HagaZiekenhuis overtrad privacywet met delen van patiëntgegevens
Het HagaZiekenhuis in Den Haag heeft twee jaar lang de Algemene verordening gegevensbescherming (AVG) overtreden door gegevens van duizenden patiënten met een bedrijf te delen terwijl hier geen geldige overeenkomst voor was, zo heeft het ziekenhuis via de eigen website bekendgemaakt.
Sinds 2017 maakte het ziekenhuis gebruik van ConsultAssistent, een digitale vragenlijst die helpt om de diagnose van de patiënt vast te stellen. Deze oplossing is ontwikkeld door het bedrijf Outcome Measurement. Een medisch specialist van het HagaZiekenhuis is mede-eigenaar van dit bedrijf. Patiënten van de KNO-afdeling werd voor en na hun afspraak gevraagd om de vragenlijst, met vragen over zijn of haar gezondheid en gezondheidsklachten, in te vullen. Dit gebeurde op vrijwillige basis.
De gegevens uit de vragenlijsten werden opgeslagen in het patiëntdossier bij het HagaZiekenhuis en in een database bij ConsultAssistent. Volgens het ziekenhuis moesten de antwoorden van de patienten KNO-artsen helpen om sneller een diagnose te stellen en het resultaat van de behandeling te volgen. Het ziekenhuis wilde ConsultAssistent ook bij andere poliklinieken gaan inzetten.
Tijdens het voorafgaande onderzoek werd duidelijk dat het product niet aan de AVG voldoet. Zo was er geen overeenkomst tussen het HagaZiekenhuis en het bedrijf Outcome Measurement, werd patiënten niet goed uitgelegd hoe de ingevulde gegevens werden gebruikt en was de gevraagde toestemming niet duidelijk genoeg. Het ziekenhuis heeft daarop besloten om tijdelijk te stoppen met ConsultAssistent. Tevens is er een melding gedaan bij de Autoriteit Persoonsgegevens. Volgens Omroep West zijn de gegevens van bijna 6500 patiënten op onrechtmatige wijze verwerkt. Die zijn inmiddels via e-mail ingelicht.
Vorig jaar kreeg het HagaZiekenhuis nog een boete van 460.000 euro opgelegd door de Autoriteit Persoonsgegevens voor het slecht beveiligen van de medische dossiers van patiënten, waarmee het de AVG had overtreden.
Wat is er nu aan de hand?
- Het verwerkingsregister was niet compleet.
- De verwerkersovereenkomst met de laatst inzichten van de GDP is er niet.
Dat wil niet zeggen dat alles bij voorbaat fout is.
De eis dat iemand die toestemming verleend volledig inzicht van al het mogelijke wetenschappelijk onderzoek moet krijgen lijkt me een onmogelijk eis. Bij wetenschappelijk onderzoek is er nog geen uitkomst vastgesteld een algemeen doel zal er wel zijn, deze is hierboven genoemd, de geiste begrijpelijke specifieke niet..
Het ligt niet aan het nieuws dat dit ziekenhuis wederom zich niet aan de GDPR heeft gehouden. Waarom zijn andere ziekenhuizen niet in het nieuws, met hetzelfde verhaal. Hoog gehalte van blame the messenger.
Jouw of mijn mening doet niets af aan het feit dat een ziekenhuis conform de wet moet handelen (net als wij).
De eis dat iemand die toestemming verleend volledig inzicht van al het mogelijke wetenschappelijk onderzoek moet krijgen lijkt me een onmogelijk eis. Bij wetenschappelijk onderzoek is er nog geen uitkomst vastgesteld een algemeen doel zal er wel zijn, deze is hierboven genoemd, de geiste begrijpelijke specifieke niet..
Hoeft ook niet, je kan gegevens altijd anonimiseren. Dan hoef je ook geen toestemming te vragen. En als je de gegevens niet anoniem nodig hebt, kun je ook uitleggen waarom je ze nodig hebt. Tevens staat er gewoon in de AVG dat het verwerken van bijzondere persoonsgegevens (= o.a. medische gegevens) verboden is, tenzij er een wettelijke uitzondering is. De grondslag toestemming is te dun om te gebruiken voor het verwerken van bijzondere persoonsgegevens.
Het ligt niet aan het nieuws dat dit ziekenhuis wederom zich niet aan de GDPR heeft gehouden. Waarom zijn andere ziekenhuizen niet in het nieuws, met hetzelfde verhaal. Hoog gehalte van blame the messenger.
Toevallig komt het hier nu 2 keer naar buiten.
En worden als een god in Frankrijk behandeld met alle gevolgen van dien.
Vooral dat hoog van de toren blazen stoort mij enorm.
Ik spreek uit ervaring.
Het wordt tijd dat ze flink op hun plaats gezet worden. Zeker als ze dit soort stomme fouten maken.
Trigger: Ja
Meerdere ervaringen: Ja
Meerdere ziekenhuizen: Ja
Alles wordt daarbij ook afgeraffeld met een of ander excuus..dan dit weer dan dat weer.
Je weet nooit wat de motivatie is van een medisch specialist indien deze ook eigenaar is van een bedrijf dat in dezelfde markt opereert. In deze casus weet je niet of de specialist jou een behandelplan aanbiedt dat beste voor jou is, of dat het behandelplan is ingegeven omdat de informatie die daar uit voortkomt waardevol voor zijn bedrijf is. Belangenverstrengeling komt hier snel om de hoek kijken.
Het zou niet moeten mogen dat medisch specialisten (aanmerkelijke) belangen hebben in bedrijven die in hetzelfde gebied werkzaam zijn dan de medisch specialist.
Hoeft ook niet, je kan gegevens altijd anonimiseren. Dan hoef je ook geen toestemming te vragen. En als je de gegevens niet anoniem nodig hebt, kun je ook uitleggen waarom je ze nodig hebt. Tevens staat er gewoon in de AVG dat het verwerken van bijzondere persoonsgegevens (= o.a. medische gegevens) verboden is, tenzij er een wettelijke uitzondering is. De grondslag toestemming is te dun om te gebruiken voor het verwerken van bijzondere persoonsgegevens.
Lijkt me voldoende gerechtvaardigd belang waar je geen extra toestemming voor nodig hebt. De medewerkring vragen aan patienten is met een vragenlijst met het doel hoe er gecommuniceerd wordt niet te vermijden.
Het uiteindelijk resultaat als doel kent geen persoonsgegevens meer. volledig anoniem. Het is een verbeterde vragenlijst om beter sneller tot de juiste diagnose te komen. Hier gaat iets goed mis met privacy privacy regels als enige recht te zien.
Ik zie geen overtreding van de GDPR hoe de verwerking ingericht is. De verwerkersovereenkomst is niet geregeld.
In het eerdere gebeuren rond Haga had ik mijn verdenkingen dat er privacyfanaat zijn gelijk via de publieke opinie wilde halen. Dit verstrekt dat alleen maar. Het is jammer dat de proportionanliteit bij de toezichthouder zo te zien ontbreekt.
Hoeft ook niet, je kan gegevens altijd anonimiseren. Dan hoef je ook geen toestemming te vragen. En als je de gegevens niet anoniem nodig hebt, kun je ook uitleggen waarom je ze nodig hebt. Tevens staat er gewoon in de AVG dat het verwerken van bijzondere persoonsgegevens (= o.a. medische gegevens) verboden is, tenzij er een wettelijke uitzondering is. De grondslag toestemming is te dun om te gebruiken voor het verwerken van bijzondere persoonsgegevens.
Lijkt me voldoende gerechtvaardigd belang waar je geen extra toestemming voor nodig hebt. De medewerkring vragen aan patienten is met een vragenlijst met het doel hoe er gecommuniceerd wordt niet te vermijden.
Het uiteindelijk resultaat als doel kent geen persoonsgegevens meer. volledig anoniem. Het is een verbeterde vragenlijst om beter sneller tot de juiste diagnose te komen. Hier gaat iets goed mis met privacy privacy regels als enige recht te zien.
Ik zie geen overtreding van de GDPR hoe de verwerking ingericht is. De verwerkersovereenkomst is niet geregeld.
In het eerdere gebeuren rond Haga had ik mijn verdenkingen dat er privacyfanaat zijn gelijk via de publieke opinie wilde halen. Dit verstrekt dat alleen maar. Het is jammer dat de proportionanliteit bij de toezichthouder zo te zien ontbreekt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
