image

AP doet geen onderzoek naar medische data in de cloud

maandag 30 september 2019, 09:18 door Redactie, 16 reacties

De Autoriteit Persoonsgegevens zal geen onderzoek uitvoeren naar de opslag van medische gegevens in de cloud. Dit vanwege berichtgeving dat gegevens van honderdduizenden Nederlandse patiënten zonder dat die dit weten of hiervoor toestemming hebben geven bij Google zijn opgeslagen.

Het gaat om gepseudonimiseerde behandelgegevens die daar worden gehost door Medical Research Data Management (MRDM), een bedrijf uit Deventer dat namens zorgorganisaties, zoals ziekenhuizen, medische data verwerkt. Naar aanleiding van de ophef die het nieuws veroorzaakte nam minister Grapperhaus van Justitie en Veiligheid contact op met de Autoriteit Persoonsgegevens. De toezichthouder liet weten dat ziekenhuizen onder voorwaarden patiëntgegevens in een cloud mogen opslaan, mits voldaan wordt aan de verplichtingen van de AVG.

In de Tweede Kamer werden ook vragen over de opslag van de gegevens gesteld, waarop Grapperhaus een onafhankelijk onderzoek aankondigde naar de wenselijkheid van het gebruik van niet-Europese Cloud platforms voor het opslaan van zorgdata. Wat betreft het onderzoek naar een mogelijke overtreding van de AVG door MRDM ziet de Autoriteit Persoonsgegevens op dit moment geen aanleiding om een nader controlerend onderzoek uit te voeren.

"De persoonsgegevens worden opgeslagen in Nederland, in de contracten met het cloud platform is gewaarborgd dat er geen internationale doorgifte plaatsvindt van persoonsgegevens aan derde landen buiten de EER. Daarnaast heeft MRDM de AP geïnformeerd over de manier waarop de gegevens worden beveiligd", aldus de toezichthouder. Naast het bevragen van MRDM of er sprake is van een overtreding van de AVG zijn er ook verschillende verantwoordingsdocumenten opgevraagd. Dit gaf geen aanleiding voor verder onderzoek.

Reacties (16)
30-09-2019, 11:10 door Anoniem
Hmm..

gepseudonimiseerde behandelgegevens ...

ik heb geconstateerd dat ze naar de DHD (Dutch hospital data) ook gepseudonimiseerde behandelgegevens leveren... naam, adres en alles erbij... dus wat betekent dit nu precies.

Grappig.. alleen vragen stellen en een antwoord krijgen die je past en klaar is kees. Hoe wordt dit getoetst?
30-09-2019, 11:11 door Anoniem
Ze worden echt steeds beter, daar bij voorheen het CBP nu de AP, om excuses te verzinnen om maar niets te hoeven doen.
30-09-2019, 15:19 door Anoniem
Door Anoniem: Ze worden echt steeds beter, daar bij voorheen het CBP nu de AP, om excuses te verzinnen om maar niets te hoeven doen.
Er is gecontroleerd wat er hier gedaan wordt, en het is op orde, wat wil je nog meer dat ze gaan doen? Het gaat om opslag in Nederland, garantie dat er geen info naar het buitenland wordt gestuurd, en het voldoet aan de AVG. Clubs als Google en Microsoft hebben de digitale infra vele malen beter op orde dan wat een willekeurige (kleine) organisatie in Nederland voor elkaar kan krijgen. Neem de [url=https://www.microsoft.com/en-us/trustcenter/Compliance/soc]SOC[/url] rapporten van Microsoft. Daar staan wet en regelgevingen in genoemd waar ik nog nooit van gehoord heb, en ik zit vrij diep in de materie. Data wordt niet opgeslagen in een Outlook.com mail mapje, of op een Google Drive, iets wat veel mensen hier wel lijken te pretenderen.

Als ik sommige reacties hier lees, dan wil men bij voorkeur terug naar papieren dossiers. Je weet wel, die dingen die te pas en te onpas door specialisten mee naar huis werden genomen of op andere plekken bleven slingeren.
30-09-2019, 15:28 door Anoniem
Het was dus weer ophef over niets -- hoe voorspelbaar...
30-09-2019, 15:52 door Anoniem
"Het gaat om gepseudonimiseerde behandelgegevens die daar worden gehost..."
Dat is volgens de AVG volkomen legaal. Het datacenter waar ik werk verzamelt ook gepseudonimiseerde en geanonimiseerde gegevens die doorgegeven worden aan een centrale databank in een ander Europees land voor statistisch onderzoek naar ziekten. Om te voorkomen dat er toch herleid kan worden om welke patiënt(en) het gaat, worden zeer zeldzame gevallen uitgefilterd, omdat de link naar een bepaald persoon anders vrij makkelijk zou worden. Onze privacyfobie moet natuurlijk niet gaan leiden tot belemmering van noodzakelijke onderzoeken. In deze gevallen zijn alle mogelijke maatregelen genomen om de privacy van de patiënt te borgen.
30-09-2019, 16:28 door Anoniem
Door Anoniem: "Het gaat om gepseudonimiseerde behandelgegevens die daar worden gehost..."
Dat is volgens de AVG volkomen legaal.

Dat is een misvatting. Het blijkt dat dergelijke gegevens wel herleidbaar zijn individuen en dus niet anoniem. Zelfs al zijn gegevens anoniem, je moet wel een verwerkingsgrond hebben. En voor dit soort gebruik is alleen toestemming voldoende.

Het datacenter waar ik werk verzamelt ook gepseudonimiseerde en geanonimiseerde gegevens die doorgegeven worden aan een centrale databank in een ander Europees land voor statistisch onderzoek naar ziekten. Om te voorkomen dat er toch herleid kan worden om welke patiënt(en) het gaat, worden zeer zeldzame gevallen uitgefilterd, omdat de link naar een bepaald persoon anders vrij makkelijk zou worden.

Er zijn kleine voor jou onbelangrijke details die kunnen leiden naar de identiteit zonder dat jij het weet. Je denkt dat je dat kan voorkomen, maar dat kan niet.

Onze privacyfobie moet natuurlijk niet gaan leiden tot belemmering van noodzakelijke onderzoeken.

Dat is geheel aan de patient zelf (of voogd in geval van minderjarigen) en niemand anders. De wijze waarop nu toestemming wordt gevraagd in ziekenhuizen deugt niet. Het neemt privacyrechten af van de patient. Volgens mij houdt zo'n poging om rechten die je hebt via dwingend recht te ontnemen geen stand in een rechtbank.

In deze gevallen zijn alle mogelijke maatregelen genomen om de privacy van de patiënt te borgen.

Dat kun je niet. Een combinatie van een handvol factoren kan al leiden tot iemands identiteit. Ook als je denkt dat het niet zo is. Het is veel makkelijker dan je denkt: veel data is in de combinatie uniek.
30-09-2019, 16:37 door Anoniem
Door Anoniem: "Onze privacyfobie moet natuurlijk niet gaan leiden tot belemmering van noodzakelijke onderzoeken.


Wat een onzinreactie. Als dity noodzakelijk onderzoek is; dien je gewoon toestemming te regelen.


Dit is meer in de trand van 'het is erg belangrijk; maar nu even niet omdat het mij niet uitkomt".

Enne, die data word NIET alleen in NL opgeslagen... Maar dat is een ander verhaal.
30-09-2019, 17:04 door Anoniem
Door Anoniem: Als ik sommige reacties hier lees, dan wil men bij voorkeur terug naar papieren dossiers. Je weet wel, die dingen die te pas en te onpas door specialisten mee naar huis werden genomen of op andere plekken bleven slingeren.
Dan zie je ze tenminste slingeren. Nu worden allerlei gegevens te pas en te onpas mee naar huis genomen, weggegeven, vergeten in bus/tram/metro/trein/taxi/vliegtuig, gejat met de laptop waar ze nog op stonden, noem-maar-op, PLUS in open databases voor de wereld opengesteld, perongeluk naar de verkeerde gemaild, blind gekopieerd, automatisch op een cloudopslag gegooid, noem-maar-op, en je ziet het vaak niet eens gebeuren.

Een boodschappenkarretje vol dossiers valt op en leidt vrij vlot tot ontslag. De hele database ineens verliezen wordt soms maanden of jaren niet eens opgemerkt en zorgt dan hooguit voor wat bezwete gezichten "hoe gaan we de damage control doen?"

Dus papier is in die zin zo gek nog niet. Het is geen gegeven dat we alles maar "in de cloud" zouden moeten doen gewoon omdat het kan of omdat het handig lijkt. Als er uit het hele plaatje blijkt dat 'zwoegen' op papier een hoop kosten en rompslomp om de privacy te waarborgen scheelt kan het zomaar ineens kosteneffectiever blijken te zijn. Je moet daar wel open voor staan. Negeer je dat op voorhand, dan accepteer je dus dat je met een blinde vlek blijft rondhobbelen.

Ik snap best dat je geen zin hebt in je selectric uit het stof halen, maar waar je zin in hebt gaat het niet over. Het gaat erover of dat het werk goed gedaan wordt inclusief de privacy-aspecten. En als blijkt dat dat het beste per rooksignalen gaat, nou, dan leer je maar vlot rooksignalen.
30-09-2019, 17:23 door Anoniem
Dus vanaf nu kunnen we officieel stellen dat de AP enkel in het leven geroepen is om uitgerangeerde politici 'n luizenbaantje aan te bieden.

Als AP zou je namelijk moeten weten dat elke data die je deelt of opslaat bij Google niet wenselijk is. Niet dat Google onbetrouwbaar is, die zijn echt wel zuinig op jouw gegevens, maar je weet niet wat de toekomst brengt.
75 à 80 jaar gelden is dat namelijk al eens gruwelijk fout gegaan..
30-09-2019, 20:13 door karma4
Door Anoniem:
Wat een onzinreactie. Als dity noodzakelijk onderzoek is; dien je gewoon toestemming te regelen.
Dit is meer in de trand van 'het is erg belangrijk; maar nu even niet omdat het mij niet uitkomt".
Enne, die data word NIET alleen in NL opgeslagen... Maar dat is een ander verhaal.
Er is wel degelijk een gegronde reden om onderzoek zonder voor elke detail persoonlijk toestemming te doen.
Als je dat ontkent ben je gewoon niet thuis in de vraagstukken rond medisch onderzoek.
Aub eerst in de materie verdiepen voordat je wat beweert, nu is het zo .,... tja laat ik zeggen los van de werkelijkheid.
30-09-2019, 20:15 door karma4
Door Anoniem: Dus vanaf nu kunnen we officieel stellen dat de AP enkel in het leven geroepen is om uitgerangeerde politici 'n luizenbaantje aan te bieden.

Als AP zou je namelijk moeten weten dat elke data die je deelt of opslaat bij Google niet wenselijk is. Niet dat Google onbetrouwbaar is, die zijn echt wel zuinig op jouw gegevens, maar je weet niet wat de toekomst brengt.
75 à 80 jaar gelden is dat namelijk al eens gruwelijk fout gegaan..
Toen hadden we niets op computers en de archieven waren echt niet bij. De oplossing: nummertjes inbranden op de huid.
Je haalt er wat bij met een totaal gebrek over de historie, erger je gaat op de zelfde manier met de historie om als de foute figuren van toen. Als je niet leert van de historie zullen de zelfde soort problemen herhaald worden.
30-09-2019, 21:19 door Anoniem
Gelukkig is recentelijk besloten dat Google alleen binnen de EU "het recht om vergeten te worden" dient toe te passen, en ongeveer 99,99999999% van de wereld snapt niets van de kracht van metadata. https://en.wikipedia.org/wiki/Metadata

Ha! "Anonimiseren" *kuch* https://en.wikipedia.org/wiki/Data_anonymization
https://en.wikipedia.org/wiki/Data_re-identification

***KUCCCCHHHHHHHHH***

Stupid is, as stupid does.

Everything you say can, and will (in practise), be used against you. https://en.wikipedia.org/wiki/Miranda_warning

Everything you do, online, can, and will, be used against you. Sometime or another, because computers don't forget, and have all the time of the world. https://en.wikipedia.org/wiki/Common_sense

Disclaimer: bovenstaande is slechts bedoeld als een aanmoediging tot verrijking van zelfkennis, want zonder eigen onderzoek (hetgeen, ja, inderdaad moeite en tijd zal gaan kosten) kan men niet komen tot een dieper begrip van wat er werkelijk aan de hand is (want, verrijking en verdieping ga je nooit bereiken met het doornemen van een A4'tje).

Vorm uw eigen mening, na grondig onderzoek op eigen voorwaarden, dank u.
En verdedig uw mening, maar op grond van argumenten en feiten, mogelijk op basis van uw normen en waarden, maar niet op basis van emoties, of erger nog, wensdenken, want de wetten van realiteit en natuur zullen, uiteindelijk, in uw nadeel gaan werken, en anders wel voor uw nageslacht (die laatste is een doordenkertje, maar gebaseerd op historische feiten).
.
01-10-2019, 00:12 door Anoniem
@karma4,

Blijf wel binnen het historisch perspectief.

Vergeet niet de kwalijke rol van IBM tijdens de holocaust met zijn sorteermachines en ponskaarten.
Zie: https://www.volkskrant.nl/nieuws-achtergrond/techniek-ibm-hielp-nazi-s-bij-holocaust~b2e6f9aa/

IBM is hier na de oorlog naar ik weet nooit voor vervolgd. Er was dus wel degelijk een technische sequentie bij het inbranden van nummers op de huid van de door de Nazi's "ontmenselijkte" kampslachtoffers.

Het is de ervaring van de leden van het oude en beminde volk in de diaspora,
dat de pogroms zich weer begonnen te herhalen zo om de 75 jaar,
als de ervaring aan de vorige vervolgingen was weggezakt.

Een ding staat dus wel vast dat de mensheid niets leert van de geschiedenis
en deze zich zo steeds placht te herhalen. Wrang, maar helaas waar.

Daarom leeft men elk jaar weer van Rosh Hashanah naar Yom Kippur,
dankbaar als dan door de Eeuwige nog een jaar aan het leven van de mens is toegevoegd.

luntrus
01-10-2019, 06:19 door karma4
Door Anoniem: @karma4,
Blijf wel binnen het historisch perspectief.
Vergeet niet de kwalijke rol van IBM tijdens de holocaust met zijn sorteermachines en ponskaarten.
Zie: https://www.volkskrant.nl/nieuws-achtergrond/techniek-ibm-hielp-nazi-s-bij-holocaust~b2e6f9aa/
IBM is hier na de oorlog naar ik weet nooit voor vervolgd. Er was dus wel degelijk een technische sequentie bij het inbranden van nummers op de huid van de door de Nazi's "ontmenselijkte" kampslachtoffers.
….
luntrus
Ik ken het verhaal Luntrus, inderdaad zeer kwalijk, Net als wat andere verhalen over de "de grenzen moeten dicht" en "bevriend staatshoofd". Dan hebben we nog de zwarte weduwe die tientallen jaren en riant regeringsstaatspensioen genoot, als de vrouw van een door buitenlanders aangesteld staatsleider. De ontmenselijking en haat zat veel breder met alle bijkomende propaganda dan velen van nu beseffen. Zoals je zegt: "de mensheid niets leert van de geschiedenis" .

Wat ik terug kan halen (de directe echo's uit dat verleden) zegt dat de bevolkingsadministratie (gemeentes) helemaal niet op orde was (voor de inval). Zeker niet als het gaat om al die bijzondere persoonskenmerken. Het gevaar kwam vanuit je buren je directe omgeving. Aan aangifte hoefde niet eens onderbouwd te zijn er golden andere onvoorstelbare normen.
Dat zoiets dan toch beweerd is, is gewoon de foute propaganda, De foute propaganda die toen ook gehanteerd werd.
Als we het over zwartjassen hebben dan heb ik het niet over rassen als is er een sterke correlatie.
Vrijwel niets is zoals het op het eerste gezicht lijkt.
01-10-2019, 06:19 door karma4
Door Anoniem: @karma4,
Blijf wel binnen het historisch perspectief.
Vergeet niet de kwalijke rol van IBM tijdens de holocaust met zijn sorteermachines en ponskaarten.
Zie: https://www.volkskrant.nl/nieuws-achtergrond/techniek-ibm-hielp-nazi-s-bij-holocaust~b2e6f9aa/
IBM is hier na de oorlog naar ik weet nooit voor vervolgd. Er was dus wel degelijk een technische sequentie bij het inbranden van nummers op de huid van de door de Nazi's "ontmenselijkte" kampslachtoffers.
….
luntrus
Ik ken het verhaal Luntrus, inderdaad zeer kwalijk, Net als wat andere verhalen over de "de grenzen moeten dicht" en "bevriend staatshoofd". Dan hebben we nog de zwarte weduwe die tientallen jaren en riant regeringsstaatspensioen genoot, als de vrouw van een door buitenlanders aangesteld staatsleider. De ontmenselijking en haat zat veel breder met alle bijkomende propaganda dan velen van nu beseffen. Zoals je zegt: "de mensheid niets leert van de geschiedenis" .

Wat ik terug kan halen (de directe echo's uit dat verleden) zegt dat de bevolkingsadministratie (gemeentes) helemaal niet op orde was (voor de inval). Zeker niet als het gaat om al die bijzondere persoonskenmerken. Het gevaar kwam vanuit je buren je directe omgeving. Aan aangifte hoefde niet eens onderbouwd te zijn er golden andere onvoorstelbare normen.
Dat zoiets dan toch beweerd is, is gewoon de foute propaganda, De foute propaganda die toen ook gehanteerd werd.
Als we het over zwartjassen hebben dan heb ik het niet over rassen als is er een sterke correlatie.
Vrijwel niets is zoals het op het eerste gezicht lijkt.
03-10-2019, 19:57 door Anoniem
Door Anoniem: Dus vanaf nu kunnen we officieel stellen dat de AP enkel in het leven geroepen is om uitgerangeerde politici 'n luizenbaantje aan te bieden.
Ah, iemand die het snapt!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.