"Afgelopen week werd de website specifieketoestemming.nl gelanceerd, een initiatief van een aantal beveiligingsexperts en de Stichtingen Privacy First en Bescherming Burgerrechten. Patiënten moeten zeggenschap houden over welke medische gegevens er precies gedeeld worden, en met wie, is de boodschap. Dat is met de huidige ICT-systemen niet mogelijk, waardoor privacy in gevaar komt, menen critici. Bovendien moeten artsen hierin zelf verantwoordelijkheid nemen. "Eigenlijk is het net alsof iedereen een Random Reader heeft van jouw rekening, en je pas achteraf kunt zien wie er in je bankzaken heeft gekeken."
Het Landelijk Schakelpunt ofwel LSP – de infrastructuur voor elektronische uitwisseling van medische gegevens tussen bijvoorbeeld huisarts of apotheek – werkt volgens het principe van opt-in. Je geeft als zorgconsument eerst nadrukkelijk toestemming voor het delen van je medische gegevens.
Maar de huidige ICT-systemen waarmee zorgverleners vervolgens medische gegevens uitwisselen zijn onveilig, vinden de initiatiefnemers van de website specifieketoestemming.nl. Waarom? Omdat ze onvoldoende begrenzing stellen aan de toegang tot iemands medische gegevens. Wanneer je eenmaal generieke toestemming hebt gegeven aan huisarts of apotheek om je gegevens elektronisch te delen, bestaat het gevaar dat daarmee veel meer zorgverleners in jouw privé dossier kunnen kijken, zeggen de initiatiefnemers. Daarom begint de Stichting Privacy First een internetcampagne voor medische privacy, om de controle van die medische gegevens terug te brengen bij patiënt en diens huisarts, als een soort zaakwaarnemer van de patiënt.
Stuur een brief
Via de website van de campagne kunnen mensen een zeggenschapsbrief aan hun arts sturen, waarmee zij kunnen aangeven aan welke voorwaarden de uitwisseling van hun medische gegevens moet voldoen. Hiermee kunnen artsen hun belangenorganisaties en ICT-leveranciers oproepen om specifieke toestemming mogelijk te maken. In plaats van generieke toestemming kan een patiënt met specifieke toestemming bepalen welke zorgverlener welke informatie kan inzien. Vincent Böhre van Privacy First: "Zowel de patiënt als de arts heeft geen goed zicht meer op door wie zijn medisch dossier wordt ingezien. Als je bijvoorbeeld bij een bepaalde arts medische gegevens nodig hebt, wil je alleen die gegevens die betrekking hebben op die behandeling, niet je hele medische dossier. Het gaat je fysiotherapeut niets aan dat je een psychische aandoening hebt."
Maar het Landelijk Schakelpunt, het systeem om digitaal informatie uit te wisselen, toetst toch of er een behandelrelatie is? "Voor zover ik weet wordt niet gewaarborgd of er sprake is van een behandelrelatie. Je hebt als patiënt geen enkele waarborg dat gegevens enkel worden ingezien door mensen aan wie je toestemming hebt gegeven. Als je een UZI-pas hebt als zorgverlener – nodig om het LSP te kunnen gebruiken – kun je heel makkelijk dossiers inzien van patiënten met wie je geen enkele behandelrelatie hebt." Het is een stevige claim van specifieketoestemming.nl: wanneer een patiënt toestemming heeft gegeven om medische gegevens te delen worden 'diens gegevens vaak toegankelijk voor vele (mogelijk wel tien- tot honderdduizenden) zorgverleners'.
Maar volgens Alf Zwilling is het beeld dat de toestemming voor gegevensverwerking via het LSP generiek en eenmalig zou zijn, een 'volstrekt onjuiste weergave van de werkelijkheid'. Zwilling is woordvoerder van VZVZ – de organisatie die verantwoordelijk voor de uitwisseling van gegevens via de zorginfrastructuur van het LSP. In een verklaring benadrukt VZVZ bijvoorbeeld: per zorgverlener (huisarts, apotheker) wordt apart toestemming gevraagd; elke zorgverlener heeft zelf toestemming nodig voor het beschikbaar maken van geselecteerde gegevens; en er is alleen toestemming voor geselecteerde noodzakelijke gegevens, dus geen 'dossiers'. VZVZ kan zich niet vinden in de claims van de website. "Er is zeker geen sprake van generieke of eenmalige toestemming, maar juist van een gerichte en specifieke toestemming. Bovendien is er dus geen toegang door 'talloze' zorgaanbieders maar alleen voor genoemde zorgaanbieders onder de gestelde voorwaarden." Zwilling benadrukt dat de feitelijke inrichting van de toestemmingsprocedure en de gegevensverwerking voldoet aan alle wettelijke kaders.
Een Random Reader van je bankrekening
"Ik vergelijk het huidige LSP soms met een Random Reader, het kastje om mee te internetbankieren. Het is alsof iedere zorgverlener een Random Reader krijgt en daarmee in jouw bankgegevens kan kijken. Pas achteraf wordt er gelogd wie er in kunnen. Is dat veilig? Ik vind van niet." Huisarts Niels Rossen is kritisch over het LSP. Sterker nog, hij stelt dat het LSP onverenigbaar is met zijn geheimhoudingsplicht als arts. De privacy van patiënten komt ernstig in het geding met het huidige systeem. Rossen: "Laat ik voorop stellen dat ik voor de elektronische uitwisseling van gegevens ben, maar een tegenstander van de huidige opzet. In mijn huisartseninformatie-systeem kan ik 'privacygevoelig' aangeven, en daarmee zijn die gegevens alleen voor mij inzichtelijk, maar een moderne oplossing is gewenst. Technisch gezien is een aanpassing in ICT-systemen niet zo moeilijk, ik heb meer het idee dat het een politieke keuze is."
Huisarts Rossen merkt op dat de grote spelers in de markt van ICT-software voor de zorg de vraag naar specifieke toestemming minder urgent vinden. "Ik ben huisarts en kan het niet zelf programmeren. Je hebt een softwarespecialist nodig om naar een aanpassing als specifieke toestemming te kijken, maar dat wordt in die sector nu niet echt opgepikt."
Wat zien die zorgverleners dan?
Wat kan een huisarts of zorgverlener precies inzien wanneer ik eenmaal toestemming heb gegeven voor delen van mijn gegevens? Böhre van Privacy First : "Dat ligt aan het systeem dat gebruikt wordt. Bij het LSP hangt dit af van het soort zorgverlener dat gegevens opvraagt. De samenvatting van het huisartsendossier is vooral voor dienstwaarneming – de huisartsenpost – en mag normaal alleen worden opgevraagd door huisartsen. Maar we kunnen niet weten of dit in de toekomst meer partijen kunnen worden: de toestemming die je voor het LSP geeft beperkt dit niet op voorhand."
"Medicatiegegevens – waaronder ook privacygevoelige gegevens, denk aan antidepressiva of HIV-medicatie – kunnen bij het LSP straks door alle specialisten, huisartsen, apothekers, en hun medewerkers worden opgevraagd. De vraag is of dat nodig is", zegt Böhre. "Wij denken dat deze toestemming veel te veel, en veel te breed is. Wij willen dat in de toestemming duidelijk omschreven wordt wélke gegevens uitgewisseld worden met wíe. Niet alleen bij het LSP maar ook bij andere systemen."
(...)
Een check achteraf
Guido van 't Noordende is privacy- en beveiligingsonderzoeker aan de Universiteit van Amsterdam en publiceert geregeld over het LSP. "De bewering dat het LSP niet waarborgt dat er een behandelrelatie moet zijn, is niet helemaal waar. De behandelrelatie wordt formeel wel gecheckt. Maar bij het LSP wordt alleen in het systeem aan de opvragende kant gecheckt of er een behandelrelatie is", zegt Van 't Noordende. "Daar zijn verschillende manieren voor: er kan gecontroleerd worden of er al een dossier bestaat, of er een afspraak in de agenda staat – maar dat kan iedereen invoeren. Ook de arts kan zelf aangeven 'ik heb een behandelrelatie met deze patiënt'. Juridisch gezien is dit misschien oké, maar technisch gezien is zo'n systeem niet goed beveiligd. Als het systeem heel groot is zijn er te veel plekken waar een kwaadwillende zo'n toets vooraf kan omzeilen."
Van 't Noordende vult aan: "Dit principe van specifieke toestemming is meer een beperking aan de bron: daar bepaal je wat je wil delen met hoeveel mensen. En dat vind ik erg goed. Ik denk dat het belangrijk is dat mensen voor zichzelf bepalen welk risico ze willen nemen. Als je op voorhand afspraken kan maken met je arts, wie wel en wie niet inzage krijgt, en met welke afbakeningen, biedt dat een sterkere bescherming dan een check op de behandelrelatie."
Publieke discussie
(...) Volgens Vincent Böhre van Privacy First is een nieuwe discussie hard nodig, maar de beroepsgroep zal de eigen ICT-leveranciers en achterban moeten oproepen tot verbeteringen in technische systemen.
Het idee dat de medische beroepsgroepen hierin zelf een verantwoordelijkheid hebben komt overigens ook terug in de behandeling van het wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens, dat nu bij de Tweede Kamer ligt en wacht op plenaire bespreking. (...) De doelstelling van specifieketoestemming.nl om een publieke discussie los te maken is in ieder geval dus wel goed getimed: in de komende maanden zullen de verschillende fracties in de Tweede Kamer hun definitieve oordeel over de wetgeving rond het delen van medische dossiers moeten bepalen. Het LSP speelt in die discussie een prominente rol, maar veel deskundigen wijzen er op dat vandaag de dag op veel plaatsen nog oudere systemen worden gebruikt waarbij de patiënt op geen enkele manier expliciete toestemming heeft gegeven om gegevens te delen."
Bron (volledig artikel): http://www.smarthealth.nl/2014/04/24/specifieke-toestemming-lsp-medische-gegevens/, 24 april 2014.