Vanaf oktober moeten psychiaters en psychologen gedetailleerde informatie over het mentale welzijn van patiënten delen met de toezichthouder. De patiënt hoeft geen toestemming te geven vooraf. Een groep behandelaren overweegt naar de rechter te stappen. Vijf vragen over de nieuwe informatieplicht.

Wat voor gegevens verzamelt de toezichthouder precies?

...‘Ongeveer alle intieme dingen die je kunt bespreken met een behandelaar,’ zegt psychiater Cobie Groenendijk, ‘áls je die al durft te bespreken’. Groenendijk is lid van ‘Stop de benchmark’, een kritische actiegroep van patiënten en behandelaren in de ggz die zich al langer verzet tegen de, volgens hen, ‘steeds dwingender eis’ van zorgverzekeraars en de toezichthouder om medische gegevens van patiënten aan te leveren. Een paar jaar geleden vocht de groep het verzamelen van patiëntgegevens succesvol aan....

Waar zijn die gegevens voor nodig?

De NZa wil meer weten over de bijna 800 duizend Nederlanders die gebruikmaken van de geestelijke gezondheidszorg (ggz). Dat is volgens de toezichthouder niet alleen belangrijk zodat alle patiënten ‘passende zorg’ krijgen, maar ook om beter te kunnen voorspellen welke zorg in de toekomst nodig is. Zorgverzekeraars kunnen straks ook gebruikmaken van die informatie bij het inkopen van zorg....

Hoe zit het met de privacy van patiënten?

De NZa stelt naar eigen zeggen ‘alles in werking’ om de privacy van patiënten te beschermen. Er worden weliswaar gedetailleerde gegevens van individuele patiënten verzameld, zegt de toezichthouder, maar versleuteld en zonder naam. ‘We hebben uiteraard getoetst aan Europese privacyregels, waaraan we voldoen’, schrijft een woordvoerder in een reactie per mail. De Autoriteit Persoonsgegevens zegt desgevraagd ‘niet zomaar te kunnen oordelen’ over de nieuwe informatieplicht....

Waarom zijn sommige behandelaren tegen?

Het delen van informatie over het wel een wee van patiënten druist rechtstreeks in tegen het beroepsgeheim dat psychiaters en psychologen hebben, zegt psychiater Groenendijk. ‘Dat is cruciaal voor ons werk. Alles wat je patiënt je toevertrouwt, blijft tussen jou en de patiënt. We worden nu gedwongen dat op te geven.’...

En nu?

Stop de Benchmark overweegt naar de rechter te stappen als de informatieplicht niet geschrapt wordt. Donderdagmiddag gaat de actiegroep eerst nog in gesprek met de toezichthouder. Van Os: ‘We willen ze behoeden voor een hele dure vergissing.’

Een eerdere poging van verzekeraars om vergelijkbare gegevens over patiënten in de ggz te verzamelen, liep uit op een berisping door de Autoriteit Persoonsgegevens. Maar dat lag anders, laat een woordvoerder van de privacywaakhond weten. ‘Die organisatie had geen publieke taak, zoals de NZa, dus die had gezondheidsgegevens alleen mogen verwerken met uitdrukkelijke toestemming van de patiënt.’

Alles bij de bron; Volkskrant


 

De Nederlandse Zorgautoriteit (NZa) verzamelt sinds 1 juli gegevens over honderdduizenden ggz-patiënten, zonder dat die hiervoor toestemming hebben gegeven. Psychiaters, psychologen en andere zorgverleners zijn verplicht om deze informatie aan te leveren. De NZa stelt dat de informatie gedepersonaliseerd is en niet te herleiden tot individuele patiënten, maar dat het over aanvullende informatie beschikt om dit wel te doen. "De NZa zal deze koppeling niet uitvoeren", aldus de Zorgautoriteit. Eerder stelde de Spaanse privacytoezichthouder dat pseudonimisering geen anonimisering is.

De NZa ontvangt informatie over gedeclareerde zorgprestaties inclusief de informatie die bij de declaratie op de factuur moet worden vermeld zoals het gekozen zorgvraagtype en de DSM-diagnosehoofdgroep. Daarnaast bevat de informatie een gepseudonimiseerd Burgerservicenummer (BSN). Daarnaast ontvangt NZa in een aparte informatiestroom gegevens over de zorgvraagtypering, waaronder de antwoorden op de HONOS+-vragen, het geadviseerde zorgvraagtype en het gekozen zorgvraagtype.

Een vaak aangegeven probleem met pseudonimisering is dat door het aanvullen van de gepseudonimiseerde informatie met andere gegevens identificatie van personen toch weer mogelijk is. Ook bij de NZa is dat het geval. Dankzij een aantal "identieke informatie-elementen" in de twee informatiestromen die de Zorgautoriteit ontvangt kan het patiënten identificeren. "De NZa zal deze koppeling niet uitvoeren", aldus de Zorgautoriteit.

Critici van de dataverzameling spreken van een doorbreking van het medisch beroepsgeheim. "Het gaat om het massaal doorbreken van het medisch beroepsgeheim. Dat waarborgt datgene wat in vertrouwen tussen beide is uitgewisseld. Door het zonder toestemming opsturen van gepseudonimiseerde HONOS+-lijsten richting NZa wordt het medisch beroepsgeheim doorbroken. Immers, pseudonimiseren vertraagt slechts het tot persoon herleiden van data en sluit het niet uit", zegt W.J. Jongejan ZorgIctZorgen.

Ook Jongejan wijst naar de mogelijkheid van de Zorgautoriteit om personen toch te identificeren. "De NZa zegt die koppeling niet te willen doen en heeft door wat trucjes de mogelijkheid kleiner gemaakt, maar de mogelijkheid is er wel."...

....Volgens Cobie Groenendijk, van privacygroep Stop de benchmark met ROM, kan de NZa de gedetailleerde patiëntgegevens opvragen op basis van een ministeriële regeling, die een beroep doet op een uitzonderingsgrond van de AVG.

"In feite wordt met een simpel briefje van de minister de AVG en de Europese richtlijnen voor privacy én het parlement omzeild. Burgers moeten ondertussen wel hun meest persoonlijke gegevens verstrekken", zo laat ze tegenover Trouw weten. De NZa zegt dat het de regeling tot twee keer voorgelegd heeft aan de Autoriteit Persoonsgegevens en dat die hierover geen opmerkingen had (pdf).

De NZa zegt inmiddels op de eigen website de onrust die is ontstaan over de waarborging van de privacy van patiënten in de geestelijke gezondheidszorg te betreuren

Alles bij de bron; Security


 

Zorgverzekeraars willen medische gegevens van verzekerden breder kunnen gebruiken en daarvoor moet de privacywetgeving worden aangepast, zo stelt Zorgverzekeraars Nederland in een persbericht

Als het aan de zorgverleners ligt mogen ze medische gegevens straks ook gebruiken om verzekerden actief te benaderen, bijvoorbeeld over cursussen die aan de klachten van de patiënt zijn gerelateerd of zorgbemiddeling. Op dit moment mogen zorgverzekeraars medische gegevens alleen voor de controle van zorgnota's gebruiken, kijken of die past bij het verzekeringspakket en of de betreffende zorgverlener de gedeclareerde zorg wel mag verlenen.

Stichting Privacy First is kritisch en pleit ervoor om de privacywetgeving niet zomaar aan te passen. "Verzekeraars zitten al op een berg gegevens en hoe meer informatie ze binnenhalen, hoe meer verantwoordelijkheden ze zich op de hals halen om die data te beschermen. Kunnen ze dat aan? Daarnaast is de verleiding heel groot om informatie voor andere doelen te gebruiken. Want onthoud: zorgverzekeraars zijn geen bedrijven, maar ook geen overheden", aldus voorzitter Paul Korremans tegenover de krant.

