donatieknop english

"Patiënten willen hun medische gegevens inzien. Ze vinden het belangrijk om zelf hun toestand in de gaten te houden.

In een oogopslag kunnen zien wat dokters over je zeggen of wat er uit een bloedtest komt. Direct aan de bel kunnen trekken als de behandeling problemen oplevert. Steeds meer mensen snakken naar een digitaal, persoonlijk gezondheidsdossier (PGD). Dat meldt patiëntenfederatie NPCF op basis van onderzoek onder ruim 11.000 leden.

Hoewel de meeste ondervraagden nog niet bekend zijn met dit digitale dossier, ziet de overgrote meerderheid reden om het in de toekomst te gebruiken. Zo denken ze dat een PGD handig is als ze chronisch ziek worden, of als ze merken dat zorgverleners niet alles van elkaar weten. 16 procent van de respondenten ziet het PGD níet zitten.

"Een digitaal dossier kan voorkomen dat een patiënt steeds maar weer zijn verhaal moet doen. Denk aan een Parkinsonpatiënt die bij verschillende ziekenhuizen loopt, en daarnaast contact heeft met een huisarts en een fysiotherapeut", zegt NPCF-voorzitter Wilna Wind. Nog belangrijker vindt Wind dat de patiënt zelf zijn toestand kan monitoren: pijnscores, insulinegehaltes, bijwerkingen. "Die kan hij meteen met hulpverleners delen en dat komt de behandeling ten goede."

Vooralsnog werkt slechts een aantal ziekenhuizen met een digitaal dossier, laat staan dat hun systemen aan elkaar zijn gekoppeld. De software verschilt per PGD en er zijn nog allerlei privacy-vraagstukken. De angst voor misbruik zorgde ervoor dat het Elektronisch Patiëntendossier (EPD) in 2011 door de Eerste Kamer van tafel werd geveegd. Wind: "Het PGD is anders, want het wordt door de patiënt in plaats van de dokters beheerd."

Stichting Privacy First, fervent tegenstander van het EPD, ziet dat chronisch zieken baat kunnen hebben bij een persoonlijk digitaal dossier, maar betwijfelt of de gegevens veilig zijn. Er zou daarom een 'patiëntgeheim' moeten komen, omdat het medisch beroepsgeheim de patiënt niet voldoende beschermt tegen derden als verzekeraars en werkgevers. Dat stelde ook de Raad voor de Volksgezondheid vorig jaar.

In 2020 zou het PGD voor iedereen beschikbaar moeten zijn, vindt de NPCF. Minister Schippers (Zorg, VVD) juicht dat toe en wil regels die dat belemmeren wegnemen. Wind: "We zetten samen de schouders eronder. Ook artsen zien de voordelen.""

Bron: AD/Amersfoortse Courant, BN/DeStem, Brabants Dagblad, Dagblad van het Noorden, Dagblad de Limburger, De Gelderlander, Twentsche Courant Tubantia, Eindhovens Dagblad, Leeuwarder Courant, Limburgs Dagblad & Provinciale Zeeuwse Courant, 21 mei 2015.

Gepubliceerd in Privacy First in de media

"Zieke wil zelf online gegevens inzien en aanvullen

Patiënten willen online hun medische gegevens inzien. Ze vinden het belangrijk om zelf hun toestand in de gaten te houden en dat maakt de behandeling beter.

In een oogopslag kunnen zien wat dokters over je zeggen, wat er uit een bloedtest komt en direct aan de bel kunnen trekken als de behandeling problemen oplevert. Steeds meer mensen snakken naar een Persoonlijk Gezondheidsdossier (PGD), meldt patiëntenfederatie NPCF op basis van onderzoek onder ruim 11.000 leden.

In 2011 werd het soortgelijke Elektronisch Patiëntendossier (EPD) nog afgeschoten door de Eerste Kamer uit angst voor misbruik. Het EPD was alleen bestemd voor artsen. De patiënt had daar niets over te zeggen. Bij het PGD bepaalt de patiënt met wie hij het deelt.

Hoewel de meeste ondervraagden nog niet bekend zijn met het PGD, ziet de overgrote meerderheid reden het in de toekomst te gebruiken. Zo denken ze dat een PGD handig is als ze chronisch ziek worden, of als ze merken dat zorgverleners niet alles van elkaar weten. 16 procent ziet het PGD niet zitten.

"Een digitaal dossier kan voorkomen dat een patiënt steeds weer zijn verhaal moet doen. Denk aan een parkinsonpatiënt die bij verschillende ziekenhuizen loopt, met daarnaast een huisarts en fysio," zegt NPCF-voorzitter Wilna Wind.

Nog belangrijker vindt Wind dat de patiënt zelf zijn toestand kan monitoren: pijnscores, insulinegehaltes, bijwerkingen. "Die kan hij meteen met hulpverleners delen en dat komt de behandeling ten goede."

