No google voor medische dossiers

02 April 2019

nono 27

Als je nog steeds denkt dat je gegevens van personen wel kunt laten hosten bij Google, 'in the cloud' zoals dat vrij onnozel, onnodig en 'buzzy' genoemd wordt, dan mankeert er wat aan je verstand. Van 'gezond verstand' kan in dergelijke gevallen geen enkele sprake zijn. Ten eerste omdat het Google is. En Google is evil [1].

Over Google [1]: "Klokkenluider Edward Snowden toonde gedocumenteerd aan hoe de inlichtingendiensten via Google [1] spioneerden. Dat ze de gegevens in Eemshaven opslaan, doet dan niet ter zake.” [2] Hun voortgaande inbreuken op privacy zijn uitgebreid gedocumenteerd, gerapporteerd en beboet. [3] [4] [5]

Ten tweede is 'the cloud’[6] simpelweg een computer van een ander.

Het is nog tot daar aan toe dat je als ziekenhuis het beheer van 'je' data outsourced bij een specialist (het Deventer bedrijf MRDM), het is van een totaal andere orde als je vervolgens de behandelgegevens van je patiënten ook nog eens laat outsourcen aan een bedrijf die qua privacy een bijzonder slechte reputatie en bijsmaak heeft. [1] In dit verband is het tekenend dat de migratie 'in stilte' heeft plaatsgevonden [2].

Data eigenaar

De patiënt is per definitie eigenaar van zijn data. Als ook van de 'verwerking' ervan. Artikel 4 van EU algemene verordening gegevensbescherming (EU-AVG) [7] is duidelijk hierover:

  1. "persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

  2. "verwerking": een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

nono 24

Volgens MRDM zijn de patiëntengegevens 'gepseudonomiseerd'. Whaaah?

Over pseudonimisering in Artikel 4 van EU-AVG [7]

  1. "pseudonimisering": het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;

Het EPD (Electronisch Patienten Dossier) kon er slechts langs een omweg pas na jaren komen, wat op zichzelf een indicator is van ernstige maatschappelijke en politieke twijfel. Dat dataverwerker MRDM niet verplicht is om toestemming te vragen aan patiënten óf om hen te informeren, is juridisch wellicht waar, maar ligt in het verlengde van voornoemde twijfel.

EPD-expert Guido Van ’t Noordende: ,,Burgers moeten altijd kunnen zien wie de verwerkers van hun data zijn, ook als het gepseudonimiseerde gegevens zijn.’’ ,,Voor een gigant als Google, die al zoveel andere data van mensen bezit, is het technisch vaak een fluitje van een cent om deze data toch naar een persoon te herleiden.’’ [2] Daar ga je dan. Als 'data eigenaar'.

Kortom: fout. slecht. Verkeerdom gekanteld.

nono 22

Autoriteit Persoonsgegevens

We hebben tegenwoordig een Autoriteit Persoonsgegevens (AP). Je kunt bij hen terecht als je een klacht wilt indienen omdat je weet of vermoedt dat er een loopje is genomen met je persoonsgegevens. Dat wil zeggen 'als uw persoonsgegevens zijn verwerkt op een manier die in strijd is met de privacywet'.