AVG Awareness, Privacy Nieuws
Een ex-KNO-arts van ziekenhuis Amstelland veroorzaakt een groot datalek door een Whatsappgroep met honderden patiënten aan te maken. Hij overtreedt daarmee de AVG, schendt zijn medisch beroepsgeheim en een concurrentiebeding. Een AVG-wake-upp call voor iedereen die Whatsapp nog zakelijk gebruikt.
Iedereen die zonder toestemming werknemers, klanten of patienten toevoegt aan Whatsapp overtreedt de Europese privacywet.
Veel ondernemers worstelen met het AVG-dilemma Whatsapp op zakelijke telefoons. Wat privé wel mag is zakelijk een overtreding van de privacywet.
De KNO-arts maakt met zijn Whatsappgroep honderden privé-nummers van patiënten inzichtelijk voor anderen.
Eén van zijn oud-patienten meldt bij de Amsterdamse lokale omroep AT5 het vreemd te vinden dat een arts hem benadert via zijn privételefoon.
“Je ziet van al die mensen een Whatsappfoto en ook de telefoonnummers. Dit kan echt niet. De arts schendt hiermee het medisch beroepsgeheim en de privacy van patiënten.”
Schending concurrentiebeding en medisch beroepsgeheim
De actie van de arts is niet alleen vanuit AVG-oogpunt bedenkelijk vanuit concurrentieoverwegingen. Hij probeert via de groepsapp patiënten mee te lokken naar zijn nieuwe werkgever: Acibadem International Medical Center.
In het groepsgesprek, dat de arts midden in de nacht aanmaakt met zijn privé-nummer, vertelt hij een nieuwe werkgever te hebben. De dokter plaatste volgens AT5 teksten als: “Hierdoor kunt u niet geopereerd/gecontroleerd worden in Ziekenhuis Amstelland. [Het] is uiteraard wel mogelijk dat u door mij geopereerd wordt in het International Medical Center Acibadem.”
Ook schrijft de arts dat de wachttijden bij zijn nieuwe werkgever ‘aanzienlijk korter’ zijn en dat patiënten er goed aan doen om opnieuw een verwijsbrief van de huisarts te vragen.
Solo-actie
Zijn nieuwe werkgever Acibadem zegt dat het benaderen van deze patiënten een ‘solo-actie’ is van de KNO-arts. “Wij zijn hier vooraf niet van op de hoogte gesteld en de wijze waarop dit is gebeurd past niet binnen de richtlijnen van Acibadem.”
Ziekenhuis Amstelland, oud-werkgever van de dokter, kondigt juridische stappen aan tegen de oud-werknemer. “Er zijn door de betreffende arts gegevens van onze patiënten meegenomen die binnen onze muren hadden moeten blijven.”
Privacy Nieuws
Het VieCuri Medisch Centrum in Venlo is in opspraak vanwege een datalek waarbij de gegevens van 22 kinderen, inclusief medische gegevens, op straat zijn beland, meldt de regionale omroep 1Limburg.
Het betreft slechts vier vellen papier, maar de impact daarvan is qua negatieve publiciteit nu al groot. En die kan nog groter worden.
Datalekprocedure
Grote vraag is namelijk of het Limburgse ziekenhuis wel volgens de regels een datalekprocedure in gang heeft gezet.
Vinder Jeroen Dekkers van de papieren zegt bij L1 de indruk te hebben dat het ziekenhuis de zaak in de doofpot wilde stoppen. Hij zocht zondag meteen na zijn vondst al contact met het ziekenhuis.
Datalek uit de media houden
Dekkers zegt dat hij zich geïntimideerd voelt en dat hem meerdere malen is gevraagd om de zaak uit de media te houden.
Een woordvoerder van het ziekenhuis ontkent bij L1 dat zij dit gevraagd heeft.
Functionaris Gegevensbescherming (FG)
Opvallend is echter dat de Functionaris Gegevensbescherming (FG) van VieCuri volgens Dekkers pas woensdag persoonlijk contact opnam met Dekkers. Terwijl volgens de Algemene Verordening Gegevensbescherming (AVG) een organisatie binnen 72 uur na het ontdekken van een lek meteen passende maatregelen moet treffen en een datalekprocedure bij de Autoriteit Persoonsgegevens (AP) in gang moet zetten.
