Oproep van Privacy First aan Tweede Kamer inzake EPD

Vandaag verzond Privacy First onderstaande email aan de EPD-woordvoerders in de Tweede Kamer:

Geachte Kamerleden,

Op dinsdag 13 december as. vindt een belangrijk Algemeen Overleg (AO) met Minister Schippers over het Elektronisch Patiëntendossier (EPD) plaats. Ter voorbereiding en mogelijke invulling van dit debat geeft Privacy First u hierbij graag de volgende aandachtspunten mee:

1) Naar Privacy First begrijpt wordt momenteel langs private weg toegewerkt naar een opportunistische schijnoplossing, namelijk regionale uitwisseling van gegevens via het Landelijk Schakelpunt (LSP). Dit leidt per definitie tot function creep by design. De digitale ‘regionale schotten’ in en rond het LSP zullen immers eenvoudig kunnen worden omzeild of verwijderd. Het hele systeem kan daardoor op elk toekomstig moment weer zijn oude, centrale vorm aannemen met alle privacy- en veiligheidsrisico’s van dien.

2) Diezelfde risico’s rond het LSP worden evenmin opgeheven door het EPD voortaan als ‘persoonlijk gezondheidsdossier’ (PGD) aan te duiden. Dit vormt slechts privacy by semantics waar bovendien een misleidende werking van uitgaat. De achterliggende infrastructuur (LSP) blijft immers vrijwel ongewijzigd.

3) Een privacyvriendelijk EPD vergt allereerst een onafhankelijke Privacy Impact Assessment (PIA) waarbij diverse oplossingsrichtingen met privacy by design in kaart kunnen worden gebracht. Totdat een dergelijke PIA is uitgevoerd en parlementair is geëvalueerd dienen geen onomkeerbare stappen rond de vormgeving en eventuele uitbreiding van het EPD gezet te worden.

4) Bij de verdere vormgeving van het EPD dient nadrukkelijk ruimte te worden geboden voor onderzoek, innovatie en concurrentie. De recente DigiNotar-affaire toont dat afhankelijkheid van één (of een selecte groep) partij(en) vermeden dient te worden. Naast suboptimale, privacyonvriendelijke producten voorkomt dit economische kartelvorming.

5) Privacyvriendelijke transparantie voor de patiënt vergt naast goede beveiliging ook individuele keuzevrijheid. Zo dient inzage van de patiënt in zijn of haar eigen dossier niet afhankelijk te worden gemaakt van aansluiting bij het LSP. Dergelijke inzage via het internet creëert bovendien nieuwe privacyrisico’s.

6) In de governance structuur rond het EPD dienen onafhankelijke privacy- en beveiligingsexperts opgenomen te worden.

7) In mensenrechtelijk opzicht blijft de Nederlandse overheid onverminderd verantwoordelijk voor de bescherming van de medische privacy van haar burgers, ook bij een geprivatiseerd EPD. Op initiatief van Privacy First zal Nederland zich hierover in mei 2012 moeten kunnen verantwoorden bij de VN-Mensenrechtenraad.

Hoogachtend,

Stichting Privacy First