image

"Gegevens medische databank voor iedereen toegankelijk"

woensdag 12 december 2007, 10:12 door Redactie, 18 reacties

Bijna 80.000 zorgverleners kunnen zonder problemen van elke Nederlander het burgerservicenummer, leeftijd, adres en persoonlijk verzekeringspakket raadplegen. De gegevens bevinden zich in de Vecozo database, wat staat voor Veilige Communicatie in de Zorg. Het systeem bundelt de klantenbestanden van een groot aantal zorgverzekeraars, waaronder VGZ, Geove, Amicon, Agis, IZA, Unive, CZ en De Amersfoortse. Met Vecozo kunnen zorgverleners snel nagaan bij welke verzekeraar ze een behandeling, dienst of hulpmiddel van een bepaalde cliënt kunnen declareren.

Naar eigen zeggen staat bij Vecozo, "ht internetportaal voor veilige communicatie in de zorg", beveiliging, snelheid, betrouwbaarheid en gebruikersgemak voorop. Bart Jacobs, hoogleraar computerbeveiliging in Nijmegen en Eindhoven, begrijpt niet waarom al die gegevens beschikbaar worden gesteld. "Een arts die een verzekering wil checken heeft genoeg aan het feit waar de patiënt is verzekerd en eventueel wat zijn verzekeringsnummer is. Waarom moet iedereen weten waar iemand woont? Ik zie niet in waarom je ook nog iemands polis en aanvullende polis moet kunnen zien", zo laat hij tegenover Trouw weten.

Volgens Ron Verschuren van Vecozo houdt men het gebruik nauwkeurig bij. Als een zorgverlener voortdurend de informatie van bijvoorbeeld bekende Nederlanders bekijkt zou de organisatie een onderzoek starten. Vraag blijft wat er gebeurt met zorgverleners die grasduinen in de gegevens van minder bekende Nederlanders.

"In de politiek zijn het verzamelen en koppelen van gegevensbanken echter al jaren een soort mantra als het om persoonlijke informatie gaat. De trend is heel erg dat alles gedeeld moet worden. Bij de aanslagen van '9/11' wordt dan gezegd: we hadden ze kunnen pakken als we gegevens hadden kunnen koppelen, en bij incidenten in de jeugdzorg werd dat ook weer gesteld. Maar in beide gevallen was adequaat optreden voldoende geweest", gaat Jacobs verder.

Reacties (18)
12-12-2007, 10:32 door Anoniem
Zorg er eerst maar eens voor dat mensen zoals jij en ik kunnen inzien
welke personen allemaal mijn informatie opvragen via dat systeem.
Privacyschending kent geen grenzen op de manier zoals dat nu gebeurd
12-12-2007, 10:35 door Anoniem
De mensen die werken met dergelijke gegevens moeten daar integer
mee om gaan. In tal van andere branches beschikt men ook over al dit
soort informatie, welke in eigen databases liggen opgeslagen, of welke zij
kunnen opvragen bij onder meer de Gemeentelijke Basis Administratie.
Denk aan medewerkers van internet providers, telco's, incassobureau's,
politiediensten, stadsdeelkantoren en ga zo maar door.

Bekende Nederlanders staan, net als iedere andere landgenoot, in talloze
databases. Moet men nu bekende Nederlanders anders gaan behandelen
dan anderen wat betreft privacy ? In de huidige informatie samenleving is
dit een feit waarmee we helaas gewoon moeten leren leven.

Het belangrijkste is m.i. dat er goede audits worden uitgevoerd, en dat
mensen die zonder goede reden gaan zitten grasduinen om gegevens te
misbruiken kunnen worden aangepakt.
12-12-2007, 10:36 door awesselius
Als een zorgverlener voortdurend de informatie van
bijvoorbeeld bekende Nederlanders bekijkt zou de organisatie
een onderzoek starten

Oh, dan pas? Want daar valt natuurlijk ineens een patroon in
te herkennen. Maar losse queries vallen niet zo snel op,
terwijl je dan wel heel wat informatie kunt ophalen.

De trend is dat organisaties ineens omniscient willen
worden. Terwijl ze zelf niet al die informatie kunnen
interpreteren. Dus dan valt het enkel op het 'gemak' dat
alles binnen handbereik is, niet of het functioneel is of
zelfs maar essentieel.

