Spreekt de minister de waarheid over waarborgen medisch geheim?

Waar minister Edith Schippers in 2014 nog beloofde dat gegevens over declaraties niet tot patiënten te herleiden zijn, blijkt dat nu wel het geval te zijn. De stelt de NZa tijdens een zitting bij de bestuursrechter in Amsterdam.

De zaak draait om de vraag of we mogen weten wat zorgaanbieders declareren. Mijn klant, de Open State Foundation, wil deze gegevens in de openbaarheid krijgen. Die informatie wordt namelijk aan de Nederlandse Zorgautoriteit(NZa) gestuurd. Omdat de belofte is dat deze declaraties niet tot de persoon te herleiden zijn, zou de privacy – dus het medisch geheim – niet in het geding zijn.

Maar tijdens de zitting stelde de NZa dat de anonimiteit niet altijd kan worden gegarandeerd en ging zelfs een stap verder door te stellen dat de anonimiteit in sommige gevallen zonder noemenswaardige inspanning op te heffen is in zeer specifieke gevallen. Ofwel: ons medisch geheim is niet altijd gegarandeerd, omdat deze gegevens soms tot de persoon te herleiden zijn en ook niet-artsen van de NZa erbij kunnen.

Dit staat haaks op het beeld in dat minister Edith Schippers in antwoord op kamervragen schetste:

“Het is een feit dat het DIS een zeer omvangrijke database is die gegevens bevat die – indien deze tot identificeerbare individuen herleidbaar zouden zijn, wat niet zo is – privacybelastend zouden zijn.”

en

“Bij pseudonimisering van persoonsgegevens worden de identificerende kenmerken van personen op een zodanige manier (vooraf) versleuteld en omgezet in een pseudo-identiteit, dat de werkelijke identiteit van de betreffende personen niet meer te achterhalen is. Direct identificerende gegevens worden dubbel versleuteld (oftewel dubbel gepseudonimiseerd) voordat ze worden opgeslagen in het DIS: de eerste versleuteling wordt uitgevoerd door de zorgaanbieder die de gegevens aanlevert en de tweede versleuteling door een externe, onafhankelijke organisatie, ZorgTTP (Zorg Trusted Third Party) genaamd. De pseudonimisering is zo ingericht dat deze onomkeerbaar is en daarmee dus niet meer herleidbaar tot individueel identificeerbare personen.”

Hiermee geconfronteerd in de rechtbank stelt de NZa nog steeds dat er ‘randen in de database zitten’ waar medische informatie toch naar personen te herleiden zijn. In hoeveel gevallen dit zo is, vindt de NZa niet haar taak te onderzoeken. Na de zitting is de vraag nu of minister Schippers de Tweede Kamer bewust een beeld heeft voorgespiegeld dat niet strookt met de realiteit, bewust de waarheid verdraaide of de NZa de minister niet juist informeerde. Wie het weet mag het zeggen…

Beveiligingsupdate: Hans de Raad over het veiliger e-mailen

Als je een e-mailbericht stuurt. Hoe veilig is dat eigenlijk? Vaak voelt dat vertrouwt aan. Maar kunnen andere partijen meelezen met onze berichten? En als dat kan wat kunnen we daartegen doen? Beveiligingsexpert Hans de Raad van OpenNovations praat daarover met Ad Reuijl van het CIP.

 

Wilt u meer weten over risico’s van e-mail of encryptie, lees dan verder

Continue reading

Beveiligingsupdate: Sergej Katus over de aankomende meldplicht datalekken

Wie persoonsgegevens verwerkt moet dat zorgvuldig doen en voor de beveiliging zorg dragen. Gaat het mis dan moeten incidenten vanaf 1 januari 2016 gemeld worden. Wordt de wet overtreden dan riskeren organisaties forse boetes. Niet alleen voor het niet melden zijn boetes mogelijk, maar ook voor het niet op orde hebben van de beveiliging. Wat dit allemaal betekent legt Sergej Katus van Privacy Management Partners uit aan Elleke Oosterwijk van het CIP.

