image_pdfimage_print
03 apr 2019

Juridische overwegingen bij medische data door MRDM en opslag bij Google Cloud

juridische

Op 1 april 2019 schreef ik op deze website een artikel over een bericht van het Algemeen Dagblad op 30 maart. Het betrof de verwerking van massale hoeveelheden medische data in gepseudonimiseerde vorm door het bedrijf Medical Research Data Management (MRDM) en de opslag van die data op de Google Cloud op de locatie Eemshaven. Inmiddels is de politiek ook wakker geschud, hebben Kamerleden van D66 en SP vragen gesteld en heeft minister Bruins opdracht gegeven aan de Autoriteit Persoonsgegevens onderzoek te doen. Er zitten interessante juridische kanten aan deze materie, voornamelijk van principiële aard. Niet alleen gaat het dan over het feit dat de data in de Google Cloud nu opgeslagen staan, maar ook over de positie van MRDM en de data-verzamelende zorginstellingen. De jurist Theo Hooghiemstra, kind aan huis bij het Ministerie van VWS, en in allerlei gremia betrokken bij data-uitwisseling, blijkt geen zwart/wit antwoord te kunnen geven of de in de Google Cloud opgeslagen data wel veilig zijn.

Lees verder

01 apr 2019

Wegduikende Autoriteit Persoonsgegevens faciliteert weer massale overdracht van medische data

wegduikende

Op zaterdagochtend 30 maart 2019 verscheen op de website van het Algemeen Dagblad een artikel over het kopiëren van massale hoeveelheden patiëntendata naar servers van de Google-cloud. Enkele uren later gevolgd door een tweede artikel, genaamd: “Ook jouw medische data liggen nu bij Google”.  Dat gebeurde door het dataverwerkingsbedrijf Medical Research Data Management (MRDM), één van de grootste medische dataverwerkingsbedrijven van het land. Die kopieerde die data naar het Google Cloud Centre aan de Eemshaven te Groningen. Het gaat om gepseudonimiseerde behandelgegevens van honderdduizenden Nederlanders uit ziekenhuizen en bevolkingsonderzoeken. MRDM verzamelt en verwerkt zorgdata om er bigdata-analyse op uit te voeren. Wat hier gebeurt is al meerdere keren op andere terreinen gebeurt. Bij de verzameling van diagnosegegevens in het Diagnose BehandelCombinaties(DBC’s) in het DBC Informatie Systeem(DIS) gebeurt precies hetzelfde met gepseudonimiseerde gegevens. Ook bij het verzamelen van Routine Outcome Momitoring(ROM)-data uit de geestelijke gezondheidszorg(GGZ) gebeurt precies hetzelfde. Ik schreef er op deze website vaker over. Bij al die verwerkingen speelt de Autoriteit Persoonsgegevens(AP) een dubieuze, maar cruciale faciliterende rol.

Lees verder

18 feb 2019

Onbegrijpelijke gebeurtenis met geheime stukken in rechtszaak Vrijbit

geheim

Tijdens één van de zittingen van de rechtbank Midden-Nederland op vrijdag 15 februari 2019 in de zaken die de burgerrechtenvereniging Vrijbit tegen de Autoriteit Persoonsgegevens(AP) aanspande deed zich iets zeer opmerkelijks voor. Ik beschreef zeer recent(14 februari 2019) deze twee zaken op deze website. In dat artikel maakte ik al melding van het feit de AP na het verstrijken van elk redelijke termijn in september 2018 plotseling een flinke stapel papier  bij de rechtbank deponeerde. Daarbij de melding dat een aanzienlijk deel van deze stukken onder geheimhouding werd aangeleverd en dus niet aan de eisende partij, Vrijbit, geopenbaard mocht worden. De rechtbank blijkt deze gang van zaken geaccepteerd te hebben.  De jurist Ab van Eldijk die samen met Vrijbit voorzitter Miek Wijnberg, de eisende partij vertegenwoordigde was  echter volstrekt verbijsterd toen de AP ter zitting alsnog enige geheime stukken wilde inbrengen.

Lees verder

14 feb 2019

Geheimzinnigheid Autoriteit Persoonsgegevens in principiële rechtszaken

geheime stukken

Aanstaande vrijdag 15 februari 2019 dienen in de ochtend twee zeer interessante zaken over het verzamelen en verwerken van medische gegevens bij de Rechtbank Midden-Nederland in Utrecht. Locatie: Vrouwe Justitiaplein 1. Het gaat om zeer principiële zaken bij de bestuursrechter. De burgerrechtenvereniging Vrijbit voert die al enige tijd. In beide zaken is de Autoriteit Persoonsgegevens(AP) de gedaagde partij. De procesgang duurt al vanaf 2015. De AP heeft op velerlei wijzen de procesgang ernstig vertraagd. Om 09.00u dient de zaak UTR 16/4199 WBP V93 en om 10.30u de zaak UTR 16/3326 WBP V97. Over dit onderwerp  schreef ik al eerder op 15 maart 2017. De komende zittingen zijn zeer interessant voor geïnteresseerden in de privacy van burgers en van patiënten in het bijzonder. De zaken zijn een voortzetting van de rechtszaken met dezelfde nummering die op 10 maart 2017 in Utrecht dienden. In dit artikel zal ik duidelijk maken dat het handelen van de AP een toezichthouder onwaardig is.

Lees verder

25 jan 2019

Schaamteloze juridische redenatie IGJ beperkt recht benadeelde burger

shame on you

Opt-in-toestemming voor het Landelijk SchakelPunt(LSP) is voor mij tot drie maal toe buiten mijn wil genoteerd.  Op deze website heb ik meerdere keren u op de hoogte gehouden over de pogingen om er voor te zorgen dat toezichthouders toezien op een correcte handelswijze en handhaven. Dat laatst gebeurt niet. Zowel de Autoriteit Persoonsgegevens(AP) als de Inspectie Gezondheidszorg en Jeugd(IGJ) hebben een broertje dood aan die activiteiten. Naar analogie van een handhavingsopdracht van de IGJ aan het Isala-ziekenhuis in Zwolle vroeg ik de IGJ om handhavend op te treden tegen apotheken die onterecht opt-in-toestemmingen van bezoekende patiënten noteren. Eerder deed ik dat bij de AP in samenspraak met de burgerrechtenvereniging Vrijbit. Bij de afhandeling van de verzoeken blijkt hoe beide controlerende instanties (waakhonden?) eigenlijk geen hand uitsteken. Ze doen zoveel mogelijk moeite om het verzoek van de burger af te wijzen en hem/haar te ontmoedigen. De wijze van handelen is op zijn zachtst gênant te noemen en beperken de burger in hoge mate zijn recht te halen. De controlerende instanties laten de verdenking dan ook op zich dat zij het wederrechtelijk handelen faciliteren dan wel sanctioneren.

Lees verder

16 jan 2019

Waakhond Autoriteit Persoonsgegevens vertoont extreem egelgedrag

egelherder

Wat doet een egel als er gevaar dreigt? Hij zet zijn stekels op en rolt zich op als bescherming tegen de boze buitenwereld. Precies dat gedrag vertoont de Autoriteit Persoonsgegevens(AP) met heikele kwesties zoals de verwerking van medische gegevens. Op 8 januari 2019 ontving de ex-patiënte uit de geestelijke gezondheidszorg(GGZ) die 93 weken voordien een handhavingsverzoek deed bij de AP, het bericht dat haar handhavingsverzoek was afgewezen. De AP gaf, na in gebreke stelling door de verzoekster om binnen een redelijke termijn tot een beslissing te komen, aan dat het onderzoek nog niet afgerond was en daarom het handhavingsverzoek afwees.  Het verzoek betrof de vraag om handhavend op te treden tegen het onrechtmatig verzamelen en verwerken van (medische en bijzondere) persoonsgegevens door de Stichting Benchmark GGZ(SBG) aangezien die gegevens in hoofdzaak verwerkt worden zonder toestemming van de patiënt. Meer in het bijzonder was gevraagd de verwerking van de gegevens op te schorten en toe te zien op directe vernietiging van de gegevens die opgeslagen zijn in de databank van SBG. Voor degenen die het nog niet begrepen hadden vertel ik hier dan maar dat het gaat om de Routine Outcome Monitoring(ROM) data. Even op deze website zoeken onder de categorie of de tag “ROM” laat meer dan zestig artikelen zien. Lees verder

03 jan 2019

Webwinkel Vilans, kenniscentrum voor langdurende zorg, gehackt

hacked

Op donderdag 3 januari 2019 hebben klanten van de webshop van Vilans bericht gekregen dat de database van de webshop gehackt geweest is. Vilans is een vrij grote grotendeels gesubsidieerde organisatie die stelt  kenniscentrum te zijn voor de langdurende zorg en als doel heeft om deze zorg te vernieuwen en te verbeteren. Ze ondersteunt vooral zorgprofessionals die in de online-webshop rapporten en brochures kunnen bestellen. Ook particulieren kunnen er bestellingen doen. In het bericht dat klanten per email kregen is te lezen dat een hack heeft plaatsgevonden, ontdekt is en het gat gedicht is. Op de website van Vilans en op het Twitter-account is niets te lezen over de hack.  Persoonsgegevens zijn door de hacker buitgemaakt. Vilans waarschuwt dat die informatie gebruikt kan worden voor phishing mail en raadt aan om het wachtwoord voor de webshop te wijzigen. Zoals zo vaak met dit soort berichten is het interessant om niet alleen te kijken naar datgene wat men meldt staat maar ook naar wat er niet in staat

Lees verder

01 jan 2019

Autoriteit Persoonsgegevens komt na 92 weken nog niet met besluit over ROM-data

besluiteloosheid AP

De Autoriteit Persoonsgegevens(AP) heeft een nieuw Nederlands record gevestigd. Het gaat om het niet beslissen op een handhavingsverzoek in een zeer principiële kwestie . Op 24 maart 2017 diende een ex-GGZ-patiënt een handhavingsverzoek bij de AP in. Nu, 92 weken later, heeft de AP daar nog steeds niet over beslist. Het ging om het verzoek om het verzamelen en verwerken van (medische en bijzondere) persoonsgegevens in de vorm van ROM-data in de databank van SBG, zo spoedig mogelijk op te schorten en toe te zien op de vernietiging per direct van de gegevens in de SBG-databank. Ook was het verzoek dat  toezicht dient plaats te vinden op hernieuwde wederrechtelijke vulling van die databank. Het gaat om Routine Outcome Monitoring vragenlijsten die veelal zonder toestemming van de patiënt in gepseudonimiseerde vorm naar de Stichting Benchmark GGZ(SBG) zijn gestuurd. Die beoogde met die data informatie over kwaliteit van zorg te genereren voor het vergelijken van zorgverleners en zorginstellingen in de GGZ(het benchmarken) en voor zorginkoop. Het probleem is echter dat met ROM-data geen kwaliteit gemeten wordt.  De tegenstanders van deze ROM-verzameling zijn hebben geen enkel probleem met het gebruik van ROM-gegevens binnen de therapeutische relatie. Het probleem zit ‘m erin dat die data voor een doel waarvoor ze nimmer bedoeld en geschikt zijn, grootschalig,  zonder toestemming verwerkt worden door een bedrijf buiten de instelling.

Lees verder

11 dec 2018

Rupsje Nooitgenoeg NZa gaat onder druk een blaadje minder eten

rupsje nooitgenoeg

Niet zo prominent was in de nieuwsbrief van de Nederlandse Zorgautoriteit(NZa) op 23 november 2018  te zien dat binnenkort een zeer belangrijke verandering doorgevoerd wordt. De NZa maakte kenbaar dat per 15 april 2019 een wijziging plaats vindt in de inhoud van de Minimale DataSet(MDS) die zorggaanbieders in de specialistische geestelijke gezondheidszorg(GGZ) moeten aanleveren aan het DIS. Dat staat voor het Diagnose Behandel Combinatie(DBC) Informatie Systeem. Daarin slaat de NZa op persoonsniveau gegevens op over medische diagnoses en de behandeling. Ze stelt nu dat na 15 april het aanleveren van de hoofddiagnose volstaat. De informatie over diepere niveaus vraagt men dan niet meer op. Tegelijk meldt de NZa dat informatie over die diepere niveaus die de afgelopen jaren aangeleverd is niet meer voor verdere verwerking beschikbaar zal zijn. Let wel: hier schrijft de NZA niet dat die dat vernietigd worden, maar dat ze niet meer beschikbaar zijn. Het is een zeer beperkte aanpassing . Maar deze stap moet wel gezet zijn onder druk van een rechtszaak. Die betreft een eerdere weigering van de Autoriteit Persoonsgegevens om handhavend op te treden tegen de NZa inzake aanlevering van (zeer gedetailleerde) behandelinformatie op persoonsniveau bij het DIS.

Lees verder

09 okt 2018

Autoriteit Persoonsgegevens ontloopt stelselmatig verantwoordelijkheid

right/wrong

Recent, op 6 september 2018, verscheen in het NRC-Handelsblad een artikel van Liza van Lonkhuyzen met als kop: “Raad van State: burger in de knel door digitale overheid”. Het betrof een ongevraagd advies van de Raad van State over hoe de overheid met de data van burgers omgaat. Op de wijze waarop de toezichthouder van diezelfde overheid op het uitwisselen van gegevens van burgers, de Autoriteit Persoonsgegevens(AP), opereert, is helaas ook het nodige aan te merken. Zij blijkt nogal eens haar verantwoordelijkheid te ontlopen. Medische gegevens zijn bijzondere persoonsgegevens waarmee men zeer zorgvuldig moet omgaan , zeker bij uitwisseling met behulp van een datanetwerk.  Het Landelijk SchakelPunt(LSP), waarmee medische gegevens opvraagbaar zijn bij de bron, is zo’n netwerk. Voor het opvraagbaar maken is een goed geïnformeerde toestemming van de burger noodzakelijk. Als die toestemming ten onrechte genoteerd is en door de burger gesignaleerd en ongedaan gemaakt is, dan doet de AP daar vervolgens na melding niets mee.

Lees verder