AP: UWV liet gevoelige persoonsgegevens beheren door onbevoegden

De Autoriteit Persoonsgegevens heeft in een eigen onderzoek geconstateerd dat het UWV in strijd met de privacywetgeving heeft gehandeld door onder andere onbevoegde medewerkers gezondheidsgegevens van mensen te laten verwerken.

Het gaat specifiek om medewerkers van de afdeling verzuimbeheersing, die toezien op ziekmeldingen in het kader van Ziektewetuitkering. Zij vragen aan werknemers die zich ziek hebben gemeld om gegevens over hun gezondheid te delen, zodat de vraag om een uitkering kan worden beoordeeld. Daarbij is standaard geen (verzekerings)arts aanwezig, terwijl dat volgens de toezichthouder op grond van de wet wel had gemoeten.

Uit het onderzoek blijkt dat uitkeringsinstantie UWV onder andere de persoonsgegevens laat verwerken door verzuimbeheermedewerkers, zodat de controletaak goed kan worden uitgevoerd en er sprake is van een doelmatige inzet van schaarse middelen. Deze redenen zijn volgens de toezichthouder echter onvoldoende om te gelden als gerechtvaardigde uitzondering op de hoofdregel dat dergelijke persoonsgegevens over iemands gezondheid niet mogen worden verwerkt.

Het UWV heeft gezegd zijn werkwijze aan te passen, zodat deze overtreding van de Wet bescherming persoonsgegevens niet meer zal voorkomen. De medewerkers verzuimbeheersing gaan werken onder supervisie van een verzekeringsarts, zodat deze arts verantwoordelijk wordt voor de verwerking van gezondheidsgegevens. De Autoriteit Persoonsgegevens gaat nu nog niet over tot handhaving, maar is dat wel van plan als de overtreding blijft voortduren. Eventueel kan de toezichthouder dan overgaan tot het opleggen van een boete.

Ook heeft de Autoriteit Persoonsgegevens vastgesteld dat er bij het werkgeversportaal van het UWV, waar werkgevers en arbodiensten ziekteverzuimgegevens van werknemers invoeren en bekijken, geen sprake is van een goede beveiliging. De AP vindt dat two-factorauthenticatie hier verplicht is, omdat het gaat om gevoelige gegevens. Omdat geen gebruik werd gemaakt van deze beveiliging, handelt het UWV volgens de AP in strijd met de wet. Het UWV komt vanaf mei 2018 wel met two-factorauthenticatie voor het portaal. De genomen maatregelen om tot die tijd de beveiliging sterker te maken dan enkel het gebruik van een loginnaam en wachtwoord, zijn volgens de toezichthouder echter onvoldoende. Het UWV heeft gezegd de beveiliging te verbeteren, al is niet duidelijk op welke manier dat gebeurt.

IT-banen

Reacties (60)

ChAiNsAwII 14 november 2017 17:02

Dit is precies de reden dat niet alles digitaal vastgelegd hoeft te worden, de beveiling is prut zal ook nog heel lang prut blijven... Sla het gewoon op in een map, als ze ooooooit een verdachte oppakken kunnen ze die ene map pakken en klaar, en niet al onze gegevens te grabbel gooien voor de rest vd wereld...

[Reactie gewijzigd door ChAiNsAwII op 27 juli 2024 07:21]

Verwijderd @ChAiNsAwII • 14 november 2017 19:09

Dit is precies de reden dat niet alles digitaal vastgelegd hoeft te worden, de beveiling is prut zal ook nog heel lang prut blijven...

Uh je snapt dat het hier niet over beveiliging gaat maar over een procedure? Er is geen data gelekt, er was geen hack.

Informatie waarvan de wet zegt dat die alleen door een arts ingezien mag worden word nu door andere medewerkers behandelt (die overigens ook een geheimhoudingsplicht hebben). Om het bruut te zeggen, als jij je ziek meld omdat je je enkel verstuikt hebt, mag de UWV medewerker dat officieel niet weten.

De enige manier om dat volledig op te lossen is door vrijwel alle medewerkers door artsen te vervangen. probeer maar eens artsen te vinden die de hele dag data zitten in te typen. En probeer die maar eens te krijgen voor 1500 euro per maand. De logische (en legale) oplossing is dus om de verantwoordelijkheid van die medewerkers direct bij een arts te leggen.

Storm in een glas water. Zoals zo vaak opgeklopt door tweakers.

