Europese privacytoezichthouders willen strengere regels voor delen medische data

Europese privacytoezichthouders raden aan om een wet rondom het delen van gezondheidsgegevens aan te passen. De toezichthouders willen dat de regels meer rechtgetrokken worden met de AVG en willen duidelijkheid over wat er met die gegevens gebeurt.

Het advies is opgesteld door de European Data Protection Board en de European Data Protection Supervisor. Dat zijn respectievelijk de koepelorganisatie van privacytoezichthouders en de Europese toezichthouder zelf. De instanties hebben beide een advies geschreven over de European Health Data Space, een wetsvoorstel van de Europese Commissie. Dat bepaalt wat er met gezondheidsgegevens mag gebeuren. De EC wil de mogelijkheden oprekken van waar die gegevens voor mogen worden gebruikt en door wie. Het wetsvoorstel bepaalt dat medische data ook kan worden ingezet voor wetenschappelijk onderzoek en voor behandelingen van andere personen binnen Europa.

De toezichthouders zeggen in de eerste plaats tevreden te zijn met het wetsvoorstel. Wel vinden ze dat het voorstel op sommige punten verbeterd moet worden.

In de eerste plaats vinden de toezichthouders de wet te verwarrend in relatie met andere lokale of Europese privacywetten, zoals de AVG. "Met het wetsvoorstel wordt weer een nieuwe laag aangebracht in de toch al complexe wetgeving op het gebied van de verwerking van gezondheidsgegevens", schrijft de Autoriteit Persoonsgegevens, een van de leden van de EDPB. "Daarom is het belangrijk dat de relatie tussen de European Health Data Space en de AVG, de nationale wetgeving in Europese lidstaten en andere Europese wetsvoorstellen duidelijk is. Dat is nu niet het geval."

Een ander punt is dat het niet altijd even duidelijk naar voren komt uit de wet voor welke doelen de gegevens mogen worden gebruikt. Dat zou helderder moeten worden opgeschreven. Tot slot willen de toezichthouders in de wet laten vastleggen dat de gegevens alleen binnen de EU worden verwerkt en niet buiten het continent.

In verschillende Nederlandse ziekenhuizen lopen al experimenten met het gebruik van patiëntdata. Die worden geanonimiseerd gedeeld met andere instellingen. Tweakers sprak eind 2020 met de Nederlandse Vereniging voor Intensive Cares over dat plan.

Door Tijs Hofmans

Nieuwscoördinator

19-07-2022 • 15:10

67

Reacties (67)

Sorteer op:

Weergave:

Er moet gewoon een Europese variant van HIPAA komen. Het wordt steeds lastiger en onduidelijker voor men dat ze er simpelweg niet meer aan gaan houden.
Het is niet lastig en onduidelijk, maar men kiest er geregeld voor om de makkelijke weg te kiezen en dus dan maar niet naar de wetgeving te kijken.
Nee, je mag geen medische gegevens bij Amazon hosten.
Nee, je mag je patientdossiers niet aan een of andere hippe startup geven die er dan fancy dingen mee zegt te kunnen doen.
Nee, je bent zelf verantwoordelijk voor de veilige verwerking van medische gegevens, ook als dat bij een provider wordt ondergebracht.
Nee, omdat het digitaal is vervalt niet ineens je medische geheimhoudinsplicht. Je moest je notitieboekje veilig houden, dat moet je ook met de digitale variant. De maker van het boekje mag niet meekijken wat je er in schrijft omdat je niet zelf een boekje kunt regelen.
Het is niet lastig en onduidelijk, maar men kiest er geregeld voor om de makkelijke weg te kiezen en dus dan maar niet naar de wetgeving te kijken.
....
En dit lijstje is (op wat specifieke dingen na) al decennia hetzelfde. De Wet Op de Geneeskundige Behandelovereenkomst beschrijft de dossierplicht en er is heel veel door de medici en medisch juristen beschreven wat je geacht wordt te doen. En het is nog goed toegankelijk gemaakt ook.

Wel praktisch puntje: "Nee, je mag geen medische gegevens bij Amazon hosten" zou ik wel een nuance willen plaatsen. Een recent AP onderzoek naar het hosten van gespeudonimiseerde data bij Google heeft laten zien dat men daar best wel ruimte heeft. Het hangt heel erg samen met de voorwaarden die men toepast voor die hosting. Amazon zou inderdaad wel eens problematisch kunnen zijn, maar een in de EER gehoste omgeving van Azure weer niet. Dus er is nog wel wat naunce op dat vlak.
Een recent AP onderzoek naar het hosten van gespeudonimiseerde data bij Google heeft laten zien dat men daar best wel ruimte heeft. Ik denk zelf eerder dat men daar maling aan heeft, voor Google gelden nm in de cloud, de wetten van Amerika en die geven aan dat men alles kan inzien, dat men dit niet doet, moet men op de blauwe oogjes geloven.
We hebben het gezien met het UWV die hun gegevens in de cloud hadden opgeslagen met voorwaarden, maar men kon daar gewoon alles inzien, wanneer men wilde. Dus overgestapt naar een Europese cloud.
Men moet eens ophouden met de personen die in bedrijven werken en deze beslissingen maken te vertroetelen.
Nee, je mag je patientdossiers niet aan een of andere hippe startup geven die er dan fancy dingen mee zegt te kunnen doen.
Zowel de verantwoordelijken bij de medische instelling als bij de hippe startup strafrechtelijk vervolgen, vanaf beslissingsnemers tot en met C*O niveau. Men kan prima met gegevens omgaan wanneer de gevolgen niet meer te kwantificeren zijn in een kosten-batenanalyse.
Zowel de verantwoordelijken bij de medische instelling als bij de hippe startup strafrechtelijk vervolgen, vanaf beslissingsnemers tot en met C*O niveau. Men kan prima met gegevens omgaan wanneer de gevolgen niet meer te kwantificeren zijn in een kosten-batenanalyse.
En jij denkt dat de AVG boetes weggelachen worden? Want het dreigement van die boete is in mijn praktijkervaring echt een hele flinke motivator, zeker voor ziekenhuizen en andere medische instellingen.
Want het dreigement van die boete is in mijn praktijkervaring echt een hele flinke motivator, zeker voor ziekenhuizen en andere medische instellingen.
Instellingen waarvoor data een bijproduct is zullen inderdaad geïmponeerd worden. Organisaties die verdienen aan data scharen het onder 'bedrijfsrisico'.

Dan nog steeds zie je hoe brak ziekenhuizen met beveiliging omgaan, en hoe vaak het mis gaat. Een financiële negatieve prikkel is niet voldoende.

[Reactie gewijzigd door The Zep Man op 26 juli 2024 06:17]

Dan ben ik erg benieuwd wat daarvan het effect zal zijn op onderstaande Paas service van Microsoft.
Weet iemand hier die juridisch onderlegd is of deze Azure Health Data Service nog wel eens actief gebruikt mag worden vanuit Europa sinds de Schrems II zaak?

Microsoft launches Azure Health Data Services to unify health data and power ai in the cloud
Enlists trust with layered, in-depth defense and advanced threat protection aligned with strict industry compliance standards and regulatory requirements, including ISO, GDPR, HITRUST CSF, and HIPAA through BAA coverage. Azure Health Data Services helps providers and payors meet the requirements of the 21st Century Cures Act and CMS Interoperability and Patient Access final rules.

[Reactie gewijzigd door JosWo op 26 juli 2024 06:17]

Ik ben de afgelopen jaren bezig geweest om bij allerhande organisaties, websites en webshops mijn gegevens te laten verwijderen. Dit begon toen ik merkte dat een zekere webshop die veel kabels verkoopt en een pizzeria mijn gegevens hadden gelekt. Ook merkte ik steeds vaker spam op mijn unieke emailadressen die maar eenmalig gebruikt waren.

Tot mijn schrik ontdekte ik ook dat er allerhande accounts en medische dossiers zijn aangemaakt waarvan ik het bestaan niet wist. Via een centrale omgeving kwam ik er bijvoorbeeld achter dat ik kon inloggen op de website van een ziekenhuis waar ik in 1996 een onderzoek heb gehad. Een oogmeting. Dit betekende dus een dossier wat al die tijd nog bestond en waar via koppelingen recente (en minder recente) gegevens van mij stonden. Denk aan BSN, huisarts, redelijk recent woonadres en meer.

Dit was reden om nog meer op zoek te gaan, denk aan instanties als; huisartsen apotheken en meer van zulks. Overal staan gegevens die slecht opvraagbaar zijn, en nog moeilijker te verwijderen zijn. Organisaties denken met een privacy policy hun website en een functionaris gegevensbescherming klaar te zijn. Ik kwam er achter dat er nagenoeg geen juiste procedures zijn als je het recht op vergetelheid écht tot uitvoering wil brengen. Het is een ellenlange strijd geworden tussen bureaucratie, kastje naar de muur, mensen die niet weten wat ze moeten doen met zulke verzoeken en dan ook nog eens een wirwar van gekoppelde systemen waarvan je weet dat je als eindgebruiker/consument alleen de frontend ziet. En je moet afvragen of bij een bevestigde verwijdering van je gegevens ook daadwerkelijk alle systemen zijn bezocht en alle records zijn verwijderd.

Na honderden mailtjes, telefoontjes en bezoeken op locatie (want ze vragen al snel of je even een legitimatiebewijs wil doormailen of posten..(!)) kwam ik er regelmatig achter dat de medewerker patiëntenadministratie dacht dat de account en gegevens weg waren, maar dat ik gewoon nog kon inloggen en dat de gegevens in ieder geval voor mij nog zichtbaar waren. Dus ik vraag me sterk af waar het nog meer stond/staat. Denk aan gekoppelde systemen, databases, backups, oude systemen die offline zijn of niet langer in gebruik. Noem het maar op.

Dus ontopic: strengere regels, ik denk dat het niets gaat uitmaken. Het is een aan elkaar gebroddelde brei met systemen waar niemand echt overzicht heeft en waar iedere instelling of bedrijf zijn eigen beheer doet en naar eigen inzicht databeheer doet. Ik kan hier na 1,5 jaar puzzelen letterlijk een boek over schrijven.

edit: na het artikel nog een keer te lezen lijkt het juist op minder strenge regels i.t.t. de naam van het artikel. Sja, lijkt me een waanzinnig goed idee

[Reactie gewijzigd door EsEsDee op 26 juli 2024 06:17]

Dit was reden om nog meer op zoek te gaan, denk aan instanties als; huisartsen apotheken en meer van zulks. Overal staan gegevens die slecht opvraagbaar zijn, en nog moeilijker te verwijderen zijn. Organisaties denken met een privacy policy hun website en een functionaris gegevensbescherming klaar te zijn. Ik kwam er achter dat er nagenoeg geen juiste procedures zijn als je het recht op vergetelheid écht tot uitvoering wil brengen. Het is een ellenlange strijd geworden tussen bureaucratie, kastje naar de muur, mensen die niet weten wat ze moeten doen met zulke verzoeken en dan ook nog eens een wirwar van gekoppelde systemen waarvan je weet dat je als eindgebruiker/consument alleen de frontend ziet. En je moet afvragen of bij een bevestigde verwijdering van je gegevens ook daadwerkelijk alle systemen zijn bezocht en alle records zijn verwijderd.

Na honderden mailtjes, telefoontjes en bezoeken op locatie (want ze vragen al snel of je even een legitimatiebewijs wil doormailen of posten..(!)) kwam ik er regelmatig achter dat de medewerker patiëntenadministratie dacht dat de account en gegevens weg waren, maar dat ik gewoon nog kon inloggen en dat de gegevens in ieder geval voor mij nog zichtbaar waren. Dus ik vraag me sterk af waar het nog meer stond/staat. Denk aan gekoppelde systemen, databases, backups, oude systemen die offline zijn of niet langer in gebruik. Noem het maar op.
Er zit een spanningsveld tussen de AVG (recht om vergeten te worden) en de WGBO (wettelijk plicht voor een behandelaar om een behandeling "ten minste 15 jaar maar langer indien nodig voor de patient"). En daarom kom je een hoop hobbels tegen. Binnen het veld heb je ook nog eens het probleem van Familieanamneses: achteraf kan jouw dossier van belang zijn voor zussen, broers of kinderen. Dus er is zowieso de vraag of bepaalde diagnoses gewist mogen worden omdat de patient niet de enige betrokkene is.

Ook denken mensen in mijn ervaring te makkelijk over het weggooien van een medisch dossier. Je kunt jezelf daar in de toekomst behoorlijke gezondheidsschade mee aanbrengen. Dus dat men dit niet zomaar laat gebeuren is heel verstandig: de betrokken medici willen namelijk iemand de best mogelijke zorg bieden, en daar is kennis over de patient zijn medische voorgeschiedenis essentieel bij.

[Reactie gewijzigd door J_van_Ekris op 26 juli 2024 06:17]

Daarom moet dat ook niet een centrale database maar lokaal bij huisarts bewaard worden. (Ook geen vinkje dat je niet wil delen) maar gewoon in archief bij je eigen arts.

En als een partij daar iets wil hebben kunnen ze het daar digitaal het zien en patiënten dan zelf met huisarts bepalen hij weg kan gooien.
Zodat zouden de russen ooit tot hier komen en bijv besluit all LGBTQ’s tegen de muur te zetten. Niet dat dan zoals nu een centrale database vinden waar de persoon zelf niet bij kan. Dat persoon naar zijn huisarts kan rennen of dat huisarts zelf deze dossiers kan vernietigen.

