EHDS – en wat deed VWS? (deel 1)

Soms komen we ze tegen, ambtenaren die een inhoudelijk en open gesprek durven aan te gaan over onderwerpen die politiek gevoelig liggen. Onlangs ontmoetten we er twee.

Na onze kritische berichtgeving over de European Health Data Space (EHDS) stak het Ministerie van VWS de hand uit voor een open gesprek over het onderwerp. Alleen dat verdient al bijzondere waardering en in twee gesprekken werd een hoop meer duidelijk.

In dit artikel gaan we in op de ‘opt-out’ en het ‘primair gebruik’ (binnen de zorg). Het ‘secundair gebruik’ (onderzoek en innovatie) volgt in een volgend artikel.

De EHDS is nog niet af. Onderstaande analyse is op basis van de inzet van de EU-lidstaten die in Brussel onderhandelen met het Europees Parlement over het uiteindelijke voorstel. Die onderhandelingen zijn nu van start gegaan. Naar verwachting zijn deze rond maart/april 2024 afgerond.

In het kort

Wat het Ministerie o.a. heeft bereikt in de onderhandelingen met de andere lidstaten, is dat we ons volledig kunnen afmelden voor de EHDS. Een ‘opt-in’ bleek onhaalbaar. Ons advies: meld je af! Je kan altijd later alsnog besluiten om mee te doen.

Het architectuurmodel van de EHDS (voor primair gebruik) komt namelijk in grote mate overeen met het Landelijk EPD uit 2011. Daarmee ontstaan dezelfde risico’s voor de privacy en veiligheid, alleen dan op Europese schaal.

Gelukkig staat het Ministerie open voor suggesties waarmee we de risico’s voor Nederlandse burgers kunnen beperken.

100x opt-in, 2x opt-out, DNA ‘opt-in’

Zeker 100x hebben de ambtenaren van VWS de Nederlandse wens voor een ‘opt-in’ aangekaart bij vertegenwoordigers van andere EU-lidstaten. Iedereen zei ‘nee’, behalve Oostenrijk en geen meerderheid in de Raad betekent geen ‘opt-in’.

In plaats daarvan komt er 2x een opt-out en, in tegenstelling tot onze eerdere analyse, blijkt daar een eenvoudige logica achter te zitten: de EHDS bestaat niet uit één, maar uit twee systemen en bij beiden kan je je afmelden.

Voor ‘primair gebruik’ komt er het Nationaal Contactpunt voor eHealth (NCPeH) en voor ‘secundair gebruik’ komt er een Health Data Access Body (HDAB). Bovendien werd duidelijk dat het gebruik voor ‘beleidsdoeleinden’ onder ‘secundair gebruik’ valt. Je kan je dus als burger volledig afmelden en daarmee wordt het opvragen van je medische gegevens aan de bron geblokkeerd.

In aanvulling daarop kan iedere lidstaat besluiten genetische gegevens uitsluitend met je uitdrukkelijke toestemming beschikbaar te stellen. Nederland heeft gelukkig besloten dit te doen. Biometrische databanken zijn Privacy First een doorn in het oog. Als het Europees Parlement enige waarde hecht aan grondrechten van burgers dan zorgt het ervoor dat iedere Europese burger dat recht op ‘consent’ heeft, voor de volledige EHDS.

Ook de wijze waarop alles wordt ingevuld is aan de lidstaten zelf. In Nederland wil het Ministerie “aansluiten bij bestaande methoden”, ook “voor mensen die minder digitaal vaardig zijn”. Hier zijn we bijzonder gelukkig mee. Je meldt je ‘opt-out’ bij (de assistent van) je huisarts en die zet voor jou twee vinkjes. Klaar!

Bijna klaar

Stel nou dat we voor iedere burger de opt-outs op voorhand aanvinken? Dat is makkelijker voor jou, minder administratie voor je huisarts en dan noemen we dat een ‘opt-out by default’.  We weten dat dit kan, want dit is bij de ‘Corona opt-in’ ook zo gebeurd.

Het Ministerie geeft aan “alle opties te bekijken” en zal daarbij “zoveel mogelijk aansluiten bij het ingezette beleid rondom ‘databeschikbaarheid’“.

Echter, dat beleid is opgesteld samen met de Zorgverzekeraars & Co. (zie links-onder). Die willen al jaren een ‘opt-out’ en hebben nu een ‘virtueel centraal dossier’ voor ogen (zie rechts-onder).

MyHealth@EU

Voor primair gebruik bestaat de EHDS uit een Europese infrastructuur genaamd MyHealth@EU en per land een Nationaal Contactpunt eHealth (NCPeH). Via MyHealth@EU biedt de Europese Commissie kerndiensten, zoals de gezamenlijk grensoverschrijdende IT-infrastructuur en terminologie- en interoperabiliteitsdiensten.  MyHealth@EU verwerkt zelf geen medische gegevens. De gegevens worden uitgewisseld tussen de nationale contactpunten.

