Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Kabinet wil toestemmingsvraag voor delen digitale medische data uit wet halen

Minister Bruins voor Medische Zorg en Sport treft voorbereidingen om zorgverleners en zorginstellingen bij wet te verplichten tot digitale dossiervoering en elektronische gegevensuitwisseling. Soms is daarvoor toestemming nodig, maar dat wil Bruins veranderen.

In een brief aan de Tweede Kamer zegt minister Bruins dat het zijn ambitie is 'dat de gegevensuitwisseling in de zorg in Nederland in rap tempo volledig digitaliseert, waardoor ook patiënten al hun eigen gegevens digitaal kunnen inzien en beheren. Met meer regie door de overheid dan tot nu toe, met meer tempo en met een wettelijke verplichting'.

Volgens hem is dit hard nodig, omdat goede informatievoorziening en gegevensuitwisseling randvoorwaarden zijn voor kwalitatief goede zorg. 'Door gebrekkige elektronische gegevensuitwisseling in de zorg worden vermijdbare fouten gemaakt, moeten mensen steeds weer opnieuw hun verhaal vertellen, moeten zorgverleners gegevens telkens opnieuw intypen ten koste van de tijd voor patiënten en worden onderzoeken onnodig herhaald', schrijft de minister. Hij stelt dat zorgverleners nog te vaak niet beschikken over de benodigde informatie en 'te veel tijd kwijt zijn met faxen of het op dvd branden van gegevens'.

De minister wil dus dat gegevens altijd elektronisch kunnen worden uitgewisseld. Daarvoor is op grond van de algemene verordening gegevensbescherming soms toestemming nodig, maar dat is niet altijd het geval. Ook als er geen toestemming nodig is, is elektronische uitwisseling soms niet mogelijk door de Wet Aanvullende Bepalingen verwerking persoonsgegevens in de zorg. In deze wet is in artikel 15a namelijk een bepaling opgenomen waarin staat dat een zorgaanbieder alleen gegevens van een cliënt beschikbaar mag stellen via een elektronisch uitwisselingssysteem als de cliënt daarvoor uitdrukkelijk toestemming heeft gegeven. Volgens de minister leidt dit ertoe dat 'voor het elektronisch uitwisselen van gegevens uit medische dossiers vaker toestemming moet worden gevraagd dan voor papieren dossiers'. Hij vindt dat onwenselijk en heeft de Tweede Kamer een voorstel gedaan om de WABvpz op dit punt aan te passen.

De wettelijke verplichting voor elektronische gegevensuitwisseling wordt stapsgewijs ingevoerd, waarbij een tweesporenbeleid wordt gehanteerd. Het eerste spoor betreft het aanwijzen van een te digitaliseren gegevensuitwisseling en dus de vraag bij welke gegevensuitwisselingen digitalisering is gewenst. De minister noemt daarbij spoedzorg als voorbeeld. Het tweede spoor draait om de vraag hoe de digitale gegevensuitwisseling moet plaatsvinden, zodat informatie altijd op dezelfde manier wordt uitgewisseld.

De planning is nog niet geheel duidelijk; de minister zegt voor de zomer met een nieuwe brief te komen met een definitieve roadmap. Het doel is om in de komende jaren te komen tot digitalisering voor het uitwisselen van gegevens in de zorg.

Door Joris Jansen

Nieuwsredacteur

10-04-2019 • 10:28

165 Linkedin Google+

Submitter: Chocoball

Reacties (165)

Wijzig sortering
Zolang er aan de volgende eisen wordt voldaan zou het nog wel eens kunnen werken:
- Er is een goed, door de cliënt te raadplegen, audit trail en op verzoek van deze cliënt zijn zorgverleners en
-instellingen uit te sluiten van het mogen raadplegen.
- Er is vastgelegd dat bijvoorbeeld een medisch vervoerder geen niet-voor-zijn-beroep-relevante gegevens zijn raad te plegen.
- Er is vastgelegd dat zorgverzekeraars géén zorginstelling zijn en deze gegevens niet mogen inzien.
- Er is vastgelegd dat deze communicatie van gegevens slechts dan mag plaatsvinden wanneer het medisch noodzakelijk is.
- Er is vastgelegd dat deze gegevens alleen centraal mogen worden geraadpleegd of gemuteerd en niet mogen worden gedupliceerd (lokaal opgeslagen) om wat voor reden (lees slappe smoes) dan ook.
Ik heb geen enkel vertrouwen in zaken als "vastgelegd" en "niet mogen". Ik zou een systeem willen zien dat op het laagst mogelijke niveau volledig versleuteld is, en waarbij elke ontsleuteling onherroepelijk gelogd wordt én direct inzichtelijk is voor de houder van de ontsleutelde data. Zodra een arts of wie dan ook een record bekijkt zou je een mailtje moeten kunnen krijgen wie jouw gegevens heeft bekeken, bij wijze van spreken.
Die hadden ook eigen dossiers of kopieën daarvan; precies waar ik tegen pleit.
Iedere partij probeert nu gewoon het wiel opnieuw elke keer weer uit te vinden en implementeert z'n eigen beveiliging (of niet in sommige gevallen). Dat is elke keer opnieuw een risico op lekken.
Als het soort audit regels erin zitten als waaraan @quannah hierboven refereert, dus afgedwongen door het systeem, en er een soort drm op zit zoals de netflixen van deze tijd zodat er niet gekopieerd kan worden, dan is het wel veilig te krijgen tegen dit soort domme acties. Want dat zijn het volgens mij, dus niet bewust verkeerd maar eerder om een falend systeem heen werkend door die mensen.
En hoe het dan zit met andere partijen die graag gegevens willen hebben:

nieuws: Microsoft laat geen nieuwe klanten meer toe tot speciale Duitse opsla...
Ondertussen wordt de data van het EPD al opgeslagen op servers van google.. Een eigen server beheren kost natuurlijk veel te veel. Gewoon lekker gratis bij Google. Wat kan er mis gaan?

https://www.ad.nl/binnenl...n-nu-bij-google~abcb3f6a/
Dit is echt een zeer ongeïnformeerd artikel, ik raad je aan deze BNR podcast te luisteren, op zijn minst: https://www.bnr.nl/podcas...tohackers-en-google-cloud

Er is een verschil tussen de public cloud van Google (zeker niet gratis!) en Google de zoekmachine. Als je op schaal computers nodig hebt, heb je eigenlijk maar 3 keuzes, AWS (Amazon), Azure (Microsoft) en Google cloud. alle 3 hebben ze hun encryptie en veiligheid goed op orde, daarbij houden ze zich niet aan de GDPR (en waarschijnlijk nog allerlei contracten) als ze zomaar iets met de gegevens zouden doen. In het artikel staat zelfs dat de data ge-encrypt en geanonimiseerd word. Dat artikel is puur sensatie zoeken. Zeker Google heeft niet de beste naam op privacy gebied maar dit is een volledig andere tak van sport en het artikel probeert mensen te doen denken dat ik straks jouw medische gegeven kan Googlen.

Overigens als ze mijn EPD op zomaar een eigen server zouden opslaan dan heb ik ook nog wel wat vragen over de beveiliging daarvan terwijl ik weet dat Google het aardig op orde heeft.

Toen dit artikel uitkwam hoopte ik eigenlijk op een nuancerend artikel vanuit Tweakers. BNR kwam er gelukkig snel mee (die podcast bevat voor en tegenstanders overigens, maar wel wat van wat hoger niveau dan het artikel en jouw reactie.)

[Reactie gewijzigd door teek2 op 10 april 2019 10:56]

Google kan best veilig zijn maar gezien het feit dat Trump weer met sancties naar de EU komt lijkt het me erg op zijn plaats dat we als EU data binnen de EU houden bij EU bedrijven.
We hebben in de EU op dit moment niet echt een alternatief voor google, ms en noem ze maar op. Hoog tijd dus dat dat er komt.
Het probleem is dat bijna alle mooie bedrijven die iets nieuws of goeds neerzetten wordt gekocht door Amerikaanse bedrijven. Er worden best mooie dingen gemaakt in Europa, maar het geld zit aan de andere kant van de oceaan.
Dus hoe gaan we op deze manier een tegenhanger van die grote Amerikaanse bedrijven maken zonder daarbij alle marktprincipes overboord te gooien?
Tja de keiharde eis dat data veilig is.

Probleem met amerikaanse bedrijven nu is dat de amerikaanse overheid als ze wil toch data kan opvragen. Dan doen we het dus op de amerikaanse manier. Als er in het land van een bedrijf dat een eu bedrijf wil overnemen wetgeving is die ze verplicht om toegang tot data te geven verliest het EU bedrijf het recht om data van eu burgers te mogen verzamelen of op te slaan.
De vrij makrt werkt nog steeds maar data is gewaarborgd.
Als amerikaanse bedrijf er een ander bedrijf tussenzet waar aandeelhouder van zijn moet dat ook niet s uitmaken, eu bedrijf verlies dan alsnog recht om data te verzamelen.
Maar helaas de politiek hier heeft slappe knietjes. Er zou hier ook een trump moeten opstaan maar dan voor eu belangen.
Precies dit. Zie ook deze reactie onder het tweakers artikel hierover: goalgetter in 'nieuws: Medische data van 'honderdduizenden' Nederlanders is o...
Oh ik had dat gemist, idd, het tweakers artikel valt me zeer tegen, deze reactie van goalgetter is erg goed en geïnformeerd. Verplichte kost na zo'n artikel imho.
Ben ik niet helemaal met je eens...
Sommige data wil je gewoon niet hebben op een public cloud. Het artikel geeft het ook aan, in potentie zou google (of de amerikaanse overheid) de data kunnen herleiden. Ge-encrypt is alleen mooi als er ook nergens bij Google daadwerkelijk een key aanwezig is. Met zoveel data uitwisseling gebeurt er zeker vroeg of laat een foutje waardoor Google wél zo'n key in handen krijgt..

Dat er (nog) geen aanwijzingen voor datamisbruik bestaan, is natuurlijk mooi en zakelijk gezien denk ik ook wel dat Google het uit zijn hoofd zal laten, maar het gaat er gewoon om dat je bepaalde risico's niet kunt nemen.
Je zet ook geen defensiegeheimen in de Google cloud neem ik aan...

Die 120 ziekenhuizen kunnen samen ook echt wel een serverpark ergens in nederland oprichten die zij in eigen beheer hebben, zodat ze daadwerkelijk kunnen garanderen dat de data nergens heen kan gaan.
kijk, dit vind ik een goede en genuanceerde reactie. Ik ben het met je eens, maar ik denk dat het dan nog een lastig afweging is om te maken. Je wilt het echt veilig voor hackers hebben, en dat hebben ze allemaal afgewogen. Mensen die kritiek hebben zouden met een serieus Europees alternatief moeten komen, maar dat heb ik nog nergens gelezen...
De overheid loopt al jaren met het idee om een eigen, zwaar beveiligd, gegevensopslagcentrum te hebben. Dit idee van de minister is een mooi moment om dat te realiseren.
Ik vind dat wel een mooi idee, je eigen data, op servers van je eigen overheid, beschermd door wetten opgesteld door mensen waarop je hebt gestemd. Sure, je kunt de toekomst niet voorspellen en het zou voor de nieuwe Hitler een geweldige bron zijn om nieuwe joden/homo's te identificeren maar het alternatief is eigenlijk altijd minder fraai, vind ik. Met de GDPR heeft Europa mijns inziens best goed laten zien dat ze het individu voor de grote bedrijven zetten, zoals het hoort. Het schept wel vertrouwen.

[Reactie gewijzigd door teek2 op 10 april 2019 11:36]

Naja, weet je...centrale opslag is in dat opzicht nooit goed. Hoe meer je centraliseert, hoe makkelijker het is voor b.v. hackers om zich op dat ene doelwit te concentreren. Aan de andere kant kun je dan ook al je beveiligingseffort op 1 plek centreren...

Het levert veel voordelen, zeker met b.v. ziekenhuisdata want je zult maar in behandeling zijn bij je plaatselijke ziekenhuis maar 200 km van je huis overreden worden...dan wil je toch wel dat je ziekenhuis rekening houdt (waar mogelijk) met je eigen behandeltraject en of medicijnengebruik. Of je wilt een 2nd opinion zonder alle onderzoeken opnieuw te moeten laten doen...in feite wil je gewoon al je data zelf ter beschikking hebben, maar centraal op hebben geslagen op een veilige manier.

het zijn keuzes...Moet je rekening houden met een 'nieuwe Hitler'? Ik denk het niet...was het in WWO II de kaartenbak van de gemeente die geplunderd werd, dan kun je mss nog beter een encrypte database hebben waarvan de keys vallen onder de overheid. Dan kun je in ieder geval in geval van nood nog de hele bende in 1 x ontoegankelijk maken door de keys weg te gooien of een bom in het datacentrum af laten gaan.

Wij kunnen gewoon nog niet goed overweg met data (als mensheid)...in een utopie (of verre toekomst) kun je verdienmodellen koppelen aan data i.c.m. abonnementen. Ofwel, dan wordt data dus geld voor de consument.
Ik kan me voorstellen dat ik b.v. een product af wil nemen en daar kan kiezen tussen al mijn data afleveren (product gratis) of alleen naw afleveren (product 50 % korting) of niets afleveren (product helemaal betalen) en allerlei tussenoplossingen.
Nu heb je dat soort keuzes nog niet. Nu is het simpel een disclaimer; als je dit gebruikt, dan ga je akkoord met.....en voor je het weet, zit heel je leven in Google, facebook of een ander collectief gebeuren.
Google zoals deze voor patientgegevens wordt gebruikt is verre van een "public cloud". Als je het informatieve stuk leest van goalgetter wat hierboven wordt genoemd, lees je al dat voor opslag enorm, en dan echt enorm strenge eisen worden gesteld aan alle lagen die direct of indirect in verbinding zijn.

Het gaat echt een enorme klauw geld kosten om dit zelf te realiseren. Buiten dat je aan 1 serverpark niet genoeg hebt, ben je ook afhankelijk van een hele berg top ict mensen op veel onderdelen en dat zijn niet de goedkoopste arbeidskrachten. Binnen ziekenhuizen werken zeker geen dombo's maar als je daar de salarisschalen bekijkt moet je ook niet verwonderen dat het zeker niet de top is.

Dit zou misschien enkel werken als de overheid zelf over een enorm datacentrum/serverparken gaat beheren voor ALLE overheidsdiensten. Dan kan het misschien betaalbaar worden maar ook dat wil je niet.

Samen met de huidige staat van de ICT projecten van de overheid schat ik die gedachte dus niet hoog in. Dan liever Google.
Waar staat precies dat die data op de public cloud van Google staat? En wat betekend public in deze. Public als iedereen kan als ie het linkje heeft bij de data? Public als in de cloud word aangeboden aan jan en alleman?
Het probleem is dat of de servers of de hoofdkantoren van deze partijen buiten de Europese Unie staan. De VS heeft bijvoorbeeld wetgeving die als een van de hiervoorgenoemde punten waar is, deze de bedrijven - in stilte - kan dwingen om alle data af te staan.

Hiermee is de data dus feitelijk op te vragen door derden en te hiernaast te gebruiken voor onbekende doeleinden.

Zo uit mijn hoofd was bijvoorbeeld de PATRIOT-act hier een onderdeel van. https://en.wikipedia.org/wiki/Patriot_Act

Als je de data in ieder geval qua regels en wetten wilt veilig hebben, stal het dan vooral binnen eigen grenzen en binnen eigen organisaties.

[Reactie gewijzigd door Siaon op 10 april 2019 15:50]

Deze Google servers staan in Nederland, uit het artikel https://www.ad.nl/binnenl...n-nu-bij-google~abcb3f6a/:
Google's enorme datacenter in de Groningse Eemshaven, officieel cloudregio Europe-West 4 genoemd. Hier worden de medische data van honderdduizenden Nederlandse patiënten opgeslagen. © ANP

Goed, de Amerikaanse wet kan nog problemen geven maar als ze het graag willen geeft onze veiligheidsdienst toch al alles aan de Amerikanen.

[Reactie gewijzigd door teek2 op 10 april 2019 16:11]

Het hoofdkantoor van Google staat in de VS en is dus onderhevig aan de regelgeving van de VS, die daarmee de beschikking hebben over alle medische gegevens die Google bewaart voor Nederland.

Dat de veiligheidsdienst dit kan of zal doen is een argument gelijksoortig aan wat moeder altijd zei als je klaagde: er zijn heel veel kindertjes op de wereld die het slechter hebben. Of dat omdat mensen toch altijd doodgaan het ook niet zo uitmaakt ze nu maar af te gaan knallen.
Dat is een race naar de bodem, want er is altijd wel iets of een reden dat het 'toch al gebeurt' of 'erger is of kan'. Als de veiligheidsdienst dit onrechtmatig doet dan lijkt mij het goed om daar ook iets aan te doen.

In jouw voorbeeld ontnemen we de veiligheidsdienst overigens ook mogelijk belangrijk wisselgeld. Kunnen die weer een wit voetje halen door gegevens te geven en daarmee braaf en lief lijken, ofzo.
Het is ook belangrijk of Google de encryptie sleutel heeft overigens. Uit het BNR interview begreep ik van niet.
Herinnerde me dit overigens:

nieuws: Microsoft laat geen nieuwe klanten meer toe tot speciale Duitse opsla...

Vrij relevant toch? Gewoon een eerder bericht hier op Tweakers, waarin de Amerikaanse overheid e-mails opeist van Microsoft.
Ik ga er niet vanuit dat alles slechts op 1 serverpark staat. Lijkt me niet heel slim. En waar zou de mirror dan staan?

En dat laatste ben ik volledig met je eens.

Wat ik niet weet is of deze zorgverleners nog toestemming moeten vragen aan hun klanten, of dat ze ongecontroleerd alles uploaden. Het lijkt er op dat de politiek volledig over de burger heen jaagt.
Buiten de opslag discussie; waarom zonder toestemming? En waarom is centrale opslag beter? Alsof je zo vaak van ziekenhuis/dokter wisselt...
Waarom vergeten we dat centrale opslag in het verleden vooral tot misbruik heeft geleid?
Omdat als jij voor pampus ligt na een ongeluk aan de andere kant van het land, het wel handig is als de artsen je dossier kunnen zien zodat ze zien dat jij misschien bepaalde medicijnen slikt, aandoeningen hebt en weet ik het allemaal.
Het is zo'n ontzettend misvatting dat data in de cloud 'onveilig' zou zijn. Binnen AWS zijn zeer veel tools in voor handen om data veilig op te slaan (en zo ook google Cloud). Ik heb hier veel meer vertrouwen in dan bijvoorbeeld een kleine partij of een partij als de overheid.

AWS en Google kunnen zich het niet veroorloven om data te lekken, dat gaat ze klanten kosten. Security is daar top-priority. Besides, security heb je daar als klant ook voor een groot deel zelf in de hand, ik mag hopen dat gevoelige data in motion en at rest encrypted wordt opgeslagen.
Nou ja, eigenlijk heb je natuurlijk keuze 4: zelf een systeem bouwen. Maar gezien de geschiedenis van overheid en IT...
Ja want google is compleet te vertrouwen!:

https://www.telegraph.co....data-trial-watchdog-says/

https://www.theguardian.c...tient-data-google-servers
Perhaps more important, only Google has Mr. Page — and he is completely undaunted by the resistance these technologies may engender. “For me, I’m so excited about the possibilities to improve things for people, my worry would be the opposite,” he said. “We get so worried about these things that we don’t get the benefits.”

He pointed to health care, where regulations make collecting and analyzing data very difficult, even if that data is analyzed anonymously. “Right now we don’t data-mine health care data. If we did we’d probably save 100,000 lives next year,” he said.

Saving those lives would be a big benefit. But there’s no doubt that it would also come at a loss of privacy that some might consider too great.
https://www.nytimes.com/2...oogle.html?referrer=&_r=2
Als ik mag kiezen om de data op de servers van Google te zetten of servers van de overheid, weet ik wel wat ik zou kiezen. Bij Google staat het een stuk veiliger.

Kan me geen incident herinneren dat er gegevens bij de business afdeling van Google gestolen zijn.

En voordat er weer over het data verzamelen van Google wordt begonnen. Dit is niet de consumenten tak van Google, maar de business tak. Hier moet betaald worden voor opslag en staan in de contracten dat Google hier niet zal dataminen, etc.
google is en blijft amerikaanse bedrijf. Amerikaanse overheid kan gewoon data eisen bij google als ze dat willen. Dat feit alleen al zegt denk ik genoeg.
Of je er wel voor betaald of niet maakt verder niets uit.
Dat is niet geheel correct, als Google een dataserverpark in Nederland heeft staan welke valt onder een Europese Google entiteit kan de overheid van de VS dit niet opeisen maar alleen via Europa een aanvraag voor data inzicht indienen.
In theorie klopt dat maar de amerikaanse overheid denkt daar toch echt anders over. Dat is dus ook het probleem voor bedrijven als google. Je hebt Amerikaanse wetgeving en Europeese die botsen met elkaar.
Is dit al uitgevochten tot de hoogste Amerikaanse rechter?

nieuws: Microsoft wint beroepszaak over verstrekken e-mail in EU-datacenter a...

Voor een warrant lijkt er iets meer duidelijkheid sinds die tijd maar voor een subpoena nog niet. Ik zou het er zelf echter niet op gokken. Daarbij komt ook nog eens dat Safe Harbour ongegrond is en het EU-VS-privacyschild op losse schroeven. Nadeel is dat ze via een National Security Letter ook Amerikaanse individuen aanspreken die bij buitenlandse bedrijven werken om toch hun doel te bereiken

[Reactie gewijzigd door jdh009 op 10 april 2019 14:01]

Lees meer over de USA CLOUD - act “Clarifying Lawful Overseas Use of Data Act” uit 2018 en de rechten die dit de US overheid bied met betrekking tot Amerikaanse bedrijven op: https://www.congress.gov/...ress/house-bill/4943/text
<quote>
AMENDMENT.—Chapter 121 of title 18, United States Code, is amended by adding at the end the following:
Ҥ 2713. Required preservation and disclosure of communications and records

“A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.”.

</quote>
Ja zal allemaal best, maar wanneer er een Amerikaan voor het internationaal strafhof in Den Haag moet verschijnen, dat niet erkend word door de VS komen ze deze desnoods met geweld ophalen...
Theorie en op papier klinkt alles leuk en aardig maar de realiteit is zeer weerbarstig.

Veel te veel vertrouwen hier in overheid en de papieren werkelijkheid.
Dan ben je niet bekend met de relevante wetgeving, want het is namelijk geen feit. Het is wel enorm ingewikkeld.
https://www.agconnect.nl/...-nu-wel-clouddata-afstaan

Ik lees dit: Justitie in de VS ziet dit anders en heeft hoger beroep gezocht. Deze zaak is uitgekomen bij het hoogste hof in de VS, die zich er nog over moet buigen. Wat Justitie betreft, is dit nu niet meer nodig. De vers aangenomen CLOUD Act (Clarifying Lawful Overseas Use of Data Act) is namelijk specifiek opgesteld om deze heikele juridische kwestie te tackelen. Het Amerikaanse ministerie heeft dan ook tegelijk met een nieuwe datavordering aan Microsoft een annuleringsverzoek ingediend bij het Hooggerechtshof. In de motie argumenteert Justitie dat de zaak irrelevant is geworden door de CLOUD Act, meldt The Register.

Microsoft lijkt nu dus toch te moeten zwichten voor de vordering van data die zich in het buitenland bevindt.
Neemt niet weg dat MRDM encryptie gebruikt om de data op te slaan bij Google. Zolang dat met eigen encryptie sleutels gebeurt, kan zowel Google als de Amerikaanse overheid hier niet zo maar bij (los van hacken).
Dat jij geen incidenten kunt herinneren dat dit is voorgekomen is een vorm availability bias: ik weet er niet van dus het is niet zo. Buiten in mijn tuin is het kouder, daarom kan de wereld niet warmer zijn.

Heeft Google ook mogelijk belangen om dergelijke incidenten buiten het publieke oog te houden?
Is Google misschien niet de enige die toegang kan krijgen tot de gegevens?
Google is niet gratis (alleen voor de eerste 15GB).
Daarna is het gewoon betalen.

Verder heb je natuurlijk gelijk dat dit soort informatie nooit en te nimmer op een publieke cloud-dienst van een Amerikaans bedrijf hoort te staan.
Google Cloud is helemaal niet gratis: https://cloud.google.com/pricing/list

Betalen zelfs voor transacties op de data, net als alle andere grote cloud aanbieders.
En dit is een reactie op??
Op je gratis 15 GB. Ik denk dat je aan de verkeerde dienst denkt. Het enige limiet voor Free Use accounts (wat een grote partij al deze natuurlijk niet krijgt) is 5GB voor de Cloud Storage dienst voor Region Storage.
Inderdaad, andere dienst.
bedoel je dat die 10x beter beveiligd is dan dat ze in eigen beheer zouden doen?
Waar in dat artikel staat precies dat men gebruik maakt van de gratis variant van Google opslag?
Allemaal veel te duur inderdaad, maar wel 3 miljoen durven vragen om een paar honderd e-mailadressen aan te passen...
Ik denk dat de beveiliging beter geborgd is bij Google dan als ze zelf verantwoordelijk zouden zijn voor opslag en beveiliging.
En we hebben het hier natuurlijk niet over Google Drive voor consumenten, dus zet dat gratis maar uit je hoofd.
Deze data staat bij gsuite neem ik aan. Ik denk inderdaad dat dit veiliger is dan een oplossing ergens in een ziekenhuis of overheid. Als je naar het verleden kijkt kan iedereen wel een fout maken, maar bedrijven als google, microsoft, amazon etc... hebben toch betere procedures, meer redundantie en meer personeel.
Apple maakt ook gebruik ven Google Cloud servers. Er is niks mis met betaalde diensten van Google gebruiken, je kan prima afspraken maken over toegang daar toe. Het is ook vrij kortzichtig om te denken dat ze hiervoor de gratis Google dienst gebruiken.
Hoe kunnen ze dit doen zonder inbreuk te maken op de AVG/GDPR wetgeving?

[Reactie gewijzigd door TwArbo op 10 april 2019 10:31]

Waarschijnlijk kan dit binnen de ruimte die gegeven wordt in Art 9 (2)(i) AVG:
de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim;
Precies, Google mag zich onder de GDPR identificeren als data processor (https://www.gdpreu.org/th...ntrollers-and-processors/), daarmee beloven ze ook er verder echt af te blijven.
Waarschijnlijk kan dit binnen de ruimte die gegeven wordt in Art 9 (2)(i) AVG:
Nee. Dat kan dus niet.
Artikel 9.1 stelt dat verwerking van speciale persoonsgegevens zoals medische gegevens in algemeenheid verboden is.

Artikel 9.2 geeft vervolgens uitzonderingen op het algemene verbod uit artikel 9.1 en enkel op dat verbod. Artikel 9.2 maakt niet dat er ineens geen wettige basis zoals vastgesteld in Artikel 6 meer nodig zou zijn voor verwerking.

[Reactie gewijzigd door R4gnax op 10 april 2019 19:15]

Ik denk door het als een wettelijke verplichting te laten gelden, de AVG stelt namelijk dat als het delen van persoonsgegevens wettelijk verplicht is dat dit gewoon mag (moet dus).
Jep, en allerlei bedrijven die dat niet waar kunnen maken verschuilen zich hierachter. Ik ben maanden bezig geweest met de Nederlandse Loterij.

Ik: ik wil uit jullie database gehaald worden
Zij: dan moet je een kopie van je paspoort opsturen
Ik: daar mag je niet om vragen
Zij: jawel, want dat is nodig voor smoesjes
Ik: die smoesjes zijn niet geldig want X, Y, Z
Zij: ja maar we zijn het verplicht
Ik: ik heb gezocht naar bedrijven die dat verplicht zijn, er is niet eens een categorie waar jullie in voorkomen. Dus bewijs maar, en zo niet verwijder per direct mijn gegevens.
Zij: nee het is echt verplicht
Ik: bewijs...
Zij: je moet een kopie van je paspoort opsturen
Ik: daar hebben we het al over gehad, jullie moeten bewijs sturen dat het verplicht is. Ik heb een klacht ingediend bij de autoriteit persoonsgegevens
Zij: het is echt verplicht hoor
Ik: BEWIJS! nog een klacht uitgestuurd

Enige weken later hebben ze het opgegeven en braaf mijn gegevens verwijderd, maar niet hun policy aangepast. Autoriteit persoonsgegevens is er nog mee bezig.
Interessant, ik heb het zelf even nagekeken, maar:
Mag ik als organisatie een kopie van een identiteitsbewijs vragen wanneer iemand vraagt zijn persoonsgegevens te wissen?
Dat is afhankelijk van het specifieke geval. Soms mag dat wel, maar in veel gevallen kunt u de identiteit van betrokkene ook controleren op een minder vergaande manier.

Zo kan bijvoorbeeld de betrokkene zijn account bij een webshop verwijderen door in te loggen en dan aan te geven dat hij zijn gegevens wil verwijderen. Het inloggen is dan genoeg om te bewijzen dat het de betrokkene zelf is die het verzoek doet.

Het opvragen van een kopie van het identiteitsbewijs is in dat geval een bovenmatige gegevensverwerking en dat mag niet. Kijk dus eerst altijd of er een andere, minder vergaande manier is om iemand te identificeren dan het vragen om een kopie van een identiteitsbewijs.

Kopie identiteitsbewijs: let op
Heeft u beoordeeld dat het in uw geval noodzakelijk om een kopie van het identiteitsbewijs te vragen? Dan moet u op twee punten letten: de verwerking van het BSN en de informatieplicht die u heeft.
https://autoriteitpersoon...nsgegevens-te-wissen-6706

Ik vermoed inderdaad dat de Nederlandse Loterij minder vergaande manieren kan verzinnen dan een legitimatiebewijs
Gemakkelijk inderdaad. Maar ze hadden het natuurlijk zo opgezet dat je via je eigen account je niet kunt uitschrijven. In plaats daarvan moest je een brief! sturen met een kopie van je ID of paspoort. Dit is overduidelijk bedoelt om zoveel mogelijk obstakels op te werpen voor mensen die zich uit willen schrijven, niet vanwege identificatie. Als je door alleen in te loggen geld kunt uitgeven en opnemen, maar dat niet genoeg is om je uit te mogen schrijven lijkt me dat duidelijk...

Ik kon inloggen, ik had mijn volledige financiële transactie history met hen inclusief bankafschriften meegestuurd, ik mailde vanaf het email adres in hun database, ik gaf aan dat ze me konden bellen op het hun bekende telefoonnummer om te verifiëren, (beiden waren niet veranderd sinds ik ingeschreven was), dat ze me konden vragen iets in mijn account aan te passen ter verificatie, etc.

Daarbij hebben ze geen idee of ik degene ben die de kopie gemaakt en opgestuurd heeft; hoe gemakkelijk is het niet om even een foto te maken als ik mijn tas ergens een minuut laat staan? Noch kunnen ze controleren of ik degene ben die op het paspoort staat, want ze zien me niet. Dus de vraag is wat is dan realistisch gezien een betere verificatie? Een combinatie van juiste email, juiste telefoon, persoonlijke verificatie via die telefoon, verificatie van complete transactie history, en een uit te voeren actie op het account gecombineerd. Waar je dus 3 accounts gehackt moet hebben en mijn telefoon gejat. Of een kopie die je in een minuut stiekem gemaakt kan hebben?

In de praktijk komt het erop neer dat er altijd een minder vergaande manier is en dat je het als bedrijf alleen maar mag doen als de regering het verplicht stelt (zoals bij bepaalde financiële transacties, of hotel bezoek. In beide gevallen ten behoeve van de opsporingsdiensten).

En terwijl ik me inschreef hadden ze mijn paspoort niet nodig, dus ze vragen om meer gegevens om je uit te schrijven dan je in te schrijven. Daar komt nog bij dat er geen enkel nadelig gevolg aan kon zitten als iemand anders me stiekem uitschreef. Er stond geen geld op het account, ik had geen prijzen die nog opgehaald moesten worden, het allerergste wat er kon gebeuren is dat ik een nieuw account moest aanmaken. Waarom zou iemand ooit identiteitsfraude plegen om zoiets banaals te bereiken? Serieus als ze in mijn bankaccount gehackt hebben en mijn telefoon gejat maak ik me daar wel iets meer zorgen over...

Ik heb ze daar natuurlijk op gewezen, ze precies met de neus gedrukt op wat AVG werkelijk zegt. En hoe onzinnig hun standpunt is dat ze het natuurlijk voor mijn eigen veiligheid doen...Hun reactie was me een link naar veel vagere informatie over AVG te sturen die het onderwerp niet eens aankaartte... Typisch een gevalletje standaard antwoord sturen zonder te lezen, en vooral niet nadenken of je procedures misschien eens tegen het licht gehouden moeten worden.

[Reactie gewijzigd door StefanDingenout op 10 april 2019 14:02]

Ik heb hetzelfde traject ook even doorlopen en een aanvraag ingediend met de kennis van jouw struggle.

Ik ben inderdaad ook van mening dat zij niet horen te vragen om een legitimatiebewijs en heb mijn verzoek dan ook zo ingediend, dat zij dit niet zouden mogen vragen (account details, inlog datum+tijd, nickname meegegeven).

Ik ben benieuwd of zij ook zo moeilijk gaan doen als bij jou. Ik vermoed van wel :)
Ze hebben van mij nog nooit een betaling gekregen, noch een ID kaart of wat dan ook. Het account is ooit 1x gebruikt voor het innen van een gratis lot.

Mocht het een probleem zijn, zal ik ook zeker een klacht indienen.
Mocht ik een reactie krijgen, zal ik hier nog wel antwoorden
Nou ja, de lui op de helpdesk hebben weinig keus natuurlijk. Die krijgen een vast script wat ze aan moeten houden, en mogen zelf geen keuzes maken. Dus reken er inderdaad maar op :P
Tja ik zou zeggen verwijs naar mijn case, maar dat kan niet want ik sta niet meer in de database :*)

Het is pas toen een manager er bij gehaald werd, en die zag dat ik al maanden bezig was (twee aparte discussies tegelijk trouwens, want de helpdesk reageerde op een gegeven moment dubbel en ik vond dubbele kansen niet zo erg, maar ik denk niet dat ze het ooit doorkregen) dat die me toen nogmaals eens een bericht stuurde dat het echt verplicht was, maar die belde me later die dag toch maar eens op want hij vond het toch wel heel vervelend lopen zo. En toen heb ik weer dat hele verhaal opgehangen, en hij zag toch wel dat ik misschien wel een punt had. Zeker toen ik 'm er op wees dat hij door mij te bellen alleen al wist dat ik het inderdaad zelf wilde, laat staan nog 3 andere manieren van verificatie erbij. Hij heeft toen bij uitzondering mijn gegevens verwijderd en beloofd een en ander eens aan de kaak te stellen.

Maar toen 2 maanden later de autoriteit persoonsgegevens me belden om aan te geven dat ze de zaak eindelijk op konden pakken hebben ze nog even gekeken en was er nog niks veranderd. Het lijkt me sterk dat er nu wel iets veranderd is, 1 manager die iets voorzichtig te spraken brengt weegt natuurlijk niet op tegen het klanten moeilijk maken weg te gaan. Daar moet gewoon een vette boete of rechtszaak aan te pas gaan komen denk ik.
Heel simpel: Als ze geen ID-bewijs hebben gebruikt om het account aan te maken, kunnen ze toch niet verifiëren of ik het account heb aangemaakt?
Dat is inderdaad het kromme eraan. Vandaar dat ik hetzelfde als Stefan nu heb gedaan, om te zien of zij adhv zijn vraag, wellicht iets hebben veranderd.
Zo niet, verwijs ik naar de Autoriteit Persoonsgegevens en eventuele eerdere casussen. In geen geval ga ik mijn ID geven, maar ik moet wel verwijderd kunnen worden.

@StefanDingenout
Hehe lekker bezig hoor! Ik verwacht ook niet veel, maar proberen kan geen kwaad.
Ik heb inmiddels al 5 verzoeken bij bijvoorbeeld Facebook gedaan en nog nooit een reactie gehad.. hehe

Ik heb geen facebook (enkel beperkt WhatsApp, helaas), dus ik val waarschijnlijk onder een schaduwprofiel van hen. Daarnaast heb ik mijn requests gedaan als gecombineerde data van wat "The Facebook Company" als moederbedrijf heeft m.b.t. e-mail, telefoonnummer en naam. Ik denk niet dat zij dit ooit gaan geven :)

Kortom; vreemde hobby, dat strijden voor privacy...
Ik weet niet of het ooit in de wet is opgenomen, maar een tijd geleden is er iets uit de politiek gekomen dat zei dat uitschrijven op dezelfde manier moest kunnen gebeuren als de inschrijving.
Zoiets heb ik niet in de AVG gevonden, maar ik heb natuurlijk ook niet het hele ding doorgelezen. Er staat wel expliciet dat ze nooit meer mogen vragen/bewaren dan ze nodig hebben, en een kopie van een paspoort alleen als er geen andere manier mogelijk is (wat in de praktijk inhoud: de regering heeft ze verplicht een kopie te bewaren). Als er al een verschil mag zijn, dan toch dat inschrijven strenger is dan uitschrijven lijkt mij, toch in het overgrote deel van de situaties.

Als je bijvoorbeeld wilt beginnen met gokken moet er gecontroleerd worden of je de minimum leeftijd hebt om dat te doen, wellicht zelfs een kredietcheck voor het geval je in een schuldtraject zit of zo (hoewel je in gevallen waar dit nodig is waarschijnlijk zelf al geen controle meer hebt over je geld). Wil je stoppen met gokken doet het er echter niet toe hoe oud je bent en of je ergens anders schulden hebt.

Of wellicht gaat het er meer over dat als je online inschrijft je ook online uit moet kunnen schrijven?
Zoiets heb ik niet in de AVG gevonden
Staat er toch echt in hoor:
Artikel 7 - Voorwaarden voor toestemming
3. De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.

[Reactie gewijzigd door R4gnax op 10 april 2019 19:20]

Zoals ik al zei, ik heb het niet helemaal doorgelezen, maar prima.
Even eenvoudig is niet perse hetzelfde zoals Fijinees zei natuurlijk en erg vaag, maar close enough. Als je je online kunt inschrijven is eenvoudiger dan een brief moeten sturen.
Als je je id bewijs mailt en daarop alles behalve naam en geboortedatum weghaalt zou dat toch niet een probleem moeten zijn?
Bij de loterij hebben ze je ingeschreven met veel minder gegevens dan je ID bewijs. Ze hebben waarschijnlijk alleen je rekening geverifieerd. Dus waarom zou je ... wettelijk gezien... meer gegevens voor het uitschrijven nodig hebben?

Ja, om het moeilijk te maken.
Het probleem is dat ze iets eisen wat illegaal is...
Wat bovendien totaal niks bewijst.

[Reactie gewijzigd door StefanDingenout op 10 april 2019 13:56]

Wat @leuk_he onder jou al zegt.

Het is daarnaast gewoon een principe kwestie. Als een partij als de Nederlandse Loterij er al op zo'n manier mee wegkomt, waarom zou een kleinere partij dan wel meer moeite doen? Juist de grote spelers <wiens verdienmodel niet primair op data is gebaseerd> zouden het goede voorbeeld moeten (kunnen) geven

Eind resultaat is dan dat we over 5 jaar niets zijn opgeschoten in het privacy-debat.

[Reactie gewijzigd door w0nnapl4y op 10 april 2019 14:11]

Je moet ook aan ze vragen wat ze denken te bewijzen met een kopie paspoort.
Een ander bedrijf vroeg hier ook naar. Toen heb ik alle niet relevante zaken zwart gemaakt (geldigheidsdatum, foto, bsn nummer, paspoortnummer, geboortedatum). Enige wat er nog op stond was mijn naam. De rest was weg.
Dat moesten ze accepteren omdat ze de rest van de gegevens niet nodig hadden om mijn identiteit vast te stellen. Want ze hadden alleen mijn naam.
Denk je dat ze dat niet geprobeerd hebben? Ik weet ook wel dat ze genoegen hadden moeten nemen met een uitgezwarte kopie, maar dat veranderd er niks aan dat ze bij wet ook genoegen moesten nemen met helemaal geen kopie. Een uitgezwarte kopie bewijst veel minder dan wat ik ze al gegeven had, en zelfs om een zwart gemaakt paspoort vragen is illegaal tenzij ze geen enkele andere manier van verificatie hebben (terwijl ik er dus al 4 gegeven had). Daarbij vroegen ze meer informatie om uit te schrijven - per brief nog wel - dan om me in te schrijven... Bij gokken... Het is verdomme een voormalige overheidsonderdeel, en die zou zich niet aan de wet hoeven houden omdat je ze gemakkelijk tevreden kunt stellen met iets zwartmaken?

De eis was simpelweg onzinnig, alleen bedoelt om het moeilijk te maken je uit te schrijven, en illegaal. Ik ga een bedrijf, en zeker een voormalig onderdeel van de overheid, niet helpen illegaal dingen van mij te verkrijgen, gecensureerd of niet. Ze hebben zich aan de wet te houden en doen ze dat niet goedschiks dan doe ik het wel kwaadschiks voor ze.
Het medisch beroepsgeheim en het recht op privacy daarin is strenger dan de AVG.

Waar het hier om gaat is dat als een patiënt door dokter A naar dokter B verwezen wordt, dokter B zich wanneer patiënt zich onder behandeling stelt, nu vaak de voor de behandeling noodzakelijke gegevens via de fax of op papier moet opvragen omdat elektronische koppeling niet zomaar mag/kan. Patiënt vind dat ook vaak vervelend want dokter B kan de gegevens die dokter A al bij elkaar verzameld heeft niet inzien en moet ook alles nog weer eens dubbel navragen (met kans op omissies en schrijffouten). Het is dan niet zo dat de patiënt niet wil dat de gegevens naar dokter B gaan, hij/zij komt juist bij dokter B om zich te laten behandelen..

Wat ook heel veel voorkomt is dat patiënt voor controle bij dokter B komt en dat dokter A de medicatie gewijzigd heeft die mogelijk invloed heeft op de behandeling door B. Dokter B kan het niet nakijken (want geen / geen goede koppeling), patiënt weet het ook niet ("u kan het toch in het scherm zien?") en het blijft dus gissen wat patiënt nu eigenlijk al dan niet gebruikt.

En als je denkt dat dit sporadisch voorkomt dan heb je het mis. Voor mij is dit echt dagelijks werk.
Er wordt in het artikel een complete alinea aan gewijd
Dit is toch niet in strijd met de AVG?
Gegevens die nodig zijn voor de dienstverlening, mogen worden opgeslagen. Medische historie valt daaronder.

Je moet wel aan bepaalde voorwaarden voldoen bij het opslaan van die gegevens.

[Reactie gewijzigd door wjn op 10 april 2019 10:38]

Ik vind dat de minister dit plan wel moeten koppelen aan een identificatieplicht voor informatievragers. Ik wil als (potentiële) patiënt toch op z'n minst kunnen zien wie mijn gegegevens heeft ingezien en waarom dat is gebeurd. Het schijnt dat dit systeem in Estland (of was het Letland?) op op die manier werkt, dus het kan.
Het eerste waarin ik dacht ik dat als de minister wil dat de patiënt ook betere inzage heeft de patiënt ook dan meteen moet kunnen zien wie zijn gegevens geraadpleegd heeft.

Dat wil feitelijk zeggen dat iedereen in de medische sector een chipkaart moet hebben verbonden aan een pc. Wil diegene gegevens raadplegen zal die moeten inloggen met die kaart zodat alles traceerbaar is.

Blijft natuurlijk nog steeds het probleem wie geef je dan allemaal toegang. Dat een eerste hulp toegang kan krijgen lijkt me logisch, maar zomaar iedereen gaat ook weer te ver.

Het is natuurlijk allemaal complex maar de minister moet zorgen dat er vooral geen misbruik gemaakt kan worden en iedereen zo maar toegang kan krijgen. Ik neem aan dat er dan ook scherpte sancties moeten komen als iemand meerdere keren ten onrechte medische gegevens van iemand checkt.. Denk daarbij beroepsverbod. Neem ook aan dat een centrale database ook moet kijken of iemand te veel op een dag informatie opvraagt. Dat soort veiligheden tegen misbruik is belangrijk.
De minister hoor ik nu alleen met voorbeelden komen hoe handig het kan zijn, de waarborgen hoor ik hem niet over en dat moet toch echt hand in hand gaan, met vooral hele zware straffen bij misbruik. Alleen dan kan het werken.
Inderdaad.
Belangrijke gegevens, zoals bij mij dat ik hartpatiënte ben, zou wel zo beschikbaar moeten zijn voor de SEH's ed.
Maar de rest zou alleen met toestemming moeten gaan.
Oeps je geeft nu publiek al medische info over jezelf Hartpatiënte, met e dus neem aan vrouwelijk.
Je staat hier niet met je naam maar toch.
Genoeg tweakers kennen me IRL
Sowieso valt een vrouw in de IT op, daar maak ik me geen illusies over.
Mijn echte geheimen kom je echter niet te weten ;)
Volgens mij moet een patient ten allen tijde kunnen zien wie toegang heeft tot welke gegevens en wie er wanneer toegang heeft verzocht.

Net zoals de privacy instellingen van Smartphones etc.

Ik kan me inbeelden dat bij een spoedopname men direct toegang wil tot iemands bloedtype maar er is een verschil tussen de ‘essentials’ en mijn hele mentale toestand, het aantal bezoeken aan de kine of een opname in een verslavingskliniek.

Tegelijk zou ik mijn kine (of een andere doctor) ook toegang kunnen geven zodat ook hij de MRI scan van men rug kan zien.

Zodra we de deur helemaal openzetten ist uw data een vogel voor de kat en daar lezen zorgverzekeraars graag mee. Terwijl die dossiers vroeger wegstaken in een archief liggen ze nu open en bloot.

Binnen 10jaar lachen we met zo’n minsters.
Ze missen elke vorm van realiteitszin en gaan blindelings mee in een sluw digitaliseringsverhaal.

Zoals ik al zei: Zodra men toegang wenst tot heel mijn leven zou ik graag daar eerst toesteming voor geven. En als ik bewusteloos ben dan moet dat via famillie. Mijn ‘essentials’ zoals bloedgroep, leeftijd, naam, allergieen en intoleranties etc) mogen ook zonder mijn directe toestemming door een arts opgevraagd worden.
Volgens mij moet een patient ten allen tijde kunnen zien wie toegang heeft tot welke gegevens en wie er wanneer toegang heeft verzocht.

Net zoals de privacy instellingen van Smartphones etc.
Dat is in de praktijk heel goed mogelijk gebleken. Het huidige Landelijk Schakelpunt (LSP) kan inzichtelijk maken wie wanneer welke info heeft geraadpleegd. Een bestaand systeem, dat goed werkt uitbreiden lijkt me een prima uitgangspositie. Dat betreft dan even de Nederlandse situatie...
Ik kan me inbeelden dat bij een spoedopname men direct toegang wil tot iemands bloedtype maar er is een verschil tussen de ‘essentials’ en mijn hele mentale toestand, het aantal bezoeken aan de kine of een opname in een verslavingskliniek.

Tegelijk zou ik mijn kine (of een andere doctor) ook toegang kunnen geven zodat ook hij de MRI scan van men rug kan zien.
Als zorgverlener kan ik zeggen dat dit zeer waardevol is en in staat stelt beter ons werk te doen. Daarbij is het (in theorie, maar nog niet in praktijk) mogelijk dat je bepaalde data voor bepaalde zorgverleners achter een slotje plaatst.
Zodra we de deur helemaal openzetten ist uw data een vogel voor de kat en daar lezen zorgverzekeraars graag mee. Terwijl die dossiers vroeger wegstaken in een archief liggen ze nu open en bloot.
In Nederland geen issue: zowel de Tweede Kamer als Senaat hebben al een wet aangenomen waardoor zorgverzekeraars onbeperkt toegang hebben tot het medisch dossier, wanneer zij zorgfraude vermoeden. Daar spreekt de medische wereld schande van, want het beperkt ons beroepsgeheim en het is meten met twee maten. Daarbij is zorgfraude in kosten maar een heel klein probleem als je kijkt naar individuele patiënten.
Binnen 10jaar lachen we met zo’n minsters.
Ze missen elke vorm van realiteitszin en gaan blindelings mee in een sluw digitaliseringsverhaal.
We zouden met Bruins nu al lachen als het niet zo destructief zou zijn. Als je kijkt naar de smeulende resten die hij in zijn vorige betrekking (bij het UWV) heeft achtergelaten, kan de zorg zijn borst natmaken.
Zoals ik al zei: Zodra men toegang wenst tot heel mijn leven zou ik graag daar eerst toesteming voor geven. En als ik bewusteloos ben dan moet dat via famillie. Mijn ‘essentials’ zoals bloedgroep, leeftijd, naam, allergieen en intoleranties etc) mogen ook zonder mijn directe toestemming door een arts opgevraagd worden.
En laten we dan alsjeblieft het (medisch) beroepsgeheim heilig en zwaarwegend maken zoals het zou moeten zijn. Op die manier kan iedereen ook uitgaan van alle goede raadplegingen van dossiers in belang van een patiënt en de meest optimale zorg.
Als zorgverlener/ziekenfonds, heb je al voor alles een draaiboek waar de zieke aan moet voldoen voor er uitgekeerd gaat worden en dan nu deze nog meer info geven en dan nog via een minister?
Dat men bepaalde normale zaken wil en kan weten, geen probleem, maar dat alles in kaart moet worden gebracht, tja voor wat? De grootste smoes, het gemak (maar ten koste van je privacy of onkostendekking)
Het gaat geen ene verzekeringsmaatschappij (dus ook het ziekenfonds) ene moer aan. Dat de artsen dit zouden doen, het delen, dan vragen ze netjes mijn toestemming hier voor en heb ik daar geen probleem mee. Het is tenslotte mijn arts.
Maar..... en denk daar eens goed aan, waarom is een aansprakelijkheidsverzekering niet verplicht en ziekenfonds wel? Ja juist, (on)kosten (oftewel het draaiboek om er onderuit te komen). Verzonnen door de ziekenfondsen en lekker gelobbyed in de wandelgangen bij de politiek.
En waarom worden er door artsen onderling wel of niet zaken gedeeld? (goede arsten vragen hierom of delen hun bevindingen, andere vragen niets, hebben een doofpot en verdienen aan allerlei deals met medicijn fabrikanten)
Dus nee, mijn gegevens hoeven niet gedeeld te worden of opgeslagen ergens in een cloud in de States ;)
Op https://www.volgjezorg.nl/ kan je een geschiedenis log zien, dus ik snap niet wat je bedoelt met dat "niemand is vrijgemaakt om die logs te bekijken".

Gegeven: de logs zijn niet super specifiek. Ik zie zo [mijn arts] van [mijn ziekenhuis] heeft op [datum] mijn medicatie-overzicht opgevraagd. Ik zou ook precies willen weten in welke gedeeltes van mijn medicatie-overzicht mijn arts is geweest, want ik kan mij voorstellen dat lang niet alle medicatie relevant is om te weten voor een specifiek soort klacht. Het is de bedoeling dat in 2020 de toegang tot je medisch dossier moet veranderen, maar ik hoop dat de toegang nog wat verfijnder wordt, in dat je per onderdeel van je dossier ook daar delen kan afschermen die totaal irrelevant zijn voor sommige soorten artsen.

En terzijde: ik hoop ooit op een P2P decentraal systeem van je medische gegevens, waarbij alle gegevens in een blockchain worden opgeslagen, en de eigenaar (en eventuele vertegenwoordigers) aan een arts e.d. tijdelijke toegang kunnen verlenen tot specifieke delen van het dossier. Het huidige systeem is simpelweg te kwetsbaar voor misbruik en inbraak.
De overheid is met een systeem bezig voor digitale identiteit waar de burger zelf de controle over die gegevens moet hebben, maar ik heb geen idee of dat dan ook daadwerkelijk decentraal is, en in welke vorm. En ik heb geen idee of dat daar ook je medisch dossier in komt te staan.

Edit: hoe dan ook, ik hoop op een systeem waar dit simpelweg niet meer mogelijk is (dit is echt mijn nachtmerrie.. gelukkig dat ik niet zo belangrijk ben): https://www.nrc.nl/nieuws...k-dossier-barbie-a1600992

[Reactie gewijzigd door PostHEX op 10 april 2019 20:40]

En zo moet het zijn, toegang wordt per keer gevraagd indien nodig en je moet ten allen tijden kunnen zien wie de data ooit heeft bekeken met de reden waarom.
Waarom moet dit nou weer in een wet gegoten en verplicht worden gesteld?
Je komt bij de dokter en die ziet niet jou gegevens: "meneer/mevrouw, ik zie dat ik niet alle gegevens heb van uw dossier. Heeft u probleem mee dat dit wordt gedeeld en opgehaald?" En dan heb ik een keus. Ik vertrouw de partij en deel het dossier of ik vertel zelf mijn kwalen.
Ik kan me een situatie voorstellen waarin je niet in staat bent om toestemming te geven (zwaar letsel na een ongeluk), waarbij de informatie in het medische dossier cruciaal is voor de behandeling. Als je op dat soort moment niet over de juiste informatie kan beschikken kan dat fataal zijn.
De AVG voorziet precies om die reden in de volgende grondslag voor verwerking (delen):
Artikel 6 - Rechtmatigheid van de verwerking
1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
[...]
d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
Een wijziging van artikel 15a van de WABvpz met een vergelijkbare strekking lijkt me toereikend om in noodgevallen te voorzien. Het voorstel zoals het er ligt, is dus wel erg vergaand :/
Dat heet "niet beslissings bekwaam" en daar is al prima wetgeving voor. Aanvullend kun je daar zelf ook nog voorzieningen voor treffen.

Weer een oplossing voor een niet of nauwlijks bestaand probleem. Tuurlijk is het onhandig als het niet soepel loopt; daar kun je de patient op aanspreken als die dit deels verhinderd (financieel bv.). Maar laat de keuze en het eigendom van de gegevens daar waar het hoort: bij de patient.
Ik ben het deels met je eens, maar het gaat natuurlijk vooral om de momenten dat je zelf niet in staat bent om je kwaaltjes te vertellen.
"maar het gaat natuurlijk vooral om de momenten dat je zelf niet in staat bent om je kwaaltjes te vertellen."
En voor je het weet zit de halve medische wereld in jouw informatie te neuzen.

Explicite toestemming om "mijn" medische gegevens te delen vind ik essentieel.
Als ik, omdat ik gehecht ben aan mijn privacy, daardoor niet optimaal geholpen kan worden is dat mijn eigen keuze.Dit mag nooit afgedwongen worden.
Zo verkopen ze het. Praktijk is dat iedereen bij de gegevens kan, kijk maar naar Barbie en wie er allemaal in haar dossier zat te kijken.
Omdat ze in Den Haag nog meer lobbyen dan in Brussel, daarom zijn de Sypjes Wynia, Thierytomaatjes en al het andere gespuis ook zo anti Brussel. Niet voor de burger, maar het staat hun lobby centjes in de weg.

Dit heeft niks te maken met "het verhaal opnieuw vertellen", maar meer met "De zorgverzekeraar wil kunnen inzien wat jouw mankeert en daar een premie verhoging aan knopen! Daar ben ik het mee eens want YUMMIE LOBBY CENTJES EN BAANTJE NADERHAND!".
Jij deelt het dossier niet, dat doet de dokter. Het zijn gegevens over jou in het bezit van de dokter. Je enige rol is dat je toestemming geeft dat hij mag doorvertellen wat jij soms zelf niet eens weet.

Het zou handig zijn als je zelf je gegevens kan inzien zonder toestemming te moeten vragen aan degene die ze in bezit heeft. Dat is mijn grote bezwaar tegen hoe er nu met patientendossiers wordt omgegeaan.
Nee, die info deelt hij nu ook, maar dan per fax. Deze wetswijziging gaat alleen maar afdwingen dat dergelijke dossiervoering digitaal gebeurt in plaats van op papier. Dit scheelt zorgverleners tijd.
Klinkt leuk, maar met meer delen is kans groter dat t terecht komt op straat. Hoe staat het met de beveiliging rond deze data bij de zorgaanbieders?
Klinkt leuk, maar met meer delen is kans groter dat t terecht komt op straat. Hoe staat het met de beveiliging rond deze data bij de zorgaanbieders?
Niet, zodra alles op straat ligt biedt de aanbieder of zorgverzekeraar zijn excuus aan met de mededeling dat men gaat kijken hoe dit heeft kunnen gebeuren en daar blijft het bij
en de zorgverzekeraar verandert fijn de premie afhankelijk van wat er in je dossier staat. Rook je? 100 euro per maand er bij. Voetbal je? Knieletsel uitgesloten etc etc.
Geen beveiliging,het is vrij eenvoudig om bij bepaalde instellingen het hele EPD raadplegen, heel scary.
Mijzelf, ik kon er bij 3 instellingen zo bij.
Ik ga er van uit dat je de bewuste instellingen op de hoogte hebt gebracht van het probleem?

[Reactie gewijzigd door gijs_schouten op 10 april 2019 11:41]

Absoluut, die kunnen het alleen niet (makkelijk) afschermen en achten het risico erg laag :'(
Aangegeven bij de autoriteit persoonsgegevens?
Ik ben zelf geen arts of werkzaam in de zorg, maar is het niet zo dat voor een arts het net zo belangrijk is hoe je iets verteld (lichaamstaal/gezichtsuitdrukking) als wat je verteld. Hierom vertel/omschrijf je jouw klachten voor verschillende artsen. Ik kan mij heel goed voorstellen dat een huisarts op andere dingen let dan een gespecialiseerde arts. Dan heb je er dus profeit van dat je jouw verhaal nog eens moet vertellen.

En dan nog de rotzooi van de zorgverzekeraars ... die maken de zorg ook al onnodig omslachtig, maar dat is een hele andere rant.
Je kunt er niet van uit gaan dat een patient een coherent, consistent en objectief verhaal heeft over zijn klachten. Het kan best zijn dat een patient drie keer verschillend reageert op drie verschillende artsen.
Het is dus erg belangrijk dat elke arts in de keten beschikt over zoveel mogelijk objectieve en consistente informatie. Wat hij er mee doet, is zijn pakkie-an, maar in de basis gaat het om het beschikbaar hebben van zoveel mogelijk informatie. En kennelijk, blijkt uit het artikel, is die informatie voor artsen niet altijd beschikbaar. En als die informatie ook nog eens overgetikt moet worden is hij per definitie onbetrouwbaar.
Naar mijn idee is een verhaal direct van de betrokkene betrouwbaarder dan een verslag dat is opgesteld over die betrokkene door iemand anders. Daar zit dan weer een samenvatting in, is het gekleurd door die andere persoon, dingen weggelaten die de andere persoon niet relevant acht... Ik vertel mijn verhaal liever zelf 3x opnieuw dan dat een arts alleen uitgaat van wat er in een dossier is neergezet.
Jawel, maar jij bent intelligent, welbespraakt, coherent en medisch onderlegd. Jij wordt niet beïnvloed door de persoonlijkheid van de arts, je eigen emoties, of je met je goede been uit bed bent gestapt en de domme vragen die je worden gesteld. En je vergeet tijdens geen van die gesprekken belangrijke informatie te vermelden.
De rest van Nederland heeft daar wel last van. Ik ben misschien iets te sarcastisch (ik bedoel het niet vervelend), maar er is een belangrijk advies dat altijd wordt gegeven aan mensen die een arts bezoeken: neem iemand mee. Dat advies is niet voor niets.
Probleem is alleen wel dat kleuring gebeurt evengoed, zo niet meer door betrokken zelf. Je moest eens weten hoe vaan medisch specialisten te maken krijgen met mensen die wat hebben gelezen op internet en ervan overtuigd aandoening X of Y te hebben.

Bovendien gaat de hele kwestie over de toestemmingsvraag primair over spoedzorg. Als jij bewusteloos op straat wordt gevonden en met gillende sirenes naar een ziekenhuis wordt vervoerd, dan is het niet heel praktisch dat een arts moet wachten totdat jij een coherent verhaal kan vertellen.

Niet voor niks staat er duidelijk in de brief
Deze bepaling moet restrictief worden uitgelegd. Alleen als het echt niet anders kan en ook beperkt in tijd. Dus zodra het kan, moet er direct toestemming gevraagd worden.
Lobby groep van verzekeraars zullen hier vast achter zitten. Mijn eigen wens in gegevens niet zomaar te delen zou namelijk hoe dan ook het belangrijkst van alle reden zijn.
Bruins is echt een vervelend naar mannetje die ongetwijfeld zwaar aangelijnd zit door de lobby.
"Bruins is echt een vervelend naar mannetje die ongetwijfeld zwaar aangelijnd zit door de lobby."
Graag bewijzen van dit soort stellingen, anders is het alleen maar stemmingmakerij.
er hoort altijd toestemming te zijn vooe medische gegevns dit is een stap achteruit
Voor de verzekeringsmaatschappijen is dit een stap vooruit het is een plan wat allang lang geleden bedacht is en stapje voor stapje steeds verder wordt doorgevoerd. Straks krijg je, dat je een persoonlijke premie krijgt die wordt berekend op basis van wat je allemaal hebt


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True