© Olivier Heiligers

29 april 2023·

12 MIN

Academische ziekenhuizen schenden medisch beroepsgeheim met verkoop van patiëntendata

6 Connecties

Ziekenhuizen verkopen met regelmaat patiëntengegevens aan fabrikanten van medische hulpmiddelen. De fabrikanten kunnen die patiëntendata vervolgens gebruiken voor de marketing van hun producten of doorverkopen aan andere partijen, zonder medeweten van de patiënt. ‘Dit is een schending van het medisch beroepsgeheim.’

Dit stuk in 1 minuut

Waar gaat dit artikel over?

Om nieuwe producten op de markt te kunnen brengen, voert de medische hulpmiddelenindustrie klinische trials uit. Hiervoor worden onderzoekscontracten afgesloten met academische ziekenhuizen.
In deze contracten spelen patiëntendata een belangrijke rol. Uit onderzoek van Follow the Money blijkt dat de industrie zich deze data vaak onterecht toeëigent.
De patiëntendata zijn commercieel interessant voor de fabrikanten. Niet alleen worden ze gebruikt voor onderzoek of productontwikkeling, maar ook voor marketing.
Volgens verschillende experts is deze praktijk illegaal. ‘Schending van het medisch beroepsgeheim is een strafbaar feit en zorgverleners kunnen daarvoor tuchtrechtelijk aansprakelijk gesteld worden.’

Waarom is dit relevant?

Medische gegevens zijn zeer privacygevoelig en daarom beschermd door de Wet op de geneeskundige behandelovereenkomst (WGBO). Zodra ze worden gedeeld met commerciële partijen, kan deze bescherming niet meer worden gegarandeerd.
Ook de bescherming van patiëntengegevens onder de Algemene Verordening Gegevensbescherming (AVG) wordt met voeten getreden. Ziekenhuizen moeten patiënten om toestemming vragen voor de gegevens die ze met derden delen, maar doen dit niet, of niet volledig.
De fabrikant geeft vervolgens niet thuis als een patiënt om zijn gegevens vraagt, want die heeft immers geen overeenkomst met de patiënt.

Hoe heeft Follow the Money dit onderzocht?

Follow the Money kreeg 147 onderzoekscontracten tussen academische ziekenhuizen en leveranciers van medische hulpmiddelen in handen via een beroep op de Wet openbaarheid van bestuur (Wob).
De contracten zijn gescreend op specifieke clausules over eigenaarschap, betalingen en overdracht van gegevens. Vervolgens zijn de overeenkomsten voorgelegd aan drie experts.

Lees verder

Was dit kader nuttig?

Zijn we blij mee!

Balen!

Vertel ons wat beter kan:

Meld je aan voor onze nieuwsbrief en krijg een maand gratis Follow the Money.

Henk Duinkerken rent over een bomvolle Coolsingel in Rotterdam. Het is april 2014. Hij is bezig aan zijn laatste meters van de marathon als hij, vlak voor de finishlijn, duizelig wordt en in elkaar zakt. Het ambulancepersoneel verzamelt zich om Duinkerken heen en gebruikt een defibrillator om zijn hart weer aan de praat te krijgen. Na twee schokken komt Duinkerken langzaam bij en wordt hij naar het Erasmus MC gebracht.

Een verstopte ader, ziet de cardioloog op de spoedeisende hulp. De blokkade zit op een vervelende plek die alleen via een openhartoperatie verholpen kan worden.

Duinkerken is dan 53 jaar, heeft nooit eerder hartklachten gehad en is altijd een actieve sporter geweest. Hij trainde drie keer in de week bij een hardloopvereniging en liep regelmatig lange afstanden.

Twee weken na de diagnose wordt hij geopereerd. Hoewel de operatie voorspoedig verloopt, is de cardioloog er nog niet gerust op. Onregelmatigheden in zijn hartslag zouden de boel weleens in de war kunnen sturen, waarschuwt de arts. Hij krijgt dan ook een ICD, een apparaatje dat onder de huid wordt geplaatst en ingrijpt bij gevaarlijke hartritmestoornissen. De ICD verzamelt gegevens over het functioneren van zijn hart die worden bewaard op een server van de fabrikant.

Na de ingreep wil Duinkerken direct werken aan zijn gezondheid om herhaling te voorkomen. In zijn werk als consultant is hij voortdurend bezig met digitale innovaties en hij vraagt dan ook aan zijn behandelaar om inzage in zijn medische gegevens. Met die gegevens wil hij onderzoek doen naar het effect van zijn dagelijkse keuzes in leefstijl en voeding op zijn hart.

Maar het inzageverzoek mondt uit in een jarenlange strijd tussen Duinkerken en het ziekenhuis. Hij neemt contact op met de manager van de patiëntenadministratie en dient verschillende malen een klacht in bij de klachtencommissie van het ziekenhuis. Tevergeefs. Ook op een aangetekende brief aan toenmalige bestuursvoorzitter Ernst Kuipers krijgt hij geen antwoord.

Persoonsgegevens

Duinkerken doet zijn inzageverzoek op grond van de Algemene Verordening Gegevensbescherming (AVG) die regelt wat er allemaal wel en niet mag met de persoonsgegevens van mensen.

Samen met de stichting MDOG (Mijn Data Onze Gezondheid) neemt Duinkerken een advocaat in de arm met wie hij in het voorjaar van 2018 aan tafel zit tegenover de bedrijfsjurist van het Erasmus MC. Tijdens het gesprek wordt duidelijk waarom zijn data niet met hem gedeeld kunnen worden. Het Erasmus MC heeft die namelijk helemaal niet. Het enige wat ze hem kunnen geven is een stapel papieren printjes, wat ongeschikt is om analyses op uit te voeren. Geen data in ‘machine readable format’, zoals de wet dat voorschrijft.

Wie wel over Duinkerkens hartgegevens beschikt, is Medtronic, de leverancier van de ICD. Het Erasmus MC heeft sinds 2015 een hechte samenwerking met dit bedrijf. De ICD wordt uitgelezen waarna deze gegevens direct verstuurd worden naar de leverancier.

Duinkerken wendt zich tot Medtronic met het verzoek om zijn gegevens in te zien, maar wordt weer terugverwezen naar het Erasmus MC vanwege het ‘ontbreken van een rechtstreekse klantrelatie’. Duinkerken: ‘Ik heb met mijn vuist op de tafel geslagen. Het is potverdorie mijn data.’

Follow the Money beschikt over e-mailcorrespondentie en brieven die het verhaal van Duinkerken ondersteunen. Tot op de dag van vandaag heeft hij zijn medische data niet digitaal ontvangen.

‘Dit vind ik echt schokkend,’ zegt Gerard Ritsema van Eck. Hij is expert data en privacy aan de Universiteit van Groningen. ‘Het recht op inzage is een fundamenteel grondrecht in de AVG. Dat het bedrijf en het ziekenhuis er moeilijk over doen, dan hebben ze er zo weinig van begrepen.’

Dossier

Medische hulpmiddelen

Over een miljardenindustrie die stelselmatig artsen en ziekenhuizen probeert te beïnvloeden.

Bekijk artikelen

Marketing

In de zaak van Duinkerken gaat het om de data van één patiënt. Maar fabrikanten van medische hulpmiddelen verwerven op veel grotere schaal patiëntengegevens, zonder directe toestemming: via commerciële onderzoekstrajecten. Dat zijn gesponsorde studies die worden verricht in opdracht van de fabrikant om de veiligheid en werking van medische producten aan te tonen.

Follow the Money onderzocht welke afspraken fabrikanten van medische hulpmiddelen maken met academische ziekenhuizen voor het uitvoeren van dit soort onderzoeken. Door middel van een beroep op de Wet openbaarheid van bestuur (Wob) ontving Follow the Money in totaal 147 onderzoekscontracten over hartkleppen, ICD’s, stents en medische apparatuur. Deze contracten schijnen licht op een handel in data die zich afspeelt buiten medeweten van degenen over wie die data gaan: de patiënten zelf.

In de meeste contracten wordt niet toegelicht welke gegevens precies verzameld worden, of zijn de betreffende passages weggelakt. Maar in een aantal overeenkomsten is wel terug te vinden welke gegevens aan de industrie worden overgedragen. Genoemd worden: (medische) dossiers, foto’s, klinische casussen, gezondheidsinformatie van patiënten waaronder diagnoses, ziektegeschiedenis, lengte, gewicht, leeftijd en geslacht. Er zijn bedrijven die genoegen nemen met geanonimiseerde of gepseudonimiseerde data tegenover bedrijven die juist alle data in handen willen krijgen.

‘Niemand is eigenaar. De patiënt niet, het ziekenhuis niet en dus ook de leverancier niet’

Voor de medische industrie kunnen deze gegevens commercieel interessante informatie opleveren. Ze kunnen die niet alleen voor het oorspronkelijke onderzoek gebruiken, maar – zo blijkt uit de contracten – ook voor nieuwe onderzoeken, voor de verdere ontwikkeling van hun producten in de breedste zin van het woord, voor onderwijs, conferenties, publicaties en voor marketing.

