Apotheek meldde patiënten zonder toestemming aan bij LSP
Een apotheek heeft patiënten zonder toestemming bij het landelijk schakelpunt (LSP) aangemeld, zo blijkt uit een vonnis van de rechtbank Midden-Nederland. De zaak was aangespannen door een vrouw die vond dat de Autoriteit Persoonsgegevens tegen apothekers en de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ), beheerder van het LSP, handhavend moest optreden voor het overtreden van de AVG.
Via het LSP kunnen zorgverleners zoals huisartsen en specialisten medische gegevens uit elektronische patiëntendossiers uitwisselen. In de rechtszaak speelden twee vragen met betrekking tot het LSP. Ten eerste moesten de apothekers volgens de vrouw worden aangepakt omdat die onterecht patiënten zouden aanmelden. Ten tweede zou het informatiemateriaal van LSP-beheerder VZVZ ondeugdelijk zijn, waardoor apothekers hun patiënten niet goed voorlichten en de aanmeldingen bij het LSP daardoor onterecht zijn. De vrouw had de Autoriteit Persoonsgegevens gevraagd om handhavend hier tegen op te treden. De privacytoezichthouder wees het verzoek van de vrouw in mei 2018 af.
De vrouw ging in beroep en kreeg in december 2018 gedeeltelijk gelijk. Dat was voor haar niet voldoende en ze tekende opnieuw beroep aan. De vrouw wilde dat er handhavend zou worden opgetreden tegen het structureel onjuist aanmelden van personen zonder dat deze personen daarvoor de vereiste geldige toestemming hebben verleend, het ontbreken van uniforme procedures voor het verkrijgen, valideren, registreren en doorgeven van geldige toestemming voor het opvragen van medische gegevens in het LSP en het structureel ontbreken van procedures voor het opvragen van informatie over verleende toestemmingen.
Aanmelden zonder toestemming
De Autoriteit Persoonsgegevens had een bureauonderzoek uitgevoerd naar acht apothekers. Bij zes daarvan werden geen misstanden vastgesteld. De twee resterende apotheken gingen wel de fout in. De toestemmingsformulieren van één van de twee apotheken was onvoldoende specifiek om als voldoende informatie te kunnen worden gezien. Volgens deze apotheek zijn er echter geen patiënten aangemeld op basis van alleen dit formulier.
De andere apotheek hanteerde van februari tot en met september 2017 een 'opt-out'-regeling. Patiënten werden zonder hun expliciete toestemming bij het LSP aangemeld. VZVZ betaalt apotheken voor het aanmelden van patiënten bij het LSP. "De opt-in vergoeding is een tegemoetkoming voor uw inspanning voor het vragen en registreren van de toestemming van de patiënt. De opt-in vergoeding is een variabel bedrag, gebaseerd op het aantal toestemmingen dat is aangemeld bij het Landelijk Schakelpunt. U ontvangt deze vergoeding eenmalig per toestemming", aldus de organisatie.
In het geval van de ene apotheek bleek die patiënten zonder hun toestemming aanmeldde. Aan deze apotheek is een last opgelegd, zo laat de rechter weten. Tijdens de zitting verklaarde VZVZ hoe zij toezicht houdt op de werkwijze van de apothekers door regelmatig steekproeven te doen en daarbij navraag te doen naar de door de apothekers gevolgde procedures van aanmelding. In het systeem van de zorgverlener moet worden vermeld hoe de toestemming tot stand is gekomen en welke folder de patiënt heeft meegekregen.
Volgens de rechter kan VZVZ niet voorkomen dat er af en toe onjuiste aanmeldingen plaatsvinden. "Want het blijft mensenwerk, maar zij doet er alles aan om de apothekers ervan te doordringen dat aanmelding alleen kan nadat uitdrukkelijke toestemming is verleend door de patiënt." Ook stelde de rechter dat er geen signalen zijn dat de apothekers, die door de vrouw werden genoemd, zich niet zouden houden aan hun verplichting om patiënten voldoende voor te lichten en dat zij zonder uitdrukkelijke toestemming patiënten zouden aanmelden bij het LSP.
Inrichting LSP
De vrouw wilde ook dat er zou worden opgetreden tegen de manier waarop het LSP is ingericht, omdat apothekers patiënten zonder toestemming kunnen aanmelden. "VZVZ heeft erkend dat het systeem, waarbij een mondelinge toestemming ook mag, niet waterdicht is en er fouten gemaakt kunnen worden. Het kan immers voorkomen dat iemand aan de balie bij een apotheek de reikwijdte van de toestemming niet overziet of dat een medewerker ten onrechte uitgaat van toestemming, terwijl die niet is gegeven, of dat voor een ieder duidelijk is dat er geen toestemming is gegeven maar dit verkeerd wordt vermeld in het systeem van de apotheek en het BSN dan toch wordt aangemeld. Dit is inherent aan een systeem waarin toestemming ook mondeling mag worden verleend en aanmelding mensenwerk is", aldus de rechter.
Het feit dat er ook fouten gemaakt kunnen worden is volgens de rechter niet voldoende om nadere maatregelen noodzakelijk te vinden. "De AVG vereist dat ook niet", merkt de rechter op. Ook wat betreft het informatiemateriaal kon de rechter zich niet in de mening van de vrouw vinden. De folders bevatten geen onjuiste, onduidelijke of ongeoorloofde informatie, concludeert de rechtbank. Die stelt in de conclusie dat de Autoriteit Persoonsgegevens de handhaving terecht alleen heeft mogen beperken tot de apotheek die mensen zonder toestemming bij het LSP aanmeldde en daarmee de AVG overtrad.
"Voor handhaving in de richting van de andere apothekers bestaat geen bevoegdheid. Er is –anders dan eiseres betoogt – niet op grote schaal sprake van onjuiste, niet verifieerbare en niet verantwoorde registratieprocedures met betrekking tot toestemmingsverlening voor openstelling van uitwisseling van medische persoonsgegevens via het LSP. Het beroep van eiseres slaagt niet", zo besluit het vonnis.
Via de website Volgjezorg.nl kan toestemming voor het delen van gegevens via het LSP worden ingetrokken.
Aan de andere kant weet mijn zorgverzekeraar natuurlijk precies wat ik wel en niet mankeer via de declaraties welke ik ooit heb ingediend.
Dit zomaar benoemen in geval van privacy slaat helemaal nergens op.
Goede zaak dat er wordt opgetreden. Jammer dat de gevolgen voor de daders veel te mager zijn.
Ik was in de veronderstelling dat het hele EPD de deur uit was gedaan door de overheid juist wegens privacy redenen.
Ik was dan ook vervent tegenstander hiervan.
op een dag hoorde ik dat er stiekem in de tussentijd dus het LSP was opgericht door VZVZ.
Ik denk bij mezelf toch eens voor de grap kijken.
blijkt dat ik er in sta!?!?!
Ik hele boze mail geschreven en verklaring dat ik toch echt toestemming had gegeven hiervoor met enorm arrogante toon erbij.
ik ontplofte bijna.
Meteen laten uitschrijven uiteraard.
Zal binnenkort weer eens kijken of ze me er toch weer in hebben gezet.
Het EPD was nog iets vanauit de overheid meen ik, die VZVZ club is volgens mij gewoon door een of andere handige harry opgezet notabene.
Verbieden en afschaffen die club!!!
Absoluut recht gaat alleen over Goederenrecht en Auteursrecht en Octrooirecht.
Dit zomaar benoemen in geval van privacy slaat helemaal nergens op.
Het rare is dat privacy voorvechters dat idee van absolutie met niemand mag wat van je weten zo naar buiten brengen.
Gedrag van een verkeershufter en je wordt gefilmd of bekeurd .. privacyinbreuk. Recht op verkeershufter zijn en anderen schade berokkenen onder de noemer van privacy. Dat is zeer ergerlijk.
Absoluut recht gaat alleen over Goederenrecht en Auteursrecht en Octrooirecht.
Dit zomaar benoemen in geval van privacy slaat helemaal nergens op.
Het rare is dat privacy voorvechters dat idee van absolutie met niemand mag wat van je weten zo naar buiten brengen.
Gedrag van een verkeershufter en je wordt gefilmd of bekeurd .. privacyinbreuk. Recht op verkeershufter zijn en anderen schade berokkenen onder de noemer van privacy. Dat is zeer ergerlijk.
Wat een onzin, dat hele systeem is te absurd voor woorden. Elk individu moet bewust zelf expliciet toestemming verlenen voor uitwiseling data en niemand anders moet dat kunnen doen. Privacy by design, beste rechter. Opdoeken die club en opnieuw beginnen. Ook het vonnis is belachelijk, gauw in beroep.
Precies, 75 jaar geleden vond ook niemand het vreemd dat je precies registreerde wat iemands geloof was.
Totdat een duits-sprekende snorremans deze Nederlandse ambtenaren erg handig vond voor transport selectie naar Polen.
In 1931-19239 dacht niemand na. Deze vrouw wel in 2018-2020.
Gelukkig zullen ze over 75 jaar deze vrouw wel herinneren en de typische rupjesnooitgenoeg-roepers zullen in vergetelheid misschien wel eindigen in het equivalent van een goederentrein.
Ik was in de veronderstelling dat het hele EPD de deur uit was gedaan door de overheid juist wegens privacy redenen.
Ik was dan ook vervent tegenstander hiervan.
op een dag hoorde ik dat er stiekem in de tussentijd dus het LSP was opgericht door VZVZ.
Ik denk bij mezelf toch eens voor de grap kijken.
blijkt dat ik er in sta!?!?!
Ik hele boze mail geschreven en verklaring dat ik toch echt toestemming had gegeven hiervoor met enorm arrogante toon erbij.
ik ontplofte bijna.
Meteen laten uitschrijven uiteraard.
Zal binnenkort weer eens kijken of ze me er toch weer in hebben gezet.
Het EPD was nog iets vanauit de overheid meen ik, die VZVZ club is volgens mij gewoon door een of andere handige harry opgezet notabene.
Verbieden en afschaffen die club!!!
Ik zou me iets meer verdiepen in de materie voordat je nogal boude uitspraken doet;
Ja, het LSP is de opvolger van het EPD. Daar is niets stiekums aan.
VZVZ is door de overheid aangewezen om het LSP op te zetten en te beheren. Allemaal volkomen transparant.
Het EPD is afgeschoten vanwege privacy bezwaren inderdaad. Het grootste bezwaar was dat er 1 centrale database zou zijn die alle informatie zou bevatten. En dat is inderdaad wachten op een hack die dan ook grote gevolgen heeft.
Het LSP (Landelijk SchakelPunt) doet het anders: op basis van toestemming van de patient kan data worden opgevraagd bij verschillende partijen (huisarts, apotheek, etc) door bevoegden.
Ik kan je uit ervaring vertellen dat er goed is nagedacht over de opzet en dat het behoorlijk veilig is ook. De zwakste schakel blijft (zoals altijd) de mens zelf.
In 1931-19239 dacht niemand na. Deze vrouw wel in 2018-2020.Gelukkig zullen ze over 75 jaar deze vrouw wel herinneren en de typische rupjesnooitgenoeg-roepers zullen in vergetelheid misschien wel eindigen in het equivalent van een goederentrein.
In de jaren 30 was het anti overheid en wij weten het beter met onze eigen rechten onze eigen privacy. Dat werd nadat de macht overgenomen was met het recht op lebensraum als recht op privacy. Niets is wat lijkt, de werkelijke bedoelingen komen later naar boven. Weet je zeker dat je voor de goede zaak bent? Daar waren de zwartjassen ook van overtuigd.
Ik was in de veronderstelling dat het hele EPD de deur uit was gedaan door de overheid juist wegens privacy redenen.
Ik was dan ook vervent tegenstander hiervan.
op een dag hoorde ik dat er stiekem in de tussentijd dus het LSP was opgericht door VZVZ.
Ik denk bij mezelf toch eens voor de grap kijken.
blijkt dat ik er in sta!?!?!
Ik hele boze mail geschreven en verklaring dat ik toch echt toestemming had gegeven hiervoor met enorm arrogante toon erbij.
ik ontplofte bijna.
Meteen laten uitschrijven uiteraard.
Zal binnenkort weer eens kijken of ze me er toch weer in hebben gezet.
Het EPD was nog iets vanauit de overheid meen ik, die VZVZ club is volgens mij gewoon door een of andere handige harry opgezet notabene.
Verbieden en afschaffen die club!!!
Ik zou me iets meer verdiepen in de materie voordat je nogal boude uitspraken doet;
Ja, het LSP is de opvolger van het EPD. Daar is niets stiekums aan.
VZVZ is door de overheid aangewezen om het LSP op te zetten en te beheren. Allemaal volkomen transparant.
Het EPD is afgeschoten vanwege privacy bezwaren inderdaad. Het grootste bezwaar was dat er 1 centrale database zou zijn die alle informatie zou bevatten. En dat is inderdaad wachten op een hack die dan ook grote gevolgen heeft.
Het LSP (Landelijk SchakelPunt) doet het anders: op basis van toestemming van de patient kan data worden opgevraagd bij verschillende partijen (huisarts, apotheek, etc) door bevoegden.
Ik kan je uit ervaring vertellen dat er goed is nagedacht over de opzet en dat het behoorlijk veilig is ook. De zwakste schakel blijft (zoals altijd) de mens zelf.
En waar mensen werken worden fouten gemaakt.
Precies, 75 jaar geleden vond ook niemand het vreemd dat je precies registreerde wat iemands geloof was.
Totdat een duits-sprekende snorremans deze Nederlandse ambtenaren erg handig vond voor transport selectie naar Polen.
In 1931-19239 dacht niemand na. Deze vrouw wel in 2018-2020.
Gelukkig zullen ze over 75 jaar deze vrouw wel herinneren en de typische rupjesnooitgenoeg-roepers zullen in vergetelheid misschien wel eindigen in het equivalent van een goederentrein.
Maar volgens mij mis je eigenlijk al het realiteitsbesef, dat blijft wel uit je topic. 75 jaar geleden wist men ook medisch nog niet zoveel. En als er iets fout ging... Acht... Dan stierf er iemand. Nu staat direct de inspectie op je voordeur en worden er allemaal lastige vragen besteld.
Want vooral het medisch personeel is verantwoordelijk hiervoor. Als er iets fout gaat, is het vooral hun fout.
Medicatie is een stuk complexer geworden dan 75 jaar geleden. Echt een heel stuk complexer. Goede uitwisseling van gegevens kan hierbij van levensbelang zijn. Nog afgezien het ook heel veel dubbel onderzoek kan schelen.
Dus nee, volgens mis jij zoveel besef, dat ik niet weet of ik nu moet huilen, of lachten.
Is natuurlijk niet veilig, het feit dat iemand gekoppeld aan het LSP lijkt me hier voldoende bewijs voor. Een waterdicht registratie system lijkt me (met excuses aan Werner von Brown) geen rocket science. Formuliertje (eventueel online) invullen met de vraag voor een akkoord, handtekeningetje zetten, daarna mail naar gebruiker (eventueel een brief met een telefoonnummer) met de vraag om het akkoord te ratificeren. Alleen na deze stappen goed doorlopen te hebben opname in het LSP (ik heb helemaal niets tegen het LSP, maar als we in dit land een afspraak maken moet dit ook op een juiste en wettelijke correcte wijze uitgevoerd worden en geen onzin van een apotheek die iemand ongevraagd op laat nemen in het LSP) .
En we vragen ons soms af, waarom er zoveel overhead in de zorg is.
Steevast heb ik dit elke keer geweigerd. Ook bij huisarts of andere dienstverleners nooit een mondelinge of schriftelijke toestemming gegeven.
Tijdje terug bij VZVZ opgevraagd of ik en wat er geregistreerd staat in het LSP.
Als alles heel zuiver zou werken dan had ik bericht terug moeten krijgen dat ik überhaupt niet bekend ben bij het LSP.
Maar ik was wel bekend bij LSP, ik heb de indruk dat iedereen standaard opgenomen wordt om de toestemmingen te kunnen registreren.
Omgekeerde wereld dit. ik wil helemaal niet dat er ook maar iets van mij in dit systeem bestaat.
Het feit dat je als persoon ongevraagd opgenomen wordt met de vermelding dat je GEEN toestemming geeft is al dubieus.
Dat het fraude wel heel makkelijk maakt begrepen ze ook al niet bij Menzis.
Ik kan je uit ervaring vertellen dat er goed is nagedacht over de opzet en dat het behoorlijk veilig is ook. De zwakste schakel blijft (zoals altijd) de mens zelf.
Persoonlijk vind ik dat niet logisch.
Ik was in de veronderstelling dat het hele EPD de deur uit was gedaan door de overheid juist wegens privacy redenen.
Ik was dan ook vervent tegenstander hiervan.
op een dag hoorde ik dat er stiekem in de tussentijd dus het LSP was opgericht door VZVZ.
Ik denk bij mezelf toch eens voor de grap kijken.
blijkt dat ik er in sta!?!?!
Ik hele boze mail geschreven en verklaring dat ik toch echt toestemming had gegeven hiervoor met enorm arrogante toon erbij.
ik ontplofte bijna.
Meteen laten uitschrijven uiteraard.
Zal binnenkort weer eens kijken of ze me er toch weer in hebben gezet.
Het EPD was nog iets vanauit de overheid meen ik, die VZVZ club is volgens mij gewoon door een of andere handige harry opgezet notabene.
Verbieden en afschaffen die club!!!
Ik zou me iets meer verdiepen in de materie voordat je nogal boude uitspraken doet;
Ja, het LSP is de opvolger van het EPD. Daar is niets stiekums aan.
VZVZ is door de overheid aangewezen om het LSP op te zetten en te beheren. Allemaal volkomen transparant.
Het EPD is afgeschoten vanwege privacy bezwaren inderdaad. Het grootste bezwaar was dat er 1 centrale database zou zijn die alle informatie zou bevatten. En dat is inderdaad wachten op een hack die dan ook grote gevolgen heeft.
Het LSP (Landelijk SchakelPunt) doet het anders: op basis van toestemming van de patient kan data worden opgevraagd bij verschillende partijen (huisarts, apotheek, etc) door bevoegden.
Ik kan je uit ervaring vertellen dat er goed is nagedacht over de opzet en dat het behoorlijk veilig is ook. De zwakste schakel blijft (zoals altijd) de mens zelf.
en dan met name het: "Ik kan je uit ervaring vertellen dat er goed is nagedacht over de opzet en dat het behoorlijk veilig is ook."
nou.. volgens dit betoog blijkbaar niet dus.
daarbij, hoe weet jij dat er goed over nagedacht was en dat het zo veilig is? heb je kennis van de gedachtegang en veilige opzet?
dat kan enkel als je er bij betrokken bent lijkt me.
En als je er inderdaad bij betrokken was waarom sla je dan het betoog in de wind en geef je als antwoord dat het zo veilig en doordacht is?
Dat is best ernstig want dat geeft aan dat je niet openstaat voor verbetering maar je vastklampt aan een onwaarheid.
Dat geeft weer aan dat je dus helemaal niet doordacht bent en als dat op zijn beurt weer waar is dan begin te twijfelen aan alles wat je zegt en dus nu ook twijfel aan de veiligheid van het systeem.
en wat betreft de zwakste schakel, de mens, we hebben het hier of digitalisering.
Dat zou juist de fouten van de mens er uit kunnen filteren... door geautomatiseerd te controleren of iemand daadwerkelijk toestemming heeft gegeven.
maar dat gebeurd... ergo: het system werkt niet.
maar ik denk dat je dan ook bedoelde dat de mens de zwakste schakel was in dit geval bij het ontwerpen van het system, niet de gebruikers er van.
Steevast heb ik dit elke keer geweigerd. Ook bij huisarts of andere dienstverleners nooit een mondelinge of schriftelijke toestemming gegeven.
Tijdje terug bij VZVZ opgevraagd of ik en wat er geregistreerd staat in het LSP.
Als alles heel zuiver zou werken dan had ik bericht terug moeten krijgen dat ik überhaupt niet bekend ben bij het LSP.
Maar ik was wel bekend bij LSP, ik heb de indruk dat iedereen standaard opgenomen wordt om de toestemmingen te kunnen registreren.
Omgekeerde wereld dit. ik wil helemaal niet dat er ook maar iets van mij in dit systeem bestaat.
Het feit dat je als persoon ongevraagd opgenomen wordt met de vermelding dat je GEEN toestemming geeft is al dubieus.
* Je wilt niet iedere keer de zelfde vraag krijgen.
* Het kan niet zo zijn, dat jij later een keer zegt dat het nooit aan jouw gevraagd is en dat je dit wel wou hebben.
* Je wilt dat je gegevens niet uitgewisseld worden. Dat moet bewaard worden, dat jij geen toestemming geeft voor uitwisselingen. Als hierdoor later mogelijke gevolgen voor niet goed werkende medicatie is, of nog erger medische fouten uit voorkomen. Dan willen niet de medische personen hiervoor verantwoordelijk zijn.
Verder kunnen er, ook als je geen toestemming hebt gegeven, toch gegevens ontstaan. Naar aanleiding van dit artikel heb ik nog eens op volgjezorg.nl gekeken en zag daar dat een specialist waar ik onlangs ben geweest een (mislukte) poging heeft gedaan om een medicatieoverzicht bij mijn apotheek op te vragen via LSP. Als ze dit niet hadden vastgelegd had ik niet kunnen zien dat het geprobeerd is.
Steevast heb ik dit elke keer geweigerd. Ook bij huisarts of andere dienstverleners nooit een mondelinge of schriftelijke toestemming gegeven.
Tijdje terug bij VZVZ opgevraagd of ik en wat er geregistreerd staat in het LSP.
Als alles heel zuiver zou werken dan had ik bericht terug moeten krijgen dat ik überhaupt niet bekend ben bij het LSP.
Maar ik was wel bekend bij LSP, ik heb de indruk dat iedereen standaard opgenomen wordt om de toestemmingen te kunnen registreren.
Omgekeerde wereld dit. ik wil helemaal niet dat er ook maar iets van mij in dit systeem bestaat.
Het feit dat je als persoon ongevraagd opgenomen wordt met de vermelding dat je GEEN toestemming geeft is al dubieus.
Hier afgelopen week het zelfde meegemaakt. Twee huisartspraktijken hebben me aangemeld in het LSP. De een heb ik nooit toestemming gegeven en bij de ander heb ik expliciet aangegeven dat ik het niet wilde.
Dat LSP is gevaarlijk. Geen controle en zelfs incentives voor praktijken om mensen aan te melden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.