Afgelopen week werd de website specifieketoestemming.nl gelanceerd, een initiatief van een aantal beveiligingsexperts en de Stichtingen Privacy First en Bescherming Burgerrechten. Patiënten moeten zeggenschap houden over welke medische gegevens er precies gedeeld worden, en met wie, is de boodschap. Dat is met de huidige ICT-systemen niet mogelijk, waardoor privacy in gevaar komt, menen critici. Bovendien moeten artsen hierin zelf verantwoordelijkheid nemen. “Eigenlijk is het net alsof iedereen een Random Reader heeft van jouw rekening, en je pas achteraf kunt zien wie er in je bankzaken heeft gekeken.”
Het Landelijk Schakelpunt ofwel LSP – de infrastructuur voor elektronische uitwisseling van medische gegevens tussen bijvoorbeeld huisarts of apotheek – werkt volgens het principe van opt-in. Je geeft als zorgconsument eerst nadrukkelijk toestemming voor het delen van je medische gegevens.
Maar de huidige ICT-systemen waarmee zorgverleners vervolgens medische gegevens uitwisselen zijn onveilig, vinden de initiatiefnemers van de website specifieketoestemming.nl. Waarom? Omdat ze onvoldoende begrenzing stellen aan de toegang tot iemands medische gegevens. Wanneer je eenmaal generieke toestemming hebt gegeven aan huisarts of apotheek om je gegevens elektronisch te delen, bestaat het gevaar dat daarmee veel meer zorgverleners in jouw privé dossier kunnen kijken, zeggen de initiatiefnemers. Daarom begint de Stichting Privacy First een internetcampagne voor medische privacy, om de controle van die medische gegevens terug te brengen bij patiënt en diens huisarts, als een soort zaakwaarnemer van de patiënt.
Stuur een brief
Via de website van de campagne kunnen mensen een zeggenschapsbrief aan hun arts sturen, waarmee zij kunnen aangeven aan welke voorwaarden de uitwisseling van hun medische gegevens moet voldoen. Hiermee kunnen artsen hun belangenorganisaties en ICT-leveranciers oproepen om specifieke toestemming mogelijk te maken. In plaats van generieke toestemming kan een patiënt met specifieke toestemming bepalen welke zorgverlener welke informatie kan inzien. Vincent Böhre van Privacy First: “Zowel de patiënt als de arts heeft geen goed zicht meer op door wie zijn medisch dossier wordt ingezien. Als je bijvoorbeeld bij een bepaalde arts medische gegevens nodig hebt, wil je alleen die gegevens die betrekking hebben op die behandeling, niet je hele medische dossier. Het gaat je fysiotherapeut niets aan dat je een psychische aandoening hebt.”
"Het gaat je fysiotherapeut niets aan dat je een psychische aandoening hebt"
Maar het Landelijk Schakelpunt, het systeem om digitaal informatie uit te wisselen, toetst toch of er een behandelrelatie is? “Voor zover ik weet wordt niet gewaarborgd of er sprake is van een behandelrelatie. Je hebt als patiënt geen enkele waarborg dat gegevens enkel worden ingezien door mensen aan wie je toestemming hebt gegeven. Als je een UZI-pas hebt als zorgverlener – nodig om het LSP te kunnen gebruiken - kun je heel makkelijk dossiers inzien van patiënten met wie je geen enkele behandelrelatie hebt.” Het is een stevige claim van specifieketoestemming.nl : wanneer een patiënt toestemming heeft gegeven om medische gegevens te delen worden ‘diens gegevens vaak toegankelijk voor vele (mogelijk wel tien- tot honderdduizenden) zorgverleners’.
Maar volgens Alf Zwilling is het beeld dat de toestemming voor gegevensverwerking via het LSP generiek en eenmalig zou zijn, een ‘volstrekt onjuiste weergave van de werkelijkheid’. Zwilling is woordvoerder van VZVZ – de organisatie die verantwoordelijk voor de uitwisseling van gegevens via de zorginfrastructuur van het LSP. In een verklaring benadrukt
Volgens VZVZ is dat een ‘volstrekt onjuiste weergave van de werkelijkheid’
VZVZ bijvoorbeeld: per zorgverlener (huisarts, apotheker) wordt apart toestemming gevraagd; elke zorgverlener heeft zelf toestemming nodig voor het beschikbaar maken van geselecteerde gegevens; en er is alleen toestemming voor geselecteerde noodzakelijke gegevens, dus geen 'dossiers'. VZVZ kan zich niet vinden in de claims van de website. “Er is zeker geen sprake van generieke of eenmalige toestemming, maar juist van een gerichte en specifieke toestemming. Bovendien is er dus geen toegang door ‘talloze’ zorgaanbieders maar alleen voor genoemde zorgaanbieders onder de gestelde voorwaarden.” Zwilling benadrukt dat de feitelijke inrichting van de toestemmingsprocedure en de gegevensverwerking voldoet aan alle wettelijke kaders.
Een Random Reader van je bankrekening
“Ik vergelijk het huidige LSP soms met een Random Reader, het kastje om mee te internetbankieren. Het is alsof iedere zorgverlener een Random Reader krijgt en daarmee in jouw bankgegevens kan kijken. Pas achteraf wordt er gelogd wie er in kunnen. Is dat veilig? Ik vind van niet.” Huisarts Niels Rossen is kritisch over het LSP.
"Is dat veilig? Ik vind van niet”
Sterker nog, hij stelt dat het LSP onverenigbaar is met zijn geheimhoudingsplicht als arts. De privacy van patiënten komt ernstig in het geding met het huidige systeem. Rossen: “Laat ik voorop stellen dat ik voor de elektronische uitwisseling van gegevens ben, maar een tegenstander van de huidige opzet. In mijn huisartseninformatie-systeem kan ik ‘privacygevoelig’ aangeven, en daarmee zijn die gegevens alleen voor mij inzichtelijk, maar een moderne oplossing is gewenst. Technisch gezien is een aanpassing in ICT-systemen niet zo moeilijk, ik heb meer het idee dat het een politieke keuze is.”
Huisarts Rossen merkt op dat de grote spelers in de markt van ICT-software voor de zorg de vraag naar specifieke toestemming minder urgent vinden. “Ik ben huisarts en kan het niet zelf programmeren. Je hebt een softwarespecialist nodig om naar een aanpassing als specifieke toestemming te kijken, maar dat wordt in die sector nu niet echt opgepikt.”
Wat zien die zorgverleners dan?
Wat kan een huisarts of zorgverlener precies inzien wanneer ik eenmaal toestemming heb gegeven voor delen van mijn gegevens? Böhre van Privacy First : “Dat ligt aan het systeem dat gebruikt wordt. Bij het LSP hangt dit af van het soort zorgverlener dat gegevens opvraagt. De samenvatting van het huisartsendossier is vooral voor dienstwaarneming – de huisartsenpost – en mag normaal alleen worden opgevraagd door huisartsen. Maar we kunnen niet weten of dit in de toekomst meer partijen kunnen worden: de toestemming die je voor het LSP geeft beperkt dit niet op voorhand.”
“Medicatiegegevens – waaronder ook privacygevoelige gegevens, denk aan antidepressiva of HIV-medicatie – kunnen bij het LSP straks door alle specialisten, huisartsen, apothekers, en hun medewerkers worden opgevraagd. De vraag is of dat nodig is”, zegt Böhre. “Wij denken dat deze toestemming veel te veel, en veel te breed is. Wij willen dat in de toestemming duidelijk omschreven wordt wélke gegevens uitgewisseld worden met wíe. Niet alleen bij het LSP maar ook bij andere systemen.”
"Wij denken dat deze toestemming veel te veel, en veel te breed is"
Waar moeten we precies bang voor zijn? Wat kunnen onbekende zorgverleners via het LSP eigenlijk inzien? Huisarts Rossen: “Een huisartsdossier bevat veel privacygevoelige informatie. Het datapakket wat je deelt bevat de belangrijkste medische problemen van iemand op coderingsniveau, dat is heel specifiek. Een huisarts houdt een volledig profiel bij, registreert bijvoorbeeld ook mishandeling in gezin, of financiële problemen. Het is mogelijk dat die informatie in de dataset voor het LSP staat.”
En daarmee bestaat volgens critici de mogelijkheid dat meer mensen dan je vertrouwde huisarts te weten komen over privézaken die je liever niet met onbekenden deelt. Alf Zwilling van VZVZ reageert: “Er wordt in ieder geval achteraf een check uitgevoerd of er daadwerkelijk een behandelrelatie is met een patiënt. Ook wordt vastgelegd of gegevens worden opgevraagd, en door wie. Voor zowel patiënt als huisarts is zichtbaar wie gegevens heeft opgevraagd of gedeeld via het LSP.” Zwiling vult aan: “Als er geen behandelrelatie is, is het ook een strafbaar feit om persoonlijke medische informatie te bekijken. Het verrichten van onwettige handelingen kun je met geen enkel systeem helemaal vermijden. We gaan nu uit van slechte intenties, maar het systeem is juist opgezet voor het verbeteren van de zorg.”
Een check achteraf
Guido van ’t Noordende is privacy- en beveiligingsonderzoeker aan de Universiteit van Amsterdam en publiceert geregeld over het LSP. “De bewering dat het LSP niet waarborgt dat er een behandelrelatie moet zijn, is niet helemaal waar. De behandelrelatie wordt formeel wel gecheckt. Maar bij het LSP
"Alleen aan de opvragende kant wordt gecheckt of er een behandelrelatie is"
wordt alleen in het systeem aan de opvragende kant gecheckt of er een behandelrelatie is”, zegt Van ’t Noordende. “Daar zijn verschillende manieren voor: er kan gecontroleerd worden of er al een dossier bestaat, of er een afspraak in de agenda staat – maar dat kan iedereen invoeren. Ook de arts kan zelf aangeven ‘ik heb een behandelrelatie met deze patiënt’. Juridisch gezien is dit misschien oké, maar technisch gezien is zo'n systeem niet goed beveiligd. Als het systeem heel groot is zijn er te veel plekken waar een kwaadwillende zo’n toets vooraf kan omzeilen.”
Van ’t Noordende vult aan: “Dit principe van specifieke toestemming is meer een beperking aan de bron: daar bepaal je wat je wil delen met hoeveel mensen. En dat vind ik erg goed. Ik denk dat het belangrijk is dat mensen voor zichzelf bepalen welk risico ze willen nemen. Als je op voorhand afspraken kan maken met je arts, wie wel en wie niet inzage krijgt, en met welke afbakeningen, biedt dat een sterkere bescherming dan een check op de behandelrelatie.”
Publieke discussie
Een van de beweringen van specifieketoestemming.nl is dat in veel systemen voor uitwisseling van medische gegevens, zoals het Landelijke Schakelpunt, het systeem bepaalt wie toegang krijgt tot welke gegevens. Van ’t Noordende: “Het LSP neemt veel controle over van artsen, en specifieke toestemming biedt een mogelijkheid tot een tegengeluid. Bovendien wekt overleg over toestemming vertrouwen: het is de moeite waard om te overleggen of het nodig is om gegevens uit te wisselen, en te laten zien dat dit niet onzichtbaar zomaar gebeurt.”
Van ’t Noordende : “De website maakt een discussie los over een onderwerp dat belangrijk is. De initiators presenteren specifieke toestemming als een middel voor burgers om risico’s te beperken. Ik heb er zelf ook geen senang gevoel erbij, als de toegang breder is dan nodig, en
"Het LSP neemt veel controle over van artsen"
breder dan waar ik dacht dat ik toestemming voor heb verleend. Communicatie is belangrijk voor de zorg, maar als ik toestemming geef om mijn gegevens met de huisartsenpost te delen, is dat iets anders dan gegevens delen via LSP met veel meer zorgverleners.”
Volgens Vincent Böhre van Privacy First is een nieuwe discussie hard nodig, maar de beroepsgroep zal de eigen ICT-leveranciers en achterban moeten oproepen tot verbeteringen in technische systemen.
Het idee dat de medische beroepsgroepen hierin zelf een verantwoordelijkheid hebben komt overigens ook terug in de behandeling van het wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens, dat nu bij de Tweede Kamer ligt en wacht op plenaire bespreking. In een recente brief aan de Tweede Kamer zegt minister Schippers over de vraag welke gegevens door welke zorgverlener zijn in te zien: “Wat noodzakelijke gegevens zijn wordt binnen de beroepsgroepen bepaald en vastgelegd in protocollen.” Het wetsvoorstel is volgens de minister echter wel duidelijk over het verschil tussen generieke en specifieke toestemming. Ze schrijft aan de Tweede Kamer:
“Overigens geldt voor alle categorieën van toestemming, dat alleen gegevens die voor de behandeling noodzakelijk zijn mogen worden geraadpleegd. Het is dus niet zo dat elke zorgaanbieder die is aangesloten op een elektronisch uitwisselingssysteem recht heeft op inzage in het
“Wat noodzakelijke gegevens zijn wordt binnen de beroepsgroepen bepaald en vastgelegd in protocollen”
volledige medische dossier van een patiënt die generieke toestemming heeft gegeven. Op grond van artikel 15b, eerste lid is het raadplegen van gegevens die beschikbaar zijn gesteld via een elektronisch uitwisselingssysteem alleen toegestaan indien de cliënt binnen die behandelrelatie daartoe uitdrukkelijke toestemming heeft gegeven aan een behandelende zorgaanbieder. De vraag van de zorgaanbieder om de gegevens in te mogen zien, geeft de cliënt de mogelijkheid om op dat specifieke moment en bij die specifieke zorgaanbieder nog de afweging te maken of hij de gegevens die andere zorgaanbieders over hem hebben, wil delen met deze zorgaanbieder.”
De doelstelling van specifieketoestemming.nl om een publieke discussie los te maken is in ieder geval dus wel goed getimed: in de komende maanden zullen de verschillende fracties in de Tweede Kamer hun definitieve oordeel over de wetgeving rond het delen van medische dossiers moeten bepalen. Het LSP speelt in die discussie een prominente rol, maar veel deskundigen wijzen er op dat vandaag de dag op veel plaatsen nog oudere systemen worden gebruikt waarbij de patiënt op geen enkele manier expliciete toestemming heeft gegeven om gegevens te delen.
Meer lezen?
"Mag ik u wat vragen? Zouden we uw medische gegevens mogen delen?"
Gegevens over jou, maar niet van jou
Wet burgerrechten bij uitwisseling medische gegevens is weer stap dichterbij
[accordion]
[acc title="Foto credits"]Ted Eytan (www.flickr.com/photos/taedc/)[/acc]
[/accordion]
Kortom, als je dit leest dan is wel duidelijk wat een enorme puinhoop de politiek en ambtenaren er in 10 jaar van gemaakt hebben door geen landelijk EPD in te voeren waarbij de burger simpelweg zelf kan bepalen wat er met zijn data gebeurt. De onkunde waarbij tot een LSP is gekomen is onvoorstelbaar. Het LSP doet niets anders dan voor heel veel geld gammele systemen aan elkaar knopen. En dan moeten we nu met een aparte website hier weer aanvullingen op gaan maken? Dit gaat nooit niet werken.
Het huidige systeem is zo lek als een mandje, en daar is maar één oplossing voor: vraag al je eigen data op en plaats die in een persoonlijke kluis zodat je inzicht krijgt en bepaal zelf met wie je het deelt. Wanneer iedereen dat gaat doen dan wordt ook goed duidelijk wat voor een puinhoop het is in al die verschillende medische systemen. En wees niet verbaasd als een deel van uw medische informatie onvindbaar blijkt of niet eens van u zelf...