Het gaat om commercieel onderzoek, benadrukt emeritus hoogleraar farmacologie Huub Schellekens. ‘In de contracten gaat het heel duidelijk om het promoten van een product. Dit zijn studies waarbij de industrie betaalt voor patiëntengegevens en daar vervolgens eigenaar van wordt.’

In zeker 31 contracten claimen fabrikanten dat ook letterlijk: dat ze eigenaar zijn van de data. ‘Ik ben verbaasd,’ zegt Hans Vedder, hoogleraar economisch en Europees recht aan de Universiteit van Groningen die de contracten op verzoek van Follow the Money heeft bestudeerd. ‘Het gaat om zeer gevoelige persoonsgegevens die nu bij commerciële bedrijven liggen. Hiermee geeft het ziekenhuis de controle uit handen en dit is onwenselijk.’

Bart Jacobs, hoogleraar Security, privacy en identity aan de Radboud Universiteit, noemt de eigendomsclaim van fabrikanten juridische ‘onzin’. ‘Het is juridisch niet geregeld van wie patiëntengegevens zijn. Niemand is eigenaar. De patiënt niet, het ziekenhuis niet en dus ook de leverancier niet.’

Billboard

Het UMC Utrecht doet als eerste ziekenhuis in de wereld samen met Philips onderzoek naar de zogeheten Fiber Optic Realshape: een nieuwe technologie in de vaatchirurgie die voerdraden en catheters zichtbaar maakt in 3D met licht in plaats van met röntgenstraling. Daardoor kan de arts zijn medische hulpmiddelen beter zien. En doordat er minder röntgenstraling nodig is, worden operaties eenvoudiger en veiliger.

Voor dit onderzoek wordt allerlei informatie over deelnemende patiënten verzameld: geboortedatum, geslacht, lengte en gewicht, maar ook medische gegevens van CT-scans en MRI-scans.

‘Dit is idioot breed. Dit vind ik heftig’

‘Een kopie van al deze data wordt verkocht aan Philips,’ concludeert Gerard Ritsema van Eck, privacy- en data-expert aan de Universiteit van Groningen. ‘Dit bedrijf wil alles van de patiënten weten en kan alles met de data doen. De gegevens kunnen worden gebruikt voor nieuw onderzoek; daar kan werkelijk alles onder vallen. Dit is idioot breed. Dit vind ik heftig.’

‘Maar het wordt nog heftiger,’ vervolgt hij. ‘De data worden ook gebruikt voor marketingdoeleinden. Als patiënt doe je mee aan een studie, en een jaar later zie je jezelf op een billboard in een bushokje staan met de tekst: Dit Philips apparaat heeft mijn leven gered. In feite kan dit gebeuren als je deze clausule leest.’

Dat een commercieel bedrijf zo’n clausule voorschotelt is tot daar aan toe, maar dat het ziekenhuis akkoord is gegaan met dit contract, vindt Ritsema van Eck ‘onbegrijpelijk’. ‘Een ziekenhuis is geen commerciële organisatie, maar is opgericht om patiënten beter te maken. Deze overeenkomst maakt vooral Philips beter.’

Een woordvoerder van Philips kan niet precies vertellen voor welke marketingdoeleinden de data gebruikt worden. ‘De gegevens zouden ingezet kunnen worden in kader van een wetenschappelijke publicatie,’ laat hij weten.

De vrees dat patiënten zichzelf daadwerkelijk kunnen terugzien op bushokjes kan hij niet met zekerheid wegnemen. ‘Er zullen ongetwijfeld meer zaken onder marketing vallen.’

Niet op de hoogte

Navraag bij het UMC Utrecht leert dat het ziekenhuis zelf helemaal niet op de hoogte is van het gebruik van patiëntengegevens voor marketingdoeleinden. Een woordvoerder laat weten: ‘Marketingdoeleinden zijn niet opgenomen in de door de patiënt gegeven informed consent. Dat is wat uiteindelijk bepaalt wat er met data gedaan mag worden. Dus Philips mag patiëntendata uit onderzoeken onder dit contract niet gebruiken voor marketingdoeleinden.’

‘Wat een algemeen falen dit’

De woordvoerder van Philips is verbaasd als blijkt dat het ziekenhuis marketing niet in de informed consent heeft staan. ‘Dat is nieuw voor mij. Ik ben verrast. Ik moet navragen hoe dit kan.’

Een paar uur later belt hij terug: ‘Ik heb geen idee waarom marketing niet in de informed consent staat. Maar als het er niet in staat, dan mag je er van uit gaan dat we de data niet gebruiken voor marketing. We handelen conform de informed consent.’

Op de vraag hoe Philips zich aan de informed consent kan houden als het niet weet wat erin staat, geeft hij geen antwoord. ‘Hier wil ik niet op ingaan, want dat wordt te veel detailniveau. Hoe het onderling is afgestemd, is niet relevant. Dat is een zaak tussen Philips en het UMCU.’

‘Schrikbarend’ noemt Ritsema van Eck de reactie van Philips. ‘We hebben het over mensen die hun heel gevoelige gegevens beschikbaar stellen voor medisch onderzoek, en dan zijn de processen aan de achterkant zo slecht geregeld. Wat een algemeen falen is dit.’

Niet ongebruikelijk, of strafbaar feit?

Volgens de ziekenhuizen die Follow the Money sprak is het delen van gecodeerde patiëntengegevens met sponsoren van klinische trials niet alleen gebruikelijk, maar zelfs noodzakelijk om medische producten op de markt te kunnen brengen.

‘Marketing hoort bij productontwikkeling en het beschikbaar maken op de markt van medische hulpmiddelen,’ schrijft een woordvoerder van het Amsterdam UMC. ‘Het verstrekken van patiëntengegevens voor marketingdoeleinden is daarom conform het beleid.’

Conform beleid of niet: volgens Martin Buijsen staat deze praktijk haaks op het medisch beroepsgeheim. De hoogleraar gezondheidsrecht aan de Erasmus Universiteit spreekt duidelijke taal: ‘Het is niet toegestaan om patiëntgegevens te verstrekken aan derden voor commerciële doeleinden, zelfs niet met toestemming van patiënten. Je kunt een patiënt hierover namelijk niet informeren. Een arts weet niet wat er met de gegevens gaat gebeuren. Patiënten doen mee aan een onderzoek en dan gelden voor de arts-onderzoekers de regels van het medisch beroepsgeheim. Schending van het medisch beroepsgeheim is een strafbaar feit en zorgverleners kunnen daarvoor tuchtrechtelijk aansprakelijk gesteld worden.’

Perverse prikkel

Emeritus hoogleraar Huub Schellekens bestudeerde op verzoek van Follow the Money verschillende contracten en ziet een duidelijke relatie tussen de betalingen en de overdracht van de patiëntengegevens naar de industrie.

Als voorbeeld noemt hij een contract van Abbott, een fabrikant van cardiologische implantaten. Schellekens: ‘Het Erasmus MC ontvangt geld als de patiëntengegevens zijn overgedragen aan het bedrijf.’

Ook in een contract van Adagio, fabrikant van cardiologische producten, wordt hetzelfde ziekenhuis betaald per patiënt nadat de patiëntengegevens zijn ingevoerd in een elektronische database van de fabrikant.

Data-expert Ritsema van Eck noemt dit een perverse prikkel: ‘Het ziekenhuis kan zoveel mogelijk patiënten laten meedoen aan de studie. Immers, iedere patiënt brengt extra geld in het laatje. Hierdoor kunnen andere belangen dan het patiëntenbelang een rol gaan spelen.’

Hoeveel van de onderzochte fabrikanten precies betalen op basis van geleverde patiëntendata is vanwege de veelal weggelakte passages niet te achterhalen.

Doorverkoop

Ritsema van Eck ziet nog iets opmerkelijks in het contract van Adagio: ‘De patiëntendata kunnen volgens deze overeenkomst overgedragen worden aan andere partijen, bijvoorbeeld omdat het bedrijf opgekocht wordt of omdat Adagio daar gewoon zin in heeft. Daar heeft het ziekenhuis niks meer over te zeggen.’

Precies dezelfde clausule is ook terug te vinden in contracten van andere fabrikanten.

En nog een probleem: Veel van de fabrikanten zijn ofwel gevestigd in de Verenigde Staten, of delen hun data met Amerikaanse (zuster)maatschappijen. In de Verenigde Staten bestaat geen algemene wetgeving voor de bescherming van persoonsgegevens. Het is onder de AVG dan ook ‘in beginsel niet toegestaan om persoonsgegevens door te geven aan de VS,’ schrijft de Autoriteit Persoonsgegevens op haar website.

‘Ik raak het spoor bijster’

Ritsema van Eck is resoluut: ‘Patiëntengegevens versturen naar de VS is hartstikke onrechtmatig. Van de terminologie die in sommige contracten wordt gebruikt krijg ik wel een beetje jeuk in dit verband. De term ‘ownership’ impliceert bijvoorbeeld dat Amerikaanse bedrijven kunnen doen wat ze willen met die data.’

‘Voor mij als privacy-jurist is het niet duidelijk wat er allemaal gebeurt met de patiëntendata en bij welke partijen de gegevens terechtkomen. Ik raak het spoor bijster. Als ik het al niet uit het contract kan halen, hoe moet een patiënt die meedoet aan een onderzoek dan begrijpen waar hij ja tegen zegt’, aldus Ritsema van Eck.

Het Amsterdam UMC en het UMC Utrecht verklaren aanvullende clausules op te stellen als persoonsgegevens naar de VS gaan, maar die zijn niet terug te vinden in de contracten. Het Erasmus MC zegt ervoor zorg te dragen dat de ontvangende partij van de data maatregelen treft om de bescherming van de gegevens te waarborgen.

Inzageverzoek

Voor hartpatiënt Henk Duinkerken is het volstrekt duidelijk hoe de vork in de steel zit. Hij gaf weliswaar toestemming om zijn gegevens te delen met zijn zorgverlener en zijn team, maar dat zijn data ook naar Medtronic zou gaan, staat niet in zijn informed consent formulier.

Waarom het Erasmus MC Duinkerken hier niet van op de hoogte heeft gesteld, vertelt het ziekenhuis niet. Wel laat het ziekenhuis schriftelijk weten dat ‘het niet toegestaan is om als ziekenhuis vragen te beantwoorden over patiënten. In algemene zin hebben wij er geen enkel belang bij om de gevraagde gegevens niet te verstrekken. Alle patiënten kunnen tijdens het polibezoek, als ze zelf een USB stick meenemen, een PDF krijgen van de gegevens die ook tijdens een reguliere ICD controle worden verkregen. Zij moeten er zelf om vragen, het is niet standaard.’

Duinkerken laat het er niet bij zitten en is voornemens een AVG-inzageverzoek in te dienen. Zo hoopt hij na negen jaar eindelijk zijn data te kunnen ontvangen. ‘Ik voel mij klemgezet. Alsof ik gevangen zit in een dwangbuis. En de ICD-leverancier heeft zich in een prettige positie gemanoeuvreerd om de apparaten te verkopen en de data te gebruiken om mensen in die dwangbuis te houden.’

Reacties ziekenhuizen

Follow the Money vroeg aan de academische ziekenhuizen wie volgens hen in beginsel de eigenaar is van patiëntendata, en of deze zomaar verhandeld mag worden.

Amsterdam UMC noemt het ‘logisch en gebruikelijk’ dat bij sponsor-geïnitieerde studies ‘alle resultaten inclusief ruwe data en persoonsgegevens naar de fabrikant gaan.’ Erasmus MC stelt daarentegen dat niemand de data in bezit heeft.’ Het UMC Utrecht en het Maastricht UMC reageerden niet op vragen over het claimen van eigenaarschap door de fabrikanten.

Over de financiële vergoeding die ziekenhuizen ontvangen van fabrikanten in ruil voor het leveren van patiëntendata, zeggen de ziekenhuizen het volgende:

UMC Utrecht verklaart dat de patiëntendata niet aan de medische hulpmiddelendinsturie worden verkocht. ‘We ontvangen een vergoeding voor het deelnemen aan het onderzoek en de tijd die het kost om daaraan mee te werken, niet voor de data zelf. Ook als we een vergoeding krijgen per verstrekte dataset, is dat voor de tijd die het kost om de data te verzamelen.’

Erasmus MC: ‘Het is niet ongebruikelijk dat een sponsor het onderzoek ondersteunt met zowel het ter beschikking stellen van producten als een financiële vergoeding. Dit is een geaccepteerde vorm van onderzoeksfinanciering. Het is geen indicatie voor het “verkopen van patiëntgegevens” – die aanname onderschrijft het Erasmus MC niet.’

Amsterdam UMC stelt dat er een vergoeding wordt betaald voor de data ‘in bruikleen.’ ‘Er worden geen data verkocht, alleen in gebruik gegeven binnen het kader van medisch-wetenschappelijk onderzoek, waarvoor een maximaal kostendekkende vergoeding wordt betaald. Voor het gebruik van de studiedata voor marketing en commerciële doeleinden moet een extra licentie worden afgenomen tegen extra betaling.’

Maastricht UMC: ‘Het ziekenhuis ontvangt geen vergoeding voor het delen van gecodeerde data, noch is een vergoeding voor data op enigerlei wijze verdisconteerd in overeengekomen vergoedingen die gerelateerd zijn aan de kostprijs van de geleverde diensten en/of onderzoeken.’

Tot slot schrijven de betrokken ziekenhuizen dat ze patiënten informeren over het verzamelen, verwerken en delen van hun data. ‘In het algemeen gebeurt dit via de website, als bij ieder afzonderlijk onderzoek waarvoor de data worden gebruikt’, aldus een woordvoerder van het Amsterdam UMC.

Lees verder Inklappen

Reacties leveranciers

Philips laat telefonisch weten: ‘Wij maken nieuwe gezondheidsproducten vanuit een commercieel oogpunt. Daarom nemen we in onze contracten op dat de patiëntendata voor ‘commerciële exploitatiedoeleinden’ gebruikt kunnen worden. Het is ook noodzakelijk de gegevens te kunnen delen met toezichthouders in het kader van het goedkeuringstraject, zodat wij onze producten op de markt kunnen brengen.’

Philips benadrukt dat zij niet betalen voor de data. ‘Het is belangrijk op te merken dat Philips de ziekenhuizen betaalt voor het op haar verzoek uitvoeren van de onderzoeksactiviteiten.’

Abbott, een fabrikant van cardiologische hulpmiddelen, schrijft dat ‘de persoonlijke patiëntgegevens geen eigendom zijn van Abbott. Daarnaast heeft Abbott geen toegang tot de persoonlijke patiëntgegevens die voor deze onderzoeken worden gebruikt.’

Abbott en Medtronic reageren niet op de clausules over de vergoedingen die zij geven aan ziekenhuizen in ruil voor de patiëntendata. Medtronic geeft evenmin antwoord op de vraag waarom ze claimen eigenaar te zijn van de data.

Adagio heeft niet gereageerd op vragen van Follow the Money.

Lees verder Inklappen

Auteur: Ilona Dahl

Onderzoeksjournalist, in het verleden voor o.a. nrc.next en De Correspondent. Schrijft voor FTM over de Nederlandse zorg.

Gevolgd door 889 leden Je volgt deze auteur

55 Bijdragen

Oudste eerst

Nieuwste eerst

Roland Horvath 7

29 april 2023 6:34

Het artikel: Schokkend en zeker niet bevorderlijk voor de gezondheid.
We worden verkocht terwijl we er bij staan. Door instanties die we 100% vertrouwen. Medische gegevens laten gebruiken ten bate van de industriële productie. Het gaat ver. Die gegevens kunnen de wereld rond gaan en overal terecht komen. Het is geen slavernij in de klassieke zin van het woord. Maar toch nog eens: We worden verkocht. Zonder het te weten, zonder dat het ons gemeld wordt.
Wellicht alles voor het goede doel, voor de vooruitgang, voor het algemeen welzijn, niet voor geld. Welke instanties in de maatschappij zijn nog te vertrouwen.

Evelien van Roijen

Roland Horvath 29 april 2023 7:05

Er moet wel een onderscheid gemaakt worden in het artikel tussen medische middelen die data uitlezen en wetenschappelijk onderzoek.
De doorgegeven data voor wetenschappelijk onderzoek zijn onherleidbaar naar een specifieke patiënt. Ziekenhuizen doen mee zolang het wetenschappelijke onderzoek duurt en ook met een vastgesteld aantal patiënten.
Medische middelen die uitgelezen worden, moeten wel teruggekoppeld worden, anders heeft het geen zin. Die patiënten hebben een code en staan niet onder een naam ( althans zelden). Een arts kan die zo terugvinden door in te loggen bij de leverancier. Dus de gegevens voor de patiënt kan zo ter inzage worden opgevraagd. Of dat uitgeprint kan worden, is dan even de vraag. Een arts kan alleen inloggen met zijn arts code, dus dit kan niet door de patiënt gedaan worden.
Dit artikel geeft een verontrustend beeld dat niet nodig is. De patiënt kan met zijn behandelend arts alle gegevens doornemen.
Evelien van Roijen
Voormalig privacy officer bij Ziekenhuisgroep.

John Janssen 4

Evelien van Roijen 29 april 2023 7:20

Dat geeft inderdaad een andere kijk op de zaken.
Paniekzaaier dus Mevr. Dahl!?

Alowieke van Beusekom 1

John Janssen 29 april 2023 8:01

Het Erasmus MC zegt dat ze de gegevens niet in kunnen zien. Die man is er al jaren mee bezig. Hoe komt het dat ik hier het tegengestelde hoor?

Evelien van Roijen

Alowieke van Beusekom 29 april 2023 9:25

Bij het inzetten van medische middelen in een behandelplan heeft een arts zicht op de gegevens genoteerd door derden. De patiënt moet in gesprek met de behandelend arts, niet met de privacy of juristen afdeling. Zij hebben geen toegang tot de medische data bij externe partijen. Inzage in het medisch dossier gaat ook niet helpen, daar komen conclusies in. Als het ziekenhuis geen inzicht heeft in de gegevens, kunnen ze altijd de gegevens opvragen waar de conclusies op gebaseerd zijn.

Roland Horvath 7

Evelien van Roijen 29 april 2023 8:22

Citaat uit het artikel:
'De doorgegeven data voor wetenschappelijk onderzoek zijn onherleidbaar naar een specifieke patiënt. ... Die patiënten hebben een code en staan niet onder een naam ( althans zelden).'

Evelien, 1- er worden veel verschillende gegevens van de personen doorgegeven. 2- Als men
bovendien beschikt over algemene gegevens betreffende de -mogelijke- identiteit van de patiënten, uit andere bronnen bijvoorbeeld de sociale media. Dan kan de identiteit van de patiënten in een oogwenk gevonden worden door een combinatie van de eerste - en de tweede soort gegevens. Eventueel blijft er bij het opzoeken van de identiteit van een patiënt een kleine groep personen met mogelijkerwijze de gezochte identiteit over.

Dat zoekwerk kan door veel instanties uitgevoerd worden zonder veel moeite.
Besluit: De informatie, die doorgegeven is aan de industrie, is maar één stap verwijderd van het feit dan alle persoonsgegevens van heel veel patiënten volledig op straat liggen en kunnen gezien en gelezen worden door iedereen, waar ook ter wereld.
Gegevens zijn vluchtig. En misbruik van vertrouwen is des mensen.

NB: Een verhelderend artikel.
En voor Henk Duinkerken: Succes.

Evelien van Roijen

Roland Horvath 29 april 2023 9:35

Daarom zijn de data die doorgegeven worden minimaal. Op basis van leeftijd, gewicht, bmi en ziektebeeld b.v. kan ik niemand terug vinden. Wel wordt het makkelijker wanneer ik geboortedatum, postcode en ziektebeeld doorgeef. Dus zorgen de researchverpleegkundigen en de juristen ervoor dat de doorgegeven data zo minimaal is dat er geen herleidbaarheid mogelijk is. Patiënt gegevens worden goed beschermd, terwijl wetenschappelijk onderzoek mogelijk wordt gemaakt. Patiënten kunnen in hun dossier zien of en zo ja aan welke onderzoeken men mee doet en onmiddellijk aangeven bij de Functionaris Gegevensbescherming wanneer dat niet (meer) wil. En men kan ook aangeven dat je aan geen enkel onderzoek wilt meewerken. Dan wordt jouw dossier altijd buiten beschouwing gelaten bij het zoeken naar potentiële kandidaten voor een wetenschappelijk onderzoek.

Roland Horvath 7

Evelien van Roijen Bewerkt 29 april 2023 17:03

Evelien, de 4 gegevens, die jij noemt namelijk leeftijd, gewicht, bmi en ziektebeeld, zijn reeds zeer specifiek.
1. Wordt het Universitair Medisch Centrum + de Stad van de vestiging dan niet genoemd bij het overdragen van de gegevens; Vijfde gegeven. En is het land van herkomst dan niet bekend, namelijk NL.
2. Het bijzondere aan de 4 genoemde gegevens:
Eén voorbeeld: Kraamkoorts komt -veelal- niet voor bij mannen. En prostaat kanker komt vooralsnog weinig voor bij vrouwen. Sommige ziekten komen jaarlijks maar bij een paar tientallen personen voor in NL.
De 4 gegevens: Bijvoorbeeld 65 jaar, 80 kilogram, BMI Body Mass Index is gewicht gedeeld door de lengte in het kwadraat bijvoorbeeld 80 kilogram : kwadraat van de 1,6 meter lichaamsgrootte = 80 : (1,6 x 1,6) = 31,25 BMI. BMI van 30 en meer wordt als obees / te- veel beschouwd.
Door de combinatie van gewicht en BMI index kent men ook de grootte van de patiënt.
Namelijk:
Gewicht 80 : 31,25 BMI = 2,56 lengte in het kwadraat.
De vierkantswortel van 2,56 = 1,6 meter, de lichaamslengte.

Dus zoals ook door Marc Smits gezegd: Anoniem verwerken van gegevens in de context van onderzoek is een fabel. Of moeten we zeggen een leugen.

Evelien van Roijen

Roland Horvath 29 april 2023 11:45

Je moet wel heel erg je best doen om de specifieke persoon te vinden van 65 jaar met een bmi van >30 en prostaatkanker in een specifiek onderzoek. En wat weet je dan?
Desalniettemin moet er alles aan gedaan worden om ook dit op de juiste manier te beveiligen. Een eis van subsidie verstrekkers (ZonMW, EU) is dat verzamelde data van een onderzoek publiekelijk beschikbaar is voor ander onderzoek. Dus aan contractmanagers de taak om de data te minimaliseren, opslag te controleren, samenvoegen van registers tegen te gaan en uitvoer buiten de EU aan strikte banden te leggen.

Hoe meer specifieke gegevens (b.v. niet veel voorkomend ziektebeeld in een bepaald gebied bij bepaalde leeftijdsgroepen) hoe meer eisen worden gesteld aan het vragen van hele specifieke toestemming van patiënten, aan de beveiliging en verder gebruik van gegevens.

Roland Horvath 7

Evelien van Roijen Bewerkt 29 april 2023 19:06

Evelien, er is geen twijfel over het feit dat je te goedertrouw bent. En dat je gelooft dat de 4 gegevens, die jij genoemd hebt en die als een minimaal aantal worden gezien, volgens de heersende leer als veilig worden gezien wat privacy betreft.
Maar nogmaals, een leeftijd van 65 jaar, een gewicht van 80 kg, een BMI index van 31,25 zoals in het gebruikte voorbeeld, en prostaatkanker is tezamen reeds een zeer specifieke combinatie.
De gegevens zijn namelijk juiste getallen bijvoorbeeld een 31,25 niet zo maar BMI > 30.
Met BMI en gewicht kan de lengte van de betreffende persoon berekend worden. Zoals in het voorbeeld:
Gewicht in KG 80 : 31,25 BMI = 2,56 lichaamslengte in het kwadraat.
De vierkantswortel van 2,56 = 1,6 meter, de lichaamslengte.

Ten anderen meerdere commentatoren, die naar hun commentaar te zien -veel- ervaring hebben met het opzoeken van informatie, in het EN information retrieval, beamen ten volle dat met een aantal persoonsgegevens er in de regel veel meer gedaan kan worden dan men op het eerste zicht zou denken.
Ten andere, het aantal personen van wie de gegevens zijn verstuurd naar private ondernemingen, is gering relatief tegenover het totaal aantal personen met dezelfde kwaal in een land bijvoorbeeld NL.
Het gaat dus in het opzoeken van de identiteit van een persoon niet over aantallen van miljoenen veelal zelfs niet van honderd duizenden. In dat geval duurt een onderzoek met een computer niet langer dan een seconde. Met als resultaat de gezochte persoon of hooguit enkelen, een gering aantal.

Een computer kan veel minder dan wat die wordt toegedicht, het blijft een machine zonder eigen creativiteit. Van de andere kant kan een computer veel meer dan men denkt als gaat om te rekenen of om het opzoeken van gegevens door de snelheid waarmee dat gebeurt.
Een computer: Een machine met een grote snelheid maar er is een chauffeur nodig.

marcel 7

Evelien van Roijen 30 april 2023 21:23

Fijn dat u wilde reageren.

heleen janssen

Roland Horvath 29 april 2023 16:12

Eens. Bovendien is anonimiteit nog lastiger te waarborgen zodra gegevenssets door de ontvanger van de gegevens worden gecombineerd en verrijkt met andere informatie.

j.a. karman 5

Roland Horvath 29 april 2023 14:46

Die valkuil dat elke gegeven op zich altijd herleid kan worden naar een persoon door een andere gebeurtenis is een niet door bewijs gestaafde mening.

Kwalijker het Chinese onderzoek waar de AP zich op baseert dat dit altijd op te lossen zou zijn en k-anonimiteit niet zou bestaan rammelt. Het bleek een enkel verhaal te zijn wat elders niet na te doen bleek.
Dat privacy de enige waarde zou zijn, dat klopt ook niet.

Medisch onderzoek en medische vooruitgang kan enkel met gebruik en kennis van wat in de praktijk waargenomen wordt. Die afhankelijkheid is niet goed te krijgen als het niet zou mogen wegens privacy.
Daar zit een gerechtvaardigd algemeen belang bij wat boven die van een ekele persoon uit gaat.
De heel covid ophef met vele complot denkers laat zien hoe moeilijk het onderwerp ligt.

Marc Smits 1

Evelien van Roijen 29 april 2023 9:35

‘Anoniem’ verwerken van gegevens voor onderzoek is een fabeltje (zeker in de zorg). Gegevens zijn zo specifiek dat ze in de praktijk al heel snel herleidbaar zijn.

Dit artikel gaat niet over een technisch datalek, of beveiliging, maar over ziekenhuizen die hun patiënten in juridische zin te weinig beschermen doordat ze ondeugdelijke contracten afsluiten met leveranciers.

Leveranciers kunnen vervolgens aan de haal met data, deze verrijken met andere data en verkopen. Dan is je anonimiteit zeker foetsie.

Uiteindelijk gaat het medisch beroepsgeheim over vertrouwen in de zorg als geheel. Dat wordt hiermee ondermijnd.

Marc Smits (Stichting Privacy First)

12 Uitklappen

John Janssen 4

Roland Horvath 29 april 2023 8:36

Begin jij nu ook nog even over slavernij Roland:-(
We hadden hier een prachtig verjaarsfeestje in Rotterdam voor onze Willem, gaat er weer iemand volledig los over de mentale problemen met het slavernijverleden. Stel je geeft een party voor jouw Koningshuis, en je blijft maar zeiken over wat Leopold heeft uitgevreten in de Congo!

Hank Rearden

Roland Horvath 1 mei 2023 4:28

Niet alleen m.b.t. medische gegevens. Coronavaccins werden ook gepushed en gretig afgenomen met veel medisch nadeel voor gebruikers, e.e.a. t.g.v. innige banden tussen overheid, betaalde "experts", en industrie; in de volksmond ook wel fascisme genoemd.

In NRC staan wat voorzichtige artikelen, maar de wob/woo onderzoeken van Cees van den Bos en Daniel van der Tuin geven een volledig beeld (1,2).

1. https://bomenenbos.substack.com/
2. https://danielvdtuin.substack.com/

Hein Schepers

29 april 2023 9:03

vraag

Wat is de reden dat bij aantallen contracten het Universitair Medisch Centrum Groningen wel genoemd wordt, maar in verdere analyses niet terug te vinden is? Hebben die geen leesbare passages in de stukken staan ivm weglakken?

Ilona Dahl

Hein Schepers 29 april 2023 11:39

Beste Hein. We hebben van het UMCG 5 onderzoekscontracten ontvangen. In deze contracten zijn wij geen clausules tegengekomen over eigendomsclaims, betalingen of het overdragen van de gegevens aan andere partijen.

Constant van Schelven

29 april 2023 11:20

Geweldig onderzoek! Complimenten.

marcel 7

Constant van Schelven 30 april 2023 21:24

Eens. Ga zo door!

Jan Ooms 10

29 april 2023 11:27

'Volgens verschillende experts is deze praktijk illegaal.'

Echt? Moet je daar tegenwoordig expert voor zijn om dat te snappen?
Een doofstomme blinde zwakzinnige ezel kan aan zijn hoeven aanvoelen (en dan mag 'ie nog klompen dragen óók) dat dit hoogst illegaal is.

Onmiddellijk ontslaan dat tuig in die ziekenhuizen, strafrechtelijk vervolgen en hun salaris over de betreffende periode terugeisen met daarbovenop een 100% boete!

Jemig, wat kan ik me hier kwaad over maken, zeg...!

Jan Willem de Hoop 12

Jan Ooms 29 april 2023 12:06

Helemaal raak Jan Op alle punten uit het hart gegrepen.

""'Volgens verschillende experts is deze praktijk illegaal.'"

Maak me wel zorgen over journalistiek, ook FTM, dat onzin pas onzin is, dat absurd pas absurd is, dat rood verkeerslicht pas een rood verkeerslicht is, dat niet volgens wet niet volgens wet is, als niet minimaal 3 deskundigen of hoogleraren dit durven te zeggen.

Zelf niets meer kunnen of durven constateren als journalist / journalistiek zou je ook kunnen zien als vorm van zelfcensuur.

Eric Smit 11

Jan Willem de Hoop 29 april 2023 13:55

Beste Jan Willem,

Je maakt je al vele jaren zorgen om de journalistiek en je spaart FTM ook niet. Dat is prima. Het heeft zin wanneer dat op een onderbouwde wijze gebeurt en met enig benul van de journalistieke mores. Daar heb je kennelijk moeite mee want hier draaf je veel te ver door. Suggereren dat wij hier aan zelfcensuur doen is van de zotte. We brengen hier iets aan het licht en doen dan op degelijke wijze. We scheiden daarbij de feiten van meningen en duiding. We laten experts aan het woord als het gaat om de interpretatie complexe materie die vaak in onze artikelen aan de orde wordt gesteld. We laten er het liefst meerdere aan het woord wanneer het het onderwerp daarom vraagt, zoals hier.
Ik hoop dat het zo duidelijk is.
Groet,
Eric
PS we vinden het fijn wanneer mensen op dit platform met hun eigen naam reageren.

Jan Willem de Hoop 12

Eric Smit Bewerkt 29 april 2023 15:04

Beste Eric dank voor je reactie,

Jammer dat je zorgen om de journalistiek ziet als aanval op de journalistiek en FTM..

Bijzonder dat je mij op persoon aanvalt en Jan Ooms met zelfde kritiek niet.

Niet zelf kunnen en of durven oordelen omdat alles heeeeeel complex is vind ik te gemakkelijk.

Soms heb ik het idee dat wij Nederlanders er bijna trots op zijn dat we heel erg igewikkeld zijn en dat eigenlijk alleen nog een paaar hele slimme advocaten het begrijpen.

Dit al of niet, gelt op de voorbeelden, wat prikkelend zelfcensuur noemen voor de gehele journalistiek door mij, tja het heeft zijn doel gemist als je de boodschap niet eerst probeert te begiijpen. Dat is dan is in eerste aanleg van mijn kant mislukt.

Ik vind het heel goed dat jullie deskundigen erbij betrekken, maar ik bespeur een algehele trend bij het verschuilen achter complex en ingewikkeld en dat alleen een paar deskundigen het nog weten of er iets van mogen zeggen.

Zo is wie iets zegt steeds belangrijker dan wat er wordt gezegd.
Het maakt dan ook gemakkelijk tegenstellingen die er niet zijn.

Ik zie burgers / lezers als mensen die ook zelf informatie van politici en journalisten moeten kunnen beoordelen.

Er staat veel op het spel de komende tientallen jaren, jullie doen er dagelijks verslag van. Degenen die het proberen te begrijpen - begrijpen dat het een probleem van (bijna) iedereen is, mijn zorgen gelden voor zowel politiek en journalistiek. Want uiteindelijk zijn wij burgers zelf de politiek en de journalistiek.

Succesvolle journalistiek of een succesvol FTM, hoe graag ik het jullie ook gun, is echt onvoldoende voor het voorkomen van de meeste grote problemen.

Mochten er dingen in mijn uitleg onduidelijk zijn, vraag het gewoon.

2 Uitklappen

Steven Burg

29 april 2023 11:37

vraag

Zijn alle 147 patiënt informed consents ook opgevraagd en naast de contracten gelegd? Niet terug te vinden.

- In elke niet WMO en WMO-plichtige patiënt informed consent kan de patiënt een lijst met vakjes aankruisen en aangeven of gegevens gedeeld met derden mogen worden en/of gebruikt voor commerciële doeleinden - de patiënt beslist.
- Welke jaartallen omvatten de 147 onderzoekscontracten? Dat staat nergens. Het kunnen verouderde contracten zijn van vóór wet GDPR en EU-MDR. Daar wordt nu streng op gehandhaafd.
- Evelien maakt een goed punt, er wordt geen onderscheid gemaakt tussen wetenschappelijk onderzoek of niet.

Er zullen vast uitschotten zijn, maar het is een eenzijdig artikel; ook nergens wordt genoemd dat publiek-private samenwerking in onderzoekssetting juist wordt geëist (!) van ZONMW en overheidssubsidieverstrekkers. Die trajecten worden gedegen en integer gedaan door de juridische- en METC afdelingen van de ziekenhuizen volgens GDPR, MDR met een DPIA (servers in de EU), CTA, MTA en patiënt informed consent waarbij de patiënt zelf alles kan aankruisen. En dat bushokje opmerking van Ritsema is sensatiezoekerij.

Jan Ooms 10

Steven Burg 29 april 2023 11:57

'En dat bushokje opmerking van Ritsema is sensatiezoekerij.'

Waarom?
Volgens het contract kán het!
Er dan maar gewoon op vertrouwen dat de commerciële partij genoeg fatsoen heeft om het niet te doen?
Fatsoen vs. commercie. Wat zal de uitslag worden...???

Nogal naïef...

Steven Burg

Jan Ooms 29 april 2023 13:09

Jan, toch interessant dat je uit mijn volledig inhoudelijke comment dat laatste zinnetje opmerkt - de rest van de comment interesseert je niet?

Als iets contractueel, volgens een hiaat in het contact en/of misser van een legal-afdeling toch uiteindelijk in het contract komt, wil nog niet zeggen dat het dan meteen gebeurt omdat:

In Nederland hebben we de gedragscode geneesmiddelenreclame en er zijn strikte regels voor medische reclame direct gericht aan de patiënt én waarbij de patiënt iets direct aanbeveelt; het voorstel van Ritsema over de bushokjes zou niet goedgekeurd worden, zeker als de patiënt daar zelf niet voor getekend heeft. Daarbij hebben we óok in NL het portretrecht. Nogal naïef te denken dat een theoretische contractmogelijkheid daadwerkelijk gaat gebeuren zonder kennis te hebben van het proces.

We zijn (gelukkig) geen Amerika, waar dat helaas allemaal wel gebeurt. Heb jij in Nederland weleens een billboard langs de snelweg gezien met reclame voor robotchirurgie met een zichtbare patiënt?

Eveline Bernard 6

Jan Ooms 29 april 2023 16:49

Precies.

2 Uitklappen

j.a. karman 5

29 april 2023 14:35

Dit artikel rammelt behoorlijk.
- Privacy experts die zich er op beroepen dat toestemming de enige grond van verwerking zou zijn hebben artikel 6 van de GDPR niet goed begrepen.
- Ziekenhuizen ook academische vallen sinds enige tijd niet meer onder de overheid. Een inzage via WOB beter het heet WOO heeft geen enige rechtsgrond. Medisch onderzoek is gewoon een commerciële verantwoordelijkheid in het liberale bestel.

Dit is geen goede refrentie: "Bart Jacobs, hoogleraar Security, privacy en identity aan de Radboud Universiteit, noemt de eigendomsclaim van fabrikanten juridische ‘onzin’." De persoon zit zwaar in privacy activisme waarbij privacy van anderen geschonden wordt. "

Deze is niet uitgewerkt: .." het delen van gecodeerde patiëntengegevens met sponsoren van klinische trials niet alleen gebruikelijk, maar zelfs noodzakelijk om medische producten op de markt te kunnen brengen."
Ziekenhuizen nog overheden zijn de onderzoekinstituten van medische kennis en medische wetenschap. Je kan dat leuk of niet leuk vinden, het is de situatie.

Alle ophef over delen van data en welke data is een zeer lastig onderwerp als de privacy als enige waarde gaat zien maar de medische zorg als iets wat daaraan ondergeschikt is. Het is overigens vrij onwaarschijnlijk dat een persoon met de meetwaardes van een apparaat wat hij niet kent, iets waardevols kan doen.

Eveline Bernard 6

j.a. karman 29 april 2023 16:46

U slaat de plank weer volledig mis

j.a. karman 5

Eveline Bernard 30 april 2023 10:03

Integendeel er is wat te veel sprake van ongefundeerde framing.
Een Willen van Engel evangelie hoeft niet herhaald te worden, da is een slecht voorbeeld.

Gerard Ritsema van Eck

j.a. karman 30 april 2023 7:59

In dit geval gaat het niet slechts om de verwerkingsgronden uit artikel 6 van de AVG. Belangrijker is artikel 457 van het zevende Burgerlijk Wetboek (deel van de Wet op de Geneeskundige Behandelovereenkomst):

"[De hulpverlener draagt] zorg, dat aan anderen dan de patiënt geen inlichtingen over de patiënt dan wel inzage in of afschrift van de gegevens uit het dossier worden verstrekt dan met toestemming van de patiënt."

Geen van de uitzonderingen die in de volgende artikelen volgen is hier van toepassing.

Met betrekking tot uw laatste opmerking: onderzoek naar de ontwikkeling van medische apparatuur is heel goed mogelijk met (zo goed en zo kwaad als het gaat) geanonimiseerde gegevens. Ik heb contracten met bijvoorbeeld Siemens gezien, waarin als harde eis was opgenomen dat er geen persoonsgegevens zouden worden overgedragen. De tegenstelling die u schetst, bestaat niet.

j.a. karman 5

Gerard Ritsema van Eck 30 april 2023 12:46

U bedoeld: https://wetten.overheid.nl/BWBR0005290/2023-02-18#Boek7_Titeldeel7_Afdeling5_Artikel457
Die is in het artikel niet uitgewerkt noch goed aan de orde geweest.
Degenen welke geraadpleegd zijn hebben de privacy op het oog. Daar gaat het in de vele aannames dan ook goed fout. Ik heb eens verder gekeken naar pacemakers medtronic. Dit had wel vermeld mogen worden
https://nl.wikipedia.org/wiki/Vitatron overgenomen door medtronic in 1986.

Een handleiding van de programmer voor pacemakers geeft wat meer houvast van de informatieverwerking.
Een pacemaker heeft een eigen systeem maar moet lang meegaan en energiezuinig zijn. Er zit apparatuur om die reden wat er tussen gezet moet worden. Het is geen "always connected" "smart apparaat", indien wel dan is er een ernstiger iets aan de hand.
Manuals zoeken en napluizen is tijdrovend, https://manuals.medtronic.com/manuals/main/en_GB/home/index

In het artikel wordt de klacht van een persoon gevolgd welke aanneemt dat alles zoals bij een computer / smartphone altijd verbonden is en dat alle gegevens op de milliseconde gearchiveerd wordt per persoon.
Die aanname volg ik niet als er geen bewijs voor is en het tegendeel met achtergrondinformatie logischer is.

De ontwikkeling van medische apparatuur kan niet met geanonimiseerde gegevens als we betekenis van anoniem conform de GDPR hanteren (die bevat uitleg over de betekenis) . Op zijn best gaat het om niet herleidbare gepseudonimiseerde gegevens. Gemiddelden over veel individuen zijn namelijk per definitie ongeschikt. Hier wringt het gangbare taalgebruik met de GDPR waar anoniem nog steeds over een enkele persoon gaat . De tegenstelling volgt uit het dat verschil.

De contracten die u gezien heeft noemen expliciet persoonsgegevens. Voor de privacy juristen bestaat dat verschil niet, alles is een persoonsgegeven wat gegevens zelf zouden de persoon identificeren en daarmee persoonsgegevens worden.

Gerard Ritsema van Eck

j.a. karman 1 mei 2023 14:49

Drie punten waar ik even op wil reageren:

- Dat is inderdaad het wetsartikel waar ik op doel, aangezien het hier van toepassing is. U heeft gelijk dat het in het stuk niet expliciet aan de orde is gekomen, maar dat geldt evenzeer voor de grondslagen van artikel 6 AVG. Dat het om toestemming in de zin van de AVG zou gaan, is een aanname van uw kant. (Tussen twee haakjes, dan nog zou het minstens om expliciete toestemming in de zin van artikel 9 AVG moeten gaan gezien de aard van de gegevens.)

- Dat de heer Duinkerken zou aannemen dat zijn pacemaker elke milliseconde verbinding maakt met de servers, kan ik ten eerste nergens in het artikel vinden. Ten tweede doet dat juridisch ook niet ter zake: artikel 15 AVG maakt geen onderscheid naar hoeveelheden persoonsgegevens.

- Met betrekking tot uw opmerking over dat gemiddelden niet geschikt zouden zijn voor de ontwikkeling van medische apparatuur: Dat lijkt me correct. Er is een verschil tussen alleen gemiddeldes communiceren, en volledige datasets die (zo goed en kwaad als het gaat) geanonimiseerd zijn. Waarom neemt u aan dat het hier gaat om gemiddeldes?

j.a. karman 5

Gerard Ritsema van Eck 1 mei 2023 18:44

>Gemiddelden< Het gaat me om correct eenduidig woordgebruik. Als je refereert aan geanimiseerde data volgende de GDPR dan kan het geen gepseudonimiseerde data zijn.

https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679 inleiding paragraaf 26

"(26) De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd."

De AP stelt dat pseudonimisatie niet van toepassing kan zijn omdat er altijd de mogelijkheid van aanvullende gegevens bestaat. Een specifiek hartritme voldoet aan die mogelijkheid.

Een definitie: https://cros-legacy.ec.europa.eu/content/anonymization_en Het middelen / groeperen categoriseren zijn de statistische methodes voor anoniemisatie.
https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf

> DE heer Duinkerken zou aannemen dat zijn pacemaker elke milliseconde verbinding kan ik ten eerste nergens in het artikel vinden.<
Hij wenst een volledig overzicht van alle gegevens om het aan zijn eigen activiteiten en belevingen te koppelen. Hoe moet je het anders uitleggen dan een volledig tijdsoverzicht?
Hier wringt de GDPR. Artikel 15 "Recht van inzage van de betrokkene" gaat over wat er gekoppeld aan de persoon bekend is. 15 h profilering en automatische beslissing is van toepassing. Het is het doel van een pacemaker. De parameters hoe waarom wanneer zijn echter discutabel, ter beoordeling van de arts.

Artikel 14 lid 5 geeft aan waarom overhandiging via een verzoek niet evenredig is en vandaar niet hoeft
Doorbreken van pseudonimisatie meetgegevens lijkt me disproportioneel genoeg
Artikel 12 stet de eis dat de verwerker de persoon moet kunnen identificeren.

Antoinette Vlieger

Gerard Ritsema van Eck 1 mei 2023 10:48

In artikel 7:458 BW staat een uitzondering op 7:457 BW; een uitzondering voor wetenschappelijk onderzoek die hier, terecht, van toepassing is. Hoe kunnen we in hemelsnaam medische wetenschappelijke vooruitgang boeken zonder data? Lees ook de memorie van toelichting bij dat wetsartikel, waarin staat dat toestemming vragen van de patient niet nodig is, als er een belangrijk doel is, en het onevenredig veel inspanning kost om iedereen dit te vragen. Logischerwijs wil men wel inspraak, en dus moet het Ministerie van VWS zo snel mogelijk met een register komen, waarin men kan aangeven dat zijn of haar gegevens niet gebruikt mogen worden voor wetenschappelijk onderzoek. Maar bedenk: hoe meer mensen hun toestemming weigeren, hoe onbetrouwbaarder de resultaten van het onderzoek zullen zijn: terwijl we dus niet (kunnen) weten wie de patienten zijn die over tien jaar gebaat zouden zijn geweest bij dat onderzoek. Daarnaast; de data zijn niet van de patient, maar gaan over de patient. Hij heeft geen (vermogens)recht op die data, maar recht op inzage en ook recht op privacy. Maar dat is dus wat anders dan dat het "zijn" data zijn. De data zijn intussen ook niet van het ziekenhuis. Alleen mensen met een databankrecht, kunnen data "van hen" noemen. De ziekenhuizen hebben dat recht niet en mogen dan ook niet zoveel geld vragen als ze maar willen, en mogen ook niet de data wel delen met de farmaceutische industrie, maar niet met onafhankelijke wetenschappers. Het artikel slaat wat mij betreft dan ook de plank mis: er is niets mis mee als data gebruikt worden voor onderzoek, door wie dan ook. Er is wel iets mis als de gegevens wel gedeeld worden met goed betalende farmaceuten, maar niet met zeer slimme maar onderbetaalde universitair wetenschappers. En daarom probeert Brussel - geheel terecht - de beschikbaarheid van medische data, mits zeer goed beveiligd, voor elke wetenschapper beschikbaar te maken, tegen een lage prijs. Dat is namelijk goed voor de volksgezondheid.

Gerard Ritsema van Eck

Antoinette Vlieger 1 mei 2023 15:08

Artikel 7:458 kan hier niet van toepassing zijn, en daar zijn enkele argument voor:

- Het gaat niet, zoals geëist in de aanhef van lid 1, om onderzoek "ten behoeve van statistiek of wetenschappelijk onderzoek op het gebied van de volksgezondheid." Zou men dit heel breed willen lezen, dan loopt het alsnog spaak op:

- Sub a van lid 1: dat eist dat "het vragen van toestemming in redelijkheid niet mogelijk is." Het is wel mogelijk, sterker nog, het is gewoon gebeurd.

- Sub b van lid 1 biedt ook geen soelaas: Dat eist immers dat er sprake van is "dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele natuurlijke personen redelijkerwijs wordt voorkomen."

- Lid 2 noemt dan nog drie cumulatieve eisen waar aan voldaan moet worden om de uitzondering van lid 1 mogelijk te maken, de eerste in sub a daarvan is dat "het onderzoek een algemeen belang dient." Bij de aangehaalde voorbeelden gaat het om de bedrijfsbelangen van de Philips & Adagio cum suis.

5 Uitklappen

Nico Wortèl

29 april 2023 16:03

kennis of ervaring

Ook ik vind dit een tendentieus artikel. En dat zit hem in 'privacy', wat een *juridische* term is. En juridische termen moet je niet verwarren met de werkelijkheid!
Wij mensen kunnen met elkaar allerlei afspraken maken, en sommige zijn dan juridisch. Maar afspraken maken over de werkelijkheid zelve, dat gaan niet. Dat weet men al heel lang: "De mens (jurist, rechter )wikt, God beschikt".
Bij onderzoek moet je je hiervan bewust zijn. En ALTIJD terug gaan naar de werkelijkheid zelf. En dan gaat het niet om privacy, maar om overlevingskansen e.d.
Nogmaals, 'privacy' is eigenlijk niks. Pas sinds kort bestaat deze term; we hebben het miljoenen jaren zonder gedaan.

Eveline Bernard 6

Nico Wortèl 29 april 2023 16:45

Kletskoek

j.a. karman 5

Eveline Bernard 30 april 2023 12:56

Geen kletskoek, privacy is bij juristen inmiddels en goed verdienmodel geworden. Er gaat heel wat geld in om.
In de jaren 60 was de situatie heel anders. Hart probleem betekend pech gehad.
- hartranplantaties: https://nl.wikipedia.org/wiki/Christiaan_Barnard
- pacemakers vitatron (dieren gelderland) https://nl.wikipedia.org/wiki/Vitatron opgericht 1956 nu medtronic

Richtlijn 95/46/EG (algemene verordening gegevensbescherming) is de eerste waaruit het juridische "privacy" gebruik uit voortkwam. Daarvoor moest je het met het BW doen, dat werkte ook .

Antoinette Vlieger

j.a. karman 1 mei 2023 10:59

Bovendien gaat men eraan voorbij dat de GDPR (wat bij ons de AVG werd) bedoeld was om de bescherming van het prive-leven (wat dus wel al langer bestaat - de onduidelijkheid zit m erin dat men denkt dat privacy een recht op "data over jou" zijn, maar het punt is dat we een "recht op prive-leven" hebben, niet een recht op data) gelijk te trekken in heel Europa, om juist een vrij verkeer van data te realiseren: dat is goed voor de wetenschap, voor de economie en ook nog voor de democratie. Vrije datastromen zijn gunstig, mits het priveleven niet onevenredig aangetast wordt (let op, aantasting van het priveleven mag dus weldegelijk, als er een ander belang is dat zwaarder weegt). Daarom is het helemaal niet de bedoeling dat elk EU-land meer privacy-bescherming gaat bieden dan de AVG zelf. Toch doen wij dat in Nederland: meer wetgeving dan de AVG, die maximum-harmonisatie (meer wettelijke bescherming dan dit mag dus niet) beoogt. Bedenk daarbij dan ook nog, dat Brussel vindt dat de Nederlandse Autoriteit Persoonsgegevens veel en veel te streng is: we worden op de vingers getikt vanwege zowel de overdaad aan privacy-bescherming, als vanwege het totale gebrek aan implementatie van de regels die het vrije verkeer van data moeten realiseren. Het zou helpen als iemand een keer het lef zou hebben om door te procederen tegen de AP, of als er een keer een wetenschapper een proefproces zou starten over het recht op data. Maar op de een of andere manier durft men dat allebei niet, omdat privacy zo bizar gevoelig ligt hier. Maar onderzoek NIET doen vanwege de privacy, kost mensenlevens.

j.a. karman 5

Antoinette Vlieger 1 mei 2023 17:16

Met je eens. je noemt de problematiek zoals ik die ook zie.
De GDPR was bedoeld, staat beschreven in de GDPR, om tegenwicht aan grote commerciëlen te bieden.
Het is door de AP ingevuld met een anti-overheid insteek via meelopen met activisten.

Artikel 6 met een ander belang dat zwaarder weegt wordt helaas stelselmatig genegeerd met het uitdragen dat toestemming die enige grond zou zijn en het foute idee dat gegevens over jou ook van jouw zouden zijn met alle vrijheid om daarover te beschikken.

3 Uitklappen

marjo floor cohen

Nico Wortèl 2 mei 2023 9:05

privacy vergroot mijn overlevingskansen. als het vandaag niet is, dan morgen wel.
Floor Cohen

Willem de Boer 1

29 april 2023 19:07

vraag

Ongelooflijk en schokkend! Hebben we nog een minister die hier iets aan kan/wil doen?

P. Korremans

Willem de Boer 30 april 2023 13:41

Met schokkende belangstelling heb ik het onderzoek gelezen. De conclusie is dat ziekenhuizen de zaak niet allemaal op orde hebben. Dat verbaast mij niet aangezien deze complexe organisaties geen totaaloverzicht hebben waar voor welk doel en op basis van welke grondslag zij (persoons)gegevens verwerken. Laat staan met wie zij gegevens delen of uitwisselen.

Ook heb ik met belangstelling de reacties gelezen van de verschillende betrokken lezers.
Naast de verschillende gefundeerde opmerkingen van lezers lees ik ook veel opmerkingen die erop duiden dat er een kennisachterstand is. En ik begrijp dat best omdat dit best complex is.

De Stichting Privacy First heeft medische privacy als jaren als belangrijk thema op haar agenda staan. En dat is niet voor niets! Dankzij donaties doet zij al 15 jaar haar werk in de samenleving.
https://privacyfirst.nl/over-ons/

Paul Korremans
Voorzitter Stichting Privacy First

Hank Rearden

1 mei 2023 4:18

kennis of ervaring

De verontwaardiging van aangehaalde data en/of privacyexperts is of gespeeld, of naief.

Pagina 1 van het zeer lezenswaardige werk van Robert F. Kennedy jr. over de fratsen van de best betaalde ambtenaar van de VS, dr. Anthony Fauci, en zijn nauwe banden met de (Amerikaanse) farmaceutische industrie luidt als volgt:

"The first step is to give up the illusion that the primary purpose of modern medical research is to improve Americans’ health most effectively and efficiently. In our pinion, the primary purpose of commercially funded clinical research is to maximize financial return on investment, not health". —John Abramson, M.D., Harvard Medical School.

Uiteraard is strafrechtadvocaat en democraat Kennedy wellicht bezig met een soort Barack "Change" Obama campagne (Dronebama die na zijn verkiezing in 2008 toen iedereen Bush' Irak oorlog beu was de grootste droneoorlog in het Midden-Oosten ooit opzette) en blijft alles bij het oude mocht hij president worden, maar de details over het werk van Fauci, NIH, NIAID, farmaceuten en fabrikanten zijn wel degelijk aan de orde van de dag.

Sinds Fauci de "public health" tent in de VS runt in jaren '80 is Amerikaanse gezondheid (overgewicht, autoimmuunziekten, kanker) hollend achteruit gegaan, mede door Fauci's nauwe banden met (farmaceutiche) bedrijven.

M.b.t. voor doorsnee Amerikaanse burgers compleet gefaald coronabeleid, die in 2 jaar tijd ca. US$ 4.000 miljard armer zijn geworden terwijl bazen en aandeelhouders van onder meer farmaceutische firma's juist US$ 4.000 miljard rijker zijn geworden, riep Fauci dat hij geen econoom is, maar alles doet om de publieke gezondheid te verbeteren. Gezien de (on)gezondheid van de gemiddelde Amerikaan is dit uiteraard pertinent gelogen.

Nederland lijkt het voorbeeld te volgen, publieke gezondheid is niet meer relevant en onderdeel van een groter verdienmodel geworden voor de industrie.

1. https://archive.org/details/the-real-anthony-fauci-bill-ga-robert-f.-kennedy

Cor Broeders 4

1 mei 2023 8:18

vraag

Wat vind de AVG waakhond hiervan? Ligt daar nu een klacht?

Antoinette Vlieger

Cor Broeders Bewerkt 1 mei 2023 11:01

De AVG waakhond vindt, terecht, dat dit mag, zie de opinie van de AP die op 13 februari 2023 naar de Tweede Kamer werd gezonden. Zonder wetenschappelijk onderzoek namelijk geen medische vooruitgang.

Cor Broeders 4

Antoinette Vlieger 2 mei 2023 9:05

Hebben ze die meneer dan verteld dat hij aan een medisch onderzoek deelnam? Vast niet.

Marieke Huising

1 mei 2023 9:48

kennis of ervaring

Het Erasmus MC schendt pertinent niet het medisch beroepsgeheim of de AVG. Er worden bovendien geen gegevens verkocht. De data die aan de industrie worden verstrekt zijn nooit terug te voeren op een persoon. De anonimiteit van de patiënten is altijd gewaarborgd.

Onze integrale reactie op de vragen die wij kregen vindt u hier.

https://erasmusmc-amazingerasmusmc.s3.eu-central-1.amazonaws.com/wp-content/uploads/2023/05/01093117/integrale-beantwoording-FTM.pdf

Hank Rearden

Marieke Huising 2 mei 2023 3:17

Maar het is wel zeer merkwaardig dat EMC de heer Duinkerken naar Medtronic verwijst voor de gegevens uit zijn ICD...

j.a. karman 5

Hank Rearden 2 mei 2023 17:53

Nee niet zijn ICD. Die ICD is gemaakt door medtronic en die hebben de taak het apparaat goed te laten functioneren. De heer Duinkerken heeft geen recht op enige achterliggende techniek van het ICD.
Als hij meer van de techniek wilt weten moet hij bij medtronic zijn, niet bij het EMC.

Zie: https://www.hartstichting.nl/hart-en-vaatziekten/behandelingen/icd
De rollen van medische begeleiding en apparaat controle zijn duidelijk gescheiden.

Hank Rearden

j.a. karman 3 mei 2023 6:41

Het gaat m.i. niet om apparaatcontrole, maar om de cardiale data van patient zelf (ECG data, ICD activatie etc.) die op de ICD worden opgeslagen na implantatie. MedTronic heeft tegenwoordig ICD's met BlueTooth waarvan data direct kan worden afgelezen met bijgeleverde apparatuur (1).

Het is natuurlijk wel interessant wie eigenaar van deze data is, echter dat is nu net wat helder in contract en informed consent form moet worden vastgelegd.

Indien de heer Duinkerken een ICD met BlueSync heeft kan het EMC in principe deze data ook zelf uitlezen en overleggen als onderdeel van het patientendossier; daarvoor hoef je niet naar de fabrikant te worden doorverwezen.

1. https://www.medtronic.com/us-en/healthcare-professionals/therapies-procedures/cardiac-rhythm/cardiac-device-features/bluesync-technology.html

j.a. karman 5

Hank Rearden 3 mei 2023 17:45

U vraagt gelukkig verder door. Inderdaad die carelink blue-tooth (low energy) verbinding over korte afstand is een andere iets wat kan. Of dat in 2014 ook al zover was, dat weet ik niet. Als er nog geen vervanging is geweest kan deze een optie zijn.

Die hele verbinding moet veilig zijn. Als je een ontsleuteling vraag van één apparaat is er dikke kans dat je alle apparaten, dus veel andere personen openbaart. Denk aan de apple zaak ontsleutelen smartphones en de verhalen van PGP phones waar de berichten toch niet echt veilig waren.
EMC zal het niet kunnen uitlezen, enkel elders opvragen.
Zeer verwonderlijk dat een privacy-first aan zoiets van te niet doen van encryptie zou meewerken. Toch stellen ze dat met de eis van beschikbaar stellen van gegevens uit een apparaat.

Deze gegevens wat het dan ook moge zijn, zelfs die vraag is niet eens gesteld. zal naar het endpoint medtronic gaan. Die kennen niets van de patiënten, het is de arts zorgverlener die er wat mee zou kunnen, daarvoor is het medisch consult bedoeld.
Gezien de vereiste lange levensduur en low energy worden op zijn best events vastgelegd een soort brandmelder. Zeer vervelend als de batterij van zo'n ding op is.

3 Uitklappen

Cor Broeders 4

Marieke Huising Bewerkt 2 mei 2023 9:12

Mooi verhaal, maar de leverancier krijgt geen data. En toch gaan alle data naar de leverancier. Om aldaar bewerkt te worden.
Is de data die op een usb stokje past wel voor interpretatie vatbaar? of kan die man daar ook geen worst van maken?

Academische ziekenhuizen schenden medisch beroepsgeheim met verkoop van patiëntendata

Wetenschappelijk onderzoek in het Erasmus MC is vaak marketing in een doktersjas

Medische toezichthouder keurt snoepreisjes voor artsen goed tegen de eigen regels in

Erasmus MC sjoemelde onder Ernst Kuipers met transparantieregels

Van corruptie verdachte cardioloog werd ook betaald door fabrikant die artsen omkocht

Frankrijk dwingt Philips om Franse apneu-patiënten eerder te helpen dan Nederlandse

Apneu-apparaat Dreamstation van Philips blijkt een nachtmerrie

Onbetrouwbare corona-zelftesten liggen nog zeker anderhalf jaar in de schappen

Gezocht: kunstheup zonder ingebouwd servicecontract

Wat een medisch implantaat kost, mag geheim blijven

Relaties

Personen

Organisaties

Was dit kader nuttig?

Zijn we blij mee!

Balen!

Vertel ons wat beter kan:

Meld je aan voor onze nieuwsbrief en krijg een maand gratis Follow the Money.

Persoonsgegevens

Dossier

Medische hulpmiddelen

Marketing

Billboard

Niet op de hoogte

Niet ongebruikelijk, of strafbaar feit?

Perverse prikkel

Doorverkoop

Inzageverzoek

Gerelateerde artikelen

Meer lezen over dit onderwerp?

Volg dit dossier en krijg een seintje als er een nieuw artikel verschijnt

55 Bijdragen