Grootschalig systeem = grootschalig probleem in de zorg

Het Ministerie van VWS blijft, samen met andere zorgpartijen, vasthouden aan het grootschalig en ‘ongericht’ beschikbaar stellen van medische gegevens. Recente hacks laten zien dat de risico’s daarvan geen fictie zijn.

De hack bij ChipSoft (leverancier zorg-ICT), Odido, de Gemeente Epe en Canvas hebben zeker één ding gemeen: het zijn grootschalige systemen.

Aan het gebruik hiervan kleven grote risico’s. Heeft een systeem een sleutelpositie in een groter netwerk van diensten, zoals DigiD, dan ontstaat een ‘single point of failure’. Voor hackers is grootschaligheid een ‘honingpot’, omdat ze met één hack toegang krijgen tot enorm veel data, zoals bij Odido en ChipSoft. Als het systeem ook nog eens in één datacentrum draait, dan is een brandje voldoende om een dienst te laten uitvallen.

Voor een belastingdienst, ministerie, of een telecomprovider geldt dat het gecentraliseerde organisaties zijn. Die zijn al snel afhankelijk van grootschalige gecentraliseerde (onderdelen in hun) automatisering, ondanks de nadelen die het heeft.

Voor de zorg is dat anders. Het verlenen van zorg is een proces dat plaatsvindt tussen jou en je zorgverleners. Ga je van de dokter naar de apotheek, dan kunnen je gegevens die route volgen, ofwel: ‘gericht beschikbaar’ worden gesteld. Ook dan zijn er risico’s, maar kleinschalig systeem = kleinschalig probleem.

We doen het lekker toch

Toch zetten het Ministerie van VWS, de zorgverzekeraars, de Patiëntenfederatie, zorgkoepels en andere zorgpartijen uitsluitend in op een grootschalige gecentraliseerde oplossing, met Mitz als belangrijkste component. Complexiteit in de onderlinge verhoudingen is meer bepalend voor de koers dan het daadwerkelijk leveren van zorg aan patiënten. Niemand wil dat ‘de ander’ teveel invloed heeft.

Het gevolg: de dokter kan je wel beloven dat alles in de spreekkamer geheim blijft, maar kan die belofte niet meer waarmaken.

Brede oproep voor meer privacy

Privacy-organisaties, waaronder Privacy First, doen nu een gezamenlijke oproep aan de Tweede Kamer: de regie over het delen van gegevens moet bij patiënt en arts liggen.

Voor het leveren van zorg is ‘databeschikbaarheid’ cruciaal. Net zo cruciaal is dat patiënten en zorgverleners samen kunnen bepalen wie toegang heeft. Een technische infrastructuur die dat afdwingbaar maakt is een noodzaak, geen luxe.

Zien we daar niet op toe, dan wordt de autonomie van burgers een papieren tijger, die uiteindelijk niet afdwingbaar is. Digitale soevereiniteit is geen ‘Amerikaans’ probleem. Het is een manier van denken, en die moet om: eigen technologie eerst, georganiseerd rondom de burger en grootschalig alleen waar het echt niet anders kan.

Alleen zo komt de sleutel van de kluis met medische gegevens in handen van patiënt en arts, zodat ze samen kunnen bepalen wie ze toegang geven.

Komende donderdag is er een debat in de Tweede Kamer over ‘digitalisering in de zorg’.

Lees hier de inbreng van Privacy First en hier de inbreng van andere privacy-organisaties.