Vooralsnog werkt slechts een aantal ziekenhuizen met een digitaal dossier, laat staan dat hun systemen aan elkaar zijn gekoppeld. Bovendien zijn er nog privacy-vraagstukken.

De Stichting Privacy First, fervent tegenstander van het EPD, ziet dat chronisch zieken baat kunnen hebben bij een digitaal dossier, maar betwijfelt of de patiëntgegevens veilig zijn.

In 2020 zou iedereen over een PGD moeten kunnen beschikken, vindt de NPCF. Minister Schippers (Zorg, VVD) juicht dat toe, en wil regels die dat belemmeren wegnemen.

De financiering moet van verzekeraars en de overheid komen, denkt de NPCF. Ook blijkt 33 procent van de patiënten bereid tot 20 euro per jaar te betalen."

Bron: Algemeen Dagblad 21 mei 2015, voorpagina. Tevens gepubliceerd op http://www.ad.nl/ad/nl/4560/Gezond/article/detail/4036591/2015/05/21/Patient-snakt-naar-elektronisch-dossier.dhtml.

Gepubliceerd in Privacy First in de media

"De campagne Specifieke Toestemming van Privacy First is tegen de nieuwe EPD-wet van minister Schippers van VWS. Volgens Privacy First is het wetsvoorstel van Schippers oude wijn in nieuwe zakken. Vier jaar geleden haalde Schipper's voorstel voor het elektronisch patiëntendossier het niet. Nu wel? En wat is eigenlijk tegen het wetsvoorstel?" Beluister hieronder het hele interview:

Bron: http://www.amsterdamfm.nl/nieuwe-epd-wet-nieuwe-wijn-in-oude-zakken/, 4 maart 2015.

Gepubliceerd in Privacy First in de media

"De nieuwe EPD-wet van minister Schippers laat patiënten toestemming verlenen waarvan ze de gevolgen niet kunnen overzien, wat in strijd is met het recht op privacy en het medisch beroepsgeheim. Daarvoor waarschuwt de campagne Specifieke Toestemming in een brief aan de Eerste Kamer.

Specifieke Toestemming is een initiatief van een groep bezorgde burgers, Privacy First en de Stichting Bescherming Burgerrechten. Volgens het initiatief maakt het wetsvoorstel "Cliëntenrechten bij elektronische verwerking van gegevens" het mogelijk om met een eenmalige toestemming medische gegevens toegankelijk te maken bij elke zorgverlener met wie de patiënt contact heeft gehad.

Geeft de patiënt bij één zorgverlener toestemming, dan kunnen op basis hiervan namelijk ook gegevens bij andere zorgverleners worden ontsloten. De minister noemt dit in haar voorstel "gespecificeerde toestemming", maar het wetsartikel in kwestie laat in feite genoeg ruimte over voor een carte blanche. "Een toestemming met zo'n reikwijdte is zowel vanuit het recht op privacy van de patiënt als het beroepsgeheim van de zorgverlener ondenkbaar", zo stelt Specifieke Toestemming.

Gevolgen

Het initiatief waarschuwt dat een patiënt die bij één zorgverlener toestemming voor het delen van gegevens geeft, niet weet welke informatie vervolgens ook ontsloten kan worden uit de dossiers van andere zorgverleners, van apothekers en huisartsen tot specialistische zorgverleners en ziekenhuizen. "Hij staat daarmee niet in de positie om over het ontsluiten van gegevens een weloverwogen beslissing te maken waarvan hij de gevolgen kan overzien."

Volgens Specifieke Toestemming moet bij het delen van medische persoonsgegevens het voor de patiënt op voorhand duidelijk zijn om welke gegevens het gaat, en wie deze met welk doel kan raadplegen. De nieuwe wet van minister Schippers zou niet aan deze eisen voldoen. De D66-fractie van de Eerste Kamer heeft de regering inmiddels gevraagd om op de brief van Specifieke Toestemming te reageren."

Bron: https://www.security.nl/posting/420746/Eerste+Kamer+gewaarschuwd+voor+nieuwe+EPD-wet, 4 maart 2015.

Gepubliceerd in Privacy First in de media

De nieuwe EPD-wet van minister Schippers laat patiënten toestemming verlenen waarvan ze de gevolgen niet kunnen overzien. Dat is in strijd met het recht op privacy en het medisch beroepsgeheim, stelt onze campagne Specifieke Toestemming in een brief aan de Eerste Kamer.

Het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens (33509) maakt het mogelijk om met een eenmalige toestemming medische gegevens toegankelijk te maken bij elke zorgverlener met wie de patiënt contact heeft gehad. Geeft de patiënt bij één zorgverlener toestemming, dan kunnen op basis hiervan namelijk ook gegevens bij andere zorgverleners worden ontsloten.

