Commentaar Privacy First op concept-wetsvoorstel Elektronische Gegevensuitwisseling in de Zorg
Hoe digitaliseren we de uitwisseling van medische gegevens? Die vraag speelt nu ongeveer vijftien jaar. Voor het eerst heeft de Minister een pragmatische, doordachte en integrale analyse gemaakt van wat er werkelijk nodig is om dit te bereiken.
Op hoofdlijnen acht Privacy First dit wetsvoorstel het beste dat we ooit op dit dossier hebben gezien. In de uitwerking zien we nog wel risico’s. Het succes zal afhangen van het doorzettingsvermogen van het Ministerie van VWS en de mate waarin het in staat is partijen in het zorgveld voorbij hun eigen horizon te laten kijken.
De behandelrelatie staat centraal
Op aangeven van de Patiëntenfederatie besloot Minister Schippers eind 2015 tot ‘regie voor de patiënt’ in het medisch dossier.
Privacy First acht het ‘centraal stellen van de patiënt’ een fundamentele denkfout. Het doet te weinig recht aan de meerwaarde die een zorgverlener biedt en diens verantwoordelijkheid in het bewaken van de kwaliteit van de zorg. Het is het zorgproces dat centraal dient te staan. Arts en patiënt voeren samen, in onderling vertrouwen, de regie.
Tot onze opluchting slaat de Minister met dit wetsvoorstel een andere weg in (zie concept-memorie van toelichting §2.3.4, p.11). De behandelrelatie wordt de voornaamste grondslag voor de uitwisseling van gegevens, in lijn met het zorgproces en de WGBO. Dit biedt enorme kansen voor een efficiënte en effectieve uitwisseling van gegevens, met de best denkbare privacybescherming.
Patiënten worden verlost van het bijhouden van toestemmingen en het belang van het kopiëren van gegevens naar een PGO neemt af.
Decentrale uitwisseling van gegevens
Het verzet van Privacy First heeft zich de afgelopen jaren vooral gericht tegen de gecentraliseerde wijze waarop de toegang tot medische gegevens is geregeld.
De concept-memorie van toelichting stelt (3.3.2, p.11):
“de norm mag er niet toe leiden dat het uitwisselen van gegevens enkel kan via een elektronisch uitwisselingssysteem als bedoeld in de Wabvpz (art 15a, red.).”
Met deze wet krijgen patiënten straks de keuze voor een decentraal alternatief dat de uitwisseling van medische gegevens eenvoudiger, efficiënter, doelmatiger, veiliger en privacyvriendelijk maakt. Privacy First acht het cruciaal dat de Minister recente initiatieven van marktpartijen (zoals NUTS en Whitebox) gaat ondersteunen, zodat een open en vrij te gebruiken standaard ontstaat.
Trage normering en certificering via NEN
Het ontwikkelen van een NEN-norm is een zwaar geprotocolleerd proces met doorgaans een doorlooptijd van enkele jaren. De NEN-normeringsprocedures kenmerken zich ook niet door grote openheid; hoe bijvoorbeeld werkt het proces van benoemingen van de diverse commissies die in het wetsvoorstel genoemd worden?
Bovendien kunnen de NEN-normeringsprocessen onderdeel van lobby’s worden. Grote geïnstitutionaliseerde IT-leveranciers hebben meer invloed op dit proces en zullen hun dominante marktpositie willen behouden. De vraag is of elke belanghebbende organisatie (zoals burgerrechtenorganisaties, universiteiten en kleinere IT-bedrijven) afdoende bij kan dragen aan de normeringsprocessen.
Het Ministerie zal erop moeten toezien dat de normering een open en transparant proces is, waarin over de volledige breedte van het speelveld stakeholders betrokken worden bij de ontwikkeling van technische standaarden.
Daarnaast wordt software ‘agile’ ontwikkeld. Korte tijden tussen verschillende releases stellen ontwikkelaars in staat zich aan te passen aan nieuwe technologische ontwikkelingen. Complexe, of te gedetailleerde certificeringseisen kunnen hierdoor innovatie belemmeren. Hierover zou de memorie van toelichting meer duidelijkheid moeten bieden.
De ‘spoedsituatie’ ontbreekt in de wet
Zorgverlening vindt doorgaans plaats op basis van een doorverwijzing: er is een behandelrelatie conform de WGBO. De enige uitzondering op die regel is de ‘spoedsituatie’. Belandt een patiënt op de Spoedeisende Hulp (SEH), dan is er nog geen behandelrelatie en derhalve geen grondslag voor toegang tot medische gegevens.
De Minister heeft deze situatie buiten het wetsvoorstel gehouden. In zijn brief van 20 december 2019 wordt duidelijk dat hij geen alternatief heeft voor het gebruik van een gecentraliseerd systeem (zoals het Landelijk Schakelpunt, LSP), met alle risico’s van dien. Een vergelijkbare aanpak zien we nu met de COVID-19 opt-out (door het Ministerie eufemistisch “opt-in” genoemd), waardoor iedere patiënt alsnog standaard in het LSP is opgenomen.
Privacy First vindt deze situatie bijzonder zorgelijk, vooral omdat dit voor patiënten betekent dat zij alsnog (indirect) gedwongen worden deel te nemen aan een ‘uitwisselingssysteem’, zoals bedoeld in Art 15a Wabvpz.
Een alternatieve oplossing met gebruik van een uitgeprinte toegangscode is eenvoudiger, veiliger, goedkoper, privacyvriendelijk en te combineren met zowel een decentrale als een gecentraliseerde architectuur. Alleen de patiënt en het systeem van de arts kennen de code en bij verlies kan eenvoudig een nieuwe worden aangemaakt. Wie toegang heeft tot het spoeddossier en wat daarin staat, kan worden ingesteld in het systeem van de arts.
Minimaal dient dit gat in de wet te worden gedicht, door de ‘spoedsituatie’ expliciet op te nemen in de memorie van Toelichting (§3.3.2, p.11).
De volledige inbreng van Privacy First bij het concept-wetsvoorstel staat op de website internetconsultatie.nl.
Update: 22 november 2022
Privacy First leverde vandaag inbreng voor de vergadering van de commissie VWS van de Eerste Kamer.
Onze oproep aan de Kamer: maak decentrale uitwisseling van medische gegevens mogelijk!
Update: 6 april 2023
Privacy First leverde vandaag inbreng voor het debat aanstaande dinsdag over de verhouding tussen de WEGIZ en de European Health Data Space (EHDS).