gebruik gegevens RIVM voor vaccinatie

Je kunt de gegevensdeling gewoon weigeren. Althans, die vraag werd mij gesteld. Ik heb de gegevensdeling met huisarts en met RIVM geweigerd. Wat er dan precies wel/niet wordt gedeeld wordt helaas niet duidelijk.

RIVM == Rijksinstituut voor Volksgezondheid en Milieu. Dat ze een database bezitten met je BSN + NAW + geboortedatum is niet zo heel gek. Waarschijnlijk is het een duplicaat van de gegevens zoals die in de basisadministratie van de gemeenten is opgenomen.

Ja dit lijkt idd een beetje vreemde constructie...
Je kunt volgens hun eigen site aangeven bij het maken van de afspraak of ze wel of niet jouw (vaccinatie)gegevens mogen registreren, maar de uitnodigingsbrief vooraf komt van... het RIVM... Wat soort van impliceert dat ze je gegevens zonder toestemming toch al hebben.

Ik gok dat dit inderdaad onder gerechtvaardigd belang of een wettelijke functie gaat; Het is een uitvoeringsinstantie, en AVG-technisch waarschijnlijk gegevensverwerker, voor de rijksoverheid, die vanwege allerlei wettelijke en gerechtvaardigde belangen echt wel over jouw en mijn gegevens beschikken.

Edit: Hier staat het een en ander in...

[ Voor 12% gewijzigd door SambalBij op 08-06-2021 11:14 ]

Je moet sowieso toestemming geven. Als je die niet geeft mogen ze je gegevens niet gebruiken. Meestal is dit volgens mij een vinkje op het vaccinatie-formulier dat je mee moet nemen.

Die gegevens komen ongetwijfeld uit de BRP (Basis Registratie Personen), iedere gemeente in NL is hierop aangesloten en dus ook andere organisaties zoals het RIVM en de GGD kunnen hier in kijken. Niet zomaar overigens, maar in dit geval zal er een wettelijke basis zijn (waarschijnlijk iets met volksgezondheid in geval van de uitbraak van een pandemie). Vraag me echter niet naar de exacte locatie in de wet, die weet ik niet.

Een huisarts / prikker bij de ggd / bedrijfsarts die een prinkje zet mag die gegevens niet met het RIVM delen tenzij:

* Geanonimiseerd.
* Toestemming van de gevaccineerde.

Die eerste is duidelijk, want dan zijn het niet jouw prive-gegevens meer.
De tweede is ook duidelijk, want er moet dus ondubbelzinnig gevraagd worden of je deze deling van informatie toestaat.

Dat het RIVM je kan uitnodigen voor een prik is niet vreemd, ze hebben als overheid immers gewoon toegang tot de database met Nederlanders en mogen die gebruiken voor hun functie: De volksgezondheid waarborgen.

Gegevens delen met de behandelend arts is niet mogelijk, die *moet* jouw behandeling immers opslaan en verwerken. MAar dit is in veel gevallen je huisarts zelf, of wellicht de GGD.

Als je geen gegevens deelt met het RIVM kom je wellicht later wat lastiger aan een vaccinatiebewijs / corona-check vinkje als je op reis wilt, maar ook dat kan met papier, of met een handtekening van je arts gefixt worden zonder verzameling van je data door de overheid.

Vind je het ook een schending van Privacy dat de Belastingdienst je ieder jaar een "blauwe enveloppe" mag sturen?

Dit is gewoon een taak van de overheid, dus ja dit mag,

Het staat redelijk duidelijk aangegeven op het pamflet wat bij de vaccinatie uitnodiging zit:

Sorry maar ik heb me nog nooit verbaasd over het feit dat als ik ergens inlog met een BSN dat dat is bij een club die je gegevens erbij pakt uit de basisregistratie.

Dennisb1 schreef op dinsdag 8 juni 2021 @ 11:07:
[...]

Maar in welke context werd deze vraag gesteld als ik vragen mag?
Kan mij niet voorstellen dat elke huisarts zijn hele klantenbestand gaat vragen of die dat mag doorgeven aan het RIVM. Ik kan mij ook bedenken dat niet iedereen een huisarts heeft om wat voor reden dan ook.

Let wel, het gaat mij niet om iets door te geven of je bent ingeënt of besmet bent, het gaat mij om de stap daarvoor dat ze je uitnodigen voor een vaccinatie. De rest vind ik ook zeker interessant dat wel!

Geen idee. Ik heb gewoon NEE geantwoord, maar er was geen optie met een privacystatement ofzoiets.

Wel kun je gewoon je medisch dossier laten verwijderen bij je huisarts. Je huisarts is weliswaar de bezitter, maar jij bent de eigenaar. Maar dat werkt net wel als de Windows Event Log. Je dossier is dan bijna leeg. De enige entry is dat je je gegevens hebt laten verwijderen.

Wist je dat de gemeente ook over je gegevens beschikt? En de belastingdienst? En de politie...

RIVM is de overheid en die hebben nou eenmaal toegang tot de persoonsgegevens. Dat ze niet zomaar je medische gegevens (ben je gevaccineerd en zo ja, waarmee) mogen verwerken staat hier los van. Daar vragen ze je volgens mij ook expliciet je toestemming voor.

Buiten het wel of geen toestemming geven over het gebruiken van je gegevens, zou een GGD/RIVM/Huisarts niet zoals elk bedrijf zich moeten houden aan de AVG?

Als het GGD je gegevens verwerkt en stuurt naar het RIVM, zou je volgens mij een verwerkingsovereenkomst met hun moeten hebben waarin staat (zoals in de brief eigenlijk) wat ze doen met de gegevens, wie verantwoordelijk is, etc. Er staat in de uitnodiging waarom het belangrijk is dat het RIVM de data heeft, maar er staat niets wat ze exact met de data doen, wie er toegang heeft.

Ik ben verre van compleet thuis in de AVG, maar heb het idee dat het wellicht niet gaat zoals het zou moeten.

Keiichi schreef op dinsdag 8 juni 2021 @ 13:40:
Buiten het wel of geen toestemming geven over het gebruiken van je gegevens, zou een GGD/RIVM/Huisarts niet zoals elk bedrijf zich moeten houden aan de AVG?

Als het GGD je gegevens verwerkt en stuurt naar het RIVM, zou je volgens mij een verwerkingsovereenkomst met hun moeten hebben waarin staat (zoals in de brief eigenlijk) wat ze doen met de gegevens, wie verantwoordelijk is, etc. Er staat in de uitnodiging waarom het belangrijk is dat het RIVM de data heeft, maar er staat niets wat ze exact met de data doen, wie er toegang heeft.

Ik ben verre van compleet thuis in de AVG, maar heb het idee dat het wellicht niet gaat zoals het zou moeten.

We zijn al een paar dagen bezig met vaccineren... ik neem zomaar even aan dat de RIVM keurig AVG-proof werkt, wat dit betreft. Al was het maar omdat er nog geen verhaal op de Frontpage (of in de andere media) heeft gestaan hoe de AVG met voeten wordt getreden (zoals bijvoorbeeld wel het geval was met de eerste corona-app). Er zijn namelijk zat mensen die wel van de hoed en de rand weten, en die hebben zich hier niet over uitgelaten.

Nee zeker geen verwerkingsovereenkomst en als wel dan zou dat juist prutswerk zijn. Dat is alleen als de een in opdracht van de ander verwerkt. RIVM is geen verwerker van de huisarts, andersom ook niet. Er worden 'simpelweg' gegevens verstrekt en door beiden gebruikt o.b.v. verschillende grondslagen en doelen.

Ook is er / mag er geen sprake zijn van beroepen op gerechtvaardigd belang. Dat mogen overheden helemaal niet.

Ik kan me goed voorstellen dat bijv. het RIVM vanwege de wettelijke taak de NAW- en leeftijdsgegevens moet (en dus mag) krijgen vanuit de BRP. En gezondheidsgegevens vanuit diezelfde taken opvragen en misschien ook zouden kunnen krijgen van bv, de huisarts.

Toestemming vragen is alleen aan de orde als er geen wettelijke verplichting is, er geen overeenkomst (bijv, tussen jou en je zorginstelling), etc. Bijvoorbeeld mag de arts prima gegevens over jouw gezondheid delen als dat is vanuit zijn zorg aan jou, maar moet toestemming vragen om diezelfde gegevens te delen i.h.k.v. onderzoek.

Let wel, het gaat mij niet om iets door te geven of je bent ingeënt of besmet bent, het gaat mij om de stap daarvoor dat ze je uitnodigen voor een vaccinatie. De rest vind ik ook zeker interessant dat wel!

Kinderen krijgen ook een oproep om zich te laten vaccineren tegen polio en andere enge ziektes. Hier kraait geen haan naar. Ik snap dan ook niet waarom je bij deze vaccinatie je bedreigd moet voelen in je privacy en niet als het om een poliovaccinatie gaat.

amx schreef op dinsdag 8 juni 2021 @ 20:11:
[...]


Kinderen krijgen ook een oproep om zich te laten vaccineren tegen polio en andere enge ziektes. Hier kraait geen haan naar. Ik snap dan ook niet waarom je bij deze vaccinatie je bedreigd moet voelen in je privacy en niet als het om een poliovaccinatie gaat.

Ik denk met de huidige situatie dat er heel erg het gevoel kan zijn dat privacy en veiligheid van je data in het gedrang komt, omdat alles vlug-vlug gedaan moet worden geregeld en dat ze hebben het over vaccinatiebewijzen die grensoverschreidend moeten werken en dat er met grote regelmaat datalekken zijn of dat data ergens komt waar het helemaal niet terecht hoort te komen en dat politiek zich op bepaalde vlakken niet secuur te werk zijn gegaan.

Heel scala aan redenen waarom het nu wat meer aandacht heeft.

En kinderen zijn niet zo'n bezig met hun eigen privacy en ik weet niet of de ouders daar wel voor hun mee bezig zijn

Als het vlugvlug nodig is om mijn diepste geheim te zien om mijn leven te redden, prima. Dat is ook wettelijk prima geregeld.

Keiichi schreef op dinsdag 8 juni 2021 @ 22:50:
En kinderen zijn niet zo'n bezig met hun eigen privacy en ik weet niet of de ouders daar wel voor hun mee bezig zijn

Als je je geen zorgen maakt over je kinderen dan is zorgen maken over jezelf al helemaal onzin Maar, in noodsituaties zal de privacy idd lager staan op de prioriteiten dan het leven zelf. Maar zal 'dus' ook de privacy na einde vd levensbedreiging wel een aandachtspunt moeten zijn om te zorgen dat het erna niet meer wordt geschaad.

weebl schreef op dinsdag 8 juni 2021 @ 13:13:
Wist je dat de gemeente ook over je gegevens beschikt? En de belastingdienst? En de politie...

En dat een gemeente ook een databroker is, gelukkig kun je dat opt-outen: https://www.rijksoverheid...mijn-persoonsgegevens-aan

Sinus_rhythm schreef op dinsdag 8 juni 2021 @ 23:58:
[...]

En dat een gemeente ook een databroker is, gelukkig kun je dat opt-outen: https://www.rijksoverheid...mijn-persoonsgegevens-aan

Klopt. Wettelijk zo bepaald. De basisregistratie personen (BRP) is een van de nationale basisregistraties waaruit geautoriseerde organisaties gegevens mogen of zelfs moeten betrekken.

Zoals je kunt lezen op de pagina waarnaar je linkt, geldt de opt-out alleen in een beperkt aantal gevallen waarbij gebruik van de brp niet verplicht is voor organisaties.

Icephase schreef op dinsdag 8 juni 2021 @ 11:14:
Die gegevens komen ongetwijfeld uit de BRP (Basis Registratie Personen), iedere gemeente in NL is hierop aangesloten en dus ook andere organisaties zoals het RIVM en de GGD kunnen hier in kijken. Niet zomaar overigens, maar in dit geval zal er een wettelijke basis zijn (waarschijnlijk iets met volksgezondheid in geval van de uitbraak van een pandemie). Vraag me echter niet naar de exacte locatie in de wet, die weet ik niet.

^^^ Dat idd, komt uit de BRP en het RIVM mag daar gewoon in. Wat ze er uit trekken voor een uitnodiging moet nodig zijn voor dat doelproces, dus het uitnodigen. Aangezien je daar een unieke identifier nodig hebt, wat het BSN is, zal die er naar verwachting uitgehaald worden, samen met je NAW gegevens. Ik heb de brief even niet bij de hand, maar ik zou verwachten dat ie daar wellicht niet eens op staat

Voor het maken van een test / vaccinatieafspraak log je vervolgens in met digid. Die onderliggende systemen hebben een subset van de gegevens die het RIVM van je heeft. Uiteraard is daar ook BSN de key, maar meer dan je (geplande) vaccinaties zit er meen ik niet in. Ze hangen aan het internet en zijn verdraaid goed beveiligd - daar zitten echt alleen de noodzakelijke gegevens in, en uiteraard is dat spul encrypted, salted en what have you. Zo goed beveiligd als technisch kan in deze. Zelfs al zou het je lukken om bij de data te komen (trust me: fat chance), dan nog heb je een supercomputer nodig en duurt het vervolgens jaren voor je ook maar 1 regel leesbaar hebt

_{Ik ken de helft van de mannen die er tot over hun nek toe in zitten persoonlijk. Met met een klein groepje zorgen ze voor heel NL dat het spul er is, op de juiste manier beveiligd wordt en blijft draaien. Je wilt niet weten wat ze op hun bordje krijgen allemaal. Qua infra en security draaien ze aantoonbaar al jaren mee in de top van NL. Ben blij dat juist zij er zitten}