Privacywaakhond berispt ggz-onderzoeksinstantie voor verwerken persoonsgegevens

De Autoriteit Persoonsgegevens heeft een berisping uitgedeeld aan de Alliantie Kwaliteit in de Geestelijk Gezondheidszorg. Akwa GGZ verwerkte persoonsgegevens over gezondheid en deed dat in strijd met de privacywet. De data is inmiddels vernietigd.

Volgens de Autoriteit Persoonsgegevens nam Akwa GGZ begin 2019 gezondheidsgegevens over van Stichting Benchmark GGZ, of SBG. Deze gegevens werden volgens de AP onvoldoende geanonimiseerd. Hiermee heeft de instelling dus gezondheidsgegevens verwerkt, wat in principe verboden is onder de Algemene Verordening Gegevensbescherming. Bedrijven die zulke gevoelige informatie wel willen verwerken, moeten een uitzondering aanvragen. Akwa GGZ voldoet niet aan die eisen, meldt de AP.

Zowel Akwa GGZ als de SBG doet onderzoek naar de kwaliteit van geestelijke-gezondheidszorg in Nederland. Patiënten vullen op verzoek van zorginstellingen vragenlijsten in over hun behandelingen en eventuele (verbetering van) symptomen. Daarmee kan de kwaliteit van behandelingen worden getoetst en verbeterd. Ook kan de tevredenheid van cliënten op deze manier onderzocht worden. Dit levert routine outcome monitoring-data op. Dit is alleen toegestaan als de data volledig geanonimiseerd wordt. De privacywaakhond constateerde echter dat SBG niet voldoende maatregelen nam om het risico op herleidbaarheid te minimaliseren.

Volgens de Autoriteit Persoonsgegevens maakte SBG onder andere geen gebruik van randomisatietechnieken. Ook bleef de sleutel voor pseudonimisering gelijk. Door middel van pseudonimisering worden gevoelige persoonsgegevens vervangen door een onleesbaar, versleuteld stuk tekst. Door continu dezelfde sleutel te gebruiken, is het risico dat de tekst ontcijferd kan worden hoger, aangezien alle teksten ontsleuteld kunnen worden met een enkele encryptiesleutel. Als deze sleutel in handen van een derde partij valt, kunnen al deze persoonsgegevens gelezen worden. De data van SBG is volgens de AP dan ook niet anoniem en kan worden gezien als 'tot de persoon herleidbare gezondheidsgegevens'.

Akwa GGZ heeft eerder dit jaar de dataset van de SBG overgenomen, waarmee ook die instantie persoonsgegevens heeft verwerkt. De SBG bestaat inmiddels niet meer, waardoor de privacywaakhond een maatregel oplegt aan Akwa GGZ. In dit geval is dit een berisping, ook wel een formele waarschuwing. Dat is omdat Akwa GGZ de data inmiddels heeft vernietigd.

Door Daan van Monsjou

Nieuwsredacteur

Feedback • 16-12-2019 13:54 22

16-12-2019 • 13:54

22

Lees meer

Gezondheidsgegevens van ggz-patiënten Pro Persona zijn gestolen door phishing
Gezondheidsgegevens van ggz-patiënten Pro Persona zijn gestolen door phishing Nieuws van 7 februari 2020
Autoriteit Persoonsgegevens werkt aan protocol voor AVG-certificeringen
Autoriteit Persoonsgegevens werkt aan protocol voor AVG-certificeringen Nieuws van 24 december 2019
Privacywaakhond: nagenoeg alle webshops overtreden cookieregels
Privacywaakhond: nagenoeg alle webshops overtreden cookieregels Nieuws van 10 december 2019
AP: data-afdeling Nederlandse Belastingdienst heeft databeveiliging weer op orde
AP: data-afdeling Nederlandse Belastingdienst heeft databeveiliging weer op orde Nieuws van 16 oktober 2019
AP: zorgsector meldt meeste datalekken in eerste helft van dit jaar
AP: zorgsector meldt meeste datalekken in eerste helft van dit jaar Nieuws van 19 september 2019
Rechter: AP hoeft niet op te treden tegen NS en Arnhemse afvalpas
Rechter: AP hoeft niet op te treden tegen NS en Arnhemse afvalpas Nieuws van 6 september 2019
Meer producten en artikelen
Politiek en recht Privacy Autoriteit Persoonsgegevens Gezondheid

Reacties (22)

-Moderatie-faq
22
22
10
4
0
11
Wijzig sortering

Sorteer op:

Weergave:
CAPSLOCK2000
16 december 2019 14:39
Door middel van pseudonimisering worden gevoelige persoonsgegevens vervangen door een onleesbaar, versleuteld stuk tekst. Door continu dezelfde sleutel te gebruiken, is het risico dat de tekst ontcijferd kan worden hoger, aangezien alle teksten ontsleuteld kunnen worden met een enkele encryptiesleutel. Als deze sleutel in handen van een derde partij valt, dan kunnen al deze persoonsgegevens gelezen worden.
Is dat echt het probleem? Volgens mij gaat het niet echt om ontcijferen. Als je pseudonimisering goed op zet is decryptie onmogelijk (en ook nergens voor nodig). Vaak is het probleem dat mensen nog steeds over langere tijd (en/of meerdere instanties) te volgen zijn. Dan weet je niet wat de naam van de persoon is, maar wel dat je steeds te maken hebt met diezelfde persoon met de "naam" XY32.
Als je echter weet dat XY32 een man is van 35 jaar oud die in Amstelveen Zuid-Oost woont, die in 1997 z'n been heeft gebroken en 2014 behandeld is voor een hernia, dan heb je al zo veel informatie dat er eigenlijk maar 1 iemand in het land kan zijn waar het om gaat, ook al weet je z'n naam niet.


Het goed anonimiseren of pseudonimiseren van data is erg lastig. Deze organisatie lijkt het in ieder geval geprobeerd te hebben. Jammer dat het niet goed genoeg was. Ik denk dat het daarom ook bij een berisping is gebleven. Deze zaak wordt als voorbeeld gesteld voor de rest van Nederland om te laten zien waar de grens ligt, zodat andere organisatie die het goed bedoelen weten waar ze op moeten letten.

[Reactie gewijzigd door CAPSLOCK2000 op 24 juli 2024 04:48]

ODF @CAPSLOCK200016 december 2019 15:09
We hebben het hier niet over een gebroken been of een hernia maar over zeer gevoelige psychische informatie. Ook heeft de ROM-data verzameling niks te maken met kwaliteit of wat voor management onzin dan ook.
Het doel van deze Big Data was/is om te komen tot een rekenmodel om te kunnen voorzien hoeveel psychische zorg vraag er zou kunnen komen uit een bepaald gebied en daar op kunnen sturen met premieaanpassingen in bepaalde gebieden. Zelfde wat de schadeverzekeraars doen met de informatie van gestolen goederen zoals fietsen in bepaalde gebieden, worden er in jou woongebied veel fietsen gejat heb je een hogere premie dan iemand die in een gebied woont waar weinig of geen fietsen worden gejat.

Ook de miljoenen aan zorggeld die in dit project zijn gestopt door de zorgverzekeraars, en de door de zorgverzekeraars gedwongen zorgaanbieders om hier aan mee te doen, zijn letterlijk weggegooid. Wat een verspilling!

[Reactie gewijzigd door ODF op 24 juli 2024 04:48]

Fidesnl @ODF16 december 2019 17:40
Hoe kom je bij deze opmerking, heb je hier een bron voor? Want uit het nieuwsartikel haal ik dit niet.
ODF @Fidesnl16 december 2019 19:27
Mijn bron is mijn werk als o.a ICT manager in de GGZ sinds 2006. In overleggen met zorgverzekeraarmanagers kwam dit in de aanloop naar de ROM vaak ter sprake als een mogelijke toepassing van de Big Data door de zorgverzekeraars. Dit gaan ze echt niet zeggen als dit op hogere niveau's ook al niet besproken is.
TheekAzzaBreek @CAPSLOCK200016 december 2019 15:28
[...]

Is dat echt het probleem? Volgens mij gaat het niet echt om ontcijferen. Als je pseudonimisering goed op zet is decryptie onmogelijk (en ook nergens voor nodig). Vaak is het probleem dat mensen nog steeds over langere tijd (en/of meerdere instanties) te volgen zijn. Dan weet je niet wat de naam van de persoon is, maar wel dat je steeds te maken hebt met diezelfde persoon met de "naam" XY32.
Als je echter weet dat XY32 een man is van 35 jaar oud die in Amstelveen Zuid-Oost woont, die in 1997 z'n been heeft gebroken en 2014 behandeld is voor een hernia, dan heb je al zo veel informatie dat er eigenlijk maar 1 iemand in het land kan zijn waar het om gaat, ook al weet je z'n naam niet.
Wat het nou zo venijnig maakt is dat je om dit soort onderzoek goed te kunnen doen, je wel over langere tijd en meerdere instanties moet kunnen volgen. En goed empirisch onderzoek naar de effectiviteit van onze ggz is hard nodig. Ik ben benieuwd hoe ze dat op gaan lossen.
Groningerkoek 16 december 2019 15:14
Net als dat de bouw/industrie VCA heeft om in elk geval een stukje basiskennis over te brengen en mensen daarna veel sneller verantwoordelijk te houden voor fouten die zij begaan zou er om mij ook een soort basiscursus moeten komen voor een ieder die met al dan niet geanonimiseerde persoonsgegevens werkt, hierdoor krijgen werknemers een beter idee wat wel of niet mag, en is het ook gemakkelijker om mensen persoonlijk verantwoordelijk te houden. Een manager die zo'n cursus heeft gedaan en besluit om dit zo uit te voeren kan dan zelf ontslag/straf krijgen. Het is allemaal veel te vrijblijvend nu en de overtredingen blijven maar doorgaan want een echte consequentie is er veel te vaak niet. Ontsla/straf een stel mensen en als bekend is dat er echt wordt opgetreden op persoonlijk niveau met echte consequenties dan zal men veel meer doen om binnen de regels te blijven.
sympa @Groningerkoek16 december 2019 17:35
Er is ook veel dommigheid. Voorbeeld: systeemmonitoring. Ik zeg: neem elke 100e logregel en doe daar de statistieken op (lopende gemiddelden dus privacy ok). Gewoon omdat het traag werd bij 100 miljoen van die dingen.
Commentaar: je slaat 99% over dan klopt het gemiddelde nooooiittt! Plan afgekeurd. Meneer technisch manager moest het gemiddelde van alles hebben.
Groningerkoek @sympa16 december 2019 19:17
Laat die man dan de volgende keer budget regelen opdat je lekker berekeningen op zulke logs/db's los kunt laten.

Maar serieus, dommigheid vind ik het slechtste excuus mogelijk.
1nsane 16 december 2019 14:21
Dit is wat we willen van de AVG, ik kan me namelijk niet voorstellen dat ze die data vernietigd hadden als de AP ze niet op de vingers had getikt.
K-aroq @1nsane16 december 2019 15:08
Maar hier staat de AVG haaks op andere belangen. Als je 100% AVG veilig wilt zijn gooi je direct na afloop alle informatie weg. Maar als je dan wilt kijken hoe je bepaalde behandelingen kunt verbeteren ben je blind. En juist de bijzondere combinatie van zaken (waardoor je weer makkelijk een persoon kunt identificeren) maakt het interessant voor verdere analyse. Iemand die 2 gespreken met een GGZ therapeut heeft gehad en daarna weer goed verder kon is niet zo interessant. Maar juist iemand met een uitgebreide historie levert materiaal op waar we van kunnen leren.
Robbierut4 @K-aroq16 december 2019 19:48
Dat klopt, en technisch gezien mag je die ook bewaren, mits je de juiste toestemming hebt.
De AVG verbied niks, de AVG verplicht alleen toestemming en bepaalde beveiligingsmaatregelen.

Waarschijnlijk als je de GGZ patiënten vraagt of hun data anoniem gedeeld mag worden voor onderzoek, dat de meeste daarmee akkoord gaan.
TheProf82 16 december 2019 14:02
Goedzo. Ik merk dat er vaak verwarring is over het verschil tussen pseudoniem en anoniem. Ik vind anoniem ook lastig, want vaak is anonieme data weldegelijk terug te herleiden naar personen. En is het dus niet (meer) anoniem.

Wat nu anoniem is, is misschien herleidbaar over 5 jaar. Daarom zijn mensen denk ik ook zo huiverig om gegevens af te staan, zelfs als het wordt 'geanonimiseerd'.
ODF 16 december 2019 14:27
Al in 2011 toen ik in Zeist bij SBG was voor een voorlichtingsbijeenkomst zei ik ze al dat het gebruiken van de ROM-data, waar het hier om gaat, niet anoniem genoeg was vanuit privacy oogpunt. De data die naast de ROM-uitkomsten opgeslagen werd van de cliënten was het geslacht, geboortedatum en de 4 cijfers van de postcode.
Als je je dan bedenkt dat de Stichting Benchmarking GGZ opgezet is door de zorgverzekeraars, en wat die voor persoonsgegevens hebben van ons, dat combineren met deze ROM-data zijn individuele personen niet zo moeilijk te achterhalen.
Er werd mij verzekert toen dat alles voldeed aan de pseudonimiseringsnorm. Ik geloofde ze toen niet, heb nooit meegedaan aan het aanleveren van deze ROM-data en kreeg dus uiteindelijk gelijk.
sympa @ODF16 december 2019 17:33
Zo zijn die gegevens zijn inderdaad wel zeer herleidbaar. En ik zie geen reden voor deze fijnmazigheid.
Sterker nog, met grotere zones (desnoods wat postprocessing, zoals bij de grote steden er in, er om, of helemaal niet - wel nauwkeurig maar toch heel veel mensen), en dan leeftijdcategorieen (0-12, 12-18, 18-30, 30-50, 50+). En dan moet je nog zorgen dat er geen datum van behandeling in lekt, geen exacte tijdsduur, etc...
Erka56 16 december 2019 15:45
Er zijn GGZ instellingen die persoonsgegevens delen via gratis dropbox accounts, dan valt mij dit zelfs nog reuze mee.
tweaknico @Erka5617 december 2019 12:36
Het kan natuurlijk altijd nog meer fout gaan... maar elke fout oplossen en nieuwe fouten voorkomen zou een heel eind moeten kunnen komen.
t link @Erka5617 december 2019 16:20
Doe een melding bij het AP zou ik zeggen, daarvoor zijn ze! al moeten ze wel echt meer mankracht krijgen voor dit soort dingen.
Gogar 16 december 2019 15:23
Die routine outcome monitoring-data is waardeloos. Als je daar iets invult wat afwijkt van dat alles prima gaat met de behandeling, dan wordt je daar het volgende bezoek gelijk mee geconfronteerd. Terwijl in eerste instantie de indruk wordt gewekt dat je daar buiten jouw behandelaar om kan rapporteren over hoe de behandeling verloopt.

De volgende keren dat je dat invult heb je dus het gevoel dat er over je schouder wordt meegekeken. De grote machtsverhouding tussen een patiënt en een psycholoog zorgt er dan voor dat het niet naar waarheid wordt ingevuld.
aliencowfarm 16 december 2019 15:35
Ik vindt het überhaupt verwerpelijk dat bedrijven of andere instanties menen informatie te moeten delen met bedrijven die onderzoeken doen zonder dat je er persoonlijk mee in stemt. Als men zo graag onderzoek wil doen kan men ook wel zelf een formulier op hun eigen website zetten en mails versturen van hun eigen domein. Maar ja blijkbaar heeft de Autoriteit Persoonsgegevens daar geen problemen mee.
wjn @aliencowfarm16 december 2019 17:04
Je klacht is door de AP afgewezen?
aliencowfarm @wjn16 december 2019 20:44
Nee heb nooit een klacht in gediend. Maar het staat (of stond) op de website van Autoriteit Persoonsgegevens dat het wel mag.
RvdDungen 16 december 2019 19:01
Correctie: om gezondheidsgegevens te verwerken hoef je geen uitzondering aan te vragen, maar voldoen aan een uitzonderingsregel.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq