Privacy
- Wat niemand over je mag weten
PGO's in hospice
26-05-2024, 10:16 door Erik van Straten, 3 reacties
Icthealh.nl [1] schreef op 24 mei 2024:
Nou nee. Maar wat ís een PGO eigenlijk? Uit https://pgo.nl/:
Oftewel: een commerciële tussenpersoon die, met uw toestemming, uw medische gegevens bij uw zorgaanbieders ophaalt en voor u, ergens in de cloud, bewaart en op verzoek aan (hopelijk alleen) u toont.
Echter, PGO's zijn helemaal niet nieuw (security.nl schrijft erover sinds 2018: [2]).
En PGO's zijn ook absoluut niet gratis, uit [3] van 24 nov. 2020:
De overheidssubsidies voor de cowboys verdwijnen. Raad eens wie er daarna voor moet gaan betalen? En wie gaat er dan toezicht houden om datalekken te voorkómen (*), juist als de inkomsten tegen gaan vallen? Hoe zit het met vendor lock-in? Wat gebeurt er als zo'n bedrijf ermee stopt?
(*) Praktische en betrouwbare authenticatie is extreem lastig, zie bijv. [4] van 23 mei 2024.
Terug naar het eerstgenoemde artikel ([1]) van gisteren:
Slechts "207.000 unieke PGO-gebruikers", bij wie "in 40% van de gevallen gegevens succesvol opgevraagd werden"?
Voortgezet, nu uit het MedMij [5] artikel van 13 mei 2024:
Er gaat meer niet lekker. Eind 2022 schreef ik over de beveiligingsrisico's van mijnpgo.org (in o.a. https://security.nl/posting/778360, zie ook de verwijzing daarin naar Tweakers).
Momenteel meldt https://mijnpgo.org/ onder meer:
PGO https://spreekuur.nl/ (van Topicus, dat zeer veel patiëntendossiers voor huisartsen beheert) liegt alles bij elkaar, onderaan staat:
• Van primair belang is of spreekuur.nl *zelf* aan de NEN 7510 norm voldoet, dat zie ik nergens.
• UMCU? Wie van het UMCU? Is er een getekende verklaring beschikbaar waarin staat *wat* er getoetst is?
• Het gebruik van de Europese ce-norm voor niet-fysieke producten is verboden (laat staan dat in de bijbehorende norm regels voor diensten zouden zijn opgenomen).
In oktober trok Kuipers nog aan dit stervende paard: https://security.nl/posting/812898
Eerder schreef ook voormalig huisarts Wim J. Jongejan meermaals over deze belastingverspilling: https://zorgictzorgen.nl/tag/pgo/
Ook veelzeggend: https://www.artsenauto.nl/haal-vandaag-nog-uw-gegevens-op/
Maar... de PGO's zijn sowieso kansloos omdat de EHDS [6] de PGO-functionaliteit gaat overnemen.
[1] https://icthealth.nl/nieuws/pgo-gebruik-zelfmeetkiosk-etz-webinar-en-bestuurswisselingen
[2] https://security.nl/search?origin=frontpage&keywords=pgo
[3] https://smarthealth.live/2020/11/24/pgo-subsidies-verlengd-ontvang-30-000-euro-en-ga-door-naar-start/
[4] https://medmij.nl/media/resultaten-van-de-hackathon-langdurige-toestemmingen-nu-bekend/
[5] https://medmij.nl/media/207-000-pgo-gebruikers-maken-gebruik-van-medmij-in-1e-kwartaal-2024/
[6] https://www.gegevensuitwisselingindezorg.nl/european-health-data-space-ehds
P.S. deze post bevat een licht gewijzigde versie van https://infosec.exchange/@ErikvanStraten/112502302144885238.
PGO-gebruik blijft stijgen
Nou nee. Maar wat ís een PGO eigenlijk? Uit https://pgo.nl/:
Wat leuk dat je meer wilt weten over persoonlijke gezondheidsomgevingen (PGO’s).
[...]
PGO’s zijn nieuw en nog in ontwikkeling.
Wat is een PGO?
Een PGO is een app of website waar je gratis je medische gegevens kunt bekijken.
[...]
PGO’s zijn nieuw en nog in ontwikkeling.
Wat is een PGO?
Een PGO is een app of website waar je gratis je medische gegevens kunt bekijken.
Oftewel: een commerciële tussenpersoon die, met uw toestemming, uw medische gegevens bij uw zorgaanbieders ophaalt en voor u, ergens in de cloud, bewaart en op verzoek aan (hopelijk alleen) u toont.
Echter, PGO's zijn helemaal niet nieuw (security.nl schrijft erover sinds 2018: [2]).
En PGO's zijn ook absoluut niet gratis, uit [3] van 24 nov. 2020:
Om de PGO-aanbieders toch een zetje in de rug te geven, krijgen toegelaten leveranciers van de minister eenmalig een vaste vergoeding van 30.000 euro uit de regeling, ook als ze nul actieve gebruikers hebben.
[...]
Aanbieders van dergelijke PGO’s konden vanaf oktober vorig jaar 7,50 euro ontvangen voor elke gebruiker die “ten minste één keer actief gegevens heeft opgehaald of gedeeld”.
[...]
VWS gaf al eerder een eenmalige ontwikkelsubsidie van maximaal 160.000 euro aan PGO-makers. Daar reageerden destijds meer dan vijftig softwaremakers op.
[...]
Aanbieders van dergelijke PGO’s konden vanaf oktober vorig jaar 7,50 euro ontvangen voor elke gebruiker die “ten minste één keer actief gegevens heeft opgehaald of gedeeld”.
[...]
VWS gaf al eerder een eenmalige ontwikkelsubsidie van maximaal 160.000 euro aan PGO-makers. Daar reageerden destijds meer dan vijftig softwaremakers op.
De overheidssubsidies voor de cowboys verdwijnen. Raad eens wie er daarna voor moet gaan betalen? En wie gaat er dan toezicht houden om datalekken te voorkómen (*), juist als de inkomsten tegen gaan vallen? Hoe zit het met vendor lock-in? Wat gebeurt er als zo'n bedrijf ermee stopt?
(*) Praktische en betrouwbare authenticatie is extreem lastig, zie bijv. [4] van 23 mei 2024.
Terug naar het eerstgenoemde artikel ([1]) van gisteren:
In de eerste drie maanden van 2024 hebben 207.000 unieke PGO-gebruikers samen ruim 280.000 keer medische gegevens opgevraagd [5] in een PGO met MedMij-label. Omdat logging binnen het MedMij afsprakenstelsel sinds januari verplicht is, kunnen de gegevensuitwisselingen beter gemonitord worden.
Dankzij die logging weet MedMij nu dat in het eerste kwartaal van 2024 in 40% van de gevallen gegevens succesvol opgevraagd werden.
Dankzij die logging weet MedMij nu dat in het eerste kwartaal van 2024 in 40% van de gevallen gegevens succesvol opgevraagd werden.
Slechts "207.000 unieke PGO-gebruikers", bij wie "in 40% van de gevallen gegevens succesvol opgevraagd werden"?
Voortgezet, nu uit het MedMij [5] artikel van 13 mei 2024:
Bij 30% lukte dit niet vanwege een foutmelding tijdens het ophalen. Uit analyse blijkt dat deze fouten veelal ontstaan bij de bron waar de gegevens staan opgeslagen en bij de ID-check via DigiD. Van de overige 30% van de opvragingen kan, vanwege ontbrekende loggegevens, niet goed worden vastgesteld of de uitwisseling succesvol of onsuccesvol was.
Er gaat meer niet lekker. Eind 2022 schreef ik over de beveiligingsrisico's van mijnpgo.org (in o.a. https://security.nl/posting/778360, zie ook de verwijzing daarin naar Tweakers).
Momenteel meldt https://mijnpgo.org/ onder meer:
MijnPGO is gebouwd op het GetRealHealth platform van het Amerikaanse Trubridge. Na vijf jaren van intensieve samenwerking heeft deze partij besloten om de overeenkomst met MijnPGO, die eind mei afloopt, niet te verlengen. De leverancier heeft gezien het overheidsbeleid geen vertrouwen in een duurzame toekomst voor PGO’s in Nederland.
Gegevens veilig stellen voor 29 mei
[...]
Gegevens veilig stellen voor 29 mei
[...]
PGO https://spreekuur.nl/ (van Topicus, dat zeer veel patiëntendossiers voor huisartsen beheert) liegt alles bij elkaar, onderaan staat:
Privacy & veiligheid
Topicus, de maker van Spreekuur, voldoet aan de internationale (ISO) en Nederlandse (NEN) normen voor informatiebeveiliging. Het UMCU heeft de vragenlijsten in Spreekuur getoetst en ze voldoen aan de Europese (CE) veiligheidseisen.
Topicus, de maker van Spreekuur, voldoet aan de internationale (ISO) en Nederlandse (NEN) normen voor informatiebeveiliging. Het UMCU heeft de vragenlijsten in Spreekuur getoetst en ze voldoen aan de Europese (CE) veiligheidseisen.
• Van primair belang is of spreekuur.nl *zelf* aan de NEN 7510 norm voldoet, dat zie ik nergens.
• UMCU? Wie van het UMCU? Is er een getekende verklaring beschikbaar waarin staat *wat* er getoetst is?
• Het gebruik van de Europese ce-norm voor niet-fysieke producten is verboden (laat staan dat in de bijbehorende norm regels voor diensten zouden zijn opgenomen).
In oktober trok Kuipers nog aan dit stervende paard: https://security.nl/posting/812898
Eerder schreef ook voormalig huisarts Wim J. Jongejan meermaals over deze belastingverspilling: https://zorgictzorgen.nl/tag/pgo/
Ook veelzeggend: https://www.artsenauto.nl/haal-vandaag-nog-uw-gegevens-op/
Maar... de PGO's zijn sowieso kansloos omdat de EHDS [6] de PGO-functionaliteit gaat overnemen.
[1] https://icthealth.nl/nieuws/pgo-gebruik-zelfmeetkiosk-etz-webinar-en-bestuurswisselingen
[2] https://security.nl/search?origin=frontpage&keywords=pgo
[3] https://smarthealth.live/2020/11/24/pgo-subsidies-verlengd-ontvang-30-000-euro-en-ga-door-naar-start/
[4] https://medmij.nl/media/resultaten-van-de-hackathon-langdurige-toestemmingen-nu-bekend/
[5] https://medmij.nl/media/207-000-pgo-gebruikers-maken-gebruik-van-medmij-in-1e-kwartaal-2024/
[6] https://www.gegevensuitwisselingindezorg.nl/european-health-data-space-ehds
P.S. deze post bevat een licht gewijzigde versie van https://infosec.exchange/@ErikvanStraten/112502302144885238.
Reacties (3)
26-05-2024, 15:07 door
Anoniem
Kun je bij Topicus een AVG doen?
Of slaan ze het encrypted op, hebben ze als "tussenpartij" geen data?
Ik zie dat EEMJ er veel over schreef op jullie forum maar het is veel TL;DR
Of slaan ze het encrypted op, hebben ze als "tussenpartij" geen data?
Ik zie dat EEMJ er veel over schreef op jullie forum maar het is veel TL;DR
Vandaag, 15:50 door
Erik van Straten
Wordt vervolgd in https://security.nl/posting/871851 onder het redactionele stuk getiteld "Minister onderzoekt opt-out van delen medische gegevens via PGO" van 10 jan. 2025.
Vandaag, 16:41 door
Anoniem
Ik snap de usecase niet helemaal.
Gaat het nu werkelijk om een app/platform die gegevens die huisarts+ziekenhuis al in een patienten-portal hebben staan bij elkaar veegt en nog eens laat zien ?
Als je (zoals bij pensioenen) een historische lappendeken van claims hebt is er wel wat zeggen omdat in één omgeving bij elkaar te willen hebben .
Maar ik snap de situatie van mensen met tig verschillende zorgverleners niet zo goed .
Zelfs met een hoop ziekten is dat toch typisch één ziekenhuis(groep) + een huisarts , oftewel ca twee portals waarin "alles" staat ?
Oude ziekenhuis dossier data wil je toch overdragen naar je nieuwe artsen (of zijn niet meer relevant) - en multi-disciplinair in verschillende ziekenhuisgroepen is een behoorlijk recept voor problemen (de eerste die behoefte hebben aan alle data bij elkaar zijn de diverse specialisten - als die een overdracht krijgen van de collega's elders ziet de patient dat ook in de portal van dat ziekenhuis).
Ik snap - voor de omschrijving - dus niet zo goed dat er een doelgroep/markt voor is.
Gaat het nu werkelijk om een app/platform die gegevens die huisarts+ziekenhuis al in een patienten-portal hebben staan bij elkaar veegt en nog eens laat zien ?
Als je (zoals bij pensioenen) een historische lappendeken van claims hebt is er wel wat zeggen omdat in één omgeving bij elkaar te willen hebben .
Maar ik snap de situatie van mensen met tig verschillende zorgverleners niet zo goed .
Zelfs met een hoop ziekten is dat toch typisch één ziekenhuis(groep) + een huisarts , oftewel ca twee portals waarin "alles" staat ?
Oude ziekenhuis dossier data wil je toch overdragen naar je nieuwe artsen (of zijn niet meer relevant) - en multi-disciplinair in verschillende ziekenhuisgroepen is een behoorlijk recept voor problemen (de eerste die behoefte hebben aan alle data bij elkaar zijn de diverse specialisten - als die een overdracht krijgen van de collega's elders ziet de patient dat ook in de portal van dat ziekenhuis).
Ik snap - voor de omschrijving - dus niet zo goed dat er een doelgroep/markt voor is.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?