AP berispt GGZ-instelling na overnemen oude dataset met patiëntdata
De Autoriteit Persoonsgegevens (AP) heeft de Utrechts GGZ-instelling Akwa GGZ berispt voor het overnemen van onvoldoende geanonimiseerde gezondheidsgegevens. Daarmee heeft Akwa GGZ gezondheidsgegevens verwerkt wat door de AVG verboden is. Organisaties mogen alleen gezondheidsgegevens verwerken als ze over een wettelijke uitzonderingsgrond voor het verbod beschikken. Iets wat bij Akwa GGZ niet het geval was.
De dataset was afkomstig van Stichting Benchmark Geestelijke Gezondheidszorg (SBG) en werd gebruikt voor het ontwikkelen van kwaliteitsstandaarden en meetinstrumenten. Akwa GGZ wilde de data gebruiken voor de doorontwikkeling van Routine Outcome Monitoring (ROM). ROM is een tool om de kwaliteit in de zorg te verbeteren. "We hebben destijds die verarmde dataset van SBG overgenomen op verzoek van het werkveld", zo liet directeur Dominique Vijverberg eerder dit jaar weten. Afgelopen mei kwam de Autoriteit Persoonsgegevens al met een voorlopig standpunt dat het hier toch om persoonsgegevens ging.
Patiënten zouden voor de verwerking dan hun toestemming hebben moeten geven of er zou een wettelijke grondslag benodigd zijn. Na het voorlopige standpunt besloot de GGZ-instelling om de dataset in quarantaine te plaatsen en partijen hier geen toegang meer toe te geven. In augustus stelde de instelling stelt dat de database strijdig was met de manier van werken omdat het alleen werkt met gegevens waarvoor de patiënt uitdrukkelijk toestemming heeft gegeven. Daarop werd besloten de oude dataset te vernietigen.
Uit onderzoek van de AP blijkt dat SBG op de dataset onvoldoende technische waarborgen heeft getroffen om de risico’s op herleidbaarheid weg te nemen. "De ROM-data zijn daarmee niet anoniem en zijn tot de persoon herleidbare gezondheidsgegevens. Akwa GGZ heeft begin 2019 de dataset overgenomen van SBG. Daarmee hebben SBG en Akwa GGZ dus persoonsgegevens verwerkt over de gezondheid van patiënten", aldus de toezichthouder.
Er is dan ook sprake van een verwerking van persoonsgegevens die zonder wettelijke uitzonderingsgrond verboden is. Aangezien SBG inmiddels niet meer bestaat als rechtspersoon, heeft de AP besloten om alleen een handhavende maatregel aan Akwa GGZ op te leggen. Dat is in dit geval een berisping omdat Akwa GGZ de dataset in quarantaine heeft geplaatst en daarna heeft vernietigd.
"We zijn blij dat de uitspraak er nu is, dat deze duidelijk is en dat het onderzoek hiermee is afgerond. De uitspraak heeft geen consequenties voor onze huidige werkwijze. Wij werken uitsluitend nog met gepseudonimiseerde gegevens waarvoor de patiënt uitdrukkelijk toestemming heeft gegeven", stelt Vijverberg in een reactie. Volgens Akwa GGZ laat de uitspraak zien dat ROM-data persoonsgegevens zijn.
Gelukkig heb jij wel een echte grote-mensen baan en excelleer je daarin zo dat je onder werktijd nog ruimte kan vinden om op een forum als deze anoniem je gedachten te posten - goed werk!
Nou, dat zal ze leren!
Daar kan menig bedrijf nog wat van leren inderdaad.
Waar dachten ze bij de Akwa GGZ per sé mee aan de slag te moeten gaan??
Dit lijkt echt een enorme beginnersfout van niet te vergeven proporties!
Elke maar dan ook elke set van onderzoek data voor medicijnen toelating, medische studie of onderzoek trajecten moeten al enorm lang geanonimiseerd worden aangeboden en ook enkel geanonimiseerd verwerkt.
Dat was specifiek in de medische wereld al heel lang de norm voordat de AP überhaupt was opgericht.
Ook voordat de GDPR richtlijn bestond.