De mensen bij jeugdzorg die weten helemaal niets. Die hebben
pseudowetenschap onderricht gekregen en kunnen nog geen
vinger leggen op iemand die maar een beetje afwijkt. Daar is
ook het gemak van opsluiten of negeren. Simpelweg omdat ze
niet weten hoe ze het moeten aanpakken. Zelfs al zouden ze
zo'n profileringsmethode gaan toepassen halen ze drol uit
zo'n database.

http://www.claimyourrights.eu/
http://www.thinkfree.ca/

- Unomi -
12-12-2007, 11:06 door Jan-Hein
"Bekende Nederlanders staan, net als iedere andere landgenoot, in talloze
databases. Moet men nu bekende Nederlanders anders gaan behandelen
dan anderen wat betreft privacy ? In de huidige informatie samenleving is
dit een feit waarmee we helaas gewoon moeten leren leven."

Je zou alle Nederlanders hetzelfde kunnen behandelen als je bij de
toegang tot de gegevens per individueel geval als betrokkene je expliciete
toestemming moet geven, en bovendien ervan op de hoogte wordt gesteld
wie je gegevens heeft geraadpleegd.
Als je op die manier de toegang regelt is het zelfs met 80.000 potentiele
aanvragers hanteerbaar.
Ik weet dat hiertegen allerlei practische bezwaren zullen opduiken, maar
het kan technisch zeker.
Als hiertegen wordt geprotesteerd met "kan niet" dan kun je er gif op
innemen dat ze "wil ik niet" bedoelen.
12-12-2007, 12:21 door awesselius
Het fijne is, dat ze de gegevens 1x hoeven op te vragen, uit
te printen, over te schrijven, te onthouden, whatever. Je
kunt dan nog zo'n leuk systeem hebben dat bijhoudt wie de
gegevens heeft geraadpleegt, je weet niet waar die gegevens
blijven of wat er mee gebeurd.

Er zit daarnaast ook een hoop statische gegevens tussen, dus
aanvullen van een dossier dat je al hebt overgenomen is
natuurlijk een makkie.

Als zo'n systeem in de WO II had bestaan, dan was er geen
spaander heel gebleven van de 'doelgroep' waar de Duitsers
op uit waren. Maar nee, nu zitten we in een 'safe zone' want
wie zou er nou iets verkeerds willen doen met die gegevens?
Oh, ik ben paranoide hoor. Zet dat maar in alle dossiers.

http://www.claimyourrights.eu/
http://www.thinkfree.ca/

- Unomi -
12-12-2007, 12:54 door Anoniem
Als het CBP hier niets tegen gaat ondernemen is die
organisatie niets meer waard. Het is van de zotten dat
verzekeraars zo belachelijk slecht met de beveiliging van
zeer persoonlijke gegevens van hun klanten omspringen. Geen
enkel respect voor privacy van hun klanten, geen respect
voor hun klanten.
12-12-2007, 13:16 door Anoniem
Ik werk er dagelijks mee.

Niets mis mee.
Kan alleen bij de gegevens die voor mij relevant zijn.
Bovendien heb ik geheimhoudingsplicht.

Spannende verhalen vertellen kan iedereen....
12-12-2007, 13:58 door Anoniem
quote unomi:
Oh, ik ben paranoide hoor. Zet dat maar in alle dossiers.


lol :-)
12-12-2007, 14:39 door Anoniem
Door Anoniem
Als het CBP hier niets tegen gaat ondernemen is die
organisatie niets meer waard. Het is van de zotten dat
verzekeraars zo belachelijk slecht met de beveiliging van
zeer persoonlijke gegevens van hun klanten omspringen. Geen
enkel respect voor privacy van hun klanten, geen respect
voor hun klanten.

Op de Vecozo website is het volgende te lezen:
---------------------------------------------------
Publiciteit rondom COV VECOZO
In de media is vandaag berichtgeving verschenen dat via VECOZO
telefoonnummers van BN'ers zijn te achterhalen. Dit is pertinent onjuist.

In tegenstelling tot wat in enkele berichten is gesuggereerd is het absoluut
onmogelijk om telefoonnummers van BN'ers of andere Nederlanders via
VECOZO te achterhalen. Simpelweg omdat deze gegevens niet in de
verzekerdendatabases vastliggen, die via VECOZO zijn te raadplegen. Als
verzekerden, zoals BN'ers, bij hun verzekeraar aangeven niet onder hun
eigen naam en/of adres geregistreerd te willen worden, dan geeft de
verzekeraar hier gehoor aan. In dat geval is het onmogelijk om deze
gegevens via VECOZO te raadplegen.

