Vrij gebruik van BSN onafwendbaar. Leg daarom koppelen bestanden aan banden.
Het BTW-nummer voor eenmanszaken is gelijk aan het burgerservicenummer. Langzaam maar zeker wordt het BSN voor steeds meer (niet publieke) zaken gebruikt. Discussie over het beperkt gebruik van BSN is dus echt een achterhoedegevecht. De privacy beschermde dat toch al niet meer. Daar hebben we andere regels voor nodig, die het koppelen van bestanden (zoals de Gemeente Groningen die in 2009 het gebruik van ondergrondse huisvuilcontainers als middel voor het opsporen van bijstandsfraude heeft gebruikt) aan banden legt.
@MIGO-BORAS: met zo’n vriend heb je geen vijand meer nodig…
@MIGO-BORAS is een systeem voor de herkenning van voertuigkenmerken, in te zetten aan de binnengrenzen met België en Duitsland. De naam staat voor Mobiel Informatie Gestuurd Optreden – Better Operational Result and Advanced Security. (En ja, het Twitter account @migoboras lijkt ook al te bestaan 
. Wat is dit precies voor systeem, en waarom is er plotseling zo’n ophef over?
Het nieuwe pinnen is verwarrend voor gebruikers.
Het nieuwe pinnen is verwarrend voor gebruikers. Het ‘oude’ pinnen was overal min of meer hetzelfde: je haalde je pas door de sleuf, typte je pincode in, controleerde het bedrag op het scherm en drukte op “ok”. Bij het nieuwe pinnen is het bij elk apparaat anders.
Volgens de officiële website van Het Nieuwe Pinnen gaat het als volgt. Eerst krijg je het bedrag te zien, waarbij je voor akkoord op “ok” moet drukken. Vervolgens met je je pincode invoeren en deze met “ok” bevestigen. Ook komt de oude variant nog voor, waarbij je eerst de pincode moet invoeren, vervolgens het bedrag krijgt te zien en voor akkoord op “ok” moet drukken. Soms moet je eerst aangeven of je met “chipknip” dan wel met “maestro” wilt betalen (ik vraag me af of iedereen wel weet wat “maestro” betekent). Tenslotte zijn er ook pinapparaten waarbij je het bedrag krijgt te zien, en meteen je pincode moet invoeren en voor akkoord op “ok” drukken. Er is dus geen aparte stap waarbij het bedrag wordt goedgekeurd. Dat zijn dus drie verschillende manieren om te pinnen. (En misschien zijn er nog wel meer… ik hoor het graag.) Bij geldautomaten is er ook iets veranderd: soms moet een pincode bevestigd worden door op de “ok” te drukken, soms ook niet.
Ik vind het maar verwarrend, en snap niet waarom de banken niet heel strikt hebben vastgelegd hoe pinapparaten werken, welke stappen daarbij doorlopen worden, en welke (gebruikersvriendelijke) informatie bij iedere stap aan de gebruiker getoond wordt. Voor gebruikers is het makkelijker als het nieuwe pinnen overal hetzelfde werkt. Dan maken ze minder snel fouten, en is het pinnen ook veiliger. Dat lijkt me ook in het belang van de banken.
Discussie over gebruik BSN is een achterhoedegevecht.
Het gebruik van het Burger Service Nummer (BSN) is sterk gereguleerd. In principe mag het alleen gebruikt worden door overheidsorganen, voor het uitvoeren van hun publieke taak. Soms is hier onenigheid over. Zo vind het CBP dat de ministeries het BSN niet mogen gebruiken in het uitgifteprocers van de Rijspas aan ambtenaren. Het ministerie van Binnenlanse zaken is het hier niet mee eens. Maar eigenlijk is dit een achterhoedegevecht dat de aandacht afleidt van de werkelijke problemen.
Een veilig en privacy-vriendelijk EPD. Kan dat?
Deze blogpost is gebaseerd op een ronde tafel gesprek die ik maandag, samen met Jaap Dijkstra had met de Privacy werkgroep van Groen Links over het Elektronisch Patiënten Dossier (EPD).
Het doel van een ICT systeem bepaalt de functionaliteit, en de functionaliteit bepaald de uiteindelijke architectuur van het systeem. Privacy en security eigenschappen van het systeem zijn afhankelijk van deze architectuur. Bij het invoeren van een landelijk ICT systeem is het daarom belangrijk om transparant te zijn over de doelen, de daaruit voortvloeiende architectuur, en goed te kijken naar de consequenties van deze keuzes. Dit geld dus ook voor het EPD.
Voor het EPD zijn de twee belangrijkste doelen
- efficiëntieverhoging in de zorg, en
- directe toegang tot medische gegevens bij noodsituaties.
Minder bekend is dat het EPD ook als doel heeft om als informatiebron te dienen voor allerlei onderzoeken van zorgverzekeraars, ziekenhuizen, en de farmaceutische industrie.
Hoe ziet een veilig en privacyvriendelijk EPD dat aan deze doelen voldoet er uit? Voor efficiëntieverhoging in de zorg is het voldoende om een min of meer standaard systeem op te zetten, dat het zorgverleners mogelijk maakt om direct onderling informatie uit te wisselen. Wel is het van belang dat bij ieder verzoek om informatie de patiënt expliciet toestemming voor deze uitwisseling wordt gevraagd. Dit is een wettelijke eis. Bovendien moet worden vastgesteld welke zorgverlener om de informatie vraagt, en of dat verzoek redelijk is. Dit laatste is de verantwoordelijkheid van de informatie verstrekkende zorgverlener. Dit vereist overigens een veilig systeem van identificatie en authenticatie van patiënten en zorgverleners, bij voorkeur gebaseerd op chipkaarten (of vergelijkbaar). Zo’n landelijke elektronische identiteitsinfrastructuur is op dit moment niet beschikbaar…
Voor directe toegang tot medische gegevens bij noodsituaties, bijvoorbeeld bij een ernstig ongeluk, is het niet redelijk om de (zwaargewonde) patiënt zelf om toestemming te vragen. Het is nog wel steeds essentieel om de identiteit van de patiënt met zekerheid vast te stellen. In die gevallen moet de zorgverlener direct bij de gegevens kunnen. Maar lang niet alle gegevens in het EPD zijn relevant bij noodsituaties. Sterker nog, slechts een beperkte set van gegevens (bloedgroep, allergiën, misschien medicijngebruik) is waarschijnlijk van belang. Bij inzage voor noodsituaties kan de toegang van de zorgverlener dus beperkt worden tot deze set gegevens (die vooraf, na uitvoerige consultatie met medisch specialisten en anderen, is vastgelegd). Daarnaast zal het systeem moeten bijhouden welke zorgverlener een beroep op de noodprocedure heeft gedaan, om misbruik achteraf te kunnen traceren.
Voor het doen van onderzoek gebaseerd op gegevens uit het EPD is het niet duidelijk hoe het systeem er uit zou moeten zien. Rechtstreekse toegang tot gegevens uit het EPD schaadt de privacy. Medische gegevens zijn immers extreem privacy gevoelig. Er bestaan wel technieken om deze gegevens eerst te anonimiseren en vervolgens op geaggregeerd nivo onderzoek te doen naar onderlinge verbanden, maar deze technieken zijn nog experimenteel. Het is daarom niet gewenst om deze functionaliteit toe te voegen.
Tenslotte nog twee andere punten die belangrijk zijn om te noemen. Ten eerste is de term Elektronisch Patiënten Dossier misleidend. Er is niet één dossier per patiënt. In plaats daarvan zijn er meerdere dossiers, die door verschillende zorgverleners gescheiden worden bijgehouden. Dit zal in de toekomst ook zo blijven: de zorgverlener zelf is immers verantwoordelijk voor zijn dossier. Ten tweede is de integriteit van de gegevens in een (deel)dossier waarschijnlijk een nog groter security probleem dan het confidentieel houden van die gegevens. Gegevens zijn immers vaak verouderd, verkeerd bijgehouden, en kunnen na overdracht aan een andere zorgverlener anders (en misschien verkeerd) geïnterpreteerd worden.
leave a comment