[Reactie gewijzigd door xbeam op 26 juli 2024 06:17]

Daarom moet ook niet een centrale database maar lokaal bij huisarts bewaard worden. (Ook geen vinkje dat je niet wil delen) maar gewoon in archief bij je eigen art.
Zo werkt het al jaren. Dat is de gedachte achter het LSP/Aorta en alles wat volgde. Dus wat is jouw punt precies?
Nee zo werkt het vroeger. De hoe dan ook staan je gegevens in de database van LSP (landelijke schakel punt) elkeen krijgt de patiënt de keuze (vinkje in zelfde database) tot wel of niet delen van haar of zijn informatie.

Mijn huisarts heeft lokaal in zijn praktijk geen database of archief mijn dossier. Dat staat allemaal centrale.
Nee zo werkt het vroeger. De hoe dan ook staan je gegevens in de database van LSP (landelijke schakel punt) elkeen krijgt de patiënt de keuze (vinkje in zelfde database) tot wel of niet delen van haar of zijn informatie.
Nope, misschien gebruikt je huisarts een SAAS oplossing (dus host een dedicated partij als RAM infotechnology het voor hem), maar het LSP bevat geen medische informatie. Het bevat alleen jouw BSN en de registratie dat jouw huisarts informatie over jou heeft (vandaar ook de naam Landelijk SchakelPunt). Zie ook https://kennisbank.patien...ijk-schakelpunt-%28lsp%29

Hierin staat:
Bij het LSP worden geen medische gegevens opgeslagen. De medische gegevens blijven in het dossier bij de huisarts of bij de apotheek.
Kan zijn dat het voor jouw huisarts een pot nat is, maar voor technici en juristen is het een cruciaal verschil.

[Reactie gewijzigd door J_van_Ekris op 26 juli 2024 06:17]

Vandaar ook mijn ding. omdat mij huisarts niet verder komt dan wij moeten verplicht van de verzekering in de programma werken en dossier houden anders krijgen we niet uit betaald.

En mijn issues is niet LSP maar dat ik helemaal niet in centrale database of Saas oplossing wil.

Het is even zwart-wit gebracht maar vindt dat je tijdens een regime wissel alle medische dossier info die jouw of etnische groep in de problemen kan brengen fysiek voor deze mensen toegankelijk moet zijn om deze te vernietigen of er 100% zeker van moet kunnen samen met de huisarts samen gewist ook echt weg is. En niet dat nog backup’s of bij development database onderdelen aanwezig zijn waar een regime een claim op kan doen.

[Reactie gewijzigd door xbeam op 26 juli 2024 06:17]

Ik vind het belangrijker om eenst vast te leggen wat met medische data (van een medische instelling, maar ook van je apple watch) gedaan mag worden. Ik vrees dat fouten in verzameling of opslag niet kunnen worden uitgesloten, dus beter om het gebruik ervan aan banden te leggen. Het is niet omdat je ergens mijn telefoon nummer hebt gevonden dat je me mag opbellen of emailen voor commerciele redenen. Het is niet omdat je ergen mijn medische gegevens hebt kunnen bemachtigen dat je deze mag verkopen of gebruiken zonder mijn toestemming.
Zonder grote hoeveelheden (geanonimiseerde) data is AI onderzoek niet mogelijk. Je ziet nu al dat projecten niet haalbaar zijn door de steeds strengere regelgeving (ook al zijn de data niet terug te herleiden naar individuen), en dat vernieuwing en zorgverbetering al door de regelgeving gedwarsboomd wordt. We willen met z'n allen betere, efficiëntere en goedkopere zorg, maar intussen maakt de steeds ingewikkeldere wetgeving dit bijna onmogelijk.
Wat ik vooral hoor is dat verzekeraars op de stoel van artsen gaan zitten, het onnodig complex en daardoor duur maken.
Efficiëntere zorg begint bij de huisarts, zorgen dat deze meer tijd voor de patient krijgt en minder onnodig papier werk.
Wat ik vooral hoor is dat verzekeraars op de stoel van artsen gaan zitten, het onnodig complex en daardoor duur maken.
Je wilt als onderzoeker AI kunnen trainen op grote (geanonimiseerde) datasets om daar patronen uit te kunnen vissen, en die patronen bij huisartsen of specialisten onder de aandacht te brengen. Als je ziet hoeveel papierwerk er voor toepassing van een algoritme ingeleverd moet worden, dan wordt je echt gek. En dan het vreemd vinden dat de toepassing van AI in het medische veld zo traag gaat.
Dat het veel papierwerk is, mag nooit een argument zijn.
Die fout word helaas heel veel gemaakt.

De vraag is hoe gevoelig de data is en hoeveel papierwerk er dan gerechtvaardigd is om die data afdoende te bescherming.

En ik kan je garanderen dat ook in elke situatie waarin dat netjes afgewogen is er mensen blijven roepen dat ze gek worden van het papierwerk.

Als dat betekent dat sommige ontwikkelingen daardoor langzamer gaan, dan is dat maar zo. Dat is geen nieuw fenomeen in de medische wetenschap.
Het eerlijke verhaal is dat het sinds de komst van de AVG helemaal niet per sé moeilijker is geworden om data en lichaamsmateriaal van patiënten voor medische onderzoeksdoeleinden te gebruiken. Immers, onder de Wet Bescherming Persoonsgegevens (Wbp) bestonden diezelfde regels ook al, maar met de komst van de AVG is de Autoriteit Persoonsgegevens in het leven geroepen die de bevoegdheid heeft om flinke boetes (tot x% van de omzet) uit te delen wat er onder andere voor heeft gezorgd dat er meer aandacht is voor privacy. Ik zou zelfs willen beargumenteren dat het sinds de AVG veel gemakkelijker is om data en lichaamsmateriaal, omdat in heel Europa hetzelfde regime geldt en het ook duidelijker is wat de regels zijn om data te delen buiten de EER.

Dat er zoveel geklaagd wordt, onder andere door onderzoeksinstituten, is omdat enerzijds zij voor de AVG vaak vrijelijk data en lichaamsmateriaal deelden zonder daarbij de Wbp in acht te nemen (bijv. het versturen daarvan zonder daarvoor eerste een passende overeenkomst met de ontvangende partij te sluiten) en anderzijds sinds de AVG en de digitalisering van onze samenleving de patiënten veel kritischer zijn geworden ten aanzien van het gebruik van hun data. De voornaamste grondslag waarop data en lichaamsmateriaal wordt gebruikt voor medisch wetenschappelijk onderzoek is namelijk de expliciete 'geïnformeerde toestemming' waarbij deze toestemming wordt verkregen voor een expliciet doel (bijvoorbeeld een specifiek onderzoek). Als er voor het onderzoek data of lichaamsmateriaal gedeeld wordt met een commerciële partij (waar goede redenen voor kunnen zijn), dan moet ook daar de patiënt toestemming voor geven.

Een andere realiteit is dat de onderzoeksinstituten, waaronder de academische ziekenhuizen, onvoldoende (wensen te) investeren in gekwalificeerd personeel die in staat zijn te adviseren over de uitwisseling van data en lichaamsmateriaal en dit schriftelijk vast te leggen in de daarvoor bestemde overeenkomsten. Het komt zelfs voor dat mensen de functie van FG bekleden zonder dat zij voldoende adequate kennis hebben van de AVG. Ook is er niet altijd duidelijk intern beleid ofwel wordt dit beleid niet voldoende gehandhaafd/gemonitord.

Conclusie: Er is binnen de AVG heel veel mogelijk, maar het moet allemaal wel goed geregeld worden. Dat betekent dat er een duidelijk beleid moet zijn met daaraan gekoppelde procedures en personeel die dit kunnen ondersteunen. Als een organisatie niet bereid is om die investeringen te doen, dan is het inderdaad met de AVG een stuk lastiger geworden omdat er dan een flinke boete boven je hoofd hangt mocht je een misstap begaan.
Je hebt gelijk, alleen staat het hoofd van mensen die slecht nieuws hebben gekregen over hun gezondheid of van mensen die dringend medische hulp nodig hebben niet naar het regelen van toestemming bij allerlei instanties, of dat de behandeling vertraging oploopt omdat er nog ergens geen toestemming gegeven is. Patiënten raken er gefrustreerd van.
Als we zien hoe bij de britse gezondheidsdiensten criminele bedrijven - zoals Palantir zich storten op deze data - en dan zwijgen we nog over Microsoft, Facebook en Google in de VS rond dat soort data...
Dan moeten we beseffen dat de politieke vernieling weer te laat wakker is geschoten!
Wat ik lees vanuit dit artikel is dat ze MINDER STRENGERE regels willen. Waardoor het nog makkelijker worden om medische gegevens te delen.
De EC wil de mogelijkheden oprekken van waar die gegevens voor mogen worden gebruikt en door wie. Het wetsvoorstel bepaalt dat medische data ook kan worden ingezet voor wetenschappelijk onderzoek en voor behandelingen van andere personen binnen Europa.
Leuk dat de privacy toezicht houders dit willen en weten te brengen als zijnde strengere regels. Maar dit is niet wat Medisch-ethische commissie die beslist over het doen van medische onderzoek en het delen die geven wil.

ik krijg zijdelings wel eens wat mee via leden uit de Medisch-ethische toetsingscommissie die de onderzoekstoestemmingen verleend.

Dat bedrijven bij een aanvraag voor medische onderzoeken maar al te graag gegevens en menselijke materiaal willen delen en verplaatsen naar de VS enz Als je dan ziet hoe die gegevens worden gecodeerd (salt) mist bijna altijd de peper
Waar door het met vaak zo omschreven “sleutel in kluis” nog steeds terug herleiden is tot de persoon. Daarbij komt nog eens kijken dat DNA materiaal nooit anoniem is. De sample zelf is altijd te herleiden

De nu al te makkelijke regels die het mogelijk maken om onderzoeksmateriaal te delen en naar de VS te verplaatsen is sommige leden van de medisch-ethische Commissies nu al een doorn in het oog.

En wat ik hier lees is juist precies het tegenovergestelde van de mensen willen die hier over gaan en die het juist onmogelijk maken om onderzoeksmateriaal gegevens te delen om dan anoniem bloed (DNA) niet bestaat. zij willen juist alle samples in het ziekenhuis/universiteit blijft waar het onderzoek heeft plaats gevonden en dat het de onderzoekende bedrijven daar op aanvraag resultaten uit de samples kunnen krijgen.

[Reactie gewijzigd door xbeam op 26 juli 2024 06:17]

Het is nu namelijk heel streng heb ik begrepen. Waar je 10 jaar geleden nog allerlei wetenschappelijke onderzoeken kon doen op beschikbare geanonimiseerde data, mag dat nu niet meer zonder toestemming van de patiënt.
(Voor zover ik weet; ik laat me graag corrigeren).

Edit:
Ook voor onderwijs schijnt het door de huidige regels moeilijker te zijn, omdat je dan ook toestemming moet hebben van de patiënt als je zijn/haar casus wilt gebruiken voor onderwijsdoeleinden.

[Reactie gewijzigd door singingbird op 26 juli 2024 06:17]

Even voor de duidelijkheid ik ben ook maar een ITer die er op de zijlijn wat van mee krijgt. Dus de hoe,wat en waarom precies weet ik ook niet.

Maar van ik wel eens mee krijg klopt het wat je zegt dat wat betreft het combineren van al reeds bestaande onderzoeken ingewikkelder is geworden. Niet strengere dan voor de AVG.

Maar het argument de AVG juist niet streng genoeg is mij met dit een voorbeeld uitgelegd.

Het probleem is juist dat we 10 jaar verder zijn en dat bloed/menselijke weefsel (DNA) gewoon niet meer anoniem is. En het probleem zit hem voornamelijk dan DNA materiaal te makkelijk Nederland verlaat. Juist omdat AVG geen rekening houd met dat de verzamelde data de persoon zelf is. En geen data die gelinkt is aan een persoon.

Wat nu als blijkt dat één sample een serieuze genetische afwijkingen bevat. Wat bij combinatie hergebruik naar boven komt. Deze persoon heeft geen directe toestemming gegeven tot onderzoek of hij deze afwijking heeft. De uitkomst van zulke onderzoeken zijn heel ingrijpend voor hele families en kunnen vergaande gevolgen hebben.

Maar omdat zijn dna is verplaatst naar de VS wordt zijn dna sample uit anoniem bron wel voor ander onderzoek gebruikt en misschien wel gedeeld gedeeld met financiële partijen die het voor risico analyse gebruiken. En dna samples uit anoniem bron via databases als bijv https://www.myheritage.nl/ aan juiste familie linkt. Waarna de nakomelingen uit die familie bij bijv hypotheken meer krijgen of zonder rede in eens meer voor hun verzekering moeten gaan betalen. Omdat ze ergens familie van dat DNA sample zijn.

Van wat ik er van begrijp zit het probleem en weerstand echt in het delen van DNA en de in de nog niet overziene gevolg wanneer samples data anders dan voor afgestaan blijken te bevatten. Dan kan weefsel nog goed gecodeerd en anonieme zijn. Maar heeft geen enkele zin als de data uit dat anoniem bloed/weefsel zelf tot persoon te herleiden is.

[Reactie gewijzigd door xbeam op 26 juli 2024 06:17]

Het probleem is juist dat we 10 jaar verder zijn en dat bloed/menselijke weefsel (DNA) gewoon niet meer anoniem is. En het probleem zit hem voornamelijk dan DNA materiaal te makkelijk Nederland verlaat. Juist omdat AVG geen rekening houd met dat de verzamelde data de persoon zelf is. En geen data die gelinkt is aan een persoon.
Daarom gelden er nu al extreem zware eisen voor deze informatie. Voor biometrische informatie is het vanuit de AVG al expliciet "niet delen tenzij expliciet toestemming".
Wat nu als blijkt dat één sample een serieuze genetische afwijkingen bevat. Wat bij combinatie hergebruik naar boven komt. Deze persoon heeft geen directe toestemming gegeven tot onderzoek of hij deze afwijking heeft. De uitkomst van zulke onderzoeken zijn heel ingrijpend voor hele families en kunnen vergaande gevolgen hebben.
Dat is een heel bekend medisch-ethisch dilemma, wat nu ook al aan de hand is met kiembaan mutaties. Daar zijn gewoon binnen de medische professie richtlijnen voor hoe je dan dient te handelen.
Maar omdat zijn dna is verplaatst naar de VS wordt zijn dna sample uit anoniem bron wel voor ander onderzoek gebruikt en misschien wel gedeeld gedeeld met financiële partijen die het voor risico analyse gebruiken.
Ik zou me bezig houden met realistischere scenario's dan dat. Het is namelijk in Nederland wettelijk expliciet verboden om dergelijke medische informatie te gebruiken omdat dat het solidariteitsbeginsel van verzekeringen ondermijnd. Dus je ziet een hoop beren op de weg die er nooit zullen zijn.
Daarom gelden er nu al extreem zware eisen voor deze informatie. Voor biometrische informatie is het vanuit de AVG al expliciet "niet delen tenzij expliciet toestemming".
En hier volgen mij ook het bezwaar, van wat ik er als buiten staande van begrijp en mee krijg
Waneer het om Amerikaanse onderzoek gaat en het eigendom van het dna en beheer naar de vs word overgeheveld. Is er geen privacy shield aanwezig die kan waarborgen dat er niets mee gebeurd

[Reactie gewijzigd door xbeam op 26 juli 2024 06:17]

Het is nu namelijk heel streng heb ik begrepen. Waar je 10 jaar geleden nog allerlei wetenschappelijke onderzoeken kon doen op beschikbare geanonimiseerde data, mag dat nu niet meer zonder toestemming van de patiënt.
(Voor zover ik weet; ik laat me graag corrigeren).
De overgang van WBP naar AVG is zoveel mogelijk beleidsneutraal doorgevoerd, dus zaken die vroeger mochten mogen nog steeds en dingen die vroeger fout waren zijn nog steeds fout. En dit mocht vroeger, en Artikel 24 van de uitvoeringswet AVG geeft ook nog steeds de nodige ruimte. De commissie van der Zande heeft wel wat juridische zaken naar boven gehaald (weeffouten in de auvg), die het ministerie nu aan het repareren is.

Maar men is wel voorzichtiger geworden, en terecht. Men riep vroeger vrij eenvoudig dat geanonimiseerde data geen persoonsgegevens meer waren (en dus met iedereen maar gedeeld mochten worden)), en die gekte is er gelukkig wel af.
Ook voor onderwijs schijnt het door de huidige regels moeilijker te zijn, omdat je dan ook toestemming moet hebben van de patiënt als je zijn/haar casus wilt gebruiken voor onderwijsdoeleinden.
Ja en nee. Vroeger gebeurde het nog wel eens dat een docent tegen zijn studenten riep dat mevrouw Janssen een hele interessante casus was en dat iedereen in haar dossier moest kijken. Dat mocht toen al niet (medisch beroepsgeheim) maar het gebeurde gewoon. Nu maakt men een kopie en verwijderd men structureel identificerende gegevens. Sommige universitaire ziekenhuizen zijn ook samen aan het werken om zo een gezamenlijke opleidingsdatabase te maken. Dat is al veel meer zoals het hoort en heeft ook didactisch meerwaarde (want je bent dan niet afhankelijk van die interessante casus die voorbij komt).
Ik zit dus aan de onderzoekskant. De nieuwe wetgeving maakt medisch wetenschappelijk onderzoek een stuk lastiger.

Medische data is nagenoeg altijd schaars. Patiënten zijn een enorme heterogene groep, waarbij verschillende mensen verschillend reageren op een behandeling. Begin je met 1000 patiënten, verdeel je deze onder in geslacht/leeftijd/genetica/achtergrond/respons, dan hou je per "vakje" niet veel over. Daarnaast is data beperkt houdbaar: behandelmethodes veranderen vrij regelmatig.

Voorheen was de norm bij academische centra dat patiëntdata in principe standaard voor onderzoek gebruikt kon worden, tenzij de patiënt zelf aangeeft dit niet te willen. Dit waren er relatief weinig, en heeft vooral betrekking op weefsel/DNA-gerelateerd onderzoek.

Nu patiënten expliciet een opt-in moeten geven, komt er een behoorlijke deuk in de beschikbare hoeveelheid data. Ook de representatieve kant loopt gevaar. Vanuit de patiënt is dit vaak geen bewuste principiële keuze: het is formulier zoveel dat ingevuld moet worden, je moet er weer over nadenken, etc, terwijl je als patiënt gewoon komt voor je behandeling, beter wilt worden, en weer naar huis wilt.

Ofwel: ik zie grote risico's voor de toekomstige medische ontwikkeling als we veel data niet meer mogen gebruiken.


Aan de andere kant, kan ik de bezwaren ook goed begrijpen. Het is zeer persoonlijke data, en je hebt als buitenstaander geen idee wat ermee gebeurd. Gevoelige data delen met onduidelijke commerciële instellingen in het verre buitenland is iets wat niemand zomaar wil. Verder is er ook een verschil in de gevoeligheid van de data: DNA is persoonlijker en kan makkelijker misbruikt worden dan medische beelden (MRI/CT).

De METC (medisch-ethische toetscommissie) probeert overigens prima een inschatting te maken tussen risico's, noodzaak, privacy en wetenschappelijke/maatschappelijke relevantie. Maar als een groot deel van de patiënten in principe al niet includeert, dan heb je de data al niet. Opt-in betekent dus niet automatisch dat je data overal voor gebruikt mag worden!

Anonimisatie is overigens bijna een filosofisch discussiepunt. In principe mag niemand de sleutel weten. Maar zolang je ook toegang hebt tot de niet geanonimiseerde data, kun je altijd de geanonimiseerde data matchen. Het blijft dus altijd gebaseerd op vertrouwen dat een anonimisatie goed gedaan wordt en gerespecteerd wordt.
Het klopt precies wat je zegt. En dat maakt het zo ingewikkeld. Ik ben het ook helemaal met je eens. En dat lid denk ik ook. Het issue zit hem in wat ik er als niet medische persoon van mee krijg en begrijp echt in het DNA material zelf. De bezorgdheid (frustratie) dat de AVG niet streng genoeg is maar dat ze moeten staan speelt ook voornamelijk wanneer patiënt DNA onder buitenlands beheer komt.

[Reactie gewijzigd door xbeam op 26 juli 2024 06:17]

Maar zolang je ook toegang hebt tot de niet geanonimiseerde data, kun je altijd de geanonimiseerde data matchen

Dit moet je me toch eens uitleggen ?? Nadat de data geanonimiseerd werd, wordt de brondataset toch weggegooid mag ik hopen ? En de persoon die aan de slag gaat met deze data mag toch nooit of te nimmer in aanraking komen met het bronbestand.
Anonimisatie is overigens bijna een filosofisch discussiepunt. In principe mag niemand de sleutel weten. Maar zolang je ook toegang hebt tot de niet geanonimiseerde data, kun je altijd de geanonimiseerde data matchen. Het blijft dus altijd gebaseerd op vertrouwen dat een anonimisatie goed gedaan wordt en gerespecteerd wordt.
Het is dan ook niet de bedoeling dat je de medische onderzoeksgegevens die je krijgt nog even door het EPD trekt. Dat is het grote probleem met dit soort data: als je het ziekenhuis en de opnamedatum kent, en bijvoorbeeld de aandoening, dan kom je inderdaad weer patienten heridentificeren, wat niet de bedoeling is. Bij mijn weten is het protocol dat je de verantwoordelijke medicus benaderd die dan als poortwachter tussen de onderzoeker en de details van een casus gaat acteren.
Anonimisatie is overigens bijna een filosofisch discussiepunt. In principe mag niemand de sleutel weten. Maar zolang je ook toegang hebt tot de niet geanonimiseerde data, kun je altijd de geanonimiseerde data matchen. Het blijft dus altijd gebaseerd op vertrouwen dat een anonimisatie goed gedaan wordt en gerespecteerd wordt.
Volgens mij verwar je anonimiseren met pseudonimiseren.
Bij pseudonimiseren versleutel je data zodat een ander met die data niet meer kan herleiden tot welke persoon het behoort. Maar omdat jij zelf de sleutel hebt kun je het origineel achterhaal.

Bij anonimiseren kan dat niet. Is er geen enkele methode om de data te herleiden tot een persoon.
De huidige regels staan vaak een diagnose of een behandeling in de weg. Steeds vaker raken patiënten zelf ook gefrustreerd over het feit dat hun behandelaar beperkt wordt in zijn werk. Mensen die serieus ziek zijn hebben hun hoofd helemaal niet staan naar het regelen van toestemming bij allerlei instanties.
Zeker bij genetische aandoeningen is de familiehistorie belangrijk. Genetici zijn nu met handen en voeten gebonden aan regels die het allemaal een stuk lastiger maken.
En dat is maar goed ook. Die gebondenheid heeft een vaak een hele goede rede. En zeker op genetische gebied kunnen dingen verstrekken en ingrijpen gevolgen op de levens van hele groepen mensen hebben. Hoe vervelend dan ook voor deze patiënt en zijn familie. Maar met zulke afweging worden altijd de belangen en gevolgen die er uit voortkomen van alle betrokken partijen goed afgewogen.

[Reactie gewijzigd door xbeam op 26 juli 2024 06:17]

Op dit moment zijn de belangen van de mensen en hun familieleden helemaal niet gediend. Dat geven de patiënten en hun familieleden zelf aan. Het is een grote belemmering.
En dat is maar goed ook. Die gebondenheid heeft een vaak een hele goede rede. En zeker op genetische gebied kunnen dingen verstrekken en ingrijpen gevolgen op de levens van hele groepen mensen hebben.
Klopt, en zeker de directe kinderen zijn daar de dupe van en lopen daardoor een grotere kans op allerlei akelige vormen van kanker die veel betere overlevingskansen hebben als ze vroegtijdig worden behandeld. Ik denk dat je beter maatregelen kunt nemen om reele en acute risico's voor je kinderen weg te nemen (genetisch verhoogde kans op kanker) dan dit onmogelijk te maken door hypothetische risico's waar men echt tientallen wetten moet overtreden zodat er mogelijk ooit een van mijn achterkleinkinderen een vlaggetje bij zijn naam krijgt.

Er is een extreem subtiel verschil tussen "met zorg DNA-informatie behandelen om de patient zo optimaal te behandelen" en "DNA-informatie zo afschermen dat de patient en zijn kinderen onnodig risico lopen".

Medici zijn hoog opgeleide professionals die in praktijk een beroepsverbod opgelegd krijgen (ontnemen BIG-registratie) als ze de privacy van de patient of hun beroepsgeheim onnodig schenden. Er zijn zeker incidenten, maar door een te bekrompen aanpak help je geen patient. Juist met DNA zien we enorme doorbraken en is daardoor vroegtijdige opsporing en betere behandeling echt realistisch geworden. Dat moeten we echt niet gaan weggooien om hypothetische risico's.
Hoogopgeleid op het gebied van gezondheid ja. Niet hoogopgeleid op het gebied van privacy.

Het was maar een paar weken geleden dat hier nog een artikel stond dat patientgegevens op volstrekt onveilige wijze in een cloud dienst onder gebracht waren en inzichtelijk waren voor farmaceuten.
Op security.nl reageerde iemand die beweerde één van de huisartsen te zijn en die begreep totaal niet wat het probleem was.

Je kunt niet alle privacy bezwaren van tafel vegen met het argument dat dit patienten kan helpen.
Het probleem is financiële systeem.
Onderzoek naar familiaire genetische afwijkingen kan bij positiefs uitkomt directe gevolgen hebben de rest ook niet directe bij patiënt betrokken familie. Wat betekent dat vanwege de meld plicht bij financiële producten ze per direct geen huis meer kopen of verzekering kunnen afsluiten enz .

Daarom moet vaak voor dit onderzoeken de hele familie akkoord zijn. Naast de financiële consequenties willen veel mensen het gewoon niet weten.

[Reactie gewijzigd door xbeam op 26 juli 2024 06:17]

Deze regels hdden er allang moeten zijn nog voordat het delen van deze zeer delicate gegevens gedeeld konden worden.

Het is altijd azijn na de wijn en ondertussen zijn er al duizenden, zoniet nog meer, gegevens gelekt richting instanties die hier helemaal geen inkijk horen te hebben. Zoals laatst het bericht dat een ziekenhuis patienteninformatie deelden met Facebook. Welliswaar in Amerika, maar het is dus mogelijk en wie weet wat zich hier in de EU afspeelt waar we nog geen weet van hebben.

Dus stengere regel hadden al aanwezig moeten zijn voordat men besluit dat er gedeeld kan worden door bijv. EPD.
Die regels zijn er allang op nationaal niveau, alleen niet op Europees niveau. Dus als je patienten in het buitenland moet overbrengen vanwege overvolle ziekenhuizen Nederland, of omdat de patient op vakantie van zijn scooter valt, dan wordt het lastig. Maar binnen Nederland is de wetgeving er al decennia.
Ik werk zelf voor een ziekenhuis en ben ook verantwoordelijk voor de "externe aanleveringen".

Ik heb hier al eens vaker over gepost maar merk dat er altijd veel misverstanden zijn over wat er allemaal aangeleverd wordt. Mensen zijn vaak in de veronderstelling dat zomaar even het hele patiëntendossier word geupload naar elke partij die het vraagt. Maar dit is zeker niet waar, sterker nog in ons datawarehouse ontsluiten wij de tekst van een dossier niet eens.

Maar externe partijen zijn helemaal niet geïnteresseerd in individuele gegevens van patiënten. Een partij die landelijke bijvoorbeeld data verzameld van ziekenhuizen is I2I. Dit is een partij die controle doet op de facturatie gegevens. Als je I2I gecertificeerd bent krijgt het ziekenhuis korting van de verzekering. Dus of de gegevens die bij verzekeraars geclaimd is overeenkomen met de interne facturatie van het ziekenhuis.

Hiervoor zijn aanlever criteria samengesteld. Vaak is dit informatie van DBC en verrichting informatie. Een DBC kan je zien als een soort container waar meerdere verrichtingen inzitten.

Als jij naar het ziekenhuis gaat, wordt word de meeste informatie in je patientdossier opgeslagen maar wordt er ook in het facturatie systeem een DBC voor je geopend. In deze DBC worden alle handelingen (verrichtingen) voor je behandeling geregistreerd. Aan deze DBC hangt bijvoorbeeld een diagnose, en een specialisme. En als je behandeling binnen 3 maand klaar is word je DBC gefactureerd en gesloten en gaat er een factuur naar je verzekering.

I2I wil graag een controle hierop doen en vraagt hierom om data. In deze aanlevering zit bijvoorbeeld die verrichting en DBC informatie. Daarmee weten ze precies hoeveel DBC's voor specialisme X in de maand Juli zijn gedeclareerd bij verzekeraar Y.

Zo'n aanlevering word uit ons DWH al dusdanig geaggregeerd en gespeudonimiseerd gehaald dat zodat niet naar een individuele patiënt is terug te herleiden. Daarnaast heeft I2I een partij ertussen die een tool heeft ontwikkeld die nogmaals controleert of de gegevens wel volgens aanlevercriteria zijn en pseudonimiseert nog eens. (bijvoorbeeld een patientnummer naar SHA1 hash, zorgen dat bij verzorgingsgebied alleen maar de cijfers aanwezig zijn en niet ook de letters van de postcode, als er een kleine sample op een postcode gebied is deze dan aggegreren)

Hiermee blijft de privacy van de patiënt gewaarborgd en is die niet meer dan een statistiek. En wij hebben meer dan eens wel een aanlevering geweigerd als een datacowbow weer eens data wilde voor onderzoek.

En wij zijn als ziekenhuis hier uiterst streng in, niet alleen extern, maar ook intern. Meer regels is wat mij betreft ook goed, dan hebben wij ook meer duidelijkheid, want naar mijn idee is er nog voor veel niets geregeld.

[Reactie gewijzigd door Senaxx op 26 juli 2024 06:17]

Een misverstand lijkt me de situatie dat iedereen die er belang bij heeft weet heeft hoe de persoonsgegevens werkelijk verwerkt worden. De praktijk lijkt dat slecht een selecte groep dat weet, door allerlei keuzes om er niet open over te zijn.

Er indirect een samenvatting van krijgen zorgt er daarbij ook niet voor dat het zomaar duidelijk is wat werkelijk de praktijk is en geeft ook geen mogelijkheden om die op tijd te controleren. De AVG stelt niet voor niets al eisen om vooraf heel duidelijk de grenzen te stellen. Maar zolang dat nog te veel verborgen blijft, zelfs bij organisaties die menen streng te zijn omdat ze om andermans privacy geven, dan lijkt dit verzoek om strengere regels niet snel de grens. Omdat wetgeving niet alleen komt vanuit personen die werkelijk ervaring hebben met de verwerking, maar ook al die miljoenen personen die er in de toekomst waarschijnlijk mee te maken krijgen en geen transparantie en controle over hun persoonlijke gegevens merken en vooral kunnen zien dat anderen dat wel lijken te bepalen (die er vaak een eigen belang in hebben).
Goed pseudonimiseren is nog best lastig, en kan als het niet goed gebeurt toch naar individuele personen herleid worden. Dat is zeker het geval bij je voorbeeld van een SHA1 van een patiëntnummer, simpelweg door de SHA1s van alle patientnummers te berekenen. Dat is overigens vaak wel een stuk lastiger als je wat extra gegevens meeneemt, vooral niet elders bekende gegevend zoals een (geheime!) unieke salt per patient. Gepseudonimiserde gegevens zijn als het op zo'n manier herleidbaar is volgens de AP in ieder geval nog steeds persoonsgegevens - anders had het anonimiseren geheten. Waardoor je twijfels kan hebben bij het voldoen aan de wet bij het gevolgde proces, afhankelijk van welke verdere afspraken gemaakt zijn.
I2I wil blijkbaar ook weten welke DBCs bij dezelfde persoon op een later moment zijn gedeclareerd, anders hadden ze het beter kunnen anonimiseren.

Dat verandert overigens niets aan het nut van deze toepassing.

En ook gebruik van data voor onderzoek heeft veel nut, dat niet kunnen stopt de innovatie in de zorg.

Een voorbeeld waar dit pseudonimiseren mis is gegaan, met ik vermoed dezelfde maar mogelijk anders geconfigureerde tooling, en mogelijk andere verwerkingsgrondslag dan jouw voorbeeld: https://www.autoriteitper...ggz-na-overnemen-rom-data

[Reactie gewijzigd door Pieter_621 op 26 juli 2024 06:17]

Een voorbeeld waar dit pseudonimiseren mis is gegaan, met ik vermoed dezelfde maar mogelijk anders geconfigureerde tooling, en mogelijk andere verwerkingsgrondslag dan jouw voorbeeld: https://www.autoriteitper...ggz-na-overnemen-rom-data
Een groot probleem is de GGZ casus was dat men het als argument gebruikte om het niet als persoonsgegevens te beschouwen en men er mee dacht te kunnen doen wat men leuk vond. Dat is waar de AP een stokje voor stak, want ook gepseudonimiseerde medische gegevens moet je gewoon met uiterste zorg behandelen.

En er zijn best wel goede pseudonimisatiealgoritmes, waar je echt niet terug kunt naar de bron. Jouw punt is (terecht) de vraag over Entropie: je moet niet via een rainbow-table alsnog de pseuonimisatie kunnen terugdraaien. Dat is een vak apart, maar ook wel weer te doen als je de juiste specialisten erbij betrekt.
Goed pseudonimiseren is nog best lastig, en kan als het niet goed gebeurt toch naar individuele personen herleid worden. Dat is zeker het geval bij je voorbeeld van een SHA1 van een patiëntnummer, simpelweg door de SHA1s van alle patientnummers te berekenen. Dat is overigens vaak wel een stuk lastiger als je wat extra gegevens meeneemt, vooral niet elders bekende gegevend zoals een (geheime!) unieke salt per patient. Gepseudonimiserde gegevens zijn als het op zo'n manier herleidbaar is volgens de AP in ieder geval nog steeds persoonsgegevens - anders had het anonimiseren geheten. Waardoor je twijfels kan hebben bij het voldoen aan de wet bij het gevolgde proces, afhankelijk van welke verdere afspraken gemaakt zijn.
I2I wil blijkbaar ook weten welke DBCs bij dezelfde persoon op een later moment zijn gedeclareerd, anders hadden ze het beter kunnen anonimiseren.

Dat verandert overigens niets aan het nut van deze toepassing.

En ook gebruik van data voor onderzoek heeft veel nut, dat niet kunnen stopt de innovatie in de zorg.

Een voorbeeld waar dit pseudonimiseren mis is gegaan, met ik vermoed dezelfde maar mogelijk anders geconfigureerde tooling, en mogelijk andere verwerkingsgrondslag dan jouw voorbeeld: https://www.autoriteitper...ggz-na-overnemen-rom-data
Goed anonimiseren en pseudonimiseren is inderdaad lastig. Je voorbeeld met een salt per aanlevering hebben wij ook. Voor elke partij hebben wij een eigen salt, en nemen ook een gegeven mee in de SHA1 berekening die niet in de aanlevering zit.

GGZ datalek wat je aanhaalde is niet de tooling van I2I. Die heeft eigen tooling ontwikkeld.

Daarnaast hebben wij sinds kort speciale tooling (NMTY Enterprise) aangekocht die gebruikt wordt om datasets nog beter te kunnen anonimiseren en waar mogelijk 100% de privacy gewaarborgd word.

[Reactie gewijzigd door Senaxx op 26 juli 2024 06:17]

Hey EU,

Ik heb een voorstel. Simpel weg Nee, tenzij de persoon geheel vrij blijven zonder enige vorm van dwang (ook geen korting) aangeeft. De gegevens te willen delen.
Dat is dan op lange termijn nadelig voor iedereen, inclusief al wie zijn persoonlijke data niet wenste te delen.
Zonder het (anoniem) kunnen delen en verwerken van medische data kan je het grootste deel van de medische trials, die onontbeerlijk zijn voor de ontwikkeling van nieuwe medische technieken en behandelingswijzen, meteen stopzetten.
Zonder het (anoniem) kunnen delen en verwerken van medische data kan je het grootste deel van de medische trials, die onontbeerlijk zijn voor de ontwikkeling van nieuwe medische technieken en behandelingswijzen, meteen stopzetten.
tenzij de persoon geheel vrij blijven zonder enige vorm van dwang (ook geen korting) aangeeft.
Volgens mij valt dat gewoon hier onder. Verder moet toestemming verlenen herroepelijk zijn, conform AVG.
Onder de AVG is er geen herroepingsrecht van toestemming. Wel een intrekkingsrecht. Met het intrekken van de toestemming mag de data vanaf dat moment niet meer verwerkt worden.

Voorwaarde is natuurlijk wel dat de data oorspronkelijk verwerkt is met toestemming als grondslag.

[Reactie gewijzigd door Killjoy op 26 juli 2024 06:17]

Wat een geklets,
medische trials gebeuren al sinds jaar en dag.
Op diverse plaatsen kun je jezelf opgeven om mee te doen hieraan, tegen vergoeding uiteraard.
Kom je voor behandeling in een academisch ziekenhuis dan heb je kans je gevraagd wordt om deel te nemen aan een nieuw soort behandeling of techniek.
Je ligt in Frankrijk met ernstige verwondingen ( buiten kennis ) in het ziekenhuis vind je het goed dat je medische gegevens gedeeld wordt met de artsen daar ? ( denk er aan dat daar ook allergieën in staan, voor bijvoorbeeld bepaalde medicijnen )

En wat als je in de US ligt in die zelfde situatie

Een simpele nee werkt gewoon niet altijd
Er wordt bekend dat iedereen die >20 jaar geleden medicijn x en y heeft gebruikt een sterk verhoogde kans heeft op een kankersoort die goed behandelbaar is als je er op tijd bij bent. Een bericht in via de oude en nieuwe media zal niet genoeg mensen bereiken, laat staan dat de meesten weten wat de naam was van dat kuurtje dat ze in 1995 gedaan hadden. We kunnen de overbelaste huisarts(assistent) alle patiëntendossiers laten doorzoeken. Of we kunnen en algoritme loslaten op alle patiëntendossiers in de EU en iedereen een brief sturen zodat ze zich kunnen melden voor testen.
Nou laat mijn huisarts dat dan maar doen.
Die hebben er geen tijd voor dus dat gaat levens kosten.
Dat excuus is niet voldoende.
Al dat soort informatie voor extreem lange tijd bewaren en op een dergelijke manier gebruiken is niet proportioneel, voor iets dat dan blijkbaar zo weinig voor komt dat via oude en nieuwe media de doelgroep niet bereikt kan worden.

Het middel is dan schadelijker dan de kwaal.
Voor de mensen die "Gewoon nee tenzij expliciet permissie is gegeven", wat wil je dan doen in nood situaties waar dat niet mogelijk is. Als jij in een coma(of onbewust zijnde) ligt in het ziekenhuis mag het dan well? En als ja wat wordt dan gezien als een nood situatie welke standaard word daar dan voor gebruikte.

Dat er stricte wetgeving moet zijn ben ik het mee eens maar gewoon nee gaat heel kort in de bocht.

[Reactie gewijzigd door Stetsed op 26 juli 2024 06:17]

voor het verwerken van persoonsgegevens in zo’n scenario is er de grondslag “vitaal belang” in de avg, heb je geen toestemming voor nodig.
Klopt, maar als dat de enige reden is om data te mogen verwerken dan wordt in praktijk de koppeling vaak niet gelegd. Zo hebben duitse en belgische ambulances bij mijn weten ook geen toegang tot de nederlandse spoeddossiers.
het is dan iig niet GDPR die ze in de weg zit. misschien traag met implementeren of verzin een reden :)
Rijbewijs hebben mensen vaak nog wel bij zich, maar als iemand dood ligt te bloeden is het wel praktisch om te weten of de persoon in kwestie een Latexallergie heeft....
Volgens mij is er geen enkele arts die zomaar met 'spannende' materialen gaat werken. Nitriel is volgens mij een van de oplossing hiervoor.
In een geval van nood worden gewoon standaardprocedures toegepast waarbij inderdaad een risico op allergieën aanwezig is. Er is vaak helemaal geen tijd om een medisch dossier door te gaan spitten op allerlei eigenschappen van de patiënt. In de praktijk komt het zelden voor dat men informatie mist doordat het dossier niet accuut ingezien kan worden.
Als jij een zodanig ernstige allergie hebt dat het van belang is dat een noodarts dat weet, dan krijg je een kaartje met daarop die informatie, die je bij je houd.
(Ik heb zo'n kaartje ter grootte van een bankpasje)

[Reactie gewijzigd door mjtdevries op 26 juli 2024 06:17]

Op dit item kan niet meer gereageerd worden.