Menig gedupeerde heeft bij het niet nakomen van die norm destijds ook een schadevergoeding gekregen en/of werd geneld dat de verantwoordelijken zijn ontslagen.
De berisping door de Nederlandse AP laat uiteraard vervolgstappen door Justitie en/of privaatrechtelijke compensatie open.
Natuurlijk zijn er in het verleden zaken geweest waar een rechter een streep zette door wat strenger omschreven aanklachten door Agentschappen van de overheid. Denk aan telecom zaken die de Opta bijvoorbeeld vonniste.
Maar an zich waren meerdere van die kwesties eerder bij dunne onderbouwing bijgesteld dan dat de kwestie nietig was verklaard.
Nou schijnen leidinggevenden bij GGZ instellingen nog altijd een problematisch gebrek aan feeling met ICT discussies te hebben. Ondanks cursussen waar de lui lachwekkend en nonchalant over doen.
Anno 2019 lijkt de berisping door de AP dus een tamelijk wijfelachtige zet.
De reden is echter dat ze de wetten en verantwoordelijkheden niet kennen. IGJ VWS is de toezichthouder voor zorg inclusief ggz. Wat het AP nu mogelijk gedaan heeft is een steun voor degenen die in een GGZ instelling zitten en een gevaar voor anderen zijn. P. de moordenaar van Faber had zeker ook een Rom indicatie met naam en meer. P beriep zich op zijn recht op privacy met het niet mogen delen van gegevens waardoor hij op verlof kon. Inderdaad stelletje prutsers bij het AP.
Waar dachten ze bij de Akwa GGZ per sé mee aan de slag te moeten gaan??
Dit lijkt echt een enorme beginnersfout van niet te vergeven proporties!
Dat wil niet zeggen dat daarmee alles koek en ei is. Het gaat om gepseudonimiseerde bijzondere persoonsgegevens en de hedendaagse mogelijkheden om dat terug te herleiden naar iemands identiteit maken dat pseudonimiseren niet afdoende is, aldus deze groep patiënten, verpleegkundigen, psychologen en psychiaters die zich er daarom tegen verzet:
https://www.stopbenchmark.com/media/persbericht/10-08-2019/
Ik vind inderdaad een sanctie in deze situatie geen toegevoegde waarde hebben. Akwa GGZ neemt de uitspraak ter harte en werkt volop mee. Men had ook al eerder maatregelen genomen tot anonimisering in verhouding tot het doel, maar die bleken niet afdoende. Sanctioneren laat ik liever in situaties waarin een organisatie zichzelf de verzwarende omstandigheid dat ze aan alle kanten de boel lopen te frustreren op de hals laden. En de AP heeft de bevoegdheid het bij een berisping of waarschuwing te laten.
Wat wil je daar precies mee zeggen? Je lijkt ermee te suggeren dat AP niets over privacyschendingen bij zorginstellingen kan zeggen omdat daar al een andere toezichthouder actief is. Is dat wat je bedoelt?
1/ ggz verwarde mensen is een hoek waar dreigingen voor anderen vandaan kunnen komen. Het ap is geen medicus nog handhavende politie. Ze acteren nu als een verkeersregelaar die de brandweer berispt wegens te hard rijden op weg naar een Brand.
2/ het ap uit zich alsof ze de rechtspraak hoog hebben zitten.
Gezien de confictetende gebieden met toezicht hadden ze zich daarin moeten verdiepen. Lees hu rapport en je ziet het onbegrip van de andere toezichtsbelangen.
We hebben ene Thijs nu in het nieuws met hetzelfde als verlengde en de Zorg ondernemers die wel heel goed voor zichzelf zorgen. Er gaat uets goed mis met het privacy argument waarbij de foute figuren onevenredig profiteren.
1/ ggz verwarde mensen is een hoek waar dreigingen voor anderen vandaan kunnen komen. Het ap is geen medicus nog handhavende politie. Ze acteren nu als een verkeersregelaar die de brandweer berispt wegens te hard rijden op weg naar een Brand.
Dit is niet een verkeersregelaar die de brandweer berispt, dit is een verkeersregelaar die een te hard rijdende boekhouder berispt die denkt dat hij hard mag rijden omdat hij gegevens verwerkt die door de brandweer worden aangeleverd om verzekeraars van een algemeen beeld te kunnen voorzien.
