Privacy - Wat niemand over je mag weten

PGO's in hospice

26-05-2024, 10:16 door Erik van Straten, 1 reacties
Icthealh.nl [1] schreef op 24 mei 2024:
PGO-gebruik blijft stijgen

Nou nee. Maar wat ís een PGO eigenlijk? Uit https://pgo.nl/:
Wat leuk dat je meer wilt weten over persoonlijke gezondheidsomgevingen (PGO’s).
[...]
PGO’s zijn nieuw en nog in ontwikkeling.

Wat is een PGO?
Een PGO is een app of website waar je gratis je medische gegevens kunt bekijken.

Oftewel: een commerciële tussenpersoon die, met uw toestemming, uw medische gegevens bij uw zorgaanbieders ophaalt en voor u, ergens in de cloud, bewaart en op verzoek aan (hopelijk alleen) u toont.

Echter, PGO's zijn helemaal niet nieuw (security.nl schrijft erover sinds 2018: [2]).

En PGO's zijn ook absoluut niet gratis, uit [3] van 24 nov. 2020:
Om de PGO-aanbieders toch een zetje in de rug te geven, krijgen toegelaten leveranciers van de minister eenmalig een vaste vergoeding van 30.000 euro uit de regeling, ook als ze nul actieve gebruikers hebben.
[...]
Aanbieders van dergelijke PGO’s konden vanaf oktober vorig jaar 7,50 euro ontvangen voor elke gebruiker die “ten minste één keer actief gegevens heeft opgehaald of gedeeld”.
[...]
VWS gaf al eerder een eenmalige ontwikkelsubsidie van maximaal 160.000 euro aan PGO-makers. Daar reageerden destijds meer dan vijftig softwaremakers op.

De overheidssubsidies voor de cowboys verdwijnen. Raad eens wie er daarna voor moet gaan betalen? En wie gaat er dan toezicht houden om datalekken te voorkómen (*), juist als de inkomsten tegen gaan vallen? Hoe zit het met vendor lock-in? Wat gebeurt er als zo'n bedrijf ermee stopt?

(*) Praktische en betrouwbare authenticatie is extreem lastig, zie bijv. [4] van 23 mei 2024.

Terug naar het eerstgenoemde artikel ([1]) van gisteren:
In de eerste drie maanden van 2024 hebben 207.000 unieke PGO-gebruikers samen ruim 280.000 keer medische gegevens opgevraagd [5] in een PGO met MedMij-label. Omdat logging binnen het MedMij afsprakenstelsel sinds januari verplicht is, kunnen de gegevensuitwisselingen beter gemonitord worden.

Dankzij die logging weet MedMij nu dat in het eerste kwartaal van 2024 in 40% van de gevallen gegevens succesvol opgevraagd werden.

Slechts "207.000 unieke PGO-gebruikers", bij wie "in 40% van de gevallen gegevens succesvol opgevraagd werden"?

Voortgezet, nu uit het MedMij [5] artikel van 13 mei 2024:
Bij 30% lukte dit niet vanwege een foutmelding tijdens het ophalen. Uit analyse blijkt dat deze fouten veelal ontstaan bij de bron waar de gegevens staan opgeslagen en bij de ID-check via DigiD. Van de overige 30% van de opvragingen kan, vanwege ontbrekende loggegevens, niet goed worden vastgesteld of de uitwisseling succesvol of onsuccesvol was.

Er gaat meer niet lekker. Eind 2022 schreef ik over de beveiligingsrisico's van mijnpgo.org (in o.a. https://security.nl/posting/778360, zie ook de verwijzing daarin naar Tweakers).

Momenteel meldt https://mijnpgo.org/ onder meer:
MijnPGO is gebouwd op het GetRealHealth platform van het Amerikaanse Trubridge. Na vijf jaren van intensieve samenwerking heeft deze partij besloten om de overeenkomst met MijnPGO, die eind mei afloopt, niet te verlengen. De leverancier heeft gezien het overheidsbeleid geen vertrouwen in een duurzame toekomst voor PGO’s in Nederland.

Gegevens veilig stellen voor 29 mei
[...]

PGO https://spreekuur.nl/ (van Topicus, dat zeer veel patiëntendossiers voor huisartsen beheert) liegt alles bij elkaar, onderaan staat:
Privacy & veiligheid
Topicus, de maker van Spreekuur, voldoet aan de internationale (ISO) en Nederlandse (NEN) normen voor informatiebeveiliging. Het UMCU heeft de vragenlijsten in Spreekuur getoetst en ze voldoen aan de Europese (CE) veiligheidseisen.

• Van primair belang is of spreekuur.nl *zelf* aan de NEN 7510 norm voldoet, dat zie ik nergens.

• UMCU? Wie van het UMCU? Is er een getekende verklaring beschikbaar waarin staat *wat* er getoetst is?

• Het gebruik van de Europese ce-norm voor niet-fysieke producten is verboden (laat staan dat in de bijbehorende norm regels voor diensten zouden zijn opgenomen).

In oktober trok Kuipers nog aan dit stervende paard: https://security.nl/posting/812898

Eerder schreef ook voormalig huisarts Wim J. Jongejan meermaals over deze belastingverspilling: https://zorgictzorgen.nl/tag/pgo/

Ook veelzeggend: https://www.artsenauto.nl/haal-vandaag-nog-uw-gegevens-op/

Maar... de PGO's zijn sowieso kansloos omdat de EHDS [6] de PGO-functionaliteit gaat overnemen.

[1] https://icthealth.nl/nieuws/pgo-gebruik-zelfmeetkiosk-etz-webinar-en-bestuurswisselingen

[2] https://security.nl/search?origin=frontpage&keywords=pgo

[3] https://smarthealth.live/2020/11/24/pgo-subsidies-verlengd-ontvang-30-000-euro-en-ga-door-naar-start/

[4] https://medmij.nl/media/resultaten-van-de-hackathon-langdurige-toestemmingen-nu-bekend/

[5] https://medmij.nl/media/207-000-pgo-gebruikers-maken-gebruik-van-medmij-in-1e-kwartaal-2024/

[6] https://www.gegevensuitwisselingindezorg.nl/european-health-data-space-ehds

P.S. deze post bevat een licht gewijzigde versie van https://infosec.exchange/@ErikvanStraten/112502302144885238.
Reacties (1)
26-05-2024, 15:07 door Anoniem
Kun je bij Topicus een AVG doen?

Of slaan ze het encrypted op, hebben ze als "tussenpartij" geen data?

Ik zie dat EEMJ er veel over schreef op jullie forum maar het is veel TL;DR
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.