hoofdinspecteur thans stelt dat ik geen bijzonder individueel belang heb in de zin der wet. De onterechte notering van een opt-in-toestemming is mij als individu overkomen. Het is eigen en persoonlijk, onderscheidt mij van anderen, en objectief bepaalbaar(schermafdrukken in mijn bezit). Dat het niet meer actueel is ligt niet aan mij maar aan het trage handelen van de toezichthouder(s).  Los van mijn persoon zijn er meerdere personen die het overkomen is, zoals mijn echtgenote en op zijn minst twee andere artsen die mij met naam bekend zijn. De redenatie dat ik ook geen individueel belang heb als ik ook bij ander apotheken het theoretische  risico loop om onterecht aangemeld te worden is volkomen onjuist.  Immers, het gaat niet om een theoretisch risico. Het is realiteit, bewezen door mijn meldingen.  De IGJ gebruikt de uitspraak van de Raad van State volkomen ten onrechte als een stok om mee te slaan.

Tendens

Ook uit andere bron heb ik vernomen dat de overheid dezelfde weg probeert te bewandelen om klagende(in haar ogen lastige) burgers de pas af te snijden. Het trieste is dat daarmee een fundamenteel recht van de burger met de voeten getreden wordt, namelijk het recht om zich te verweren tegen onterechte handelingen.. Als een individueel persoon niet kan opkomen (door niet ontvankelijkheid) tegen inbreuken op fundamentele mensenrechten moet je dan direct door naar Straatsburg? Daar, bij het Europese hof Voor de Rechten van de Mens(EVRM) gaat het juist om belangen van individuele burgers.

W.J. Jongejan, 25 januari 2019

 

 

 




Waakhond Autoriteit Persoonsgegevens vertoont extreem egelgedrag

egelherder

Wat doet een egel als er gevaar dreigt? Hij zet zijn stekels op en rolt zich op als bescherming tegen de boze buitenwereld. Precies dat gedrag vertoont de Autoriteit Persoonsgegevens(AP) met heikele kwesties zoals de verwerking van medische gegevens. Op 8 januari 2019 ontving de ex-patiënte uit de geestelijke gezondheidszorg(GGZ) die 93 weken voordien een handhavingsverzoek deed bij de AP, het bericht dat haar handhavingsverzoek was afgewezen. De AP gaf, na in gebreke stelling door de verzoekster om binnen een redelijke termijn tot een beslissing te komen, aan dat het onderzoek nog niet afgerond was en daarom het handhavingsverzoek afwees.  Het verzoek betrof de vraag om handhavend op te treden tegen het onrechtmatig verzamelen en verwerken van (medische en bijzondere) persoonsgegevens door de Stichting Benchmark GGZ(SBG) aangezien die gegevens in hoofdzaak verwerkt worden zonder toestemming van de patiënt. Meer in het bijzonder was gevraagd de verwerking van de gegevens op te schorten en toe te zien op directe vernietiging van de gegevens die opgeslagen zijn in de databank van SBG. Voor degenen die het nog niet begrepen hadden vertel ik hier dan maar dat het gaat om de Routine Outcome Monitoring(ROM) data. Even op deze website zoeken onder de categorie of de tag “ROM” laat meer dan zestig artikelen zien.

Rekken

Het is overduidelijk dat de AP vanaf het indienen van het handhavingsverzoek op 24 maart 2017 bezig geweest is tijd te rekken en geen beslissing wilde nemen. Het hoopte kennelijk dat het probleem op enigerlei wijze tussentijds door ingrijpen van de overheid, zorgverzekeraars en/of werkgevers in de GGZ zich zelf zou oplossen of tenminste kleiner worden. Een verwerpelijke tussenoplossing die bedacht werd, was de “veronderstelde toestemming” waarvan de werkgeversorganisatie in de GGZ, GGZ Nederland,  de initiatiefnemer was. Daarbij ging men er vanuit dat de patiënt als het om kwaliteitsdoeleinden gaat verondersteld werd het wel eens te zijn met het doorsturen van zijn ROM-data, ook al was het hem/haar niet gevraagd. Dat rammelde natuurlijk juridisch gezien flink.

Inzakken SBG

Door alle commotie die vanaf begin 2017 ontstaan is rond de betwiste verzameling en verwerking van ROM-data bij SBG zakte de aanlevering van die data fors in. Van de ongeveer 300 GGZ-instellingen leverden er op een bepaald moment nog maar 75 data aan. Dat was rond de tijd dat ook de toenmalige minister van VWS, Edith Schippers, openlijk moest toegeven dat aanlevering van ROM-data aan SBG een wettelijke basis ontbeerde. Gaandeweg raakte SBG een besmette instelling die met een honderd procent financiering door Zorgverzekeraars Nederland nooit kon leveren wat bij de oprichting beoogd was, namelijk benchmark- en zorginkoop-gegevens. In de loop van 2018 zien we dat de stichting Akwa opgetuigd worden. Het is de Alliantie kwaliteit in de GGZ. Als be-/verwerker van ROM-data wordt een nieuw bedrijf opgericht: De Nieuwe Entiteit.

Truc

De nieuwe truc die bij de overgang van SBG naar Akwa/De Nieuwe Entiteit wordt toegepast is dat SBG wel haar database inbrengt in voornoemde combinatie maar wel muteert. SBG heeft echter(zie pagina4/6 van AP–uitspraak) aangegeven dat zij de gegevens in de huidige database door aggregatie en verwijdering van variabelen zal terugbrengen tot een set statistische gegevens voordat ze de set overdraagt aan Akwa. Hiermee zegt SBG elk risico te willen uitsluiten dat Akwa belast wordt met dezelfde problematiek als zij in het verleden had.

AP gaat mee in truc

De AP stelt nu dat om de nieuwe feiten en omstandigheden te kunnen beoordelen genoodzaakt te zijn weer nader onderzoek in te stellen. Zij voelt zich hiertoe verplicht vanwege het zorgvuldigheidsbeginsel dat neergelegd is in de Algemene Wet Bestuursrecht. De uitkomst van dat nadere onderzoek kan eventueel invloed hebben op de besluitvorming van de AP op het handhavingsverzoek. Omdat klaagster na 93 weken wachten de AP in gebreke stelde zegt de AP niet handhavend te kunnen optreden omdat het onderzoek nog niet is afgerond. De AP wijst het handhavingsverzoek dan ook af. Als de AP niet eindeloos de zaak opgerekt had, was de situatie met een door SBG overgedragen en gedeeltelijk gemuteerde database niet hoeven te bestaan en had de AP wel kunnen en moeten handhaven ten aanzien van SBG.

Maar toch

Aan het einde van de brief laat de AP toch weten het onderzoek naar de rechtmatigheid van de onderhavige gegevensverwerkingen van SBG onverminderd(sic!!) voort te zetten. Als de uitkomsten van dat onderzoek daartoe aanleiding geven kan dat betekenen dat de AP alsnog besluit om handhavend op te treden jegens SBG. Echter, dat bedrijf is dan opgeheven.  Gaat de AP dan voormalige werknemers van SBG ter verantwoording roepen of beboeten? Gaat de AP handhavend optreden richting de rechtsopvolgers van SBG, zijnde Akwa en De Nieuwe Entiteit?

Wat als de AP wel grote bezwaren heeft tegen de verwerking in de ongemuteerde database van SBG, maar niet tegen verwerking van de data door de rechtsopvolgers?

Winst

Grote winst zit er wel in de mededeling dat SBG per brief aan de AP heeft laten weten dat Akwa patiënten voortaan om uitdrukkelijke toestemming zal vragen voor het gebruik van gegevens over behandeluitkomsten en ervaringen.

Grote belangen

Al eerder maakt ik duidelijk dat de zaak rond de ROM-data niet op zich staat. Er spelen hele grote belangen omdat dezelfde discussie als bij de ROM-data verzameling en be-/verwerking ook speelt ten aanzien van de DIS-database die de Nederlandse Zorgautoriteit(NZa) beheert. Daarin zitten (ook in gepseudonimiseerde vorm) data over Diagnose Behandel Combinaties in het DBC-Informatie-Systeem. Een al te ferme uitspraak in de ROM-zaak kan de hele DIS-dataverzameling gaan frustreren. Het is dus niet geheel toevallig dat de AP als waakhond zich gedraagt als een egel in het nauw.

W.J. Jongejan, 16 januari 2019

 

 

 




Webwinkel Vilans, kenniscentrum voor langdurende zorg, gehackt

hacked

Op donderdag 3 januari 2019 hebben klanten van de webshop van Vilans bericht gekregen dat de database van de webshop gehackt geweest is. Vilans is een vrij grote grotendeels gesubsidieerde organisatie die stelt  kenniscentrum te zijn voor de langdurende zorg en als doel heeft om deze zorg te vernieuwen en te verbeteren. Ze ondersteunt vooral zorgprofessionals die in de online-webshop rapporten en brochures kunnen bestellen. Ook particulieren kunnen er bestellingen doen. In het bericht dat klanten per email kregen is te lezen dat een hack heeft plaatsgevonden, ontdekt is en het gat gedicht is. Op de website van Vilans en op het Twitter-account is niets te lezen over de hack.  Persoonsgegevens zijn door de hacker buitgemaakt. Vilans waarschuwt dat die informatie gebruikt kan worden voor phishing mail en raadt aan om het wachtwoord voor de webshop te wijzigen. Zoals zo vaak met dit soort berichten is het interessant om niet alleen te kijken naar datgene wat men meldt staat maar ook naar wat er niet in staat

Wat is Vilans?

Vilans is zoals gezegd een ondersteunende organisatie voor de langdurige zorg. Ze houdt zich bezig met entameren en begeleiden van innovatie & onderzoek, kennisdeling en advies & Implementatie. Voor haar financiën is ze voor vrijwel geheel afhankelijk van subsidies. In 2017 was het personeelsbestand 167 FTE.  In 2017 ontving Vilans op een begroting van 38 miljoen euro  4,8 miljoen aan instellingssubsidie en 27,5 miljoen aan projectsubsidies. Aan niet projectgebonden activiteiten ging 116.000 euro om. Dat zullen waarschijnlijk de inkomsten uit de webshop zijn. De webshop verkoopt rapporten en brochures over langdurige zorg op veel terreinen, niet alleen aan zorgverleners, en zorgbestuurders, maar ook aan particulieren.

Hack

Duidelijk is dat er een hack door een persoon geweest is. Het is ontdekt en het lek is gedicht . Niet duidelijk is hoe het heeft kunnen gebeuren, hoe lang het datalek bestaan heeft en wanneer dat precies heeft plaatsgevonden. Heeft de hacker gedurende meerdere dagen rond kunnen neuzen in de database? Heeft de hacker malware in het systeem geïmplanteerd? Een aanwijzing in die richting kan zijn dat Vilans waarschuwt voor phishing-mail waarin om bitcoin-betaling wordt gevraagd. Men vraagt om dat soort mail bij aantreffen in de eigen mailbox te verwijderen.

Omvang buit

Vilans maakte bekend dat de hacker persoonsgegevens heeft kunnen inzien. Men mag gevoeglijk aannemen dat die ook gekopieerd zijn. Vilans maakte NIET bekend welke persoonsgegevens allemaal buitgemaakt zijn.  In een web-shop kunnen naast de adres- en emailgegevens ook betaalgegevens zoals creditkaart-data eventueel buitgemaakt zijn.

Melding aan AP?

Ook meldt Vilans niet aan haar klanten of er van het datalek melding gemaakt is bij de Autoriteit Persoonsgegevens. Dat dient binnen 72 uur na het ontdekken van het datalek te gebeuren. Het is niet aannemelijk dat Vilans de melding achterwege zal laten, maar richting klant is het wel zorgvuldiger dat de organisatie zoiets meldt.

Uitgebreidheid hack

Het is overduidelijk dat de webwinkel de toegangsweg voor de hacker geweest is. Doordat klantgegevens weglekten moet Vilans dat wel aan de betrokkenen melden. Het is echter de vraag of de hack beperkt is gebleven tot de webwinkel. Via de webwinkel zou in theorie bij onvoldoende compartimentering en onvoldoende beveiliging ook het achterliggende ICT-systeem van de Vilans-organisatie gecompromitteerd kunnen zijn.

Kwetsbaar

Het moge duidelijk zijn dat organisaties die direct of indirect bij de zorg betrokken zijn ook grote risico’s lopen om gehackt te kunnen worden. Deze hack bij Vilans is er een voorbeeld van. Door de melding aan de klanten is het in ieder geval naar buiten gekomen. Het blijft de vraag of er niet veel meer geslaagde hack-pogingen in de zorg zijn. Veelal wordt er bij computerstoringen in de zorg alleen melding gemaakt van de verstoring en niet van de oorzaak.

W.J. Jongejan, 3 januari 2019