Gepubliceerd: 20 mei 2016

Naar aanleiding van het bezwaarschrift van de KDVP tegen de beslissing van de AP met betrekking tot ons handhavingsverzoek van 2 maart 2015 vond op 19 mei 2016 te Den Haag een hoorzitting plaats bij de Autoriteit Persoonsgegevens.

Onze stichting heeft op 2 maart 2015 een handhavingsverzoek aan de AP gestuurd waarin wij (opnieuw) en met klem aandacht vragen voor het feit dat de Gedragscode Zorgverzekeraars nog steeds niet is aangepast aan de oordelen van de rechtbank Amsterdam van 13 november 2013 en de uitspraak van het CBb van 2 augustus 2010. De door de KDVP op de hoorzitting ingebrachte notitie kunt u hier vinden.

De rechtbank Amsterdam heeft de goedkeuring door het CBP ( nu AP) van de Gedragscode Zorgverzekeraars uit 2011 vernietigd. De rechter achtte de procedures voor verwerking van medische gegevens – zoals in de Gedragscode vastgelegd – geen juiste uitwerking van de Wet bescherming persoonsgegevens en in strijd met artikel 8 van EVRM en het medisch beroepsgeheim. De KDVP heeft Zorgverzekeraars Nederland (ZN) in 2014 meermalen aangesproken op het niet-aanpassen van de Gedragscode. Omdat ZN weigerde om de noodzakelijke aanpassingen in de Gedragscode door te voeren, zijn medische gegevens van miljoenen Nederlanders bijgevolg jarenlang op onrechtmatige wijze verwerkt. In de briefwisseling tussen Zorgverzekeraars Nederland en de KDVP zegt ZN in 2014 over de afgekeurde Gedragscode: “De Gedragscode blijft onverkort van toepassing op onze leden”.

Omdat ZN na herhaalde verzoeken niet van zins bleek om de Gedragscode aan te passen aan de rechterlijke oordelen en de AP vervolgens weigerachtig bleef waar het handhavend optreden zou behoren te doen richting ZN, heeft de KDVP besloten een handhavingsverzoek c.q. bezwaarschrift in te dienen. De AP dient binnen een termijn van 6 weken na de hoorzitting een ”beslissing op bezwaar“ te nemen.

Gepubliceerd: 14 mei 2016

Google heeft in april 2016 de beschikking gekregen over de medische data van 1.6 miljoen patiënten die in 3 Londense ziekenhuizen worden behandeld.

 

Het door Google opgekochte bedrijf “DeepMind” heeft een overeenkomst weten te sluiten met de Royal Free NHS Trust, waarmee zij de beschikking kreeg over uiterst gevoelige medische gegevens van 1.6 miljoen patiënten die in 3 ziekenhuizen in Londen worden behandeld zonder dat hiervoor toestemming was gevraagd. Het betreft o.a. informatie over patiënten met HIV, met depressie of over mensen die een abortus hebben ondergaan.

Op www.zorgictzorgen.nl is een artikel getiteld “Vreemde deal Google met NHS-ziekenhuizen. Nederland geen haar beter” geplaatst van de hand van huisarts (np) W. Jongejan over deze deal van Google met de Royal Free Trust in Londen, waar de 3 ziekenhuizen onder vallen.

In dit artikel wordt een vergelijking gemaakt tussen de data-mining of gegevensanalyse die Google uitvoert en het in 2006 opgerichte DBC Informatiesysteem ofwel DIS in Nederland, waar jaarlijks miljoenen medische gegevens van burgers in worden opgeslagen. Tot voor kort konden private partijen een aanvraag indienen bij het DIS om uitlevering van de gepseudonimiseerde medische gegevens om – net als Google - op deze data een analyse uit te voeren. Jaren geleden is er al op gewezen dat gepseudonimiseerde medische gegevens in het DIS tot personen herleidbaar zijn. In 2015 heeft ook de NZa dit in een procedure van de Open State Foundation moeten erkennen. Dit betekent dat de in het DIS opgeslagen gepseudonimiseerde gegevens bijna 10 jaar lang aan allerlei publieke en private partijen zijn verstrekt, terwijl deze zonder toestemming van de patiënt en met doorbreking van het medisch beroepsgeheim verkregen gegevens eenvoudig herleid konden worden tot personen. De privacy toezichthouder keek daarbij toe zonder in actie te komen.

Gepubliceerd: 26 april 2016

Sinds de jeugdzorg in 2015 is overgeheveld naar de gemeenten worden er met regelmaat incidenten gemeld, waaruit blijkt dat de privacy van jongeren en ouders niet voldoende beschermd is. Tot nu toe tracht elke gemeente naar eigen goeddunken de gegevensuitwisseling in de jeugdhulpverlening te regelen, maar daarbij wordt de privacy vaak totaal over het hoofd gezien. Om declaraties te controleren vroegen sommige gemeenten hele dossiers op bij hulpverleners. Andere gemeenten lieten cliënten bij intake een formulier tekenen waarmee in principe alle in de toekomst gewenste informatie bij de hulpverlener opgevraagd mocht worden.

In maart 2015 heeft de Autoriteit Persoonsgegevens al gewaarschuwd dat het zo niet kan en dat er wetgeving moet komen om de geheimhoudingsplicht gelegitimeerd te mogen doorbreken. In de afgelopen maanden is er door de ministeries van VWS en VenJ gewerkt aan een aanpassing van de Jeugdwet en de Regeling Jeugdwet, waarmee privacy, vertrouwelijkheid en beroepsgeheim in de jeugdhulpverlening beter zou zijn geborgd.

In het najaar van 2015 zijn beroepsverenigingen en cliënten- en ouderorganisaties betrokken geweest bij consultatief overleg over deze aanpassing van regelgeving. De KDVP heeft samen met organisaties van cliënten en ouders de voorgestelde regelgeving van commentaar voorzien en heeft daarbij suggesties gedaan voor noodzakelijke aanpassingen. Bij afronding van het consultatieve overleg is echter gebleken dat de verantwoordelijke ministeries niets hebben gedaan met de inbreng van organisaties van cliënten en ouders.

Zes cliënten- en ouderorganisaties hebben vervolgens de handen ineen geslagen omdat zij vinden dat de conceptregeling nog teveel “open formuleringen” bevat, waardoor de privacy van jongeren en hun ouders nog steeds onvoldoende is beschermd.

LOC Zeggenschap in zorg, Ieder(in), LPGGz, Ouderkracht voor ’t kind, UW ouderplatform en Zorgbelang Nederland hebben in samenwerking met Ab van Eldijk, voorzitter van de KDVP, een rapport geschreven, waarin zij aanbevelingen doen om de gegevensuitwisseling in de jeugdhulp van goede privacywaarborgen te voorzien. Zonder goede privacywaarborgen is het onmogelijk om het vertrouwen van cliënten te winnen. Zonder een solide vertrouwensrelatie kan geen goede hulpverlening plaatsvinden en dat kan uiteindelijk zorgmijding tot gevolg hebben.

Hier kunt u het nieuwsbericht van de zes cliënten- en ouderorganisaties vinden.

Hier is het rapport te lezen dat direct naar de ministers van VWS en VenJ is gestuurd, evenals naar de staatssecretarissen en de voorzitters van de Tweede Kamerfracties.

Ook dit artikel van Ronald Huissen van het Platform Burgerrechten over de huidige situatie in de jeugdhulpverlening (met daarin interviews met cliënten en hulpverleners) is lezenswaardig en even schokkend als illustratief!

Gepubliceerd: 23 april 2016

Op 17-4-2016 is een artikel verschenen op het Platform bescherming burgerrechten (www.platformburgerrechten.nl) over het DIS, zijnde het grootste datalek van Nederland. In het DIS worden alle medische gegevens over behandelingen die wij als Nederlanders hebben ondergaan, opgeslagen en doorgesluisd naar andere partijen. Ook kunnen private organisaties de gegevens uit het DIS opvragen.

De gegevens in het DIS die zonder toestemming van patiënten door zorgverleners worden aangeleverd mogen niet herleidbaar zijn tot reële personen. Dat heeft de AP in 2006 terecht gesteld bij de oprichting van het DIS. Daarom moesten gegevens die werden aangeleverd bij het DIS versleuteld ofwel gepseudonimiseerd worden.