De FG is voor die datalekprocedure verantwoordelijk. Het is dan ook uitermate vreemd dat de FG niet eerder contact heeft opgenomen met de vinder.
Volgens de Autoriteit Persoonsgegevens is er inmiddels wel een datalekmelding door het ziekenhuis gedaan.
Ziekenhuis onderzoekt lek en afhandeling melding
Het ziekenhuis zegt te onderzoeken hoe het lek is ontstaan en hoe er is omgegaan met de melding.
De papieren werden zondag toevallig door Dekkers gevonden op de dijk langs de Maas, pal naast VieCuri.
Medische gegevens pasgeboren kinderen
In de documenten kon hij de voor- en achternaam, geboortedatum van de in sommige gevallen pasgeboren kinderen en gegevens van ouders en verzorgers lezen. Ook was er informatie over de medische situatie van de kinderen te vinden.
Uit de datum bovenaan de documenten blijkt dat ze dezelfde dag nog zijn gebruikt. Het betteft dienstlijsten van vermoedelijk de kinderafdeling.
Privacy Nieuws
De gemeente Maarssen heeft een fout gemaakt bij de versturing van een brief aan geregistreerde mantelzorgers. In sommige gevallen zijn privé NAW-gegevens in verkeerde handen gekomen.
De brief werd verzonden vanwege het mantelzorgcompliment 2018.
De lokale partij Maarssen 2000 heeft het college van burgemeester en wethouders vragen gesteld in verband met mogelijke consequenties voor de gemeente die zouden kunnen voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG).
Excuses gemeente Maarssen
“De verwerking van deze brieven is niet goed verlopen”, schrijft Maarssen 2000. “Op de achterzijde van deze brief is in enkele gevallen per ongeluk een aan een andere mantelzorger geadresseerde brief afgedrukt. Hiertoe heeft de gemeente bij brief van 8 oktober 2018 alle mantelzorgers een nieuwe brief gestuurd waarin o.a. excuses zijn aangeboden.”
Maarssen 2000 stelt met name vragen over de verwerking van de gegevens en de registratie die door vrijwilligers van Welzijn Stichtse Vecht worden uitgevoerd.
Basisregistratie Personen (BRP)
Aanvullend stelt de partij een vraag over mogelijke schending van de privacy van inwoners die in de Basisregistratie Personen (BRP) geheimhouding kunnen hebben.
De wet BRP biedt inwoners de mogelijkheid om geheimhouding van persoonsgegevens aan te vragen. Gegevens blijven dan geheim voor bepaalde organisaties en vrije derden.
Datalekprocedure
In aanvullende vragen stelt Maarssen 2000 aan het college de vraag of er sprake is van een datalek en of deze als zodanig ook gemeld is bij de Autoriteit Persoonsgegevens.
In hoeveel gevallen NAW gegevens bij verkeerde personen zijn terechtgekomen is niet bekend.
In 2017 werden er door de gemeente 971 mantelzorgcomplimenten in de vorm van VVV-cadeaukaarten verstrekt.
Privacy Nieuws
Er komt een nieuw antivirus systeem voor smartphones in de zorg. Het is ontwikkeld door een ICT-bedrijf, maar het heeft – anders dan je zou verwachten na het lezen van de titel van dit bericht en eerdere berichtgeving over onveilige Android-smartphones op PrivacyZone – niets te maken met de Algemene Verordening Gegevensbescherming (AVG).
Uit onderzoek van Verpleegkundigen & Verzorgenden Nederland (VVN) blijkt dat een derde van de zorgmedewerkers zijn smartphone zelden tot nooit reinigt en dat hier in de zorg ook geen richtlijnen voor zijn.
Smartphone vol met bacteriën
Op een gemiddelde smartphone wemelt het van de bacteriën als streptokokken, stafylokokken en de E. colibacterie.
Patiënten, bezoekers en zorgmedewerkers hebben dit broeinest van bacteriën elk uur wel even in de hand, ook in het bijzijn van patiënten.
Een aantal zorginstellingen wil vanaf deze week een smartphone-reiniger testen.
