Ik schreef er al eerder over (zoek maar eens op “privacy” in mijn blogs ): wat mij betreft staat privacy goede gegevensuitwisseling niet in de weg. Het kan zelfs leiden tot hele mooie innovaties. “Privacy by design” is het uitgangspunt in de AVG (artikel 25). Maar hoe werkt dat dan in de praktijk?

"Privacy by design" is niet iets maken en daarna in een Privacy Impact Assesment (of PIA, nog zo’n eis van de AVG) rechtvaardigen welke keuzes je hebt gemaakt. Eerder werkt het andersom: door eerst zo’n PIA te maken en daarna pas te starten met ontwikkelen krijg je de mooiste oplossingen. Design by privacy dus.

Dat is de manier waarop we werken als het gaat om de digitale ondersteuning van de pandemie. Zo is CoronaMelder tot stand gekomen, maar bijvoorbeeld ook CoronaCheck.

Klinkt vaag toch, “privacy by design”? Dat is ook zo en vraagt dus om een concreet voorbeeld. Laten we CoronaCheck nemen.

Eind vorig jaar stelden wetenschappers en anderen voor om in situaties dat de epidemiologische situatie dat eigenlijk niet toelaat toch meer contacten toe te staan (denk aan evenementen bijvoorbeeld). Dat zou kunnen - zeiden ze - als je de risico's verlaagt door een negatieve test voorafgaand aan zo'n evenement. Daaruit is het idee ontstaan van toegangstesten. Aan de poort bewijzen dat je recent negatief getest bent.

Maar hoe bewijs je dat dan? Dat kan natuurlijk met een testuitslag met al je gegevens erop. Maar het gaat om jouw eigen medische gegevens en dus is dat niet de meest wenselijke situatie. Kan het niet anders?

Toen ons gevraagd werd om daarover na te denken (en over de digitale technologie om dat mogelijk te maken) stelden we privacy centraal. Er zou bijvoorbeeld een wettelijke grondslag moeten zijn om de benodigde gegevens te verwerken (die wet is recent door de Eerste Kamer aangenomen ), mensen moeten niet volgbaar zijn over bezoeken van verschillende evenementen heen, het moet niet mogelijk zijn om aan de poort te zien wat de reden van het verlaagde risico is (zoals een test of juist een vaccinatie), er moet geen centrale database komen van die gegevens en het is niet nodig om al je gegevens in een bewijs op te nemen om het waarschijnlijk genoeg te maken dat het bewijs inderdaad bij jou hoort.

Dat nadenken over gegevensbescherming heeft geleid tot CoronaCheck, een app waarin je de gegevens van jouw negatieve test (en straks ook je vaccinatie) veilig ophaalt bij de testaanbieder en opslaat op (alleen) je eigen telefoon, en er een QR-code van maakt die kan worden gescand. Maar dan wel op een manier waardoor de risico’s die ik hiervoor noemde sterk zijn verminderd.

Zo verandert de QR-code voortdurend (en heeft het dus geen zin om QR-codes te vergelijken als je meerdere evenementen bezoekt), is in de QR-code niet opgenomen of het gaat om een negatieve test of een vaccinatie en zijn alleen je initialen, je geboortedag en geboortemaand opgenomen. Omdat soms ook initialen heel zeldzaam zijn hebben we er (op basis van gegevens van het Meertensinstituut) zelfs voor gezorgd dat nog minder informatie wordt getoond bij zeldzame initialen.

De QR-code die je laat zien bij een deur is daarmee niet volgbaar over locaties heen, zegt niet of je een test of vaccinatie hebt gehad en vertelt niet precies wie je bent.

De manier waarop het werkt is beschreven in de wet en in de komende wettelijke regelingen. Binnenkort gaat ook de DPIA die het helemaal uitlegt naar de Tweede Kamer. Zodat voor iedereen duidelijk is hoe het werkt, welke gegevens verwerkt worden en door wie. De broncode van de app staat op GitHub zodat iedereen kan controleren dat het ook echt zo werkt.

De ontwikkeling van de wet, het bedenken van de werkwijze en het ontwerpen en maken van de techniek gingen de afgelopen maanden hand in hand. Beleid en uitvoering als werelden die elkaar beïnvloeden om te komen tot privacy by design. Of wat mij betreft dus beter nog: design by privacy.

Gaat het dan alleen om privacy? Nee, zeker niet. Privacy, security en toegankelijkheid zijn het uitgangspunt. Niet alleen van de app, ook van de keten. Zo moeten testaanbieders die aansluiten op CoronaCheck aan allerlei eisen voldoen.

Design by privacy, security en toegankelijkheid: het lijkt ingewikkeld en begrenzend, maar het is het juist niet. Het leidt tot innovatieve oplossingen en is zelfs extra leuk. Zo leuk dat de ontwikkelaars die dit nu een tijdje samen doen zelf met voorstellen komen hoe privacy wellicht nog net iets beter ingebed kan.

Vandaag werden in behoorlijk wat ziekenhuizen in Nederland mensen gevaccineerd tegen COVID-19. Dit keer ging het niet om eigen personeel, maar onder andere om zorgmedewerkers van zelfstandige klinieken. Ik was zelf even in het AMC, en zag een perfect georganiseerde logistieke operatie. Het prikken zelf, de logistiek, de registratie: het verliep vloeiend.

Die registratie was wel een ding. Vaccinatie van eigen personeel kan worden geregistreerd door de arbodienst, prikken van patiënten kunnen vastgelegd in het EPD. Maar voor registratie van gezonde anderen, daar is geen logische plek voor.

Vandaag werden vaccinaties voor het eerst vastgelegd in een nieuw registratiesysteem: ZKVI (dat staat voor ziekenhuizen kunnen vaccinaties invoeren). Een systeem gemaakt onder verantwoordelijkheid van VWS, door bevlogen mensen van wie velen uit de hackerswereld komen en ook betrokken zijn bij BRBA, CoronaMelder, CoronaCheck en GGD Contact.

Van BRBA heb je waarschijnlijk nog nooit gehoord. Het werd in december 2020 in een paar weken tijd ontwikkeld door al een deel van deze mensen. Het is een doorgifteportaal voor die situaties waarin geen dossiersysteem voorhanden is dat gegevens kan doorleveren aan het centrale registratiesysteem CIMS van het RIVM. Het was een huzarenstuk: in enkele weken tijd een veilig en in heel Nederland bruikbaar systeem neerzetten.

Een paar weken geleden werd duidelijk dat ook ziekenhuizen een rol zouden kunnen gaan spelen in de opschaling van de vaccinatiecampagne. De LNAZ, NVZ, NFU, het RIVM en natuurlijk alle betrokken ziekenhuizen werkten daaraan. Vandaag was er een pilot met kliniekmedewerkers. Maar waarin moesten die prikken dan geregistreerd en hoe zou dat proces er uit zien? Wij dachten dat het mogelijk moest zijn om voortbordurend op BRBA een vaccinatieregistratiesysteem te bouwen. Ook nu weer in een paar weken tijd. Veilig, voldoend aan alle normen ten aanzien van informatiebeveiliging en privacy en daarnaast gebruiksvriendelijk en het proces optimaal ondersteunend. Met ook een koppeling naar CIMS van het RIVM en naar CoronaCheck voor het komende vaccinatiebewijs.

ZKVI Screenshot

Vandaag heb ik het in de praktijk kunnen zien: het is ze weer gelukt. Op dezelfde onconventionele manier als eerder BRBA. Geen ellenlange vergaderingen maar korte online standups als het nodig is. Met werkweken die weinig ruimte laten voor slaap, met oplossingen in enkele uren waar het in normale tijden weken zou duren en tegelijkertijd met heel veel lol. Die lol zie je bijvoorbeeld terug in de namen van de componenten. De huisdieren van veel betrokkenen komen daar in voor. Bijvoorbeeld die van Jack en Jane, de konijnen van de verpleegkundige bij het Erasmus Medisch Centrum die meehielp om de processen te beproeven en te optimaliseren. Zodat elke prikker 60 mensen per uur kan vaccineren en de registratie vloeiend gaat.

Ook ZKVI wordt binnenkort open source. Verschillende onderdelen ervan zullen we apart publiceren. Want terwijl we ZKVI maakten zijn voor allerlei veel voorkomende situaties in de zorg nieuwe oplossingen bedacht. Voor BSN-verificatie bijvoorbeeld, en voor login met de UZI-pas.

De dossiervoering is natuurlijk niet van VWS maar van de ziekenhuizen zelf. Daarom is het beheer van ZKVI overgedragen aan Dutch Hospital Data. Zij ondersteunen alle ziekenhuizen bij het gebruik van het systeem. De nerds die ZKVI maakten waren direct blij met de samenwerking met DHD. “Ze lijken op ons” was de conclusie. En uit de monden van deze mensen is dat misschien wel het grootste compliment dat je kunt krijgen.

Het is een eer om met deze groep (en de mensen van DHD) te mogen werken. Dank jullie wel:

Anne Jan Brouwer, Barbara Gelauf, Bjorn Hamoen, Brenno de Winter, Christiaan den Besten, Cleo van Engelen, Dennis van Zuijlekom, Dorus-Jan ten Boom, Elger Jonker, Erwin Hager, Esther Ton, Fatma Sevinc, Gert-Jan van Boven, Heleen Klopper, Herman Rink, Ilona Mallisse, Ivo Tamboer, Jaap Hoorenman, Jan Klopper, Janneke van de Brand, Jeroen Baten, Jochem Broekhuizen, Joost Beukers, Joshua Thijssen, Justin Loew, Klaas-Wouter Geleynse, Kura Kinfe, Lynn Reijnders, Mark Janssen, Max Vasterd, Mendel Mobach, Mike Sijmons, Nick ten Cate, Niels Hatzmann, Paul Dam, Pauline Vos, Peter Paul van Gemerdern, Peter Seignette, Pier Nauta, Rafeal Dulfer, Renze Nicolai, Ritva Kirpestein, Rob Sijmons, Sijmen Ruwhof, Willem van Asperen en Yvo von Berg.