Wie meer wil weten over de meldplicht datalekken:

  • Bij het College Bescherming Persoonsgegevens is een informatiepagina over de meldplicht datalekken;
  • Alle documenten rond de behandeling in de Eerste Kamer;
  • Het goed op orde krijgen van beveiliging is een hele toer. Iedere medewerker kan helpen door zelf scherp te zijn op informatiebeveiliging en bewust te opereren. Een paar nuttige tips om zelf veiliger te zijn treft u aan op veiliginternetten.nl

Hallo? Vind jij het goed als ik Spotify gebruik?

Om gebruik te kunnen (blijven) maken van Spotify moet u toestemming aan al uw contacten in uw smartphone vragen. Eén weigering en u bent klant af. Dat is het gevolg van de nieuwe privacyvoorwaarden van het bedrijf. Mocht ik in uw contactenlijst staan dan zeg ik ‘nee’.

Dat is het gevolg van de nieuwe privacyvoorwaarden, die het bedrijf heeft uitgedokterd en gelden voor zowel betalende als gratis gebruikers. In de kern mogen contactgegevens, locatie, snelheid, afbeeldingen en meer zaken van uw mobiele telefoon door het bedrijf in de gaten worden gehouden. En niet alles is te verklaren vanuit het aanbieden van een muziekluisterdienst.

Onduidelijk

Er is veel wrevel ontstaan over de verandering in de voorwaarden. Die reactie is niet zo vreemd, omdat de verandering duidelijk maakt dat Spotify veel informatie verzamelt die weinig meer te maken hebben met het laten horen van muziek. Zo worden contacten verzameld, locaties, zaken rond sensoren in de telefoon bijgehouden en kunnen gegevens worden doorgegeven aan derde partijen.

Het probleem zit er vooral in dat niet duidelijk is wat er met de informatie gebeurt. Onze wetgeving gaat er vanuit dat wij van dit soort zaken wel op de hoogte zijn, weten waarom gegevens worden verwerkt en dat niet meer persoonlijke data wordt verzameld dan noodzakelijk is voor het leveren van de dienst. Zonder dit soort helderheid is het lastig toestemming geven of je dit wel wilt en Spotify schakelt die bescherming uit.

Sterker nog Spotify maakt heel duidelijk dat de wettelijke bescherming misschien helemaal niet geldt (in artikel 3.4):

“Your personal information may therefore be subject to privacy laws that are different from those in your country of residence.”

Ofwel: zou het instemmen met deze voorwaarden betekenen dat de Europese regelgeving aan de kant wordt gezet. Natuurlijk is het maar helemaal de vraag of Spotify dat wel kan vragen.

Toestemming vragen

Een opmerkelijke verandering is dat de gebruiker toestemming geeft om zijn of haar contacten te gaan gebruiken. Het bedrijf realiseert dat in sommige landen, zoals Nederland, dit niet zomaar mag en daarom wordt dit probleem bij de gebruiker gelegd door hem te verplichten om toestemming te vragen aan die contacten (artikel 3.3):

“With your permission, we may collect information stored on your mobile device, such as contacts, photos, or media files. Local law may require that you seek the consent of your contacts to provide their personal information to Spotify, which may use that information for the purposes specified in this Privacy Policy.”

Dus wie aan de slag wil met Spotify op zijn smartphone zal eerst toestemming moeten vragen aan ieder contact in het telefoonboek voor het accepteren van deze voorwaarden. Een bijna onmogelijke taak en ook weinig realistisch. Want wat moet je als iemand nee zegt?

Weinig gelukkig

De keuze van Spotify is dus weinig gelukkig. Er zijn wel diensten die met de privacyvoorwaarden niet zo extreem zijn en beter in onze wetgeving passen. De komende tijd komen er ook nieuwe initiatieven. Jammer want Spotify was een goed legale oplossing voor het luisteren naar muziek. Hopelijk realiseert de entertainment industrie dit zelf ook, zodat ze niet iedereen opnieuw naar het privacyvriendelijke Pirate Bay sturen. Of lees bij Wired enkele alternatieven.

Beveiligingsupdate: Studenten bestoken hun eigen school met phishingmails

Hoe simpel is het nu om een awareness-campagne op te zetten? Studenten van de Hogeschool van Rotterdam onderzochten dat door hun eigen school te bestoken met een phishing mail. Uiteraard was er eerst toestemming gevraagd. De studenten deden dat in het kader van ‘Privacy Lab’, een opdracht waar verschillende opleidingen met elkaar samenwerken. Harin Indra Familia Turbi en Thierry Karsemeijer, twee projectdeelenemers, vertellen Ad Reuijl, directeur van het CIP hoe ze te werk gingen, hoeveel mensen er daadwerkelijk in trapten en hoe simpel het is om mensen te misleiden.

Wees alert op phishing mails

  • Op veiliginternetten.nl staat beschreven hoe een phishing-mail te herkennen is;
  • Bent u er toch in getrapt en vreest u slachtoffer te zijn dan staan hier diverse goede tips;
  • Ook de banken hebben de nodige tips om phishing tegen te gaan;
  • Krijgt u op kantoor een phishingmail? Meldt het dan bij uw IT-afdeling of systeembeheerder.

Epiloog

Na het project hebben de studenten met hun idee en uitwerking een tweede plaats veroverd bij de wedstrijd op het Exposed Now-event. “Daarin moesten we ons product verkopen (in de vorm dat we ingehuurd zouden kunnen worden door bedrijven om een soortgelijke actie te voeren bij personeel om zo awareness te creëeren.) Hiervoor zijn wij van de 10 deelnemers als 2e verkozen door de vakjury”, vertelt Harin Indra Familia Turbi aan de Beveiligingsupdate.

 

Ook blijkt dat de Hogeschool van Rotterdam zelf wel waakzaam is en reageert op meldingen van betrokken. “Verder hebben we een bezoek gekregen van IT-medewerker van school die hoogte kreeg van ‘een’ phishing attack waarbij er direct een team werd ingezet om ons te stoppen en het scheelde weinig of ze hadden aangifte gedaan tegen ons. Pas later kwamen ze erachter kwamen dat het om een campagne ging”, vertelt de studente dan ook. Het loont dus om dit soort verdachte mails te melden!

Wie meer wil weten over deze actie kan de presentatie (pdf) ophalen.

Lees verder om te zien wat deze studenten meer ontwikkelden. Continue reading

Beveiligingsupdate: Wouter Slotboom over phishing en nepmails

Een van de populairste vormen van internetcriminaliteit is phishing. Dat zijn trucs om gegevens van mensen in handen te krijgen door bijvoorbeeld een mail te sturen namens een bank of andere organisatie. Meestal is het verzoek om informatie te geven. Op het moment dat u op links van dit soort berichten klikt, komt u vaak op de website van criminelen uit. Alleen het bezoek is vaak al voldoende om uw computer te infecteren. Ook is het kinderlijk eenvoudig om inloggegevens over te nemen. Hoe simpel dat is legt beveiligingsexpert Wouter Slotboom aan Ad Reuijl van het CIP uit. Ook demonstreert hij hoe eenvoudig het is voor criminelen om misbruik te maken door een bestaande website te kopiëren.

Dit kunt u doen om ellende te voorkomen:

  • Een bank zal nooit een mail sturen waarin ze vragen om login-gegevens of andere informatie. Lees de zes tips van Veilig Internetten om gewapend te zijn tegen nepmails of nep telefoontjes;
  • Klik niet op links naar login-pagina’s. Een bank zou dat niet doen;
  • Voer zelf het adres van uw bank in de webbrowser in als u wilt gaan internetbankieren;
  • Leer nepmails herkennen;
  • Lees ook de tips op veilig interentbankieren van de banken om phishing-ellende te voorkomen!

Beveiligingsupdate: Hans de Raad over encryptie

In het beveiligen van onze omgeving hoor ik steeds vaker mensen praten over encryptie of versleuteling. Wat is dat nou? Waarom hebben we dat nodig? Wat betekenen termen als symmetrische versleuteling, assymetrische versleuteling, PGP en S/MIME nou? Hans de Raad van <a href=”http://www.opennovations.nl/”>OpenNovations</a> is goed in staat dat simpel uit te leggen aan Ad Reuijl van het CIP.

Beveiligingsupdate: Rob Koster van de Marechaussee over identiteitsdiefstal

Identiteitsdiefstal is een groeiend probleem. Vaak wordt daarbij ook misbruik gemaakt van identiteitsbewijzen. Dat is het moment waarop de Marechaussee vaak betrokken wordt. Kolonel Rob Koster van de Marechaussee is gespecialiseerd op fraude en praat erover met Jan Renshof van het Centrum voor Informatiebeveiliging en Privacybescherming. Wat moet je doen om de kans op misbruik te verminderen?

Bekijk het gesprek:

Tips uit het gesprek:

  • Om het zomaar kopiëren van gegevens moeilijker te maken, helpt een ID-cover(zie afbeelding). De ID-cover is een hoesje dat de onnodige verspreiding van een aantal van jouw persoonsgegevens beperkt. Concreet schermt de ID-cover je foto, je persoonsnummer (BSN) en het nummer van je identiteitsbewijs af. Op een paspoort wordt ook de strook met gegevens onder aan het paspoort afgeschermd. De ID-covers zijn onder andere te verkrijgen bij de ANWB.idcover
  • Rob Koster waarschuwt voor de gevolgen van het gebruik van social media zonder daar bij na te denken. Op de website van Veilig Internetten leest u een aantal nuttige tips om de risico’s te beperken;
  • Meer weten over identiteitsfraude en wat u hiertegen kunt doen? Op de website van Veilig Internetten treft u een handige checklist aan;
  • Aangifte te doen. Doe van ieder geval van identiteitsfraude aangifte. Wilt u weten hoe u identiteitsfraude herkent of weten hoe u dat doet? Kijk verder op de website van de politie. Ook op de website van de Rijksoverheid staat nuttige tips hoe u bewijzen kunt verzamelen om zo het onderzoek te vereenvoudigen.

Mogen we weten wat zorginstellingen declareren?

Minister Edith Schippers heeft 2015 uitgeroepen tot het jaar van transparantie in de zorg. Een belangrijk onderdeel daarbij zijn de kosten in de zorg, omdat deze blijven stijgen en daarom moeten er pijnlijke keuzes worden gemaakt. Maar openheid over bestedingen krijg je niet zomaar en dat wordt dus rechten.

Inmiddels heeft Schippers een lijst van 30 aandoeningen gepresenteerd waar meer openheid over moet komen. De behandeling van deze ziektes gebeurt in de meeste gevallen door het uitvoeren van verrichtingen, die in zogenaamde Diagnose Behandel Combinaties (DBC’s), zeg maar het product, worden gedeclareerd. Precies die declaraties wil een klant nu in de openbaarheid hebben.

Kosten beheersen

Lex Slaghuis van de Open State Foundation, een stichting die open data toegankelijk wil maken. Een thema dat veel aandacht krijgt, zijn de publieke uitgaven via subsidies of via de budgetten.

Een groot deel van ons belastinggeld gaat aan de zorg. De industrie kostte volgens CBS in 2014 ons zo’n €95 miljard (zo’n €5.630). De declaraties in de ziekenhuizen raken vaak het eigen risico en daarom maakt het nog wel uit wat er voor behandelingen wordt betaald door welke verzekeraar. Dat bepaalt keuzes en maakt ook uit: de prijsverschillen zijn soms behoorlijk extreem. Alleen op die prijsverschillen is veel te besparen.

Omdat ook er prijsverschil kan zijn wat een zorgverlener voor dezelfde behandeling aan verzekeraars rekent (en dus door ons wordt betaald) vroeg Slaghuis met een beroep op de Wet openbaarheid van bestuur (Wob) de declaraties op bij de Nederlandse Zorgautoriteit, maar kreeg dit niet.

Concurrentiegevoelig

Dus stapte ik voor Slaghuis naar de bestuursrechter om de informatie toch in de openbaarheid te krijgen(dossier hier|LINK). Volgens de landsadvocaat zou het openbaar maken van deze gegevens de concurrentiepositie van de zorgverleners verzwakken en dus moet de informatie geheim blijven.

Wie een restitutiepolis heeft, mag altijd eerst een behandeling betalen en dan zelf declareren. Dan zijn de tarieven zichtbaar. Daarnaast is het wettelijk geregeld dat je bij de zorgverzekeraars de declaraties zelf kunt inzien, zoals in het voorbeeld van een fietsongelukje dat ik vorig jaar had.

eDeclaratie

Nog vreemder is dat iedereen een ziekenhuis mag opbellen en een prijsopgaaf mag vragen voor zijn eigen verzekeraar. Dus die concurrentiegevoelige informatie is ook niet zo’n geheim dat je het nooit achterhaalt. En dan zou het toch openbaar moeten kunnen zijn.

Privacy

Nog vreemder is het argument van de privacy. De gegevens die bij de NZA liggen zijn namelijk gepseudonimiseerd en zouden niet meer tot de persoon te herleiden moeten zijn. Tenminste dat schreef Minister Schippers in september 2014 nog in antwoord op kamervragen aan de Tweede Kamer:

“Bij pseudonimisering van persoonsgegevens worden de identificerende kenmerken van personen op een zodanige manier (vooraf) versleuteld en omgezet in een pseudo-identiteit, dat de werkelijke identiteit van de betreffende personen niet meer te achterhalen is.”

Nu beweert de landsadvocaat dat het toch mogelijk is in sommige gevallen te achterhalen wie er nou een behandeling naar een persoon te herleiden. Hoe dat werkt, blijft vaag maar zet wel het systeem van declareren onder druk. Bij de invoering van het systeem is beloofd dat de privacy niet in het geding zou zijn en opeens beweert de NZA toch patiëntengegevens te beheren.

Rechter

Of er declaratiegegevens openbaar mogen worden en welke dan precies is nu aan de bestuursrechter om te beslissen. Die hoort 27 augustus de zaak aan. Maar inzichten in de kosten is vaak een prima route om geld te besparen. Met budgetten van dit kaliber gaat dat dan al snel over honderden miljoenen of zelfs miljarden euro’s. Belangrijke informatie voor een land dat regelmatig pijnlijke keuzes om financiële redenen moet maken.

Meer lezen over deze zaak?

De volgende documenten rond de zaak zijn beschikbaar:

Opnieuw certificatenverlener gehackt

AMSTERDAM – Een Turkse certificaatdienstverlener blijkt in december een tijd valse certificaten te hebben uitgegeven. Inmiddels hebben Google, Mozilla en Microsoft actie ondernomen.

Google meldt op 24 december te hebben ontdekt dat valse certificaten van het internetbedrijf werden goedgekeurd door Turktrust. Hierdoor leek het voor gebruikers alsof er een vertrouwde verbinding was met Google, terwijl dat niet het geval was.

Het eerst certificaat dat Google ontdekte bleek al in augustus 2011 te zijn gemaakt. Het duurde echter tot december 2012 tot het voor het eerst richting computergebruikers werd misbruikt. De dag na de ontdekking heeft Google het certificaat voor de Chrome-browser geblokkeerd. Lees het verhaal op NU.nl.