De minister noemt dit in haar voorstel 'gespecificeerde toestemming', maar het wetsartikel in kwestie laat in feite genoeg ruimte over voor een carte blanche. Een toestemming met zo'n reikwijdte is zowel vanuit het recht op privacy van de patiënt als het beroepsgeheim van de zorgverlener ondenkbaar, zo stelt Specifieke Toestemming.

Een brede toestemming met ondoorzichtige reikwijdte

Een patiënt die bij één zorgverlener toestemming geeft voor het delen van gegevens, weet niet welke informatie vervolgens ook ontsloten kan worden uit de dossiers van andere zorgverleners – van apothekers en huisartsen tot specialistische zorgverleners en ziekenhuizen. Hij staat daarmee niet in de positie om over het ontsluiten van gegevens een weloverwogen beslissing te maken waarvan hij de gevolgen kan overzien.

Ook kan een dergelijke toestemming ertoe leiden dat dossiers toegankelijk worden bij toekomstige zorgverleners van de patiënt, zonder dat de patiënt zich daar bewust van is. Het delen van gegevens buiten het zicht van de patiënt kan het vertrouwen van burgers in het beroepsgeheim ondermijnen.

Een toestemming met een dergelijke reikwijdte is bovendien in strijd met de eisen van noodzakelijkheid en proportionaliteit voortkomend uit artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM), het fundamentele recht op privacy. Eveneens druist het delen van medische gegevens op basis van een toestemming die elders is gegeven in tegen het beroepsgeheim van de zorgverlener, die informatie over zijn patiënten uitsluitend mag delen voor specifieke, behandelgerelateerde doeleinden en voor het breed ontsluiten van gegevens zélf toestemming aan de patiënt moet vragen.

Bij het delen van medische persoonsgegevens moet het voor de patiënt op voorhand duidelijk zijn om welke gegevens het gaat, en wie deze met welk doel kan raadplegen. Dat is een fundamenteel recht van de patiënt en een plicht van de arts. Aan deze eisen wordt niet voldaan in de nieuwe wet van minister Schippers, die het mogelijk maakt om zonder dat er een medische noodzaak is vastgesteld, op grote schaal medische gegevens toegankelijk te maken voor in principe alle op het systeem aangesloten zorgverleners.

Een opt-out bij uitbreiding van het systeem

Patiënten die ooit toestemming hebben gegeven voor het delen van gegevens, moeten zelf deze toestemming inperken wanneer het systeem wordt uitgebreid en ze het daar niet mee eens zijn, zo valt ook in het wetsvoorstel te lezen. Specifieke Toestemming wijst erop dat een 'stille' uitbreiding van de toestemming, waarbij er wordt uitgegaan van impliciete toestemming van de patiënt, op basis van de eerdergenoemde wets- en verdragsbepalingen nooit rechtmatig kan zijn.

Download de volledige brief aan de Eerste Kamer HIER.

De D66-fractie van de Eerste Kamer heeft de regering gevraagd om op de brief van Specifieke Toestemming te reageren; zie HIER het verslag van de Eerste Kamer dat vandaag is gepubliceerd (pdf, p. 8).

Gepubliceerd in Medische privacy

"Uit angst voor een wetsvoorstel dat generieke toestemming voor het uitwisselen van medische gegevens dreigt te legitimeren, heeft privacyorganisatie Privacy First een brandbrief naar de Tweede Kamer gestuurd. In de brief wordt de Kamer opgeroepen om de specifieke toestemming te handhaven.

Morgen debatteert de Tweede Kamer over wetsvoorstel 33509, dat gaat over cliëntenrechten in de zorg. Privacy First stelt dat het voorstel, ondanks de naam, cliëntenrechten in de zorg eerder verzwakt dan versterkt. "Met name op het punt van toestemming en zeggenschap over de uitwisseling van de medische gegevens gaat het voorstel de verkeerde kant uit", laat de organisatie weten.

Keuze-optie

De nieuwe wet voert generieke toestemming in als 'keuze-optie' voor cliënten. Daarmee krijgen patiënten straks in feite de keuze om hun rechten weg te geven, naar Amerikaans model. Privacy First merkt op dat dit in strijd met de privacywetgeving is, in het bijzonder de strenge Europese regelgeving en jurisprudentie over de uitwisseling van medische gegevens.

Ook als keuze-optie gaat generieke toestemming tegen alle bestaande Europese verdragen, regelgeving en jurisprudentie omtrent geïnformeerde toestemming in. Daarnaast zou het wetsvoorstel nauwelijks uitvoerbaar voor zorgverleners lijken. Privacy First heeft in totaal vijf vragen over het wetsvoorstel gesteld en de situatie rond het Landelijk Schakelpunt (LSP), zoals het voormalige Elektronisch patiëntendossier wordt genoemd.

Cruciale dag

Naast het Kamerdebat zal de rechtbank Utrecht morgen naar verwachting een belangrijke uitspraak doen in de rechtszaak van de Vereniging Praktijkhoudende Huisartsen tegen VZVZ over de onrechtmatigheid van het Landelijk Schakelpunt. "Deze woensdag belooft daarmee een cruciale dag te worden voor de toekomst van het recht op medische privacy in Nederland", zegt Vincent Böhre van Privacy First."

Bron: https://www.security.nl/posting/391176/Brandbrief+naar+Kamer+over+uitwisseling+medische+gegevens, 10 juni 2014.

Gepubliceerd in Privacy First in de media

Wetsvoorstel van minister Schippers (VWS) dreigt generieke toestemming voor uitwisseling van medische gegevens te legitimeren. Campagne SpecifiekeToestemming.nl vraagt Tweede Kamer om specifieke toestemming te handhaven.

Onlangs werd op initiatief van Privacy First en de Stichting Bescherming Burgerrechten een grootschalige internetcampagne gelanceerd rond het recht op medische privacy: SpecifiekeToestemming.nl. Kern van deze campagne is dat specifieke toestemming (weer) het leidende beginsel moet worden bij de uitwisseling van medische gegevens. Dit in tegenstelling tot de generieke toestemming die bijvoorbeeld geldt bij de private opvolger van het Elektronisch Patiëntendossier, het Landelijk Schakelpunt (LSP). Deze week (woensdag 10.15u) debatteert de Tweede Kamer over een wetsvoorstel dat generieke toestemming dreigt te legitimeren. In dit verband heeft het team achter SpecifiekeToestemming.nl eind vorige week een brandbrief met kritische vragen aan de Tweede Kamer gestuurd.

De campagne SpecifiekeToestemming.nl heeft een brief aan de Tweede Kamer gestuurd over wetsvoorstel 33509, dat gaat over cliëntenrechten in de zorg. De campagne is eind april 2014 gelanceerd en wordt inmiddels gesteund door talrijke maatschappelijke organisaties, zorgverleners en relevante academici.

Het campagneteam vindt dat het wetsvoorstel, ondanks de naam, cliëntenrechten in de zorg eerder verzwakt dan versterkt. Met name op het punt van toestemming en zeggenschap over de uitwisseling van de medische gegevens gaat het voorstel de verkeerde kant uit. De nieuwe wet voert generieke toestemming in als 'keuze-optie' voor cliënten. Daarmee krijgen patiënten straks in feite de keuze om hun rechten weg te geven, naar Amerikaans model. Dit is in strijd met de privacywetgeving, in het bijzonder de strenge Europese regelgeving en jurisprudentie over de uitwisseling van (medische) gegevens. Onder de huidige Europese én Nederlandse wetgeving dient bij de uitwisseling van medische gegevens vooraf sprake te zijn van specifieke (gerichte, welbepaalde) toestemming van de cliënt. Generieke (brede, ongerichte) toestemming voldoet per definitie niet aan dat vereiste.

Bij generieke (eenmalige) toestemming worden medische gegevens standaard gedeeld met een niet op voorhand te overziene hoeveelheid (categorieën van) zorgverleners. Patiënten krijgen dan, op het moment dat een zorgverlener gegevens wil opvragen via bijvoorbeeld het Landelijk Schakelpunt, ineens de vraag of ze toestemming geven voor het opvragen van gegevens. Voor de cliënt is op dat moment volstrekt niet te overzien welke gegevens er opgevraagd zullen worden. Vaak zal de cliënt ook niet echt in staat zijn om op dat moment "nee" te zeggen tegen de zorgverlener. Bovendien zullen kwaadwillenden zich ook niets van de juridische wassen neus van toestemming bij het opvragen van gegevens aantrekken. Bij specifieke toestemming moeten cliënten voorafgaand aan het delen van informatie kunnen bepalen of, en zo ja welke, gegevens mogen worden ontsloten voor welke (categorieën van) zorgverleners. Dat beperkt de risico's en maakt het mogelijk voor cliënten om zeggenschap te houden over de uitwisseling van hun gegevens.

Het idee van generieke toestemming – ook als keuze-optie – gaat in tegen alle bestaande Europese verdragen, regelgeving en jurisprudentie omtrent geïnformeerde toestemming. Het wetsvoorstel lijkt bovendien nauwelijks uitvoerbaar voor zorgverleners, die nu – met de toestemming voor het LSP – al een grote variatie aan (veelal misleidende) toestemmingsvragen aan hun patiënten blijken voor te leggen. Hoe moet dat dan als er ook nog eens een keuze voorligt? De wet moet helder zijn en blijven: toestemming moet goed geïnformeerd, en daarom specifiek zijn. Daarom moet het wetsvoorstel niet in de huidige vorm worden aangenomen.

Klik HIERpdf voor de brief van SpecifiekeToestemming.nl met een aantal kritische vragen en suggesties t.b.v. het debat deze woensdagochtend in de Tweede Kamer. Op dezelfde dag zal de rechtbank Utrecht naar verwachting uitspraak doen in de rechtszaak van de Vereniging Praktijkhoudende Huisartsen (VP Huisartsen) tegen VZVZ over de onrechtmatigheid van het Landelijk Schakelpunt. In deze zaak staat ook de kwestie van specifieke versus generieke toestemming centraal. Deze woensdag belooft daarmee een cruciale dag te worden voor de toekomst van het recht op medische privacy in Nederland.

Bekijk hieronder de promo van de campagne:


Update 12 juni 2014:
klik HIER en HIER voor de woordelijke verslagen van het Kamerdebat gisteren. De stemming over het wetsvoorstel, ingediende moties en amendementen staat vooralsnog gepland voor dinsdag 24 juni as. De uitspraak van de rechtbank Utrecht in de zaak van VP Huisartsen vs. VZVZ is echter uitgesteld tot (uiterlijk) woensdag 23 juli as. Hieronder een intrigerend fragment uit het Kamerdebat van gistermiddag:

"[CDA]: (...) Klopt het dat het LSP werkt met een generieke opt-in en dat een specifieke opt-in in het LSP niet mogelijk is?

Minister Schippers: Wij leggen nu in de wet vast dat de specifieke opt-in wel een optie zal zijn.

[CDA]: Als ik dat terug redeneer, begrijp ik dus dat de minister zegt: ja, het LSP werkt nu met een generieke opt-in.

Minister Schippers: Het LSP werkt vooruitlopend op het systeem met een opt-in. Ik kijk even naar mijn ambtenaren. Werkt het LSP nu met een generieke opt-in?

De voorzitter: Wilt u daar in tweede termijn op terugkomen?

Minister Schippers: Ik kom daar in tweede termijn op terug.
(...)
Minister Schippers: Gevraagd is of het LSP werkt met een generieke toestemming, met een specifieke toestemming of met beide. Ik heb het na moeten vragen, want het is geen systeem van ons. Als ik iets over een systeem moet melden, dan vraag ik dat na. De laatste informatie die ik hierover heb gekregen, is dat per categorie wel specifiek toestemming kan worden gegeven maar nog niet per zorgaanbieder individueel. (...) Als je die specifieke toestemming per se wilt hebben, dan zie je gewoon nog even af van elektronische uitwisseling totdat die systemen klaar zijn. Je moet namelijk een redelijke termijn geven om zoiets complex voor elkaar te krijgen."

Commentaar Privacy First: oftewel generieke toestemming bij het huidige LSP! Waarom geeft de minister dit desgevraagd niet gewoon toe? Waarom vlucht Schippers in semantisch gegoochel met begrippen? Bang voor de uitkomst van de rechtszaak? Bovendien is überhaupt geen sprake van "per categorie specifiek toestemming geven"; VZVZ lijkt de minister hierover verkeerd te hebben voorgelicht. De huisarts kan dit namelijk helemaal niet per categorie instellen, maar alleen "ja" of "nee" invullen in het "opt-in" schermpje in zijn/haar systeem.

Update 7 juli 2014, goed nieuws: generieke toestemming is door de Tweede Kamer uit het wetsvoorstel geschrapt! In lijn van onze campagne blijft daarmee specifieke toestemming over; dit zal geïmplementeerd moeten worden in alle bestaande en toekomstige systemen voor de uitwisseling van medische gegevens, waaronder het huidige LSP (voormalig EPD). Ondanks dit eerste succes zijn er nog enkele mitsen en maren; lees HIER het hele commentaar op het weblog van SpecifiekeToestemming.nl. Volgende halte: Eerste Kamer!

Update 23 juli 2014: vandaag heeft de rechtbank Utrecht een uiterst teleurstellende, onbegrijpelijke uitspraak gedaan in de zaak van VP Huisartsen vs. VZVZ; klik HIER. Wat betreft het geschilpunt specifieke vs. generieke toestemming acht de rechtbank de huidige toestemming specifiek, daarbij slechts verwijzend naar oppervlakkig PR-materiaal (brochure) van VZVZ (zie vonnis, r.o. 5.15-5.16). Privacy First hoopt dat VP Huisartsen in hoger beroep zal gaan en ziet het oordeel van hogere, beter geïnformeerde rechters met vertrouwen tegemoet.