Gezien de confictetende gebieden met toezicht hadden ze zich daarin moeten verdiepen. Lees hu rapport en je ziet het onbegrip van de andere toezichtsbelangen.
https://autoriteitpersoonsgegevens.nl/nl/over-de-autoriteit-persoonsgegevens/nationale-samenwerking
https://www.igj.nl/onderwerpen/klacht-of-vraag-over-zorg-of-jeugdhulpverlening/klachtbeeld-2018/samenwerking-met-veldpartijen
Ik denk dat jij problemen ziet die die toezichthouders zelf niet zien. Als er werkelijk conflicten zijn waar ze niet uit kunnen komen dan zal daar hoogstwaarschijnlijk conflicterende wetgeving aan ten grondslag liggen, en dan is het de rechter of de wetgever die knopen erover door te hakken heeft.
Ik vind inderdaad een sanctie in deze situatie geen toegevoegde waarde hebben. Akwa GGZ neemt de uitspraak ter harte en werkt volop mee. Men had ook al eerder maatregelen genomen tot anonimisering in verhouding tot het doel, maar die bleken niet afdoende. Sanctioneren laat ik liever in situaties waarin een organisatie zichzelf de verzwarende omstandigheid dat ze aan alle kanten de boel lopen te frustreren op de hals laden. En de AP heeft de bevoegdheid het bij een berisping of waarschuwing te laten.
Hé?? Hebt u de verhandelingen over de AP wel meegekregen?
De AP is expliciet bedoeld om niet enkel te functioneren als verbalende of verhalende organisatie.
De AP is juist ook als inperkende en afremmende organisatie bedoeld.
Waarbij juist door minister en kamer eensluidend werd vastgesteld dat de AP op meerdere wijzen de voorzorg functie om binnen het toelaatbare te blijven uit zichzelf regelt.
En niet pas nadat een organisatie door de AP erop wordt gewezen!
Toch zegt u echter dat u sanctioneren liever beperkt tot situaties waarin een organisatie de boel aan alle kanten uit de klauwen liet lopen.
Kunt u dat onderbouwen en dat wellicht afzetten langs de volgende elementen.
1. Als iemand voorbeeldig om zich heen kijkend een kruising oversteekt en door rood rijd is en blijft de overtreding strafbaar!
2. Als iemand onbedoeld te hard reed kan er mits voldoende onderbouwd principieel verzachtende of ontlastende redenen bieden.
3. Als iemand nou in eerste instantie onbezorgd en bijkomend onzorgvuldig aan de slag is gegaan met de data,
maar daarna welwillend maar in beginsel vervolgens nog steeds niet geheel zelfstandig alle consequenties en mogelijkheden nagaat-overziet-doorziet dan voldoet die niet aan hoe de AP bedoeld is.
4. Ik denk dat we nou ook niet meteen in extreem zware situaties oordelen belanden als de AP toch wat nadrukkelijker sanctioneert.
Omdat de AP duidelijke feiten kan constateren.
Ze werken niet op basis van een half verhaal / een vooropgezet gefabriceerd prakje van "halve" feiten of enkel rook signalen tot uitspraken en sanctionering over.
Dit in tegenstelling bijvoorbeeld tot verhaal zaken zoals ambtenaren van de Belastingdienst die zelf wel erg voorbarig
te werk gingen.
5. Volgens mij zijn er tal van argumenten om tot zwaardere sanctionering voor de overtreding door de instelling te komen;
Niet alleen een meer afhankelijke kwetsbare situatie van personen ten opzichte van de GGZ,
de AP moest volgens de wetgever ook een rem op recidive gaan bieden,
ook is er het maatschappelijk belang van gevoelige data,
dan is er nog een mogelijk groter leer-effect en
niet in de laatste plaats moet een beoordelaar er in beginsel toch van uit dat overtreding in dit soort gevallen juist een onevenredige deuk in het vertrouwen geeft.
Bijvoorbeeld richting toekomstige onderzoekstrajecten die uit zichzelf al zorgvuldiger aan de slag zouden moeten/kunnen gaan, niet in de laatste plaats ook een deuk in vertrouwen bij personen van wie de data ten slotte wel is geleend.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