SPT @Verwijderd • 14 november 2017 22:44

Ik heb het rapport van de Autoriteit Persoonsgegevens net even gelezen, en wat ik nogal opvallend vond is dat deze casus eigenlijk heel weinig te maken heeft met privacy of privacy-wetgeving, maar vooral een medische kwestie is. De 'onbevoegde' medewerkers die met de genoemde informatie werkten hadden precies dezelfde informatie vanuit privacy oogpunt dus best mogen verwerken. Alleen het probleem is dat het hier gaat om de beslissing of de aanvrager van een uitkering wel of niet in staat is om te werken. Als dat niet het geval is, is er recht op een uitkering. De AP concludeert vervolgens dat dit een medische beslissing betreft, die op grond van wetgeving op dat gebied alleen mag worden genomen door een arts. Waarbij de AP er vervolgens zelf al op wijst dat die arts de dossiers niet zelf hoeft te behandelen, maar dit ook mag delegeren naar Arbo-medewerkers (die de eenvoudige gevallen vervolgens op basis van standaardregels kunnen beoordelen).

In de privacy-wetgeving staat vervolgens een algemeen wetsartikel, dat stelt dat het verboden is om gegevens over de gezondheid van mensen te verwerken, tenzij er volgens een aantal criteria een gerechtvaardigd belang is. In dit geval wordt de informatie gebruikt om een beslissing te nemen die in verband met medische redenen alleen onder (formele) supervisie van een arts mag worden genomen, en aangezien dat bij het UWV niet het geval was concludeert de AP dat er dan dus nooit een gerechtvaardigd belang kan zijn. Met privacy heeft dit dus weinig te maken.

PrivatePerson @SPT • 15 november 2017 13:20

Deze casus heeft juist alles te maken met de verwerking van persoonsgegevens en de rechtmatigheid daarvan. De verwerking van (alle) gezondheidsgegevens is op grond van artikel 16 (Wbp) verboden, tenzij er sprake is van een uitzonderingsgrond.

Op grond van artikel, 21, eerste lid, sub f, onder 1, Wbp mogen bestuursorganen gegevens verwerken over iemands gezondheid wanneer dat noodzakelijk is voor een goede uitvoering van wettelijke voorschriften die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene. (citaat AP). UWV mag de gezondheidsgegeven niet verwerken voor een ander doel dan een goede uitvoering van de wettelijke voorschriften.

Vervolgens stelt de AP op grond van art 19 (ZW), art 19 (Wet BIG), art 7:446 tweede lid, BW en de jurisprudentie, dat het de specifieke deskundigheid van een verzekerings[i]arts[i] is, om de beperkingen van een betrokkene voor het verrichten van arbeid te beoordelen. Omdat dit niet het geval is bij een verzuimmedewerker, die niet aan een verzekeringsarts rapporteert, voldoet UWV (volgens AP) niet aan de uitzondering van artikel, 21, eerste lid, sub f, onder 1, Wbp en is deze verwerking ( van persoonsgegevens) dus verboden!

UWV kan volgens AP, dus alleen een beroep op de uitzonderinggrond uit de Wbp, als alle verwerkingen van gezondheidsgegevens plaats vinden onder verantwoordelijkheid van de verzekeringsarts. Dit geldt met nadruk niet alleen voor de beslissing of iemand wel of niet ziek is maar voor alle verwerkingen van gezondheidsgegens door UWV. Dit is van belang want het betekent dat UWV de gegevens alleen mag gebruiken voor de wettelijke doelen bedoeld in art 20 (Wbp) en dat de gegevens ook niet mogen worden verwerkt door andere afdelingen van UWV, die niet onder de verantwoordelijkheid van verzekeringsarts vallen.

Eskimo0O0o @SPT • 15 november 2017 11:51

Ik ben blij dat je het rapport gelezen hebt en een en ander toelicht. Er circuleert hier in de reacties onwijs veel misinformatie en halve waarheden, waarbij mensen gewoon opschrijven hoe zij denken dat het werkt of ooit iets gehoord hebben.

Ik zal voor de volledigheid ook nog het volgende toevoegen:

1) Gezondheidsgegevens (medische gegevens) zijn bijzondere persoonsgegevens die alleen verwerkt mogen worden in bepaalde gevallen en door bevoegde mensen met waarborging door de juiste procedures.

Mag het UWV deze gegevens überhaupt verwerken?
Ja. De Ziektewet is in de regel een uitkering voor mensen zónder werkgever (meestal zieke mensen in de WW, mensen die ziek uit dienst gaan of zieke uitzendkrachten). Het criterium voor deze uitkering is het gegeven dat mensen arbeidsongeschikt (voor hun eigen werk) zijn als gevolg van ziekte of gebrek. Om de rechtmatigheid* van deze uitkering te kunnen toetsen is het dus voor het UWV onvermijdelijk dat zij op enig moment inzage krijgen in de medische informatie. Iedereen kan wel zéggen dat ze niet kunnen werken door ziekte, maar wie moet kunnen controleren of dit ook écht zo is? Juist, de verzekeringsarts.

* het lijkt mij toch vrij logisch dat deze enorme hoeveelheid geld aan uitkeringen alleen aan die groep mensen wordt verstrekt waarvoor het ook bedoeld is, en dat misbruik en fraude zoveel mogelijk wordt tegengegaan.

Waarom hadden deze medewerkers toegang tot medische gegevens?
Dit is niet helemaal waar. Deze medewerkers hebben geen toegang tot het medisch dossier. Wat er mis ging is dat zij zélf naar medische gegevens gingen vragen, dit ergens noteerden en op die manier dus zelf medische gegevens aan het verwerken waren (waar zij hiertoe niet bevoegd waren en dit bovendien op de verkeerde wijze deden, want niet in het aparte medische dossier). Ook gebeurt het dat mensen spontaan zelf een en ander vertellen aan deze medewerkers (want veel mensen voelen dat ze niets te verbergen hebben natuurlijk en vinden het niet erg om te vertellen dat ze hun been gebroken hebben, een darmoperatie moeten ondergaan of dat er kanker gediagnosticeerd is). Wat de medewerker in zulke gevallen moet doen is deze informatie negeren en in elk geval niet noteren. Een gebrek aan instructie of training lijkt hier in ieder geval een rol hebben gespeeld.

Ligt de privacy van mensen op straat?
In principe niet. Het medisch dossier is nog steeds afgeschermd, ook zijn er geen aanwijzingen dat gegevens van het niet-medische deel (met hierin dus kennelijk wel degelijk medische informatie) toegankelijk was voor onbevoegden. Bedenk je wel dat ook al deze andere informatie ontzettend gevoelig kan zijn (want er blijkt al uit dat je überhaupt een uitkering ontvangt, hoe hoog deze uitkering is, hoe lang je hier recht op hebt, wat je in het verleden verdiend hebt, etc, etc). Voor de goede orde: de beveiliging van alle datasystemen van UWV is niet onderwerp van dit artikel (ik wil niet zeggen dat de beveiliging op orde is, alleen dat de beveiliging off-topic is).

2) Falconhunter stelt hierboven:
De enige manier om dat volledig op te lossen is door vrijwel alle medewerkers door artsen te vervangen.
Dat is niet waar. Er zijn meerdere manieren om dit probleem op te lossen. De meest logische is natuurlijk om de betrokken medewerkers beter te instrueren (welke dingen mag je niet vragen of noteren en welke wél?)

3) Het UWV stelt: De medewerkers verzuimbeheersing gaan werken onder supervisie van een verzekeringsarts, zodat deze arts verantwoordelijk wordt voor de verwerking van gezondheidsgegevens.
Dit lijkt op snelle damage control, maar vergeet niet dat de artsen zelf hier ook akkoord mee moeten kunnen gaan (want hun artsenregistratie en carrière staat op het spel, niet die van hun managers of de andere medewerkers). Of deze toezegging daadwerkelijk gerealiseerd kan worden is nog maar de vraag, aangezien dit een aanzienlijke tijdsinvestering van de arts vergt (die zij vervolgens niet aan andere activiteiten kunnen besteden) en er al een chronisch tekort is aan artsencapaciteit bij het UWV. Gelukkig zijn er in de tussentijd ook andere oplossingen (namelijk, die medewerkers beter instrueren). Er is geen absolute strikte noodzaak dat de medewerker al medische gegevens verwerkt in het tijdsbestek tussen ziekmelding en het eerste contact met een verzekeringsarts. Vergelijk dit met de situatie van een "normale" zieke werknemer. De werkgever heeft in de periode tussen ziekmelding en het eerste contact met de bedrijfsarts (doorgaans zes weken) ook geen weet van de ziekte zelf en of de ziekmelding terecht is. Ook in deze situatie gebeurt het vrij vaak dat de werkgever tóch weet wat er medisch aan de hand is (of doordat de werknemer dit spontaan zelf verteld, of dat de werkgever hier naar vraagt (wat hij dus strikt genomen ook niet mag).

edit:
4) Meer informatie over de relevante onderwerpen:
Rijksoverheid: wanneer kom ik in aanmerking voor de ziektewet?
Authoriteit persoonsgegevens: Zieke werknemers
Trouw: Werkachterstanden UWV lopen verder op

[Reactie gewijzigd door Eskimo0O0o op 27 juli 2024 07:21]

PrivatePerson @Eskimo0O0o • 15 november 2017 14:34

Eskimo0O0o en ik hebben onze reacties parallel geschreven geloof ik. We zijn het grotendeels met elkaar eens maar ik heb nog een paar kleine nuanceringen. De AP heeft het niet over medische gegevens maar over gezondheidsgegevens. Dit onderscheid is van belang, omdat gezondheidsgegevens alles omvat wat met gezondheid te maken heeft, terwijl het medische dossier zich veel meer beperkt tot diagnose en behandeling. Het begrip gezondheidsgegevens omvat bijvoorbeeld ook zaken als recente ziekmeldingen, of iemand rookt of juist veel sport.

De verzuimmedewerkers onder verantwoordelijkheid van een verzekeringsarts brengen, is meer dan een lapmiddel van het UWV. De AP stelt dat immmers dat de uitzondering op het verwerkingsverbod alleen geldt als de verwerking plaatsvindt onder verantwoordelijkheid van een arts. UWV heeft daarin, naar het oordeel van AP, dus geen enkele keus.

Eskimo0O0o @PrivatePerson • 15 november 2017 15:24

"Het begrip gezondheidsgegevens omvat bijvoorbeeld ook zaken als recente ziekmeldingen, of iemand rookt of juist veel sport."
Dit belandt precies daarom normaal gesproken in het medisch dossier. De arts is de enige voor wie deze gegevens relevant kunnen zijn.

UWV heeft daarin, naar het oordeel van AP, dus geen enkele keus.
Jawel, gewoon voorkomen dat de verzuimmedewerkers überhaupt met deze gegevens werken. Is nergens voor nodig.

PrivatePerson @Eskimo0O0o • 15 november 2017 16:00

De AP ziet de verzuimmelding zelf ook al als een gezondheidsgegeven, dat het UWV dus alleen onder de verantwoordelijkheid van een verzekeringsarts mag verwerken. Als je wil voorkomen dat verzuimmedewerkers verzuimmeldingen verwerken, dan zijn het eigenlijk geen verzuimmedewerkers meer...

TheekAzzaBreek @Verwijderd • 14 november 2017 19:49

Ze lossen het nu op door diezelfde medewerkers een verzekeringsarts als chef te geven. Dan doen die zelfde medewerkers hetzelfde werk, maar nu onder verantwoordelijkheid van die arts. Ik vraag me af of dat praktisch wat uit maakt.

supersnathan94 @TheekAzzaBreek • 14 november 2017 21:58

Ja dat maakt heel veel uit aangezien die arts heel goed weet wat wel en niet mag qua data inzien en gebruiken. Hier zal hij dan ook goed op toezien.

Zo’n medewerker zet voor zichzel niets op het spel, maar een arts kan zijn licentie verliezen en dus nergens meer werken (wel ironisch dattie dan met dezelfde vaart gewoon bij het UWV door kan blijven gaan).

In dat opzicht is dit dus wel een verandering in de werkwijze. Waar we er eerst maar vanuit moesten gaan is er nu ook daadwerkelijk een “stakeholder” voor het goed behandelen van de data.

rik86 @TheekAzzaBreek • 15 november 2017 13:31

Ja, want die arts kan alleen z'n werk uitvoeren omdat hij geregistreerd staat in 't BIG-register, wat betekent dat hij voor het medisch tuchtcollege gesleept kan worden als er dingen fout gaan. Dus ook als het medisch tuchtgeheim geschonden wordt.

Dus nu is er iemand verantwoordelijk voor die er een direct persoonlijk belang bij heeft dat het goed gaat. Je bent namelijk niet alleen je baan kwijt, maar je kunt hem ook niet meer ergens anders uitoefenen.

WillySis

Autoriteit Persoonsgegevens
Privacy

@Verwijderd • 15 november 2017 00:16

Het bericht van Tweakers lijkt waat opgeklopt, maar er is zeker wat mis.
Medische gegevens mogen niet door jan en alleman worden ingezien. De mensen die dat wel mogen hoeven niet direct arts te zijn. Nu is het echter zo dat er ook (tijdelijke) medewerkers worden ingezet die niet op de hoogte zijn van de privacy regels en ook geen beroepscode kennen. Soms worden hierdoor ziektes en aandoeningen genoteerd terwijl dat niet moet. Voor een ziekmelding mag de werkgever of uitkeringsverstrekker de ziekte niet noteren. Pas bij een uitkering vanwege ziekte of handicap is dat wel relevant. Wanneer iemand een uitkering heeft moet die ervan uit kunnen gaan dat een (potentiële) werkgever op de hoogte wordt gebracht van de medische situatie.

TweakTwitch @ChAiNsAwII • 14 november 2017 23:20

Zeker weten, hebzucht maakt ons allemaal kapot..

Opperpanter2 @ChAiNsAwII • 14 november 2017 20:11

Ja want papier kan je niet kopiëren

ChAiNsAwII @Opperpanter2 • 14 november 2017 21:10

Jawel maar ff 17 mil papieren dossiers kopieren is iets lastiger dan data kopieren.

thomasansems @ChAiNsAwII • 14 november 2017 17:33

Er bestaat ook zoiets als digitaal wegzetten van gevoelige data die niet verbonden is met een online
netwerk.

McRegt 14 november 2017 16:41

begintmeta @McRegt • 14 november 2017 17:32

Een relevant verschil is wellicht dat een arts, en afgeleid de medewerkers, dan in principe aan het medisch beroepsgeheim gebonden zijn (en daardoor ook verschoningsrecht hebben), als de niet-artsen het zelfstandig doen is dat niet het geval.

Dat beroepsgeheim staat zeker in de sociale zekerheid onder druk, omdat het nu eenmaal de patiënt (en eventueel ook de arts) minder controleerbaar maakt.

[Reactie gewijzigd door begintmeta op 27 juli 2024 07:21]

Sergelwd @begintmeta • 14 november 2017 17:42

"Dat beroepsgeheim staat zeker in de sociale zekerheid onder druk, omdat het nu eenmaal de patiënt (en eventueel ook de arts) minder controleerbaar maakt. "

De patient heeft niets te maken met het beroepsgeheim van de arts hoor, dus in welke zin je dat als belemmering voor de controleerbaarheid van de arts ziet mag Joost weten.

Ayporos @Sergelwd • 14 november 2017 18:37

Het mooiste aan dit hele verhaal is in der daad dat er totaal niks verandert.

Het enige wat er gaat gebeuren is dat deze mensen die nu al al jou medische gegevens 'verwerken' dit gewoon blijven doen, maar dat ze een nieuwe/extra supervisor toegewezen krijgen die dan dus arts is.
Deze zal hoogst waarschijnlijk zeer weinig betrokken zijn bij de verwerking en enkel op papier leidinggevend/verantwoordelijk zijn.

begintmeta @Ayporos • 14 november 2017 20:40

Ik denk dat het in zoverre uit zou kunnen maken dat de betreffende medewerkers met een (afgeleid) medisch beroepsgeheim te maken krijgen door deze constructie.

BStorm @Ayporos • 14 november 2017 18:50

Exact!

Een f*cking schande is het

Als dit soort mensenrechten nu voor zéér korte duur geofferd werden om in een direct volgend vervolgstadium die de facto schending in te zetten als onderhandelpunt dat gehonoreerd moét worden (dus een ultimatum voor wat betreft bekostiging van operatie -binnen- de grenzen van de wet, met als consequentie bij een nee dat de weigeraar politiek verantwoordelijk wordt gemaakt.), dan was er nog een doel bij gediend. Één die nog uitgelegd kon worden als iets dat de middelen (het onvrijwillige en massale offer van het mensenrecht en de er uit voortvloeiende individuele schadegevallen) heiligde..

Maar nee; dit is gewoon een ordinaire sellout

TWyk @BStorm • 14 november 2017 21:02

Het is gewoon een taak van het UWV om die gegevens te verwerken.
Alternatief zou deze taak alleen door verzekeringsartsen gedaan moeten worden wat onnodig miljoenen extra zou kosten als de verzekeringsartsen al niet meteen in staking zouden gaan omdat ze niet nodeloos met deze administratie belast zouden willen worden.

BStorm @TWyk • 14 november 2017 22:38

Enkel onnodig indien je klakkeloos akkoord gaat dat dan de wet aan de laars gelapt wordt. Wat het UWV dus wèl gedaan heeft, en dat geeft het UWV volgens het artikel zelf ook toe:

Het UWV heeft gezegd zijn werkwijze aan te passen, zodat deze overtreding van de Wet bescherming persoonsgegevens niet meer zal voorkomen.

Daarbij, taak of geen taak: Als.het.niet.mag.dan.mag.het.niet. > N.B: Uit het artikel:

Deze redenen zijn volgens de toezichthouder echter onvoldoende om te gelden als gerechtvaardigde uitzondering op de hoofdregel dat dergelijke persoonsgegevens over iemands gezondheid niet mogen worden verwerkt.

Voor wat betreft budgettering: De Nederlandse Wet is er vrij duidelijk over; De wet overtreden mag niet >> Of het nu miljoenen of miljarden kost, aan de wet houden zul je je. En dit geldt óók voor het UWV.

[Wat volgt is mening, zoveel als mogelijk gebaseerd op feiten]
En ik zou zelfs zover willen gaan te zeggen dat dit zéker voor het UWV geldt; zij (het UWV) is een orgaan dat afstraalt op het blazoen van de vigerende en verantwoordelijke politiek respectievelijk politici. Dat zo'n gekend instituut in interactie met zóveel burgers de wet aan de laars lapt.. dat is een PR debacle en zou zéér serieus moeten worden genomen. De Nederlandse overheid zet zichzelf echt flink in het hemd (te kijk) als ze hier niet snel en adequaat op acteert.

De overheid is namelijk verantwoordelijk voor handhaving van deze wet, in zoverre dat:
De Authoriteit Persoonsgegevens (AP; de uitvoerend handhaver) direct verantwoordelijkheid aflegt aan (dus in grote lijn in opdracht werkt van) de minister van Veiligheid en Justitie (-momenteel is dat Ferdinand Grapperhaus, christelijk/CDA-).

Nu is het AP wel een ZBO (zelfstandig bestuursorgaan), en in het kader van Europese Privacy wetgeving is deze extra zelfstandig. Dus zèlfs als Ferdinand Grapperhaus er een potje van probeert te maken, dan nog moet het AP optreden.

Daarom ook dat budget geclaimd kan worden; faalt de Authoriteit Persoonsgegevens, dan faalt zij namens (uit naam van) minister van Veiligheid en Justitie Ferdinand Grapperhaus. En hij màg het AP helemaal niet laten falen omdat EU recht voorschrijft dat mensenrechten nu echt gehandhaafd moeten worden.

Wel nu.. snel is relatief en er lijkt aan voldaan te worden, maar de adequaatheid van de afgekondigde maatregel wordt op z'n zachtst gezegd lauw ontvangen hier op tweakers. En zo raakt het kersverse kabinet in samenwerking met de AP dus al heel wat punten (aanzien) kwijt.

[Reactie gewijzigd door BStorm op 27 juli 2024 07:21]

TheMak @TWyk • 14 november 2017 22:39

De noodzakelijke administratie is gewoon de ziekmelding te noteren. Of het komt door een gebroken been, hartinfarct, of liefdesverdriet is niet zo relevant voor de bedrijfsvoering. Voor de medische toetsing zijn er de verzekeringsartsen. Een afdeling verzuimbeheersing is gewoon een taak die UWV voor zichzelf bedacht heeft en niet iets dat moet gebeuren.

Stinky9 @Ayporos • 15 november 2017 10:29

Precies. Mijn uitgebreide ervaring in het bedrijfsleven leert mij, dat het dan op papier geregeld is en de papieren tijgers of theoretische procedure neukers - of hoe je ze ook noemen wilt - tevreden zullen zijn, maar dat er in de praktijk geen fuck verandert.

Vooruitlopend op de zaken. Het gaat een keer verkeerd en de verantwoordelijke arts voelt zich niet verantwoordelijk. “Ja, maar. Dat heb ik niet gedaan!” of “Dat wist ik niet!”. L’histoire se répète...

CivLord

@Ayporos • 16 november 2017 08:30

Het mooiste aan dit hele verhaal is in der daad dat er totaal niks verandert.

Het enige wat er gaat gebeuren is dat deze mensen die nu al al jou medische gegevens 'verwerken' dit gewoon blijven doen, maar dat ze een nieuwe/extra supervisor toegewezen krijgen die dan dus arts is.
Deze zal hoogst waarschijnlijk zeer weinig betrokken zijn bij de verwerking en enkel op papier leidinggevend/verantwoordelijk zijn.

En wou je al dat inklopwerk door afgestudeerde verzekeringsartsen laten doen?
Ten eerste zal je weinig artsen kunnen vinden die bereid zijn dat werk te doen en ten tweede zal dat de uitvoeringskosten enorm verhogen (die artsen zullen een flink hoger salaris hebben dan degenen die het werk nu doen). Dit is de enige in de praktijk werkbare oplossing.

Ayporos @CivLord • 16 november 2017 18:41

Dat klopt, daar heb je totaal gelijk in.

Mijn punt was ook niet zo zeer dat ik wilde dat artsen deze 'simpele' taken gingen uitvoeren maar meer dat het, als we eerlijk zijn, niet zo bijster veel uitmaakt.

Je ziet dit bij elk bedrijf hoor.. Hazmat (Harzardous Materials) is ook zo'n pijnpuntje voor menig bedrijf.
Het is, net zoals IT tot voor enkele jaren geleden (en jammergenoeg nog steeds soms) iets waar managers zich niet graag druk over maken en vooral niet al te veel tijd, geld en moeite in willen stoppen. Het levert geen geld op, dus trachtten bedrijven en instanties met zo min mogelijk kosten te voldoen aan de minimale eisen.. of ze zeggen gewoon dat ze eraan voldoen omdat er toevallig een van de managers ooit een hazmat training heeft gehad en weet wat de bedoeling is terwijl het uitvoerend personeel niks weet en niet getraind is/word.

Ik heb bij meerdere grote bedrijven met een logistiek/opslag/verwerking aspect gewerkt waar wel degelijk baat was/is bij correcte en duidelijke Hazmat procedures maar waar gewoon niet aan de voorschriften voldaan werd.

BHV is ook zoiets moois. Er zijn duidelijke regels over hoe veel BHV personeel je moet hebben afhankelijk van de grootte van je afdelingen/personeelsbestand.. Ook hier heb ik bij meerdere bedrijven gewerkt waar niet aan deze voorschriften voldaan werd tot op het punt dat je soms een enkele manager (met BHV) ergens in een kantoortje had zitten terwijl er 100+ mensen op de vloer liepen.

[Reactie gewijzigd door Ayporos op 27 juli 2024 07:21]

Leo. P. Klepper 14 november 2017 16:37

UWV is ook op andere vlakken nog niet privacyproof, bijvoorbeeld als een werkgever een zieke werknemer bij UWV ziek meld om voor een Ziektewet uitkering in aanmerking te komen moet de werkgever invullen op grond van welk type uitkering. Dat mogen werkgevers niet meer vragen of registreren volgens de privacy wetgeving.

SuperDre @Leo. P. Klepper • 14 november 2017 21:37

Lijkt mij heel sterk dat de werkgever dat niet mag vragen, want het is namelijk ook voor hem van belang (als in dat hij daar voor moet afdragen). Ik denk dat je in de verwarring bent over andere medische informatie die de werkgever niet mag vragen aan de werknemer.

Leo. P. Klepper @SuperDre • 15 november 2017 12:20

Toch klopt het (helaas) wat ik schrijf, zie ook de site van de Autoriteit Persoonsgegevens: https://autoriteitpersoon...kte-of-beperking-heb-5072

xiphoid 14 november 2017 16:43

UWV gaat het aanpassen? Iemand krijgt die functie en die zet zijn handtekening er auto onder bij het einde van de maand.. maar goed, laten we positief zijn en hopelijk ziet uwv in dat het mensen zijn en niet nummers, en dat de data inderdaad gevoelig is en niet voor iedereen.

McRegt @xiphoid • 14 november 2017 16:51

Eens. Op papier is het daarmee volgens de regeltjes. Werkelijkheid zal inderdaad zijn dat er iemand automatisch goedkeuring geeft en alleen in uitzonderlijke gevallen daadwerkelijk toeziet op de verwerking.

Waarom je gemind wordt is mij niet helemaal duidelijk...

DeBolle

14 november 2017 16:51

Werkwijze en proces veranderen inderdaad niet, er wordt alleen organisatorisch een verantwoordelijke als toezichthouder benoemd. In principe kun je het proces zien als zonder aanspreekbaar toezicht: in een rechtsgang kun je dan alleen wijzen op het ontbreken van toezicht, niet de fout zelf.

slicinghaunt 14 november 2017 16:30

En weer bewijst het zichzelf dat data niet veilig is in handen van de overheid...

Verwijderd @slicinghaunt • 14 november 2017 16:32

Als je volledig wil zijn, voeg je toe dat data bij veel bedrijven ook niet veilig is

rolandlub @Verwijderd • 14 november 2017 16:34

Een gevalletje hij doet het slecht dus ik mag het ook slecht doen?
Zie ik veel bij leeftijds genoten en op school, echter mag ik toch hopen dat de overheid niet zo'n instelling heeft.

Data moet veilig zijn of je nou een bedrijf bent of een overheid.

*edit: opbouw van zin.

[Reactie gewijzigd door rolandlub op 27 juli 2024 07:21]

Verwijderd @rolandlub • 14 november 2017 16:37

Dat zeg ik toch helemaal niet?
De frame 'overheid kan niet met data omgaan' heeft de impliciete stelling dat private partijen het beter doen. Zo lang daar geen sprake van is, moet je beide zijden benadrukken wat mij betreft

DigitalExorcist @Verwijderd • 14 november 2017 17:13

Private ondernemingen worden er in hun resultaten op afgestraft als het misgaat. Bij overheden is het hoogstens een minister die toch wel na 4 jaar vertrekt of anders amper verantwoordelijk hoeft te zijn voor zn zooitje (zie Wiebes met zn Belastingdienst-drama’s)

arnovos @DigitalExorcist • 14 november 2017 17:22

Lees dit artikel van BNR over aan- en verkoop van op schimmige wijze verkregen kredietwaardigheidsdata door incassobureau's. Dan zeg je niet meer dat de markt dit oplost. Dat wil je dat de AP deze toko's en afnemers zoals energieleveranciers en telco's hard aanpakt.

DigitalExorcist @arnovos • 14 november 2017 17:38

Het vervangt geen wetgeving, maar wegblijvende klanten kost je je bedrijf op den duur. Burgers verhuizen niet massaal als de Belastingdienst in het rond gaat strooien met data.

arnovos @DigitalExorcist • 14 november 2017 18:12

Vertel mij eens hoeveel "klanten" vrijwillig wegkunnen bij energielveranciers zonder in de armen van een evenzeer kwalijk handelende branchegenoot te wandelen. Nog maar te zwijgen van de "bewegingsvrijheid" die je als "klant" van een incassobureau hebt.

DigitalExorcist @arnovos • 14 november 2017 18:17

True. En ik zeg ook niet dat de AP niks moet doen. Ik zeg alleen dat er ook legio voorbeelden zijn waar bedrijven gewoon over de kop gaan als ze laks met je spullen om gaan.

Incassobureaus worden ook door iemand ingehuurd. Een slechte reputatie kost hen óók de kop, dan huurt niemand ze meer in. En energiebedrijven kun je best van overstappen. Hypotheken zijn vaak lastiger. Maar daar moet juist de AP wel hard ingrijpen.

Iblies @Verwijderd • 14 november 2017 18:28

Je bedoelt dat er (semi)private partijen zijn die toegang hebben tot overheids-data?

Ziektenkostenverzekering, die altijd weet waar je woont. Pensioenen die je adres ook kunnen inzien. Wordt in principe gemeentelijke basisadministratie voor gebruikt, GBA.

Daarnaast nog andere databases, waar meerdere partijen je gegevens kunnen inzien. Het wordt nog erger als je werkeloos wordt/bent geweest.
https://www.bkwi.nl/producten/suwinet-services

Via Suwinet Services kunnen overheidsorganisaties gegevens van burgers en bedrijven digitaal bij elkaar opvragen en naar elkaar sturen.

Door gegevens binnen de overheid te delen kunnen burgers sneller en beter worden geholpen en hoeven zij geen gegevens te verstrekken die de overheid al heeft.

Suwinet Services zijn primair bedoeld voor UWV, SVB en de gemeentelijke sociale diensten, maar inmiddels maken ook andere overheidsorganisaties gebruik van Suwinet Services.

Aangezien de omvang is het een pot nat.
De kans dat er bedrijf is dat het beter zal doen dan een gemiddelde overheid is minimaal.

DigitalExorcist @rolandlub • 14 november 2017 16:36

De AVG, en straks GDPR, zijn behóórlijk streng wat veiligheid van data betreft...

(Maar iets zegt me dat er voor overheden wel weer clausules zullen zijn).

Horla @DigitalExorcist • 14 november 2017 16:45

Inderdaad. Volgens mij zijn de boetes in de GDPR om basis van de omzet (definitie omzet: het totaalbedrag van verkopen van een bedrijf (organisatie, rechtspersoon) in een bepaalde periode). Hoe ga je dat doen bij overheidsinstellingen?

DigitalExorcist @Horla • 14 november 2017 16:47

Och, belastinggeld uitgeven doen ze toch al graag. Die paar miljoen meer of minder...

cracking cloud @DigitalExorcist • 14 november 2017 17:01

Volgens mij komt AP nu al mankracht te kort om iets met alle meldingen te doen waardoor heelveel zaken niet worden opgepakt. (bron 1 en bron2)

slicinghaunt @Verwijderd • 14 november 2017 16:34

dat is zeker waar.

Ryzor @Verwijderd • 14 november 2017 16:47

Neem bijvoorbeeld Facebook *ahum, proest, proest* !

DigitalExorcist @Ryzor • 14 november 2017 17:15

Volgens mij is je data bij Facebook nog steeds knap veilig hoor.

Dat mensen de voorwaarden van FB niet lezen kan FB niet helpen lijkt me.

Verwijderd @slicinghaunt • 14 november 2017 16:37

Alsof ‘de overheid’ een homogeen instituut is. Er werken gewoon mensen zoals jij en ik die gewoon hun best doen en vaak roeien met de riemen die ze hebben.

Die walgelijke anti-overheid tendens hier ook altijd.

kelwin123 @Verwijderd • 14 november 2017 16:53

Aangezien de overheid miljarden heeft verspild door gefaalde ICT projecten, vind ik de komst van die anti-overheid instelling geen verassing.

SuperDre @kelwin123 • 14 november 2017 21:34

tja, waar je dan wel weer rekening mee moet houden is dat die fallen ICT projecten uitgevoerd worden door de grote ICT bedrijven, dus daar moet je een vinger naartoe wijzen als het gaat om onkunde, want zij kunnen blijkbaar niet op een fatsoenlijke manier de boel op poten zetten en implementen, maar ondertussen wel lekker uren schrijven.

Rutix @kelwin123 • 14 november 2017 23:22

Ja, prima maar je hoort nooit over de projecten die juist wel goed gaan, en daar gaat ook miljarden in om.

Verwijderd @Verwijderd • 14 november 2017 16:48

Die anti overheid tendens komt ergens vandaan.
Mensen zoals jij die gewoon hun best doen zijn bij de overheid de spreekwoordelijke uitzondering op de regel.
(ik weet het, wet van kleine getallen, drogredenering, maar als ik als niet-ambtenaar al verhalen uit eerste hand hoor van gemeenteambtenaren die weggepest worden omdat ze te veel doen.. Het lijkt me stug dat die paar ambtenaren die ik ken net toevallig de enige van hun soort zijn)
Als ze al hun best doen is dat vaak in eigenbelang, terwijl de overheid de burger zou moeten dienen tegen een nodige vergoeding in de vorm van belasting. niet het schaamteloze zakkenvullen (in de top), en onnodig veel bureaucratie om alle ambtenaren maar bestaansrecht te geven.

MarkS90 @Verwijderd • 14 november 2017 20:01

Zolang een ambtenaar nog steeds doet alsof de burger er voor hem is in plaats van andersom, hou je deze beeldvorming.

WimmieV @slicinghaunt • 14 november 2017 16:56

Het zou voor mij handig zijn als je een lijstje maakt met aan de ene kant wat de overheid weer niet goed doet en aan de andere kant wat ze wel goed doen.
Dan kan ik op basis daarvan besluiten of ik nog wel langer in Nederland wil zijn.

typo

[Reactie gewijzigd door WimmieV op 27 juli 2024 07:21]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (60)

Sorteer op:

Weergave: