image

AP berispt GGZ-instelling na overnemen oude dataset met patiëntdata

maandag 16 december 2019, 11:00 door Redactie, 14 reacties

De Autoriteit Persoonsgegevens (AP) heeft de Utrechts GGZ-instelling Akwa GGZ berispt voor het overnemen van onvoldoende geanonimiseerde gezondheidsgegevens. Daarmee heeft Akwa GGZ gezondheidsgegevens verwerkt wat door de AVG verboden is. Organisaties mogen alleen gezondheidsgegevens verwerken als ze over een wettelijke uitzonderingsgrond voor het verbod beschikken. Iets wat bij Akwa GGZ niet het geval was.

De dataset was afkomstig van Stichting Benchmark Geestelijke Gezondheidszorg (SBG) en werd gebruikt voor het ontwikkelen van kwaliteitsstandaarden en meetinstrumenten. Akwa GGZ wilde de data gebruiken voor de doorontwikkeling van Routine Outcome Monitoring (ROM). ROM is een tool om de kwaliteit in de zorg te verbeteren. "We hebben destijds die verarmde dataset van SBG overgenomen op verzoek van het werkveld", zo liet directeur Dominique Vijverberg eerder dit jaar weten. Afgelopen mei kwam de Autoriteit Persoonsgegevens al met een voorlopig standpunt dat het hier toch om persoonsgegevens ging.

Patiënten zouden voor de verwerking dan hun toestemming hebben moeten geven of er zou een wettelijke grondslag benodigd zijn. Na het voorlopige standpunt besloot de GGZ-instelling om de dataset in quarantaine te plaatsen en partijen hier geen toegang meer toe te geven. In augustus stelde de instelling stelt dat de database strijdig was met de manier van werken omdat het alleen werkt met gegevens waarvoor de patiënt uitdrukkelijk toestemming heeft gegeven. Daarop werd besloten de oude dataset te vernietigen.

Uit onderzoek van de AP blijkt dat SBG op de dataset onvoldoende technische waarborgen heeft getroffen om de risico’s op herleidbaarheid weg te nemen. "De ROM-data zijn daarmee niet anoniem en zijn tot de persoon herleidbare gezondheidsgegevens. Akwa GGZ heeft begin 2019 de dataset overgenomen van SBG. Daarmee hebben SBG en Akwa GGZ dus persoonsgegevens verwerkt over de gezondheid van patiënten", aldus de toezichthouder.

Er is dan ook sprake van een verwerking van persoonsgegevens die zonder wettelijke uitzonderingsgrond verboden is. Aangezien SBG inmiddels niet meer bestaat als rechtspersoon, heeft de AP besloten om alleen een handhavende maatregel aan Akwa GGZ op te leggen. Dat is in dit geval een berisping omdat Akwa GGZ de dataset in quarantaine heeft geplaatst en daarna heeft vernietigd.

"We zijn blij dat de uitspraak er nu is, dat deze duidelijk is en dat het onderzoek hiermee is afgerond. De uitspraak heeft geen consequenties voor onze huidige werkwijze. Wij werken uitsluitend nog met gepseudonimiseerde gegevens waarvoor de patiënt uitdrukkelijk toestemming heeft gegeven", stelt Vijverberg in een reactie. Volgens Akwa GGZ laat de uitspraak zien dat ROM-data persoonsgegevens zijn.

Reacties (14)
16-12-2019, 11:35 door Anoniem
Bij de AP werken nietsnutten. Ze kunnen de oud-bestuurders van SBG ter verantwoording roepen en hen sanctioneren.
16-12-2019, 13:01 door Anoniem
Door Anoniem: Bij de AP werken nietsnutten. Ze kunnen de oud-bestuurders van SBG ter verantwoording roepen en hen sanctioneren.
En de toegevoegde waarde is? Het is een berisping. Laat ze hun tijd vooral besteden aan nuttige dingen.
16-12-2019, 13:34 door Anoniem
Door Anoniem: Bij de AP werken nietsnutten. Ze kunnen de oud-bestuurders van SBG ter verantwoording roepen en hen sanctioneren.

Gelukkig heb jij wel een echte grote-mensen baan en excelleer je daarin zo dat je onder werktijd nog ruimte kan vinden om op een forum als deze anoniem je gedachten te posten - goed werk!
16-12-2019, 13:50 door Anoniem
"Berispt"

Nou, dat zal ze leren!
16-12-2019, 16:04 door Anoniem
Door Anoniem: "Berispt"

Nou, dat zal ze leren!
Tja... Ze hadden er tenminste over nagedacht en ook dingen geregeld voor de anonimiteit. Daarnaast hebben ze ook direct actie ondernomen om de data ontoegankelijk te maken.

Daar kan menig bedrijf nog wat van leren inderdaad.
16-12-2019, 17:39 door Anoniem
Waar zaten de eind-verantwoordelijke(n) van Stichting Benchmark Geestelijke Gezondheidszorg met hun hoofd?
Waar dachten ze bij de Akwa GGZ per sé mee aan de slag te moeten gaan??
Dit lijkt echt een enorme beginnersfout van niet te vergeven proporties!

Elke maar dan ook elke set van onderzoek data voor medicijnen toelating, medische studie of onderzoek trajecten moeten al enorm lang geanonimiseerd worden aangeboden en ook enkel geanonimiseerd verwerkt.
Dat was specifiek in de medische wereld al heel lang de norm voordat de AP überhaupt was opgericht.
Ook voordat de GDPR richtlijn bestond.
Menig gedupeerde heeft bij het niet nakomen van die norm destijds ook een schadevergoeding gekregen en/of werd geneld dat de verantwoordelijken zijn ontslagen.

De berisping door de Nederlandse AP laat uiteraard vervolgstappen door Justitie en/of privaatrechtelijke compensatie open.
Natuurlijk zijn er in het verleden zaken geweest waar een rechter een streep zette door wat strenger omschreven aanklachten door Agentschappen van de overheid. Denk aan telecom zaken die de Opta bijvoorbeeld vonniste.
Maar an zich waren meerdere van die kwesties eerder bij dunne onderbouwing bijgesteld dan dat de kwestie nietig was verklaard.
Nou schijnen leidinggevenden bij GGZ instellingen nog altijd een problematisch gebrek aan feeling met ICT discussies te hebben. Ondanks cursussen waar de lui lachwekkend en nonchalant over doen.
Anno 2019 lijkt de berisping door de AP dus een tamelijk wijfelachtige zet.
16-12-2019, 20:42 door karma4
Door Anoniem: Bij de AP werken nietsnutten. Ze kunnen de oud-bestuurders van SBG ter verantwoording roepen en hen sanctioneren.
Dat het nietsnutten zijn dat ben ik met je eens.
De reden is echter dat ze de wetten en verantwoordelijkheden niet kennen. IGJ VWS is de toezichthouder voor zorg inclusief ggz. Wat het AP nu mogelijk gedaan heeft is een steun voor degenen die in een GGZ instelling zitten en een gevaar voor anderen zijn. P. de moordenaar van Faber had zeker ook een Rom indicatie met naam en meer. P beriep zich op zijn recht op privacy met het niet mogen delen van gegevens waardoor hij op verlof kon. Inderdaad stelletje prutsers bij het AP.
17-12-2019, 06:27 door Anoniem
Door Anoniem: Waar zaten de eind-verantwoordelijke(n) van Stichting Benchmark Geestelijke Gezondheidszorg met hun hoofd?
Waar dachten ze bij de Akwa GGZ per sé mee aan de slag te moeten gaan??
Dit lijkt echt een enorme beginnersfout van niet te vergeven proporties!
Akwa GGZ is geen instelling die mensen behandelt, en ze besloten niet zomaar de ROM verder te ontwikkelen omdat ze op een ochtend wakker werden met dat idee, het is de opvolger van Stichting Benchmark Geestelijke Gezondheidszorg, het doorontwikkelen van de ROM is precies waar ze voor zijn en ze hebben de data overgenomen waar voorganger SBG mee werkte.

Dat wil niet zeggen dat daarmee alles koek en ei is. Het gaat om gepseudonimiseerde bijzondere persoonsgegevens en de hedendaagse mogelijkheden om dat terug te herleiden naar iemands identiteit maken dat pseudonimiseren niet afdoende is, aldus deze groep patiënten, verpleegkundigen, psychologen en psychiaters die zich er daarom tegen verzet:
https://www.stopbenchmark.com/media/persbericht/10-08-2019/
17-12-2019, 06:32 door Anoniem
Door karma4: De reden is echter dat ze de wetten en verantwoordelijkheden niet kennen. IGJ VWS is de toezichthouder voor zorg inclusief ggz.
Wat wil je daar precies mee zeggen? Je lijkt ermee te suggeren dat AP niets over privacyschendingen bij zorginstellingen kan zeggen omdat daar al een andere toezichthouder actief is. Is dat wat je bedoelt?
17-12-2019, 10:49 door Anoniem
Door Anoniem:
Door Anoniem: Bij de AP werken nietsnutten. Ze kunnen de oud-bestuurders van SBG ter verantwoording roepen en hen sanctioneren.
En de toegevoegde waarde is? Het is een berisping. Laat ze hun tijd vooral besteden aan nuttige dingen.

Ik vind inderdaad een sanctie in deze situatie geen toegevoegde waarde hebben. Akwa GGZ neemt de uitspraak ter harte en werkt volop mee. Men had ook al eerder maatregelen genomen tot anonimisering in verhouding tot het doel, maar die bleken niet afdoende. Sanctioneren laat ik liever in situaties waarin een organisatie zichzelf de verzwarende omstandigheid dat ze aan alle kanten de boel lopen te frustreren op de hals laden. En de AP heeft de bevoegdheid het bij een berisping of waarschuwing te laten.
17-12-2019, 14:23 door karma4
Door Anoniem:
Wat wil je daar precies mee zeggen? Je lijkt ermee te suggeren dat AP niets over privacyschendingen bij zorginstellingen kan zeggen omdat daar al een andere toezichthouder actief is. Is dat wat je bedoelt?
Wat ik er mee wil zeggen is twee zaken.
1/ ggz verwarde mensen is een hoek waar dreigingen voor anderen vandaan kunnen komen. Het ap is geen medicus nog handhavende politie. Ze acteren nu als een verkeersregelaar die de brandweer berispt wegens te hard rijden op weg naar een Brand.
2/ het ap uit zich alsof ze de rechtspraak hoog hebben zitten.
Gezien de confictetende gebieden met toezicht hadden ze zich daarin moeten verdiepen. Lees hu rapport en je ziet het onbegrip van de andere toezichtsbelangen.

We hebben ene Thijs nu in het nieuws met hetzelfde als verlengde en de Zorg ondernemers die wel heel goed voor zichzelf zorgen. Er gaat uets goed mis met het privacy argument waarbij de foute figuren onevenredig profiteren.
17-12-2019, 16:51 door Anoniem
Door karma4: Wat ik er mee wil zeggen is twee zaken.
1/ ggz verwarde mensen is een hoek waar dreigingen voor anderen vandaan kunnen komen. Het ap is geen medicus nog handhavende politie. Ze acteren nu als een verkeersregelaar die de brandweer berispt wegens te hard rijden op weg naar een Brand.
Het gaat hier alleen helemaal niet om een instelling die patiënten behandelt. Dit is een club die de ROM doorontwikkelt, die ellenlange vragenlijsten vol ambivalente vragen waar patiënten om de paar maanden mee lastiggevallen worden omdat de verzekeraars denken dat er iets nuttigs mee wordt gemeten. Dit is een beslissing die geen enkele impact heeft op de behandeling van mensen of het risico dat ze voor anderen vormen.

Dit is niet een verkeersregelaar die de brandweer berispt, dit is een verkeersregelaar die een te hard rijdende boekhouder berispt die denkt dat hij hard mag rijden omdat hij gegevens verwerkt die door de brandweer worden aangeleverd om verzekeraars van een algemeen beeld te kunnen voorzien.
2/ het ap uit zich alsof ze de rechtspraak hoog hebben zitten.
Gezien de confictetende gebieden met toezicht hadden ze zich daarin moeten verdiepen. Lees hu rapport en je ziet het onbegrip van de andere toezichtsbelangen.
IGJ, dat jij noemde, en AP melden beiden op hun website dat ze met elkaar samenwerken:
https://autoriteitpersoonsgegevens.nl/nl/over-de-autoriteit-persoonsgegevens/nationale-samenwerking
https://www.igj.nl/onderwerpen/klacht-of-vraag-over-zorg-of-jeugdhulpverlening/klachtbeeld-2018/samenwerking-met-veldpartijen
Ik denk dat jij problemen ziet die die toezichthouders zelf niet zien. Als er werkelijk conflicten zijn waar ze niet uit kunnen komen dan zal daar hoogstwaarschijnlijk conflicterende wetgeving aan ten grondslag liggen, en dan is het de rechter of de wetgever die knopen erover door te hakken heeft.
18-12-2019, 01:10 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Bij de AP werken nietsnutten. Ze kunnen de oud-bestuurders van SBG ter verantwoording roepen en hen sanctioneren.
En de toegevoegde waarde is? Het is een berisping. Laat ze hun tijd vooral besteden aan nuttige dingen.

Ik vind inderdaad een sanctie in deze situatie geen toegevoegde waarde hebben. Akwa GGZ neemt de uitspraak ter harte en werkt volop mee. Men had ook al eerder maatregelen genomen tot anonimisering in verhouding tot het doel, maar die bleken niet afdoende. Sanctioneren laat ik liever in situaties waarin een organisatie zichzelf de verzwarende omstandigheid dat ze aan alle kanten de boel lopen te frustreren op de hals laden. En de AP heeft de bevoegdheid het bij een berisping of waarschuwing te laten.

Hé?? Hebt u de verhandelingen over de AP wel meegekregen?
De AP is expliciet bedoeld om niet enkel te functioneren als verbalende of verhalende organisatie.
De AP is juist ook als inperkende en afremmende organisatie bedoeld.
Waarbij juist door minister en kamer eensluidend werd vastgesteld dat de AP op meerdere wijzen de voorzorg functie om binnen het toelaatbare te blijven uit zichzelf regelt.
En niet pas nadat een organisatie door de AP erop wordt gewezen!

Toch zegt u echter dat u sanctioneren liever beperkt tot situaties waarin een organisatie de boel aan alle kanten uit de klauwen liet lopen.
Kunt u dat onderbouwen en dat wellicht afzetten langs de volgende elementen.

1. Als iemand voorbeeldig om zich heen kijkend een kruising oversteekt en door rood rijd is en blijft de overtreding strafbaar!
2. Als iemand onbedoeld te hard reed kan er mits voldoende onderbouwd principieel verzachtende of ontlastende redenen bieden.
3. Als iemand nou in eerste instantie onbezorgd en bijkomend onzorgvuldig aan de slag is gegaan met de data,
maar daarna welwillend maar in beginsel vervolgens nog steeds niet geheel zelfstandig alle consequenties en mogelijkheden nagaat-overziet-doorziet dan voldoet die niet aan hoe de AP bedoeld is.
4. Ik denk dat we nou ook niet meteen in extreem zware situaties oordelen belanden als de AP toch wat nadrukkelijker sanctioneert.
Omdat de AP duidelijke feiten kan constateren.
Ze werken niet op basis van een half verhaal / een vooropgezet gefabriceerd prakje van "halve" feiten of enkel rook signalen tot uitspraken en sanctionering over.
Dit in tegenstelling bijvoorbeeld tot verhaal zaken zoals ambtenaren van de Belastingdienst die zelf wel erg voorbarig
te werk gingen.
5. Volgens mij zijn er tal van argumenten om tot zwaardere sanctionering voor de overtreding door de instelling te komen;
Niet alleen een meer afhankelijke kwetsbare situatie van personen ten opzichte van de GGZ,
de AP moest volgens de wetgever ook een rem op recidive gaan bieden,
ook is er het maatschappelijk belang van gevoelige data,
dan is er nog een mogelijk groter leer-effect en
niet in de laatste plaats moet een beoordelaar er in beginsel toch van uit dat overtreding in dit soort gevallen juist een onevenredige deuk in het vertrouwen geeft.
Bijvoorbeeld richting toekomstige onderzoekstrajecten die uit zichzelf al zorgvuldiger aan de slag zouden moeten/kunnen gaan, niet in de laatste plaats ook een deuk in vertrouwen bij personen van wie de data ten slotte wel is geleend.
17-01-2020, 18:22 door Anoniem
En toch gaat AkWA weer door?

Zie:

https://www.zorgictzorgen.nl/if-it-looks-like-benchmarking-sounds-like-it-quacks-like-it-it-must-be-benchmarking/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.