In de afgelopen jaren is er echter bij herhaling op gewezen dat via koppeling van DIS-data aan gegevens in allerlei andere databanken herleiding tot personen van vlees en bloed eenvoudig mogelijk is.

In 2015 heeft de NZa - nu verantwoordelijk voor het DIS -  in een juridische procedure aangespannen door de Open State Foundation moeten erkennen dat DISdata kunnen worden herleid tot reële personen.

De consequentie daarvan is dat DIS data onrechtmatig worden verkregen en dat ook verwerking en gebruik van deze gegevens onrechtmatig is. Het DIS zou onder deze omstandigheden per direct moeten worden opgeheven. Dat heeft de AP ook al aangegeven bij de oprichting.

De burgerrechtenvereniging Vrijbit (www.vrijbit.nl)  heeft om die reden een handhavingsverzoek aan de AP gestuurd.

Zonder een inhoudelijk besluit te nemen op het handhavingsverzoek van Vrijbit heeft de AP eind 2015 aangegeven een onderzoek te zijn gestart naar de herleidbaarheid van DIS-data bij de NZa. Om die reden mogen er vanaf de start van dit onderzoek geen gegevens worden doorgestuurd naar andere partijen, maar de onrechtmatige aanlevering van behandelinformatie gaat voorlopig gewoon door. Dat betekent dat de privacy van patiënten/cliënten aan de lopende band door hulpverleners wordt geschonden, omdat deze nog steeds verplicht zijn – met doorbreking van hun beroepsgeheim – uitgebreide medische behandelgegevens (ondermeer volledige DSM-IV) door te geven aan het DIS. En dan te bedenken dat het DIS vanaf 2005 al zo lek is als een mandje…! 

Hoezo “onafhankelijk” toezicht door het AP? Het is niet meer dan een misleidende illusie die in de praktijk averechts werkt omdat de AP niet optreedt tegen inbreuken op de privacy van burgers, maar deze daarentegen legitimeert.

Gepubliceerd: 23 april 2016

In een eerder nieuwsbericht met de titel “de KDVP doet alarmbel rinkelen” hebben we aandacht besteed aan de uitkomst van een uiterst bedenkelijk onderzoek van het NIVEL uitgevoerd via het “Consumentenpanel Gezondheidszorg”. Dat “onderzoek” zou hebben aangetoond dat de Nederlandse bevolking bereid is om al hun medische data ter beschikking te stellen voor grootschalig wetenschappelijk onderzoek  

Het zijn ondermeer de lobbyisten van farmaceuten die hopen zo zonder toestemming van patiënten toegang te krijgen tot de medische gegevens van alle Nederlanders. De “conclusie” van dit panelonderzoek is door het NIVEL ingebracht bij de besluitvorming in Brussel over “General Data Protection Regulation ofwel GDPR” in hoop dat het zonder toestemming van patiënten verkrijgen van medische persoonsgegevens op basis van deze regeling mogelijk wordt.

Het voor grootschalig onderzoek zonder toestemming van patiënten toegang krijgen tot patiëntdossiers is al eerder bepleit in een rapport van de KNMG (link) met betrekking tot de onderzoeksbevoegdheden van de Inspectie voor de Gezondheidszorg (IGZ).Volgens de voormalig directeur van de MIVD is het allemaal een kwestie van vertrouwen en moet ook de privacy met betrekking tot medische gegevens niet langer een beletsel zijn bij het verzamelen van deze gegevens voor het analyseren/profileren van burgers.

Alle reden om wakker te worden na het alarmerende bericht van NIVEL

Het zonder toestemming openstellen, opvraagbaar maken van medische persoonsgegevens zou ons anders moeten doen nadenken over het centraal toegankelijk maken van patiëntdossiers bij zorgverleners via het LSP evenals over de aanlevering van tot personen herleidbare medische informatie aan zorgverzekeraars en het DIS.

Gepubliceerd: 23 april 2016

Op 5-4-2016 is in de Tweede Kamer de Jeugdwet behandeld. De Jeugdwet is onderdeel van de Veegwet/Verzamelwet, die op dit moment in de Tweede Kamer ter behandeling voorligt. In verband met de decentralisatie van taken van de overheid naar gemeenten moet er ook nieuwe regelgeving worden ontwikkeld voor de uitwisseling van medische gegevens binnen de jeugdhulpverlening.

Juist omdat vertrouwen in de jeugdhulpverlening zo essentieel is, achten hulpverleners in de jeugdzorg het van belang dat in deze nieuwe regelgeving heel concreet en specifiek wordt vastgelegd welke informatie op individueel niveau verplicht aan welke partijen moet worden aangeleverd om te worden verwerkt en gebruikt voor expliciet benoemde doelen.  

Helaas zijn in de nieuwe regelgeving - zoals die nu wordt voorgesteld voor de jeugdhulpverlening - geen transparante en van privacy waarborgen voorziene regels en procedures uitgewerkt overeenkomstig algemene vereisten en beginselen vastgelegd in Wbp en EVRM. Dit betekent dat aanlevering, toegang, doorlevering, koppeling en gebruik van persoonsgegevens niet legitiem kan plaatsvinden.

Ook worden er in de voorgestelde regeling jeugdwet veel open formuleringen gehanteerd, waardoor gemeenten naar eigen goeddunken kunnen besluiten welke informatie zij bij hulpverleners willen opvragen. Dat laatste staat gelijk aan het tekenen van een blanco cheque! Het komt voor dat gemeenten bij aanmelding de cliënt verzoeken om een toestemmingsformulier te ondertekenen dat de gemeente vanaf dat moment de volmacht geeft om in de toekomst alle door hen nodig geachte informatie bij  hulpverleners op te vragen. 

Het controleren van declaraties op hun juistheid, fraude-onderzoek, het doen van materiële controles behoren tot de taken van gemeenten. Ook op dit punt zijn ondoorzichtige en niet restrictief geformuleerde bepalingen in de regeling Jeugdwet opgenomen, die alle ruimte laten voor het ongelimiteerd opvragen van informatie bij hulpverleners.

Het is van het grootste belang dat bepalingen op zodanige wijze zijn uitgewerkt, dat er niet meer vertrouwelijke persoonsgegevens en/of risicovolle informatie - met doorbreking van geheimhoudingsplicht - verplicht moet worden aangeleverd dan noodzakelijk en proportioneel is. Het verplicht aanleveren van vertrouwelijke informatie moet op de minst inbreukmakende wijze plaatsvinden.

Zeer kwalijk is het dat de verantwoordelijke bewindslieden in de Jeugdwet bepalingen willen opnemen die gemeenten verplichten  om de verkregen persoonsgegevens incidenteel dan wel structureel te verstrekken aan “onze ministers” van VWS en van VenJ.

De voorzitter van onze stichting is enerzijds met organisaties van ouders en cliënten en anderzijds met een aantal politieke partijen en de ministeries van VWS en VenJ volop in gesprek over de definitieve invulling van deze nieuwe regelgeving. Vooralsnog is zowel de voorgestelde aanpassing van de Jeugdwet als de voorgestelde definitieve regeling Jeugdwet in strijd met de Wet bescherming persoonsgegevens en het Europees Verdrag van de Rechten van de Mens en vormt aanlevering, verwerking en gebruik van  persoonsgegevens overeenkomstig de voorgestelde regelgeving een onrechtmatige inbreuk op de geheimhoudingsplicht van hulpverleners in de jeugdzorg.

Grondige aanpassing van de voorgestelde regelgeving is noodzakelijk wil sprake kunnen zijn van een legitiem aanleveren, verwerken en gebruiken van persoonsgegevens die noch een onnodige inbreuk vormen op privacyrechten van jongeren noch op de geheimhoudingsplicht van hulpverleners in de jeugdzorg.

Hier kunt u de notitie vinden die hierover aan leden van de Tweede Kamer is gestuurd.

Hier kunt u het fragment vinden van het woordelijk verslag van de zitting van de Tweede Kamer op 5-4-2016 voor zover dat gaat over aanpassing van de jeugdwet.

Gepubliceerd: 23 april 2016

Ab van Eldijk is als voorzitter van de KDVP door het programma RadioReporter, dat elke zondagavond een thema uit de actualiteit behandelt, benaderd om deel te nemen aan een discussie over het EPD/LSP. Overige deelnemers aan het debat waren Guido van ’t Noordende en Theo Hooghiemstra. Guido van ’t Noordende is  onderzoeker aan de UvA naar veiligheid en privacy van grote computersystemen en tevens degene die de zgn. “Whitebox” heeft ontwikkeld. Theo Hooghiemstra is gezondheidsjurist en werkzaam bij de organisatie PBLQ als principal consultant.

De discussie ging over de vraag waar je als burger eigenlijk voor tekent als je toestemming geeft dat je medische gegevens worden uitgewisseld via het LSP. Waar teken je voor als je “ja” hebt aangekruist op het formulier dat je door de huisarts of apotheek onder de neus wordt geschoven? Hoe veilig zijn onze medische gegevens in het LSP; wie kunnen er straks allemaal een kijkje nemen in onze gezondheidsdata? Kan de ontworpen “Whitebox” ervoor zorgen dat medische informatie met behoud van het medisch beroepsgeheim veilig kan worden uitgewisseld tussen zorgverleners?

De KDVP is van mening dat het LSP leidt tot uitholling van het medisch beroepsgeheim en een systematische schending van de privacy van patiënten tot gevolg heeft. Nadat het LSP (toen nog EPD geheten) in 2011 in de Eerste Kamer werd beoordeeld, is het om veiligheidsredenen afgewezen. Daarna heeft een private doorstart plaatsgevonden met in principe hetzelfde EPD systeem (nu LSP geheten) en is er, ondanks de eerdere kritiek op dit systeem, door verantwoordelijke partijen nooit gezocht naar een veiliger alternatief. De door Guido van ’t Noordende ontwikkelde Whitebox is wel een voorbeeld van een veilig alternatief systeem, omdat in dit systeem arts en patiënt bepalen wie welke informatie voor welk doel krijgt.

Hier kunt u de uitzending van RadioReporter met de vertolking van duidelijk verschillende standpunten t.a.v het LSP van 10-4 alsnog beluisteren.

Gepubliceerd: 04 april 2016

Zoals u heeft kunnen lezen in onze laatste nieuwsbrief (ad punt 1) heeft de KDVP samen met burgerrechten vereniging Vrijbit overleg met de Nationale Ombudsman gevoerd over het feit dat zowel Vrijbit als onze stichting zich ernstig zorgen maken vanwege het niet-optreden van de Autoriteit Persoonsgegevens (voorheen CBP) ondanks herhaalde handhavingsverzoeken aan hun adres.

Burgerrechten vereniging Vrijbit (www.vrijbit.nl) heeft twee handhavingsverzoeken aan de AP gestuurd; de ene betreft de aanlevering, doorlevering en gebruik van medische persoonsgegevens bij dan wel door het DIS.

Het andere handhavingsverzoek heeft betrekking op het niet aanpassen van de Gedragscode Zorgverzekeraars aan de uitspraak van de Rechtbank Amsterdam (13-11-2013) en op de onrechtmatige verwerking van medische persoonsgegevens die daar het gevolg van is.

Vrijbit heeft vanwege het herleidbaar zijn van de gepseudonimiseerde DISdata een handhavingsverzoek naar de AP gestuurd. De AP heeft in 2006, bij de oprichting van het DIS, namelijk gesteld dat DISdata absoluut niet herleidbaar mogen zijn tot reële personen. Als data in het DIS via koppeling met data in andere bestanden toch te herleiden zijn tot identificeerbare personen, moet aanlevering en verwerking van deze medische gegevens bij het DIS worden stopgezet.

Nu de NZa onlangs in een procedure van de Open State Foundation heeft moeten erkennen dat de gespeudonimiseerde DISdata herleidbaar zijn tot ”personen van vlees en bloed” zou aanlevering, verwerking, doorgifte en gebruik van deze gegevens bij het DIS onmiddellijk moeten worden gestaakt.

De constatering dat Disdata herleidbaar zijn betekent dat in de afgelopen 10 jaar jaarlijks miljoenen data met gegevens over medische behandelingen van de gehele Nederlandse zijn verwerkt, opgeslagen en van daaruit zijn doorgegeven aan tal van overheidsdiensten en private organisaties.

Het DIS is in feite het grootste datalek van Nederland. De AP heeft ondanks waarschuwingen van zorgverleners en meldingen in de media al jaren nagelaten om hiertegen op te treden.

Tegelijk met bovengenoemd handhavingsverzoek betreffende het DIS heeft Vrijbit bij de AP een handhavingsverzoek ingediend vanwege het feit dat zorgverzekeraars de Gedragscode Zorgverzekeraars nog steeds niet hebben aangepast nadat de rechtbank Amsterdam bij uitspraak van 13-11-2013 heeft geoordeeld dat de procedures voor verwerking van medische persoonsgegevens, zoals die waren vastgelegd in de Gedragscode Zorgverzekeraars, geen juiste uitwerking vormen van Wbp en EVRM.

In deze uitspraak uit 2013 stelt de rechter nadrukkelijk dat de AP ook het oordeel van de CBb rechter (uitspraak 2-8-2010) had moeten betrekken waar het gaat om de verbijzondering van verwerkingsprocedures in de GGZ bij afgifte van een privacyverklaring. Omdat zorgverzekeraars bewust hebben nagelaten om verwerkingsprocedures die geen juiste uitwerking vormen van WBp en EVRM aan te passen, is sprake van verwijtbare nalatigheid die resulteert in onrechtmatig handelen door zorgverzekeraars. En het is bij uitstek de taak van de AP om hiertegen handhavend op te treden.

De stichting KDVP heeft Vrijbit in deze beide procedures bijgestaan tijdens de hoorzittingen bij de AP op 15-3-2016. De AP zal na de hoorzitting binnen een termijn van 6 weken een besluit nemen. Indien zij afwijzend zouden besluiten, staat een gang naar de rechter open.

Hier kunt de notitie over het DIS en tevens de notitie over de Gedragscode vinden. Beide notities zijn op de hoorzitting door onze stichting KDVP gepresenteerd.

Gepubliceerd: 13 maart 2016

Op www.zorgictzorgen.nl is op 24-2-2016 een artikel geplaatst van de hand van Wim J. Jongejan ( niet praktiserend huisarts) waarin wordt beschreven hoe de Autoriteit Persoonsgegevens als toezichthouder een actief beleid voert waar het kleine privacyzaken betreft, maar wegkijkt en een laissez-faire houding aanneemt als het over grote privacyzaken gaat.

En helaas blijft het hier niet bij! De AP gaat regelmatig nog een stap verder door de overheid tegemoet te komen met het advies om nieuwe wetgeving te maken, zodat daarmee de grote privacyschendingen “opgelost worden”.

Hier is het artikel getiteld “Verbieden Wattsapp bij artsen klein bier voor in grote privacyzaken stille Autoriteit persoonsgegevens” van Wim Jongejan  te lezen.

Gepubliceerd: 04 maart 2016

Deze verwerking is onrechtmatig omdat de procedures vastgelegd in de Gedragscode Zorgverzekeraars nog steeds niet zijn aangepast aan de uitspraak van de Rechtbank Amsterdam uit 2013.

In reactie op het besluit dd 8-2-2016 van de AP (voorheen CBP) op ons handhavingsverzoek dd 2-3-2015, heeft de KDVP formeel bezwaar aangetekend tegen deze beslissing van de AP.

In ons nieuwsbericht dd 25-1-2016 (zie hieronder!) berichtten wij u al dat de AP naar aanleiding van dit handhavingsverzoek van de KDVP onderzoek heeft gedaan naar praktijken van zorgverzekeraars die ondanks afgifte van een privacyverklaring alsnog om documenten of brieven vragen waarin diagnose-informatie is opgenomen.

De AP heeft echter nagelaten om zorgverzekeraars aan te spreken op het onrechtmatig verwerken van medische persoonsgegevens nu procedures beschreven in de Gedragscode Zorgverzekeraars niet zijn aangepast nadat de Rechtbank Amsterdam in 2013 heeft geoordeeld dat deze procedures geen juiste uitwerking vormen van de Wet Bescherming Persoonsgegevens (WBP) en het Europees Verdrag voor de Rechten van de Mens (EVRM).

En dat terwijl de rechtbank Amsterdam nog eens nadrukkelijk heeft geconstateerd dat het bij uitstek aan het AP is om er op toe te zien dat verwerkingsprocedures van zorgverzekeraars een juiste en effectieve uitwerking vormen van regelgeving en rechterlijke uitspraken.

 

Hier kunt u het formele bezwaarschrift dd 26-2-2016 van de KDVP vinden.