Antivirussysteem werkt met uv-licht en ozon
Het apparaat wordt beschikbaar gesteld door it-detacheerder Peak-It en is het eerste in zijn soort dat werkt op basis van uv-licht en ozon.
Om deze nesten uit te roeien, gaat Peak-It deze week de servicedesks van veertien van zijn zorgklanten voorzien van een smartphone-reiniger.
Na 8 minuten is smartphone bacterievrij
De werking van het apparaat is eenvoudig: deksel eraf, telefoon erin, acht minuten wachten en de telefoon is volledig bacterievrij.
Kenmerk van het apparaat is uv-licht, dat de celwanden van bacteriën en virussen binnendringt en beschadigt zodat ziektekiemen sterven.
Daarnaast maakt de reiniger gebruik van ozon, dat weer desinfecterende eigenschappen heeft.
Operationeel directeur van Peak-It Richard Stassen laat via een persverklaring weten dat de actie geen commercieel doel behelst. ‘We gaan ze niet verkopen. Het is puur als gebaar richting de zorginstellingen waarmee we samenwerken.’
Over Peak-It
Peak-It is een grote it-detacheerder met landelijk ruim vierhonderd medewerkers in dienst. Het bedrijf, met de beschikking over drie vestigingen in Naarden, Rijswijk en Eindhoven. Het bedrijf kwam in maart 2018 in handen van ManpowerGroup en maakt onderdeel uit van Experis-IT.
Privacy Nieuws
Huisarts Hans Gimbel uit Heerhugowaard waarschuwt aan de hand van dagelijkse praktijkvoorbeelden voor absurde en onveilige gevolgen van de AVG in de zorgsector.
Gimbel is lid van de Ledenraad van Landelijke Huisartsen Vereniging (LHV). Hij schreef op persoonlijke titel een opiniestuk voor de Volkskrant. Dit veelgelezen stuk is ook gedeeld op de website Netkwesties.
Volgens Gimbel zorgt de Algemene Verordening Gegevensbescherming voor onnodige schadelijke rompslomp in de zorg en wordt medisch handelen beletseld.
Absurde en gevaarlijke vereiste in de zorg
“Door de nieuwe privacywetgeving kunnen artsen sinds 25 mei niet meer bij de gegevens van patiënten zonder hun uitdrukkelijk verleende schriftelijke toestemming. Een even absurde als gevaarlijke vereiste in de zorg”, schrijft Gimbels.
“Op 25 mei 2018 is de AVG (Algemene Verordening Gegevensbescherming) van kracht geworden. Brussel vond dat de privacy van burgers wel een steuntje in de rug kon gebruiken. Daar was zeker wat voor te zeggen als je ziet hoe commerciële organisaties als Facebook en Google met gegevens op internet omgaan.”
AVG in zorg is vanwege eed van Hippocrates overbodig
“Helaas heeft Brussel in één moeite door ook de alle andere sectoren meegenomen, waaronder de zorg. Volkomen onnodig, aangezien in de zorg al van oudsher het medisch geheim geldt, bekrachtigd met de eed van Hippocrates (460 voor Christus!) die elke arts aflegt.”
“Helaas pakt deze wet voor de zorg desastreus uit. Alle medische gegevens zijn achter een schier onneembare burcht geplaatst met als gevolg dat artsen niet bij de gegevens van de patiënt kunnen. Dat is natuurlijk niet de bedoeling, maar wel het gevolg van de wet.”
Huisartsen geen toegang tot patientendossier in regionaal ziekenhuis
“In onze regio, waar in het grote regionale ziekenhuis toevallig ook net een nieuw EPD (Elektronisch Patiënten Dossier) werd ingevoerd, kon de huisarts van de ene op de andere dag niet meer bij de gegevens van zijn patiënten.”
“Als een patiënt bij de specialist onder behandeling is, is het belangrijk dat ook de huisarts over die gegevens kan beschikken. Bijvoorbeeld bij het voorschrijven van bepaalde medicijnen is het belangrijk te weten wat de nierfunctie van de patiënt is. Voorheen kon de huisarts dat opzoeken in het ziekenhuissysteem via een beveiligde weg.”
“Nu is die route afgesneden met als gevolg dat de huisarts opnieuw bloedonderzoek moet laten doen. Ook andersom, als de specialist de onderzoekgegevens van de patiënt bij de huisarts nodig heeft, kan hij sinds 25 mei niet meer bij deze gegevens.”
Chirurg mag röntgenfoto gebroken enkel niet bekijken
“Als de huisarts bij een patiënt met een enkelletsel een foto laat maken en deze patiënt heeft een gebroken enkel, dan mag de chirurg niet kennis nemen van de foto, tenzij de patiënt schriftelijk toestemming heeft gegeven. Het lijkt absurd, maar het is helaas de werkelijkheid.”
AVG zorgt voor veel bureaucratie
“Om zorgverlening toch mogelijk te maken hebben juristen een administratief monstrum bedacht. De huisarts mag pas kennis nemen van de gegevens van een patiënt nadat de patiënt een schriftelijke verklaring heeft afgegeven aan het ziekenhuis. Deze formulieren komen op een grote stapel te liggen en worden vervolgens handmatig in het systeem ingevoerd. Zo gaat het althans in onze regio. Het invoeren van alle patiënten gaat maanden duren.”
Aanmelden op zorgportaal werkt omslachtig of niet
“Vervolgens moet de huisarts zich met een speciale pas, een zogenaamde UZI-pas, aanmelden bij het zorgportaal van het ziekenhuis.”
”Dat kan niet met elke webbrowser en ook niet met elke computer. Voorlopig is het voor Apple-computers nog niet mogelijk. Pas dan is het mogelijk de gegevens te raadplegen, tenminste als de patiënt een schriftelijke verklaring heeft afgegeven dat hij dat goedkeurt.”
Probleem als patient voor eerste keer in ziekenhuis komt
”Is die verklaring er niet, bijvoorbeeld omdat men verzuimd heeft dit te vragen, of omdat de patiënt nog niet eerder in het ziekenhuis is geweest, dan kun je alsnog niet bij de gegevens.”
“Het kan niet anders dan dat onvoldoende is nagedacht wat de consequenties van deze wet voor de zorg zijn”, schrijft Gimbel. “Desondanks is een speciale instantie in het leven geroepen, de Autoriteit Persoonsgegevens met PvdA’er Aleid Wolfsen aan het hoofd, die scherp toeziet op goede naleving van de regels uit Brussel. Overtredingen worden zwaar bestraft met boetes die kunnen oplopen tot 20 miljoen euro! De schrik zit er daarom goed in bij de zorgverleners.”
AVG houdt geen rekening met belangen patienten
“Bij het invoeren van deze privacywet is de patiënt geheel uit beeld verdwenen. Privacyregels zijn bedoeld om het belang van de burger te beschermen en niet om zijn zorgverlening te blokkeren. Geen patiënt zal tegen de chirurg zeggen dat hij wel zijn gebroken enkel mag repareren, maar niet naar de foto mag kijken.”
Advies van huisarts Gimbel
“Laat een zinloze schriftelijke toestemming achterwege. Het kan alleen maar problemen opleveren, als de verklaring er per ongeluk niet is. We zijn in de zorg al jaren bezig de administratieve rompslomp terug te dringen. Alle politieke partijen staan hierachter. Mondjesmaat leek dat te gaan lukken en nu zijn we met één decreet uit Brussel weer jaren teruggeworpen.”
“De zorgverlener moet nu cursussen gaan volgen hoe hij de gegevens volgens de Brusselse regels moet opbergen, er moeten registers worden aangelegd, overeenkomsten, tientallen pagina’s dik, getekend met allerlei toeleveranciers, met beheerders van de computersystemen, van praktijk- websites, van de telefooncentrale op de praktijk, met de personeelsadministratie enz. De enorme hoeveelheid tijd hieraan besteed gaat ten koste van de zorg aan de patiënt.”
Zonder de zorg uit van deze bureaucratische privacywet
“Iedereen zal het erover eens zijn dat in de zorg de patiënt centraal staat. Dat betekent dat privacyregels het zorgproces niet mogen frustreren. Het zal toch mogelijk moeten zijn Brussel duidelijk te maken dat wat goed is voor Google niet goed hoeft te zijn voor de zorg. Privacy is bovendien van oudsher al goed geregeld in de zorg. Zonder daarom de zorg uit van deze bureaucratische privacywet. De patiënt zal er wel bij varen.”
*) Hans Gimbel is huisarts te Heerhugowaard en lid van de Ledenraad van huisartsenclub LHV. Dit artikel verscheen eerder in de Volkskrant
Privacy Nieuws
Het is tien uur ‘s ochtends. Je ligt in het ziekenhuis op een verpleegzaal met drie andere patienten. Je behandelend specialist maakt samen met de verpleegsters een ronde. Jij krijgt alles mee over de ziekte van je kamergenoten.
Hoe zit het eigenlijk met de AVG op verpleegzalen in ziekenhuizen?
Veel artsen en patienten worstelen met de Algemene Verordening Gegevensbescherming (AVG). Hoe ga je om met privacy in wachtkamers en kamers in ziekenhuizen waar meerdere patienten liggen?
Sommige artsen en patienten denken dat niets meer mag. Artsen laten voor de zekerheid krampachtig patienten een verwerkingsovereenkomst tekenen waarin zij akkoord gaan met het omroepen van hun naam als ze aan de beurt zijn.
Het gaat verder met de samenwerking met andere artsen en eindigt met een overeenkomst over samenwerking met de zorgverzekeraar.
Absurd. Nergens voor nodig.
Om te beginnen is er volgens de AVG geen toestemming vereist voor de omroepen van de naam van patienten die aan de beurt zijn. Het anonimiseren van patienten door nummers te gebruiken is dus niet nodig.
Hoe zit het met privacy op de verpleegzaal met 4 bedden?
Hetzelfde geldt ook voor verpleegzalen met meerdere bedden in het ziekenhuis. Ook hier is het niet nodig om de individuele patiënten (in hun bed) telkens te verplaatsen naar een seperate behandelkamer waar het medische team slechts met één patiënt kan praten.
De samenwerking met andere artsen, laboratoria en zorgverzekeraars kan worden samengevat onder de noemer “ontheffing van de geheimhoudingsplicht”.
In principe vallen alle verwerkingen die nodig zijn om aan het verwerkingscontract te voldoen, onder het verwerkingscontract.
Toestemming is niet vereist!
Diverse andere wetten verlenen artsen ook transmissiebevoegdheden.
De gegevens kunnen ook worden doorgestuurd naar de ziektekostenverzekeraars. Anders zouden ze geen rekeningen kunnen vereffenen met de artsen.
Privacy Nieuws
Het Informatieberaad Zorg, een samenwerking tussen zorgkoepels en het het ministerie van Volksgezondheid Welzijn en Sport (VWS), komt met het project Veilig Mailen in de zorg.
Halverwege 2019 moet er een implementatie-toolkit beschikbaar zijn voor zorgaanbieders en moet er een toetsingskader liggen voor de Autoriteit Persoonsgegevens (AP).
Zorgverleners en patienten mailen onveilig
Zorgverleners en patiënten versturen nu nog vaak via e-mail patiëntinformatie zonder dat die gegevens goed beveiligd zijn.
Het Informatieberaad Zorg ontwikkelt samen met de normcommissie Nen een standaard voor het beveiligen van e-mails met medische gegevens tussen zorgverleners en patiënten, zorgverleners onderling en tussen patiënten en hun omgeving, bijvoorbeeld in het geval van mantelzorg.
Op 10 oktober 2018 is de eerste bijeenkomst bij Nen.
Het doel is om veilig mailen in de zorg sneller te realiseren.
In sommige gevallen moeten zorgorganisaties via de mail patiëntgegevens uitwisselen. Bijvoorbeeld op het moment dat een specialist nog enige vragen heeft over de gezondheid van een verpleeghuisbewoner, die opgenomen is in het ziekenhuis.
Veilige e-mail na consult
Ook komt het regelmatig voor dat een patiënt na een consult bij thuiskomst toch nog een paar vragen heeft voor de behandelaar. Veilige mail kan helpen bij deze vormen van communicatie.
Het plan is om de norm begin 2019 vast te stellen. In de loop van 2019 moet duidelijk zijn in hoeverre bestaande oplossingen van ict-partijen daaraan kunnen voldoen en welke stappen leveranciers moeten zetten om te voldoen aan de norm.
Daarbij is interoperabiliteit ook een belangrijk onderdeel zodat patiënten en zorgverleners de keuzevrijheid hebben om verschillende oplossingen te kiezen.
Privacy Nieuws
Ieder najaar orienteren vele Nederlanders zich op de mogelijkheid om geld te besparen met een nieuwe zorgverzekering. Dit jaar moeten we daarbij oppassen voor misleiding door cybercriminelen die het voorzien hebben op onze persoonsgegevens, meldt de Stichting Internet Domeinregistratie Nederland (SIDN).
Cybercriminelen blijken zich al maanden grondig voor te bereiden op de najaarscampagne van de zorgverzekeraars.
Meer dan 450 phishingsites ontdekt
Uit een analyse van SIDN blijkt dat er al meer dan 450 phishingsites zijn opgezet met een domeinnaam die misbruik maakt van de naam van een zorgverzekeraar.
Traditioneel oriënteren veel Nederlanders zich op een nieuwe zorgverzekering nadat het kabinet tijdens Prinsjesdag haar plannen met betrekking tot zorgverzekeringen bekendmaakt.
Zorggegevens zijn erg populair
“We zien vaker dat internetcriminelen inspelen op actualiteiten of de introductie van nieuwe tools of diensten. Bij zorgverzekeringen is dat niet anders. Daarom is het zaak dat zorgverzekeraars alert zijn in de drukke periode na Prinsjesdag,” zegt Roelof Meijer, algemeen directeur van SIDN.
“Zorggegevens zijn erg populair en op de zwarte markt zelfs meer waard dan creditcardgegevens, omdat ze gebruikt kunnen worden om onterecht zorgkosten te declareren.”
Typodomeinnamen voor malafide websites
Bij de malafide websites wordt gebruikgemaakt van zogeheten typodomeinnamen. Dit zijn domeinnamen die sterk lijken op de naam van een bedrijf of merk, maar dan met één of meer tikfouten. Deze praktijk staat bekend als typosquatting.
Bezoekers die een tikfout maken tijdens het invoeren van de website komen vervolgens op een malafide site uit.
Cybercriminelen adverteren op Google bewust met tikfouten
Daarnaast zetten cybercriminelen deze domeinnamen ook steeds vaker in om te adverteren op belangrijke zoekwoorden in Google met betrekking tot het onderwerp.
Een bekend voorbeeld hiervan is dat in de domeinnaam de letter ‘o’ geschreven wordt als het getal nul. Hierdoor valt het de bezoeker minder snel op dat de domeinnaam niet klopt.
Analyse merknamen zorgverzekeraars
SIDN heeft de merknamen van alle Nederlandse zorgverzekeraars laten scannen met behulp van de Domeinnaambewakingsservice (DBS) om alle .nl-domeinnamen in beeld te brengen die lijken op deze merknamen of de merknaam bevat.
Dit leverde ruim 14.500 domeinnamen op. Vervolgens zijn deze domeinnamen geclassificeerd door geautomatiseerd een aantal elementen te analyseren.
De uiteindelijke classificatie die hieruit voortkomt, is geen 100% garantie maar wel een sterke indicatie.
Univezorgzaam.nl is een phishingsite
Ruim de helft van deze domeinnamen wordt gekwalificeerd als ‘Normale site’.
In 3% van de gevallen (451 domeinnamen) lijkt het te gaan om phishingsites. Een voorbeeld hiervan is de domeinnaam univezorgzaam.nl.
Geen zorgverzekering, maar een onveilige browser
Deze domeinnaam leidt niet naar een website of app van Univé, maar naar appsware.com en een scherm waar de bezoeker aangemoedigd wordt een ‘veilige browser’ te installeren.
Deze bevat malware die in praktijk erg moeilijk te verwijderen is.
De merknaam van Univé wordt hier dus misbruikt om malware te verspreiden.
De procedure om deze website offline te halen is inmiddels opgestart.
Privacy Nieuws
Ongeveer 25 procent van de ziekenhuizen en zorgverzekeraars voldoet volgens de Autoriteit Persoonsgegevens (AP) nog niet aan de Algemene Verordening Persoonsgegevens. Zij hebben onvoldoende verplichte informatie op de website staan en moeten dit aanpassen.
De Autoriteit Persoonsgegevens heeft bij 91 ziekenhuizen en 33 zorgverzekeraars gecontroleerd of zij een Functionaris Gegevensbescherming (FG) in dienst hebben.
Twee ziekenhuizen bleken niet aan die verplichting die is vastgelegd in de Algemene Verordening Persoonsgegevens te voldoen.
De twee ziekenhuizen zonder FG hebben vier weken de tijd gekregen om hier iemand voor aan te nemen.
Verplichte publicatie contactgegevens FG
Ziekenhuizen en zorgverzekeraars zijn ook verplicht om de contactgegevens van hun AP op de website te publiceren.
In de nieuwe privacywet staat vastgelegd dat een ieder die dat wil, gemakkelijk contact moet kunnen opnemen met de FG van een organisatie.
17 ziekenhuizen en 2 zorgverzekeraars
Zeventien ziekenhuizen en twee zorgverzekeraars hadden deze contactgegevens niet op hun website staan.
In andere gevallen ontbrak een direct e-mailadres of doorkiesnummer.
Sinds de invoering van de privacywet AVG (Algemene verordering gegevensbescherming) op 25 mei 2018 is het de taak van de Autoriteit Persoonsgegevens om de naleving ervan te controleren.
AVG controle overheid
Al eerder werden overheidsorganisaties gecontroleerd op de aanwezigheid van een Functionaris Gegevensbescherming.
Overigens hoeft niet iedere medische organisatie een FG aan te stellen. Huisartspraktijken zijn bijvoorbeeld niet verplicht om dit te doen, omdat zij niet op grootschalig niveau medische gegevens verwerken.
Privacy Nieuws
Minister Hugo de Jonge (CDA) van Zorg heeft een wetsvoorstel ingediend om zorgfraude te bestrijden, maar daarvoor moeten wel medische gegevens van patiënten gedeeld worden met onder meer gemeenten en de Belastingdienst. Artsen zijn daar mordicus op tegen.
Aantasting van het medisch beroepsgeheim en aantasting van de privacy van de patiënt.
“Wij denken dat het een aantasting van het medisch beroepsgeheim is, en een aantasting van de privacy van de patiënt”, zegt voorzitter René Heman van de Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst (KNMG). Dit is een federatie van beroepsverenigingen van artsen die de belangen van artsen in Nederland behartigt.
Artsen zijn nu al verplicht beperkte medische gegevens van hun patiënten door te geven aan zorgverzekeraars. Het nieuwe voorstel geeft aan dat die gegevens ook weer met derden gedeeld kunnen worden. “Dat vinden wij geen goede zaak”, zegt Heman.
De gemeenten, de zorgverzekeraars, de zorgaanbieders, de FIOD, de Inspectie gezondheidszorg (IGZ), de Inspectie SZW, de belastingdienst, de zorgautoriteit NZA en de Sociale Verzekeringsbank worden straks verplicht om op verzoek (medische) gegevens aan te leveren aan een centraal informatiepunt.
Dit zogeheten Informatie Knooppunt Zorg (IKZ) zal op basis van een vermoeden van fraude bij de deelnemende organisaties relevante gegevens opvragen om dit vermoeden verder te onderzoeken.
Zodra het knooppunt een conclusie heeft getrokken wordt dit teruggekoppeld aan de deelnemende partijen, zodat deze daar vervolgens actie op kunnen ondernemen bij het bestrijden van fraude.
Het knooppunt gaat ook statistische rapportage en trendanalyses over fraude in de gemeentelijke zorg maken.
Bevechten van beroepsgeheim als principe
“Het bevechten van de grenzen van het beroepsgeheim blijft belangrijk, een principieel punt”, zegt huisarts Toosje Valkenburg uit De Bilt. Ondanks dat is Valkenburg niet tegen de intenties achter het plan. “Je gaat niemand vinden die zegt: wat een ontzettend goed idee, die fraude. Maar deze maatregel is niet proportioneel.”
Alternatieven voor wet
Heman geeft aan niet te snappen waarom er geen alternatieven worden gebruikt, in plaats van deze nieuwe wet. “We hebben twee jaar geleden een convenant gesloten over de inzet van onafhankelijke artsen. Zij maken van in beslag genomen gegevens een verslag, dat anonimiseren ze en dat gaat naar de overheidsinstellingen.”
Met dit plan is echter nog nooit iets gedaan. “Sinds 1 januari 2017 zijn zij in de lucht, maar ze zijn nog nooit ingezet door het Openbaar Ministerie.”
Privacy Nieuws
De Britse Autoriteit Persoonsgegevens ICO meldt in zijn jaarverslag een recordaantal meldingen van datalekken te hebben ontvangen van getroffen organisaties.
Het aantal datalekken dat door organisaties zelf is gemeld is met 29% gestegen van 2 447 in 2017 naar 3 156 in 2018.
Op grond van het GDPR zijn organisaties verplicht ernstige datalekken te melden bij de toezichthouder.
In juni, na de inwerkingtreding van het GDPR, ontving het ICO 1 700 kennisgevingen, een sterke stijging in vergelijking met de vorige niveaus (ongeveer 360-390 kennisgevingen van inbreuken per maand).
De sector die het grootste aantal inbreuken meldde, was de gezondheidszorg, die volgens het vandaag gepubliceerde jaarverslag van het ICO 37% van alle gevallen uitmaakt.
Het ICO exploiteert een telefoonlijn voor het melden van datalekken. De telefoonlijnen werken van maandag tot vrijdag van 21.00 tot 17.00 uur.
Organisaties kunnen ook gebruik maken van een online formulier dat beschikbaar is op de ICO-website.
Ze kunnen ook hun eigen formulieren gebruiken, maar het ICO moedigt het gebruik van het ICO-formulier aan om ervoor te zorgen dat alle nodige informatie wordt verzonden.
Het ICO zegt dat ze niet willen dat organisaties kleine incidenten melden. Het is de bedoeling dat elk verslag in behandeling wordt genomen op de dag dat het wordt ontvangen of zeer snel daarna.
Ook cyberincidenten maken deel uit van de toename van het aantal meldingen, dit jaar 361.
Je kunt het ICO-jaarverslag hier downloaden.
Privacy Nieuws
Niet alleen de Autoriteit Persoonsgegevens, maar ook de Nationale ombudsman doet onderzoek naar de verwerking van persoonsgegevens.
De ombudsman heeft bekendgemaakt een onderzoek te zijn begonnen naar de manier waarop de overheid om gaat met persoonsgegevens van burgers.
De focus van de Nationale Ombudsman ligt op de zogeheten ketenoverleggen tussen verschillende overheidsinstanties waarin gegevens van burgers worden gedeeld.
Aanvragen zorg
Het gaat bijvoorbeeld om gemeenten die burgers helpen bij een vraag om zorg of ondersteuning.
Wat mogen burgers van de overheid verwachten?
De vraag die in dit onderzoek centraal staat is: Wat mogen burgers van de overheid verwachten als het gaat om het bieden van maatwerk en dienstverlening in relatie tot het waarborgen en respecteren van de privacy?
Ketenoverleg ten behoeve van het oplossen of voorkomen van problemen voor de burger en het bieden van maatwerk, vindt de ombudsman een goede ontwikkeling.
Maar hij vindt het ook van belang dat het burgerperspectief binnen het ketenoverleg gewaarborgd is en dat de burger in kwestie betrokken is bij wat er met zijn of haar gegevens gebeurt.
Over het onderzoek
Dit onderzoek uit eigen beweging maakt deel uit van het onderzoeksprogramma van de Nationale ombudsman.
De ombudsman gaat voor het onderzoek in gesprek met burgers wiens gegevens binnen overheidsketens worden gedeeld.
Ook praat hij met overheidsinstanties die onderdeel uitmaken van ketenoverleggen. De ombudsman verwacht zijn onderzoek in december 2018 af te ronden.
