Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

De Jonge: gezondheidsdata worden niet met eind-tot-eindencryptie versleuteld

Eind-tot-eindencryptie wordt geen wettelijk verplichte standaard bij het uitwisselen van medische gegevens. Demissionair minister Hugo de Jonge van Volksgezondheid voert dat niet door in een nieuwe wet 'vanwege de systematiek van het wetsvoorstel'.

De Jonge antwoordt dat op vragen van de Partij voor de Dieren over een wetsvoorstel voor de Wet elektronische gegevensuitwisseling in de zorg. Die moet onder andere vastleggen welke eisen er straks zijn voor zorginstellingen die onderling patiëntgegevens willen uitwisselen. De PvdD vroeg aan de minister of hij end-to-endencryptie wilde vastleggen in de wet. "Gezien de systematiek van dit wetsvoorstel wordt end-to-endencryptie niet in het wetsvoorstel zelf verplicht gesteld", schrijft De Jonge. Volgens hem moeten zorgaanbieders zich houden aan 'generieke eisen zoals die nu ook al gelden voor zorgaanbieders'. Hij noemt daarbij verschillende NEN-normen die zulke eisen voorschrijven.

De demissionair minister zegt wel dat er mogelijk een NEN-norm kan worden aangepast om encryptie vast te leggen. Het zou dan gaan om minimale eisen voor bijvoorbeeld sleutellengtes of gebruikte encryptiealgoritmes.

De Jonge zegt dat patiënten ook geen eigenaar worden van hun data. Die blijft eigendom van de partijen die de gegevens uitwisselen, al moeten die daarbij uiteraard wel de privacywet volgen. De Jonge stelt dat 'eigendomsrecht alleen kan rusten op voor menselijke beheersing vatbare stoffelijke objecten', en daar valt data niet onder. De CDA-minister wil de wet daar ook niet op aanpassen, terwijl zijn partij er in haar verkiezingsprogramma wel voor pleitte om data tot eigendom te maken.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

21-10-2021 • 08:45

308 Linkedin

Reacties (308)

-13080290+1136+246+34Ongemodereerd124
Wijzig sortering
"Geen eigenaar van je data", dat steekt.
Het argument is nog interessanter. Ik parafraseer:

"Data is niet tastbaar en kan daarom geen eigenaar hebben. Mensen kunnen geen eigenaar van hun eigen data zijn. Daarom zijn de instanties die uitwisselen de eigenaar."

Mis ik iets, of is dat heel vreemd? Is hier toevallig een jurist in de zaal die mij dit uit kan leggen?

[Reactie gewijzigd door Egocentrix op 21 oktober 2021 08:54]

*hand opsteekt*

Juridisch gezien kun je alleen eigendom zijn van een "zaak", een voor menselijke beheersing vatbaar stoffelijk object zoals de wet dat noemt. De Hoge Raad heeft ooit geoordeeld (1923) dat elektriciteit daaronder valt, omdat je het kunt beheersen (stroomkabels trekken, etc) en weg kunt nemen (als ik de stroom verbruik, kun jij dat niet meer).

Digitale data kun je wel beheersen (op een HD zetten, uitlezen naar werkgeheugen, transporteren over een kabel) maar niet wegnemen. Je kunt het kopiëren en je kunt het wissen, maar dat zijn twee operaties. De atomaire operatie "data verplaatsen" bestaat niet. Daarmee is data niet geschikt om als zaak gezien te worden.

Bekijk het eens zo: jij hebt data waar je eigenaar van bent. Jij geeft mij een kopie tegen betaling, ben ik nu eigenaar van de kopie? Of van het origineel? Zijn we gezamenlijk eigenaar van de data, hebben we elk losse eigendommen op toevallig identieke data? Ik heb nu net mijn derde koffie op en ik krijg hier nu al hoofdpijn van.
Een andere jurist hier. :)

Op voorhand zit jij hier waarschijnlijk beter in, maar toch. Ten eerste, dat in 1923 de HR iets heeft gevonden over waar eigendom over kan zijn en wat niet, toen er nog geen computers bestonden is voor mij niet zo'n heel goed argument. We kunnen het eigendomsbegrip natuurlijk aanpassen.

Verder zien we wel bij software, wat - als het niet draait - ook gewoon data is die te kopieëren is en over te dragen. Daar zien we wel degelijk dat we met eigendomsbegrippen werken waar ook rechten aan ontleent kunnen worden. Als ik dan denk aan Usedsoft/Oracle, dan zie ik niet in waarom het niet op vergelijkbare wijze toegepast worden op persoonlijke data. Oftewel, het probleem dat jij schetst in je laatste paragraaf, zie ik niet echt. Sterker nog, vanuit GDPR zou je dan verwachten dat er allerlei "beperkte licenties" op die persoonlijke data gegeven worden, waardoor het eigendomsrecht van het oorspronkelijke data subject ook niet uit kan putten.

GDPR geeft wel meer rechten t.a.v. persoonlijke data die alleen de persoon toekomen, waardoor het ook via die weg heel erg tegen eigendom begint aan te schurken.

Goed, dat is natuurlijk Europees recht en dat mag niet bepalen wat wel en niet vatbaar is voor eigendom in de nationele rechtsorde, maar dan snap ik eigenlijk het HR arrest Beeldbrigade ook niet helemaal.

Kortom, ik denk dat er wel haken en ogen zijn om een eigendomsrecht op persoonlijke data in het NL rechtsstelsel te kunnen interpreteren (of iets wat er verdomd veel op lijkt). Interessantere vraag is misschien, moeten we het willen? Ik zie wel gronden om er voorstander voor te zijn.

En denk dat de vorige lezer vooral viel over het feit dat het een tegenstrijdigheid betrof "het is niet tastbaar dus er kan geen eigenaar zijn, daarom zijn instanties de eigenaar van de data". Of er is/zijn eigenaren of niet.
Daarbovenop: het ophangen aan het eigendomsrecht is een kulargument. Het gaat om het doel (de patiënt moet het ultieme beschikkingsrecht hebben over de eigen gezondheidsdata) en niet om het juridisch-technische begrip 'Eigendom'.

Het realiseren van het doel is prima op te hangen aan andere rechtsbegrippen (privacy bijv.) en kan bij uitstek in een nieuwe wet worden vastgelegd. En als er voldoende steun voor is in het parlement wordt het geldend recht.

De Jonge lijkt dus een excuus te hebben gezocht om het niet te willen regelen.
Ik denk dat De Jonge vooral kijkt naar de huidige situatie. Daarin is data niet zo gemakkelijk als een eigendom te zien. Als er elders in de wet een aangepaste definitie van de term "data" wordt opgenomen veranderen alle bestaande wetten vanzelf mee. Dat is eigenlijk ook de weg die het partijprogramma van het CDA aangeeft.
De overdracht van medische data moet voldoen aan een aantal NEN normen. Die normen worden niet door de overheid opgesteld. Ook daarin kan men gewoon opnemen dat de overdracht van medische gegevens met E2E encryptie moet gebeuren. Nu staat er dat men een "afgeschermde en veilige methode" moet gebruiken. Ook hier is het aanpassen van de wet niet noodzakelijk.
Een derde mogelijkheid is om de privacywet aan te passen en daarin op te nemen dat alle privacy gevoelige gegevens alleen digitaal mogen worden doorgestuurd als men gebruik maakt van End to End encryptie.

Vooral de laatste optie lijkt mij de beste weg om in één klap veel problemen op te lossen. Het één voor één aanpassen van andere wetten (waar nu eigenlijk om gevraagd wordt) is erg omslachtig terwijl dit via een toevoeging aan de privacywet te regelen is.

Om als demissionair minister nog nieuwe wetswijzigingen te gaan schrijven is eigenlijk ook niet de bedoeling. Daar het niet om een spoedeisende zaak gaat, is het normaal dat een minister afwachtend reageert.
Die argumenten overtuigen mij totaal: als dat geen eigendom is, is een download, uiteindelijk stapeltje 0 en 1, dat dan ook niet, en mag ik films downloaden bij de vleet?
Ja,ja, ik ken het antwoord, mag niet, maar vindt het toch vreemd dat mijn gezondheidsdata - hoe prive wil je het hebben? - kennelijk minder "eigendom" is dan een of ander Marvel misbaksel....
Edit: sorry, dat zei @TheHeavySoldier hieronder ook al.

[Reactie gewijzigd door batteries4ever op 21 oktober 2021 19:00]

Ik ben het helemaal met je eens. Het probleem zit echter niet in één wet maar in een hele reeks wetten. Door in de privacy wet een betere definitie van privacy gevoelige data op te nemen en daaraan gelijk het eigendom te definiëren zijn alle wetten in één klap aangepast. Voeg daar ook een aantal voorwaarden aan toe voor de communicatie en ook dat is gelijk op heel veel vlakken geregeld.
De Jonge lijkt dus een excuus te hebben gezocht om het niet te willen regelen.
Eens. Dit stinkt inderdaad naar er onder uit willen draaien; maar tegelijkertijd niet de hele bups als 'controversieel' neer willen zetten en de beslissing over hervormde wetgeving vooruitschuiven naar een volgend missionair kabinet.
Lijkt er wel op gezien het gebruik van obfuscerende taal; wat bedoelt hij in godsnaam met "'...de systematiek van dit wetsvoorstel..."
Ik heb het vermoeden dat hij bedoelt dat dit soort specifieke eisen (end-to-end encryptie) niet als aparte eis opgenomen moeten worden in een wet.
Volgens mij (note: geen jurist, wel security specialist) zou er in de wet elektronische gegevensuitwisseling in de zorg een verwijzing naar een algemene maatregel van bestuur kunnen worden opgenomen, waar verder in detail kan worden getreden op te nemen beveiligingsmaatregelen.
Een ander voorbeeld wat hij noemt, zijn de NEN normen. Je zou eventueel de NEN7510/12/13 kunnen herzien en end-to-end encryptie kunnen eisen. Gezien het soort maatregelen wat in die norm is opgenomen, zou dat beter passen dan in een wet. Wanneer je communiceert door middel van BSN is het voldoen aan deze normen al verplicht (voldoen =! gecertificeerd).
Zou jij al security specialist het een goed idee vinden dat end-to-end encryptie vereist word?
Dat wil je als bedrijf echt niet. Veel te veel kans dat er dan data kwijt raakt.
Als bedrijf zorg je uiteraard dat je verbinding met de derde partij encrypted is. Maar dat is heel wat anders.

Maar politici hebben geen idee wat het betekent. Horen dat het belangrijk is bij whatsapp en gaan de term dan overal gebruiken.
Er moet uiteraard adequate beveiliging zijn. Maar laat politici heel ver weg blijven van wat de beste manier is om die beveiliging in te richten.
Dat wil je als bedrijf echt niet. Veel te veel kans dat er dan data kwijt raakt.
Wat zou je dan 'kwijt' moeten raken?

Als je perfect in te verrichten gegevensverwerking kunt voorzien wanneer deze gegevens E2E encrypted zijn, dan heb jij geen wettelijke noodzaak om de onderliggende gegevens in te zien, en vanuit data minimalisatie principes van de AVG/GDPR zou je dat dan ook niet mogen - zeker niet met medische gegevens die als bijzonder persoonsgegeven te boek staan.

"Ja maar backups!"
Ja backups inderdaad. Wat valt er helemaal aan backup te doen bij een proces wat met E2E encrypted data al in de benodigde verwerkingen kan voorzien? Dat zal hoogstens een vorm van doorgeefluik zijn tussen A en B die met afgestemde sleutels wel elkaars data kunnen lezen. Je zult bitter weinig aan die gegevens daadwerkelijk opgeslagen hoeven houden - en wederom komt data minimalisatie om de hoek: dat mag je als het niet nodig is dus ook niet.

Enige uitzondering hierop die ik me zo snel kan bedenken is als je een speler in een soort van gedistribueerde service-bus oplossing bent met high-resiliency guarantees waarbij messages niet verloren mogen gaan totdat ze correct afgeleverd zijn.

En in zo'n geval zou je de E2E encrypted payload op kunnen slaan, want zo'n queue systeem werkt alleen als de sleutels tussen A en B langere periodes geldig zijn. Zaken zoals single-use nonces en forward secrecy werken daarbij niet. (Dat kunnen dan weer eigenschappen zijn van nog een andere transportlaag waar jij als tussengezetene wel in mee doet en binnenin kunt kijken, maar vormt extra beveiliging tegen ... niet-gegadigden.)


"Ja maar het is moeilijk."
"Ja maar het is duur."
"Ja maar onze bestaande systemen kunnen er niet mee overweg."

Jammer dan? Tijd om te investeren en aan de eisen van de wetgeving te voldoen?
Namelijk dat je gehouden bent om de benodigde veiligheidswaarborgen te handhaven incl. courante technologische maatregelen?

Als dat inhoudt dat je je systeem uit de jaren '90 de deur uit moet doen:
Hey, eikels! Dat hadden jullie al veel eerder moeten doen!

[Reactie gewijzigd door R4gnax op 21 oktober 2021 18:21]

Weet je wat E2E betekent?
Vertel eens waarom je voor die gegevens E2E nodig hebt, en waarom een TLS1.3 verbinding tussen de twee bedrijven met AES256 encryptie niet afdoende zou zijn?
E2E geeft onnodige complexiteit en beperkingen die de kans op data verlies groot maken.
Als je E2E gebruikt dan word de data onleesbaar als de ontvanger uit dienst gaat. Dat is uiteraard ongewenst.
Jammer dan? Tijd om te investeren en aan de eisen van de wetgeving te voldoen?
E2E voegt absoluut niets toen om aan de wetgeving te voldoen. Sterker, het maakt het moeilijker om aan de wetgeving te voldoen.
Als dat inhoudt dat je je systeem uit de jaren '90 de deur uit moet doen:
Hey, eikels! Dat hadden jullie al veel eerder moeten doen!
Daarmee maak je jezelf belachelijk. Erg jammer dat je dat doet.
Vertel eens waarom je voor die gegevens E2E nodig hebt, en waarom een TLS1.3 verbinding tussen de twee bedrijven met AES256 encryptie niet afdoende zou zijn?
Als die verbinding daadwerkelijk tussen bedrijf A en B zou zijn, en dus niet tussen bedrijf A en C gevolgd door C en B, dan is er al sprake van E2E encryptie. E2E betekent namelijk gewoon End-to-End - dwz de data blijft versleuteld van zender tot aan ontvanger en niemand die er tussenin zit kan zien wat er in zit.

Routers die HTTPS verkeer routeren? E2E encryptie vanuit het oogpunt van de routers. Die routers zien de inhoud - de data - van het HTTP verkeer namelijk niet in onversleutelde vorm, enkel de metadata die zegt waar het heen moet. Hierdoor kan er niemand mee luisteren (zonder de encryptie daadwerkelijk te kraken) en kunnen gegevens niet (of tenminste: heel, heel moeilijk) onbedoeld uitlekken.

En laat dat zelfde nou precies zijn waarom je E2E encryptie binnen het afhandelen van het transport van digitale medische gegevens zou willen hebben. Hoe minder partijen er aan kunnen en hoe minder zwakke punten in de lijn waar de gegevens tijdelijk onafgeschermd zijn; hoe minder kans op uitlekken. Hetzij middels systemen waarop ingebroken wordt. Hetzij middels medewerkers die gegevens grabbelen om te verkopen. (Hoi GGDs.)

[Reactie gewijzigd door R4gnax op 21 oktober 2021 19:51]

Je realiseert je niet dat de massa (inclusief politici) een andere betekenis voor E2E encryptie gebruiken?
Bij hen gaat het er om maar twee personen het kunnen lezen. De echte verzender en de echter ontvanger.
Server gebaseerde encryptie zoals bij een TLS1.3 verbinding vallen daar wat hen betreft buiten.

Laten we een simpel voorbeeld nemen. Stel we versturen een mail van bedrijf A naar B en ze hebben een geforceerde TLS verbinding tussen elkaar configureerd.
De mail gaat van outlook naar de exchange server via een encrypted verbinding. Tussen de servers opnieuw via encrypted verbindinginen. Van A naar B over internet via een TLS encrypted verbinding. Binnen bedrijf B op dezelfde wijze ook allemaal via encrypted verbindingen afgeleverd in de mailbox.
De data is van begin tot eind veilig verzonden, maar het is geen E2E encryptie.
Is dit wat jou betreft een probleem?
Of hadden ze S/MIME moeten gebruiken?
Is dit wat jou betreft een probleem?
Heeft de payload op enig moment de encryption envelope verlaten en kan deze ergens in resident geheugen aanwezig blijven; onverhoeds in log files belandt zijn; of aan derden aangeboden zijn via bijv. malware-scanning as-a-service; dan volmondig: ja.
Je realiseert je niet dat de massa (inclusief politici) een andere betekenis voor E2E encryptie gebruiken?
Dat de massa het begrip verkeerd gebruikt zal me een biet wezen. De massa gebruikt of begrijpt wel meer verkeerd. De gemiddelde burger is nou eenmaal niet goed ingelezen in dit soort zaken.

Dat politici die een belangrijk onderdeel van besluitvorming omtrent deze zaken vormen, het verkeerd gebruiken - dat is iets van een heel andere orde; en dat zou gewoon niet het geval moeten mogen zijn. Maar ja; politici en IT, heh?

[Reactie gewijzigd door R4gnax op 22 oktober 2021 12:54]

En wat denk je dan dat er gebeurt als die payload op plaats van bestemming komt?
Dan word die opgeslagen in een systeem waar het resident in het geheugen aanwezig kan blijven, in log files beland etc etc etc.
En wat denk je dan dat er gebeurt als die payload op plaats van bestemming komt?
Dan word die opgeslagen in een systeem waar het resident in het geheugen aanwezig kan blijven, in log files beland etc etc etc.
Maar ondertussen heeft die mogelijkheid niet bestaan op 3-5 andere systemen die er tussen hebben gelegen.

Dat een maatregel niet geheel beschermend is, impliceert niet dat deze geheel niet beschermend is.

[Reactie gewijzigd door R4gnax op 22 oktober 2021 12:56]

Dus in beide gevallen is het gewoon een afweging wanner bescherming afdoende is.
En in beide gevallen kun je bescherming maken die in zeer ruime mate afdoende is.

En als je dan beseft dat e2e zoals de massa dat definieert veel complexer is voor gebruikers en daardoor foutgevoelig (met risico op dataverlies) dan zie ik dat niet als een gewenste oplossing.
En als je dan beseft dat e2e zoals de massa dat definieert veel complexer is voor gebruikers
Of iets end-to-end of point-to-point encrypted is, is voor de eindgebruikers volledig transparent.
Je moet wel met een heeeeee-----l esoterische toepassing te maken hebben wil dat niet het geval zijn; of niet eenvoudig aan te passen zijn zodat dat het geval wordt.

Het is niet complexer voor de partijen die er tussen-in zitten - zij mochten feitelijk toch al niets met de data doen anders dan gewoon doorgeven. Dus of dat nou een plain-text leesbare payload is, of een encrypted pay-load maakt voor hen geen biet uit.

De enige die met een klein beetje meer complexiteit te kampen heeft, is de partij die de software-oplossing voor de data-overdracht/-communicatie moet bouwen en bijhouden.

[Reactie gewijzigd door R4gnax op 22 oktober 2021 13:14]

Nee. Oplossingen waarbij echt alleen de ontvanger en verzender de data kunnen zien zijn vrijwel nooit volledig transparant.
Denk bv aan S/MIME voor email. Bepaald geen esoterische toepassing.
Zodra het transparant word komen de "beperkingen" naar boven zoals jij die eerder noemde. Dat er servers tussen zitten die zaken voor transparant voor je regelen maar waarbij data in geheugen kan komen te staan.
Nee, een eis zou ik persoonlijk tegen zijn. Als ik mag kiezen tussen het zeker beschikbaar hebben van mijn gezondheidsinformatie voor een zorgprofessional, met een kleine verhoging op risico dat mijn data uitlekt t.o.v. mogelijkheid dat mijn data niet beschikbaar is voor deze professional bij een levensbedreigende situatie weet ik wel wat mijn afweging is :) .
Als je end-to-end encryptie implementeert voor zo'n systeem moet je ervoor zorgen dat er op een of andere manier wel een fallback is als gegevens niet uitgelezen kunnen worden. Met de enorme complexiteit van cryptografie heb ik niet het vertrouwen dat alle zorgpartijen dit op een juiste manier implementeren.
Persoonlijk zou ik encryptie in transit voor nu voldoende vinden (met de juiste ciphersuites), dan is onderschepping wat moeilijker maar zijn mijn gegevens voldoende beschermd.
Informatiebeveiliging zou altijd een afweging moeten zijn tussen gebruiksvriendelijkheid en veiligheid. Daarnaast, als iemand je gegevens echt wil en hiervoor voldoende middelen heeft komt diegene er toch wel achter.
Ik ben geen jurist. Heb wel rechten gestudeerd ;)

Hoe verhoud zich dit tot het Runescape arrest?

Ik meen te herinneren dat daarin juist ook bits en bytes als enig goed (een zaak?) is gedefinieerd. (In de zin van het strafrecht.) Maar dan lijkt mij dat dat ook de andere kant op moet werken.
Het is enig goed (een zaak) en dus is het strafrecht van toepassing. -> Het strafrecht is van toepassing, dus het is enig goed (een zaak).

Volgens mij is het dus met het oog op dat arrest ook zeker mogelijk om digitale data als zaak met bijbehorende eigendomsrechten te behandelen.

Maar goed, ik studeer inmiddels al een paar jaar geen recht meer. Dus wellicht zit ik er wel compleet naast.

[Reactie gewijzigd door TheHeavySoldier op 21 oktober 2021 10:21]

Ik kwam dit stukje tegen in het zeer interessante PDFje van itenrecht.nl:
De speler heeft het (rechts)gevoel van eigendom van zijn virtuele objecten, terwijl hij feitelijk het vermogensrecht erover heeft. Hij is dus geen eigenaar van zijn virtuele objecten, maar rechthebbende op zijn virtuele objecten. Hij mist dus de zakelijke rechten zoals bepaald in Boek 5 BW.
Lijkt mij dus ook toepasbaar op onze eigen gegevens. Maar dat terzijde, misschien wel zo modern om hier in de wet even wat duidelijkheid over te scheppen en eigenaarschap van data aan de individu te geven, wat wel zo logisch is.

[Reactie gewijzigd door Memori op 21 oktober 2021 11:15]

Ah top!

Dat is wel een interessant stukje inderdaad.
Thanks!
Strafvordering is hier van toepassing en daarmee strafrecht
Rechten mbt de data vs eigenaar van de data zijn inderdaad 2 verschillende dingen, ook voor mij als niet jurist.

Als ik de moeilijk, technisch, omschreven beargumentering lees dan heeft hij het dus enkel over eigendom, maar blijft hij stil over de rechten die je over je data zou moeten hebben.

Maar wat wordt er bedoeld met de "systematiek van dit wetsvoorstel"? Vindt hij het te veel impact hebben op de gehele zorgsector en is dat dan maar de overweging om geen E2E encryptie te willen opnemen als vereiste?

Als je wel rechten over je data hebt dan zou je toch best een veilige verwerking mogen verwachten / eisen en daar lijkt mij E2E encryptie wel bij thuishoren.
Met een papieren dossier was het niet eenvoudig om dit in te zien, maar wel mogelijk.

Er blijven wel mogelijkheden om niet ‘alles’ te delen en dat verschilt per instelling.

Het is dus goed om je bewust te zijn/worden welke instanties ‘insecure’ aan gegevens overdracht doen.

Bepaalde landen is encryptie bij wet verboden voor indirecte toegang van medische gegevens.

Transparantie zal de gemoederen minder aanwakkeren.
GDPR geeft wel meer rechten t.a.v. persoonlijke data die alleen de persoon toekomen, waardoor het ook via die weg heel erg tegen eigendom begint aan te schurken.
Het feit dat de rechten door een ándere wet geregeld worden, is juist een argument tégen het feit dat het eigendomsrechten zijn. De auteurswet maakt aan het begin meteen duidelijk dat het een vermogensrecht introduceert, juist omdat het anders niet zo zou zijn.

Een belangrijk onderdeel van vermogensrechten is dat het rechten zijn die overdraagbaar zijn, of stoffelijk voordeel bieden (3:6BW). Persoonlijke data is niet overdraagbaar in die zin, noch bedoeld voor geldelijk gewin van de persoon zelf, en daarmee geen vermogensrecht.

De essentie van het 1923 arrest is dat er niet gekeken moet worden naar het exacte zaak-begrip op het moment van schrijven van de wet, maar naar de feitelijke beheersbaarheid op het moment van toepassen van de wet. Dat was een ver vooruitziende uitspraak. Als we in 2023 qubits krijgen die niet te kopieren zijn, dan is het arrest van 1923 weer eens relevant geworden.
Als er geen juridische eigenaar kan zijn, kan de Staat dat dus ook niet zijn. Niemand is juridisch eigenaar. Gevoelsmatig zal dat voor veel mensen raar klinken.
Als in gewone mensen taal (als tegengestelde van juridische taal) gesproken wordt over 'mijn', 'jouw', etc gegevens dan gaat het juridisch meestentijds over gevens die betrekking hebben op jouw, dis iets over jou zeggen. Als De Jonge heeft gezegd dat de patiëntendata "eigendom (blijft) van de partijen die de gegevens uitwisselen", dan klopt dat ook niet. Deze partijen kunnen evenmin juridisch eigenaar zijn. Ze kunnen wel recht hebben op het gebruik ervan en zijn zeker verantwoordelijke of verwerker in de zin van de privacywetgeving.
Kan je het ook niet gewoon helemaal terugbrengen zoals het gaat met iedere vorm van informatie. De tekst die ik nu in tik valt in principe onder mijn auteursrecht. Zo zou je ook kunnen redeneren dat een arts die een diagnose intikt het auteursrecht heeft over die tekst.
De tekst die ik nu in tik valt in principe onder mijn auteursrecht.
Nou, nee...
Je hele korte, en behoorlijk generieke, post is geen 'werk' in auteursrechtelijke zin.
Lijkt me nog interessant, want de vraag is meer of het een 'geschrift' of soortgelijk is (in digitale vorm).
De auteurswet (art 10.1) accepteert auteursrecht op
"boeken, brochures, nieuwsbladen, tijdschriften en andere geschriften". Vermoedelijk zegt de rechter 'nee' daartegen.

Echter, als ik die post verbatim kopieer naar een andere plek, en er credits voor krijg (post of the year ofzo, iets dat het waard is om erover te vechten) dan is dat wel degelijk plagiaat.

Het aantonen dat ik de post gekopieerd heb is het lastige stukje, ik had em ook heel goed zelf kunnen verzinnen.

Wat betreft het voorbeeld met de arts: tenzij hij er een heel kunstzinnig stukje van maakt is zijn idee om feiten vast te leggen, niet om een (kunst)werk te schrijven.
Lijkt me nog interessant, want de vraag is meer of ...
Nee, het is geen 'werk', want; te generiek.
Het aantonen dat ik de post gekopieerd heb is het lastige stukje, ik had em ook heel goed zelf kunnen verzinnen.
Waarmee je aantoont; te generiek. ;)
Rechten tot gebruik dient verleent te worden door de eigenaar. Of heb ik dat mis?
Het staat ook in geen enkele overeenkomst wat ik zo snel heb nagekeken wel "recht op delen" (als je dat aanvinkt) er staat nooit iets over overdracht van eigendom op persoonsgegevens als je gegevens deelt met de overheid of aanverwante organisaties.
Omdat eigendom van gegevens dus juridisch niet bestaat zoals Arnoud Engelfriet hierboven heeft uitgelegd
Ah, vandaar het intellectuele eigendomsrecht (op allerlei soorten gegevens), duidelijk.
Heeft Engelfriet dit ook bij Stichting Brein uitgelegd?

[Reactie gewijzigd door litebyte op 22 oktober 2021 11:34]

Het is niet tastbaar dus er kan geen eigenaar zijn.
Waarom zijn de instanties dan wel eigenaar kon toch niet?
Als je dit argument volgt, wat is dan de impact op de copyright wetgeving?

Als ik een film of game kopieer, bijvoorbeeld via bittorrent, dan maak ik effectief een kopie van de data. Maar als ik in een rechtszaak het argument aanvoer dat de data geen eigenaar heeft, omdat het mp4 bestand niet tastbaar is, dan zal de rechter dat waarschijnlijk niet accepteren.

Een ander scenario is als ik jouw persoonlijke foto’s kopieer en die op internet publiceer zonder jouw toestemming. Dat is toch ook een misdrijf?
Een auteursrecht heb je óp de data (data als een film, muzieknummer, boek, etc.). De auteursrechten rusten op de informatie. Als jij een auteursrecht hebt op iets, bijvoorbeeld als auteur van een boek, dan kan je naar de rechter stappen op grond van dit auteursrecht, maar niet omdat je "eigenaar" bent van de informatie an sich.
maar niet omdat je "eigenaar" bent van de informatie an sich.
Werkelijk? Dan zou je daar misbruik van kunnen maken op bijvoorbeeld een patent, lijkt me dan wel raar.
Octrooirecht (patenten) is weer iets anders dan auteursrecht, dus nee, dat kan niet.
Patenten en copyrights werken hier hetzelfde: je ben eigenaar van het patent c.q. het copyright, en dat patent c.q. heeft weer betrekking op informatie. Dat maakt je juridisch niet tot eigenaar van de informatie. Je bent de eigenaar van een vermogensrecht.

Je ziet dat bijvoorbeeld aan het verlopen van een patent - de onderliggende informatie blijft gewoon bestaan, maar het bovenliggend recht eindigt, en daarmee is er dus ook geen eigenaar meer.
Duidelijk dank voor je toelichting.
Dat zou dus betekenen dat degene die meet auteursrecht heeft? Dat is namelijk degene die de data, en dus de informatie, geschapen heeft. Dat wordt nog interessant dan met steeds meer patiënten die zelf ook meten.
Ja precies, dat is het verschil. Ik was me er ook van bewust dat auteursrecht een heel andere tak van sport, die voor persoonlijke informatie zoals gezondsheidsdata niet in overweging genomen is door de minister.

Zou ik dan kunnen zeggen dat ik geen copyright heb op mijn gezondsheidsdata? Maar als ik een roman schrijf met daarin een levendig personage, dan heb ik daar wel copyright op?
Ik vermoed licentie vs zaak.
Hebben dan de dataverwerkers niet net zo goed een “licentie” op het gebruik van mijn gegevens?
een licentie, op iets waar je geen eigenaar van kan zijn? (ik snap de hoofdpijn ). Deze uitpraak is vreemd gezein er mensen wel duidelijk eigenaar zijn van sommige digitale producten.
Dat klopt, ik ben (als beroepsfotograaf) gewoon eigenaar van mijn digitale foto's. Dat je bepaalde rechten m.b.t. bezit/gebruik etc. verkwanseld door gebruik te maken van 'diensten' als facebook, tja dat is je eigen schuld en tevens van verantwoordelijk bestuurders (om dit soort rechten beter te beschermen.)
Incorrect. Je moet onderscheid maken tussen de juridische definitie en hoe er in de praktijk over gepraat wordt. Juridisch kun jij geen eigenaar zijn van digitale foto's. Jij hebt als maker het auteursrecht op jouw foto's, wat betekent dat jij mag bepalen wat anderen er mee mogen doen. Jij bent bijvoorbeeld de enige die de foto's op Facebook mag zetten en daarmee geef je Facebook (o.b.v. hun voorwaarden) een bepaalde licentie op het gebruik van die foto's. Dat heeft niks met eigenaarschap te maken en alles met auteursrecht.
Met die redenatie als ik zelf m’n data aanlever in zelf gegenereerde rapportjes aan een medische instantie zoals het ziekenhuis in plaats van hun software daarvoor te gebruiken, dan heb ik dus opeens meer rechten dan wanneer ik het via hun software doe of hen het handmatig laten invoeren. :P Gekke wereld.
Het is dus kennelijk zo geregeld dat je dus niet eigenaar ben van de enen en nullen die je foto samenstellen.
Dus zo kan je zeggen iemand mag je bestand dus kopiëren en ergens opslaan. Maar zodra hij het opent heeft ie het auteursrecht geschonden. Als ik het goed begrijp.
Zo heb ik het nooit moeten leren in ieder geval. Het zou dan ook betekenen dat het beeld wat is opgebouwd uit nullen en enen mijn eigendom is maar de nullen en enen zelf niet. Een foto of (digitaal) kunstwerk is altijd intellectueel eigendom van de maker zo heb ik het ooit moeten leren. Dit staat los van het gebruiksrecht.

Als dat zo zou zijn zouden duizenden rechtzaken over moeten, moet ik mijn eigendoms en gebruikersrechten met vrijwel al mijn cliënten gaan wijzigen.
Je bent eigenaar van het beeld, niet van de drager ervan. Zodra ik jouw beeld op wat voor manier dan ook openbaar maak ben ik daarvoor aansprakelijk (kan betekenen auteursrecht-overtreding). Bekijken schendt zover ik weet geen auteursrechten.
Als dat zo zou zijn, dan zou het (illegaal) downloaden van afbeeldingen of videos, geen enkel probleem zijn...denk niet dat Brein dit met je eens is :)
Nee, kopiëren (vermenigvuldigen noemt de Auteurswet het), mag niet zonder toestemming van de maker.
En 'de burgah' kan zijn persoonlijke data niet licenseren, bedrijven wel, dat vergat Arnoud even te vermelden...
Dus iedere burger moet een eigen bedrijf starten met als hoofddoel het licenseren van zijn persoonlijke data. Dan is alles geregeld?
Dat kan niet, jij (als rechtspersoon) zal altijd 'een burgah' blijven. Je kunt eigenaar zijn van een bedrijf maar je kunt (uiteraard) geen bedrijf worden. ;)
Dat is geen tegenwerping van 3raser's conclusie. Als je een eigen bedrijf begint, en dat bedrijf de exclusieve licentie verleent op jouw data, dan kunnen andere bedrijven alleen bij jouw bedrijfje een sub-licentie afnemen.
Bedrijven hebben geen persoonlijke data? Ze kunnen verantwoordelijk zijn voor persoonsgegevens van burgâhs, maar dat is echt iets anders.
De scheve verhouding tussen data van burgers en de data van overheid/bedrijven is echter niet alleen bij persoonsgegevens van toepassing...
Bedrijven hebben geen persoonlijke data? Ze kunnen verantwoordelijk zijn voor persoonsgegevens van burgâhs, maar dat is echt iets anders.
Uiteraard, dat zeg ik op de vraag
Dus iedere burger moet een eigen bedrijf starten met als hoofddoel het licenseren van zijn persoonlijke data. Dan is alles geregeld?
met
"Dat kan niet, jij (als rechtspersoon) zal altijd 'een burgah' blijven. Je kunt eigenaar zijn van een bedrijf maar je kunt (uiteraard) geen bedrijf worden. ;) "
natuurlijk ook.
Van een hele andere hoek: hoe zit dat dan met bijvoorbeeld een foto? Of is het eigendom hiervan geregeld met auteursrecht?
Of met software? Of valt dat onder licentie(recht)?
Foto's en software vallen primair onder de auteurswet. Die wet introduceert een vermogensrecht, en dat vermogensrecht op zijn beurt is een eigendom - niet de foto zelf. Een NFT is ook afgeleid van de foto, maar staat los van de foto of het eigendom van de foto, dus de NFT kan weer een compleet andere bezitter hebben.

Fotos's en andere dingen kunnen gekopieerd worden met een licentie, waardoor die licentie ook weer een apart recht vormt. Dat is een separaat recht, waarvan je er veel meer kunt hebben dan één per beschermd werk.
Wat ik het gekst vind: in het artikel staat dat de data “eigendom” blijft van de gegevensverwerker. En dat de patiënt geen eigenaar kan worden omdat de data geen “goed” is.

Daar staat dus eigenlijk dat een bedrijf wel data kan bezitten maar een privé persoon niet.

Dat past mooi in de beweging van het afnemen van rechten van mensen en deze neerleggen bij corporaties vind je ook niet?

WEF plan in uitvoering.
jij bent als persoon eigenaar van jouw data.
Op het moment dat jij een gegevensverwerker toestemming geeft daar iets mee te doen, maken zij een kopie. Zij zijn dan eigenaar van die kopie.
De vraag is dan of je zorg kan krijgen zonder toestemming te geven. Of moet je het ziekenhuis bij ieder gesprek/onderzoek een document laten ondertekenen dat zij niet de eigenaar worden van de zojuist vergaarde data. Onmogelijk in de praktijk.
Jep, succes met toestemming geven als je bewusteloos de Spoedeisende Hulp binnengerold wordt.
Nee, je bent geen eigenaar van die gegevens. Ook is een bedrijf/ziekenhuis geen eigenaar van de gegevens.

De gegevens zijn wel beschermd door de Auteurswet en (in het geval van persoonsgegevens) ook door privacywetgeving.
Het zijn jouw gegevens, maar niet jouw data!

Als je bij een webshop een bestelling plaatst dan zijn jouw persoonlijke gegevens (naam, adres, etc) inderdaad onderdeel van de data, maar het is niet beperkt tot jouw persoonlijke gegevens. Andere informatie in die 'data' zijn de bestelde producten, status van betaling.

In het geval de medische wereld ben jij het 'onderwerp'. Het gaat over jouw, maar het is de informatie van de artsen welke in het dossier staan.

Data is feitelijke alles wat tijdelijk of permanent wordt bewaard in een computer systeem. Zelfs een cookie op een website is data. Het gaat over jouw, maar het is niet data welke jij verzameld hebt.

De eigenaar van de data is ook (eind) verantwoordelijk voor alles wat met die data gebeurt. Zou jij eigenaar zijn van jouw medische data, dan zou jij ook verantwoordelijk worden voor de opslag en beveiliging. Als de dokters assistent jouw dossier op de ontvangst balie laat liggen, zou je dan zelfs geen klacht kunnen indienen want jij (als eigenaar) had moeten zorgdragen dat dat dossier niet had gelegen. Sterker nog, als de dokter dan melding maakt bij het AP, kun jij (eigenaar van de data) dan de boete krijgen...
En voor dat statement in het T.net artikel wordt geen bron gegeven. Google zet dit artikel dan ook bovenaan als je op die uitspraak zoekt, en alle volgende artikelen lijken er niet eens op.

Het past dus vooral mooi in de illusie dat er steeds meer rechten worden afgenomen.
Bekijk het eens zo: jij hebt data waar je eigenaar van bent. Jij geeft mij een kopie tegen betaling, ben ik nu eigenaar van de kopie? Of van het origineel? Zijn we gezamenlijk eigenaar van de data, hebben we elk losse eigendommen op toevallig identieke data? Ik heb nu net mijn derde koffie op en ik krijg hier nu al hoofdpijn van.
Ik vind het wel simpel eigenlijk. Je blijft eigendom van de brondata. Anderen kunnen het wel hebben maar je blijft de eindregie hebben over wat er mee mag gebeuren, en vooral met wie ze het mogen delen. Daar ging het voorstel ook juist over.

Net zoals @g_e_r_b zegt, met copyright wordt precies hetzelfde gedaan. Je mag een film ook niet zomaar delen.

Ik snap dat eigendom volgens de wet alleen over stoffelijke zaken gaat. Maar misschien wordt het tijd om de wet aan te passen op de huidige werkelijkheid waar data steeds belangrijker wordt. Misschien moet er een nieuwe term komen voor 'digitaal eigendom'. Dit zal niet de laatste keer zijn dat deze discussie op tafel komt.

[Reactie gewijzigd door GekkePrutser op 21 oktober 2021 09:44]

Hier heeft een hele slimme man een hele goede oplossing voor. Tweakers had hier ton een uitgebreid artikel over welke ik nu even niet kan vinden.

Maar het omschreef PODS waarin persoons data staat. Deze POD is volledig in jouw beheer en jij kan doen wat jij er mee wilt. Als een bedrijf data nodig heb kan jij dit bedrijf toegang verlenen tot de data die nodig is en wegnemen wanneer jij dat nodig. Dit was Tim Berners-Lee. Wel vond ik de link naar Solid.
Dat ligt wel lastig inderdaad, zoals je aangeeft. Daarom is piraterij ook per definitie geen diefstal, wat Brein je ook wil doen geloven (je steelt de film niet, je kopieert deze).

Maar hoe zie je dan de uitspraak van Hugo dat individuen geen eigenaar kunnen zijn, en daarom instanties dat zijn? Want dat strookt juridisch dan net zo min volgens mij. Als er dan een eigenaar word aangewezen, dan lijkt me logischer dat dit de persoon in kwestie betreft, gezien het privé-gegevens zijn. Mijn inziens zou je kunnen stellen dat het individu de "auteur" is van die gegevens, want zonder het individu zou dit specifieke gegeven nooit bestaan hebben. En dus kan ik de instanties wel een licentie vergeven, maar kunnen zij nooit eigenaar/rechthebbende worden. Of maak ik nu een gekke vergelijking?
Maar hoe zie je dan de uitspraak van Hugo dat individuen geen eigenaar kunnen zijn?
Die lijkt door Tweakers verzonnen. De bron ontbreekt en is ook niet in Google te vinden.
Interessant. Als men in 1923 er over nagedacht heeft hoe dat met eigendom van elektriciteit zit, dan moeten we daar 100 jaar later toch eens over nadenken hoe dat met (verschillende soorten) data zit. Toen was dat blijkbaar een issue, nu is data een issue. Je zou zeggen dat het mogelijk moet zijn om met elkaar bepaalde afspraken te maken over de eigendom van data. Wellicht moeten we dan iets met het fenomeen 'zaak' in de rechtsspraak. De wereld veranderd, wetten moeten dus mee veranderen.
dan moeten we daar 100 jaar later toch eens over nadenken hoe dat met (verschillende soorten) data zit
Dat is ook allemaal gedaan, alleen ik krijg meer het idee dat de conclusie je misschien niet bevalt. Ik zie hier namelijk eigenlijk helemaal niets raars in, behalve een hoop mensen die deze conclusie niet begrijpen.

Informatie over jou en anderen is in de privacywetgeving al beschermd. Eigendom van data is heel wat anders. Dat die data over jou gaat, dat kan, maar dát is waar de privacywetgeving telt. Data in het algemeen, dus een klantendatabase in je CRM systeem is eigendom van degene die eigenaar is van de database. Bij datalekken en andere situaties, of verkopen, is de eigenaar niet de honderdduizenden mensen die in die database voorkomen, dan zouden die namelijk ook ineens verantwoordelijk worden voor die database in bepaalde mate (voor de wet dan) en dat is compleet onwerkbaar.

Dat er met die data bepaalde dingen niet mogen gebeuren met data van de personen in die database, staat los van eigenaarschap, maar is wel beschermd. Niet alles is op te lossen met eigenaarschap. Dat zou ook ontzettend onpraktisch zijn.

Ik snap dat je je eigen informatie in handen wilt houden en dat je je eigenaar voelt over alles dat een ander over jou denkt (en opgeschreven heeft in een database bijvoorbeeld) maar zo gemakkelijk kun je dat niet stellen. Op die manier zou je automatisch eigenaar worden van een stukje van iemands dagboek als 'ie jouw naam noemt. Of van een nieuwsbericht waar je mogelijk in genoemd bent. Ik snap dat mijn voorbeelden vergezocht zijn, maar ik probeer hier vooral mee aan te geven dat er meer mee speelt dan je soms op 't eerste gezicht zou denken.
Het gaat me niet zozeer over de conclusies ten aanzien van eigendom van data. Ik begrijp ook dat privacy en eigendom wat anders is. Het gaat me er meer om dat we het ons blijkbaar heel lastig hebben gemaakt in oude wetgeving met betrekking tot eigendom van iets in relatie tot de eigendom van hele nieuwe onderwerpen zoals data.

Volgens mij moeten we met z'n allen slim zijn om daar goede en billijke spelregels op te bedenken. Dat er dan verschil is tussen eigendom van 'mijn data' ten aanzien van iemand die iets opschrijft over mij in zijn dagboekje of grote bedrijven die data verzamelen voor eigen gewin, mag dan maar duidelijk worden. Ik begrijp dat dit lastig is, maar dat was het met de eigendom van elektriciteit in 1923 blijkbaar ook. Dat is ook gelukt.

[Reactie gewijzigd door Hulleman op 21 oktober 2021 10:25]

Ik snap eerlijkgezegd eigenlijk niet wat we dan aan zouden moeten passen en wat we nu precies zouden missen. zaken als
Volgens mij moeten we met z'n allen slim zijn om daar goede en billijke spelregels op te bedenken.
zijn gedekt in de privacywetgeving, met verwerkingsovereenkomsten enzovoorts. Om daar nog een heel eigendomstuk aan te plakken is misschien een beetje overkill. Je gaat er niets meer mee bereiken dan nu, maar maakt de zaak wel veel complexer. Ik moet eerlijk zeggen dat ik de huidige wetgeving ook gewoon als logisch zie.

Data is geen nieuw concept hè. Dat data nu digitaal is, dat digitale onderdeel is misschien relatief jong. Maar ook daarvoor bestond er 'data'. Het waren alleen geen ééntjes en nulletjes. Ik krijg vooral het gevoel dat er veel onzin door elkaar loopt in deze discussie. Ik zie de volgende onderdelen als losse elementen;

Privacy. Dus hoe bekend mag je zijn bij anderen en wat mogen ze over je weten en registreren. Welk recht je hebt om daar aanpassingen aan te doen en dus ook het recht om vergeten te worden. Allemaal zaken die impliciet effect hebben op andermans data waar jij in voorkomt. Dat is nu afgedekt door de privacywetgeving. Hier nog een keer het eigendom van de data gaan bediscussiëren levert je niets meer op dan nu. Je bent dan geen eigenaar, maar je hebt wel zeggenschap over je data.

Auteursrecht. Zaken die gemaakt zijn door jou of anderen waar je bepaalde licenties aan hangt en die je wel of niet vrijgeeft. Eventueel tegen vergoeding. Dat is ook een vorm van data (digitale kopie) van iets dat iemand geproduceerd heeft en indien het een relatie heeft met bestaande personen, komt het privacyaspect ook om de hoek kijken. Maar dat is allemaal gedekt in het auteursrecht. Je bent dan misschien geen eigenaar van de fysieke DVD met jouw werk erop, maar je hebt er wel zeggenschap over.

Databases/gegevensdragers met informatie (over personen) waar eventueel auteursrecht of privacygevoelige gegevens in staan. Het databaseje van Facebook bijvoorbeeld. Of de reserveringen bij een restaurant op papier of digitaal waar je naam+telefoonnummer bij staan. Of je medische gegevens dus. De eigenaar van die database/gegevensdragers (had even geen beter woord, ik weet dat 't stom staat) is verantwoordelijk voor de data die erop staat en dus ook bij een datalek. Jij hebt als je voorkomt in die database via het auteursrecht of privacywetgeving rechten met betrekking tot jouw informatie daarin. Maar eigenaar worden van dat stukje data, daar schiet niemand wat mee op. Dat zou een wassen neus zijn die vooral achterlijk veel administratie oplevert en geen praktische voordelen biedt bovenop de huidige situatie. Het levert vooral veel meer discussies op, vooral ten opzichte van verantwoordelijkheid. Op dit moment kun je namelijk de eigenaar van de data(base) of waar de data ook op staat verantwoordelijk houden voor de verwerking en beveiliging (dus ook bij een lek). Net als dat je nu kunt verplichten dat een partij die database alleen mag delen onder bepaalde voorwaarden en een verwerkingsovereenkomst moet afsluiten met de partij die gaat verwerken. Eigenaarschap gaat je daar niet meer bij helpen dan nu het geval is. Je hebt al zeggenschap genoeg. De privacywetgeving lijkt tot dusver dan ook voldoende te zijn.

Het hele nadenken over data, eigenaarschap, verantwoordelijkheden en zeggenschap over jouw data is allemaal al uitgewerkt in de privacywetgeving en het auteursrecht (en dan vergeet ik nog wel wat dingen). Ook bij de totstandkoming van de AVG is dit argument gewoon bekeken.

Het probleem voor mij blijft echter dat het over semi-complexe juridische zaken gaat, waar ik ook niet genoeg van afweet. Dus ik zal in dit verhaal ook de nodige fouten gemaakt hebben. Ik kan mij alleen wel voorstellen waarom eigenaarschap een probleem op kan leveren.
Ik wilde la zoiets opschrijven, Maar jij hebt het al veel beter verwoord dan ik zou doen!

Stel je voor dat een Medewerker eigenaar is van het AD-account dat gegeven is en deze persoon uitdienst gaat. Als eigenaarschap overgedragen moet worden dan kan beargumenteerd worden dat deze persoon geheel geen zeggeschap meer heeft over de data die op het account staat, en daarmee ook niet meerop gevoelige en persoonlijke e-mails die staan op dat het e-mail adres.
Zoals ik het begrijp kent een data geen eigenaar. Een database dus ook niet. De HD waar die DB op staat natuurlijk wel.
Wel is er wetgeving die iets over die data zegt, privacy, copyright, etc. Maar geen eigenaarschap.

Dat de Jonge zegt dat de data eigendom blijft van de partijen die ze uitwisselen is natuurlijk ook erg vreemd. Dan wordt een internet provider ineens eigenaar van alle data die uitgewisseld wordt.

Eigenlijk zou je het copyright moeten hebben van je persoonlijke modische dossier. Dan kan jij bepalen wie er wat mee mag doen. Wie nu dat copyright heeft is me niet duidelijk, een arts, een ziekenhuis, je verzekeraar?
Copyright heeft hier weinig mee te maken lijkt me. Copyright is het exclusieve recht van de maker van een werk. Wat dan al helemaal niet opgaat is dat jij de maker bent van je eigen medisch dossier.... Je bent de inhoud.
Precies, daarom stel ik dat jij het copyright zou moeten krijgen van je eigen dossier. Je huurt het ziekehuis in om een onderzoek te doen en de resultaten in jouw dossier te zetten.
Kan je prima afspreken, net als wanneer je een programmeur inhuurt.
"De Jonge zegt dat patiënten ook geen eigenaar worden van hun data. Die blijft eigendom van de partijen die de gegevens uitwisselen, al moeten die daarbij uiteraard wel de privacywet volgen."

Je mist zijn punt volledig: als data geen eigenaar kan hebben, dan kunnen dus ook de partijen die de gegevens uitwisselen geen eigenaar zijn van die data. You can't have your cookie and eat it.
Dit citaat is dan ook onjuist; De Jonge heeft niet gezegd wat jij aanhaalt. Hij zegt:
Aangezien gezondheidsgegevens onstoffelijk zijn, kan er geen sprake kan zijn van eigendom van de gezondheidsgegevens. Dit betekent echter niet dat gegevens vogelvrij zijn en cliënten geen zeggenschap over hun gegevens hebben. In het bestaande juridische kader is deze zeggenschap namelijk geregeld.
Ik denk dat @Tijs Hofmans het begrip 'zeggenschap' heeft vertaald naar 'eigendom', wat normaal prima is maar specifiek hier net niet klopt. Zeggenschap zoals De Jonge het bedoelt, is dat je gebruik tegen kunt houden. Dat kan prima zonder een eigendomsrecht te hebben.
Good catch. :) Hoop dat ie het citaat wijzigt, want anders is het een kromme gedachte.
Mooie uitleg van de juridische ondergrond van dit verhaal en dus in wezen heeft De Jonge gelijk, maar... Is het niet zo dat de AVG/GDPR ervoor moet zorgen dat wij als burgers dus wel eigenaar zijn van "onze" data? De gedachtegang van de AVG/GDPR is toch volgens mij dan ook dat instanties/bedrijven "jou" data in "bruikleen" hebben gezien je het recht hebt om vergeten te worden? Het is natuurlijk de vraag welke data van "jou" is en dat is volgens mij ook waar jij je hoofdpijn door gekregen hebt en niet door je 3e koffie ;-)

Volgens mij een voorbeeld: Een laboratorium van een ziekenhuis doet een bloedonderzoek van bloed die bij jou is afgenomen. Daar komen waardes uit en worden aan jou als persoon gekoppeld in de systemen van het ziekenhuis (afdeling A van ziekenhuis A heeft namelijk opdracht gegeven aan lab A en niet jijzelf). De vraag is hier dan dus, is deze data dan van jou of is deze dan van het lab en dus het ziekenhuis die deze data vertaald heeft naar iets wat jij/anderen kunnen lezen?

Heb ik dit een beetje goed opgevat zo?
Het is iets anders. De Europese grondwet (Handvest) bepaalt dat jij een zelfbeschikkingsrecht hebt op je persoonsgegevens, daar ga jij over. Maar dat is vergelijkbaar met de onaantastbaarheid van het lichaam. Je bent niet eigenaar van je lijf, dat kan juridisch niet (ook niet van organen). Maar niemand mag er zomaar aankomen of er dingen mee doen.

Je kunt alle rechten en plichten uit de AVG bespreken zonder het woord "eigendom" nodig te hebben. De verantwoordelijke voor dataverwerking moet er netjes mee omgaan, een verwerker mag niet zelf beslissen wat hij ermee doet, et cetera. Voor mij is het dus een nodeloze complicatie om van eigendom te gaan spreken, de AVG wordt er niet sterker van.
Je bent niet eigenaar van je lijf, dat kan juridisch niet (ook niet van organen).
Beetje heel off topic, maar hoe werkt dat als ik mijn haar zou afknippen en verkopen?
Ik neem aan dat dit, samen met bv. bloed donaties apart geregeld is?
Bloed en haar lijken mij een verhandelbare zaak te zijn, gezien de bedrijven die daar actief in zijn.
Onderdelen van het menselijk lichaam worden om principiële redenen niet als zaken gezien: dan zou handel in organen of bloed legaal (kunnen) worden. In de praktijk zie je vrijwel altijd dat mensen zaken als haar, bloed of urine (zwangere vrouwen) doneren tegen hooguit een symbolische vergoeding, geen marktconform tarief. Maar afgezien van die opvatting is er niets op tegen om zeg een uitgenomen nier als zaak te zien.

Nog een veel leukere vraag: iemand schiet een kogel in je lijf, jij overleeft maar de kogel blijft zitten. Wiens eigendom is de kogel? Maakt het uit of het een soldaat in oorlogstijd was, een politieagent in nood of een boze buurman die schoot?
Mummies en archeologische menselijke vondsten kan je er ook vast bij slepen als grensgevallen.
Wat de kogel betreft, er zijn vast voorbeelden van een patholoog-anatoom die kogels van beroemde moord heeft achter over gedrukt? Wat kwam daar uit? ;)
Wellicht offtopic, maar hoe zit het dan met 'illegaal' downloaden. Immers is (blijkbaar) niemand eigenaar van de data. Hoe kun je dan worden beschuldigd van 'diefstal' of illegaal downloaden?
Hoe kun je dan worden beschuldigd van 'diefstal' of illegaal downloaden?
Je wordt ook niet beschuldigd van diefstal. Het is een civielrechtelijke zaak waar je inbreuk gemaakt hebt op bepaalde auteursrechten die op een werk rusten.
Auteursrechten op iets wat je niet in bezit hebt of kunt hebben?

Als niet-juridisch onderlegd persoon: veel zaken lijken tegenstrijdig en niet meer uit te leggen aan de gemiddelde burger.
Auteursrechten op iets wat je niet in bezit hebt of kunt hebben?
Onder auteursrecht vallen ook de distributierechten; rechten op vermeervoudiging; en rechten op openbaring. Dat zijn de rechten die je schendt.

[Reactie gewijzigd door R4gnax op 21 oktober 2021 12:27]

Correct. Auteursrechten bestaan precies omdat eigendom van data onmogelijk is, want data is te kopieren. Auteursrechten zijn een alternatief voor eigendomsrechten; de twee staan naast elkaar. Dat is niet tegenstrijdig, de twee vullen elkaar juist aan.
Wat ik mij van de colleges recht kan herinneren gaat het bij digitale producten erom of je het product economisch in je macht hebt. Een DVD met film is economisch in jouw macht. Een serie op Netflix niet.

Dat vertalende naar medische gegevens heeft De Jonge gelijk. Of dat wenselijk is, is een andere vraag.
Dat lijkt me dan weer gebaseerd op de situatie rond kopiëren van iets van economische waarde, zoals muziek. Misschien is iets anders dan 'eigenaarschap' nodig voor data in het algemeen om het te onderscheiden van fysieke zaken. Als het CDA in haar programma zet dat een patiënt eigenaar moet worden van haar medische gegevens, wat betekent dat dan voor de patiënt? Welke rechten krijgt een patiënt er dan bij met betrekking tot de data, en welk probleem van de patiënt lost dat op?
Dat is niet het juridisch criterium, de HR formuleerde het zo:
"Immers, van een "goed" als bedoeld in de hiervoren genoemde wettelijke bepalingen moet als een wezenlijke eigenschap worden beschouwd dat degene die de feitelijke macht daarover heeft deze noodzakelijkerwijze verliest indien een ander zich de feitelijke macht erover verschaft." Computergegevens ontberen deze eigenschap.
Ik weet ook niet precies wat "economische macht" betekent. Maar ook bij gewone dingen is het niet relevant: als jij een dvd van mij steelt, heb je 'm in je macht maar toch ben je er geen eigenaar van. De dvd is een zaak (vatbaar voor eigendom) omdat hij stoffelijk is.
Hoe zit dit dan bijvoorbeeld met muziek? Kan ik dit nu wel of niet stelen door illegaal te downloaden?
Nee. Maar een virtueel zwaard in WoW kun je wel stelen of roven, omdat zo'n zwaard uniek is in de zin dat als jij het hebt, ik het niet ook heb. Muziek kopieer je.
Daar ben ik het niet mee eens. Zo'n zwaard kan ook gewoon gekopieerd worden, niet door iedereen maar het kan gewoon want het is "data".
Zodra je een kopie van Teebu's Blazing Longsword voor me hebt, kom ik 'm gelijk halen. Dark Portal afspreken?
Ik ken het spel niet maar zoals gezegd kan dit niet door iedereen gekopieerd maar het kan wel degelijk door iemand gekopieerd worden.
Het blijft onderaan de streep een stukje data in een spel om jou dit toe te wijzen.

Dat jij of ik iets niet kan kopiëren vanwege ontbrekende rechten wil het niet zeggen dat het niet te kopiëren valt.

[Reactie gewijzigd door Dennisb1 op 21 oktober 2021 13:43]

Artikel 310 BW:
Hij die enig goed dat geheel of ten dele aan een ander toebehoort wegneemt, met het oogmerk om het zich wederrechtelijk toe te eigenen, wordt, als schuldig aan diefstal,

Als je niets wegneemt, kun je ook niet stelen. Maar dat wil niet zeggen dat het is toegestaan.
https://www.rijksoverheid...o-s-van-anderen-gebruiken
Ik denk dat we dat station allang gepasseerd zijn: echt letterlijk 'stelen' is het niet. Wat er wel gebeurt bij het (gratis) aanbieden van een kopie van muziek is dat de originele uitgever het economisch voordeel dat met verkoop te behalen is ontnomen wordt. Ik kan me voorstellen dat je dat strafbaar wilt maken linksom of rechtsom, en als je dat gedaan hebt kun je er ook voor kiezen om downloaden zelf ook strafbaar te maken. Dat lijkt bijvoorbeeld op hoe we omgaan met heling van fietsen. Als je voor 5 euro van iemand op straat een fiets koopt dan heb je als koper ook een bepaalde verantwoordelijkheid om de herkomst na te gaan en als je dat niet doet is dat strafbaar.
Misschien een rare vraag en mogelijk offtopic maar is dit nou niet precies waar ze tegenwoordig met NFT's mee bezig zijn?
Eigendomsbewijzen van data.
Ik zie dit als de blockchain-oplossing voor dit probleem in het algemeen. De NFT-techniek kan een laagdrempelige oplossing zijn waarmee iedereen een soort publiek bewijs van (eerste) eigendom van data kan vastleggen.
Nee, NFTs is een handel voor geld, net zoals oude munten en tegenwoordig Games. Zie deze van Karl Jobs: https://www.youtube.com/watch?v=rvLFEh7V18A
Dat is veel te kort door de bocht. NFT's zijn uitermate geschikt als eigendomsbewijs voor data.
Zolang er maar 1 Dataset is en altijd zal bestaan. Maar in de praktijk heb je binnen de korste keren 10 kopien, Zie engelfriet zijn post. Of je je het nu op papier bijhoud of in een NFT, lost dat probleem niet op.
Nee, een NFT legt juist vast dat jij eigenaar bent van iets digitaals bent, ondanks dat er kopieën zijn. Volgens mij is dat juist het idee van een NFT, ze zijn ontworpen om je iets te geven dat niet kan worden gekopieerd: eigendom van het werk. Jij kan eigenaar zijn van een origineel schilderij, iemand anders kan een kopie hebben. Dat die kopie digitaal exact hetzelfde is, doet er dan niet toe.
Daar heb je toch geen NFT voor nodig. De staat kan dan nu ook zeggen dat je eigenaar bent van iets digitaal (en net als NFT een link of dergelijke bijvoegen), en dat in een grote boek schrijven, maar hetzelfde geld als voor NFTs als voor papieren rechten, als jan en alleman dat kan kopiëren zonder enige drempel dan heeft dat eigendomsrecht niet veel waarde.

Bij NFTs heb je uiteraard ook nog het bijkomende probleem dat je dan wel een nft mag hebben, op blockchain x, als je buur een nft heeft voor hetzelfde eigendom op blockchain y dan sta je nergens (uiteraard geld dit ook voor overheden, maar daar heb je toch al consensus zolang je de grens niet over gaat).

[Reactie gewijzigd door mdgf op 21 oktober 2021 11:24]

Die data is digitaal compleet niet hetzelfde, want staant bij jouw in Word, bij de zorgverlener in een erpd DB, en bij de financien in "Exact online"

En al was het allemaal hetzelfde, dan was leuk en aardig in theorie.
Maar in praktijk lost dat niet meer op dan op papier zetten "ik ben eigenaar van mijn gegevens"
En heb je nog steeds alle vragen die je al had. met nog wat extra vraagstukken of wat er nu wel of niet in een NFT staat
Ik zet wel een pot koffie voor je een leg er een doosje aspirine naast, want ik wil toch wel heel graag weten hoe deze uitspraak over wat een zaak is gezien wordt in de context van (illegaal) downloaden en intellectuele eigendom zoals patenten waarin het draait om een nog vager/minder tastbaar concept als ideeën.

Dat de unieke informatie over mij als persoon niet principieel van mij is, zoals portretrecht verbaast een shockeert me, zeker gezien hoe dit (commercieel) gezien wel ge- en/of misbruikt kan worden
Een patent/octrooi is inderdaad een vorm van eigendom (artikel 1 eerste protocol EVRM) maar dat moet je zien in de context van het recht zelf. Je bent geen eigenaar van het idee, maar van octrooi WO2004016331A2 dat een juridisch verhandelbaar recht vertegenwoordigt.

En zie het zo: je bent geen eigenaar van je lijf, toch mag niemand er aan komen of er wat mee doen.
Aangezien zowel de EU verordening als de toezichthouder en overheid het heeft over mensen die rechten hebben over hun persoonsgegevens kunnen we wel moeilijk gaan doen over de juridische term eigendom, maar dat lijkt dan geen recht te doen aan het doel. Dus zolang niemand een beter woord heeft is de betekenis dat de persoon over wie de gegevens gaan controle hoort te hebben en niet van een ander zijn. Het zijn niet voor niets persoonsgegevens, dus van de persoon.

[Reactie gewijzigd door kodak op 21 oktober 2021 12:31]

Helemaal voor, ik zie ook geen reden om heel formeel juridisch te gaan doen tenzij iemand het vraagt.
Ik denk dat Stichting Brein dan ook maar eens moet opkomen voor deze rechten :D

Zouden we het niet zo in kunnen richten dat rechtspersonen licenties kunnen afgeven om persoonsgegevens te verwerken? Wanneer de licentie vervalt, ben je vanuit die afspraak verplicht om alle kopieën te verwijderen. 'Eigendom' is gewoon een term die juridisch gezien niet past, en dat lijkt nu een beetje als excuus gebruikt te worden.

Ik heb geleerd dat juridische regels vrij snel afstand kunnen nemen van hoe de techniek geïmplementeerd is. Dus dat je data niet kunt verplaatsen maar alleen kunt kopiëren en vervolgens het origineel kunt verwijderen bij een overdracht lijkt mij een implementatiedetail dat niet ter zake hoeft te doen als het om de juridische inkleding gaat.

[Reactie gewijzigd door CUnknown op 21 oktober 2021 09:39]

Digitale data kun je .... niet wegnemen. Je kunt het kopiëren en je kunt het wissen, maar dat zijn twee operaties.
Als je digitale data wist neem je die weg.
Sorry. De vakterm ``wegnemen`` slaat op het jezelf toe-eigenen, meenemen. Wat jij wegnemen noemt, noemen juristen ``vernielen`` of ``wegmaken``.
Sorry. De vakterm ``wegnemen`` slaat op het jezelf toe-eigenen, meenemen. Wat jij wegnemen noemt, noemen juristen ``vernielen`` of ``wegmaken``.
Stel dus dat iemand zich wederrechtelijk toegang verleent tot de account van een ander in een MMO en verzamelde items weggooit. Is dat dan vernielen van eigendom? Runescape-arrest zegt immers dat dat soort items als goed / zaak met eigendomsrecht gezien moet worden, toch?

Is daarmee overigens niet ook gelijk bewezen dat op niet-stoffelijke objecten net zo goed eigendomsrecht kan rusten, en De Jonge (wederom, zal niet de eerste keer zijn) in zijn uitspraken er feitelijk naast zit en deze niet de hele waarheid omvatten?

[Reactie gewijzigd door R4gnax op 21 oktober 2021 11:04]

Inderdaad. Runescape ging over een beroving (diefstal met dreiging van geweld) en dat kan alleen met eigendommen. Dus nu vaststaat dat je virtuele objecten kunt stelen, kun je ze ook vernielen. Daar staat 2 jaar op (art. 350 Sr), dezelfde straf als op het eerder ingevoerde aparte artikel over vernielen van gegevens (art. 350a Sr). In jouw casus zou ik het computervredebreuk met vernieling (art. 138ab lid 1 en 2) noemen, dan is het namelijk 4 jaar maximaal.

Runescape is a) strafrecht en b) beperkt tot virtuele objecten die zijn geprogrammeerd om weggenomen te kunnen worden. Buiten het strafrecht is deze kwestie open, en er zijn goede argumenten om eigendom op data niet te erkennen. Voor mij de belangrijkste dat je data kunt klonen, en wat gebeurt er dan met de eigendom? Gaat die mee? Is die van de kloner? Gedeeld met de origineelhouder?

En als je het voor persoonsgegevens doet, wat gebeurt er als ik mijn achternaam verkoop, mag ik hem dan zelf nog gebruiken?
er zijn goede argumenten om eigendom op data niet te erkennen
Eens. Het is een soort van Pandora's doos aan allerlei gevolgtrekkingen.

Laat alleen ongewijzigd dat De Jonge's stelling dat het volgens Nederlands recht niet mogelijk is om eigendomsrecht te erkennen voor niet-stoffelijke objecten, niet correct is. Het is misschien niet in alle gevallen wenselijk - maar dat is iets anders.
Hier onduidelijk over communiceren is geen goede zoek. Bedoeld of niet (hopelijk onbedoeld, want anders is hij helemaal fout bezig...) is het een dooddoener voor verdere discussie en bespreken van mogelijkheden. Een politiek correcte "basta!"

[Reactie gewijzigd door R4gnax op 21 oktober 2021 12:25]

Mss niet moeilijker maken dan het is. Dat heet gewoon een licentie. Dat is ook geldig op digitale dragers. Bijvoorbeeld een liedje of een foto. Het auteursrecht bied veel mogelijkheden. Bijvoorbeeld: je mag dat liedje enkel gebruiken tijden event x voor periode y.

Je kan perfect een ziekenhuis een licentie geven op uw data voor een bepaald doel en duur. Het enige wat je moet doen is dat goedkeuren. Heel simpel. Maar die weg zijn ze zeker niet ingeslaan. Erger nog, men zou zo geld kunnen vragen voor het gebruik van uw eigen data. Uiteindelijk moet jij de rekening betalen, niet het ziekenhuis of de dokter.

Ik weet dat er veel mensen van mening zijn dta privacy zinloos is en we die toch al kwijt zijn bla bla bla. Voor mij is dat een fundamenteel mensenrecht dat belangrijk is voor een duurzame en vreedzame samenleving zonder dat de geschiedenis zich verhaald met machtsmisbruik van een regime of overheid.

[Reactie gewijzigd door Coolstart op 21 oktober 2021 10:46]

Privacy is zelfs zo belangrijk dat het in de Europese grondwet staat, als onaantastbaar recht op bescherming (behalve als bij wet geregeld, AVG). Het is daarmee stérker beschermd dan eigendom, want je privacyrecht kun je niet verkopen of weggeven. Reken maar dat als dat wel kon, Facebook allang een transactie had opgezet waarbij dat moest.
Idd privacy is een ander topic maar ergens hangt het samen. Het ziekenhuis moet aan AVG voldoen maar het feit dat je geen eigenaar bent staat daar wat mij betreft haaks op de geest van onze universele rechten en AVG.

Of het recht onaantastbaar is weet ik niet. Het is per land redelijk vrij te interpreteren. Denk maar aan gezichtsherkenning. Dat staat niet letterlijk in de universele verklaring van de rechten van de mens (waaronder privacy) en vraagt een interpretatie zoals AVG. Zo heeft elk land ter wereld zo zijn interpretatie wat digitale surveillance betreft en gaan we er elk jaar een beetje op achteruit.

Een overheid heeft net een voorbeeldfunctie en daar schiet men wat mij betreft tekort.

[Reactie gewijzigd door Coolstart op 21 oktober 2021 14:07]

Maar uit medische data in het bijzonder blijkt toch al gauw wie de eigenaar is? Het is namelijk duidelijk over welke persoon het gaat, dus als je in de wet zet dat het 'onderwerp' van gezondheidsdata de eigenaar is, dan maakt het ook niet uit wie er wanneer een kopie van die data bezit. Ik snap de uitleg wel in algemene zin, maar hoe dat in dit geval eigenaarschap van medische gegevens bemoeilijkt is niet duidelijk.
Maar met encryptie ligt dit toch anders? De eigenaar van de sleutel is in principe de eigenaar van de data.
De uitspraak van hugo de jonge vind ik dan ook tamelijk absurd, want eigenaarschap van data is daadwerkelijk wel mogelijk. Alleen hoe dit zou worden uitgerold is uiteraard wel lastig (want als je een tussenpersoon de encryptie beheerst zou dat hen eigenaar maken)
Ehm hoe tastbaar is intellectueel eigendom? En kan ik niet eigenaar zijn van een recht? Op pand of hypotheek bijv?
tja zo geredeneerd is een digitale film ook niet als eigendom te bestempelen.
Denk het wel, het "lastige" is dat je medische data wel over jou gaat maar door een ander is gemaakt. Een arts is in deze vergelijking degene die jouw digitale film maakt, niet jijzelf.

Als je nou aangeeft dat je geen digitaal medisch dossier wilt? Wat dan?
Stel dat de digitale data alleen in een datacentrum in de kelder van het ministerie wordt bewaard en ik breek in en neem alle servers en back-ups mee, is de data dan nog steeds niet weggenomen? :Y)
Dat is juist. De juridische werkelijkheid is een eigen wereld.
[offtopic] da fuk, om 9 uur al drie koffie op hebben.
*hand opsteekt*

Je hoofdpijn komt van de 3de kop koffie, niet de data.
In de huidige tijdgeest waarbij eigen verantwoordelijkheid nemen not done is, zou je absoluut je koffieboer moeten aanklagen, dat die jou niet heeft beschermd tegen deze vreselijke hoofdpijn!
Ik vraag, als initiator, slechts 10% van je verworven schadevergoeding :Y)
Oh dat is grappig. Dan mag ik digitale software, films en muziek dus rustig legaal downloaden, illegale bron bestaat in deze dus ook niet. Immers heeft dit geen eigenaar en kan het niet verplaats worden. Goed om te weten.
Maar waarom mag ik dan niet gewoon downloaden wat ik wil wanneer ik het wil? Want als ik een film kopieer dan staat brein hier op de stoep geld te vragen namens de eigenaar. Terwijl er volgens jou geen eigenaar kan zijn van die data.

Edit: ik zie dat ik niet de eerste ben met die vraag.

[Reactie gewijzigd door Proliges op 21 oktober 2021 16:11]

Ze eisen namens de auteursrechthebbende. Juridisch iets heel anders dan de eigenaar.
Helder, maar dan mogen ze ook wel even stoppen met janken "piraterij is diefstal" ;)
Klinkt als muziek in mijn oren, maar, waarom is dit bij muziek anders geregeld?
Eigendom is een van de juridische constructies om iets te beschermen, maar niet de enige. Zo is mijn eer en goede naam beschermd middels het strafrecht (smaad), toch heb ik geen eigendomsrecht op mijn goede naam. Mijn portretrecht kan ik ook niet verhandelen. Het is gewoon een ander soort bescherming.

Bij computercriminaliteit hebben ze dit ook gericht opgelost: omdat eigendom op data niet kan, is er gewoon een strafbaarstelling ingevoerd op het overnemen of vernielen van data waartoe je niet gerechtigd bent.
Tweakers citeert hier niet, dus ik denk dat dit een foutje van de redacteur is. In de nota staat:
Daarbij merk ik op dat onder het Nederlandse recht eigendomsrechten kunnen alleen rusten op voor menselijke beheersing vatbare stoffelijke objecten.1 Aangezien gezondheidsgegevens onstoffelijk zijn, kan er geen sprake kan zijn van eigendom van de gezondheidsgegevens. Dit betekent echter niet dat gegevens vogelvrij zijn en cliënten geen zeggenschap over hun gegevens hebben. In het bestaande juridische kader is deze zeggenschap namelijk geregeld. Naast de regels over grondslagen voor verwerking en doorbreking van het medisch beroepsgeheim, kan daarbij ook gedacht worden aan het recht op inzage, rectificatie of gegevenswissing en het wijzigen mogelijk maken dat onjuist ingevoerde gegevens (met terugwerkende kracht) gewijzigd kunnen worden.
Hier staat dus niet dat de uitwisselende instanties eigenaar van de data zijn in plaats van de persoon in kwestie.

Ik ben geen fan van De Jonge of het CDA, maar als het klopt dat onstoffelijke objecten volgens de wet geen eigenaar kunnen hebben, is dit wetsvoorstel niet de juiste plaats om dit te wijzigen. Het CDA zou zich dus nog best aan zijn verkiezingsprogramma kunnen houden, maar dan in een afzonderlijk wetsvoorstel dat het eigendom van data mogelijk maakt. Het is wel een beetje vreemd dat dit volgens de Nederlandse wet niet zou kunnen. Wat is intellectueel eigendom dan?
Wetstechnisch is intellectueel eigendom geen eigendom, de auteurswet kent bijvoorbeeld een "exclusief recht toe" en noemt een werk geen "zaak". "Intellectueel eigendom" is een populair paraplubegrip, maar in geen begrip dat een betekenis heeft in de wet.
Intellectueel eigendom is volgens mij kennis of informatie die an sich een product vormt of waarmee een product gevormd kan worden. Een boek bijvoorbeeld is maar een verhaal (lees, informatie) maar kan wel als product worden aangeboden.
Dan zou data ook intellectueel eigendom zijn. Genoeg partijen die voor dit product betalen.

https://www.trouw.nl/cult...-volgens-de-avg~b2e93639/

[Reactie gewijzigd door tweakery op 21 oktober 2021 09:56]

Dat geeft juridisch wel leuke concepten. want waarom mag ik dan niet alles downloaden wat los en vast zit. Immers data heeft geen eigenaar.
Dat is geregeld met auteursrecht wetgeving, en dat is hier geen oplossing voor, want dan zou de doctor die het dossier schrijft de eigenaar zijn, en andere problemen die niet daarmee worden opgelost.

Die wetgeving is ergens anders voor geschreven en kun je dus beter dan niet daarvoor gebruiken.
In principe zijn de ouders de rechthebbenden op het auteursrecht op het kind (de makers).

Overigens is bij meterdata (b.v. slimme meters) de eigenaar van de meter ook de eigenaar van de meetgegevens.
Equivalent is de vraag wat is de meter:
  • een lichaam dat de signalen (data in analige vorm) vrij geeft
  • het lab dat de meting uitvoert
  • de arts die de opdracht (namens jouw) geeft
Of vergeten we de meteranalogie en is de verzekeringsmaatschappij die betaalt de eigenaar?

Het lijkt er sterk op dat bij deze minister het geld wint.

Gewijzid naar aanleiding comment @Maar.10 om misverstand over wat met het voorwerp van auteursrecht bedoeld wordt (het menselijk lichaam)

[Reactie gewijzigd door janbaarda op 21 oktober 2021 10:24]

"In principe zijn de ouders de rechthebbenden op het auteursrecht."

Eh, nee, in auteurreacht is degene die het papier vult de rechthebbende. Dus niet degene die op de foto staat, maar de fotograaf. In jouw analogie zou degene op het portret de rechten hebben.

Maar zoals je vaststeld, al die analogieen werken niet en het is gewoon beter in een wet op te schrijven wat we bedoelen voor medische doeleinden ipv maar de juiste analogie te proberen te bedenken.
Eh, nee, in auteursrecht kun je niet zomaar de beeltenis van een ander gebruiken. Kijk maar eens naar Marvel's Guardians of the Galaxy game, daar zitten nu allemaal figuurtjes in die niet meer lijken op de originele cast. Jij kunt zo veel papier vullen als je wilt, maar, zonder te dokken, maak je wel degelijk inbreuk op IP-rights van Marvel.
Je kan beargumenteren dat de persoon die de medische gegevens 'produceert' eigenaar is van deze gegevens.
De unieke combinaties van lichamelijke kernmerken (inclusief kwalen) worden geproduceerd door een persoon. En kunnen onlosmakelijk worden herleid tot die persoon.
Deze persoon zou dan ook eigenaar moeten zijn van die combinatie van lichamelijke kenmerken waarvan hij het recht heeft om deze te delen met derden.
Het enige dat de wet moet regelen is dat je, in geval van een exacte copy (wat vrijwel onmogelijk is), geen rechtszaak aan kan spannen op basis van auteursrecht of iets dergelijks.
Maar als je geen eigenaar kan zijn van data, betekent dat dat films online ook nog geen eigenaar hebben?
Jawel, want daar is de wet over auteursrecht op van toepassing.
Ik snap sowieso niet hoe het kan dat "data geen eigenaar kan hebben, maar de instanties die het uitwisselen zijn wel de eigenaar". Maar dat is misschien iets te veel als software ontwikkelaar gedacht.
De digitale nummertjes op mijn rekening zijn ook niet tastbaar. Maar dat betekent niet dat ik er wettelijk geen eigenaar van kan zijn. Wat een kulargument van de Jonge.
Goed punt! @Arnoud Engelfriet, weet jij hoe dat zit? Stel dat je bij een bank zit met alleen internetbankieren, dan is het geld op je rekening ook alleen digitale data. Ben je er dan eigenlijk wel eigenaar van? Of valt internetbankieren onder een andere wet?
Giraal geld is een goed in de zin van het strafrecht, dus als jij op iemands internetbankieren binnendringt en geld overmaakt naar jezelf, dan heb je dat gestolen.

Los daarvan is het juridisch een hele moeilijke vraag of je eigenaar bent van giraal geld in de zin van het burgerlijk recht, of dat je slechts gerechtigd bent bij de bank dat bedrag op te eisen (vorderingsrecht). Of ergens daar tussen. Dit kan uitmaken, bijvoorbeeld bij beslag op je eigendommen of verdeling van de boedel bij een echtscheiding.

In de praktijk gaat het goed, want er zijn genoeg speciale regels waardoor je mag verwachten altijd bij dat geld te kunnen, en beslag en verdeling is ook gewoon apart geregeld.
Misschien dat ik nu iets heel geks zeg. Maar zou het dan niet ook mogelijk moeten zijn om van persoonlijke data een goed in de zin van strafrecht te maken?
Geen gekke gedachte. Het werkt alleen andersom: dingen zijn goederen (in de zin van het strafrecht) wanneer ze weg te nemen zijn, te stelen zeg maar. Hoe steel je persoonsgegevens, hoe zorg je er voor dat die weg gaan bij de eigenaar?

Elektriciteit of water stelen kan, tap het af. Belminuten stelen kan, bel met andermans telefoon. SMS, dataverkeer idem. Een zwaard uit Runescape: kaap het karakter en laat hem het droppen bij jouw avatar. Maar persoonsgegevens? Je achternaam of je leven? Ik weet niet hoe dat werkt.

Daar komt bij dat de AVG al behoorlijke boetes zet op misbruik, de vraag is dan ook wat het toevoegt om het ook nog als eigendom/goed te behandelen.
Helder, dank voor de uitleg!
Corona virus is ook niet tastbaar, zelfs niet geïsoleerd!
Ja daar is geen jurist voor nodig om te zien dat deze redenering heel krom is toch?
Je kunt geen eigenaar van data zijn, dus zijn de instanties eigenaar van de data. Huh? Je kon toch geen eigenaar van data zijn?

Maar zo klets deze omhooggevallen schoolmeester wel meer uit zijn nek. Op de basisschool slikken ze dat nog als zoete koek, en helaas in de grote mensen wereld kom hij er ook gewoon mee weg.
Wat echt steekt is:

"'eigendomsrecht alleen kan rusten op voor menselijke beheersing vatbare stoffelijke objecten"

en iets later wordt er door dezelfde De Jonge geroepen:

"dat patiënten ook geen eigenaar worden van hun data. Die blijft eigendom van de partijen die de gegevens uitwisselen".

Pardon? Eerst zeggen dat er geen eigendomsrecht kan rusten op patientdata, en vervolgens zeggen dat dat wel kan voor anderen?
En dan ook nog in één zin:
De Jonge zegt dat patiënten ook geen eigenaar worden van hun data. Die blijft eigendom van de partijen die de gegevens uitwisselen, al moeten die daarbij uiteraard wel de privacywet volgen. De Jonge stelt dat 'eigendomsrecht alleen kan rusten op voor menselijke beheersing vatbare stoffelijke objecten', en daar valt data niet onder.
Dus de uitwisselende partijen zijn eigenaar van de patiënt gegevens, maar de patient kan geen eigenaar worden van zijn gegevens omdat dat volgens de wet niet kan. Waarom kunnen de uitwisselende partijen dan wel eigenaar zijn, dat suggereert dat er al wel een vorm van eigendomsrecht is.

En is het niet zo dat juridisch gezien persoonsgegevens eigendom zijn van de persoon op wie ze betrekking hebben. Aangezien patient gegevens persoonsgegevens zijn (neem ik aan) ben je dan als patient niet automatisch eigenaar van jouw gegevens?

[Reactie gewijzigd door wernervp op 21 oktober 2021 09:43]

Het stukje "Blijft eigendom van de partijen die de gegevens uitwisselen" heeft de redactie er zo te zien zelf bij bedacht/ingevuld.
Trek e.e.a. nu eens door naar bedrijven zoals FaceBook en alle andere bedrijven die geld aan jouw gegevens verdienen?
Deze( onze) gegevens liggen binnenkort op straat, dat garandeer ik je!
Zeker als je bedenkt, zoals in het artikel staat. Het CDA in hun verkiezingsprogramma er juist voor pleitte om je data jouw eigendom te maken :+

[Reactie gewijzigd door raider009 op 21 oktober 2021 08:54]

Dan alsnog kan CDA hier natuurlijk voor gaan pleitte. Vergeet niet dat de Jonge dit 'beslist', maar dit in werkelijkheid door het kabinet is besloten.
Bovendien is het een demissionair kabinet, dan zou het raar zijn om opeens CDA-beleid uit te gaan voeren terwijl de formatie in volle gang is.
Dan alsnog kan CDA hier natuurlijk voor gaan pleitte.
Dat kan, maar het staat wel wat raar. Net als D66 ineens weer was gaan pleiten voor door de bevolking gekozen burgemeesters, meteen nadat die ene D66-politicus een baan als burgemeester aannam.
Het is ook niet heel consistent met andere wetgeving. Denk aan portretrecht. Jouw snoet op de foto, jouw regels. Waarom zou dat principe wel gelden voor een foto en niet voor bijvoorbeeld een MRI scan?
Dit is juist wel consistent met andere wetgeving. Het portretrecht is de uitzondering, niet de regel. En "Jouw snoet op de foto, jouw regels" suggereert (althans voor mij) meer dan het portretrecht daadwerkelijk inhoudt. Het portretrecht is feitelijk louter een verbodsrecht, en dan ook nog met beperkingen. Zie Wikipedia:
Veruit de meeste zaken gaan over portretten die niet in opdracht zijn gemaakt. In zo'n geval kan de afgebeelde persoon zich alleen verzetten tegen publicatie (openbaarmaking), voor zover die persoon een redelijk belang heeft om zich daartegen te verzetten. Er is geen grond om het maken van de foto zelf te verbieden. (...) De aanwezigheid van een "redelijk belang" hoeft niet direct te leiden tot een verbod om de foto te publiceren. De rechter dient ook rekening te houden met het belang om een foto wel te publiceren, in het bijzonder de persvrijheid en vrijheid van meningsuiting.
Overigens is hiermee natuurlijk niet gezegd dat er geen ruimte zou zijn voor een vergelijkbare uitzondering voor persoonsgegevens, integendeel.

[Reactie gewijzigd door berzerker op 21 oktober 2021 09:17]

Dat geldt het wel, je moet gewoon toestemming geven om je medische gegevens uit te laten wisselen. Je portret recht maakt jou ook geen eigenaar van de data. T is belangrijk om hier het onderscheid te zien tussen "eigendom" in algemene taal, en "eigendom" als juridische jargon.
Dat je het leest siert je, maar dat je het geloofd, veroordeelt je. 8)7
Ik geloof niks wat partijen beloven te doen, pas als het wordt doorgevoerd ;)
/offtopic

Grappig dat je 'gelooft' dan weer op een d laat eindigen ;)
Dat cynisme stoort me meer dan je taalfout.
'eigendomsrecht alleen kan rusten op voor menselijke beheersing vatbare stoffelijke objecten'

Geldt dit dan ook voor zijn bankrekening? Is de bank eigendom van zijn spaarcentjes?
Het gaat niet om "eigendomsrecht" in de vermogensrechtelijke betekenis. Het gaat om eigenaarschap in de context van informatie-uitwisseling. Dat zijn heel andere zaken. Het meest relevant in bestaande wetgeving vind ik portretrecht.
Wel alles boven de 100.000 via het bail-in systeem :)
Hij kan in ieder geval niet claimen dat het het geld van hem is want die binaire code die het saldo vormt is geen stoffelijk goed.
Ik snap het, want inderdaad zoiets als eigendom over gegevens in goederenrechtelijke zin bestaat niet. In theorie zorgt de AVG er natuurlijk voor dat de persoon zelf wel zeggenschap heeft over persoonsgegevens, wat mensen waarschijnlijk bedoelen met eigendom van persoonsgegevens. Ik vraag me dan wel weer af of de zin 'Die blijft eigendom van de partijen die de gegevens uitwisselen, al moeten die daarbij uiteraard wel de privacywet volgen.' er een van De Jonge is of Tweakers zelf. Want als het dat eerste is, is het behoorlijk krom om te zeggen namelijk. Maar ook als het het tweede is, dan klopt het niet. De harde schijven waar de data op staat zijn misschien eigendom van de partijen die gegevens uitwisselen, de data an sich daarop bestaat geen eigendomsrecht.
"Geen eigenaar van je data", dat steekt.
Het lijkt mij onverenigbaar met de AVG en copyright-wetgeving. Bizar dat dit geen grondrecht is.
jij creëert niet de data (dus copyright gaat niet op) en de AVG gaat niet over dat jij eigenaar bent van je data, maar dat jij zeggenschap hebt over data die gaat over jou. Het recht van vergeten is nog steeds van kracht (of dat handig is met medische gegevens even daargelaten) net als het recht om na te vragen wat de andere partij van je weet (opvragen medisch dossier).
jij creëert niet de data (dus copyright gaat niet op)
De patiënt creëert wel de data, de zorgmedewerker registreert. Maar dit is m.i. niet de essentie.

Als jouw medische gegevens worden misbruikt is dat meestal in jouw nadeel (het kan je bijv. geld of je baan kosten).

Ik vermoed dat een zeer ruime meerderheid van de Nederlanders zal vinden dat hun medische gegevens van hen zijn. Zeggenschap hebben over die data bevestigt dat.

Als er nog een eigendomswet van kracht is die vertrouwelijke informatie (incl. bedrijfsgeheimen) niet als "zaak" beschouwt, is die wet -naar huidige maatstaven- onvolledig en dus verouderd.

Immers, de kern van die wet is m.i. dat het wegnemen van "een zaak" in jouw nadeel is. De definitie van "een zaak" klopt niet meer of er moet een aanvulling komen voor informatie.

Dat de Jonge verouderde wetgeving aanvoert om te onderbouwen waarom E2EE niet verplicht gesteld kan worden, slaat m.i. als een tang op een varken.

Als hij had vermeld "dat kan nog niet want er wordt nog gefaxt" had ik dat wel een goed argument gevonden. Maar dan had faxen als (tijdelijke) uitzondering opgenomen kunnen worden.
Typisch inderdaad. Stel we zijn vrienden van elkaar. Ik kom bij je langs op de koffie. Ik installeer op jouw computer een programma om bitcoins te minen en ik maak gebruik van je auto om boodschappen te doen.
Waarschijnlijk vind je dat vreemd.

Nou kom ik niet als vriend, maar als verkoper aan de deur voor zonnepanelen. Ik installeer op jouw computer een programma om bitcoins te minen en ik maak gebruik van je auto om boodschappen te doen.
Waarschijnlijk vind je dat nog vreemder.

Maar dat is wat we doen met onze persoonlijke gegevens. We geven ze haast onbeperkt weg aan derden. En dat leidt tot winst, waardoor er nog meer bespioneerd gaat worden. Meer bespioneren is namelijk meer winst. Wil je minder bespioneerd worden? Dan moeten we die winst aanpakken. Eén van de manieren is om het niet lucratief te maken om gegevens te verzamelen/bezitten. Zoals te versleutelen. Dat zou praktisch een recht moeten zijn in mijn optiek.
Het is niet alsof je het zelf opschrijft of er zelf iets mee kan. Deze data gaat over jou, het komt niet van jou af. Het zijn andere mensen die ter behoeve van jou gezondheid die data met jou toestemming verzamelen en registreren. Het zou wat zijn als jij dan na een half jaar zegt "ja sorry de koek is op, als jij mijn leven wilt redden kan je ofwel mijn gezondheidsdata kopen ofwel alle onderzoeken opnieuw doen". Het is prima dat de partij die de data creëert en beheert ook de eigenaar is, en aangezien het zulke gevoelige data is dat het ondere strenge privacy wetgeving valt.
"Geen eigenaar van je data", dat steekt.
Dat niet alleen
De Jonge stelt dat 'eigendomsrecht alleen kan rusten op voor menselijke beheersing vatbare stoffelijke objecten'
Dat betekend ook gelijk het 'einde' voor NFT's in Nederland
Ik denk dat deze minister het niet eens is met de minister van justitie of die van EZ.
Ik vermoed dat deze minister gewoon napraat wat zijn departement op papier gezet heeft.
En die mensen daar zijn ook druk met hun eigen wolkje, dus hebben vaak geen geen idee waar anderen mee bezig zijn.
Ja. Maar het ligt er ook aan, hoe het wordt verwoord. Is het 'jouw data' of is het 'data over jou'. (Blijkbaar het laatste?).

Maar stel dat ik eigenaar ben over 'mijn data'. Wat zou dat inhouden? Dat ik die data ten alle tijden moet kunnen inzien, aanpassen, verwijderen, verkopen aan Google/Facebook/een kerkgenootschap/een externe overheid (die mij onder druk zet), enz, enz, enz? Het is tenslotte mijn data. Niet die van de artsen. Je kan je voorstellen dat dit voor rare dingen kan zorgen 'in het systeem' (ik kan bijvoorbeeld onder sociale druk gezet worden door mijn omgeving om mijn gegevens op te lepelen. Ik moet kunnen bewijzen dat ik niet gevaccineerd ben ofzo).
Ik ben benieuwd of hier een precedent wordt geschapen om niet meer te voldoend aan verzoeken om data te verwijderen. Ik dacht dat gdpr er vanuit ging dat je wel eigenaar bent van je data en daarom dus ook verzoeken tot verwijdering kunt indienen.
Nee, de GDPR gaat er vanuit dat jij zeggenschap hebt over data die over jou gaat. Dat is een wezenlijk verschil met eigenaar zijn van de data. Verzoek tot inzien en recht van vergeten (verwijderen) zijn geldig over data die over jou gaat.

Data die van jou is kun je ook doorverkopen etc. omdat jij eigenaar bent en mag beslissen wat je doet met je eigen data. Daar zit dus wel een flink verschil tussen data die over jou gaat en data die van jou is.
Dat is op zich helemaal niet zo gek. Het is verslaglegging van iemand die zijn beroep uit oefent. Als jij zaken opschrijft over een project dat jij doet voor een klant, is die klant toch ook geen eigenaar daarvan? Of als jij software levert aan een klant, dan is die klant ook geen eigenaar van de software. Dat blijf jij. De klant mag het gebruiken volgens de voorwaarden die jij hebt opgesteld.
Zelf werkzaam in de (publieke) zorgsector, spreek ik eigenlijk nooit over eigenaarschap, want dat levert altijd emotioneel beladen discussie op. Ik heb het over rechten en plichten t.o.v. deze data. Als client/burger/patient heb je veel rechten, maar dat hebben zorgaanbieders ook. Plichten heeft een zorgaanbieder ook veel. Brongegevens (BRP bijv) gebruiken en discrepanties aan de bronhouder melden, dataverlies melden, etc.

Door de discussie te voeren over rechten en plichten (met bijbehorende taken, verantwoordelijkheden en bevoegdheden) wordt de discussie veel scherper en kun je tot heldere afspraken komen. Zodra eigenaarschap in de mond wordt genomen, beginnen de politiek-bestuurlijk machtspelletjes veelal.
Het wordt nog erger wanneer je beseft wat dat voor consequenties heeft als de Euro wordt uitgefaseerd ten gunste van CBDC valuta (Digitale Euro).
Als de War on Cash is gestreden is er enkel nog digitaal geld. En dat is dus data.
Dit ligt toch ietwat dieper, we hebben hier dus een parlement dat zich niet inzet voor het het maken van goede wetten voor de burger. Ze laten het keer op keer komen tot een rechtzaak en dan krijgt de rechter de schuld in de schoenen geschoven, maar eigenlijk gaat het dus hier fout, De Jong wilt zijn werk niet doen. Het schrijven van een goede wet. Hij heeft hier juist bij uitstek de mogelijkheid om de veiligheid van de burger te garanderen, of althans op z'n minst een voorzet te maken, maar zegt hier, joh boeit niet wat er gebeurd dit is toch niet jou eigendom dus waar zeur je nou eigenlijk over. Dat is toch ongekend de burger in de bek scheiten wat hij hier doet. Wat een walgelijk mens.
Ik kan me hier eigenlijk ook wel in vinden (in het eind-tot-eind-versleutelingstuk). Dit is typisch iets dat je niet in de wetgeving moet opnemen naar mijn mening, maar juist in de NEN-normering waar de wetgeving naar verwijst.
NEN 7510 - https://www.webtoolmanage...18-4036-bd60-196465c9a05b

Op die manier is het veel makkelijker om één en ander aan te passen wanneer dit nodig is. De NEN-norm kan bijvoorbeeld eisen aan het type en niveau van versleuteling vastleggen. Het expliciet neerzetten in wetgeving is dan eerder symboolpolitiek (waar ik sowieso niks mee heb) dan dat het echt wat toevoegt.
E2E encryptie is een doel tot een bepaald einde, en het is zeker veilig, maar niet de enige manier om het te doen. Ben het dus met je eens. Mocht er een marktvraag zijn komt er wel een normering/certificering die het wel vereist, net zoals PCI-DSS een soort zwaardere variant is van ISO27001 e.a. (ook hele andere markt e.d., maar kijkend naar de eisen).
Net zoals de wet voorschrijft dat je auto APK gekeurd moet zijn maar niet specifiek vermeld wat daar de vereisten voor zijn.
Meh, er is niets dat jou verplicht om deze NEN normering toe te passen. Het is een norm, dus leuk als je er iets mee gaat doen, maar als ik kijk naar de producten en diensten die wij leveren zijn we juist interessant omdat we standaard geen NEN norm hanteren, waardoor wij vaak met de opdracht er vandoor gaan.

[Reactie gewijzigd door 12345j op 21 oktober 2021 09:59]

Een wet kan dwingend naar een norm verwijzen en daarmee de norm verplicht stellen om te hanteren.
Precies. En als je de inhoud van zo'n norm in een wet gaat stoppen loop je het risico dat er conflicterende zaken ontstaan. Simpel voorbeeld: de ene wet schrijft dringend voor om een NEN norm te hanteren, en een andere, gerelateerde, wet neemt de inhoud van die NEN norm op in de wet. Vervolgens wordt de NEN norm veranderd, maar de tweede wet niet.....
Nee toch? een norm kunnen ze niet verplicht stellen. Ze kunnen zeggen dat het volgen van een bepaalde norm een goede indicatie is dat volgens de wet gehandeld is, maar als jij het buiten de norm om op je eigen manier weet te regelen is dat ook helemaal prima.

Verder mee eens hoor dat dit niet in de wet thuis hoort en dat de wet veel algemener moet zijn zodat er ruimte is voor interpretatie door een rechter (die het hanteren van een norm zeker zal mee wegen)

[Reactie gewijzigd door 12345j op 21 oktober 2021 11:28]

Zeker wel. Van de site van de Rijksoverheid:
Dwingende verwijzing naar normen

Soms is het wel verplicht om een norm te gebruiken. Namelijk als de wet dwingend naar een norm verwijst. Hiervan is sprake in 2 situaties:
  • Als gebruik van de norm verplicht is. Bijvoorbeeld als er maar 1 manier is waarop een product of dienst aan de wet kan voldoen. Zo moeten sommige fabrikanten hun producten volgens een bepaalde norm testen in het laboratorium.
  • Als gebruik van de norm niet verplicht is, maar een andere oplossing wel gelijkwaardig hieraan moet zijn. Om dit te beoordelen, moet de norm kunnen worden ingezien.
Normen kosteloos in te zien
Via de website van NEN kunt u bepaalde normen gratis inzien. Dit zijn nationale NEN-normen waarnaar de wet dwingend verwijst.
Van de site van de NEN:
Als er in wetgeving dwingend wordt verwezen naar normen, dan zijn deze normen vrij beschikbaar. Zo heeft het Kabinet aan de Tweede Kamer kenbaar gemaakt dat nationale normen (NEN-normen) waarnaar dwingend wordt verwezen in wet- en regelgeving vrij beschikbaar moeten worden gesteld. Dit houdt in dat de normgebruiker niet voor de norm hoeft te betalen om deze te kunnen inzien. De ministeries betalen hiervoor jaarlijks een bedrag aan NEN, want het auteursrecht op de normen blijft bij NEN.
Als je door de lijst gaat van normen waarover het gaat staan hier bijvoorbeeld best een hoop tussen over (drink)water, grond/bodemkwaliteit, en het millieu in het algemeen.

Edit:
Wat ik nog toe wilde voegen. Deze manier van het regelen vind ik eigenlijk een hele nette manier. In de wet zeg je: "Dingen moeten goed geregeld zijn, namelijk op de manier die experts voorschrijven. Deze manier is te vinden bij de NEN" en de NEN zegt "Dit is hoe we het doen, periodiek herzien we dingen en zorgen we er voor dat het up-to-date is". Daarmee hou je politiek en inhoud ook meer gescheiden.
Geen ministers die roepen dat dingen versleuteld moeten zijn, maar wel met backdoor. Of ambtenaren die vinden dat zaken op een bepaalde manier geregeld moeten worden omdat hun technisch onderlegde neefje van 15 daar laatst wat over zei.

Overigens is er ook de mogelijkheid dat de wet zegt dat het aan een norm moet voldoen, of van gelijkwaardige kwaliteit moet zijn. Dit is geloof ik wat jij beschreef. In dat geval zet je alsnog een duidelijke standaard waaraan voldaan moet worden, maar is de invulling wat vrijer en eveneens niet minder politiek.

[Reactie gewijzigd door GoldenLeafBird op 21 oktober 2021 13:22]

Als je als zorginstelling geen NEN7510-certificering hebt dan wordt het lastig met de audits van het ministerie van VWS...welke wel verplicht zijn. Hun auditors zijn getraind op die certificering en gebruiken de standaarden die daarin staan dan ook als leidraad om te beoordelen of de beveiliging op orde is.

De zorginstellingen waar ik heb gewerkt lieten dan ook altijd een externe partij een audit doen voordat de auditor van de overheid langskwam, want linksom of rechtsom moet je als zorginstelling je houden aan deze NEN-normering.

Maar als je weet dat je je aan die eisen houdt dan kan je inderdaad geld besparen op je certificering, want dat kost wel wat.
Er valt in z'n algemeen niks generieks over te zeggen, over de zin en onzin van normen, certificeringen, enz. enz. Het ligt er puur aan wat de markt wil en wat je doel ermee is.

In het geval van de NEN7510-normering is het meer een raamwerk specifiek voor Informatiebeveiliging in de zorg. Als je er inhoudelijk naar kijkt zijn het grotendeels generieke dingen die je voor alle/meerdere vlakken kan toepassen.
Het voordeel van het toepassen van een norm in deze context, is dat heel de zorg-branch kan verwijzen naar die norm. Als 'iedereen' dezelfde norm hanteerd, heb je dus niet één zwakste schakel. Althans. De norm is dan de zwakste schakel en mits goed beschreven is die dus sterk genoeg.

Juist een wetgever kan goed naar officiële marktnormen en standaarden verwijzen. Dit heeft als voordeel dat de wetgever zich niet inhoudelijk hoeft te bemoeien met branchinhoudelijke zaken (welke versleutelingsmethode, welke sleutelkluismethode, enz. enz.) en zich bezig houden met beleid. (er is uiteraard overlap)


Bovenstaande is dus zeker 'niet' van toepassing voor alles, alle procedures en producten van iedereen, maar voor zoiets als 'beveiliging in de zorg' lijkt mij juist een hele zinvolle om die generiek voor de branch toe te passen.

Kijk bijvoorbeeld naar CE-keurmerken. Sommige zijn ook wettelijk verplicht. De wetgever hoeft dan alleen maar te verwijzen naar CE-keurmerk abc, zondat dat ze hoeven te beschrijven 'hoe strak een lint aan een pop voor een kind onder de drie' hoeft vast te zitten. Dat doet het CE-keurmerk.
.

[Reactie gewijzigd door 12345j op 21 oktober 2021 11:35]

Je kan wel enigszins eigenaar van je data zijn door EPD te weigeren en alleen via volgjezorg.nl inzage te krijgen wie er in je dossier zit te grasduinen. Tevens kan je via volgjezorg elke partij blokkeren als je daarvoor een blokkade instelt.

https://www.consumentenbo...g/medische-gegevens-delen
Je medische gegevens mogen alleen worden gedeeld als jij daar expliciet toestemming voor hebt gegeven.

https://www.volgjezorg.nl/
Op Volgjezorg kun je toestemming regelen en volgen wat er met jouw medische gegevens gebeurt. Welke gegevens zijn er met jouw toestemming via het Landelijk Schakelpunt gedeeld? Door welke zorgaanbieder(s) zijn ze bekeken? En wanneer? Zo weet je altijd wat er met je medische gegevens gebeurt.

Als het niet via de wet kan, dan maar zo.
Goed punt, maar helaas... Dit is tijdens de pandemie voor iedereen opt-out geworden i.p.v. opt-in. Ik heb namelijk geen toestemming gegeven via het LSP formulier, maar daar is toen "tijdelijk" t.b.v. de pandemie even niet naar gekeken en staat dus nu nog steeds aan.

Bron o.a.: HIER en HIER.

[Reactie gewijzigd door xMuchux op 21 oktober 2021 09:54]

Die volgjezorg.nl is leuk, maar werkt natuurlijk alleen voor het EPD zelf. Elk ziekenhuis of kliniek heeft wel een datawarehouse. En aanleveringen aan partijen zoals LSP, Logex, i2i, mProve gaan vaak via het datawarehouse, en deze zie je niet terug in Volgjezorg.nl.

Ik werk zelf voor een ziekenhuis als BI specialist en maak deze discussie ook vaak mee. Vraag is wat valt er onder jou medische gegevens? Een EPD bestaat uit heel veel onderdelen, maar voornamelijk het patientdossier en het facturatie gedeelte.

En juist het facturatie gedeelte (DBC's en verrichtingen) word het meeste mee gedaan voor externe (verplichte) aanleveringen aan 3e partijen. Wat er in jou dossier staat gaat (bij ons tenminste) nooit naar een externe partij, en voor ons ook totaal niet interessant. Bij aanleveringen (uitwisselingen) naar 3e partijen word altijd gedaan aan data minimalisatie en anonimisering en op basis van de facturatie regels. En dit is vaak een csv met iets in de trand van
geanonimiseerd patientnummer (sha1 hash), dbcnummer, startdatum, einddatum, dbcbedrag, diagnose, zorgproduct. enzovoorts
En voor verrichtingen word ook nog zoiets aangeleverd. Daarnaast word er ook een patienttabel aangeleverd waar datzelfde anonieme patientnummer instaat, leeftijdsklasse, en wijkcode (postcode zonder letters).

Hiermee kan een 3e partij al zien hoeveel patienten bijvoorbeeld een covid diagnose hebben gekregen en op welke datum dat is geweest. Grof zien waar deze patient vandaan komt (aan de wijkcode), en of deze patient ook onderliggend lijden heeft gehad (andere verrichtingcodes).

Het zelfde met recht om vergeten te worden, of data te laten verwijderen bij partijen. Je zou je medisch dossier eventueel kunnen laten verwijderen bij een ziekenhuis maar de facturatie regels niet. Dit is hetzeldfe als je zou zeggen dat je bij de Albert Heijn aangeeft dat je alle aankopen met jou pinpas graag uit hun systemen wilt laten verwijderen.

Persoonlijk houd ik het ook altijd scherp in de gaten op het moment dat er een externe aanlevering verzoek komt. (rechtmatigheid, wettelijk verplicht, data minimalisatie, anonimisering). En ik heb ook best een aantal keer geweigerd om een aanlevering te doen, of de aanlevering exact volgens de aanlever specificaties aan te leveren.

[Reactie gewijzigd door Senaxx op 21 oktober 2021 16:02]

Voelt wel een beetje dat het eind-tot-eind encryptie hier enorm als buzzword gebruikt wordt.

Ben wel benieuwd hoe dat dan in de praktijk had moeten werken. Eind-tot-eind betekend namelijk dat het nergens mogelijk is om het te ontsleutelen tussendoor. Dus van dokter tot dokter? Maar daar zijn er meerdere van dus dan vervalt de originele harde definitie ervan al. Maar goed, laten we die aanname even maken. Dan ga je het dus ergens versleuteld opslaan zodat niemand anders er bij kan.
Hoe ga je dan een patiënt terugvinden? De naam is immers ook versleuteld en alleen de dokter mag er bij. Of als er een probleem is met een bepaald medicijn alle gebruikers ervan opzoeken?

Minimale sleutel lengtes en encryptie algoritmes duidelijk vastleggen lijkt mij goed. Er is al vastgelegd dat data zowel over de lijn, als in rust in de database versleuteld moet zijn. De roep om eind-tot-eind voelt als een manier van niet technische personen om te scoren met buzzwords.
Waarom valt de originele definitie ervan af als er meerdere doktoren / zorgaanbieders zijn?

Eind-tot-eind versleuteling gaat erom dat de faciliterende partij, dus bijvoorbeeld ZorgMail of zo, niet kan zien wat erin staat. Je kan prima iets versleutelen en aan meerdere partijen de sleutel sturen.
Omdat je met eind-tot-eind encryptie normaliter de data versleuteld met de sleutel van de ontvangende partij. Als de ontvangende partij alle mogelijke ontvangende zorgaanbieders/doctors zijn is die sleutel wijdverspreid aanwezig overal en valt de garantie dat niemand anders mee leest redelijk weg. Immers hebben alle mogelijke ontvangende partijen die decryptie sleutel, effectief is het een public key. En aangezien iedereen een kopie van die sleutel moet hebben is de kans dat die nog ergens beland waar het niet hoort ook groot.

Met betrekking tot faciliterende partijen ben ik het helemaal met jou eens. Die zouden de data niet in mogen zien en alleen een versleuteld pakketje voor hun neus moeten krijgen. Dat kan echter ook prima als de twee instanties waar het tussen verstuurd worden een sleutelpaar afspreken. Dat verminderd de kans dat dat paar uitlekt aangezien die maar op 2, beveiligde systemen, aanwezig is.

Alleen de systemen van die instantie zelf zullen die gegevens vaak wel versleuteld, maar wel inzichtelijk door het systeem van die instantie zelf opslaan. Je wilt immers wel dat die gegevens doorzoekbaar zijn door het systeem.
Precies dit dacht ik ook. Veiligheid en toepasbaarheid van data staan vaak haaks op elkaar. Interessanter lijkt mij de vraag: met welke reden wil PvdD end-to-end encryption invoeren? Welk probleem trachten ze op te lossen?
Heb ik ook niet terug kunnen vinden. Het is een van de problemen met het huidige bestuur, dat ze inhoudelijk maatregelen gaan inzetten in plaats dat ze sturen op doelstellingen. En dat terwijl ze onvoldoende inhoudelijke kennis hebben om de consequenties van hun keuzes te doorzien.
Het hangt er een beetje vanaf hoe je de "einden" definieert. Wanneer een huisarts data verstuurd vanuit het HIS naar het systeem van het ziekenhuis loopt dat niet via een directe verbinding. Dat loopt vrijwel altijd via een derde partij die zich in die uitwisseling specialiseert.

Het lijkt mij vrij eenvoudig voor zo'n HIS om de public key van het ziekenhuis te pakken en de data daarmee te versleutelen. Dit voorkomt dat die derde partij allerlei inzichten opdoet op basis van jouw data en verandert verder niets aan de inzichtelijkheid voor de betrokken artsen.
Helemaal mee eens. End-to-end encryptie is wel heel lastig, maar voegt niet altijd iets toe in een architectuur.

In genoeg data-architecturen wordt de data altijd versleuteld verzonden en opgeslagen, maar niet met dezelfde key end-to-end.

Dus je laadt ergens een plaatje op, de verbinding is TLS beveiligd, de ontvangende applicatie decrypt de http-sessie, maar schrijft het naar een schijf, waar dat plaatje versleuteld wordt opgeslagen (disk-encryption) Vervolgens logt iemand anders in, en haalt het plaatje op via een beveiligde TLS verbinding.

Op geen enkel tussenliggend punt kan een ongeautoriseerde derde partij bij het onversleutelde plaatje, de intermediaire partij kan er wel bij.

En dat is waar end-to-end tegen beveiligd.
Een ander voorbeeld is als je een PIN code op een geldautomaat gebruikt. Die wordt door je bank geverifieerd. In veel gevallen zitten zitten daar meerdere netwerken tussen. Deze decrypten/encrypten allemaal je PIN code in zogenaamde HSMs. Dus geen end-to-end encryption...
De Jonge zegt helemaal niet dat gezondheidsdata niet met eind-tot-eind-encryptie worden versleuteld, hij zegt enkel dat dat niet in de wet wordt opgenomen. De wet verplicht al de NEN norm en de NEN norm kan worden geupdate met dergelijke verplichtingen. Die constructie is veel handiger, want de NEN norm aanpassen gaat makkelijker dan elke keer de wet aanpassen. De NEN norm kan dus gemakkelijk bij de tijd blijven qua minimale encryptie eisen.

Enkel “end-to-end” als verplichting opnemen is ook wat naief, want dan zou je al aan de wet voldoen met een simpel caeser cipher. Het gaat er juist om dat je bepaalde minimale normen opneemt en dat past veel beter in een NEN norm dan in de wet. Nu is een flinke bit lengte AES nog voldoende, maar straks met quantum computers moet je toch echt weer hele andere eisen stellen.

Lijkt alsof de PvdD op zich goeie intenties heeft, maar het een gevalletje is van de klok horen luiden maar niet weten waar de klepel hangt. Uiteindelijk is onze medische data heus wel verplicht versleuteld.
Hoewel dit in de NEN norm opgenomen kan worden, kan De Jong hier een voorzet maken als wet-maker zijnde, wat uiteindelijk zijn baan is. Het is toch wel raar dat waar we een probleem mogelijk zien, en terecht vragen worden gesteld, hij dit afschuift onder de noemer dat we enerzijds geen eigenaar zijn van onze data als burger zijnde en dat het maar geregeld moet worden in de NEN. Maar tot op heden is dat niet het geval, dus wederom, waarom zou De Jong niet hier een voorzet maken. Of op zijn minst een onderzoek instellen wat wenselijk is, misschien heb je gelijk en is e2e helemaal niet practisch in deze omgeving maar om helemaal niets te doen, is toch wel erg gemakkelijk.
Niets doen? NEN7512 vraagt sowieso encryptie, alleen niet perse end to end. Gewoon op de verbinding is hier ook goed. https://www.icthealth.nl/...ijk-schakelpunt-afdoende/
Inderdaad, het is nu een hele suggestieve of zelfs foutieve titel.

Het is veel verstandiger om in een wet iets op te nemen als: "...adequaat beveiligd volgens geldende normen/standaarden die misbruik en lekken voorkomen..." dan een methode of technologie te noemen die in de toekomst mogelijk niet meer veilig genoeg is.
'eigendomsrecht alleen kan rusten op voor menselijke beheersing vatbare stoffelijke objecten'

Dus dan kan er ook nooit sprake zijn van datadiefstal?

edit:

Meer info over eigendomsrecht van data en bescherming van data: https://www.auteursrechte...eving/rechten-rondom-data

[Reactie gewijzigd door beany op 21 oktober 2021 09:00]

"De Jonge stelt dat 'eigendomsrecht alleen kan rusten op voor menselijke beheersing vatbare stoffelijke objecten', en daar valt data niet onder."
Nee toch? Er is een arrest waarbij iemands spullen in Runescape werden gestolen. Dit werd ook gezien als diefstal, ookal gaat het om een niet stoffelijk goed. https://uitspraken.rechts...id=ECLI:NL:HR:2012:BQ9251
De NEN 7510 en ISO27001 worden overal als eis gesteld dus volgens mij heb je geen business als je geen beveiligde verbindingen gebruikt. Je moet gewoon aan de stand der techniek voldoen. De stand der techniek is vrij duidelijk op dat onderwerp als je het mij vraagt.

Bij mijn bedrijf hebben we er voor gekozen dat de patiënt wel eigenaar is van zijn data. De patiënt moet aan de arts toestemming geven en kan dat ook weer intrekken. Het is geen enkel probleem om dat zo op te zetten.
''Iets anders doen dan je verkiezingsprogramma'' Ik hoop dat de mensen dat eens gaan onthouden voor de volgende keer dat ze gaan stemmen.
Ah, toevallig net n.a.v. wat forumposts van @Virtuozzo de term eens opgezocht: dit is denk ik precies een mooi voorbeeld van 'sadopopulisme': vooraf mooie dingen beloven maar als je eenmaal aan de macht bent, geen moeite doen om de belofte na te komen.

Tja. Hier zitten we nog zo'n ~4 jaar aan vast. En dan zullen we eens zien of we wat geleerd hebben en het stemgedrag hier op aanpassen. (ben bang van niet...)
Zo werkt politiek toch?
Veel beloven, weinig geven doet een dwaas in vreugde leven.
Gebruik makend van het slechte collectieve geheugen komt men in de politiek er vaak gewoon mee weg.
En als iemand er eenmaal zit d.m.v. kiezersbedrog zie zo'n persoon dan nog maar eens weg te krijgen.
Ik ben ooit een website tegengekomen waar de beloftes uit de verkiezingsprogramma's van verschillende partijen werden bijgehouden, je kon daar precies zien wat er werd waargemaakt en wat niet..

Helaas kan ik hem niet terugvinden. Misschien weet iemand welke site ik bedoel?
Het wordt interessant wat de CDA fractie in de tweede kamer er over gaat zeggen.
Respecteren ze hun eigen verkiezingsprogramma of leggen ze zich neer bij de wil van het kabinet.
Je mag geen eigenaar zijn van je eigen data, mag niet bepalen wat ermee gebeurd, wordt niet versleuteld en mag je hopen dat bedrijven aan de privacywet houden. Hoe vaak al niet in het nieuws gekomen is dat er data op straat ligt omdat iemand zijn of haar laptop/usb is verloren met niet versleuteld data.. Ik snap het niet meer
wordt niet versleuteld
Dat is ook niet wat er is gezegd, en die kop van Tweakers helpt ook niet mee :(
Het wordt op dit moment niet expliciet in de wet vastgelegd. Daarbij wordt er ook vanuit gegaan dat de data toch al wel versleuteld wordt omdat er altijd al wel standaarden gebruikt worden die het sowieso al vereisen.
Ik heb eens mijn tandarts opgebeld en om mijn dossier gevraagd. Ik gaf "een email adres" door en kreeg 5 min erna mijn complete dossier als (PDF en JPG) bijlage mee gestuurd. Ik hoefde me niet te identificeren, ik belde met een voor hun onbekend nummer en mijn email adres week af van wat bij hun bekend was.
Het verbaast me dus absoluut niet. Maar alles wat hierboven genoemd staat geeft mij hoofdpijn van de kromheid.
Raar toch? De GDPR maakte je toch expliciet eigenaar van je data? Dat vond ik er juist zo mooi aan… vreemd dit.
De verwerker/verzamelaar van de data is de eigenaar ja.
Niet zoals ik het begrijp. Als je persoonlijke data wilt gebruiken kan dat alleen met goedkeuring van het betreffende individu. Er zijn uitzonderingen, zoals voor wetenschappelijk onderzoek met als doel het delen van de resultaten maar zelfs dan moet je vziw aantonen dat je iig hebt geprobeerd de individuen voor toestemming te benaderen, en dat dat niet mogelijk was redelijkerwijs. Je mag ook als “processor” data verwerken van personen, maar dan mag je er verder niks mee doen, iemand anders is dat de eindverantwoordelijke. In alle andere gevallen moet je vziw het individu benaderen van wie je (bijvoorbeeld klinische) gegevens verzameld en verwerkt/gebruikt.

[Reactie gewijzigd door teek2 op 21 oktober 2021 10:28]

Zoals je merkt, is er helaas nogal wat ruimte voor interpretatie. Het is niet eenvoudig om met een eenduidig antwoord te komen
Hou er rekening mee dat het wenselijk kan zijn om "belastende" gegevens over een persoon vast te leggen, bijvoorbeeld psychische stoornissen, verslavingen en gedrag zoals aggressie of mishandeling.

Deze informatie vormt input bij allerlei zorg- en sociale trajecten. Door mensen eigenaar te maken van hun data kunnen ze deze in principe laten verwijderen. Dit kan onwenselijk zijn omdat zo relevante gegevens verdwijnen en je bijvoorbeeld niet aan kan tonen dat iemand allerlei problematiek heeft, wat tot problemen voor zijn/haar omgeving kan leiden.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True