Gepubliceerd in Medische privacy

Enkele citaten uit opiniestuk Bart de Koning:

"Patiënten moeten samen met hun arts bepalen wie toegang krijgt tot hun dossier (...).

Gelukkig hoeven we niet lijdzaam toe te zien hoe het Landelijk Schakelpunt het medisch beroepsgeheim ondermijnt: het kan beter en slimmer. Patiënten moeten samen met hun arts precies kunnen bepalen wie toegang krijgt tot hun dossier. Op initiatief van Stichting Bescherming Burgerrechten en Stichting Privacy First begon een groep bezorgde burgers vorige week een internetcampagne voor medische privacy. Huidige systemen waarmee zorgverleners medische gegevens uitwisselen zijn onveilig, omdat ze geen harde begrenzing stellen aan de toegang tot iemands medische dossier. De gegevens worden toegankelijk gemaakt voor duizenden zorgverleners, en welke dat zijn of om welke gegevens dat gaat is niet op voorhand helder.

Een beter alternatief is een systeem van specifieke toestemming. Daarin bepalen arts en patiënt samen wie er toegang heeft tot het dossier. Met specifieke toestemming is een doelmatige uitwisseling van gegevens tussen zorgverleners prima mogelijk. Een systeem van fijnmazige specifieke toestemming is technisch en praktisch haalbaar, en voorkomt dat vertrouwelijke gegevens door onzorgvuldigheid of kwade opzet onder ogen van onbevoegden komen. Maar dan moet de software ervoor wel beschikbaar zijn en moeten beleidsmakers, ICT-leveranciers en verzekeraars meewerken aan de invoering ervan.

De campagne wordt inmiddels door een flink aantal maatschappelijke organisaties, academici en zorgverleners onderschreven.(...)"

Bron: NRC Handelsblad, rubriek Opinie, 30 april 2014.

Gepubliceerd in Privacy First in de media

"De afgelopen weken staat de privacy van Nederlanders als het gaat om hun medische gegevens weer volop in de belangstelling. Op initiatief van Stichting Bescherming Burgerrechten en Stichting Privacy First is een internetcampagne gestart voor medische privacy. Patiënten moeten de regie krijgen over hun eigen medische gegevens. Zo zouden zij zelf moeten beslissen welke hulpverleners op welk moment hun patiëntendossier kunnen inzien. Op de website www.specifieketoestemming.nl kunnen mensen een brief downloaden om aan bijvoorbeeld de huisarts of apotheker te sturen, waarin ze aangeven in welke mate medische gegevens mogen worden gedeeld. De organisaties zijn niet tegen het delen van medische gegevens, maar vinden dat het niet zo kan zijn dat iedereen zomaar carte blanche geeft zodat misschien wel 1000 zorgverleners hun gegevens kunnen bekijken.

Het initiatief van de organisaties is verstandig. Het is op deze plaats wel eens vaker gezegd: aan het digitaliseren van medische gegevens kleven ernstige bezwaren, waarvan misbruik door derden de grootste is. Grote verzekeringsbedrijven - niet alleen zorgverzekeraars - willen maar wat graag gegevens hebben over de gezondheidsachtergronden van mensen. Daarmee kunnen ze voorspellingen doen over kansen op ziekte en de hoogte van de levensverwachting van hun klanten. Ook farmaceutische bedrijven hebben veel geld ervoor over om medische achtergronden van mensen te bemachtigen.

Hoe meer mensen de beschikking krijgen over mijn medische gegevens, hoe groter de kans is dat het mis gaat. Temeer omdat verschillende onderzoeken hebben aangegeven dat de systemen waarmee wordt gewerkt op bepaalde punten lang niet waterdicht zijn. Bovendien blijken er altijd mensen vatbaar te zijn voor verleidingen, bijvoorbeeld voor geld.
(...)
Uit al deze zaken blijkt dat het niet goed gaat met onze medische gegevens. Het wordt tijd dat deze belangrijke zaak aan de orde komt bij de politiek. De belangen zijn te groot om niets te doen."

Bron (volledig artikel): http://www.frieschdagblad.nl/index.asp?artID=67304, 25 april 2014.

Gepubliceerd in Privacy First in de media

"Afgelopen week werd de website specifieketoestemming.nl gelanceerd, een initiatief van een aantal beveiligingsexperts en de Stichtingen Privacy First en Bescherming Burgerrechten. Patiënten moeten zeggenschap houden over welke medische gegevens er precies gedeeld worden, en met wie, is de boodschap. Dat is met de huidige ICT-systemen niet mogelijk, waardoor privacy in gevaar komt, menen critici. Bovendien moeten artsen hierin zelf verantwoordelijkheid nemen. "Eigenlijk is het net alsof iedereen een Random Reader heeft van jouw rekening, en je pas achteraf kunt zien wie er in je bankzaken heeft gekeken."

Het Landelijk Schakelpunt ofwel LSP – de infrastructuur voor elektronische uitwisseling van medische gegevens tussen bijvoorbeeld huisarts of apotheek – werkt volgens het principe van opt-in. Je geeft als zorgconsument eerst nadrukkelijk toestemming voor het delen van je medische gegevens.

Maar de huidige ICT-systemen waarmee zorgverleners vervolgens medische gegevens uitwisselen zijn onveilig, vinden de initiatiefnemers van de website specifieketoestemming.nl. Waarom? Omdat ze onvoldoende begrenzing stellen aan de toegang tot iemands medische gegevens. Wanneer je eenmaal generieke toestemming hebt gegeven aan huisarts of apotheek om je gegevens elektronisch te delen, bestaat het gevaar dat daarmee veel meer zorgverleners in jouw privé dossier kunnen kijken, zeggen de initiatiefnemers. Daarom begint de Stichting Privacy First een internetcampagne voor medische privacy, om de controle van die medische gegevens terug te brengen bij patiënt en diens huisarts, als een soort zaakwaarnemer van de patiënt.

Stuur een brief

Via de website van de campagne kunnen mensen een zeggenschapsbrief aan hun arts sturen, waarmee zij kunnen aangeven aan welke voorwaarden de uitwisseling van hun medische gegevens moet voldoen. Hiermee kunnen artsen hun belangenorganisaties en ICT-leveranciers oproepen om specifieke toestemming mogelijk te maken. In plaats van generieke toestemming kan een patiënt met specifieke toestemming bepalen welke zorgverlener welke informatie kan inzien. Vincent Böhre van Privacy First: "Zowel de patiënt als de arts heeft geen goed zicht meer op door wie zijn medisch dossier wordt ingezien. Als je bijvoorbeeld bij een bepaalde arts medische gegevens nodig hebt, wil je alleen die gegevens die betrekking hebben op die behandeling, niet je hele medische dossier. Het gaat je fysiotherapeut niets aan dat je een psychische aandoening hebt."

Maar het Landelijk Schakelpunt, het systeem om digitaal informatie uit te wisselen, toetst toch of er een behandelrelatie is? "Voor zover ik weet wordt niet gewaarborgd of er sprake is van een behandelrelatie. Je hebt als patiënt geen enkele waarborg dat gegevens enkel worden ingezien door mensen aan wie je toestemming hebt gegeven. Als je een UZI-pas hebt als zorgverlener – nodig om het LSP te kunnen gebruiken – kun je heel makkelijk dossiers inzien van patiënten met wie je geen enkele behandelrelatie hebt." Het is een stevige claim van specifieketoestemming.nl: wanneer een patiënt toestemming heeft gegeven om medische gegevens te delen worden 'diens gegevens vaak toegankelijk voor vele (mogelijk wel tien- tot honderdduizenden) zorgverleners'.

Maar volgens Alf Zwilling is het beeld dat de toestemming voor gegevensverwerking via het LSP generiek en eenmalig zou zijn, een 'volstrekt onjuiste weergave van de werkelijkheid'. Zwilling is woordvoerder van VZVZ – de organisatie die verantwoordelijk voor de uitwisseling van gegevens via de zorginfrastructuur van het LSP. In een verklaring benadrukt VZVZ bijvoorbeeld: per zorgverlener (huisarts, apotheker) wordt apart toestemming gevraagd; elke zorgverlener heeft zelf toestemming nodig voor het beschikbaar maken van geselecteerde gegevens; en er is alleen toestemming voor geselecteerde noodzakelijke gegevens, dus geen 'dossiers'. VZVZ kan zich niet vinden in de claims van de website. "Er is zeker geen sprake van generieke of eenmalige toestemming, maar juist van een gerichte en specifieke toestemming. Bovendien is er dus geen toegang door 'talloze' zorgaanbieders maar alleen voor genoemde zorgaanbieders onder de gestelde voorwaarden." Zwilling benadrukt dat de feitelijke inrichting van de toestemmingsprocedure en de gegevensverwerking voldoet aan alle wettelijke kaders.

Een Random Reader van je bankrekening

"Ik vergelijk het huidige LSP soms met een Random Reader, het kastje om mee te internetbankieren. Het is alsof iedere zorgverlener een Random Reader krijgt en daarmee in jouw bankgegevens kan kijken. Pas achteraf wordt er gelogd wie er in kunnen. Is dat veilig? Ik vind van niet." Huisarts Niels Rossen is kritisch over het LSP. Sterker nog, hij stelt dat het LSP onverenigbaar is met zijn geheimhoudingsplicht als arts. De privacy van patiënten komt ernstig in het geding met het huidige systeem. Rossen: "Laat ik voorop stellen dat ik voor de elektronische uitwisseling van gegevens ben, maar een tegenstander van de huidige opzet. In mijn huisartseninformatie-systeem kan ik 'privacygevoelig' aangeven, en daarmee zijn die gegevens alleen voor mij inzichtelijk, maar een moderne oplossing is gewenst. Technisch gezien is een aanpassing in ICT-systemen niet zo moeilijk, ik heb meer het idee dat het een politieke keuze is."

