image_pdfimage_print
31 jul 2019

Verwerking gepseudonimiseerde zorgdata niet meer mogelijk? Overheid komt met wetje

verwerking data Op 22 juli 2019 schreef ik al een artikel over de internetconsultatie die op 19 juli  startte over een wetsontwerp. Het gaat over het wetsontwerp  voor het creëren van een wettelijke grondslag voor het verwerken van gepseudonimiseerde persoonsgegevens in twee kwaliteitsregistraties. Te lang is gedacht dat het probleem van het centraal verwerken van gepseudomiseerde persoonsgegevens ten behoeve van kwaliteitsregistraties wel zou overwaaien dan wel zich zelf zou oplossen. In plaats van te bezien of de gecentraliseerde verwerking nu wel de weg is die verder bewandeld moet worden, kiest de overheid voor het verdedigen van bestaande belangen. Ze kiest voor reparatiewetgeving die rammelt en dubieuze kanten heeft. In mijn artikel van 22 juli had ik het er al over dat men voor het op centraal niveau verzamelen van zorgdata in de verslavings-en de traumazorg er voor het gemak van uit ging dat de geregistreerden op voorhand handelingsonbekwaam zijn.

Lees verder

30 mei 2019

Stoppen Microsoft HealthVault toont dat PGO geen levenslang hulpmiddel is

levenslang PGOBegin april 2019 liet software-gigant Microsoft weten te stoppen met de online persoonlijke gezondheids-omgeving(PGO) Microsoft HealthVault. Per 20 november 2019 gaat de stekker er definitief uit. Microsoft vraagt dan ook aan gebruikers om de data er uit te exporteren en elders op te slaan. Gelanceerd in 2007 in beta-versie en in 2009 officieel in gebruik genomen was HealthVault een PGO avant la lettre. Lang voordat via stimuleringsregelingen van het ministerie van VWS PGO’s geforceerd in ontwikkeling kwamen, was Microsoft al met zoiets begonnen. Het stoppen van HealthVault is een teken aan de wand. Ook anderszins was er over PGO-misère recent een artikel te lezen bij het online magazine Skipr : “ Meeste PGO-leveranciers over twee jaar verdwenen”. DIrecteur Mohammad Al-Ubaydli van het van oorsprong Britse PGO Patients Know Best (PKB) komt daarin met deze boude uitspraak over het Nederlandse PGO-landschap. Het aparte is dat zowel het ministerie van VWS als veldorganisaties stellen dat de PGO’s een levenslang hulpmiddel zijn voor de patiënt om er zorgdata in op te slaan. Uit het bovenstaande moge duidelijk zijn dat er geenszins sprake is van een levenslang bestaan van een PGO. Ik berichtte eerder over drie(A, B, C) omvallende PGO’s in 2018.

Lees verder

09 apr 2019

Zorgdata verwerken, MRDM en gepseudonimiseerde data

big data

Recent zorgde een bericht in het Algemeen Dagblad op 30 maart 2019 voor flink wat rumoer. Het zorgdata verwerkende bedrijf Medical Research Data Management(MRDM) blijkt deze data opgeslagen te hebben in de Google Cloud(locatie Eemshaven). Het gegeven dat het om gepseudonimiseerde data gaat, die volgens de vigerende wet- en regelgeving gewoon als bijzondere persoonsgegevens beschouwd moeten worden maakt het één en ander nog interessanter. Binnen MRDM heeft men zelf ook wel door dat er sprake is van bijzondere persoonsgegevens. Op 17 mei 2018 hield het bedrijf een informatiebijeenkomst gegevensbescherming  waarin dit onderwerp en de relatie tot de Algemene Verordening Gegevensverwerking(AVG) ter sprake kwam. Sprekers waren onder andere de “zorg”-jurist Theo Hooghiemstra en zijn confrater Evert-Ben van Veen, directeur van het bedrijf MedLaw. Bij het doorspitten van de positie van het bedrijf MRDM stuitte ik op een kluwen van zorg-data-verwerkende bedrijven die plotseling de Value Based HealthCare(VBHC) hoog in het vaandel hebben staan. Lees verder

01 apr 2019

Wegduikende Autoriteit Persoonsgegevens faciliteert weer massale overdracht van medische data

wegduikende

Op zaterdagochtend 30 maart 2019 verscheen op de website van het Algemeen Dagblad een artikel over het kopiëren van massale hoeveelheden patiëntendata naar servers van de Google-cloud. Enkele uren later gevolgd door een tweede artikel, genaamd: “Ook jouw medische data liggen nu bij Google”.  Dat gebeurde door het dataverwerkingsbedrijf Medical Research Data Management (MRDM), één van de grootste medische dataverwerkingsbedrijven van het land. Die kopieerde die data naar het Google Cloud Centre aan de Eemshaven te Groningen. Het gaat om gepseudonimiseerde behandelgegevens van honderdduizenden Nederlanders uit ziekenhuizen en bevolkingsonderzoeken. MRDM verzamelt en verwerkt zorgdata om er bigdata-analyse op uit te voeren. Wat hier gebeurt is al meerdere keren op andere terreinen gebeurt. Bij de verzameling van diagnosegegevens in het Diagnose BehandelCombinaties(DBC’s) in het DBC Informatie Systeem(DIS) gebeurt precies hetzelfde met gepseudonimiseerde gegevens. Ook bij het verzamelen van Routine Outcome Momitoring(ROM)-data uit de geestelijke gezondheidszorg(GGZ) gebeurt precies hetzelfde. Ik schreef er op deze website vaker over. Bij al die verwerkingen speelt de Autoriteit Persoonsgegevens(AP) een dubieuze, maar cruciale faciliterende rol.

Lees verder

02 nov 2018

De arts en de AVG: soms roomser dan de paus

pausVoor de bescherming van bijzondere(medische) persoonsgegevens is sinds 25 mei 2018 de uitvoeringswet Algemene Verordening Gegevensbescherming(AVG) van kracht. Hij is afgeleid van Europese regelgeving. Tot mei 2018 was de Wet bescherming persoonsgegevens(Wbp) van kracht. Deze was op 1 september 2001 in werking getreden. Alle informatie-bewerking / -verwerking valt er onder; dus ook die in de zorg. De AVG richt zich op papieren en elektronische gegevensverzamelingen, waarin tot een persoon herleidbare data zich bevinden. De uitvoering van de AVG levert volgens Hans Gimbel, huisarts te Heerhugowaard, grote problemen op. Hij schreef een opiniestuk in de Volkskrant van 4 september 2018 met de titel: ’Brusselse privacyregels frustreren zorgverlening’. De inhoud geeft aan dat een aantal artsen de AVG verkeerd interpreteren.

Lees verder

14 sep 2018

Kabinet presenteert wetsontwerpen die strijdig zijn met Grondwet

grondwetIn de zomer van 2018 heeft het kabinet een tweetal wetsontwerpen gelanceerd die strijdig zijn met de grondwettelijke rechten. Het gaat om de Wet Gegevensverwerking door Samenwerkingsverbanden(WGS)  en  de Wet bevorderen samenwerking en rechtmatige zorg(Wbsrz). Deze wetsontwerpen grijpen evenals de in  2014 door de overheid ingevoerde Systeem Risico Indexatie(Syri) door een wijziging van de wet SUWI(Wet structuur uitvoeringsorganisatie werk en inkomen) diep in het bestaan van de burger in.  Als grote gemene deler hebben de drie genoemde wetten gemeen dat zij zeer ver doordringen in de persoonlijke levenssfeer van burgers door het opzetten van, het onderling vergelijken en bewerken van databases met behulp van big-data-analyse-technieken. Dat alles met het doel om tot profilering over te gaan. De wetten hebben ook gemeen dat er geen notificatieplicht  in opgenomen is om geïncludeerde burgers in kennis te stellen van het delen van bronbestanden, de verwerking van hun gegevens en opname in enig profileringsbestand. Ook  ontbreekt een afdoend correctierecht van de burger. Het gaat in dezen om digitale burgerrechten die de overheid schendt. Daarmee zet het kabinet de verhouding staat-burger op scherp.  Lees verder

10 sep 2018

Raad van State verkoopt digitale overheid ongevraagd forse dreun

forse dreun

Op 31 augustus 2018 kwam de Afdeling Advisering van de Raad van State(RvS) ongevraagd met dertig pagina’s groot advies aan het kabinet over de effecten van de digitalisering voor de rechtsstatelijke verhoudingen. Zo vaak geeft de RvS geen ongevraagde adviezen, want het laatste dateert uit 2015. Ze wijst in het advies op bestaande knelpunten bij digitale overheidscommunicatie en bij wetgeving en geeft zij een aantal adviezen om die te verbeteren. Zij doet dat op een beschaafde wijze, die echter niets aan de verbeelding overlaat. De knelpunten die beschreven worden betreffen vaak zeer burger-onvriendelijke situaties die door de overheid in een poging om in het digitale tijdperk bij te blijven nogal mank zijn ingevoerd. In de adviezen die de RvS geeft zij meteen een opsomming van wetsontwerpen op landelijk en Europees die thans onder handen zijn, waar de adviezen al in ten uitvoer zouden moeten worden gebracht. Eén daarvan is het wetsontwerp Gegevensverwerking door Samenwerkingsverbanden, dat ik twee keer hier besprak. Voor degenen die geen trek hebben om het hele rapport te lezen is er ook een persbericht van de RvS. De NRC berichtte er op 6 september over.

Lees verder

01 jun 2018

Bij inzet wet dwangsom besluit trage Autoriteit Persoonsgegevens negatief

AP-slak met agent

Dat de Autoriteit Persoonsgegevens(AP) moeite heeft met het nemen van beslissingen over principiële zaken is voor insiders geen geheim. Door het verloop van enkele mij bekende zaken die bij de AP aanhangig zijn gemaakt, werd het mij recent duidelijk hoe de nieuwste verdedigingslinie van de AP eruit ziet bij lastige zaken. Het gaat daarbij om handhavingsverzoeken die ingediend zijn door burgers vanwege in hun ogen evidente overtredingen ten aanzien van de privacy. Helaas is het zo dat de AP bij dit soort handhavingsverzoeken buitengewoon traag reageert. Beslissingen blijven soms een half jaar, maar ook wel eens langer dan een jaar uit. Als dan na een ingebrekestelling de AP nog niet met een besluit komt, kan de burger met een beroep op de Wet dwangsom en beroep bij niet tijdige beslissingen(Wdbntb) een beslissing eisen of naar de bestuursrechter gaan. Als de burger die eis op basis van de Wdbntb daadwerkelijk neerlegt bij de AP, maakt deze in het gunstigste geval het de aanvrager duidelijk dat zij negatief zal gaan beslissen op het handhavingsverzoek als dat doorgezet wordt. Of de AP heeft inmiddels al negatief besloten. Het argument voor het negatief beslissen is dan dat de aanvrager de AP niet voldoende tijd gegund heeft om “fatsoenlijk” onderzoek te doen. het is te gênant voor woorden, maar het gebeurt.

Lees verder

15 mei 2018

Laakbare traagheid handelsmerk Autoriteit Persoonsgegevens bij principiële kwesties

AP handelsmerk

Meerdere zeer principiële zaken, waarin van de Autoriteit Persoonsgegevens(AP) als toezichthouder een beslissend oordeel gevraagd wordt, slepen zich zeer lang voort. Daarbij lijkt het erop dat de AP alle, maar dan ook alle, mogelijkheden benut om geen oordeel te hoeven vellen over principiële zaken, dan wel probeert het oordeel over een bepaalde datum poogt te tillen. Daarbij doel ik specifiek op de ingangsdatum van de Algemene Gegevens Verordening(AVG): 25 mei.  Dat is over tien dagen. Ik doel daarbij op handhavingsverzoeken over de gedragscode zorgverzekeraars, ingediend  bij de rechtsvoorganger van het AP, het College Bescherming Persoonsgegevens(CBP) in maart 2015. Daarnaast die betreffende de verwerking van medische persoonsgegevens in het DIS( DBC Informatie Systeem), ingediend in mei 2015 , maar ook die over de onrechtmatige verzameling van Routine Outcome Monitoring(ROM) gegevens, ingediend in maart 2017.

Lees verder

06 apr 2018

LVVP vraagt leden voorlopig ROM-data niet aan te leveren, maar slaat de plank mis

hamer en spijkers

In een reactie op mijn artikel van 3 april 2018 over het uitzetten van de aanleverswitch voor ROM-data op zorgverlenersniveau bij de Stichting Vrijgevestigden ROM-men(SVR), liet Michiel Schiffers, beleidsmedewerker bij de Landelijke Vereniging van Vrijgevestigde Psychologen en Psychotherapeuten(LVVP), weten dat deze organisatie haar leden ‘vooralsnog’ afraadt om ROM-data naar de SVR te sturen. Dat staat ook in een ledenbrief van 29 maart 2018. Uit de argumentatie in die ledenbrief en het bewoordingen waarmee de LVVP de komst van de rechtsopvolger van de Stichting Benchmark GGZ(SBG), zijnde het AKWA instituut, verwelkomt blijkt dat men totaal niet door heeft wat er mis is aan het doorsturen van ROM-data als zijnde bijzondere persoonsgegevens aan een derde partij die deze data be-/verwerkt. AKWA is het nieuwe kwaliteitsinstituut voor de Geestelijke GezondheidsZorg(GGZ). De afkorting staat voor Alliantie Kwaliteit in de GGZ. Zoals de naam zegt is het oogmerk kwaliteitsverbetering. Het AKWA gaat echter door met het door-ontwikkelen van ROM data onder de naam ROM-nieuwe stijl. Men volhardt daarmee in een richting die door kernhoogleraren psychiatrie, maar ook de door de Algemene Rekenkamer één en andermaal als heilloos wordt gezien.

Lees verder