Nationaal Contactpunt eHealth

Voor iedere aangesloten patiënt wordt er een index bijgehouden met de locaties van diens medische gegevens (de ‘lokalisatievoorziening’). Een arts mag die gegevens alleen opvragen binnen de context van een ‘behandelrelatie’, maar die behandelrelatie ontstaat pas wanneer je bij de arts binnenloopt. Het NCPeH-NL kan dus enkel achteraf (via ‘logging’) controleren of de opvraging terecht was. In beginsel kan dus iedere arts (of hacker) in heel Europa voor ieder geldig BSN medische gegevens opvragen.

Dit is een fundamenteel probleem bij het op voorhand ongericht beschikbaar stellen van medische gegevens, en dit kennen we van het voormalig Landelijk-EPD (LSP). Dat werkt op exact dezelfde wijze en is gebaseerd op dezelfde denkfout: één oplossing voor het uitwisselen van (potentieel) alle medische gegevens van iedereen in elke situatie.

Daar komt nog bij dat het NCPeH-NL ook binnen Nederland gebruikt kan worden en er maar één partij is die een landelijke index levert: de ontwikkelaar van het LSP en Mitz! Het NCPeH-NL fungeert hiermee als een nieuw Landelijk EPD, zonder dat het duidelijk is welke zeggenschap je daar straks in hebt.

Denk aan je opt-out!

End-to-end versleuteling

De Minister stelt dat het ‘end-to-end’ versleutelen (‘zorgaanbieder-to-zorgaanbieder’) in Nederland voorlopig niet haalbaar is. De oorzaak? Het LSP kan dat niet. En het NCPeH-NL kan het straks ook niet, om exact dezelfde reden. Toch stelt de Minister dat het NCPeH-NL dit wel kan. Hoe kan dat?

Het LSP en NCPeH-NL voegen medische gegevens uit verschillende bronnen samen tot één bericht en dat wordt verstuurd naar de opvragende kant. Tussen de NCPeH’s zijn gegevens wel versleuteld, maar dat is dus niet ‘end-to-end’. Ons voorstel is dat het NCPeH de locaties van de gegevens verstuurt, zodat de opvragende kant zelf de gegevens kan ophalen en verwerken. Dan kan je wel ‘end-to-end’ versleutelen. Zie het model hieronder.

Gelukkig zijn de ambtenaren die we spraken vakkundig, begrijpen ze het probleem en de voorgestelde oplossing. Het doorzetten ervan gaat nog zeker aandacht van Privacy First vragen.

EHDS - Nationaal Contactpunt eHealth end-to-end encryptie
EHDS - Nationaal Contactpunt eHealth end-to-end encryptie | foto: Privacy First

Spoedcode

Een andere oplossing die we hebben aangedragen is het concept van een ‘spoedcode’. Hiermee wordt je BSN versleuteld opgeslagen in de index. Hierdoor zijn je gegevens pas opvraagbaar met de geheime code die jij bij je draagt. Dit kan overigens binnen het huidige wettelijk kader ook al, maar dat is bijzaak. Het werkt!

Voor het Ministerie is dit iets nieuws. Ze willen het verifiëren voordat ze hier een uitspraak over doen.

Chat-voorziening

Een werkelijke oplossing gaat pas ontstaan indien MyHealth@EU beveiligde één-op-één communicatie tussen zorgverleners gaat ondersteunen, een soort chat-voorziening dus.

Dan kan je arts in het buitenland bijvoorbeeld navraag doen bij je eigen huisarts. Het maakt ook de weg vrij voor je zorgverleners om, op jouw verzoek, gericht gegevens beschikbaar te stellen aan een arts in het buitenland, zelfs als je je hebt afgemeld van het NCPeH-NL.

Combineren we deze chatvoorziening, de ‘spoedcode’ en de end-to-end encryptie, dan komt een veilige en privacyvriendelijke oplossing in zicht.

Artsen kunnen dan binnen de behandelrelatie, zonder gebruik van het NCPeH-NL, gegevens gericht delen met andere artsen. Als je op vakantie gaat meld je je tijdelijk aan voor het NCPeH-NL (voor geval van ‘spoed’), daarin besta je alleen onder een pseudoniem en de ‘spoedcode’ is de waarborg voor je privacy.

Slotwoord

We prijzen de ambtenaren van VWS voor de open houding en motivatie om de EHDS zo te ontwikkelen dat we er vertrouwen in kunnen hebben. Er is nog wel behoorlijk wat werk te verzetten voordat dat het geval is.