Zorgverleners hebben zich contractueel verplicht om alléén in het kader
van de declaratieverwerking en dan nog alléén met betrekking tot de eigen
patiënten gegevens op te vragen.

In het geval dat een zorgverlener of een medewerker van een
zorgverlenerspraktijk of -instelling misbruik maakt van de toegang tot
VECOZO, zal direct de toegang worden ingetrokken. Ook worden mogelijk
juridische stappen ondernomen.

-------------------------------------

Overigens is het wel interessant te weten hoeveel mensen er in Nederland
bij nog meer databanken kunnen.
Denk eens aan:
Bureau krediet registratie in Tiel, Gemeentelijke Basis Administratie. De
gevens die daar worden bewaard zijn nog wel een tikkeltje gevoeliger lijkt
me dan waar iemand woont en bij welke zorgverlener hij/zij verzekerd is.
12-12-2007, 16:37 door Anoniem
Door Anoniem
Ik werk er dagelijks mee.

Niets mis mee.
Kan alleen bij de gegevens die voor mij relevant zijn.
Bovendien heb ik geheimhoudingsplicht.

Spannende verhalen vertellen kan iedereen....
Iemand die een beetje slim queries los laat op een database
kan achter een hele hoop informatie komen waar die persoon
geen rechten toe heeft.

En laat me niet lachen over een geheimhoudingsplicht... dat
is helemaal de issue niet. Het punt hier is dat dit systeem
veel gegevens aggregeert, en een groot aantal nederlanders
toegang geeft tot op zijn minst een deelverzameling van die
gegevens. 80000 mensen is 1 op de 20, en je hebt dus al snel
dat er 1 a 2 mensen toegang hebben op een gemiddeld
verjaardagsfeestje.

Dat jij je aan je geheimhoudingsplicht houdt is heel mooi,
maar er zijn legio mensen die dat niet doen, of die op welke
wijze dan ook corrumpeerbar zijn.

Het gaat er niet om dat er nu misbruik gemaakt wordt van de
gegevensverzameling, het gaat er om dat er potentieel een
hoop mogelijkheden zijn om misbruik te maken van de
gegevensverzameling. Dat de verzameling dan ook nog eens
beheerd wordt door een bedrijf (dus een winstoogmerk heeft)
voorspelt niet veel goeds.
12-12-2007, 17:14 door Jan-Hein
Door Un0mi op woensdag 12 december 2007 12:21
"Het fijne is, dat ze de gegevens 1x hoeven op te vragen, uit
te printen, over te schrijven, te onthouden, whatever. Je
kunt dan nog zo'n leuk systeem hebben dat bijhoudt wie de
gegevens heeft geraadpleegt, je weet niet waar die gegevens
blijven of wat er mee gebeurd."

Dat is ook een aardige uitdaging, maar het ging hier over toegangsbeheer,
niet over proliferatie.
Voor proliferatiebeheer is overigens wel toegangsbeheer nodig.
12-12-2007, 19:06 door Anoniem
Door Anoniem
Door Anoniem
Ik werk er dagelijks mee.

Niets mis mee.
Kan alleen bij de gegevens die voor mij relevant zijn.
Bovendien heb ik geheimhoudingsplicht.

Spannende verhalen vertellen kan iedereen....
Iemand die een beetje slim queries los laat op een database
kan achter een hele hoop informatie komen waar die persoon
geen rechten toe heeft.

En laat me niet lachen over een geheimhoudingsplicht... dat
is helemaal de issue niet. Het punt hier is dat dit systeem
veel gegevens aggregeert, en een groot aantal nederlanders
toegang geeft tot op zijn minst een deelverzameling van die
gegevens. 80000 mensen is 1 op de 20, en je hebt dus al snel
dat er 1 a 2 mensen toegang hebben op een gemiddeld
verjaardagsfeestje.

En dat is nou net de truc, Er vallen geen slimme queries op de database
los te laten. Je kunt er niet mee sql'en. Voor je neus heb je alleen een
simpele zoek-interface. De database zelf kom je niet eens bij, want de
afzonderlijke databases staan bij de verschillende zorgverzekeraars.
Vecozo heeft die gegevens niet eens zelf. Je zult dus de exacte url van de
webservice van elke zorgverzekeraar moeten weten, je moeten kunnen
voordoen als een originele zoekopdracht vanaf de vecozo cov-webservice
en ook nog eens het webserver-certificaat moeten kunnen overleggen om
de webservices van de verschillende zorgverzekeraars om de tuin te leiden.
12-12-2007, 20:19 door Anoniem
De Vectis database is nog mooier: daar staan alle
uitgevoerde dbc's in. Voor wie daar bij kan is het verzinnen
van een winstgevende zorgpremie een fluitje van een cent.
12-12-2007, 23:15 door Anoniem
Door Anoniem
Zorg er eerst maar eens voor dat mensen zoals jij en ik kunnen inzien
welke personen allemaal mijn informatie opvragen via dat systeem.
Privacyschending kent geen grenzen op de manier zoals dat nu gebeurd

Dat kan nu al, volgende vraag.
12-12-2007, 23:19 door Anoniem
En wat dachten jullie van de databases bij Internet providers? Laat staan
welke Email daar allemaal in de bestanden staat.
13-12-2007, 09:54 door tonvd

In het geval dat een zorgverlener of een medewerker van een
zorgverlenerspraktijk of -instelling misbruik maakt van de
toegang tot VECOZO, zal direct de toegang worden
ingetrokken. Ook worden mogelijk juridische stappen ondernomen.

Dit gaat natuurlijk nooit gebeuren zolang patienten zelf
geen inzage hebben in wie hun gegevens raadpleegt. Vecozo
heeft er zelf absoluut geen belang bij om publiekelijk
mensen op de vingers te tikken die misbruik maken van hun
systeem. Zolang Vecozo zelf de enige is inzage heeft in wie
toegang heeft tot welke gegevens zal er ook geen misbruik
geconstateerd worden.

Het feit dat BN'ers een andere behandeling krijgen dan
'onbekende' Nederlanders geeft al aan dat het systeem niet
deugt.
13-12-2007, 12:05 door Anoniem
Kan er nog iemand lezen ?

80000 mensen hebben toegang. Dat is natuurlijk 1 op 200 !!
Ofwel een halve procent van de bevolking. Valt toch
eigenlijk wel mee.

Probleem is eerder dat niet zeker is of hulpverleners er
zelf misbruik van maken. Voor mij was opvallend dat mijn
tandarts per jaar zoveel behandeling plant als mijn
tandartsverzekering toelaat, terwijl ik hem die info niet
had gegeven.
13-12-2007, 13:54 door Anoniem
Door Anoniem
Door Anoniem
Door Anoniem
Ik werk er dagelijks mee.

Niets mis mee.
Kan alleen bij de gegevens die voor mij relevant zijn.
Bovendien heb ik geheimhoudingsplicht.

Spannende verhalen vertellen kan iedereen....
Iemand die een beetje slim queries los laat op een database
kan achter een hele hoop informatie komen waar die persoon
geen rechten toe heeft.

En laat me niet lachen over een geheimhoudingsplicht... dat
is helemaal de issue niet. Het punt hier is dat dit systeem
veel gegevens aggregeert, en een groot aantal nederlanders
toegang geeft tot op zijn minst een deelverzameling van die
gegevens. 80000 mensen is 1 op de 20, en je hebt dus al snel
dat er 1 a 2 mensen toegang hebben op een gemiddeld
verjaardagsfeestje.

En dat is nou net de truc, Er vallen geen slimme queries op
de database
los te laten. Je kunt er niet mee sql'en. Voor je neus heb
je alleen een
simpele zoek-interface. De database zelf kom je niet eens
bij, want de
afzonderlijke databases staan bij de verschillende
zorgverzekeraars.
Vecozo heeft die gegevens niet eens zelf. Je zult dus de
exacte url van de
webservice van elke zorgverzekeraar moeten weten, je moeten
kunnen
voordoen als een originele zoekopdracht vanaf de vecozo
cov-webservice
en ook nog eens het webserver-certificaat moeten kunnen
overleggen om
de webservices van de verschillende zorgverzekeraars om de
tuin te leiden.
Uit de informatie die gegeven is is het niet mogelijk te
achterhalen dat de afzonderlijke databases bijde diverse
zorgverzekeraars staan.
En dan nog kun je met die simpele zoekinterface voldoende
informatie achterhalen. Het gaan namelijk niet om het
uitvoeren van 1, 2 of 3 queries via een simpele of
geavanceerde zoekinterface. Het gaat om het kunnen
combineren van de resultaten, en om het kunnen leggen van
mogelijke verbanden tussen die zoekresultaten. Dat heeft
niets meer te maken met technische beveiliging, maar alles
met informatie analyse, en het is duidelijk dat jij niet de
juiste persoon bent om een uitspraak te doen over de
mogelijkheden tot het analyseren van de informatie die uit
het systeem te lepelen is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.