Ron Roozendaal

Privacy

Alle berichten gelabeld Privacy door Ron Roozendaal
  • Geplaatst op

    Het is een vraag die in de zorg, maar ook daarbuiten, vaak speelt. Bij het stellen van een diagnose is bijvoorbeeld soms informatie van andere artsen zinvol. Denk aan een oude MRI-scan of een eerdere diagnose. Maar wie maakte die scan ook al weer, hoe lang geleden was dat eigenlijk, is die scan nog beschikbaar? Je kunt natuurlijk een rondje bellen, maar dat is veel werk en niet altijd even doelmatig. Elektronisch de vraag stellen aan alle zorgaanbieders kan ook, maar heeft nog al wat haken en ogen. Wat als een GGZ-instelling die vraag over mij zou stellen aan alle zorgaanbieders, of een verslavingskliniek? Alleen al de vraag stellen geeft meer prijs dan je lief is.

    Datzelfde vraagstuk hadden we bij het maken van CoronaCheck. Als ik in de app mijn QR-code aanmaak dan bevraagt de app meerdere bronsystemen op vaccinatie-, test- en herstelgegevens van mij. Op dit moment gaat het om de GGD, het RIVM en ZKVI (het systeem dat gebruikt wordt door ziekenhuizen die bijvoorbeeld huisartsen en ambulancepersoneel uit de eigen regio vaccineren). CoronaCheck doet dat niet door het BSN te versturen, want dat levert het privacyprobleem op dat ook de verslavingskliniek van hiervoor zou hebben. Het pseudoniem van de persoonsgegevens dat wordt verstuurd kan alleen worden gemaakt als de bron ook gegevens over de persoon bevat. Daarmee kunnen de andere bronnen niet herleiden om wie het gaat.

    In de DPIA is dat alsvolgt beschreven:

    Met name voor de vaccinatiegegevens geldt dat de betrokkenen die de gegevens wil opvragen om een Bewijsmiddel aan te maken niet altijd weet in welke vaccinatieadministratie zijn of haar gegevens zijn opgenomen (omdat de eerste vaccinatie mogelijk in een andere administratie is opgenomen dan de tweede of omdat men niet goed weet onder wiens verantwoordelijkheid de vaccinatie is uitgevoerd). Om toch te kunnen zorgen dat de persoon kan beschikken over een EU DCC en Coronatoegangsbewijs is de volgende oplossing ontwikkeld. Na DigiD verificatie van de persoon wordt door middel van een gepseudonimiseerde bevraging van de relevante administraties, de vaccinatie‐/test‐/herstelgegevens van de gebruiker opgevraagd bij alle (potentieel) relevante partijen.

    Met het BSN en van BRP‐gegevens (voornaam, geboortenaam en geboortedatum) wordt een cryptografische hash‐waarde berekend met behulp van het SHA‐256 algoritme. Omdat genoemde invoerdata een zekere mate van voorspelbaarheid heeft, is de maximale entropie van dit deel van de hash‐waarde niet de 256 bits die het SHA‐256 algoritme potentieel biedt, maar is deze gereduceerd tot ongeveer 58 bits in de meest conservatieve schatting, maar effectief waarschijnlijk 70 bits (dit heeft te maken met de structuur van het BSN, hoe uniek achternamen zijn en dat de geboortedata in een maximaal interval van 1906 tot 2021 zullen liggen). Om deze nog relatief lage entropie te adresseren wordt bij de berekening van de hash‐waarde een voor de zorgaanbieder unieke salt gebruikt (ook wel shared secret genoemd) die de entropie voor derden verhoogt evenredig aan de lengte van de salt.

    Vooralsnog wordt uitgegaan van een totale entropie (voor derden die niet bekend zijn met de salt) van 384 bits of meer. Dit vormt samen de “UNOMI‐token”.

    Ik vind dit een mooie oplossing om ook op andere plekken in de zorg te beproeven. Bijvoorbeeld om mijn Persoonlijke Gezondheidsomgeving te kunnen vullen met al mijn historische gegevens. Zo'n beproeving vergt wel een passende grondslag, want het gaat ook bij een pseudoniem nog steeds om een persoonsgegeven.

    Meer weten over de technische oplossing? Die is beschreven op Github.

  • Geplaatst op

    Dit weekend werd CoronaCheck veel meer gebruikt dan tot nu toe. We gingen er mee de grens over deze zomer, vakantiegangers toonden hun QR-code in Franse restaurants. Maar vanaf nu dus ook vaker in Nederland zelf.

    De afgelopen tijd werd mij veel gevraagd waarom ik er aan meewerk. Jij, Ron, bent immers zo gespitst op privacy? Daar schreef ik eerder al over. Maar met alle vragen van de afgelopen weken geef ik in deze blog nog iets meer kleuring.

    Binnenlandse code eerder ontstaan
    CoronaCheck bevat twee QR-codes: één voor in Nederland en één voor in Europa. De Nederlandse code werd eerder ontwikkeld, en los van de Europese DCC. Dat gebeurde na adviezen van wetenschappers over het verder openen van de samenleving met testen voor toegang en ook advies van de Gezondheidsraad over de ethische en juridische voorwaarden daarbij.

    Bij het ontwikkelen van de Nederlandse code werd heel bewust gekozen voor privacy by design, zoals eerder bijvoorbeeld ook bij CoronaMelder. De balans tussen privacy en fraudebestrijding is bewust gekozen.

    Aan de Tweede Kamer werd dat in februari van dit jaar als volgt beschreven:

    De belangrijkste afweging die we hebben te maken bij de ontwikkeling van de applicaties is het vinden van de juiste balans tussen de mate van bescherming van persoonsgegevens en het tegengaan van misbruik. Testbewijzen zijn bedoeld om toegangscontrole mogelijk maken voor mensen die kunnen aantonen dat ze recent negatief getest zijn. Dergelijke negatieve testuitslagen bevatten in de regel veel gevoelige persoonsgegevens, zoals Burgerservicenummers en de testuitslag zelf.

    Voorkomen moet worden dat dergelijke persoonsgegevens worden overgedragen aan de controleur van het bewijs, terwijl de betrokkene geen controle heeft over waar die gegevens daarna verder voor worden gebruikt.

    Tegelijkertijd is er de wens om misbruik te voorkomen om zo de risico op verspreiding van het virus zo klein mogelijk te houden. Het verkleinen van de kans op misbruik moet daarom worden afgewogen tegen de verwerking van kwetsbare persoonsgegevens. Temeer omdat met het verplicht testbewijs ook het verplicht tonen ontstaat van de gegevens in dit bewijs.

    Ik hecht eraan om het belang van privacy en informatieveiligheid in dit geval zwaarder te laten wegen dan het volledig uitsluiten van alle mogelijke misbruik. Dit omdat het gaat om uiterst gevoelige gegevens die zouden worden getoond aan private controleurs bij toegang tot allerlei voorzieningen of activiteiten.

    Uiteraard zullen wel technische maatregelen genomen moeten worden om de meest voor de hand liggende vormen van misbruik zo veel mogelijk te voorkomen. Ik heb gevraagd hieraan veel aandacht te besteden in de ontwikkeling van de digitale applicatie voor het testbewijs.

    Bewuste keuzes
    In de balans tussen fraudebestrijding en gegevensbescherming zijn als gevolg hiervan bewuste keuzes gemaakt. Denk bijvoorbeeld aan het niet prijs geven van de bron van de code en het niet kunnen volgen van mensen. Hieronder een paar van die keuzes op een rijtje.

    • Bron van het bewijs is niet zichtbaar
      De Nederlandse code laat niet zien wat de bron is van jouw bewijs. Het kan zijn dat je hersteld bent van Covid, dat je recent negatief getest bent of juist gevaccineerd. Maar die reden is niet terug te zien in de QR-code. Daar gaan we ver in. Ook aan de geldigheidsduur van de code kun je dat namelijk niet zien. Een QR-code op basis van vaccinatie is even lang geldig als een QR-code op basis van een negatieve test. Door bij vaccinatie in de app telkens een nieuwe QR-code te maken lijkt de geldigheid even lang.

    • Mensen zijn niet te volgen
      De code in de app verandert heel vaak en is zo gemaakt dat je mensen niet kunt volgen over de locaties heen die ze bezoeken. Want elke code die getoond wordt is niet te koppelen aan een eerder getoonde. En een screenshot maken heeft dus weinig zin, want die code is maar even geldig.

    • Niet voldoende gegevens om je te identificeren
      In de code staan alleen jouw initialen, geboortedag en geboortemaand. En als die weinig voorkomen kan daarvan ook nog iets worden weggelaten. Dus mocht iemand een eigen scanner maken, dan nog kun je niets met de gegevens die je scant. Je kunt geen database aanleggen van persoonsgegevens omdat de gegevens niet tot jou zijn te herleiden.

    • Geen centrale database voor de app
      Jouw gegevens staan alleen bij de bron (GGD, RIVM of testaanbieder) en in de app. Jij kiest om ze op te halen, jij kiest om een bewijs te maken. Alleen als je zelf met DigiD inlogt wordt er contact gelegd om jouw vaccinatiegegevens op te halen. En hetzelfde geldt voor testgegevens.

    • Ook zonder internetverbinding te gebruiken
      De code op je telefoon is ook te gebruiken als je even geen internet hebt. Dat geldt ook voor de scanner. Om de paar dagen is even verbinding nodig om eventuele wijzigingen in de configuratie op te halen, maar als je gaat stappen kun je zonder internetverbinding je code tonen of scannen.

    • Codes elke paar weken ververst
      De QR-codes in de app worden minimaal elke paar weken ververst. Ook dat is een manier om het veilig te houden.

    Keuzes met gevolgen
    Die keuzes voor maximale gegevensbescherming hebben ook gevolgen. Gisteravond werden die al even duidelijk. Op de eerste avond openden veel mensen de app voor het eerst in weken vlak voordat hun QR-code gescand werd of probeerden op dat moment voor het eerst een code te maken. Omdat de code elke paar weken ververst wordt, leverde dat even een piekbelasting op bij het genereren van codes. De belasting was op geen enkel moment zo hoog dat de servers dat niet aan zouden kunnen. Maar de combinatie met stevige DDOS-aanvallen maakte dat het soms niet lukte. Mensen kregen daardoor niet direct een QR-code. Dat is super onhandig als je net bij de deur staat. Voor je vertrekt de app even openen helpt.

    Jouw code is ook niet automatisch op afstand in te trekken als je positief test. Er is immers geen stiekeme verbinding met een database, er kan ook niets naar de app “gepusht” worden. Alleen jij kunt zelf en actief nieuwe gegevens ophalen. Dat is het gevolg van de privacykeuzes. Overigens: ook een geel boekje explodeert niet als je positief test. Het is de eigen verantwoordelijkheid om niet naar buiten te gaan als je besmettelijk bent (net zoals een rijbewijs geldig blijft als je gedronken hebt, maar dronken rijden niet mag). Om dezelfde reden kan een fraudeleus verkregen QR-code niet per direct op afstand worden ingetrokken.

    Aandacht voor privacy heeft dus gevolgen. Sommige dingen worden er moeilijker door. Stel je bijvoorbeeld voor dat je, zoals in Duitsland, op sommige locaties alleen met vaccinatie of herstel naar binnen zou mogen. In andere landen toon je al je gegevens in een DCC en kan dat zo worden vastgesteld. In Nederland zou een tweede QR-code moeten worden gemaakt, waarin een negatieve test geen bron van de code meer kan zijn.

    Verschil met het DCC
    Dat zou dus anders zijn als we in Nederland niet een eigen code hadden maar, zoals in andere Europese landen, de Europese code zouden laten zien. Die Europese code werd ontwikkeld na en naast de nationale. Daarom heb je in CoronaCheck twee verschillende codes: voor binnen Nederland en voor buiten Nederland. Waar binnen Nederland nauwelijks gegevens worden opgenomen in de QR-code (initialen, geboortedag en –maand en geldigheid), is dat in het DCC anders. Elk land kent eigen inreisregels, dus de gegevens zelf staan in het DCC. Jouw naam, en heel veel gegevens over jouw herstel, negatieve test of vaccinatie. In een QR-code die vast is en niet telkens wijzigt.

    Verschil in data DCC en Nederlandse code

    Tot slot
    Deze blog begon met de vaak aan mij gestelde vraag waarom ik meewerk aan CoronaCheck. Gooi je daarmee niet al je principes overboord, wordt er dan vaak bij gezegd. Het antwoord is, wat mij betreft, dus nee. De Nederlandse code is bewust privacyvriendelijk. Je geeft er nauwelijks gegevens mee prijs. Dat heeft gevolgen. Maar die horen bij de balans tussen, onder meer, privacy en fraudebestrijding. Ik ben blij daaraan een bijdrage te kunnen hebben leveren.

    PS
    Deze blog gaat bewust wel over privacy en CoronaCheck en bewust niet over de inzet van toegangstesten, de wetenschappelijke adviezen daarover, het advies van de Gezondheidsraad en alle debatten daarover. Op reacties die daarover gaan zal ik niet ingaan.

  • Geplaatst op

    Ik schreef er al eerder over (zoek maar eens op “privacy” in mijn blogs ): wat mij betreft staat privacy goede gegevensuitwisseling niet in de weg. Het kan zelfs leiden tot hele mooie innovaties. “Privacy by design” is het uitgangspunt in de AVG (artikel 25). Maar hoe werkt dat dan in de praktijk?

    "Privacy by design" is niet iets maken en daarna in een Privacy Impact Assesment (of PIA, nog zo’n eis van de AVG) rechtvaardigen welke keuzes je hebt gemaakt. Eerder werkt het andersom: door eerst zo’n PIA te maken en daarna pas te starten met ontwikkelen krijg je de mooiste oplossingen. Design by privacy dus.

    Dat is de manier waarop we werken als het gaat om de digitale ondersteuning van de pandemie. Zo is CoronaMelder tot stand gekomen, maar bijvoorbeeld ook CoronaCheck.

    Klinkt vaag toch, “privacy by design”? Dat is ook zo en vraagt dus om een concreet voorbeeld. Laten we CoronaCheck nemen.

    Eind vorig jaar stelden wetenschappers en anderen voor om in situaties dat de epidemiologische situatie dat eigenlijk niet toelaat toch meer contacten toe te staan (denk aan evenementen bijvoorbeeld). Dat zou kunnen - zeiden ze - als je de risico's verlaagt door een negatieve test voorafgaand aan zo'n evenement. Daaruit is het idee ontstaan van toegangstesten. Aan de poort bewijzen dat je recent negatief getest bent.

    Maar hoe bewijs je dat dan? Dat kan natuurlijk met een testuitslag met al je gegevens erop. Maar het gaat om jouw eigen medische gegevens en dus is dat niet de meest wenselijke situatie. Kan het niet anders?

    Toen ons gevraagd werd om daarover na te denken (en over de digitale technologie om dat mogelijk te maken) stelden we privacy centraal. Er zou bijvoorbeeld een wettelijke grondslag moeten zijn om de benodigde gegevens te verwerken (die wet is recent door de Eerste Kamer aangenomen ), mensen moeten niet volgbaar zijn over bezoeken van verschillende evenementen heen, het moet niet mogelijk zijn om aan de poort te zien wat de reden van het verlaagde risico is (zoals een test of juist een vaccinatie), er moet geen centrale database komen van die gegevens en het is niet nodig om al je gegevens in een bewijs op te nemen om het waarschijnlijk genoeg te maken dat het bewijs inderdaad bij jou hoort.

    Dat nadenken over gegevensbescherming heeft geleid tot CoronaCheck, een app waarin je de gegevens van jouw negatieve test (en straks ook je vaccinatie) veilig ophaalt bij de testaanbieder en opslaat op (alleen) je eigen telefoon, en er een QR-code van maakt die kan worden gescand. Maar dan wel op een manier waardoor de risico’s die ik hiervoor noemde sterk zijn verminderd.

    Zo verandert de QR-code voortdurend (en heeft het dus geen zin om QR-codes te vergelijken als je meerdere evenementen bezoekt), is in de QR-code niet opgenomen of het gaat om een negatieve test of een vaccinatie en zijn alleen je initialen, je geboortedag en geboortemaand opgenomen. Omdat soms ook initialen heel zeldzaam zijn hebben we er (op basis van gegevens van het Meertensinstituut) zelfs voor gezorgd dat nog minder informatie wordt getoond bij zeldzame initialen.

    De QR-code die je laat zien bij een deur is daarmee niet volgbaar over locaties heen, zegt niet of je een test of vaccinatie hebt gehad en vertelt niet precies wie je bent.

    De manier waarop het werkt is beschreven in de wet en in de komende wettelijke regelingen. Binnenkort gaat ook de DPIA die het helemaal uitlegt naar de Tweede Kamer. Zodat voor iedereen duidelijk is hoe het werkt, welke gegevens verwerkt worden en door wie. De broncode van de app staat op GitHub zodat iedereen kan controleren dat het ook echt zo werkt.

    De ontwikkeling van de wet, het bedenken van de werkwijze en het ontwerpen en maken van de techniek gingen de afgelopen maanden hand in hand. Beleid en uitvoering als werelden die elkaar beïnvloeden om te komen tot privacy by design. Of wat mij betreft dus beter nog: design by privacy.

    Gaat het dan alleen om privacy? Nee, zeker niet. Privacy, security en toegankelijkheid zijn het uitgangspunt. Niet alleen van de app, ook van de keten. Zo moeten testaanbieders die aansluiten op CoronaCheck aan allerlei eisen voldoen.

    Design by privacy, security en toegankelijkheid: het lijkt ingewikkeld en begrenzend, maar het is het juist niet. Het leidt tot innovatieve oplossingen en is zelfs extra leuk. Zo leuk dat de ontwikkelaars die dit nu een tijdje samen doen zelf met voorstellen komen hoe privacy wellicht nog net iets beter ingebed kan.

  • Geplaatst op

    Dat was een hectisch weekend. De “appathon” die we organiseerden om mogelijke ondersteuning door apps van het bron- en contactonderzoek te beproeven zorgde voor veel reuring. Als “nerd” en “van de inhoud” was het een bijzondere ervaring om zo persoonlijk het gezicht te zijn. Met als gevolg dat ik mijzelf terug zag bij onder meer het journaal, RTL Nieuws en Hart van Nederland. “Note to self”: langzamer praten.

    Bij een maatschappelijk debat als dit weekend horen stevige statements. “Nog nooit is zo zichtbaar, compact en goedkoop gedemonstreerd hoe totaal incompetent de overheid jaarlijks miljarden aan ICT wegpist”, bijvoorbeeld. Dat hoort er bij. Het laat me niet altijd koud, want (als nerd en van de inhoud) is “incompetent” niet een prettige kwalificatie. Maar het raakt me niet persoonlijk. Ik ben juist blij met alle gesprek. Hoe geweldloos - of juist niet - geformuleerd ook. Want daarvan worden resultaten beter.

    Toch raken sommige dingen me wel. Bijvoorbeeld als ik beschuldigd word van het laks omgaan met privacy. En dat gebeurde afgelopen week veel. Dat raakt me. Want in de “Bio” staat al tijden dat ik daar juist “iets mee heb”. Om verschillende redenen, maar onderstaand voor mij heel dierbaar stukje papier is er één van. Het papiertje is één van de redenen dat ik - ruim na de oorlog - geboren kon worden.

    Bevolkingsregister

    Privacy kwam in twee onderwerpen aan bod afgelopen week. Onderwerpen waar ik bij betrokken ben en met balans en precisie in sta.

    ‘Miljoenen medisch dossiers open zonder toestemming’

    Dit kopte de NRC. Zonder echte uitleg van wat er aan de hand is. De huidige technische oplossing van het beschikbaar krijgen van informatie bij bezoek aan een waarnemend huisarts (in het weekend, in de avond) is het van te voren raadpleegbaar maken van een samenvatting van de belangrijkste informatie. Zodat de arts die moet beslissen over wat te doen dat met voldoende informatie kan doen.

    Dat vooraf raadpleegbaar maken van een samenvatting van huisartsgegevens vergt toestemming, omdat het gebeurt voordat je in het weekend bij een vervangende dokter komt. Logisch, want je weet nog helemaal niet of dat het geval zal zijn.

    Die toestemming voor het raadpleegbaar maken van huisartsinformatie op de huisartsenpost hebben zo’n 8 miljoen mensen gegeven. Het grootste deel van de rest heeft er nog geen vraag over gekregen, en geen voorkeur bekend gemaakt.

    Door Corona is de huisartsenzorg sterk belast. Op veel plekken zijn speciale “Corona-huisartsenposten” ingericht en gaat bijna niemand naar zijn eigen huisarts. Op die huisartsenpost is dus lang niet altijd de voorgeschiedenis of de medicatie bekend. Met als gevolg dat de triage vast dreigde te lopen, zeiden huisartsen. Patiënten en huisartsen drongen er op aan om voor de duur van de crisis ook voor de mensen die nog geen voorkeur hadden aangegeven een samenvatting van hun medische gegevens raadpleegbaar te maken voor als ze zich bij een huisartsenpost melden. De Autoriteit Persoonsgegevens keek mee en stelde als eis dat bij het raadplegen van informatie op een huisartsenpost daarvoor wel eerst mondeling toestemming moet worden gevraagd en dat er voor mensen zichtbaar gelogd moet worden wie heeft geraadpleegd. Dat is dan ook goed geborgd.

    Zijn “miljoenen dossiers dus open zonder toestemming” vooraf? Ja, dat is feitelijk correct. Een samenvatting van het huisartsendossier is raadpleegbaar voor artsen op de huisartsenpost. Maar: daar moeten mensen alsnog toestemming geven, alles wordt gelogd, alleen zorgprofessionals kunnen erbij en het is tijdelijk voor de duur van de crisis. En voor mij belangrijk: recht op gezondheidszorg is ook een grondrecht. Juist vanwege het sneller kunnen helpen van mensen is dit op verzoek van patiënten en huisartsen geregeld.

    Jammer dat die nuance niet altijd terugkomt. Wat een simpele “voor of tegen privacy” keuze lijkt is een afweging tussen belangen. Die iedereen die betrokken is zorgvuldig probeert te maken.

    Tot slot: die technische oplossing van vooraf raadpleegbaar maken is dus niet ideaal. Mooier zou het zijn als de informatie pas wordt uitgewisseld met de eigen huisarts bij het bezoek aan de huisartsenpost. We hebben ook gevraagd om daar een nieuwe technische oplossing voor te vinden.

    “Apps schenden de privacy”

    Ook dit weekend werd ik er in persoonlijke berichten van beschuldigd: met het denken over apps voor het ondersteunen van het werk van de GGD zou ik betrokken zijn bij het verkwanselen van de privacy. Ook in dat gesprek mis ik soms de nuance.

    Zo voel ik me, persoonlijk, beperkt in mijn bewegingsvrijheid in de huidige “intelligente” lock-down. Ik begrijp die beperking goed en houd me er aan. Maar het blijft een beperking van mijn recht. Op samenscholing bijvoorbeeld.

    Waar dit weekend over ging is over het ondersteunen van het werk van de GGD bij bron- en contactopsporing. Want infectieziekten bestrijd je door snel te onderzoeken wie allemaal besmet kunnen zijn en wie de bron is en door op basis van die informatie snel maatregelen te nemen. Zo ook bij Corona. Dat betekent veel mensen traceren, bellen, spreken. Dat mag van de Wet Publieke Gezondheid, want het verwerken van die persoonsgegevens dient een doel: de gezondheid van ons allemaal.

    De GGD denkt dat dit intensieve werk ondersteund kan worden door sneller en beter te weten wie er risico loopt. En als we het goed doen: met minder verwerking van persoonsgegevens. Want de eis aan apps was dat het anoniem gebeurt. Dat leidt dan misschien wel tot verwerking van minder persoonsgegevens dan nu, waar de GGD alle contacten met hulp van zieke mensen opspoort, spreekt, belt, kent.

    Die nuance: we doen het (1) om de GGD te helpen om bij het verlichten van de lockdown Corona te kunnen blijven indammen en (2) wellicht kan het zelfs met verwerking van minder persoonsgegevens dan nu, die nuance kwam helaas zelden terug in het debat.

    Naschrift

    Dit is een persoonlijke blog over hoe ik geraakt kan worden. Dat kan ik door Spoorloos, door mooie luchten en ook door bovengenoemde dingen. Er schuilt namelijk gelukkig ook een mens achter de "top van het ministerie" (wat een compliment!). Maakt dat mij gegriefd door kritiek? Nee. Gaat dat geraakt worden over het verloop van iets dat waarbij ik in mijn werk betrokken ben? Nee. Het gaat over wat mij als persoon raakt. En zorgen maken is niet nodig, want ook na het kijken naar Spoorloos sta ik gewoon op en ga weer verder.

  • Geplaatst op

    Soms kom je, online en offline, in discussies terecht waarin als eerste het oordeel wordt geveld en daarna pas het gesprek wordt gevoerd. Als het al wordt gevoerd. Zo’n gesprek begint dan al vanuit achterstand. Dat leidt tot aanval en verdediging en niet tot nieuwsgierigheid. Vandaag overkwam mij dat in een Twittergesprek over communiceren tussen zorgprofessionals en privacy. Dat is #makkelijkscoren, tegen een ambtenaar.

    Ron is aardig, maar het zou niet misstaan om gewoon eens een weekje mee te draaien op de werkvloer. Ik weet zeker dat dan dit soort discussies wat makkelijker verlopen.

    Oordelen vooraf dus, over mijn inhoudelijke standpunt en dat ik geen begrip voor de praktijk zou hebben. Maar over die inhoud straks meer. Eest over gesprekken zonder oordeel vooraf. Ik ben namelijk al jaren fan van geweldloze communicatie. Niet omdat ik niet tegen te snelle oordelen kan, maar omdat het leidt tot mooie gesprekken. Want achter iets dat je niet begrijpt zit vaak een verhaal dat, als het wordt uitgesproken, tot begrip leidt. Niet perse tot overeenstemming, maar wel tot een beter begrip van de argumenten en gevoelens van de ander.

    Daar is ruimte voor een gesprek voor nodig, met nieuwsgierigheid voor wat de ander bedoelt en de mogelijkheid om vragen te stellen voor je een oordeel velt. Die ruimte is er niet altijd, bijvoorbeeld niet op sociale media als Twitter. De net iets meer dan 100 tekens nodigen uit tot ongenuanceerde teksten en #makkelijkscoren. Vandaag ging dat makkelijke scoren over de aanname dat ambtenaren (of in ieder geval deze ambtenaar) niets van de zorg begrijpen en daarom dingen roepen die niet kunnen.

    Het ging erover dat dokters toch gewoon een onbekende dokter moeten kunnen bellen en om informatie moeten kunnen vragen. Ik reageerde vanuit kennis van de praktijk. Want, ja, dokters mogen in het kader van medebehandeling informatie uitwisselen. En ja, het zou fijn zijn als dat altijd vanuit vertrouwen kan. Maar ik ken genoeg andere verhalen uit de praktijk, ook van heel dichtbij. Bijvoorbeeld van baliemedewerkers van een huisartsenpraktijk die worden gebeld door iemand die zich als dokter voordoet om informatie over een patiënt los te peuteren. Een gescheiden ouder over een kind bijvoorbeeld, of een kind over zijn vader of moeder.

    Ik heb groot vertrouwen in dokters en dat ze precies weten wat ze wel en niet kunnen delen. Dat ze alleen informatie delen als dat kan en mag. Dat kan bijvoorbeeld door een dokter via zijn ziekenhuis terug te bellen als ze gebeld worden en ze die dokter voor het eerst spreken. Om vanaf dat moment via de bekende rechtstreekse nummers te communiceren. Een dergelijke nuance krijg je alleen in een gesprek als je eerst de vraag stelt waarom iemand iets zegt of schrijft. Als je het oordeel uitstelt tot na het gesprek.

    Hoewel iets meer dan honderd tekens niet uitnodigen tot nuance blijf ik reageren. Want alleen al het zichtbaar bestaan van verschillende meningen is belangrijk. Er is weinig zo slecht voor de discussie dan het bestaan van maar één standpunt.

  • Geplaatst op

    Huisartsen verwijzen hun patiënten met regelmaat naar (een specialist in) een ziekenhuis. Ze blijven daarbij betrokken bij de behandeling. Die betrokkenheid kan bijvoorbeeld worden vormgegeven door toegang tot (alleen de) voor hen relevante informatie van hun eigen patiënten in een EPD bij een ziekenhuis. De vraag wordt vaak gesteld of daar aparte toestemming van patiënten voor nodig is.

    Of die aparte toestemming van patiënten nodig is, hangt af van de vraag of gebruik wordt gemaakt van een elektronisch uitwisselingsysteem. In de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (de Wabvpz) is daarvan een definitie opgenomen: “een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder, voor het bijhouden van een elektronisch dossier”.

    De wetgever heeft aan het gebruik van dit soort systemen nadere eisen gesteld. Dit omdat anders dan met zogenaamd “push-verkeer” gegevens over de gezondheid raadpleegbaar worden gemaakt, zonder dat de zorgaanbieder (op wie het medisch beroepsgeheim rust) nog directe controle heeft over de raadplegingen door andere zorgaanbieders. Voor het beschikbaar stellen van gegevens via een dergelijk elektronisch uitwisselingssysteem is uitdrukkelijke toestemming van de patiënt nodig.

    De uitdrukkelijke toestemming die op grond van de Wabvpz is vereist voor het raadpleegbaar maken van gegeven via een elektronisch uitwisselingssysteem, is ook in lijn met de eisen die de AVG stelt aan de verwerking van gegevens over de gezondheid. Gelet op de AVG is een opt-out regeling voor het gebruik van elektronische uitwisselingssystemen dan ook niet toegestaan.

    Of toegang van huisartsen tot een zorgverlenersportaal van een ziekenhuis moet worden aangemerkt als een elektronisch uitwisselingssysteem hangt af van de concrete inrichting van dit portaal. Bij de behandeling van de Wabvpz is aangegeven dat het gebruik van een portal waarmee bijvoorbeeld door middel van een inlogcode alleen de eigen huisarts gegevens als lab-uitslagen en specialistenbrieven kan ophalen, feitelijk eenzelfde situatie oplevert als bij push-verkeer die valt onder de veronderstelde toestemming op grond van de Wet op de geneeskundige behandelingsovereenkomst. Als een zorgverlenersportaal langs die lijn is ingericht, kan uitdrukkelijke toestemming op grond van artikel 15a van de Wabvpz achterwege blijven. Dan immers houdt de zorgaanbieder controle over wie er toegang heeft tot welke informatie.

    Kortom: het is de inrichting die bepalend is of aparte toestemming nodig is.

  • Geplaatst op

    Gisteren schreef ik een persoonlijke blog over de reden van mijn inzet voor privacy en vertrouwelijkheid bij gegevensuitwisseling. Onbedoeld was het ook een bewijs voor de Wet van Godwin, maar dat terzijde.

    Voor mij is privacy geen reden om nooit gegevens uit te wisselen. In tegendeel: voor mij gaan privacy en gegevensuitwisseling hand in hand. Ook in de zorg. Juist door aandacht voor de bescherming van gegevens ontstaat het vertrouwen dat nodig is om goede zorg te leveren en de informatie uit te wisselen die daarvoor nodig is. Tussen zorgprofessionals en hun patiënten, en tussen zorgprofessionals onderling.

    Voor het tijdperk van Internet ging die communicatie via de telefoon, de fax of de post. Op papier maar ook op USB-sticks, CD-ROMS en DVD’s. Dat is niet altijd veilig. Met het briefgeheim hebben we bijvoorbeeld wel organisatorisch geregeld dat de postbode niet in de per brief verstuurde gegevens mag kijken, maar technisch onmogelijk is het niet. Een mesje is voldoende om de envelop te openen en de medische gegevens te lezen. En USB-sticks kunnen worden verloren.

    Digitalisering maakt meer beveiliging en aandacht voor privacy niet alleen mogelijk. Het is door de toegenomen massaliteit ook nodig. Ik kreeg van meerdere kanten een reactie op een persoonlijke mening (al mijn blogs zijn persoonlijke mening trouwens) in een recente blog over dubbele toestemming. Ik schreef:

    Het zou overigens, om veel redenen, wat mij betreft goed zijn als er zo weinig mogelijk van dergelijke indexen buiten instellingen zelf zouden zijn.

    Eén van de redenen waarom ik dit vind is dus privacy. Het lijkt zo makkelijk: een index van organisaties die gegevens over mij hebben. Maar als dat niet nodig is, dan zou ik dat niet erg vinden. Want een index die zegt dat een “mannenkliniek voor prostaataandoeningen” iets van mij weet, of een “instelling voor GGZ-hulp”, dat is geen onschuldige informatie. Soms ontkom je daar niet aan, maar als het met nieuwe technieken mogelijk is zonder, dan liever zonder.

    Daarom ook vind ik het helemaal niet zo gek dat er onderzoek komt naar de technische (on)mogelijkheden van “end-to-end-encryptie” in digitale uitwisseling in de zorg. Want waar bij de post briefgeheim nodig is als organisatorische maatregel, kan de beveiliging van elektronische gegevensuitwisseling misschien uiteindelijk wel zo dat niemand anders dan zender en ontvanger de medische gegevens kunnen lezen. Ik snap best dat dat niet zomaar voor alles geregeld is en dat de huidige technieken dat niet altijd mogelijk maken. En ik snap ook best dat het misschien niet altijd en overal zal kunnen. Maar dat neemt niet weg dat ik vind dat het onze gezamenlijke opgave is om de vertrouwelijkheid tussen dokter en patiënt ook technisch te borgen waar het kan. Alle technische voorstellen om dat stap voor stap voor elkaar te krijgen zijn welkom. Juist omdat vertrouwen in de uitwisseling van gegevens en privacy hand in hand gaan.

  • Geplaatst op

    Ik heb het nooit gezien maar kan het me wel voorstellen: mijn moeder met een ster. Wat ik ook nooit heb gezien maar me wel kan voorstellen: mijn vader die al spelend van de Duitsers stal. Gisteravond was ik samen stil met mijn kinderen. Niet omdat ik er op aandrong, maar omdat ze het zelf wilden. Ik was trots. Vrijheid lijkt iets vanzelfsprekends. Maar dat is het niet, toen niet en ook nu niet.

    Ik ben van na de oorlog en moet het doen met die voorstellingen in mijn hoofd. Voorstellingen die al werden gebouwd in mijn jeugd waarin de oorlog nog een veel grotere rol speelde dan in de jeugd van mijn eigen kinderen. Bij mijn oma, die boos was op mijn opa als hij handelde met “de moffen”. In de familie van mijn moeder, waar het leed werd weggestopt. Als een struisvogel, ondanks de tientallen namen van directe familie in het boek dat ik in de kast heb staan met de namen van 101.414 joodse oorlogsslachtoffers die tijdens de Tweede Wereldoorlog uit Nederland werden gedeporteerd en van wie geen graf bekend is. Wegstoppen werkte maar even. Aan het einde van haar leven kwam de oorlog in alle heftigheid terug in het hoofd van mijn oma.

    Ik leef. Waar veel familieleden nooit kinderen hebben gekregen omdat ze omkwamen in plekken met beruchte namen als Auschwitz, overleefde mijn moeder wel. En dus kon ik, ruim twintig jaar na de oorlog, geboren worden. In het “Over mij” staat al een tijdje dat ik iets heb met privacy. Ik heb er iets mee omdat ik wel geboren kon worden.

    Briefje uit bevolkingsregister: door brand kan de informatie niet worden verstrekt.

    Het briefje dat ik erfde toen mijn opa overleed is simpel, en de betekenis vooral duidelijk met terugwerkende kracht. “Door een brand in het bevolkingsregister kan ik u niet van dienst zijn”. Het register, met daarin de gegevens van meer dan 70.000 Amsterdamse Joden, was doelwit geweest van een aanslag. Maar een paar van de aanslagplegers overleefden de oorlog. Hun doel: het moeilijker maken om mensen met een Joodse achtergrond op te pakken.

    Vandaag vier ik de vrijheid. Vrijheid die ook kan bestaan doordat Gerrit van der Veen, Willem Arondéus, Johan Brouwer, Rudi Bloemgarten (een joodse verzetsman) en nog een aantal anderen hun leven gaven om ervoor te zorgen dat gegevens niet in de handen kwamen van de foute mensen.

    Informatie delen doen we elke dag. Echte vriendschap kan alleen bestaan als je gekend bent en ook kwetsbare informatie in vertrouwen kunt delen. Goede zorg kan bestaan in de vertrouwelijke uitwisseling van informatie tussen dokter en patiënt. Kwetsbare informatie delen, kortom, kan alleen in het vertrouwen dat die niet misbruikt wordt.

    Ik wil in vertrouwen gekend kunnen zijn. Daarom vier ik vandaag niet alleen de vrijheid. Vandaag vier ik ook de privacy.

  • Geplaatst op

    “Het verwerken van medische informatie is in beginsel verboden”. Deze zin is opgenomen in de tweede brief over elektronische gegevensuitwisseling in de zorg die recent aan de Tweede Kamer gezonden is. Patiënt en zorgverlener moeten uit kunnen gaan van vertrouwelijkheid. Tegelijkertijd: zonder de juiste informatie kan een medebehandelaar niet de juiste zorg leveren. Daarom zijn er ook uitzonderingen op de regel dat gegevens niet mogen uitgewisseld met anderen. Expliciete toestemming van de betrokken patiënt is de meest voor de hand liggende.

    Maar er zijn ook situaties dat die toestemming mag worden aangenomen en niet expliciet hoeft te worden gevraagd. Zo is expliciete toestemming niet nodig voor acute zorg aan iemand die niet in staat is om toestemming te geven (iemand die buiten bewustzijn is, bijvoorbeeld). Ook het verstrekken van benodigde informatie aan medebehandelaars en aan vervangers van behandelaars is zo’n uitzondering. Dat is ook wel zo prettig. Want wie in een ziekenhuis wordt opgenomen, bijvoorbeeld, heeft te maken met tientallen verpleegkundigen (in ploegendienst) en meerdere artsen. Die mogen allemaal de informatie kennen die ze nodig hebben om de goede zorg te kunnen bieden, zonder dat je ’s nachts wakker gemaakt hoeft te worden om die toestemming te geven aan een nieuwe verpleegkundige.

    Om zeker te stellen dat informatie niet wordt ingezien door mensen die niet bij de behandeling betrokken zijn moet toegang worden gelogd. Die logbestanden worden bekeken en bij misbruik worden maatregelen genomen. Zorgprofessionals weten dat en gaan er in de regel precies mee om. Het is immers, ook, het zonder grond doorbreken van beroepsgeheim.

    Voor elektronische uitwisseling tussen instellingen is een extra toestemming nodig. Die toestemming is ontstaan in 2011, toen de betrokkenheid van de overheid bij elektronische gegevensuitwisseling tussen instellingen werd gestopt. De tweede toestemming is nodig voor “het beschikbaar stellen van gegevens voor derden”. Dat betekent dat, bijvoorbeeld, een ziekenhuis van een patiënt toestemming moet hebben voordat informatie beschikbaar mag zijn voor ophalen door andere instellingen. Ook als die andere instelling er vanwege betrokkenheid bij de behandeling over mag beschikken.

    Stel dat je wordt verwezen voor chemotherapie naar een ander ziekenhuis. Dan mag de verzendende dokter wel de gegevens elektronisch verzenden. Maar de gegevens elektronisch ophalen door het tweede ziekenhuis, dat mag alleen met expliciete toestemming. Want alleen dan is die informatie beschikbaar.

    Die tweede toestemming is om meerdere redenen geïntroduceerd. Het is een extra barrière voor het zonder toestemming gegevens inzien. En er is ook een technische reden. In veel gevallen wordt namelijk om te weten welke instelling over gegevens van iemand beschikt een aparte “index” bijgehouden. Dat een instelling iets van je weet is ook al gevoelige informatie, zeker als die index buiten de instelling zelf wordt bijgehouden. Voor opname in zo’n index buiten de instelling zelf is toestemming nodig (ook op grond van vroeger de WBP en nu AVG). Het zou overigens, om veel redenen, wat mij betreft goed zijn als er zo weinig mogelijk van dergelijke indexen buiten instellingen zelf zouden zijn.

    Die tweede toestemming maakt dat als we in de zorg overgaan van papier naar digitaal, er minder informatie beschikbaar is. Er zijn dan in feite twee toestemmingen. De eerste toestemming voor het doorbreken van beroepsgeheim, waarop uitzonderingen zijn zoals betrokkenheid bij de behandeling en acute zorg. En de tweede toestemming voor elektronische gegevensuitwisseling waarop geen enkele uitzondering is.

    Die tweede toestemming wordt tegen het licht gehouden, zo staat in de genoemde brief. Een aantal mensen reageerde naar mij met de zorg dat privacy te grabbel wordt gegooid. Ik begrijp die zorg. Maar als de tweede toestemming niet zou bestaan, is de eerste er nog wel. En die is voor zorgverleners heel precies. Wie zonder grond beroepsgeheim doorbreekt kan rekenen op maatregelen. Tuchtrechtelijk, maar bijvoorbeeld ook in sommige gevallen ontslag. Daarom gaan – de meeste – zorgprofessionals zo precies om met gegevensdeling.

    Het zou wel goed zijn als die gegevensdeling transparant zou zijn. Daarom is in de normen voor logging van toegang tot medische gegevens opgenomen dat deze inzichtelijk moeten zijn voor patiënten. Ik zou dat wel tof vinden: een signaal in mijn MedMij-gecertificeerde Persoonlijke Gezondheidsomgeving dat iemand toegang heeft gehad tot mijn gegevens. Die balans, tussen toegang indien nodig voor behandeling en tegelijkertijd inzicht in logging voor patiënten, vind ik persoonlijk de moeite waard om te onderzoeken.

    Met nog steeds bescherming van de privacy voorop. Want privacy en gegevensdeling kunnen - en moeten wat mij betreft - samen gaan.

  • Geplaatst op

    De afgelopen weken gonsden de sociale media van onrust en onzekerheid over de AVG. Mogen artsen nog wel mailen met hun patiënten? En hoe zit het met de fax? En wat als mensen het zelf willen?

    De AVG verandert niet zoveel
    Het goede nieuws: de AVG verandert daar niet zoveel aan. Mensen krijgen meer rechten (zoals het recht op vergetelheid en de mogelijkheid om digitale data die over hen gaan op te halen en naar een ander te brengen) en de toezichthouders krijgen meer mogelijkheden voor handhaving en het opleggen van sancties zoals boetes.

    Maar de eisen aan gegevensbescherming veranderen niet ingrijpend. Wat al onder de WBP ter discussie stond blijft dat ook onder de AVG. Iedere professional of organisatie die gegevens vastlegt en uitwisselt moet daarin, op basis van privacy by design, een eigen afweging maken. Begrijpelijk is wel dat hogere boetes er toe leiden dat overwegingen uit het verleden nog eens tegen het licht worden gehouden.

    En mail dan?
    Laten we mail als voorbeeld gebruiken. Dat is niet zo veilig, zo schrijft Nictiz in een rapport uit 2015:

    “E-mail is uitgevonden in het prille begin van internet. Het ontwerp heeft in het geheel geen rekening gehouden met beveiliging. Een e-mail is te vergelijken met een ansichtkaart die iedereen die hem door de handen gaat kan lezen of zelfs veranderen. Iedereen die een ansicht verstuurt weet dat.”

    Maar niet iedereen die een e-mail stuurt weet dat die leesbaar is voor alle partijen in de bezorging. Mensen mogen er zelf voor kiezen, maar voor professionals is het verstandig om te overwegen of het beroepsgeheim niet in gevaar komt als ze ook antwoorden met een digitale ansichtkaart. Ook bij faxen worden fouten gemaakt (de verhalen van faxen die op foute bureaus belanden haalden in het verleden regelmatig de pers), maar tussen zender en ontvanger is afluisteren een stuk moeilijker. Het gaat vooral om de bewuste afweging dus.

    Veilig mailen kan!
    Veel zorgorganiaties kiezen al bewust voor veiligere mail. Zo kreeg ik als vader recent een mail over één van mijn dochters die via een beveiligde omgeving tot mij kwam. Minder makkelijk, maar ik begreep – zeker gezien de inhoud – dat de organisatie daarvoor gekozen had. Ik hoop wel dat er ook standaarden komen waardoor al die verschillende oplossingen met elkaar kunnen praten en er een landelijk dekkende oplossing voor veilige mail komt. Voor alle professionals, voor alle mensen.