Onrechtmatige aanmeldingen in EPD-LSP blijken structureel probleem. Vrijbit eist via 2 handhavingsverzoeken dat de toezichthouder Autoriteit Persoonsgegevens ingrijpt zodat de onrechtmatige aanmeldingen bij de VZVZ worden teruggedraaid en nieuwe ongeldige aanmeldingen per definitie onmogelijk worden gemaakt.

Verzoek 1 is geënt op de bewijzen van meerdere individuele gevallen waarin mensen ontdekten dat zij zonder hun toestemming te hebben gegeven en tegen hun uitdrukkelijke wil in wel stonden aangemeld en hun medische gegevens via het EPD-LSP bleken te worden uitgewisseld.

Download Handhaafverzoek I d.d. 4-8-2017 pdf tegen de onomstotelijk bewezen mogelijkheden dat VZVZ als beheerder van het systeem de mogelijkheid biedt dat mensen zonder dat zij daarvoor toestemming gaven in het EPD-LSP systeem opgenomen kunnen worden. En dat deze registratie niet als onrechtmatige aanmelding ongedaan kan worden gemaakt maar allen kan worden gewijzigd onder vermelding dat de ‘ toestemming is ingetrokken’.

Verzoek 2 kwam voort uit de gegevens die door onderzoek van Vrijbit aan het licht kwamen waaruit blijkt dat het EPD-LSP structurele gebreken vertoont die leiden tot grootschalige systematische registratie van personen op grond van niet gegeven of niet rechtsgeldige toestemming.

Download Handhaafverzoek II d.d.3-11-2017pdf om handhavend op te treden tegen de structurele gebreken van het EPD-LSP systeem.

Zijnde:

- Het structureel onrechtmatig handelen van apothekers bij de registratie van aanmeldingen van personen voor uitwisseling van medische persoonsgegevens via het EPD-LSP die daarvoor niet op de vereiste wijze geldige toestemming hebben verleend.

Waarbij het gaat om gebruik van de een apert illegale opt-out methode, gebruik van onjuiste- en intimiderende informatieverstrekking en toestemmingsformulieren op grond waarvan een rechtsgeldige toestemming onmogelijk kán worden gegeven.

- Het structureel ontbreken van uniforme procedures voor verkrijging, registratie en logging van verleende toestemming die een effectieve, systematische controle en verantwoording mogelijk maken van de wijze waarop toestemming wordt verkregen alsook van de registratie en de doorgifte van deze toestemming.

- Het feit dat het hele EPD-LSP systeem is opgebouwd aan de hand van IEDERS BSN nummer, waar VZVZ als particulier bedrijf helemaal niet over mag beschikken, en inhoudt dat in feite IEDEREEN al bij voorbaat al ‘ in het systeem zit’ maar dit enkel via het aanvinken van een toestemmingsvakje als operationeel geactiveerd kan worden.

Stand van zaken Update begin 2018

De toezichthouder AP heeft op verzoek 1 in eerste instantie bijzonder vreemd gereageerd. Opgestuurde stukken beschikte men niet over, het zou maar om 1persoon gaan, Vrijbit moest eerst maar een het BSN opsturen van de betrokkenen ( waarover wij helemaal niet mogen beschikken volgens de Wbp, die AP moet handhaven!) en meer van dat soortvertragingsacties. Uiteindelijk zag men na het 2e verzoek kennelijk in niet meer om de kwestie heen te kunnen. Hetgeen vooralsnog resulteerde in de summiere mededeling op 22-11-2017 dat men onderzoek ging doen en we daarna wel weer verder zouden horen.