Binnenkort buigt bestuursrechter zich over onrechtmatige opt-in-toestemmingen voor LSP

bestuursrechterDonderdag 12 september 2019 om 11 uur is het zo ver. Dan dient voor de meervoudige kamer van de Rechtbank Midden-Nederland bij de sector bestuursrecht mijn zaak tegen de Inspectie Gezondheidszorg en Jeugd(IGJ). Het betreft een door mij ingediend handhavingsverzoek bij de bestuursrechter. De meerdere keren voorgekomen onrechtmatige notering van een opt-in-toestemming voor het Landelijk SchakelPunt(LSP) bij verschillende apotheken vormt de basis van dit verzoek. Aangezien de Autoriteit Persoonsgegevens waar dit ook gemeld is zeer afhoudend is heb ik ook de weg via de IGJ ook bewandeld. Mijn handhavingsverzoek bij de IGJ betreft alle apotheken in Nederland. Het  is ingegeven door het feit dat de IGJ krachtens de Wet kwaliteit klachten en geschillen zorg(Wkkgz) een handhavingsbevoegdheid heeft ten aanzien van zorgaanbieders, dus ook de apotheken. Ik schreef over dit onderwerp al zeker drie keer op deze website.(A, B, C 

LSP

U zult uit het bovenstaande wel begrijpen dat ik een uitgesproken tegenstander ben van het LSP. Uitwisseling van medische gegevens(samenvatting huisarts) en medicatiegegevens(apotheek kan alleen maar via het LSP plaats vinden als de burger er uitdrukkelijk toestemming voor geeft. Dat staat beschreven in de Wet aanvullende bepalingen verwerking persoonsgegevens zorg(Wabvpz) als volgens artikel 15 a lid 1 daar uitdrukkelijk toestemming voor is gegeven/. Het onterecht noteren van een opt-in-toestemming in huisarts- of apotheekinformatiesystemen is dan ook een schending daarvan en is simpelweg onrechtmatig.

Autoriteit Persoonsgegevens  

De AP waar ik deze kwestie ook aanhangig maakte en waarnaar de IGJ ook mijn handhavingsverzoek doorstuurde weigert ook maar iets te doen. Die stelt zich op het vreemde standpunt dat zij als een burger  een onterechte opt-in-notering vaststelt en daarna ongedaan maakt niets meer te doen heeft. Zulks omdat de onrechtmatige daad na het ongedaan maken niet meer bestaat. Het feit dat het geschiedde is geen reden voor actie van de AP.

VZVZ

Via de route van de IGJ is de beheerder/verantwoordelijke voor het LSP, de Vereniging van Zorgaanbieders Voor Zorgcommunicatie (VZVZ) niet aan te spreken. VZVZ is namelijk geen zorgaanbieder in de zin van de Wkkgz. De apotheken zijn  wel door de IGJ aan te spreken. Vandaar mijn actie bij de IGJ. Te meer daar de IGJ ooit het Isala-ziekenhuis in Zwolle opdroeg om op basis van artikel 15a lid 1 controle op het geven van toestemming uit te voeren. Dat berustte op de mogelijkheid van huisartsen om het ziekenhuisdossier in te zien. De IGJ wilde zeker weten dat de patiënten echt wel toestemming ervoor hadden gegeven.

Verzoek

Het handhavingsverzoek aan de IGJ ten aanzien van de apothekers ziet er zo uit. Ik verzoek de IGJ om als verantwoordelijke inspectie zodanige maatregelen te treffen dat alle zorgverleners die patiënten kunnen aanmelden in het LSP dit uitsluitend kunnen doen:

  • op grond van rechtsgeldige toestemmingen
  • onder voorwaarde van een adequate archivering die verificatie mogelijk maakt
  • onder voorwaarde van een verplichte schriftelijke notificatieplicht naar betrokkenen.

Het betreft alle apotheken omdat vanwege het ontbreken van inschrijving op naam bij apotheken het onrechtmatig noteren van een nooit gegeven toestemming mij overal in Nederland kan overkomen.

Problematisch

Zeer problematisch is dat het in de opzet van het systeem van toestemmingsverleningen de burger niet in kennis wordt gesteld van een genoteerde opt-in-toestemming. Pas na eigen actie van de burger zelf op de website www.volgjezorg.nl van VZVZ kan die zien of er door een zorgaanbieder een onrechtmatige toestemming is genoteerd. Het is wat ik noem een “piep”-systeem. Pas als je zelf gaat zoeken zie je dat of er een toestemming onrechtmatig staat genoteerd.

Omvang probleem

Bij de IGJ en AP kan je uitsluitend klagen over de onrechtmatigheden die jezelf betreffen. Ik ben echter geenszins de enige met dit probleem. Bij de AP zijn minstens 25 andere gevallen bekend. De vraag hoe groot de omvang totaal is, kan men  door de systematiek waarmee voor het LSP toestemmingen genoteerd worden e overtredingen genereren.

Logging

Zowel binnen VZVZ als bij de apotheken blijkt geen historie van individuele toestemmingsverlening bij gehouden te worde. Na het  weer corrigeren van de burger van de onrechtmatige daad kan zowel bij VZVZ als bij de apotheken niet meer gezien worden hoe het daarvoor was. Er blijkt een absoluut tekort aan logging te zijn op dat punt. Logging die er volgens de NEN7513 norm wel dient te zijn. Het ontbreken ervan kan als verwijtbaar onzorgvuldig worden bestempeld.

Principieel

Het moge duidelijk zijn dat de zitting van de bestuursrechter over een uiterst principieel iets gaat. Het gaat over het toezicht op het noteren van toestemmingen en het voorkomen van onrechtmatige toestemmingen. Daarnaast speelt het toezicht op de methodiek waarmee men toestemmingen vastlegt. Als zowel de IGJ als  de AP niet willen handhaven bij onrechtmatig vastgelegde toestemmingen kan je gerust stellen dat de toezichthouders het noteren van onrechtmatige toestemmingen legaal maken.

W.J. Jongejan, 30 augustus 2019

Afbeelding van mohamed Hassan via Pixabay

 




Autoriteit Persoonsgegevens lekt URL van interne applicatie bij bekijken websites

lektRecent, 22 juli 2019, viel het mij voor de tweede maal in Google Analytics op, dat als iemand van de Autoriteit Persoonsgegevens(AP) deze website bezoekt de bron zichtbaar is. Ik bedoel dat Google Analytics de URL van het intranet van de AP toont. Nieuwgierig als ik ben hoe het bezoek aan de website ZorgICTZorgen zich ontwikkelt, kijk ik af en toe naar het real-time-overzicht. Op de kaart kan je met grote stippen zien in welke plaats iemand inlogt. Als iemand in Den Haag inlogt, ben ik altijd wat alerter. Meestal is de bron afgeschermd zodat die niet zichtbaar is. Van de AP dus blijkbaar niet. De reden van het bezoek aan mijn website door één of meerdere medewerkers van de AP was gelegen in een recente publicatie over de boete en last onder dwangsom die de organisatie oplegde aan het Haga-ziekenhuis. Het doet mij in ieder geval deugd te weten dat binnen de AP-organisatie men mijn blogs in ieder geval leest. 

Niet eerste keer

Een jaar terug ongeveer viel mij hetzelfde al een keer op en deed ik melding ervan bij de AP middels het tip-formulier online. Ook gisteren deed ik een melding op deze wijze aan de AP. Beide keren kreeg ik geen enkele reactie hierop ondanks dat uitgebreide vermelding van NAW en contactgegevens. Ook al zou men het als ongevaarlijk en niet relevant beschouwen, lijkt me een retour-mail voor dit gratis advies niet overbodig. Ik voel me door het absoluut niet reageren gerechtigd nu hier vrij over te publiceren.

Afschermen

Van verreweg de meeste instellingen en bedrijven die mijn website bezoeken is de bron-URL niet te zien. Een enkele keer wel. Zo zag ik ook enkele dagen terug de URL van het Ikazia-ziekenhuis passeren.(www.ikazia.nl). De bedrijven die nooit moeite doen om aanwezigheid geheim te houden zijn de webcrawlers. Een webcrawler of spider is een bot die het internet op een methodische en geautomatiseerde manier doorbladert. Spiders maken veelal een lokale kopie van de gevonden pagina’s om deze later te kunnen verwerken en indexeren voor bijvoorbeeld zoekmachines.

Keuze

Op mijn website staat in de privacyverklaring expliciet vermeld dat de website gebruik maakt van een cookie van Google Analytics. Daarbij staat ten overvloede vermeld dat men door het veranderen van instellingen in de webbrowser de cookie kan weigeren.

URL

De zichtbare URL van de AP is: Intranet.CBP.local. Je kunt in de vermelding op de  schermafbeelding die ik maakte meteen zien dat men na de  naamswijziging op 1 januari 2016 niet de moeite heeft genomen om de naamgeving van een intern systeem aan te passen. Voor die datum heette de toezichthouder College Bescherming Persoonsgegevens(CBP). Naast naamborden, websites en briefpapier had het in de lijn van de lijn van verwachting gelegen om ook de naamgeving van het intranet aan te passen.

Onverstandig

Men de lekt URL van een interne applicatie en dat is informatie die van nut kan zijn bij social-engineering. Bijvoorbeeld de AP een HTML-mail sturen met een klikbare link die zogenaamd een bij de gebruiker herkenbare/vertrouwde URL opent, maar in werkelijkheid een website laadt met, zeg, 1) een nep-inlogscherm om credentials te stelen, en/of 2) een JavaScript-gebaseerde poortscanner om het interne netwerk in kaart te brengen, en/of 3) met een heel ander scenario: om zich voor te doen als IT-medewerker o.i.d.  De blootstelling van de informatie is natuurlijk wel beperkt tot websites die op de intranet-site worden aangeklikt. Maar dan wel óók tot servers van eventuele derde partijen waarvan de website content laadt – zoals vele servers van online advertentiebrokers.

Advies

Het lijkt me verstandig dat een toezichthouder geen sporen achterlaat als haar personeel op het internet websites bekijkt. Als het mijn website betreft kan het net zo goed gebeuren bij websites met minder degelijke inhoud, zoals gok-en porno-sites. Niets menselijks zal een medewerker van de AP vreemd zijn. Dus moeten systeembeheerders waken voor het achterlaten van bezichtigingssporen door personeel van de AP.  Sporen die het binnendringen in een systeem vergemakkelijken.   De applicatie  Google Analytics is overigens een nuttig en wereldwijd gratis te verkrijgen programma en veel gebruikt programma en geenszins een manier om de AP doelbewust te volgen.

W.J. Jongejan, 24 juli 2019

Afbeelding van Clker-Free-Vector-Images via Pixabay




Makkelijk scoren voor verder lakse Autoriteit Persoonsgegevens bij Haga-ziekenhuis

makkelijk scorenOp 16 juli 2019 maakte de  Autoriteit Persoonsgegevens(AP) bekend dat ze Het Haga-ziekenhuis in Den Haag een zeer hoge boete van 460.000 euro en een forse last onder dwangsom oplegde. Het besluit dateert van 18 juni 2019. Het gaat om de nasleep van een berucht datalek uit april 2018. Toen raakte bekend dat 85 ziekenhuismedewerkers onterecht het medische dossier van de “reality ster Barbie” ingezien hadden. Het kwam naar buiten door een tip via de klokkenluiderssite PubLeaks aan de tv-rubriek EenVandaag. Ik schreef er in 2018 drie keer over. (A, B, C). De AP kwam toen in actie en deed onderzoek bij het Haga-ziekenhuis. Eigenlijk kon de AP het zich niet permitteren om geen onderzoek te doen en geen maatregelen af te kondigen vanwege de forse publiciteit rond deze gebeurtenis. Bij de AP lopen meerdere zaken waarbij sprake is van schending van de privacyrechten van burger in de zorg waar de AP geen beslissing neemt en/of onderzoek op de lange baan schuift.

Geen 85 maar 100

De AP publiceerde heden een onderzoeksrapport uit maart 2019 en een boetebesluit van 18 juni 2019.  In dat laatste is te lezen(blz. 4/25) dat van de 197 personen die inzage hadden in dossier van “Barbie” honderd personen dat onrechtmatig deden. In april 2018 had het ziekenhuis nog gemeld dat het om 85 personen ging, die niets met de behandeling te maken hadden, Het gaat dus om een beduidend groter aantal onrechtmatige daden dan waarvan de AP in het onderzoeksrapport zelf  ook nog melding maakt. Geen van de mensen die onrechtmatig inzage hadden is trouwens ontslagen. Ze werden “berispt”.

Toegangscontrole  

Uit het rapport blijkt dat het mogelijk was op drie manieren toegang te krijgen tot een dossier. Met twee-factor-authenticatie(personeelspas plus wachtwoord/inlogcode), met één-factor-authenticatie(wachtwoord/inlogcode) en een noodknop-procedure. Dat laatste is een toegang in noodsituaties, waarbij het personeelslid toegang krijgt maar wel op een scherm moet noteren waarvoor die toegang noodzakelijk was. De één-factor-authenticatie beschouwt de AP als verregaand onvoldoende en mag van haar niet blijven bestaan naast de twee-factor-authenticatie. Daarnaast controleerde het ziekenhuis de logging (het vastleggen van de inzage) op een zeer insufficiënte wijze. Van één patiënt per twee maanden, dus zes per jaar controleert men de log-gegevens, op een totaal van een paar honderdduizend patiëntdossiers per jaar!! Verregaand insufficiënt noemt de AP dat terecht. In de verste verte lijkt dat op een afdoende, intelligente, consequente controle.

Eerdere melding bij AP

Het is zeker niet de eerste keer dat de AP op de hoogte is gesteld van onterechte inzagen in medische dossiers. Mij is een geval bekend(van vijf jaar terug) van een ex-GGZ-patiënt die aangifte  bij de AP en bij de Inspectie Gezondheidszorg en Jeugd(IGJ) deed van het vele malen onterecht inzien van het dossier door nogal wat onbevoegden. De rechtsvoorganger van de AP, het College Bescherming Persoonsgegevens(CBP), liet toen weten er een notitie van gemaakt te hebben, maar deed er vervolgens niets mee. Men had toen nog niet de mogelijkheid om hoge boetes, zoals nu op te leggen. Wel kon het CBP toen beperkte boetes opleggen bij het verzaken van de meldplicht van datalekken en een last onder dwangsom of bestuursdwang toepassen. De patiënt meldde het zelf, waardoor gerust gesteld kan worden dat de instelling verzuimd had het datalek te melden. De IGJ draaide zich eruit door te verwijzen naar het “grondige” onderzoek van het instellingsbestuur.

Lastige beslissingen

In diverse zaken neemt de AP geen ferm standpunt in, traineert beslissingen en poogt ze zelfs als er rechtszaken komen die eindeloos te vertragen en soms met beroep op geheimhouding te beïnvloeden. Ik doel daarbij op zaken rond het DBC Informatie Systeem(DIS) en Routine Outcome Monitoring(ROM)-data. Daar spelen hele grote belangen een rol waardoor de AP op eieren loopt om maar geen beslissing te hoeven nemen.

Zieligheidscriterium    

In de casus met de boete voor het Haga-ziekenhuis is het zieligheidscriterium al van stal gehaald door het ziekenhuis. Het Ziekenhuis heeft ter zienswijze-zitting een beroep gedaan op beperkte draagkracht, onderbouwd met de concept jaarrekening 2018(blz. 23/25 boetebesluit). In dat kader voert zij aan dat het Haga-ziekenhuis in 2018 een uitsluitend als “vertrouwelijk” genoemd bedrag heeft overgehouden ten gevolge van incidentele baten. De AP ziet hierin echter geen aanleiding om aan te nemen dat het ziekenhuis gezien haar financiële positie een boete van € 460.000,– niet zou kunnen dragen.

Makkelijk scoren

Uit het voorgaande moge blijken dat de AP bij dit ziekenhuis makkelijk scoren had. En zo daadkracht kon tonen die haar andermaal nogal eens ontbeert. Bovendien was de optie om niets te doen ook geen begaanbare weg. Het zal er waarschijnlijk op neer gaan komen dat het ziekenhuis gaat procederen tegen de boete van de toezichthouder. Zaken bij een andere toezichthouder, de Autoriteit Consument en Markt, hebben laten zien dat een dergelijke rechtsgang gunstig is voor de instelling.

W.J. Jongejan, 17 juli 2019




Voorlopige beslissing AP over oude SBG-database bij AKWA raakt veel databases

slotOp 21 april 2019 maakte ik op deze website melding van het feit dat AkWA GGZ ROM-data, verkregen van de opgeheven Stichting Benchmark GGZ, opnieuw raadpleegbaar had gemaakt. Dat was met ingang van 15 maart 2019. Daarbij wees ik op het laakbare van deze openstelling, omdat het om veelal zonder toestemming verkregen bijzondere persoonsgegevens ging. 29 mei 2019 maakte AKWA GGZ bekend dat zij met onmiddellijke ingang de toegang tot die data op slot gedaan heeft. Dat doet AKWA op last van de Autoriteit Persoonsgegevens(AP).  Men laat weten dat dit gebeurt naar aanleiding van een voorlopig standpunt van AP over de status van deze informatie. De AP beschouwt een deel van de verarmde dataset vooralsnog als persoonsgegevens. Blijkbaar heeft de AP dus kort geleden contact gezocht met AKWA GGZ over deze materie. Dat is zeer opvallend te noemen, omdat de AP al ruim twee jaar bezig is onderzoek te doen over de status van door derden geaggregeerde gepseudonimiseerde zorgdata. De demarche van de AP richting AKWA is van grote betekenis voor andere grote verzamelingen van zorgdata. Niet alleen in de sector van de GGZ maar ook in de somatiek. Overigens rept  de AP op de eigen website met geen woord over deze stap richting AKWA.

Dataverzamelingen

Op meerdere plaatsen verzamelt men zorgdata waarbij de medische gegevens gepseudonimiseerd verzonden en opgeslagen worden. Zo is er in de GGZ de ARGUS-database met daarin alle mensen waarbij vrijheidsbeperkende interventies in de GGZ spelen. De vulling daarvan is overigens al eind 2016 gestokt vanwege het vermoeden dat aangeleverde data als bijzondere persoonsgegevens beschouwd konden worden. Daarnaast is er het DBC-Informatie-Systeem(DIS) waarin diagnose-informatie op basis van dbc’s opgeslagen wordt. Ziekenhuizen laten zorgdata evalueren via DICA , het Dutch institue of Clinical  Auditing  zie hiervoor ook een artikel van mij hierover van 2 februari 2018. Daarnaast is er het bedrijf Medical Research Data Management(MRDM)  dat op grote schaal zorgdata verzamelt en ver-/bewerkt met om er big-data-analyse op uit te voeren.

AKWA

De plotselinge activiteit van de AP is in het licht van haar handelen de afgelopen twee jaar ongewoon en tegenover AKWA inconsequent te noemen. AKWA GGZ had duidelijk kenbaar gemaakt de data, afkomstig van SBGGZ, haar rechtsvoorganger, per 15 maart open te gaan stellen. Het is vreemd dat de AP niet voorkomen heeft dat die openstelling plaats ging vinden. Men wist van de gevoeligheid van de materie. Men doet er bijna twee jaar onderzoek. Bovendien ligt er al twee jaar een handhavingsverzoek om gebruik van die database te beëindigen en nieuwe vulling te voorkomen.

Druk vanwege rechtszaak

De AP zal ook de hete adem van de Rechtbank Midden-Nederland in de nek voelen. Deze zal over een beperkt aantal weken een uitspraak zal doen in een vier jaar slepende rechtszaak. Het is de zaak UTR 16/4199 WBP V93. Die gaat over de wijze waarop de Nederlandse Zorgautoriteit (NZa) de medische diagnose- en behandelgegevens (DBC’s) van de gehele Nederlandse bevolking periodiek opeist van de zorgverleners, deze zelf verwerkt in het DBC Informatie Systeem(DIS) en verstrekt aan derde partijen. De zaak is aangespannen door de burgerrechtenvereniging Vrijbit met hulp van de stichting KDVP. Deze verwijt de AP nalatig te zijn door niet handhavend op te treden in de wetenschap dat het om bijzondere persoonsgegevens gaat.

Na A ook B zeggen

Nu de AP bij AKWA opeens een brede borst gemaakt heeft en daadkracht  toont, zal men er niet aan kunnen ontkomen om ook bij andere databases in de zorg op te treden, waarbij dezelfde wijze van verzamelen en be-/verwerken plaats vindt. De AP zal het niet kunnen maken door bij de ene database flink te doen en bij de andere de zaak op zijn beloop te laten.

Opsteker

Voor tegenstanders van de niet correcte dataverzamelingen is het besluit van de AP een opsteker. Een niet aflatende aandacht voor de materie heeft de AP gedwongen bij de les te blijven en zich niet te verschuilen. Triest blijft wel dat de AP na bijna twee jaar nog steeds niet klaar zegt te zijn met het onderzoek voor haar definitieve oordeel over het gebruik van gepseudonimiseerde  zorgdata door derden. Daardoor is tot nu toe een definitief oordeel uitgebleven. Het verbod om de database van SBG door AKWA opnieuw open te stellen geeft wel een indruk van wat het definitieve oordeel van de AP zal kunnen gaan zijn.

Tot nu toe heeft men de hete aardappel continu voor zich uit geschoven. Nu lijkt de AP een klein stukje daarvan genuttigd te hebben.

W.J. Jongejan, 31 mei 2019

 

 

 




Akwa maakt onrechtmatig verkregen ROM-data toch raadpleegbaar

illegal

Op de website van Akwa GGZ, kortweg Akwa genoemd, staat dat sinds 15 maart 2019 een geanonimiseerde dataset van ROM-data, verkregen van haar rechtsvoorganger SBG, te raadplegen is. Het gaat om data, waarvoor geen toestemming aan de patiënt gevraagd is, voor het mogen be-/verwerken. SBG beheerde de data in gepseudonimiseerde vorm. In maart 2017 gaf de toenmalige minister van VWS, Edith Schippers, in haar antwoord op Kamervragen aan dat voor het verwerken van die data een wettelijke grondslag nodig is. Het verkrijgen van expliciete toestemming van de patiënt is één van die grondslagen. Terwijl de Autoriteit Persoonsgegevens(AP) nog steeds, al meer dan 100 weken, onderzoek doet naar de rechtmatigheid van de verwerking door SBG, komt Akwa met de beschikbaarstelling van de data voor onderzoek door professionals. Ook al gaat het om anonimisatie na de aanvankelijke pseudonimisatie, het blijven onrechtmatig verkregen data, die niet hergebruikt mogen worden.  Een even opmerkelijke als juridisch aanvechtbare stap van Akwa.   

SBG

Deze afkorting stond voor Stichting Benchmark GGZ dat, volledig betaald door zorgverzekeraars, Routine Outcome Monitoring(ROM)-data verzamelde en be-/verwerkte. Die data komen uit vragenlijsten die de patiënt invult en die het mogelijk maakt het verloop van de therapie met de therapeut te evalueren. Ten onrechte zijn deze data opgevat als een bron van gegevens om de kwaliteit van de zorg te meten en te vergelijken. SBG kwam in de problemen toen in de loop van 2017 er een heftig debat ontstond over het gebruik van deze data. Aangezien het om gepseudonimiseerde data ging, dienden die beschouwd moeten worden als (bijzondere) persoonsgegevens. Dientengevolge had mede omdat SBG die data buiten de instellingen en praktijken van zorgaanbieders verwerkte, toestemming aan de patiënt gevraagd moeten worden.

Heel verhaal

Akwa zet op haar website een heel verhaal over nu raadpleegbaar gemaakte data:

“Omdat we buiten de privacy discussie over eerder verzamelde uitkomstinformatie wensen te blijven, nemen wij uitsluitend gegevens over van SBG die relevant zijn voor het benutten van uitkomstgegevens. De dataset die wij hebben overgenomen, is ontdaan van gegevens zoals pseudo BSN en de herkomstgroepering. Vervolgens hebben we onderdelen van de resterende dataset zodanig bewerkt dat de gegevens niet kunnen worden herleid naar personen, ook niet wanneer we nieuwe gegevens ontvangen.”

Dit verhaal doet helemaal niets af aan de onrechtmatige verwerving van de dataset door SBG. Akwa mag en kan daarom deze dataset ondanks de door haar gedebiteerde maatregelen gewoon niet gebruiken. Ze maakt zich schuldig aan “heling”.

 Onwillige AP

Normaal gesproken zou men verwachten dat de toezichthouder, in dit geval de Autoriteit Persoonsgegevens(AP) toeziet op een dergelijk kwalijke handelswijze. De AP lijkt echter dit gebruik stilzwijgend te faciliteren. Dat gebeurt via twee sporen. Het heeft te maken met een sinds begin 2016 lopende rechtszaak , aangespannen door de burgerrechten-vereniging Vrijbit tegen de AP en een handhavingsverzoek van een ex-GGZ patiënte bij de AP. In het eerste geval traineert de AP al een paar jaar een uitspraak over het zonder toestemming van de patiënt gebruiken van gepseudonimiseerde data. In het tweede geval is de AP al meer dan 100 weken bezig met onderzoek over de vraag over de onrechtmatigheid van de verwerking van gepseudonimiseerde ROM-data door SBG. Het lijkt erop dat de AP een uitspraak erover voor zich uit schuift tot na het bekend worden van de uitspraak in de zaak UTR 16/4199 WBP V93 van Vrijbit tegen haar.

Vrijbit

De zaak UTR 16/4199 WBP V93 gaat over de wijze waarop de Nederlandse Zorgautoriteit (NZa) de medische diagnose- en behandelgegevens (DBC’s) van de gehele Nederlandse bevolking periodiek opeist van de zorgverleners, deze zelf verwerkt in het DBC Informatie Systeem(DIS) en verstrekt aan derde partijen. De laatste zitting in deze zaak was op 15 februari 2019. De uitspraak wordt verwacht op of vlak voor 11 mei 2019.

 Oogluikend toestaan

De AP kan door dit alles met recht verweten worden oogluikend de handelswijze van Akwa toe te staan. Wat deze materie wel heel erg duidelijk maakt dat als er enorme belangen in het spel zijn de AP geneigd is de oren te laten hangen naar invloedrijke belanghebbenden bij het verzamelen van die data. Al eerder stelde ik dat het een toezichthouder onwaardig is. Des te frustrerender is het dat de AP met haar gedrag die belanghebbenden in hoge mate faciliteert. Akwa probeert grenzen te verkennen met haar in juridisch opzicht opmerkelijke actie.

W.J. Jongejan, 21 april 2019

 

 

 

 

 




Zorgdata verwerken, MRDM en gepseudonimiseerde data

big data

Recent zorgde een bericht in het Algemeen Dagblad op 30 maart 2019 voor flink wat rumoer. Het zorgdata verwerkende bedrijf Medical Research Data Management(MRDM) blijkt deze data opgeslagen te hebben in de Google Cloud(locatie Eemshaven). Het gegeven dat het om gepseudonimiseerde data gaat, die volgens de vigerende wet- en regelgeving gewoon als bijzondere persoonsgegevens beschouwd moeten worden maakt het één en ander nog interessanter. Binnen MRDM heeft men zelf ook wel door dat er sprake is van bijzondere persoonsgegevens. Op 17 mei 2018 hield het bedrijf een informatiebijeenkomst gegevensbescherming  waarin dit onderwerp en de relatie tot de Algemene Verordening Gegevensverwerking(AVG) ter sprake kwam. Sprekers waren onder andere de “zorg”-jurist Theo Hooghiemstra en zijn confrater Evert-Ben van Veen, directeur van het bedrijf MedLaw. Bij het doorspitten van de positie van het bedrijf MRDM stuitte ik op een kluwen van zorg-data-verwerkende bedrijven die plotseling de Value Based HealthCare(VBHC) hoog in het vaandel hebben staan.

Kluwen

Bij het uitzoeken wat nu precies de positie is van het bedrijf MRDM bleek het lastig om de positie die het bedrijf in zorgdataverwerking in kaart te brengen. Het bedrijf is gevestigd op de Leeuwenbrug 115 te Deventer. Op dat adres blijken ook LOGEX Participatie II B.V, Brightingale B.V., Value2Health, en One2Many B.V. gevestigd te zijn. Ook de servicedesk van het Leidse Dutch Institute of Clinical Auditing(DICA) blijkt er aanwezig te zijn. De samenhang tussen enkelen van deze wordt enigszins duidelijk in de presentatie van de directeur Paul Crauwels. (sheet 4)

LOGEX

LOGEX en Value2Health hangen onder de LOGEX-groep, waarbij MRDM de dataverwerking doet en weer data door levert aan bijv. DICA. Het blijkt nog iets ingewikkelder omdat ZorgInvest B.V. de moeder maatschappij van Value2Health blijkt te zijn.  Binnen ZorgInvest zien we ook het uit  het voorbije jaren bekende Prismant weer terug. Dat heette tijdelijk, als onderdeel van Kiwa, Kiwa Carity, maar werd onder de naam Prismant bij Zorginvest ingelijfd.  De LOGEX-groep blijkt naar eigen zeggen de eerste Europese speler te zijn in geavanceerde software en analytics voor het meten van uitkomsten en kosten van zorg. We zien hier een ontwikkeling waarbij op grote schaal het uitbaten van zorgdata het businessmodel vormt voor een woud aan bedrijven. Alle bedrijven zijn met zorgdata bezig, maar het is lastig aan te geven waarin ze van elkaar verschillen. Men stelt dat op basis van deze zorgdata therapieën verbeterd kunnen worden en zorg efficiënter ingericht kan worden. Toch bekruipt mij bij dit alles het gevoel van data-harvesting op grote schaal.

AVG

Op de in de inleiding genoemde informatieavond belichtten ieder vanuit een andere hoek Theo Hooghiemstra en Evert-Ben van Veen de situatie van het verwerken van bijzondere persoonsgegevens. De AVG staat op zich het verwerken van medische gegevens als zijnde bijzondere persoonsgegevens toe maar er dient toestemming voor gevraagd te worden. In het geval van MRDM door de ziekenhuizen die de data aanleveren aan de patiënten. Dat gebeurt nu niet. Hooghiemstra ziet wel dat bij gepseudonimiseerde data de AVG van toepassing is en dat wel toestemming van de betrokkene nodig is. Hij komt in de discussie toch tot een wat vreemde toelichting. Hij stelt bij de Autoriteit Persoonsgegevens en bij de koepels gezegd te hebben dat je er niet tegen moet verzetten, maar dat het tijd kost om dit goed in te regelen. Het als bijzondere persoonsgegevens moeten beschouwen van gepseudonimiseerde zorgdata is echter een gevolg van vigerende wet- en regelgeving. Daarbij dient gewoon gehandhaafd te worden door de toezichthouder en niet afgewacht tot het goed ingeregeld is.

MedLaw

Evert-Ben van Veen van het juridisch adviesbureau MedLaw ziet dat duidelijk anders. In zijn presentatiesheets en in zijn tekst wijst hij de tegenstelling toestemming vragen of anders volledig anonimiseren van data af. Hij zegt uit te willen gaan van de gedachte dat als we een solidair zorgsysteem hebben datasolidariteit vanzelfsprekend moet zijn. Dat liet hij op deze website ook weten in een reactie op een op 1 april 2019 verschenen artikel van mij. Het is een wat makkelijk redenatie, want waar stopt die solidariteit dan.  Dezelfde redenatie kan men ook ophangen over een solidaire samenleving en zo veronderstellen dat alle data van burgers daardoor uit solidariteit uitgewisseld mogen worden. Hij stelde op de bijeenkomst ook dat gegevens niet direct-identificerend moeten zijn en in een veilig systeem gebruikt worden. Maar ja, wat versta je onder “direct identificerend” en wie bepaalt wat ‘veilig” is of “veilig genoeg”. Hij gaat voorbij aan de vigerende wet- en regelgeving en wil eigenlijk de gegroeide, niet legale manier van dataverwerking faciliteren. Van Veen voelt wel wat voor een optout-regeling. De patiënt moet dan wel weten dat hij deze vorm van negatieve toestemming kan uitoefenen. Dus dat betekent toch een extra actie richting patiënten wat hij eigenlijk niet wil.

Nog even dit

De data die MRDM van ziekenhuizen aangeleverd krijgt zijn minimaal voor een groep van zeven ziekenhuizen van de Santeon-groep niet-gepseudonimiseerd, nog ruwe data, als ze het ziekenhuis via een beveiligde verbinding verlaten richting MRDM. Pas bij dat bedrijf vindt zo nodig pseudonimisatie plaats. Zie hoofdstuk 3.1 van het Dataprotocol dd 10 januari 2017 van de Santeongroep.  De opgeslagen data zijn wel versleuteld.  Het gaat om de volgende ziekenhuizen: Canisius Wilhelmina Ziekenhuis(Nijmegen), Catharina Ziekenhuis (Eindhoven), Maasstad Ziekenhuis(Rotterdam), Martini Ziekenhuis(Groningen), Medisch Spectrum Twente(Enschede), OLVG(Amsterdam) en het St. Antonius Ziekenhuis(Utrecht/Nieuwegein/Woerden).

Als het ruwe data zijn, had toestemming aan de patiënt sowieso gevraagd moeten worden. Mij is het als zorggebruiker van één van die ziekenhuizen nooit gevraagd. Het werken met een veronderstelde toestemming is niet correct.

W.J. Jongejan, 9 april 2019

 




Forse boete AP voor MENZIS i.v.m. onvoldoende toezicht op inzage medische dossiers

forrse boete

Waar iedereen eigenlijk aldoor bang voor was, blijkt echt gebeurd te zijn. Een zorgverzekeraar geeft personen binnen de organisatie die niet bevoegd zijn inzage in medische dossiers. In het zojuist verschenen jaarverslag over 2018 van de zorgverzekeraar Menzis is te lezen dat men in dat jaar een boete van 50.000 euro van de Autoriteit Persoonsgegevens(AP) kreeg. Het ging om de constatering in 2017 door de AP dat er binnen Menzis onvoldoende toezicht was op wie toegang had tot medische persoonsgegevens EN het onvoldoende snel doorvoeren van verbeteringen op advies van de toezichthouder. Het bericht over de boete staat enigszins weggemoffeld in het jaarverslag 2018 en is niet op de website rechtstreeks zichtbaar. Daarnaast lijkt de Autoriteit Persoonsgegevens Menzis ook publicitair te sparen

Weggemoffeld

De passage waarin de boete vermeld staat is in het hoofdstuk 2 van het jaarverslag onder de kop “Beleid en resultaten”.  Wat staat er precies?

“Naar aanleiding van een onderzoek bij Menzis eind 2017 , constateerde toezichthouder AP dat Menzis onvoldoende toezag op wie er binnen onze organisatie toegang had tot persoonsgegevens betreffende de gezondheid. Gebleken is dat enkele medewerkers onnodig toegang hadden tot deze gegevens. Hoewel met de toegangsmogelijkheid niet verkeerd is omgegaan en de AP tijdens het ondezoek constateerde dat er geen sprake is van verkeerd of oneigenlijk gebruik van persoonsgegevens, hebben we dit signaal zeer serieus genomen. We hebben de toegang voor deze medewerkers dan ook onmogelijk gemaakt. De AP vindt echter dat deze verbeteringen onvoldoende snel zijn doorgevoerd en heeft ons een boete opgelegd van € 50.000. Wij vinden het vanzelfsprekend dat alleen bevoegde personen toegang hebben tot gezondheidsgegevens van klanten. Onze klanten hebben er recht op dat wij onze taak als zorgverzekeraar goed uitvoeren. In haar onderzoek constateerde de AP dat bij Menzis het bewaken van de privacy op een adequate wijze in de cultuur van het bedrijf is geborgd. Wij betreuren dan ook de oplegging van de boete. Het is voor ons een belangrijk signaal dat wij nog alerter moeten zijn rondom privacy. We zullen ons hier de komende jaren op blijven richten in nauwe samenwerking met toezichthouders zoals de AP, DNB(De Nederlandse Bank) en NZa(Nederlandse Zorgautoriteit). Tevens zullen wij naar onze klanten met regelmaat communiceren over de maatregelen die wij nemen om de privacy te blijven borgen”

Schandelijk

De wijze waarop Menzis met dit probleem omgaat is ronduit schandelijk te noemen. Men krijgt een bezoek van de privacy-toezichthouder. Die constateert twee flinke problemen en men reageert er traag op. Na de boete wordt er opeens wel onmiddellijk een einde gemaakt aan inzage door niet daartoe bevoegde personen.

Op haar website meldt Menzis op 7 maart 2018 dat ze met de AP in gesprek is in verband met een bezoek van de AP. Men spreekt in algemene bewoordingen over het beleid welke medewerkers tot persoonsgegevens krijgen zonder te melden dat het om medische persoonsgegeven gaat. Ook niet dat het in de ogen van de AP om onbevoegde inzage ging. Ook de logging van de inzage zou verbeterd moeten worden. Blijkbaar was die onder de maat. Tot eind 2018 zou Menzis naar eigen zeggen in de gelegenheid gesteld zijn deze onderdelen verder te verbeteren. Met geen woord wordt gerept over inzage door onbevoegde personen.

Bevoegd/onbevoegd

Er blijkt uit de besluitvorming van de AP dat er blijkbaar sprake is van een verschil van mening tussen de AP en Menzis over wie bevoegd is tot inzage. Menzis zegt in het jaarverslag dat ze vanzelfsprekend alleen bevoegde personen inzage geeft. Toch geeft de AP een aanzienlijke boete vanwege het niet goed regelen van de inzage van medische dossiers.

Menzis spreekt over een uitstekende verhouding met de toezichthouders, waaronder de AP. Blijkbaar had men toch niet de tijd tot eind 2018, omdat de AP nog in 2018 de boete van 50.000 euro  oplegt. Anders was die nooit in het jaarverslag 2018 terecht gekomen.

Politiek item

Het inzien van medische dossiers door medewerkers van zorgverzekeraars ligt al enige tijd onder een vergrootglas. Een wetsontwerp dat in het kader van het bestrijden van zorgfraude is gemaakt door het ministerie van VWS sleept zich vanaf 2014 voort door het parlement. Het gaat om het wetsontwerp 33.980. Mede vanwege de angst dat zorgverzekeraars ontercht inzage in medische dossier zouden krijgen werd in december 2018 de minister voor de zorg Bruno Bruins, gevraagd daar nog eens goed over na te denken. Plenaire behandeling staat u gepland voor 14 mei 2019. Het is echter de vraag of na de boete voor Menzis door de AP de Eerste Kamer niet totaal anders gaat denken over deze materie.

AP spaart Menzis publicitair

De Autoriteit Persoonsgegevens is een notoir trage reageerder en laat niet vaak haar tanden zien. Nu blijkbaar wel. Wat echter bijzonder vreemd is dat op de website van de AP geen enkel bericht over deze boete aan Menzis te vinden is. Ook met de zoekfunctie op de website is niets over deze boete te vinden. Het ziet er dan ook naar uit dat de AP Menzis publicitair behoorlijk spaart ondanks het opleggen van de boete.

Vertrouwen weg

Door wat er gebeurd is bij Menzis moeten we dus stellen dat we een zorgverzekeraar niet klakkeloos kunnen vertrouwen als het gaat om berichtgeving dat alleen maar bevoegde personen inzage hebben in medische dossiers. Het stoort mij ook dat Menzis nog van alles in haar bericht in het jaarverslag probeert af te dingen op het oordeel van de AP. We weten dit nu van Menzis maar het is de vraag of het bij de andere zorgverzekeraars beter gesteld is.

Wat door critici lang gevreesd is, blijkt helaas waarheid.

W.J. Jongejan, 4 april 2019

 

 




Juridische overwegingen bij medische data door MRDM en opslag bij Google Cloud

juridische

Op 1 april 2019 schreef ik op deze website een artikel over een bericht van het Algemeen Dagblad op 30 maart. Het betrof de verwerking van massale hoeveelheden medische data in gepseudonimiseerde vorm door het bedrijf Medical Research Data Management (MRDM) en de opslag van die data op de Google Cloud op de locatie Eemshaven. Inmiddels is de politiek ook wakker geschud, hebben Kamerleden van D66 en SP vragen gesteld en heeft minister Bruins opdracht gegeven aan de Autoriteit Persoonsgegevens onderzoek te doen. Er zitten interessante juridische kanten aan deze materie, voornamelijk van principiële aard. Niet alleen gaat het dan over het feit dat de data in de Google Cloud nu opgeslagen staan, maar ook over de positie van MRDM en de data-verzamelende zorginstellingen. De jurist Theo Hooghiemstra, kind aan huis bij het Ministerie van VWS, en in allerlei gremia betrokken bij data-uitwisseling, blijkt geen zwart/wit antwoord te kunnen geven of de in de Google Cloud opgeslagen data wel veilig zijn.

Onduidelijke positie MRDM

Uit de berichten in het Algemeen Dagblad doet het bedrijf MRDM voorkomen dat het contractueel een onderdeel is van de aanleverende zorginstellingen (zie daarin punt 4: Kan dit zomaar?) en dus geen derde zou zijn die de data voor de zorginstellingen be-/verwerkt. Het bedrijf doet ermee voorkomen geen zelfstandige onderneming te zijn. Het vreemde aan die constructie is dat meerdere zorginstellingen dezelfde onderneming als onderdeel van hun organisatie zouden hebben. Dat maakt de zelfstandigheid van MDRM dan ook twijfelachtig.  Toch profileert  MRDM zich zelf naar buiten als een zelfstandige onderneming, als Trusted Party. Op haar website profileert MRDM zich ook als zelfstandige onderneming met als klanten een baaierd aan zorginstellingen.

Verwerkingsverantwoordelijke en be-/verwerker

Bij het be-/verwerken van data is er volgens de Algemene Verordening Gegevensbescherming(AVG) altijd een verwerkingsverantwoordelijke die het doel van en de middelen van de gegevensverwerking vaststelt. Deze heeft de zeggenschap over hetgeen wordt verwerkt, kan instructies geven voor de gegevensverwerking en heeft hierop feitelijke invloed. Het gaat hier vooral om wie daadwerkelijk de beslissingen neemt en feitelijk bepaalt wat er met die gegevens gebeurt. De verwerker verwerkt persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke. In het geval van gepseudonimiseerde zorgdata dienen we op basis van uitspraken van de Autoriteit Persoonsgegevens gewoon te spreken over het verwerken van (bijzondere) persoonsgegevens. Daarbij is bij hergebruik voor een ander doel toestemming van de patiënt noodzakelijk.

MRDM

De reactie van MRDM doet duidelijk uitkomen dat zij zichzelf “slechts” ziet als een bewerker die medische gegevens verwerkt in opdracht van ziekenhuizen. Dit standpunt houdt in dat MRDM niet eigenstandig mag beslissen op welke wijze en waarvoor de door ziekenhuizen aangeleverde data worden verwerkt. Dit betekent ook dat de doorlevering van data aan Google gebeurt in opdracht van de ziekenhuizen die door MRDM worden aangemerkt als de verantwoordelijke voor de verwerkingen die door hen als bewerker worden uitgevoerd.

Eigen Initiatief?

Mocht de doorlevering van de medische data aan Google Cloud op eigen initiatief van MRDM geschied zijn dan moet zij worden aangemerkt als verwerkingsverantwoordelijke . Die kan en moet dan worden aangesproken op de vereisten die gelden voor het verwerken van deze bijzondere persoonsgegevens.

Wettelijke en verdragsrechtelijke eisen

Bewerkers die worden ingeschakeld voor de verwerking van bijzondere persoonsgegevens moeten gehouden kunnen worden aan dezelfde wettelijke en verdragsrechtelijke vereisten zoals die gelden voor de verwerkingsverantwoordelijke. Een andere opvatting is onhoudbaar omdat anders het inschakelen van een buitenlandse bewerker die niet gehouden is aan in Nederland geldige wet en regelgeving tot een “reguliere optie” wordt voor het in strijd met de wet(illegaal) verwerken van persoonsgegevens van Nederlanders.

Zeer problematisch

Een ander problematisch punt in deze casus is echter dat besturen van ziekenhuizen zonder toestemming van de patiënt menen te kunnen en mogen beschikken over behandelinformatie van in het ziekenhuis werkzame zorgverleners. De gegevens in dossiers van zorgverleners zijn verkregen voor de behandeling van de patiënt en mogen niet aan derden die niet direct bij de behandeling betrokken zijn slechts worden door geleverd voor enig ander welbepaald doel zonder expliciete geïnformeerde toestemming van de patiënt.

Toe-eigening zeggenschap zorgdata

Ook buiten deze casus speelt dit bij de pogingen tot verstrekking van ROM-data door GGZ-instellingen aan eerst SBG en thans Awka met De Nieuwe Entiteit als verwerker. De gedachte dat besturen van GGZ-instellingen uit hoofde van hun functie menen te kunnen beschikken over gegevens in patiëntdossiers van zorgverleners is  volstrekt onjuist. In het model-privacy-reglement  van GGZ Nederland voor GGZ-zorginstellingen  worden de besturen van zorginstellingen tot verwerkingsverantwoordelijke gemaakt  die het doel en de middelen van de verwerking vaststellen.

Het gevolg is dat niet de cliënt met de zorgverlener bepaalt of persoons-/behandelgegevens van de cliënt de instelling verlaten, maar de zorgaanbieder, zijnde het bestuur en de directie van de zorginstelling. Ik schreef hierover op 29 maart 2018.

Patiënten

Het is triest om te moeten constateren dat in dit data-geweld de rechten van patiënten om zelf te beschikken over wat er met zijn/haar data gebeurt met de voeten worden getreden. Allerlei constructies worden opgetuigd om over die data te beschikken. De Autoriteit Persoonsgegevens die daarover zouden moeten waken slaapt of is onwillig krachtige beslissingen te nemen.

W.J. Jongejan, 3 april 2019

 

 

 

 

 

 

 

 

 

 




Wegduikende Autoriteit Persoonsgegevens faciliteert weer massale overdracht van medische data

wegduikende

Op zaterdagochtend 30 maart 2019 verscheen op de website van het Algemeen Dagblad een artikel over het kopiëren van massale hoeveelheden patiëntendata naar servers van de Google-cloud. Enkele uren later gevolgd door een tweede artikel, genaamd: “Ook jouw medische data liggen nu bij Google”.  Dat gebeurde door het dataverwerkingsbedrijf Medical Research Data Management (MRDM), één van de grootste medische dataverwerkingsbedrijven van het land. Die kopieerde die data naar het Google Cloud Centre aan de Eemshaven te Groningen. Het gaat om gepseudonimiseerde behandelgegevens van honderdduizenden Nederlanders uit ziekenhuizen en bevolkingsonderzoeken. MRDM verzamelt en verwerkt zorgdata om er bigdata-analyse op uit te voeren. Wat hier gebeurt is al meerdere keren op andere terreinen gebeurt. Bij de verzameling van diagnosegegevens in het Diagnose BehandelCombinaties(DBC’s) in het DBC Informatie Systeem(DIS) gebeurt precies hetzelfde met gepseudonimiseerde gegevens. Ook bij het verzamelen van Routine Outcome Momitoring(ROM)-data uit de geestelijke gezondheidszorg(GGZ) gebeurt precies hetzelfde. Ik schreef er op deze website vaker over. Bij al die verwerkingen speelt de Autoriteit Persoonsgegevens(AP) een dubieuze, maar cruciale faciliterende rol.

Autoriteit Persoonsgegevens

De AP speelt die rol omdat ze oogluikend het verwerken van gepseudonimiseerde gegevens voor andere doeleinden dan waarvoor ze bedoeld zijn, zonder nadere toestemming van de patiënt, toestaat. Diverse pogingen om de AP bij de les te houden stranden op de halsstarrige houding van de AP om een beslissing te nemen over de gevolgen van de status van gepseudonimiseerde patiëntgegevens. Die pogingen zijn in gang gezet via de burgerrechtenvereniging Vrijbit in samenwerking met de Stichting KDVP en door een handhavingsverzoek aan de AP door een ex-patiënte uit de GGZ in het voorjaar van 2017. Naar het DIS doorgestuurde data zijn gepseudonimiseerd. Dat geldt ook voor de ROM-data die eerst naar de Stichting Benchmark GGZ gingen en nu naar de rechtsopvolger Akwa in samenwerking met De Nieuwe Entiteit als verwerker. Het handhavingsverzoek dat de ex-patiënte in maart 2017 deed aan de AP  hield in dat de AP gevraagd werd er op toe te zien dat de verzameling en verwerking van ROM-data gestaakt moest worden omdat zulks zonder toestemming van de patiënt gebeurde. Mede naar aanleiding van dit handhavingsverzoek startte de AP een onderzoek in juni 2017 richting SBG.

Gepseudonimiseerde patiëntgegevens

Patiëntgegevens die gepseudonimiseerd zijn dienen te worden beschouwd als (bijzondere) persoonsgegevens. Pseudonimisatie is namelijk geen anonimisatie. Bij dat laatste is sprake van een onomkeerbaar proces. Na anonimisatie is geen herleiding tot een persoon mogelijk. In het artikel in het AD geeft de directeur van het bedrijf ook aan dat enkele werknemers die ontsleuteling kunnen toepassen. De AP heeft zelf in 2015 duidelijk gemaakt dat pseudonimisatie een beveiligingsmaatregel is die de herleidbaarheid tot het individu beperkt, maar niet voorgoed onmogelijk maakt.

Geen toestemming gevraagd

Dat verwerkte de voormalige minister van VWS Edith Schippers in een antwoord op Kamervragen in maart 2017 over het verzamelen van en verwerken van ROM-data. Zij bevestigde dat pseudonimiseren slechts een beveiligingsmaatregel is. Daarnaast zei ze dat er dus voor de verwerking van gepseudonimiseerde gegevens een wettelijk grondslag nodig is op basis van de Wet bescherming persoonsgegevens(Wbp). Het verkrijgen van expliciete toestemming van de patiënt is één van de grondslagen. Noch in het geval van de DIS-data, noch bij de ROM-data, noch bij de door MRDM verwerkte data is van die toestemmingsvraag  sprake.

Laffe houding

De AP heeft door de loop der tijd blijk gegeven van het niet eigenstandig krachtige beslissingen nemen. Ze laat haar oren hangen naar de politiek en naar grote veldpartijen zoals de zorgverzekeraars. De rechtszaak van Vrijbit en KVDP loopt al vanaf begin 2016 en wordt door toedoen van de AP telkenmale getraineerd. Het onderzoek van de AP over het verzamelen van ROM-data door eerst SBG en huidige rechtsopvolgers is na 94 weken nog steeds niet afgerond. Het handhavingsverzoek is om formele gronden afgewezen. De vraagstelster stelde ruim 100 weken na maart 2017 de AP in gebreke vanwege het niet nemen van een beslissing binnen de normaal geldende termijnen. De AP stelde dat het verzoek te moeten afwijzen omdat het onderzoek nog niet was afgerond(sic!)

Legaal?

Het bedrijf MRDM stelt dat alles volkomen legaal gebeurt. In haar persbericht staat dat het zorgdata verwerkt in opdracht van de partij die wettelijk verantwoordelijk is voor die data, met een vooraf afgestemd doel. Ziekenhuizen geven volgens MRDM opdracht om de gegevens te verwerken ten behoeve van kwaliteitsverbetering, kostenbeheersing en/of onderzoek. Daarmee haalt het bedrijf letterlijk een uitzonderingsbepaling in de AVG aan, waar in punt 52 staat dat die gronden een uitzondering kunnen zijn voor het verbod op het verwerken van bijzondere persoonsgegevens. Men gaat echter daarbij voorbij aan het feit dat voor het verwerken van bijzondere persoonsgegevens voor een ander doel dan waarvoor ze initieel vergaard zijn toestemming nodig is van de patiënt. Daar hoort de AP op toe te zien en op te handhaven.

Een Autoriteit Persoonsgegevens die wegkijkt bij kritische vragen en geen beslissing durft te nemen is de naam Autoriteit niet waardig. Ze faciliteert onwettige praktijken.

O ja: ook nu weer betalen de zorgverzekeraars grotendeels de acties van MRDM.

W.J. Jongejan, 1 april 2019.

 

 

 




Onbegrijpelijke gebeurtenis met geheime stukken in rechtszaak Vrijbit

geheim

Tijdens één van de zittingen van de rechtbank Midden-Nederland op vrijdag 15 februari 2019 in de zaken die de burgerrechtenvereniging Vrijbit tegen de Autoriteit Persoonsgegevens(AP) aanspande deed zich iets zeer opmerkelijks voor. Ik beschreef zeer recent(14 februari 2019) deze twee zaken op deze website. In dat artikel maakte ik al melding van het feit de AP na het verstrijken van elk redelijke termijn in september 2018 plotseling een flinke stapel papier  bij de rechtbank deponeerde. Daarbij de melding dat een aanzienlijk deel van deze stukken onder geheimhouding werd aangeleverd en dus niet aan de eisende partij, Vrijbit, geopenbaard mocht worden. De rechtbank blijkt deze gang van zaken geaccepteerd te hebben.  De jurist Ab van Eldijk die samen met Vrijbit voorzitter Miek Wijnberg, de eisende partij vertegenwoordigde was  echter volstrekt verbijsterd toen de AP ter zitting alsnog enige geheime stukken wilde inbrengen.

Gang van zaken

De geheime stukken bracht de AP in de zaak UTR 16/3326 WBP V97 in.  Bij deze zaak gaat om het afgewezen verzoek van Vrijbit op 3 mei 2015 aan de AP om een eind te maken aan de onrechtmatige verzameling en verwerking van medische gegevens door de zorgverzekeraars. Ter zitting meldde de voorzitter  van de rechtbank dat de onder geheimhouding door de AP ingebrachte stukken ter beoordeling waren voorgelegd aan een andere rechter in de rechtbank, belast met het beoordelen van geheime stukken. Die had geoordeeld dat het geheimhouden van deze stukken, die betrekking hadden op de kern van deze procedure, te weten de verwerking van medische persoonsgegevens bij zorgverzekeraars, gepermitteerd werd,  en niet ter beschikking gesteld behoefden te worden aan Vrijbit.

Loos gebaar

Ter zitting kreeg Vrijbit alsnog één A4-tje uitgereikt, met daarop de omschrijving van een tweetal stukken die de AP ter plekke nog aan het dossier wilde toevoegen.  Het is bevreemdend dat de rechtbank niet direct  bezwaar gemaakt heeft tegen het verzoek van de AP om op deze wijze ter zitting nieuwe stukken in te brengen. Overigens is het verzoek om geheimhouding afkomstig van  zorgverzekeraars die informatie met betrekking tot de verwerking van medische persoonsgegevens menen te kunnen aanmerken als geheime bedrijfsinformatie.

No fair trial

Op de hierboven beschreven wijze is er geen sprake van een “fair trial”. Een tegenpartij die nota bene toezichthouder is op privacy-zaken traineert gedurende enkele jaren een procedure over de systematische grootschalige verwerking van medische persoonsgegevens in strijd met de wet en verdrag. Zij meent dat in een dergelijke even gevoelige als belangrijke procedure stukken geheim gehouden kunnen worden die betrekking hebben op de (onrechtmatige) wijze waarop zorgverzekeraars medische persoonsgegevens verwerken die zijn verkregen met doorbreking van het medisch beroepsgeheim.  Van een gelijke informatiepositie van procespartijen is daarmee geen sprake meer. Als informatie over de wijze waarop medische persoonsgegevens worden verwerkt door zorgverzekeraars gemaakt wordt tot geheime bedrijfsinformatie dan wordt daarmee een vrijbrief afgegeven voor elk gebruik van beschikbare medische persoonsgegevens, omdat controle daarop tot een illusie is geworden.

Ingewikkeld

Eén van de punten die in deze zitting aan de orde kwam was de beperking in het onderzoek naar de zorgverzekeraars dat de AP zich zelf had opgelegd. De zaak ging erom dat er een einde wordt gemaakt aan de wijze waarop zorgverzekeraars in Nederland volgens procedures beschreven in de  Gedragscode  Zorgverzeke-raars (medische) persoonsgegevens verzamelen en verwerken op een wijze die strijdig is met nationale en internationale wetgeving ter bescherming van het recht op een privéleven en die tevens een inbreuk vormt op het medisch beroepsgeheim. Je zou dan ook verwachten dat de AP onderzoek gedaan had bij alle zorgverzekeraars en bij de overkoepelende organisatie Zorgverzekeraars Nederland. Dat was niet het geval. De AP beperkte zich tot vier zorgverzekeraars. In de rechtszaal was Zorgverzekeraars Nederland ook niet aanwezig. Wel had zorgverzekeraar Zilveren Kruis ter zitting een advocaat afgevaardigd. Hij sprak welgeteld drie korte zinnen tijdens de zitting.

Onbevredigend

De vertoonde procesgang maakte op mij een zeer onbevredigende indruk. Het beeld bleef hangen van een wegdraaiende en duikende AP, die door niet handhavend op te treden de belangen van zorgverzekeraars laat prevaleren boven de belangen van burgers, boven het belang van het medisch beroepsgeheim en het behoud van vertrouwelijkheid in de zorg.

De rechtbank probeert over zes weken de uitspraak te doen, maar de voorzitter liet weten dat gezien de ingewikkeldheid van de materie mogelijk de uitsteltermijn van nog eens zes weken in beeld komt.

W.J. Jongejan, 18 februari 2019

19 februari 2019:  wat tekstuele aanpassingen in meerdere alinea’s door informatie  verkregen van andere ter zitting aanwezigen.