Het AD meldt dat zorgverzekeraars de onderhandelingen over nieuwe zorgakkoorden in de ggz en medisch-specialistische zorg zullen aangrijpen om met het ministerie van Volksgezondheid in gesprek te gaan over het aanpassen van de privacyregels met betrekking tot wachtlijsten, als onderdeel van betere gegevensuitwisseling.

Alles bij de bron; Security


 

De meeste mensen hebben geen idee hoeveel gegevens erover hen worden verzameld en wat voor gebruikersprofielen bedrijven aanleggen. Het is dan ook een 1984-achtige situatie waarin we ons bevinden, zo stelt Jon von Tetzchner, oprichter van de browsers Opera en Vivaldi. Daarbij doelt hij op de dystopische toekomstroman 1984 van de Britse schrijver George Orwell.

Volgens Von Tetzchner is de grootschalige datacollectie die plaatsvindt een gigantisch veiligheidsprobleem. "En de gevolgen daarvan zien we dagelijks terugkomen", zo laat hij in een interview met The Daily Swig weten. De meeste mensen beseffen echter niet wat voor soort data er wordt verzameld en hoeveel. Het gaat om alles wat mensen op internet doen, niet alleen de bezochte websites die worden bijgehouden.

Hij maakt zich vooral zorgen over het verzamelen van allerlei data in één profiel. De Vivaldi-oprichter zou dan ook graag een verbod op het profileren van gebruikers zien. "Het feit dat data bestaat geeft het bedrijf niet het recht om er misbruik van te maken. Je verwacht niet dat de postbode je post leest, je verwacht niet dat je telecomprovider je gesprekken meeluistert en je verwacht niet dat de timmerman een inventaris van je meubels maakt. Het is dus de vraag wat redelijk is."

Alles bij de bron; Security


 

Europa werkt in hoog tempo aan een digitale identiteit voor elke EU-burger. En hoewel het reuzehandig is om straks overal in de EU zonder rompslomp een auto te kunnen huren, ziet Bart Custers nog veel losse eindjes....

...Ze wil een ­European Digital Identity Wallet invoeren, verplicht voor alle EU-burgers. Denk daarbij aan een portefeuille vol documenten.

Die nieuwe wallet moet veel breder bruikbaar zijn, over landsgrenzen heen. Ja, hij is er ook voor overheidscommunicatie, maar is vooral bedoeld voor burgers en bedrijven onderling. De wallet moet geschikt zijn voor van alles en nog wat: om in het buitenland een bankrekening te openen, om op vakantie een auto te huren of in te checken in een hotel, zonder dat daar nog een rijbewijs of paspoort aan te pas komt en de wallet volstaat in ieder Europees land. Met die wallet schroeft de Europese Commissie haar ambitie om van alle lidstaten één markt te maken flink op...

...Op individueel niveau zijn de voordelen groot: alles zit op één plek. Paspoort, identiteitskaart, rijbewijs en bankpassen verdwijnen allemaal uit de fysieke portemonnee. Velen betalen nu al met hun telefoon, dus die hebben straks zelfs geen portemonnee meer nodig. Heb je je telefoon bij de hand, dan kun je niets vergeten 

De wallet biedt ook privacy-voordelen. Hoewel er een schat aan gegevens op staat, worden die slechts minimaal gedeeld. Denk aan de QR-code op de coronapas: die geeft slechts een groen of een rood scherm, zonder medische gegevens te delen. Ook de digitale wallet zal louter zo’n groen vinkje of rood kruisje tonen, waarmee iedere EU-burger eenvoudig kan laten zien welke rechten hij heeft – van wonen tot werken, van studeren tot een uitkering – zonder dat hij persoonlijke gegevens overlegt.

Sterke encryptie zorgt voor goede beveiliging, waardoor kans op verlies of diefstal kleiner is dan bij papieren documenten en plastic pasjes.

Maar nu de bedenkingen. Het plan van de Commissie heeft te veel losse eindjes. De EU zal de technologie om de wallet te laten functioneren niet zelf ontwikkelen. Wat de EU wel doet: ze maakt wetgeving. Die wetgeving beschrijft weliswaar wat er moet komen, maar het is zeer de vraag of dat daadwerkelijk gebouwd kan worden. Bij de eIDAS-verordening lukte dat niet en de kans is groot dat de techniek ook nu verzandt.

De gebruikelijke route om aan een goed werkend systeem te komen is aanbesteding: bedrijven schrijven in en de beste aanbieder – dat wil zeggen de goedkoopste die aan alle randvoorwaarden voldoet – mag het bouwen. Gelet op de omvang van deze opdracht zal dat een groot technologiebedrijf zijn.

Om die klus te klaren, heeft dat bedrijf toegang nodig tot al die uiterst persoonlijke data van al die miljoenen EU-burgers. Dat is nogal een risico. Grote technologie­bedrijven hebben nu al enorm veel macht, die moeilijk te controleren en nauwelijks te beteugelen is. Meerdere maken zich schuldig aan schending van de regels voor mededinging en privacy. 

Daar komt bij dat de opslag van al die gegevens – gekoppeld aan die ene, specifieke Europese burger– de wallet tot ideaal doelwit maakt voor hackers. 

Geen enkel systeem is voor de volle 100 procent veilig, dus loert het risico van identiteitsfraude. Als het systeem wordt gehackt, kunnen criminelen de digitale EU-identiteiten gebruiken om hotels en huurauto’s op andermans rekening te boeken. Dat wordt vaak snel ontdekt, maar dan is er wel al schade.

Bovendien, zo weet elk slachtoffer van identiteitsfraude maar al te goed, is een gecompromitteerde identiteit lastig te vervangen. Een wallet die gehackt is, kun je weliswaar blokkeren, maar dan heeft het slachtoffer nog niet zomaar een nieuwe. En het leven is knap lastig als alles in je geblokkeerde wallet zit.

Ook zonder hacks zijn er risico’s. De wallet geeft overheden op vele niveaus toegang tot een zee aan gegevens. Met die gegevens kan bijvoorbeeld een gemeente onderzoeken onder welke bevolkingsgroepen armoede, werkeloosheid of criminaliteit voorkomt. Ze kan dit doen met de beste bedoelingen, om die problemen op te lossen. Maar zo’n onderzoek kan ook leiden tot discriminatie. Wordt een wijk als probleemwijk aangeduid, dan werkt dat stigmatisering van bewoners in de hand. De toeslagenaffaire laat zien dat burgers flink in de knel komen als ze in risicogroepen worden gezet waar ze maar moeilijk uit geraken.

De Tweede Kamer uitte begin juni grote bezwaren tegen de wallet. Kamerleden willen garanties dat gegevens niet centraal worden opgeslagen in een Europese databank. Centrale opslag vergroot de veiligheidsrisico’s en maakt risicoprofilering wel erg verleidelijk....

...Zowel de Europese Commissie als de Tweede Kamer lijken te onderschatten hoe ingewikkeld een project als dit is. De Europese Commissie maakt grote haast met dit project en is de eerste contracten al aan het aanbesteden.

Maar het is onduidelijk hoe aan alle bezwaren tegemoet wordt gekomen. Hoe voorkomen we dat er een onveilig systeem wordt opgetuigd, of een traag en gebruikers­onvriendelijk systeem? Hoe voorkomen we dat de big tech-bouwer of de overheid een duik neemt in die ongekende bron van data? Kortom, hoe bedienen we Europese burgers en bedrijven zonder hun belangen uit het oog te verliezen? We weten het niet.

Dat wringt extra nu de Europese Commissie de wallet voor iedere burger verplicht wil stellen. Je kunt je er niet aan onttrekken. Dat vereist een feilloos systeem. 

Vertrouwen komt te voet en gaat te paard, dus pas als blijkt dat het systeem alle kwaliteitstoetsen doorstaat, kan het in heel Europa worden ingevoerd. En als blijkt dat het niet goed werkt, dan is het beter het plan te laten varen.

Alles bij de bron; Trouw [lekker lang lezen artikel]


 

Het Martini Ziekenhuis in Groningen heeft samen met een it-bedrijf een tool ontwikkelt die logbestanden van elektronische patiëntendossiers automatisch op opvallende kenmerken controleert. Het ziekenhuis maakt daardoor geen gebruik meer van handmatige steekproeven om ongeautoriseerde inzages van patiëntendossiers te detecteren.

Om alle logbestanden van patiëntdossiers automatisch te kunnen analyseren ontwikkelde het Martini Ziekenhuis in samenwerking de tool Logspect die naar  zaken kijkt, namelijk door de gebruiker opgestelde regels en grote afwijkingen in de dataset.

Zo kan een ziekenhuis regels opstellen waarop de logdata gecontroleerd wordt, zoals het overeenkomen van de achternaam van de verzorger met die van de patiënt. Wanneer een patiëntendossier bijvoorbeeld gemiddeld vijf keer per week wordt opgevraagd en opeens veertig keer in een week wordt geraadpleegd, slaat de tool ook alarm. Logspect maakt hierbij gebruik van gepseudonimiseerde gegevens.

"Logspect maakt dus geen gebruik van oorspronkelijke persoonsgegevens. Doordat de relatie tussen gegevens niet verandert is het mogelijk voor de gebruiker om de data aan de hand van een ‘blinde controle’ te analyseren", aldus de FAQ over de software. 

Alles bij de bron; Security


 

Het Marriott Hotel is opnieuw het doelwit van hackers. De hotelketen is het slachtoffer van datadiefstal. De aanvallers hebben in totaal 20 GB aan persoonlijke informatie van bezoekers weten buit te maken. Een woordvoerder van Marriott Hotel bevestigt tegenover DataBreaches.net dat het om een nieuw datalek gaat.

Het gaat niet alleen om een groot aantal interne documenten, maar ook persoons- en creditcardgegevens van 300 tot 400 bezoekers en medewerkers van de hotelketen. Dan moet je denken aan voor- en achternamen, maar ook vluchtnummers, functies van de bemanningsleden en kamers die ze kregen toegewezen.

Alles bij de bron; VPN-gids


 

Het Centraal Bureau voor de Statistiek (CBS) wil toegang tot de OV-chipkaartgegevens van vervoerders voor het maken van statistieken. Er wordt inmiddels hierover met de betreffende bedrijven overlegd. Het CBS heeft al de beschikking over meer dan tweehonderd dataregisters van overheidsinstellingen en bedrijven. Deze gegevens zijn door andere overheidsorganisaties verzameld en worden door het CBS gebruikt voor statistische doelen.

Sinds begin 2020 publiceert het CBS op basis van de OV-chipkaartgegevens van vervoerders informatie in de OV–monitor over aantallen check-ins en check-outs. De getoonde aantallen worden door een andere partij, namelijk Translink, aangeleverd omdat het CBS zelf geen rechtstreekse toegang tot de OV-chipkaartgegevens heeft. Volgens het statistiekenbureau heeft het meer gegevens op detailniveau nodig om informatie samen te stellen over het aantal ritten en reizigers, reizigerskilometers, reizigers naar regio en de ontwikkeling van prijzen in het openbaar vervoer.

Om deze data te verkrijgen is het CBS in gesprek gegaan met de vervoerders. Het statistiekenbureau merkt op dat voor het opvragen van OV-data een wettelijke grondslag bestaat op basis van de CBS-wet en Europese Verordeningen, maar dat het via een dialoog tot een "gezamenlijke overtuiging" met de vervoerders wil komen.

"De CBS-wet biedt veel waarborgen voor privacy. Zo mogen gegevens alleen gebruikt worden voor statistische of wetenschappelijke doeleinden en verbiedt de wet het gebruik ervan voor bijvoorbeeld opsporingsdoeleinden. Daarnaast mag het CBS niet meer gegevens verzamelen dan nodig is voor het beoogde doel", aldus CBS–projectleider Matthias Offermans.

Alles bij de bron; Security


 

Menstruatieapps laten heel wat digitale kruimels achter en Surveillance capitalism teert op dat soort data, en dus moeten we voorzichtig met gegevens omgaan. Of ze vergiftigen. ‘Klein protest kan nuttig zijn, maar vooral collectieve en structurele acties zijn nodig.’...

...Wat valt er te doen, als je lijkt vast te zitten in een allesomvattend systeem dat niet enkel al je digitale acties en transacties bijhoudt? En wat als dat systeem ook bereid is om die gegevens door te verkopen aan de hoogste bieder, ongeacht hun intentie?

Door apps vol te spammen met onjuiste data zou ze de algoritmen, die rekenen op data om door te verkopen aan adverteerders, schaak zetten. Het is een methode die ook wel ‘datavergifting’ wordt genoemd. Onderzoekers van Northwestern University en de University of Minnesota beschreven de tactiek recentelijk in een paper over de methodes die mensen kunnen gebruiken om de machtsongelijkheid tussen techgiganten te herstellen....

....Of de tactiek van datavergiftiging gepast is in de context van inperkende reproductieve rechten, durf ik niet zeggen. Het is een kleine vorm van protest die, afhankelijk van de situatie en het risicoprofiel van eenieder, nuttig kan zijn. Kleine vormen van protest zijn belangrijk, maar collectieve en structurele acties zullen nodig zijn om ervoor te zorgen dat onze data niet langer zomaar in de handen van de hoogste bieder belanden.

Wel is de tactiek van datavergiftiging een welkome reminder dat de data-economie zonder ons allemaal niets waard is. Een beetje zoals een bos zonder bladeren.

Alles bij de bron; MO*
 

 

Amerikaanse staten die abortus verbieden, zouden privégegevens van apps kunnen gebruiken bij het vervolgen van vrouwen die toch een zwangerschap laten afbreken. ‘We verwachten dat techbedrijven dagvaardingen zullen krijgen voor de zoekgeschiedenis van burgers.’...

....De persoonlijke gegevens die allerlei apps verzamelen (zoals de locatiedata in Google Maps, de zoekgeschiedenis in een zoekmachine of zelfs menstruatiedata in een gespecialiseerde app als Flo) kunnen nu een groot risico vormen voor de gebruikers van die apps. Nu het landelijk recht op abortus inderdaad tot een einde komt, zijn die zorgen alleen maar groter geworden. 

Conservatieve staten zouden bij de techbedrijven kunnen aankloppen om de data van gebruikers op te vragen waarmee die staten bewijs tegen inwoners kunnen verzamelen van wie het vermoeden bestaat dat ze een abortus hebben laten uitvoeren.

Een aantal makers van apps die de cyclus bijhouden, wil niet wachten op het moment dat advocaten met een dagvaarding in de hand op de deur bonken en de gevoelige gegevens van klanten opeisen. Flo kondigde vrijdag al aan dat het met een speciale anonieme modus komt en het in Berlijn gevestigde Clue benadrukt  nog maar eens dat het altijd voor zijn gebruikers opkomt en nooit gegevens zal overhandigen, terwijl Natural Cycles net als als Flo een ‘totaal anonieme ervaring’ belooft.

Marijn Sax, onderzoeker aan het Instituut voor Informatierecht (IViR) van de Universiteit van Amsterdam, is niet echt onder de indruk van al deze verse beloften. De beloften die de appmakers doen op het gebied van privacy zijn volgens Sax onduidelijk, en áls ze al duidelijk zijn, worden ze lang niet altijd nagekomen.

‘Apps als Flo zijn helemaal ontworpen om de gebruiker een veilig, prettig en vertrouwd gevoel te geven. Maar dat is de buitenkant: ze zijn gemaakt om valse beloften te doen.’ Sax noemt dit problematisch, omdat veel consumenten de gevaren zullen onderschatten. En die gevaren zijn duidelijk: het verzamelen van gebruikersdata.

De onderzoeker vreest dat dit ook met de laatste beloften gewoon zo blijft. ‘Anonimisering is geen aan-en-uitknop, maar een schaal. We zullen moeten zien hoe anoniem die gezondheidsapps écht zullen worden.’

Alles bij de bron; Volkskrant


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha