HagaZiekenhuis stopt met vrijwillige vragenlijsten vanwege niet voldoen aan AVG

Het Haagse HagaZiekenhuis stopt met vrijwillige, digitale vragenlijsten die patiënten voor een behandeling kunnen invullen. De vragenlijsten voldoen niet aan de privacywet. Het HagaZiekenhuis is daar voorzichtig mee nadat het in Nederland de eerste AVG-boete kreeg.

Het gaat specifiek om de online tool ConsultAssistent. Het ziekenhuis gebruikte die tool op de keel-, neus- en oorafdeling. Patiënten konden vrijwillig hun symptomen en gezondheidsklachten voor en na een bezoek invullen. De tool bestond sinds 2017 en het invullen door de patiënten gebeurde vrijwillig.

Hoewel patiënten de tool vrijwillig gebruikten, concludeert het HagaZiekenhuis nu dat de vragenlijsten niet volledig aan de AVG voldeden. Zo werd niet goed uitgelegd op welke manier de gegevens werden gebruikt. De data werd opgenomen in het patiëntendossier. Ook vroeg het ziekenhuis 'niet duidelijk genoeg' om toestemming. Omdat het om medische gegevens gaat, moet toestemming ondubbelzinnig zijn onder de AVG. Tot slot was er ook geen geldige verwerkingsovereenkomst tussen het ziekenhuis en het bedrijf Outcome Measurement, dat de tool ontwierp.

Het ziekenhuis is vrijwillig gestopt met het gebruik van de vragenlijsten. Dat is in ieder geval 'voorlopig'. Ook kan Outcome Measurement de gegevens niet meer gebruiken. Het ziekenhuis heeft daarnaast een melding gedaan bij de Autoriteit Persoonsgegevens.

Dergelijke privacykwesties liggen gevoelig in het ziekenhuis in Den Haag. Het HagaZiekenhuis was vorig jaar de eerste Nederlandse instelling die een AVG-boete kreeg. Later kwam het ziekenhuis opnieuw in verlegenheid toen bleek dat A4'tjes met gegevens van patiënten als boodschappenlijstje werden gebruikt.

Door Tijs Hofmans

Nieuwscoördinator

21-07-2020 • 09:23

109

Reacties (109)

Sorteer op:

Weergave:

Het Haagse Haga Ziekenhuis stopt met vrijwillige, digitale vragenlijsten die patiënten voor een behandeling moeten invullen.
Wat is het nou? Zijn ze vrijwillig, of MOETEN ze ze invullen?
Dat is het hele probleem van die avg onzin. Mensen kunnen niks meer, en durven vooral niks meer. Elke Anita op een willekeurige afdeling denkt tegenwoordig al dat ze niks meer per mail mag sturen, of zelfs email moet verwijderen na twee weken ofzo.

Hier is die wet helemaal niet voor bedoeld, en bedrijven die weten hoe het werkt kunnen vrijwel alle informatie verkrijgen die ze eerst ook verkregen, alleen moeten ze nu duidelijker toestemming vragen en moeten ze 'bedenken' en toelichten waarom ze die data nodig hebben. Dan is 't allemaal geen probleem meer. Tenzij je bsn-nummers wil verzamelen :P Vooral een wassen neus dus die het voor kleine goedwillende bedrijfjes onnodig complex maakt

[Reactie gewijzigd door Saven op 22 juli 2024 13:53]

Er mag genoeg met het AVG. Het moet alleen duidelijk zijn wat er met die informatie gebeurt en daar loopt het vaak op stuk.

Het staat hier op Tweakers een beetje raar verwoord, het AD meldt bv gewoon dat het probleem was dat het bedrijf Outcome Measurement BV onterecht inzage had in de medische gegevens van 6500 mensen en niet dat het probleem het onderzoek zelf is.

https://www.ad.nl/den-haa...-6-500-patienten~a277c357
Voor het gebruik van deze vragenlijsten had het ziekenhuis alleen geen overeenkomst met het bedrijf hierachter: Outcome Measurement. Daarmee werd de AVG-wet, ook wel bekend als de privacywet, overtreden. Bovendien werd aan patiënten niet expliciet om toestemming gevraagd om hun gegevens ook voor andere doeleinden te gebruiken.
Het probleem is absoluut niet het AVG, we mogen juist hardstikke blij zijn met het AVG dat we tegen dit soort waardeloze toestanden bescherming hebben.

[Reactie gewijzigd door batjes op 22 juli 2024 13:53]

Dan is het maar goed dat de AVG er is, want daardoor snapt 'Anita op een willekeurige afdeling' tenminste dat het geen goed idee is om gevoelige gegevens per mail te versturen, of denkt ze in ieder geval even na voor maar lukraak alles op mail te zetten. Dat lijkt me juist een van de doelen van de AVG. Als Anita ook denkt dat de mail na 2 weken verwijderd moet worden heeft het bedrijf waar Anita werkt de voorlichting/richtlijnen aan medewerkers niet in orde.

Ook die kleine goedwillende bedrijfjes kunnen gewoon om goed onderbouwde toestemming vragen hoor. En heel eerlijk, als zo'n klein goedwillend bedrijf belangrijke gegevens van mij verzamelt maar niet weet hoe ze daarmee om moeten gaan, heb ik liever dat ze die ook gewoon niet verzamelen. Dus als de AVG ervoor zorgt dat het kleine goedwillende bedrijf dan stopt met het verzamelen van gegevens in plaats van dat ze mogelijk op straat komen te liggen lijkt mij dat ook een prima gevolg van de AVG.
Maar daar ga je dus de mist in. Het gaat niet alleen om "gevoelige gegevens" maar om persoonsgegevens in het algemeen. Ook een e-mailadres of een naam valt daar onder. Tuurlijk is het goed dat Anita niet je medische dossier ff snel copy/paste in een email.

Maar het gaat om gegevens die helemaal niet zo gevoelig zijn en niet meer dan logisch worden gebruikt. En daardoor raken alle bedrijven in paniek en denken ze dat er niks meer mag. Die denken dat ze geen namen meer mogen noemen in e-mails en als ze dat wel doen dat de mail binnen twee weken moet worden verwijderd :') Gaat er vast niet bij iedereen zo aan toe natuurlijk, maar ik merk dat het vooral de kleine bedrijfjes zijn die geen idee hebben hoe of wat.
Maar dan kom je toch weer bij het punt uit dat die bedrijven hun AVG kennis niet op orde hebben? Of ze de voorlichting/richtlijnen binnen het bedrijf niet in orde hebben waardoor (bepaalde) medewerkers het niet weten? Ook daarvoor geldt dat ik liever heb dat ze dan te voorzichtig doen met die gegevens (of juist niets meer doen/verzamelen) dan dat ze maar wat aanklooien omdat ze het niet weten.

De AVG is er inmiddels al een paar jaar, en er is echt heel veel over geschreven. Als je je een beetje inleest kun je op internet heel veel nuttige informatie vinden bij de juiste bronnen. En natuurlijk zijn er ook nog zaken onduidelijk. Maar als je bij twijfel voor de meest privacy vriendelijke optie kiest zit je vaak goed (en als dat betekend dat je iets niet mag, tja, dan is dat zo). Je kan je vragen ook altijd voorleggen bij een externe club. De AVG is nu eenmaal onderdeel van de bedrijfsvoering geworden, als je als klein of groot bedrijf daar geen kennis over in huis hebt moet je die maar in huis halen.
Maar het gaat om gegevens die helemaal niet zo gevoelig zijn en niet meer dan logisch worden gebruikt.
Zoals? dat mijn e-mailadres zomaar gebruikt/verkocht etc word i.c.m. met mijn naam of andere info wat ik daar koop/gebruik vind ik niet "meer dan logisch"
Gegevens dien je ook niet via mail te versturen, daar zijn systemen voor, en dat Anita denkt dat ze het niet per mail mag versturen is beter dan een Saven die denkt dat het allemaal onzin is en niet zo een vaart loopt met privacy.
Wanneer je een bedrijf belt om een ontvangstbevestiging of afspraakbevestiging te sturen kan dat prima per mail. Helemaal als ze jouw emailadres al in hun systeem hebben.
Maar veel bedrijven schieten daarbij in een kramp.
Want, kleine en goedwillende bedrijfjes zouden zonder toestemming of zonder gerechtvaardigde grondslag alles mogen verzamelen van mensen? Ook zij kunnen bedenken hoe ze goed toestemming moeten vragen en dan mogen ze het ook doen. Het is ook niet heel moeilijk, maar het vergt wel iets meer van de administratie, dat klopt. Aan de andere kant is het doel van de AVG om de betrokkene meer handvatten te geven om zijn gegevens te beschermen. Dan is het inherent zo dat aan de andere kant spaanders vallen.
Hier is de wet exact voor bedoeld. Het ongeoorloofd delen van medische gegevens is in AVG-termen ongeveer het slechste wat je kan doen. Dat Anita's werkgever te laks en onverantwoordelijk is om met degelijke bestandsuitwisselingssystemen te gaan werken maakt het niet opeens slechte wetgeving.
Het gaat in het artikel hierboven om medische gegevens en dat zijn gevoelige persoonsgegevens dus daar is de wet wel degelijk voor bedoeld. Deze gegevens mogen best verzameld worden maar daar moet je dus wel een aantal zaken voor regelen. Wat hierboven genoemd wordt (ontbreken duidelijke beschrijving wat er met de gegevens gebeurt, ondubbelzinnig toestemming verlenen, verwerkersovereenkomst met de leverancier) zijn zaken die relatief eenvoudig te regelen zijn, maar vraagt wel de zorgvuldigheid van het ziekenhuis om dit daadwerkelijk te regelen. Wat je vaak zag is dat organisaties kort-door-de-bocht oplossingen inrichtten zonder goed na te denken wat de gevolgen zijn, en de wet is bedoeld om dat gedrag te veranderen.

Overigens is de wet ook bedoeld om te voorkomen dat Anita lijsten met persoonsgegevens gaat versturen naar verkeerde mailadressen. Nu hoeft Anita geen privacydeskundige te worden, maar moet ze wel in Jip-en-Janneketaal worden geïnstrueerd over wat wel en wat niet mag.
Als Anita persoonsgegevens verstuurd en ontvangt per mail dan is het helemaal goed van Anita dat ze die na 2 weken verwijderd. Doet ze dat niet, en ze bewaard haar mail omdat "je het misschien nog wel eens nodig hebt, handig!" dan voldoet ze niet aan de AVG.

Dus Anita is hier volgens mij goed bezig!
Een beetje data literacy zou echt geen kwaad kunnen maar als je nu bijvoorbeeld binnen de universiteit al een kleine survey wil doen springen alle alarmlichten aan. Eerst moet je een ethische commissie er naar laten kijken, daarna komt de datapolitie nog een keer langs, en voordat je het weet heb je zelf je leidinggevende op je dak omdat ze zenuwachtig worden.
Precies dat ja idd _O-
Mensen kunnen niks meer, en durven vooral niks meer.
Flauwekul. Echt volstrekt flauwekul. Dat mensen niks meer durven moeten ze zelf weten, maar ze kunnen nog vrijwel zoveel als voor de invoer van de AVG. Die wet stelt echt niet zoveel extra eisen ten opzichte van de privacyregels die reeds voortvloeiden uit de WbP en de Telecomwet. Organisaties die die regels reeds naleefden hebben bijna niks hoeven aan te passen bij de invoer van de AVG. Het zijn bedrijven die altijd een loopje hebben genomen met de privacywetgeving die nu peultjes zweten. Daar hoeft niemand medelijden mee te hebben.
et zijn bedrijven die altijd een loopje hebben genomen met de privacywetgeving die nu peultjes zweten. Daar hoeft niemand medelijden mee te hebben.
Fout, die zoeken gewoon de mazen op of gaan door totdat ze tegen de lamp lopen. Juist de mensen die het netjes willen doen hebben het lastig.
Denk dat dit juist het probleem is, misschien is het niet expliciet verplicht, maar als ik van mijn dokter de vraag krijg of ik iets wil invullen dan voelt dat niet als iets optioneels.
In de bron staat "moeten" ook niet daar staat:
De patiënt kreeg voor en na zijn afspraak een digitaal in te vullen vragenlijst met vragen over zijn/haar gezondheid en gezondheidsklachten.
Normaal gesproken hoef je trouwens voor het verwerken van gegevens geen toestemming te vragen als je dat nodig hebt om een contract uit te voeren en alleen daar voor gebruikt, wat me hier het geval lijkt. Is het probleem hier dan vooral dat het niet op servers van het ziekenhuis zelf staat?

[Reactie gewijzigd door jmzeeman op 22 juli 2024 13:53]

Dit zou je prima kunnen oplossen door in de vragenlijst expliciet op te nemen dat het vrijwillig is, en vragen of mensen mee willen doen (en daarmee toestemming geven etc). Maar gewoon overal mee stoppen "omdat AVG" kan natuurlijk ook...
of een vragenlijst vrijwilig of niet is, maakt verder niet uit of dat de privacy van de invuller geschonden kan worden, doordat er geen garanties zijn wat er precies met deze gegevens gebeurt, en zorgvuldigheid vastgesteld wordt over de verwerking.
en bv een privaat bedrijf dat dezxe gegevens verzameld niet eens een verwerkers-overeenkomst heeft

Ook vrijwillige gegeven gegevens vallen gewoon onder de AVG, en verzameling daarvan is enkel legaal als dat via bepaalde procedure's verloopt en zekerheden bestaan rondom zorgvuldigheid.

[Reactie gewijzigd door RM-rf op 22 juli 2024 13:53]

Dat is inderdaad niet goed, net als het missen van de verwerkersovereenkomst. Maar dat zijn allemaal dingen die relatief eenvoudig zijn op te lossen, zou je zeggen.
Denk dat dit juist het probleem is, misschien is het niet expliciet verplicht, maar als ik van mijn dokter de vraag krijg of ik iets wil invullen dan voelt dat niet als iets optioneels.
Strict genomen is iedere behandeling natuurlijk vrijwillig. Als ik liever met een gebroken been door het leven ga dan naar de dokter te gaan dan is dat mijn goed recht. Maar ja, zo ervaren mensen dat niet. Die doen gewoon braaf wat de dokter zegt want in 99% van de gevallen is dat de verstandige keuze.
Normaal gesproken hoef je trouwens voor het verwerken van gegevens geen toestemming te vragen als je dat nodig hebt om een contract uit te voeren en alleen daar voor gebruikt, wat me hier het geval lijkt. Is het probleem hier dan vooral dat het niet op servers van het ziekenhuis zelf staat?
Als het niet verplicht is om die lijst in te voeren is het dus duidelijk niet nodig om die gegevens te hebben. Anders zouden die patienten die weigeren onbehandeld naar huis moeten worden gestuurd. Dat argument gaat hier dus niet op.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 13:53]

In de basis is alles wat je invult optioneel. Dat wordt echter lang niet altijd duidelijk gemaakt. Ik heb familie die in de zorg werkt en die niet begrijpt dat ik daar kritisch op ben. De gedachte is daar vooral, als het voor je gezondheid is dan zal het vast wel goed zijn. Niet meedoen wordt gezien als gevaarlijk, want men weet dan bijv. niet meer van je allergieën. (Ik betwijfel dat.) Wie tegen is, die lijkt daardoor bijna verdacht en speelt met z'n leven.

Het elektronisch patiëntendossier (https://www.volgjezorg.nl) is hiervan een mooi voorbeeld. Als ik niet bekend was met het recht om dat te weigeren, dan had ik gewoon getekend. Niet dat het iets uitmaakt, want inmiddels heeft Hugo de Jonge, met als excuus corona, de spelregels aangepast. Het is 'tijdelijk' opt-out. I.t.t. wat voor bedrijven geldt, geldt niet voor de overheid. Je kan je bij deze overheidsdienst namelijk wel digitaal aanmelden, maar niet afmelden. Ik moet om gebruik te maken van die opt-out nu langs m'n huisarts met een geprint formulier (ik heb niet eens meer 'n printer), voor iets waar ik in het verleden bewust niet voor getekend heb.

Bron: https://www.rijksoverheid...e-tijdelijk-te-raadplegen

[Reactie gewijzigd door JKP op 22 juli 2024 13:53]

Op die pagina staat dat als je dit niet wilt je dat via je huisarts of via volgjezorg.nl kunt aangeven. Dat is dus niet waar?
E.e.a. lijkt net wat anders te zitten. Het was eventjes zoeken, maar vermoedelijk is het de keuze van je eigen huisartsenpraktijk:
Aanmelden voor de dienst Opt-in van VECOZO
Wilt u dat uw patiënten online hun toestemming bij u kunnen regelen? Geef dan door aan de dienst Opt-in van VECOZO, dat u wilt meedoen met deze website. Dan krijgt u bericht als een patiënt toestemming regelt via DigiD met sms. Vervolgens kunt u het bericht bekijken en afhandelen in de persoonlijke en beveiligde omgeving van de dienst Opt-in. Tenslotte verwerkt u de toestemming in uw zorginformatiesysteem.

Niet meedoen met de dienst Opt-in van VECOZO
Maakt u geen gebruik van de online dienst Opt-in van VECOZO? Dan zien uw patiënten op de website dat zij hun toestemming bij u niet online kunnen regelen. Zij kunnen dan online alleen een formulier invullen, printen en bij u inleveren.
Bron: https://www.vzvz.nl/huisa...emming/online-toestemming

Enfin, ik blijf het vreemd vinden. Wel digitaal kunnen inzien, maar niet digitaal kunnen uitschrijven. Het zou wat mij betreft geen keuze mogen zijn voor huisartsen en anderen.

[Reactie gewijzigd door JKP op 22 juli 2024 13:53]

Geheel vrijwillig. Heb er zelf een jaar aan meegedaan. En gaat via dubbele verificatie, en vond t zelf wel een prima concept eigenlijk?
Totdat ze je medische gegevens, zonder juridische overeenkomst, delen met een derde partij en in je dossier zetten zonder dit expliciet aan je te vertellen. Er is niet is mis met de uitvraag an sich, wel met de randvoorwaarden die juridsch niet geschapen zijn en een stuk voorlichting/toestemming vragen vanuit het Haga.
Dat mag en kan natuurlijk ook niet de bedoeling zijn, of geweest zijn mag ik hopen?
Zie deze pagina. Hier wordt letterlijk geschreven "Er was geen geldige overeenkomst tussen het HagaZiekenhuis en het bedrijf Outcome Measurement.". Kortom, er is data gedeeld met een bedrijf, zonder dat hiervoor een juridsch sluitende overeenkomst is.

[Reactie gewijzigd door BoB_HenK op 22 juli 2024 13:53]

Je medische gegevens komen ALTIJD in je dossier. Daar is je dossier voor. Dat is geheel je eigen dossier.
Dat is logisch, laat onverlet dat je je patient uit moet leggen dat dit het geval is.
Optioneel. Vul je ze niet in dan moet je gewoon wat langer babbelen met de arts.
Naar de dokter gaan en vragen beantwoorden is toch altijd vrijwillig. Je doet het voor jezelf, niet voor de dokter.
Waarschijnlijk net zo vrijwillige als de verplichte vrijwillige bijdrage van scholen...
Ik denk dat het een vragenlijst is die alleen vóór een behandeling kan worden ingevuld. Als je die wil invullen moet dat voor de behandeling gedaan worden.
Ik vind het ergens best bizar om te lezen dat het ziekenhuis nu pas, 2 jaar nadat de AVG is ingevoerd en 1 jaar nadat zij beboet zijn voor overtredingen van de AVG, tot de conclusie komt dat deze vragenlijsten er niet aan voldoen. Je zou zeggen dat het privacy bewustzijn daar toch zeker na de boete groter moet zijn geworden en dat het niet een jaar heeft mogen duren voordat men achter verdere (toch vrij basic) AVG fouten komt. Dat er geen verwerkersovereenkomst is, is dan toch echt een kers op de taart. Iedere functionaris gegevensbescherming of privacy officer moet weten dat data naar een andere organisatie sturen een verwerkersovereenkomst noodzakelijk maakt.

Kortom, erg teleurstellend dat dit soort besef pas zo laat komt.
De GDPR is al in 2016 "ingevoerd", maar tot in 2018 gold een "overgangstermijn". Dus we hebben het al over 4 jaar, terwijl daarvoor ook al een wet persoonsbescherming bestond waar bedrijven zich aan moesten houden.
En dat is niet helemaal correct. Ja, de tekst van de richtlijn is in 2016 ingevoerd, maar gedurende die 2 daarop volgende jaren heeft men nog heel veel dingen moeten verduidelijken. Sommige punten werden pas uitgeklaard enkele weken voordat de richtlijn in 2018 moest toegepast zijn. Dat heeft het in de basis onmogelijk gemaakt om je correct voor te bereiden op een manier dat je helemaal in orde bent. En zoals met elke complexe regelgeving is men gelukkig begonnen met de zachte hand als het op handhaving aankomt om stilletjes steeds strenger te gaan optreden.
Nou nou nou, omdat er nog wat details geprecisieerd moesten worden was het "onmogelijk" om je voor te bereiden. Laten we niet overdrijven: In 2016 was het al overduidelijk dat de verwerking van medische gegevens in de zwaarste categorie van bescherming ging vallen. Dan weet je dus dat je een regelmatige AVG toets moet opnemen in je softwareontwikkelproces.
Het lijkt erop dat de AVG (privacy) nog steeds niet echt serieus wordt genomen. Dit is niet alleen bij het Haga ziekenhuis, maar ik zie dat op heel veel plekken. Op de vele on-line formulieren worden nog steeds gegevens gevraagd die niet tot de categorie "noodzakelijk" kunnen worden gerekend.
Nee hehe, het is ook nog steeds totaal niet duidelijk wat het praktisch nut er nou van is. Ik ben groot voorstander van meer privacy voor de burger maar de AVG is gewoon een monster van regels die vooral innovatie in de weg staat terwijl het zijn oorspronkelijke doel niet weet te bereiken.
De AVG is helemaal geen monster van regels. De basis is best duidelijk. Alle data moet gewoon veilig worden opgeslagen en er moeten goede contracten zijn met de bedrijven die mogelijk toegang tot delen van de data hebben.
Het staat de innovatie misschien wel in de weg, maar dat is wel een innovatie die gebruik maakt van privacy gevoelige data. Dat is een stuk innovatie die al veel te ver is gegaan en waar een beperking juist goed is.
Zonder alle details te kennen is het altijd moeilijk om te oordelen. Al kan het perfect dat deze vragenlijst pas recent aan het licht is gekomen bij de mensen die verantwoordelijk zijn voor het naleven van de AVG binnen het ziekenhuis. Het blijft een grote organisatie met een grote diversiteit aan afdelingen die mogelijks allemaal hun eigen manier van werken hebben met bijhorende tools en procedures. Dan gebeurd het wel eens dat bij het navragen er dingen gemist worden. Mogelijks heeft de kno afdeling deze lijst ooit laten maken in 2016 of 2017 zonder tussenkomst van de eigen IT diensten.
Terecht punt dat het de verantwoordelijke kan ontgaan. Maar geeft wel aan dat het met het privacy bewustzijn van de organisatie als geheel nog niet heel goed gestemd is. Niet geheel verrassend, gezien de vorige twee schendingen van het ziekenhuis, maar dan toch..
Wat ik niet zo goed begrijp is waarom er altijd wordt gewezen naar de 'verantwoordelijken'. Natuurlijk moet een ziekenhuis (eigenlijk elke organisatie die met gegevens werkt) iemand hebben die verantwoordelijk is, maar je zou verwachten dat de hele organisatie rekening houdt met de AVG. Inmiddels is dat zo bekend dat iedereen het wel weet, zou je denken.

Bij mijn organisatie is er ook een verantwoordelijke. Maar zo iemand kan nooit alle procedures, formulieren en software overzien binnen de hele organisatie. Elk team denkt bij alle nieuwe data-verwerkingen zelf om de AVG en privacy. De verantwoordelijke hoeft dan alleen maar te controleren en eventueel bij te schaven, maar als de teams binnen de organisatie er van zichzelf al mee bezig zijn dan is dat vaak al niet meer nodig. Als je bewust bezig bent met privacy, dan komen er vanzelf vragen als 'voldoet dit wel, kunnen we deze data verwerken' etc. En bij twijfelgevallen ga je naar de DPO. Toch?
Dit kan maar 1 ding betekenen: Het legal en privacy apparaat binnen Haga werkt niet, er is simpelweg niet (voldoende) meegekeken door juristen. Het alternatief is nog erger: Er heeft een rammend incapabele jurist meegekeken - het opstellen van een verwerkingsovereenkomst is echt basic stuff voor een beetje jurist.
Je vergeet nog een optie: de tool is decentraal door de afdeling KNO aangeschaft, zonder dat de centrale beheersorganisatie hiervan afwist (shadow it). Aangezien het (wat ik zo snel zie) om een webtool gaat is die kans best aanwezig. Hierdoor mis je vervolgens alle checks die je normaal in je aanschaftraject hebt, waardoor dit soort vervelende geintjes kunnen ontstaan.
De AP moet eindelijk haar werken gaan doen, forse boetes uitdelen (dit is ongeveer het ergste vergrijp, medische gegevens verwerken en delen zonder grondslag)
De grondslag was er wel degelijk, de contracten tussen beide partijen waren alleen niet op orde.
Doen ze dit niet durf ik er wel een serieus geldbedrag op in te zetten dat dit slecht 1 van de vele berichten in een lange reeks van falen door het Haga zal zijn.
Het Haga ligt op het moment onder een microscoop na de AP uitspraak van vorig jaar. Iedere misstap wordt nu groot in het nieuws gemeld.

[Reactie gewijzigd door the_shadow op 22 juli 2024 13:53]

Je vergeet nog een optie: de tool is decentraal door de afdeling KNO aangeschaft, zonder dat de centrale beheersorganisatie hiervan afwist (shadow it). Aangezien het (wat ik zo snel zie) om een webtool gaat is die kans best aanwezig. Hierdoor mis je vervolgens alle checks die je normaal in je aanschaftraject hebt, waardoor dit soort vervelende geintjes kunnen ontstaan.
Ik werk zelf in een grote, complexe organisatie, waar de verschillende onderdelen van die organisatie zelf behoorlijk autonoom zijn, en bovenstaande lijkt me zeer waarschijnlijk. Ik werk zelf 'centraal' en zie soms echt zooi voorbijkomen die dan enkel aan het licht komt omdat er iemand klaagt. Anders had je het simpelweg nooit geweten. En dat is dan niet per se dat de organisatie 'niet functioneert', het is simpelweg hoe de organisatie functioneert (en dat gaat absoluut niet veranderen, want het is inherent aan de organisatie).

[Reactie gewijzigd door vickypollard op 22 juli 2024 13:53]

Als privacy jurist in een grote organisatie kan ik dit beamen. Je gaat er gemakshalve van uit dat alles centraal bij legal terecht komt. Was het maar zo. Dat is simpelweg niet de realiteit noch is dat mijn verantwoordelijkheid. Centraal ligt de verantwoordelijkheid voor naleving bij de afdeling. Je probeert in je proces en via bewustwording te bewerkstelligen dat ze bij je komen, maar daarin ligt juist de grootste uitdaging.

Overigens inhoudelijk: ik vraag me af of toestemming nodig was in dit specifieke geval. Dit lijkt me niet namelijk gezien de assistent onderdeel uitmaakt van de behandelovereenkomst. Het inschakelen van een derde partij hiervoor maakt deze conclusie niet anders. Als verwerker fungeert deze partij als een verlengende arm van de zorg. Je hoeft hier niet een aparte verwerkingsgrondslag aan te voeren. Dat druist juist tegen het principe van een verwerker in.

Het formele gedeelte, het ondertekenen van de verwerkersovereenkomst, is wel nagelaten.

[Reactie gewijzigd door WouterL op 22 juli 2024 13:53]

Even van de andere kant bekeken, een (concern) stafafdeling kan het ook zó makkelijk maken, dat een sub-afdeling liever bij hén shopt, dan zelf de markt op gaan. Helaas, te vaak merk je, dat mensen als inkopers, privacy- of security-officers eerst nee zeggen, dan een scala aan ambtenareske hoepeltjes ophouden waar men doorheen moet springen, en als laatste alle extra kosten ook nog eens voor de voeten van zo'n sub-afdeling gooien, waarmee, als het er al is, een businessplan ook de prullenbak in kan. Dan weet je één ding zeker, en dat is men de volgende keer wel een eigen plan trekt, met vml weer dit soort problemen tot gevolg.
Tja. Een goede po/fg denkt mee, maar trapt op de rem indien echt noodzakelijk. Ja, mits is dan een betere benadering dan nee, tenzij. Dat heeft te maken met hoe de mens in elkaar zit en de weerstand die mensen automatisch krijgen van het woord nee. Maar soms is 'nee' het enige antwoord. Lastig, vervelend en extra werk zijn geen argumenten waar je mee weg komt als organisatie;). Vaak hoeft de AVG echt niet zo verlammend te werken als sommige mensen menen. Je moet gewoon iets beter nadenken.
Uit eigen ervaring kan ik beamen dat dit meestal is zoals het gaat. Juristen zijn meestal niet helderziend en kunnen niet ruiken wat voor software er in gebruik is of wordt aangeschaft. Zelfs de IT afdeling is lang niet bij elk bedrijf betrokken bij elke aanschaf/gebruik van bv. een enquetetool. Dat is uiteraard geen excuus voor de gang van zaken en het is terecht dat Haga als organisatie op zijn donder krijgt, maar het is te makkelijk om dit falen enkel op het bordje van Legal te schuiven.
Uit eigen ervaring kan ik ook stellen dat bij de AVG introductie de markt werd overspoeld met zogenaamde AVG experts die zich voor hoofdprijzen lieten inhuren door bedrijven. Ik zat zelf in het projectgroep implementatie AVG en heb met 3 AVG adviseurs de samenwerking verbroken wegens ontevredenheid (geen kennis van zaken, tegenspraken, achteraf bleek de toetsing van beleid en regelgeving niet te kloppen). Het zal mij niks verbazen als ook zo een ziekenhuis hier nu last van heeft.
Dat klopt wel idd. Tikkie laat. Erger vind ik eigenlijk (al is dat eniszins off-topic) dat juist ziekenhuizen er zich nu tenminste welk druk om maken terwijl ze juist degene zijn die het meeste 'recht' hebben op deze informatie (gezondheid gerelateerde data) maar dat bedrijven zoals FB allelei persoonlijke gegevens gebruiken/opslaan/doorverkopen. Alleen maar omdat ze zich juridisch beter lijken in te dekken of gewoon genoeg geld hebben om het te riskeren. Terwijl ze juist minder 'recht' hebben op dergelijke informatie. (Wat betreft hebben ze helemaal nergens recht op overigens).
wordt nu alle data vernietigd van eerdere vragenlijsten icm persoonsgegevens?
Nee, aangezien deze onderdeel zijn van het medisch dossier je verplicht 20 jaar bewaard moeten worden na de laatste wijziging van het dossier.
er is wel degelijk een wettelijke basis de vergaarde data te vernietigen, de data is tenslotte in strijd met de wet verkregen en zou derhalve vernietigd moeten worden er is geen wettelijke basis deze data te bewaren of op te nemen in het medisch dossier.
Outcome Management zal die gegevens moeten vernietigen, maar dat zijn niet de beheerders van het medisch dossier. Haga zelf heeft een legitieme grond (medisch dossier) en mag deze gegevens dus wel bewaren.

Het probleem hier is dat Haga informatie had gedeeld, die ze voor zichzelf hadden moeten houden. De correctieve actie is bedoeld om de werkelijke situatie in lijn te brengen met de juridisch correcte situatie, en niet meer dan dat.
wat een ratten zijn het!
Is dit juridisch nu niet aan te vechten? dat deze info toch de prullenbak in moet.
Over reactieniveau gesproken.

Het is data die in het medisch dossier van belang is.
Waarom zou je die willen laten verwijderen dan ?

Het is geen data-verkoop die je wekelijks penisvergroters in de mail verzend.
Aangezien de vragenlijst vrijwillig was zou je nog kunnen aanvechten dat het niet echt van belang was.
"Vrijwilligheid" moet dan wel sluitend aangetoond kunnen worden, iets wat denk ik nog best lastig kan zijn. Als een arts tegen een patient zegt "kunt u deze vragenlijst invullen, dat is voor het eerste consult handig," dan betwijfel ik dat er veel patienten zullen zijn die (door de verhouding zorgverlener-patient) die zeggen "oh, dit hoeft niet, ik doe het niet."
Sterker nog, je wordt meerdere keren gevraagd alles in te vullen tot aan het verplaatsen van je afspraak aan toe is mag in ervaring. Alles wat ik moest beantwoorden staat in het LSP, dus toen in dat antwoord gaf inclusief dat ik zelf apotheker ben, was het voor de eerste assistente goed. Vervolgens nog drie andere assistentes gesproken die vonden dat de lijst toch echt ingevuld moest worden 8)7
Dan wordt het handmatig uitgevraagd en komt het op exact dezelfde manier in je dossier.
Feit dat het logisch lijkt maakt het niet opeens geen overtreding. Het gaat niet om de aard van de gegevens, maar om de fragrante laksheid die het Haga heeft in verdere verwerking van de data. Het is data die zonder juridische grondslag is vergaard, verwerkt en gedeeld.
Er is geen juridische grondslag voor verwerking, maar wel degelijk voor het vergaren van deze informatie. Die grondslag is de medische behandeling waarvoor de informatie nodig was. Alleen had het Haga die niet mogen delen, want dát is niet noodzakelijk voor een medische behandeling.
wat je niet met recht heb verkregen, ga je wat mij betreft niet mogen kunnen bewaren. Dat is onrechtmatig, dus moet dat volledig de prullenbak in.
Dat is niet hoe de realitiet werkt. "Onrechtmatig verkregen" is zelfs in het strafrecht niet echt een ding: bewijs dat onrechtmatig wordt verkregen kan nog steeds gebruikt worden, maar de daad van het verkrijgen kan wel worden beboet. Zo ook hier. De gegevens zijn nog steeds van medisch belang, maar de manier waarop ze zijn verkregen is niet goed verlopen.
Dat hoef je niet juridisch aan te vechten. Je kunt het ze gewoon vragen en dan zijn ze verplicht het te wissen. Ook je medische gegevens. Behalve als er een expliciete reden is om het te bewaren, zoals bewijslast bij ongevallen of misbruik.

En ratten: dat zijn niet de ziekenhuizen hoor. Die hebben gewoon belang bij je medische gegevens op basis van goede gronden. Andere partijen zoals zorgverzekeraars daarin tegen...
Stel jij gaat onder het mes in het ziekenhuis, hersteld, wordt ontslagen, doet een verzoek om al je data te wissen en een jaar later ontwikkel je complicaties en houd je er blijvend letsel aan over. Jij klaagt het ziekenhuis aan voor een schadevergoeding en beide kanten hebben geen enkel bewijs meer want dat heb jij laten vernietigen.

Net daarom dat ziekenhuizen verplicht zijn om die data te bewaren.
bij het aanvragen (en akkoord interne juridische zaken) wordt je dossier gewoon vernietigd op aanvraag. Risico ligt bij de patient.
-ik heb vanuit mijn werkzaamheden veelvuldig te maken met herstellen van patientverwisselingen en dossiervernietigingen, het belang van de patient ("recht om vergeten te worden") weegt zwaarder dan de wettelijke basis om 20 jaar dossier te bewaren. Natuurlijk wordt de patient volledig van alle risico's op de hoogte gesteld, maar de keuze ligt bij de patient, uiteindelijk zijn het zijn/haar gegevens en is het ziekenhuis slechts een facilitator van diensten rondom de gezondheid.

[Reactie gewijzigd door dyrc op 22 juli 2024 13:53]

Net daarom dat ziekenhuizen verplicht zijn om die data te bewaren.
Onder de WGBO hebben patienten ook het recht om gegevens te laten vernietigen. Dat moet echter wel door de behandelend arts worden goedgekeurd. Voorwaarde is wel dat de gegevens (onder andere) niet gaan over anderen (erfelijke ziekten).
Sorry Blokker_1999 maar je hele verhaal is gewoon niet waar. De verantwoordelijkheid ligt bij de patiënt.

Dat je vervolgens geen bewijs meer hebt is dus je eigen schuld.
Ik neem aan dat medische gegevens toch wel expliciet noodzakelijk zijn bij een ziekenhuis. Voor een compleet behandel traject heb je natuurlijk een flinke lading gegevens die erg onhandig zijn (zo niet onmogelijk) als die verwijderd worden.
En daarnaast is een geschiedenis dossier ook vaak handig. Zo was ik maar wat blij dat ze mijn oude gegevens van jaren terug nog hadden toen ze iets anders bij mij vonden.
Nouw nouw, ze hebben vormfouten gemaakt bij informatie om de vragenlijst heen. Vraag me af waren ze dat dan niet even aanpassen. Huur een avg jurist in voor paar dagen en het is opgelost. Ik weet niet wat op de vragenlijst staat maar het lijken mij gewoon legitieme vragen voor een ziekenhuis.
Feit dat het een legitieme vraag voor een ziekenhuis is, betekent niet dat je het maar gelijk mag vragen en vastleggen - er zijn, zeker in het geval van medische gegevens, een aantal spelregels waar je aan moet voldoen. Spelregels waar Haga overduidelijk schijt aan heeft, getuige de totale desinteresse om een privacybewuste organisatie op te tuigen.

Haga is simpelweg nalatig geweest, dit is iets wezenlijk anders dan een vormfout. Er is geen verwerkingsovereenkomst met een derde partij en ook binnen de eigen organisatie is er sprake geweest van ongeoorloofde datadeling. Dit is een klassieke en overduidelijke overtreding van privacy wet- en regelgeving.
Ik denk dat je vooral in conclaaf moet gaan met de patiënten, alsnog toestemming moet gaan vragen en uitleggen wat ermee gedaan wordt. Verder zorgen dat er geen data meer naar de ontwikkelaar gaat (als die er ging, er is alleen geen verwerkers overeenkomst) en de patiënt vragen wat ze willen.
Verder beoordelen of de informatie essentieel is voor de behandeling of ook op andere manieren al in bezit was. (Bijvoorbeeld LSP-toestemming voor medicatie én de vraag in de lijst wat voor medicatie gebruikt wordt is dubbel)
Als het klopt wat Paultje3181 zegt, dat het ziekenhuis verplicht is het 20 jaar te bewaren omdat het onderdeel is van je medisch dossier, dan zal het juridisch aanvechten weinig zin hebben. Vergeet niet dat deze informatie naar alle waarschijnlijkheid toch wel in het medisch dossier was opgenomen. Als het niet via de vragenlijst binnenkwam dan had de dokter het waarschijnlijk zelf wel gevraagd.
Het blijft onderdeel van je medisch dossier, waar veel meer en veel gevoeliger data in staat.
Ze kunnen de data echter niet meer voor andere doeleinden gebruiken.

Waarschijnlijk was het onderdeel van een soort 'klantbelevingsonderzoek' om te kijken hoeveel beter patiënten zich voelt na een behandeling. Dat onderdeel is nu van de baan.
Een wijs besluit. Alleen jammer dat het dit nieuws moet zijn. Het zou gewoon standaard moeten zijn voor een bedrijf als deze constateert klantgegevens niet AVG te kunnen verwerken. Helaas gaat het in de praktijk anders.
Vind dit een beetje verwarrende kwestie. Ben daar begin vorig jaar geweest om mijn amandelen te laten verwijderen. In plaats van knippen kon ik ook meedoen aan een klinisch onderzoek waarbij ze de amandelen wegbranden met een laser. Heb toen expliciet toestemming gegeven dat ze mijn gegevens mogen verwerken, ook aan de hand van vragenlijsten via ConsultAssistent. Maar, ook voor mij komen er voorlopig geen vragenlijsten meer. Dus, punt één, waarom het systeem ook offline halen voor mensen die wel toestemming hebben gegeven? En twee, hoe gaat het nu verder met dat klinisch onderzoek? Want wegbranden is echt zo veel beter dan knippen, half uurtje in een brandlucht zitten en dat is het, in plaats van weken lang keelpijn hebben.
Het wordt stopgezet omdat er meerdere problemen zijn, waarvan op de juiste wijze toestemming vragen er 1 van is. Andere problemen zijn o.a. dat Haga een derde partij (Outcome Measurement) toegang geeft tot de vergaarde data, zonder dat er een juridische overeenkomst is die de deze datadeling vastlegt. Kortom, Haga faalt op praktisch ieder punt van AVG wetgeving.
Dus volgens de wet moeten ze expliciet ieder systeem benoemen waarin mijn gegevens worden verwerkt? Hoe is dat doenbaar in de praktijk? Als een arts een snel grafiekje in Excel wil maken mag dat dus al niet?
In principe wordt jouw Excel bestandje lokaal opgeslagen, dus niet verwerkt met/bij een derde partij. Dit wordt weer anders op het moment dat het op een externe cloud dienst terecht komt. Dan moet je weer een VO hebben bij de externe partij/dienst als ik het goed heb.
Niet ieder systeem hoeft expliciet benoemt te worden. Wel is het zo dat indien er data met een derde partij wordt gedeeld, dit onderdeel moet zijn van de voorlichting vanuit in dit geval Haga. Tevens moet aangegeven worden welke activiteiten de derde partij met je data onderneemt
Mwoa "ieder punt" vind ik hier wel heel erg overdreven. Toestemmingsregistratie was niet volledig op orde (er werd wel gevraagd om toestemming, maar de registratie deugde niet) en de verwerkersovereenkomst (VO) was niet goed geregeld. Dat laatste is extreem slordig, maar laten we wel wezen, een VO is in veel gevallen toch een beetje papieren tijger.
stopt met vrijwillige, digitale vragenlijsten die patiënten voor een behandeling moeten invullen
Hoe kan iets tegelijkertijd vrijwillig zijn en moeten?
-Als het vrijwillig is, dan moet het niet maar mag het.
-Als het moet dan is het niet vrijwillig meer maar verplicht.

[Reactie gewijzigd door Tyrian op 22 juli 2024 13:53]

Is het niet handiger om de vragenlijst en verwerking ervan AVG-proof te maken? Het doel lijkt me behoorlijk nuttig. Zomaar stoppen is wel het makkeljikst, maar zonde dat je dan niets meer kunt leren omdat je niks meer vraagt.
Ik weet niet of de vragenlijst veel toevoegt. Een groot deel van de vragen kan ook door de specialist worden gesteld. Zeker voor de operatie lijkt me dat zinvol (het maakt deel uit van de diagnose). Na de operatie even meer doorvragen over hoe het dan gaat is eigenlijk beter dan alleen maar vragen of de patiënt tevreden is. De specialist kan het formulier dan nog steeds als leidraad gebruiken. De antwoorden komen dan ook in het medisch dossier.
Het hele doel van de tool is om artsen tijd te besparen. Als ze het niet zelf hoeven te vragen, kunnen ze dat consult besteden aan iemand anders. Bovendien zou de tool ook helpen met diagnoses stellen en andere hulpmiddelen bieden.

[Reactie gewijzigd door Cilph op 22 juli 2024 13:53]

Met het formulier moet de arts het formulier door gaan nemen. Dat is veel minder persoonlijk. Uit een persoonlijk gesprek (zelfs telefonisch) haal je veel meer informatie dan van papier. De manier waarop een antwoord wordt gegeven geeft vaak meer informatie dan het antwoord zelf omdat je de emotie erachter kunt zien of horen. Soms is dan één vraag voldoende om alle noodzakelijke informatie te krijgen.
Het wordt interessanter wanneer je consulten af kan zeggen omdat er niks serieus aan de hand is.
Hier gaat het om operaties die al nodig geacht worden. De belangrijkste consulten zijn al dan al achter de rug. Ik begrijp uit het artikel dat het formulier gebruikt wordt kort voor en enige tijd na de operatie. Misschien zit het wel in de reguliere voorbereiding. Het lijkt me vooral een kwaliteitsmeting. Dat is niet onbelangrijk, maar niet noodzakelijk. Daarom kan het formulier ook gewoon weggelaten worden. Als het een onderdeel is van de voorbereiding op de operatie zelf, is de informatie noodzakelijk en zou men er echt voor kiezen om het formulier wel AVG-proof te maken.
Weg laten is een heel snelle manier, aanpassen kan enkele weken duren.
Het wordt ook gebruikt bij intake en voorgaand aan eerste consult. Zie ook de productwebsite.

[Reactie gewijzigd door Cilph op 22 juli 2024 13:53]

Kijk ook bijvoorbeeld naar de procedure als je bloed gaat geven. Dan moet je ook altijd een waslijst aan vragen beantwoorden, die ook prima door een persoon kunnen worden gesteld. Maar het zou 10-15 minuten extra kosten om dat te doen en met de vragenlijst houd je het een beetje gestroomlijnd (wat je er verder ook privacy technisch van vindt).
Ik denk dat je nu te kort door de bocht bent met wat de vragenlijst toevoegt. Ja, het is een methode om te zien hoe het met de patient gaat, maar ook om te vergelijken. De meeste vragen zijn op een schaal van 1 tot 10, geen open vragen. Het uiteindelijke doel is data generen, niet patient welzijn. Ja, dat kan je door een specialist laten doen, maar die heeft ook wel beters te doen dan wat niet heel veel meer is dan een veredeld Google form afnemen bij iedere patient. En dit zeker aangezien sommige patiënten bijna twee jaar worden gevolgd en dan iedere drie maanden zo'n lijst in moeten vullen.

Voor patient welzijn na de operatie wordt trouwens wel gewoon gebeld.

[Reactie gewijzigd door Rezania op 22 juli 2024 13:53]

Zoals jij het meld is het dus vooral een kwaliteitsmeter en deels misschien een onderzoek naar het nut van de verschillende operaties op de langere termijn. Niet onbelangrijk, maar je kunt best (een tijdje) zonder.

Dat verklaart ook waarom ze nu gewoon stoppen met het gebruik van het formulier. Achter de schermen zal vast wel onderzocht worden of er een mogelijkheid is om het formulier netjes AVG-proef te maken. Beter laat dan nooit, maar dat had al twee jaar geleden moeten gebeuren.
AuteurTijsZonderH Nieuwscoördinator @K-aroq21 juli 2020 09:45
Daarom stoppen ze denk ik ook 'voorlopig'. Als je een goed systeem voor toestemming bouwt kan dit inderdaad prima conform de wet, maar daarvoor moeten ze nu wel tijdelijk stoppen.
.

[Reactie gewijzigd door Cilph op 22 juli 2024 13:53]

En wie gaat dat betalen? Ziekenhuizen zwemmen niet echt in het geld momenteel.
Haga speelt het hier slim door de "oeps sorry, hadden we niet door" kaart te spelen. In realiteit zie je dat er structureel gefaald is. Haga heeft schijt gehad aan alle AVG beginselen, van toestemming tot goede verwerking tot een verwerkingsovereenkomst met een derde partij. Dit betekent maar 1 ding: Er is waarschijnlijk geen enkele jurist of privacy specialist betrokken geweest bij de totstandkoming van deze overeenkomst.

Voor het AP lijkt me hier maar 1 conclusie mogelijk: Een boete en een forse ook. Er zijn medische gegevens verwerkt zonder toestemming, zonder grondslag, zonder overeenkomst die omschrijft onder welke voorwaarden data gedeeld mag worden. Dit is ongeveer de grootste faux pas die je kan begaan op privacy gebied, met uitzondering van dingen uitprinten en op het Albert Heijn prikbord plakken.
Voor een ziekenhuis zijn ze verdraaid vaak negatief in het nieuws aangaande de AVG/GDPR.
Het zou een goede zaak zijn als de politiek hier zich eens mee zou gaan bemoeien door in ieder geval de betrokken minister eens aan de tand te voelen.
Ik vind het allemaal nogal overtrokken. In een ziekenhuis zul je nooit echt privacy kennen. Er zijn nu eenmaal medewerkers die in je dossier mogen en kunnen kijken. Lig je in een kamer met anderen en komt de dokter langs, dan worden alle ins en outs van je ziekte openlijk besproken. Zo gaat dat nu eenmaal.

Alleen al het feit dat een bezoeker of mede-patiënt jou kan zien, is al een aantasting van je privacy.

Wil je 100% privacy, dan moet je thuis blijven. Een ziekenhuis is daar een te open instelling voor.

Als de angst bestaat "ja maar dan kan de zorgverzekeraar mijn gegevens zien", dan zou ik me daar niet al te druk over maken: de zorgverzekeraar weet toch al bijna alles.

Op dit item kan niet meer gereageerd worden.