Huisarts Rossen merkt op dat de grote spelers in de markt van ICT-software voor de zorg de vraag naar specifieke toestemming minder urgent vinden. "Ik ben huisarts en kan het niet zelf programmeren. Je hebt een softwarespecialist nodig om naar een aanpassing als specifieke toestemming te kijken, maar dat wordt in die sector nu niet echt opgepikt."

Wat zien die zorgverleners dan?

Wat kan een huisarts of zorgverlener precies inzien wanneer ik eenmaal toestemming heb gegeven voor delen van mijn gegevens? Böhre van Privacy First : "Dat ligt aan het systeem dat gebruikt wordt. Bij het LSP hangt dit af van het soort zorgverlener dat gegevens opvraagt. De samenvatting van het huisartsendossier is vooral voor dienstwaarneming – de huisartsenpost – en mag normaal alleen worden opgevraagd door huisartsen. Maar we kunnen niet weten of dit in de toekomst meer partijen kunnen worden: de toestemming die je voor het LSP geeft beperkt dit niet op voorhand."

"Medicatiegegevens – waaronder ook privacygevoelige gegevens, denk aan antidepressiva of HIV-medicatie – kunnen bij het LSP straks door alle specialisten, huisartsen, apothekers, en hun medewerkers worden opgevraagd. De vraag is of dat nodig is", zegt Böhre. "Wij denken dat deze toestemming veel te veel, en veel te breed is. Wij willen dat in de toestemming duidelijk omschreven wordt wélke gegevens uitgewisseld worden met wíe. Niet alleen bij het LSP maar ook bij andere systemen."
(...)

Een check achteraf

Guido van 't Noordende is privacy- en beveiligingsonderzoeker aan de Universiteit van Amsterdam en publiceert geregeld over het LSP. "De bewering dat het LSP niet waarborgt dat er een behandelrelatie moet zijn, is niet helemaal waar. De behandelrelatie wordt formeel wel gecheckt. Maar bij het LSP wordt alleen in het systeem aan de opvragende kant gecheckt of er een behandelrelatie is", zegt Van 't Noordende. "Daar zijn verschillende manieren voor: er kan gecontroleerd worden of er al een dossier bestaat, of er een afspraak in de agenda staat – maar dat kan iedereen invoeren. Ook de arts kan zelf aangeven 'ik heb een behandelrelatie met deze patiënt'. Juridisch gezien is dit misschien oké, maar technisch gezien is zo'n systeem niet goed beveiligd. Als het systeem heel groot is zijn er te veel plekken waar een kwaadwillende zo'n toets vooraf kan omzeilen."

Van 't Noordende vult aan: "Dit principe van specifieke toestemming is meer een beperking aan de bron: daar bepaal je wat je wil delen met hoeveel mensen. En dat vind ik erg goed. Ik denk dat het belangrijk is dat mensen voor zichzelf bepalen welk risico ze willen nemen. Als je op voorhand afspraken kan maken met je arts, wie wel en wie niet inzage krijgt, en met welke afbakeningen, biedt dat een sterkere bescherming dan een check op de behandelrelatie."

Publieke discussie

(...) Volgens Vincent Böhre van Privacy First is een nieuwe discussie hard nodig, maar de beroepsgroep zal de eigen ICT-leveranciers en achterban moeten oproepen tot verbeteringen in technische systemen.

Het idee dat de medische beroepsgroepen hierin zelf een verantwoordelijkheid hebben komt overigens ook terug in de behandeling van het wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens, dat nu bij de Tweede Kamer ligt en wacht op plenaire bespreking. (...) De doelstelling van specifieketoestemming.nl om een publieke discussie los te maken is in ieder geval dus wel goed getimed: in de komende maanden zullen de verschillende fracties in de Tweede Kamer hun definitieve oordeel over de wetgeving rond het delen van medische dossiers moeten bepalen. Het LSP speelt in die discussie een prominente rol, maar veel deskundigen wijzen er op dat vandaag de dag op veel plaatsen nog oudere systemen worden gebruikt waarbij de patiënt op geen enkele manier expliciete toestemming heeft gegeven om gegevens te delen."

Bron (volledig artikel): http://www.smarthealth.nl/2014/04/24/specifieke-toestemming-lsp-medische-gegevens/, 24 april 2014.

 

Gepubliceerd in Privacy First in de media
Pagina 2 van 5

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
Control Privacy
Procis

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon