donatieknop english

Met grote zorg heeft Privacy First kennisgenomen van het concept-wetsvoorstel testbewijzen covid-19. Onder dit wetsvoorstel zal een negatief corona-testbewijs verplicht worden voor toegang tot openbare gelegenheden, waaronder horeca, evenementen, sport en jeugdactiviteiten, culturele instellingen en waarschijnlijk ook een deel van het (hoger) onderwijs, e.e.a. op straffe van hoge boetes. Dit zet ieders recht op privacy onder druk.

Zware inbreuk op grondrechten

Het concept-wetsvoorstel vormt een zware inbreuk op talloze grondrechten en mensenrechten, waaronder het recht op bescherming van de persoonlijke levenssfeer, de lichamelijke integriteit en de vrijheid van beweging in combinatie met andere relevante mensenrechten zoals het recht op deelname aan het culturele leven, het recht op onderwijs en diverse kinderrechten zoals het recht op recreatie. Iedere inperking van deze rechten dient strikt noodzakelijk, proportioneel en effectief te zijn. Bij het huidige concept-wetsvoorstel is dit echter niet aangetoond en wordt de vereiste noodzakelijkheid in het algemeen belang simpelweg verondersteld. Privacyvriendelijker alternatieven om de maatschappij weer te kunnen openen en normaliseren lijken niet te zijn overwogen. Reeds om deze redenen kan het voorstel de mensenrechtelijke toets niet doorstaan en dient daarom te worden ingetrokken.

Sociale uitsluiting

Het voorstel is daarnaast in strijd met het algemene verbod van discriminatie, aangezien hierdoor een breed maatschappelijk onderscheid wordt geïntroduceerd op basis van medische status. Dit zet het sociale leven onder druk en kan leiden tot grootschalige ongelijkheid, stigmatisering, maatschappelijke segregatie en zelfs mogelijke spanningen, aangezien grote groepen in de samenleving zich (om uiteenlopende redenen) niet (of niet stelselmatig) zullen willen of kunnen laten testen. Ook tijdens de recente Nationale Privacy Conferentie van Privacy First en ECP bleek dat de invoering van een verplicht “coronapaspoort” een maatschappelijk ontwrichtende werking kan hebben.[1] Bij die gelegenheid nam o.a. de Autoriteit Persoonsgegevens hier dan ook nadrukkelijk stelling tegen. Dergelijke maatschappelijke risico’s gelden des te sterker voor de indirecte vaccinatieplicht die in het verlengde van het corona-testbewijs ligt. In dit verband herinnert Privacy First graag aan het feit dat recentelijk zowel de Tweede Kamer als de Parlementaire Assemblée van de Raad van Europa zich tegen een directe of indirecte vaccinatieplicht hebben uitgesproken.[2] Daarnaast zal het onderhavige concept-wetsvoorstel precedentwerking kunnen hebben voor andere medische aandoeningen en andere maatschappelijke sectoren, waardoor een veel breder scala aan sociaal-economische mensenrechten onder druk zal komen te staan. Om al deze redenen adviseert Privacy First het kabinet met klem om dit concept-wetsvoorstel in te trekken.

Meervoudige privacyschending

Vanuit het perspectief van het recht op privacy gelden bovendien een aantal specifieke bezwaren en vragen. Allereerst introduceert het concept-wetsvoorstel een verplicht “gezondheidsbewijs” voor deelname aan een groot deel van het maatschappelijk leven, in flagrante strijd met het recht op privacy en de bescherming van persoonsgegevens. Ook introduceert het concept-wetsvoorstel een identificatieplicht “aan de voordeur” bij openbare gelegenheden, in strijd met het recht op anonimiteit in de openbare ruimte. Het wetsvoorstel resulteert daarnaast in inconsequente toepassing van bestaande wetgeving op dezelfde handeling, namelijk het testen, met verregaande gevolgen enerzijds voor een belangrijk goed als het medisch beroepsgeheim en het vertrouwen van de burger in dat beroepsgeheim, en anderzijds voor de praktische uitvoering van bewaartermijnen terwijl de verwerking niet verandert. Niet het resultaat van de test moet immers bepalend zijn of het dossier onder de Wgbo valt (met daarop een medisch beroepsgeheim en een bewaartermijn van 20 jaar) of juist onder de Wet publieke gezondheid (met een bewaartermijn van 5 jaar), maar de handeling van het testen zelf. Bovendien is het de vraag waarom er in het huidige concept-wetsvoorstel aansluiting wordt gezocht bij Wpg en/of Wgbo als het hier enkel gaat om het verkrijgen van een testbewijs met als doel deelname aan de maatschappij (en dus geen medische behandeling noch publieke gezondheidstaak voor dat doel). Hier zou de enige mogelijkheid voor verwerking en voor doorbreking van het medisch beroepsgeheim de grondslag toestemming moeten zijn. In dit geval kan er echter geen sprake zijn van de wettelijk vereiste vrijelijk gegeven toestemming, nu het testen een dwingende voorwaarde zal zijn voor deelname aan de maatschappij.

Privacy vereist duidelijkheid

Veel andere zaken zijn nog onduidelijk: welke gegevens zullen worden opgeslagen, waar, door wie en wat zal er kunnen worden uitgewisseld? In hoeverre zal er sprake zijn van persoonlijke localisering en identificatie, of slechts van incidentele verificatie en authenticatie? Waarom kunnen testuitslagen onnodig lang (5 of zelfs 20 jaar) worden bewaard? Hoe groot zijn de risico’s op hacking, datalekken, fraude en vervalsing? In hoeverre zal er sprake zijn van decentrale, privacyvriendelijke technologie en privacy by design, open source software, dataminimalisatie en anonimisering? Zullen testbewijzen kosteloos blijven en in hoeverre zal er sprake kunnen zijn van privacyvriendelijke diversiteit en keuzevrijheid bij test-applicaties? Wordt er reeds gewerkt aan de introductie van een “alternatieve digitale drager” i.p.v. de CoronaCheck app, namelijk een chip, met alle risico’s van dien? Hoe zullen doelverschuiving (function creep) en profilering worden voorkomen en hoe is het privacy-toezicht geregeld? Zullen er altijd niet-digitale, papieren alternatieven beschikbaar blijven? Wat gebeurt er met het afgenomen testmateriaal, oftewel ieders DNA? En wanneer zullen de corona-testbewijzen weer worden afgeschaft?

Zolang dergelijke bezwaren en vragen onbeantwoord blijven, heeft indiening van dit wetsvoorstel überhaupt geen zin en zal het corona-testbewijs slechts tot maatschappelijke kapitaalvernietiging leiden. Privacy First verzoekt u daarom nogmaals om het huidige voorstel in te trekken en dit niet bij het parlement in te dienen. Bij gebreke hieraan zal Privacy First zich het recht voorbehouden om e.e.a. door de rechter te laten toetsen en onrechtmatig te laten verklaren.


[1] Zie Nationale Privacy Conferentie 28 januari 2021, https://youtu.be/asEX1jy4Tv0?t=9378, vanaf 2u 36 min 18 sec.
[2] Zie Council of Europe, Parliamentary Assembly, Resolution 2361 (2021): Covid-19 vaccines: ethical, legal and practical considerations, https://pace.coe.int/en/files/29004/html, par. 7.3.1-7.3.2: “Ensure that citizens are informed that the vaccination is NOT mandatory and that no one is politically, socially, or otherwise pressured to get themselves vaccinated, if they do not wish to do so themselves; ensure that no one is discriminated against for not having been vaccinated, due to possible health risks or not wanting to be vaccinated.” Zie tevens o.a. Tweede Kamer, Motie van het lid Azarkan over geen coronavaccinatieplicht (28 oktober 2020), Kamerstuk 25295-676, https://zoek.officielebekendmakingen.nl/kst-25295-676.html: “De Kamer (...) spreekt uit dat er in de toekomst nooit sprake mag zijn van een directe of indirecte coronavaccinatieplicht”; Motie van het lid Azarkan over toegang tot publieke voorzieningen voor iedereen ongeacht vaccinatie- of teststatus (5 januari 2021), Kamerstuk 25295-864, https://zoek.officielebekendmakingen.nl/kst-25295-864.html: “De Kamer (...) verzoekt de regering om toegang tot publieke voorzieningen voor iedereen mogelijk te maken ongeacht vaccinatie- of teststatus.”

Gepubliceerd in Wetgeving

'Herstelzorg COVID alleen vergoed na verplichte deelname onderzoek, kan dit zomaar?'

"Zo'n 25.000 ex-COVID-19-patiënten hebben na hun besmetting nog ernstige beperkingen, zoals extreme vermoeidheid, concentratieproblemen, longklachten of verlies van spiermassa. Deze klachten kunnen verminderen door paramedische herstelzorg. Wie deze herstelzorg vergoed wil krijgen, moet verplicht meewerken aan een onderzoek. Wie weigert, moet de hulp uit eigen zak betalen. Daarnaast moeten ex-COVID-19-patiënten binnen vier maanden starten met hun behandeling, anders hebben ze ook geen recht op vergoede herstelzorg.

Mensen die langdurig ziek blijven na een COVID-besmetting hebben vaak behoefte aan paramedische herstelzorg (bijvoorbeeld: fysio-, oefen- of ergotherapie, maar ook diëtetiek). (...) Om deze kosten vanuit de basisverzekering te vergoeden, moet er wetenschappelijk bewijs aan een behandeling ten grondslag liggen. Daarom heeft het Zorginstituut Nederland, die de overheid adviseert welke zorg in de basisverzekering vergoed moet worden, de tijdelijke regeling paramedische herstelzorg na COVID-19 uit de grond gestampt. (...) Deze herstelzorg wordt vanaf 18 juli 2020 tot 1 augustus 2021 vanuit de basisverzekering vergoed, mits mensen verplicht meewerken aan een onderzoek. Er staat op de site van Zorginstituut Nederland: 'Een voorwaarde om paramedische herstelzorg vergoed te krijgen is dat patiënten bereid moeten zijn mee te werken aan onderzoek. Er moet toestemming gegeven worden om anoniem gemaakte behandelgegevens van deze herstelzorg te delen met de onderzoekers. Zonder deze toestemming wordt de zorg niet vergoed. Met het onderzoek worden de effecten en kosten van paramedische herstelzorg voor COVID-19 onderzocht.'

Verplicht meewerken aan een onderzoek

Het verplicht meewerken aan een onderzoek en je data delen in ruil voor het vergoeden van zorg is Ergotherapie Nederland (maar ook andere zorgverleners en patiënten) een doorn in het oog. 'Wij vinden het ethisch niet verantwoord dat cliënten noodzakelijke zorg wordt onthouden louter en alleen omdat zij niet mee willen doen aan het onderzoek.' Het is naar mening van de beroepsvereniging ook niet juist, omdat ergotherapie nu al gewoon basisverzekerde zorg is. 'Uiteraard vinden wij het van belang dat zoveel mogelijk cliënten meedoen aan het onderzoek maar van dwang mag geen sprake zijn; en dat is feitelijk nu wél zo', schrijven de ergotherapeuten afgelopen week in een brief aan de Vaste Kamercommissie VWS van de Tweede Kamer. (...)

Geen keuzevrijheid

Ergotherapeut Dominique van der Veen startte op 1 maart een petitie onder zorgverleners. Binnen drie dagen waren er al meer dan 500 handtekeningen. Franka Fels werkt al 27 jaar als ergotherapeut en in haar praktijk worden zo'n 50 ex-COVID-patiënten behandeld. Zij zegt: 'De mensen waar wij kenbaar maken dat het gaat om een onderzoek, die ageren daar allemaal tegen vanwege de keuzevrijheid die er niet is. Uiteindelijk zijn ze bereid om dan toch maar mee te doen aan het onderzoek, want ze zijn wanhopig. En ze overzien het niet, ze willen hulp, ze redden het niet. Dus ze hebben geen keus.'

Onderzoek via app op je smartphone

Het COVID-paramedisch onderzoek wordt anoniem uitgevoerd door het Radboudumc. De deelnemers moeten toestemming geven dat hun gegevens uit hun digitale zorgdossier worden gehaald. Verder moeten de ex-COVID-patiënten op hun smartphone via de app YourResearch in maand drie, zes, negen en twaalf een vragenlijst van maximaal 74 vragen invullen. Ook als de therapie is gestopt, moet nogmaals een vragenlijst worden ingevuld. Niet alle COVID-patiënten hebben een smartphone. Ook is niet iedereen digitaal vaardig genoeg en sommige mensen kampen met zulke ernstige vermoeidheid en concentratieproblemen dat het invullen van een waslijst aan vragen wellicht teveel is gevraagd.
(...)

Medisch geheim

De 54-jarige ex-covid patiënt Annick Smit verzet zich tegen die verplichte koppeling: 'Ik verdom het toch echt verplicht te moeten meewerken aan een medisch onderzoek! Dat is een grove inbreuk op mijn privacy en het medisch geheim.' Bovendien valt ze ook buiten de boot vanwege die vier maanden eis, omdat ze corona kreeg in de eerste golf. Ze zakte op 1 februari 2020 in de rij voor de kassa door haar benen. Toen was COVID-19 in Nederland nog niet officieel vastgesteld. De toegesnelde ambulance constateerde 'een griepje' en ze moest thuis maar uitzieken. Annick heeft een maand doodziek op bed gelegen. Pas maanden later - toen er een test was - is corona vastgesteld. (...) Een jaar na haar besmetting heeft ze nog allerlei klachten zoals verschrikkelijke vermoeidheid, geen smaak en een enorm gebrek aan concentratie. 'Ik moet alles opschrijven anders gaat het mis', zegt ze. Annick zou eigenlijk fysiotherapie en cognitieve therapie moeten krijgen, maar er zitten meer dan vier maanden tussen het einde van het acute infectiestadium en haar eventuele doorverwijzing door de huisarts. En dan kom je niet in aanmerking voor vergoeding. De herstelzorg zelf betalen is geen optie, want ze leeft van een bijstandsuitkering en ze heeft geen aanvullende zorgverzekering.

Vrije toestemming

Vincent Böhre is directeur bij Privacy First, een onafhankelijke stichting met als doel het behoud en de bevordering van het recht op privacy. Böhre zegt dat zo'n verplichte deelname aan onderzoek niet door de beugel kan. 'Ik vind het een foute zaak. Privacy is een fundamenteel grondrecht en zeker als het over medische zaken gaat. Dan zijn er strenge regels waaraan voldaan moet worden om die data te kunnen gebruiken. Dat kan alleen met strikte, expliciete vrije toestemming vooraf. En in dit geval is er geen sprake van vrije toestemming, want er is sprake van afhankelijkheid. Van een soort van dwang, dat mensen alleen hun zorg vergoed kunnen krijgen als ze meedoen aan medisch onderzoek.'

'Recht op privacy betalen'

Hij vervolgt: 'Los van het recht op privacy en recht op goede zorg, is er wellicht een wettelijke basis, maar ethisch deugt het niet. Je mag dit als overheid niet afdwingen. Er ontstaat zo een tweedeling: mensen die wel en niet meewerken. Wie geld genoeg heeft, betaalt de zorg zelf en heeft recht op zijn privacy. Wie geen geld heeft, moet de zorg betalen met zijn data.' (...) Privacy First begrijpt die verplichting niet. Patiëntenfederatie Nederland onderzocht in november 2019 hoe mensen staan tegenover delen van gezondheidsgegevens voor onderzoek. Böhre zegt: 'Als je vriendelijk aan mensen vraagt: 'Zou u mee willen werken aan een medisch onderzoek?', dan stemt 80 procent probleemloos in. Bij zulke grote aantallen aan patiënten heb je dan nog steeds genoeg data voor een gedegen onderzoek. Dan is verplichting niet nodig.'
(...)

Of de tijdelijke regeling paramedische herstelzorg na COVID-19 ook na 1 augustus 2021 wordt voortgezet, kon het ministerie van VWS nog niet zeggen. 'Dat is aan een volgend kabinet na de verkiezingen, maar dat ligt wel in lijn van de verwachtingen', aldus de woordvoerder van Minister Van Ark."


Lees hier het volledige artikel bij AVROTROS Radar en bekijk hieronder de televisiereportage d.d. 8 maart 2021, inclusief interview met Privacy First. 

Gepubliceerd in Privacy First in de media

Het nieuwe 'Landelijk EPD': overbodig, onwenselijk en onaanvaardbaar

Het Ministerie van VWS is, buiten het zicht van de Tweede Kamer om, actief betrokken bij een nieuwe variant van het 'Landelijk EPD’: de Online Toestemmingsvoorziening (OTV/Mitz) van het Informatieberaad Zorg. Naast kritische inbreng in een open consultatie stuurde Privacy First hierover begin deze week een alarmerende brief aan de Tweede Kamer.

Privacy First acht het voorstel voor de Online Toestemmingsvoorziening (OTV/Mitz) overbodig, onwenselijk, onaanvaardbaar en een ernstige schending van de privacy van patiënten.

De OTV is een doorontwikkeling van het Landelijk Schakelpunt (LSP), de implementatie van het in 2011 door de Eerste Kamer verworpen ‘Landelijk EPD’. Ondanks dat de Minister van Medische Zorg en Sport bij herhaling stelt te koersen op een gegevensuitwisseling binnen het zorgproces, blijft het Informatieberaad Zorg volharden in het gebruik van een gecentraliseerde infrastructuur.

Voor patiënten heeft dit draconische gevolgen: zeg je ’nee’ tegen deelname aan de OTV, dan kunnen er geen medische gegevens meer worden uitgewisseld. Zelfs het versturen van een recept, of een papieren dossier, is dan niet meer mogelijk. Op deze wijze worden patiënten gedwongen het medisch beroepsgeheim te doorbreken en een brede, ongerichte ontsluiting van hun medische gegevens te accepteren.

In 2014 werd het recht op een ‘opt-in’ in de wet verankerd. Dat wordt via de OTV nu effectief ongedaan gemaakt. Het Informatieberaad Zorg neemt samen met Zorgverzekeraars Nederland plaats op de stoel van de wetgever. Privacy First acht dat vanuit democratisch oogpunt pertinent onaanvaardbaar.

Vervolgens bleek de ‘open consultatie' hierover alles behalve ‘open'. Inzenden mocht naar een emailadres. Over de andere inbreng wordt niet gecorrespondeerd. Andere inbreng die we kennen is van Stichting NUTS, Whitebox en ZorgICTzorgen.

Wordt vervolgd...


Klik HIER voor de inbreng van Privacy First bij de consultatie (pdf).
Klik HIER voor de brief van Privacy First aan de Tweede Kamer (pdf).

 

Zorgpolder

Gepubliceerd in Medische privacy

Hoe digitaliseren we de uitwisseling van medische gegevens? Die vraag speelt nu ongeveer vijftien jaar. Voor het eerst heeft de Minister een pragmatische, doordachte en integrale analyse gemaakt van wat er werkelijk nodig is om dit te bereiken. Op hoofdlijnen acht Privacy First dit wetsvoorstel het beste dat we ooit op dit dossier hebben gezien. In de uitwerking zien we nog wel risico’s.

Het succes zal afhangen van het doorzettingsvermogen van het Ministerie van VWS en de mate waarin het in staat is partijen in het zorgveld voorbij hun eigen horizon te laten kijken.

De behandelrelatie staat centraal

Op aangeven van de Patiëntenfederatie besloot Minister Schippers eind 2015 tot ‘regie voor de patiënt’ in het medisch dossier.

Privacy First acht het 'centraal stellen van de patiënt' een fundamentele denkfout. Het doet te weinig recht aan de meerwaarde die een zorgverlener biedt en diens verantwoordelijkheid in het bewaken van de kwaliteit van de zorg. Het is het zorgproces dat centraal dient te staan. Arts en patiënt voeren samen, in onderling vertrouwen, de regie.

Tot onze opluchting slaat de Minister met dit wetsvoorstel een andere weg in (zie concept-memorie van toelichting §2.3.4, p.11). De behandelrelatie wordt de voornaamste grondslag voor de uitwisseling van gegevens, in lijn met het zorgproces en de WGBO. Dit biedt enorme kansen voor een efficiënte en effectieve uitwisseling van gegevens, met de best denkbare privacybescherming.

Patiënten worden verlost van het bijhouden van toestemmingen en het belang van het kopiëren van gegevens naar een PGO neemt af.

Decentrale uitwisseling van gegevens

Het verzet van Privacy First heeft zich de afgelopen jaren vooral gericht tegen de gecentraliseerde wijze waarop de toegang tot medische gegevens is geregeld.

De concept-memorie van toelichting stelt (3.3.2, p.11):

"de norm mag er niet toe leiden dat het uitwisselen van gegevens enkel kan via een elektronisch uitwisselingssysteem als bedoeld in de Wabvpz (art 15a, red.)."

Met deze wet krijgen patiënten straks de keuze voor een decentraal alternatief dat de uitwisseling van medische gegevens eenvoudiger, efficiënter, doelmatiger, veiliger en privacyvriendelijk maakt. Privacy First acht het cruciaal dat de Minister recente initiatieven van marktpartijen (zoals NUTS en Whitebox) gaat ondersteunen, zodat een open en vrij te gebruiken standaard ontstaat.

Trage normering en certificering via NEN

Het ontwikkelen van een NEN-norm is een zwaar geprotocolleerd proces met doorgaans een doorlooptijd van enkele jaren. De NEN-normeringsprocedures kenmerken zich ook niet door grote openheid; hoe bijvoorbeeld werkt het proces van benoemingen van de diverse commissies die in het wetsvoorstel genoemd worden?

Bovendien kunnen de NEN-normeringsprocessen onderdeel van lobby’s worden. Grote geïnstitutionaliseerde IT-leveranciers hebben meer invloed op dit proces en zullen hun dominante marktpositie willen behouden. De vraag is of elke belanghebbende organisatie (zoals burgerrechtenorganisaties, universiteiten en kleinere IT-bedrijven) afdoende bij kan dragen aan de normeringsprocessen.

Het Ministerie zal erop moeten toezien dat de normering een open en transparant proces is, waarin over de volledige breedte van het speelveld stakeholders betrokken worden bij de ontwikkeling van technische standaarden.

Daarnaast wordt software 'agile' ontwikkeld. Korte tijden tussen verschillende releases stellen ontwikkelaars in staat zich aan te passen aan nieuwe technologische ontwikkelingen. Complexe, of te gedetailleerde certificeringseisen kunnen hierdoor innovatie belemmeren. Hierover zou de memorie van toelichting meer duidelijkheid moeten bieden.

De ‘spoedsituatie’ ontbreekt in de wet

Zorgverlening vindt doorgaans plaats op basis van een doorverwijzing: er is een behandelrelatie conform de WGBO. De enige uitzondering op die regel is de 'spoedsituatie'. Belandt een patiënt op de Spoedeisende Hulp (SEH), dan is er nog geen behandelrelatie en derhalve geen grondslag voor toegang tot medische gegevens.

De Minister heeft deze situatie buiten het wetsvoorstel gehouden. In zijn brief van 20 december 2019 wordt duidelijk dat hij geen alternatief heeft voor het gebruik van een gecentraliseerd systeem (zoals het Landelijk Schakelpunt, LSP), met alle risico’s van dien. Een vergelijkbare aanpak zien we nu met de COVID-19 opt-out (door het Ministerie eufemistisch “opt-in” genoemd), waardoor iedere patiënt alsnog standaard in het LSP is opgenomen.

Privacy First vindt deze situatie bijzonder zorgelijk, vooral omdat dit voor patiënten betekent dat zij alsnog (indirect) gedwongen worden deel te nemen aan een ‘uitwisselingssysteem’, zoals bedoeld in Art 15a Wabvpz.

Een alternatieve oplossing met gebruik van een uitgeprinte toegangscode is eenvoudiger, veiliger, goedkoper, privacyvriendelijk en te combineren met zowel een decentrale als een gecentraliseerde architectuur. Alleen de patiënt en het systeem van de arts kennen de code en bij verlies kan eenvoudig een nieuwe worden aangemaakt. Wie toegang heeft tot het spoeddossier en wat daarin staat, kan worden ingesteld in het systeem van de arts.

Minimaal dient dit gat in de wet te worden gedicht, door de ‘spoedsituatie’ expliciet op te nemen in de memorie van Toelichting (§3.3.2, p.11).

De volledige inbreng van Privacy First bij het concept-wetsvoorstel staat op de website internetconsultatie.nl.

Gepubliceerd in Medische privacy

Column

Het accepteren van de Orwelliaanse Newspeak “nieuwe normaal anderhalve meter samenleving” leidt automatisch tot het accepteren van de absurde handhaving ervan. Aangezien dit niet overeenstemt met de Grondwet is de Raad van State geraadpleegd. Talloze ongrondwettelijke maatregelen dreigen nu in een noodwet te worden verankerd. De wereld op zijn kop. Hoe voorkomen wij dat we in een onmenselijke en niet vrije, ondemocratische samenleving terechtkomen? Hieronder diverse ongrondwettelijke maatregelen die in een noodwet dreigen te worden opgenomen op een rij:

  • Implementatie van een surveillance infrastructuur:
    - Ondersteund door Corona- en andere apps
    - Tracking en tracing van burgers middels telecomdata en smartphones
    - BOA’s die onzinnige maatregelen moeten handhaven uitrusten met wapens
    - Reizen op basis van checks en gezondheidsverklaringen

  • Lichamelijke integriteit:
    - Ondermijning en afschaffen van het medisch (beroeps)geheim
    - Verplichte medische behandeling en vaccinatie / biometrische registratie

  • Anonimiteit in de openbare ruimte:
    - 1,5 meter controle met linten, strepen, cirkels etc
    - Scan-auto’s voor parkeren om burgers te traceren
    - Registratie van alle vrijetijdsbesteding in horeca, sport, theater, musea etc
    - Strafblad bij overtredingen
    - Gezichtsbedekking in openbare gelegenheden
    - Ongefundeerde ondermijning van het gebruik van cash geld

  • Recht van samenkomst beperkt en onder druk:
    - Demonstraties effectief onmogelijk
    - Grote politieke bijeenkomsten onmogelijk
    - Geloofsbelijding en sociale structuren onder druk

  • Huisvredebreuk:
    - Ingrijpen achter de voordeur middels kliklijnen, BOA’s en politie-controles
  • Functioneren van democratische rechtsstaat:
    - Weigering om Wob-verzoeken in behandeling te nemen
    - Beperking van rechten van verdachten en advocaten
    - Beperking van openbare rechtszittingen 
    - Functioneren Eerste en Tweede Kamer onder druk
    - Censuur door (sociale) media bij afwijking van officiële narratives.

En als uitsmijter: een onderzoek naar het uitstellen van de verkiezingen…

Dit is volgens mij niet wat wij als burgers willen: een semi-rechtsstaat op basis van een dashboard, aangestuurd door technocraten. Van lockdown naar lockdown onder structurele noodwetgeving. Voor wat nu blijkt een klein percentage sterfgevallen, vaak met een multiple cause. Waar zijn we in vredesnaam mee bezig?

Privacy First gaat uit van eigen keuzes in een vrije omgeving. Wij zijn voor social responsability, niet voor structurele social distancing. Weg met de noodwet en terug naar een menselijke, open en vrije samenleving!


Bas Filippini,
voorzitter Privacy First

Gepubliceerd in Columns

Privacy en ‘privacy by design’ blijkt voor het Ministerie van Volksgezondheid, Welzijn en Sport vooral op papier te bestaan. Privacy organisaties zijn niet welkom in het Informatieberaad Zorg, een gesprekstafel van het Ministerie die belangrijke knopen doorhakt over beveiliging en privacy bij digitale zorgcommunicatie. Hoe het echt werkt bleek zeer recent uit de ‘Corona opt-in’, waarin privacy en het medisch beroepsgeheim zonder pardon buitenspel werden gezet. Niemand uit de privacywereld werd om advies gevraagd.

In 2018 verzocht de Tweede Kamer in een motie om privacy- en burgerrechtenpartijen actief te betrekken in het Informatieberaad Zorg (IBZ). In het IBZ maken partijen uit de zorgsector met het Ministerie van Volksgezondheid belangrijke plannen en afspraken over de ontwikkeling van digitale zorgcommunicatie. Privacy First voert al jaren lobby en actie op dit thema, onder meer via onze campagne Specifieke Toestemming.

In reactie op de aanmelding van Privacy First voor deelname aan het IBZ liet minister Bruins echter weten dat het IBZ geen plaats ziet voor de privacyorganisatie aan haar gesprekstafel. “Het beraad is namelijk een bestuurlijke samenwerking van deelnemers uit het zorgveld. De kerngroep van het Informatieberaad Zorg bestaat uit deelnemers van de leden van dit beraad. Daardoor kan de Stichting ook niet deelnemen aan de Kerngroep als voorportaal voor het Informatieberaad”, aldus de Minister. Volgens het ministerie kan Privacy First haar inbreng op het gebied van privacy en beveiliging kwijt in de landelijke expertgroep Informatieveiligheid en privacy (IV&P), waar Privacy First reeds lid van is en “waar onze inbreng zeer welkom is.” Afgelopen week bleef het echter oorverdovend stil in deze hoek.

Toetsing en correctie door privacyexperts

Privacy First schrijft vandaag in een reactie aan het ministerie dat de rol van de expertgroep IV&P niet zwaar genoeg is om een verschil te maken in de besluitvorming van de kerngroep IBZ, die in de huidige hiërarchie het laatste woord heeft in de besluitvorming over privacy en veiligheid.

De adviserende rol van deze expertgroep zou daarom moeten worden vervangen door een toetsende en zo nodig corrigende rol. Zodra dit het geval is, wordt ons inziens voldoende recht gedaan aan de intentie van genoemde Kamermotie, en biedt deelname aan de Expertcommunity IV&P voldoende perspectief.

Burgerperspectief onderbelicht

Volgens Privacy First is het van groot belang dat naast de belangen van de zorgpartijen ook de belangen van burgers formele vertegenwoordiging krijgen in het Informatieberaad. Op dit moment hebben burgerrechtenorganisaties en onafhankelijke privacy- en beveiligingsexperts geen evidente plek in het IBZ, terwijl deze partijen wel nodig zijn om de maatschappelijke implicaties van voorstellen op waarde te schatten en zo nodig alternatieven aan te dragen. NGO’s zoals Privacy First kunnen de burger in brede zin vertegenwoordigen en perspectieven bieden die anders wellicht onderbelicht zouden blijven.

Privacy by design als uitgangspunt

Privacy First wil onder meer bijdragen aan het realiseren van privacy by design in de architectuur van zorg-ICT, een eis waaraan veel toepassingen in de zorgcommunicatie niet voldoen. Dit terwijl er het afgelopen decennium meerdere moties in het parlement zijn aangenomen die hierop aansturen, en dit tevens een vereiste is onder de Algemene Verordening Gegevensbescherming. Om een kritische toetsing op privacy-implicaties van voorstellen mogelijk te maken, dienen partijen van buiten de zorg een afdoende sterke rol te krijgen in de governance-structuur van het IBZ.

In het IBZ dienen volgens Privacy First procedures te komen waarmee onafhankelijk wordt getoetst of de architectuur van huidige en toekomstige zorgcommunicatie voldoet aan het vereiste van privacy by design. Kruisbestuiving tussen privacy- en burgerrechtenorganisaties en de zorgpartijen die nu de knopen doorhakken in het IBZ is daarbij cruciaal. De belangen van zorgkoepels en andere stakeholders zijn immers niet noodzakelijkerwijs dezelfde als die van burgers (soms niet-patiënten) in brede zin. Burgerrechtenorganisaties zoals Privacy First zijn bij uitstek geschikt om deze belangen te vertegenwoordigen.


Lees HIER de hele brief die Privacy First vandaag aan het ministerie van VWS verzond (pdf).

Gepubliceerd in Medische privacy

Een noodsituatie vergt noodmaatregelen. Daar zijn we ons terdege van bewust. Maar ook noodmaatregelen moeten proportioneel, transparant en toetsbaar zijn. En daar lijkt de Autoriteit Persoonsgegevens (AP) nu toch een belangrijke steek te hebben laten vallen. Omdat die haar goedkeuring heeft gegeven aan een problematische noodmaatregel, de zogenaamde ‘corona opt-in’, waarmee het medisch beroepsgeheim systematisch buitenspel wordt gezet. De medische privacy van alle Nederlandse burgers komt hiermee in gevaar.

Waar gaat het om? Ruim de helft van alle Nederlanders heeft nog geen toestemming gegeven om hun medische gegevens via het Landelijk Schakelpunt (LSP) te laten uitwisselen door zorgverleners. Daardoor is er een groot niemandsland van potentiële corona-patiënten waarvan huisartsenposten en ziekenhuizen niet weten wat hun medische achtergrond is. Terwijl ze daar wel behoefte aan hebben, als de nood aan de man komt. Vandaar dat ze aan het ministerie van VWS gevraagd hebben om daar iets voor te regelen.

Het ministerie van VWS heeft hiervoor de zogenaamde ‘corona opt-in’ bedacht. Een verwarrende term, omdat er door die maatregel juist géén expliciete toestemming (opt-in) meer vereist is; er wordt uitgegaan van een soort stilzwijgende toestemming dat je gegevens gedeeld mogen worden via het LSP. Tenzij je alsnog bezwaar maakt. De nieuwe praktijk wordt daarmee: wie zwijgt, stemt toe (opt-out). Wat wettelijk gezien gewoon niet mag.

De Autoriteit Persoonsgegevens vindt deze ‘corona opt-in’ niet bezwaarlijk, met dien verstande dat de patiënt nog wel even ter plekke toestemming moet geven. In haar reactie op het voorstel stelt de AP:
“Artsen op de huisartsenpost of spoedeisende hulp mogen alleen met toestemming van coronapatiënten het medisch dossier bij hun huisarts inzien via een elektronisch uitwisselingssysteem. Wie nog geen toestemming heeft gegeven, kan dat ter plekke doen. Dat mag in dit geval ook mondeling. Alleen als een patiënt niet in staat is om toestemming te geven, is inzage zonder toestemming toegestaan.”

Medisch beroepsgeheim massaal omzeild

Klinkt logisch en redelijk. Vooral ook vanwege de extra voorwaarden die de AP heeft toegevoegd, zoals: dat deze maatregel tijdelijk is, en dat de gegevens alleen ingezien mogen worden door de huisartsenpost of de spoedeisende hulp. Maar toch kleven er aan deze oplossing belangrijke bezwaren. We noemen er vier (maar er zijn er nog meer).

Ten eerste is er een technisch probleem. Je kunt als patiënt wel zéggen dat je toestemming geeft, maar dan kan de arts nog steeds niet in je dossier. Degene die je dossier moet ontsluiten is namelijk de huisarts die je medische gegevens heeft vastgelegd in zijn patiëntdossier. Deze noodmaatregel is nou juist bedoeld om het beroepsgeheim dat daarop rust te omzeilen. Hoe dit logistiek moet worden gerealiseerd, wordt niet helder uit de brief van de AP. Maar wie is ingewijd in de technische kant van het LSP, weet dat dit alleen maar kan door álle dossiers waarvoor nog geen toestemming voor uitwisseling is gegeven, alsnog te ontsluiten (via een update van huisarts-systemen). Een volkomen disproportionele maatregel. En ook nog bloedlink, getuige het tweede probleem.

Het tweede probleem is ook technisch van aard: de raadpleging van je dossier zou beperkt moeten blijven tot de zorgverleners die direct bij je behandeling zijn betrokken. Maar dat is in het LSP technisch niet mogelijk. Dit informatiesysteem biedt geen mogelijkheid tot gericht opvragen: het is alles of niets. In dit geval dus alles, oftewel iedere zorgverlener aangesloten op het LSP. Dat zijn tienduizenden potentiële ingangen voor hackers. De Eerste Kamer, die het LSP in 2011 unaniem verwierp, noemde het systeem daarom destijds “een dossier met duizend deuren aan de achterkant.”

Schijnzeggenschap

De ‘corona opt-in’ biedt daarmee slechts een schijnzeggenschap aan de patiënt – het derde bezwaar. Ongeacht of de patiënt toestemming geeft, zal diens dossier namelijk technisch al open staan voor raadpleging vanuit tienduizenden toegangspunten. De toestemming die patiënten volgens de AP moeten geven, is daarmee niets meer dan een holle formaliteit. Door in haar brief aan het Ministerie van Volksgezondheid ten onrechte te stellen dat deze toestemming een harde eis is om het dossier raadpleegbaar te maken, gaat de AP voorbij aan de verstrekkende technische implicaties van deze maatregel – en daarmee ook de juridische.

Daarmee komen we aan bij het vierde en overkoepelende bezwaar. De AP houdt officieel toezicht op de naleving van privacywetten, maar nergens in haar brief valt te lezen op welke wettelijke basis de ‘corona opt-in’ is gebaseerd. Evenmin wordt duidelijk waarom de AP van mening is dat de voorgestelde ‘corona opt-in’ een noodzakelijke en proportionele maatregel en dat dit probleem niet op een minder ingrijpende manier kan worden opgelost. Van een privacytoezichthouder in crisistijd mogen we een transparant en grondiger onderbouwd oordeel verwachten, waarbij bovenstaande gevolgen van de ‘corona opt-in’ expliciet worden meegewogen.

Toezicht op naleving van de privacywetgeving en de principes van het privacyrecht zijn de kerntaken van de AP, juist in crisistijd. Als iemand nu het hoofd koel moet houden en niet mee moet gaan in overhaaste crisismaatregelen met onoverzienbare gevolgen, is het de nationale toezichthouder op de privacy.


Platform Bescherming Burgerrechten
Privacy First
Humanistisch Verbond
Stichting KDVP


Dit gezamenlijke standpunt is eerder tevens gepubliceerd op https://platformburgerrechten.nl/2020/04/10/ap-sta-ons-bij/ en https://specifieketoestemming.nl/ap-sta-ons-bij/.

Gepubliceerd in Wetgeving

Momenteel wordt de wereld hard getroffen door het Corona-virus. Deze pandemie vormt niet alleen een aanslag op de gezondheid, maar kan ook leiden tot een crisis voor de mensenrechten, waaronder het recht op privacy.

Onder het recht op privacy vallen de bescherming van ieders persoonlijke levenssfeer, persoonsgegevens, vertrouwelijke communicatie, het huisrecht en het recht op lichamelijke integriteit. Privacy First is opgericht om deze rechten te beschermen en te bevorderen. Niet alleen in tijden van vrede en voorspoed, maar ook in tijden van crisis.

Juist in deze tijd komt het er op aan om onze maatschappelijke vrijheid en persoonlijke levenssfeer te blijven bewaken. Angst mag daarbij geen rol spelen. In diverse landen zien we echter draconische wetgeving, maatregelen en infrastructuren doorgevoerd worden. Daarbij staat veel op het spel, namelijk het behoud van ieders vrijheid, autonomie en menselijke waardigheid.

Privacy First monitort de ontwikkelingen en reageert proactief zodra overheden maatregelen dreigen te treffen die niet strikt noodzakelijk en proportioneel zijn. In dit verband acht Privacy First de volgende maatregelen in principe onrechtmatig:
- Massa surveillance
- Gedwongen controle achter de voordeur
- Afschaffing van anonieme of contante betaalmogelijkheden
- Heimelijke inzet van cameratoezicht en biometrie
- Elke vorm van inbreuk op het medisch beroepsgeheim.

Privacy First zal er op toezien dat gerechtvaardigde maatregelen slechts tijdelijk zullen gelden en opgeheven worden zodra de Corona-crisis voorbij is. Van nieuwe structurele, permanente noodwetgeving mag geen sprake zijn. Gedurende de maatregelen moeten effectieve rechtsmiddelen beschikbaar zijn en dienen privacy-toezichthouders kritisch te blijven.

Ter effectieve bestrijding van het Corona-virus kan bovendien vooral een beroep worden gedaan op de eigen verantwoordelijkheid van de burger. Veel is mogelijk op basis van vrijwilligheid en met individuele, volledig geïnformeerde en specifieke toestemming vooraf.

Zoals altijd is Privacy First bereid te assisteren bij de ontwikkeling van privacyvriendelijk beleid en privacy by design, zoveel mogelijk in samenwerking met relevante organisaties en experts. Juist in deze tijd kan Nederland (en de Europese Unie) immers een internationaal voorbeeld zijn voor de bestrijding van een pandemie mét behoud van privacyrechten en democratische waarden. Alleen op deze manier zal de Corona-crisis onze wereld niet duurzaam kunnen verzwakken, maar komen we er samen sterker uit.

Gepubliceerd in Wetgeving

Op 1 en 2 juli as. wordt Nederland in Genève kritisch onder de loep genomen door het Mensenrechtencomité van de Verenigde Naties. Dit comité is het VN-orgaan dat toezicht houdt op de naleving van één van de oudste en belangrijkste mensenrechtenverdragen ter wereld: het Internationale Verdrag inzake Burgerrechten en Politieke Rechten (IVBPR of BUPO-verdrag). Periodiek wordt ieder land dat partij is bij dit verdrag door het VN Mensenrechtencomité beoordeeld. Begin volgende week zal de Nederlandse regering zich bij het Comité moeten verantwoorden over diverse actuele privacykwesties die mede door Privacy First zijn geagendeerd.

De laatste Nederlandse sessie bij het VN Mensenrechtencomité dateert uit juli 2009, toen minister van Justitie Ernst Hirsch Ballin zich in Genève moest verantwoorden voor de destijds geplande centrale opslag van ieders vingerafdrukken onder de nieuwe Paspoortwet. Dit kwam de Nederlandse regering destijds op de nodige kritiek van het Comité te staan. Nu, 10 jaar later, is Nederland opnieuw 'aan de beurt'. In dit verband had Privacy First reeds eind 2016 een kritische rapportage (pdf) over Nederland bij het Comité ingediend en dit onlangs met een nieuwe rapportage (pdf) aangevuld. Kort samengevat heeft Privacy First bij het Comité onder meer de volgende actuele kwesties aangekaart:

- beperkte ontvankelijkheid van belangenorganisaties bij collectieve rechtszaken

- grondwettelijk toetsingsverbod

- profiling

- Automatische Nummerplaat Herkenning (ANPR)

- grenscontrole-camerasysteem @MIGO-BORAS

- OV-chipkaart

- digitale zorgcommunicatie (EPD)

- mogelijke herinvoering van telecom-bewaarplicht

- nieuwe wet op de inlichtingen- en veiligheidsdiensten ('Sleepwet')

- PSD2

- Passenger Name Records (PNR)

- afschaffing raadgevend referendum

- verbod op oorlogspropaganda.

De Nederlandse sessie bij het Comité zal op maandagmiddag 1 juli en dinsdagochtend 2 juli as. live te volgen zijn via UN Web TV. Naast diverse privacykwesties hebben meerdere Nederlandse organisaties ook talloze andere mensenrechtenkwesties bij het Comité geagendeerd; klik HIER voor een overzicht, inclusief de door het Comité reeds eerder vastgestelde List of Issues (waaronder de nieuwe wet op de inlichtingen- en veiligheidsdiensten, mogelijke herinvoering van een telecom-bewaarplicht, camerasysteem @MIGO-BORAS en medische privacy bij zorgverzekeraars). De uiteindelijke conclusies ('Concluding Observations') van het Comité volgen waarschijnlijk over enkele weken. Privacy First ziet een kritisch oordeel met vertrouwen tegemoet.

Update 26 juli 2019: gistermiddag heeft het Comité haar oordeel (“Concluding Observations”) over de Nederlandse mensenrechtensituatie gepubliceerd, waaronder de volgende kritische adviezen met betrekking tot twee Nederlandse privacy-kwesties die mede door Privacy First bij het Comité waren aangekaart:

The Intelligence and Security Services Act

The Committee is concerned about the Intelligence and Security Act 2017, which provides intelligence and security services with broad surveillance and interception powers, including bulk data collection. It is particularly concerned that the Act does not seem to provide for a clear definition of bulk data collection for investigation related purpose; clear grounds for extending retention periods for information collected; and effective independent safeguards against bulk data hacking. It is also concerned by the limited practical possibilities for complaining, in the absence of a comprehensive notification regime to the Dutch Oversight Board for the Intelligence and Security Services (CTIVD) (art. 17).
The State party should review the Act with a view to bringing its definitions and the powers and limits on their exercise in line with the Covenant and strengthen the independence and effectiveness of CTIVD and Toetsingscommissie Inzet Bevoegdheden (TIB) that has been established by the Act.

The Market Healthcare Act

The Committee is concerned that the Act to amend the Market Regulation (Healthcare) Act allows health insurance company medical consultants access to individual records in the electronic patient registration without obtaining a prior, informed and specific consent of the insured and that such practice has been carried out by health insurance companies for many years (art. 17).
The State party should require insurance companies to refrain from consulting individual medical records without a consent of the insured and ensure that the Bill requires health insurance companies to obtain a prior and informed consent of the insured to consult their records in the electronic patient registration and provide for an opt-out option for patients that oppose access to their records.

Het Comité uit haar zorgen over de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv of 'Sleepwet') en stelt dat deze wet dient te worden herzien. Het Comité is met name bezorgd over de nieuwe mogelijkheden voor grootschalige interceptie en hacking, de verlenging van bewaartermijnen en de gebrekkige mogelijkheden om klachten in te dienen. Tevens dienen de onafhankelijkheid en effectiviteit van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) en de nieuwe Toetsingscommissie Inzet Bevoegdheden (TIB) te worden versterkt.

Met betrekking tot het (formeel reeds ingetrokken, maar in praktijk gecontinueerde) Wetsvoorstel inzage medische dossiers door zorgverzekeraars oordeelt het Comité dat dergelijke inzage slechts toegestaan is na toestemming van de patiënt. Tevens dient de wetgeving te voorzien in een opt-out voor patiënten die dergelijke inzage niet wensen. De huidige praktijk van inzage van medische dossiers door verzekeraars dient dan ook per direct te worden beëindigd.

Tijdens de sessie in Genève kwamen tevens de Nederlandse afschaffing van het referendum en het camerasysteem @MIGO-BORAS kritisch ter sprake. Privacy First betreurt het dat het Comité deze (evenals diverse andere actuele) onderwerpen in haar eindoordeel onbenoemd laat. Niettemin toont de rapportage van het Comité vandaag aan dat het thema privacy ook bij de Verenigde Naties steeds hoger en kritischer op de agenda staat. Privacy First juicht deze ontwikkeling toe en zal dit de komende jaren blijven aansporen. Tevens zal Privacy First erop toezien dat Nederland de diverse aanbevelingen van het Comité zal implementeren.

De volledige Nederlandse sessie bij het VN-Comité staat online bij UN Web TV (1 juli en 2 juli). Zie ook de uitgebreide VN-verslagen, deel 1 en deel 2 (pdf).

Gepubliceerd in Wetgeving
vrijdag, 08 december 2017 14:27

Hoge Raad stuurt aan op privacy by design

Sinds 2013 voerde de Vereniging Praktijkhoudende Huisartsen een fundamentele rechtszaak tegen de private opvolger van het Elektronisch Patiëntendossier: het Landelijk Schakelpunt (LSP). Eind vorige week besloot de Hoge Raad dat het LSP vooralsnog niet in strijd is met het huidige privacyrecht. In het oordeel van de Hoge Raad ligt echter de opdracht besloten dat het LSP snel zal moeten gaan voldoen aan het wettelijke vereiste van 'privacy by design'. Dit vormt een belangrijk precedent en legt de lat voor de toekomst hoog.

Private doorstart EPD: Landelijk Schakelpunt

In april 2011 werd het Elektronisch Patiëntendossier (EPD) door de Eerste Kamer unaniem verworpen, voornamelijk wegens privacybezwaren. Door diverse marktpartijen (waaronder zorgverzekeraars) werd vervolgens echter vrijwel ditzelfde EPD in private vorm doorgestart als Landelijk Schakelpunt (LSP) voor grootschalige, centrale uitwisseling van medische gegevens. Het LSP is sindsdien nationaal ‘uitgerold’: veel huisartsen zijn inmiddels (onder druk van zorgverzekeraars) op het LSP aangesloten. Ook hebben miljoenen Nederlanders inmiddels ‘toestemming’ gegeven voor uitwisseling van hun medische gegevens via het LSP. Probleem met deze ‘toestemming’ is echter dat deze dusdanig breed en algemeen is, dat deze vrijwel onmogelijk rechtmatig geacht kan worden. Dit was dan ook één van de principiële bezwaren waarop de rechtszaak van de Vereniging Praktijkhoudende Huisartsen (VP Huisartsen) tegen het LSP betrekking had. Andere bezwaren tegen het LSP hebben o.a. betrekking op het feit dat de architectuur van het LSP inherent onveilig en privacyschendend is: via het LSP is ieder aangesloten medisch dossier voor duizenden zorgverleners inzichtelijk. Dit is in strijd met het recht op privacy van de patiënt en het medisch beroepsgeheim van behandelend artsen. Bovendien is hierbij geen sprake van privacy by design, bijvoorbeeld middels end-to-end encryptie. In wezen is het LSP hierdoor zo lek als een mandje, ideaal voor function creep (doelverschuiving) en mogelijk misbruik door kwaadwillenden.

Campagne SpecifiekeToestemming.nl

Privacy First heeft hierover de laatste jaren talloze malen alarm geslagen richting politiek en media. Zelfs op VN-niveau heeft Privacy First het Nederlandse LSP actief aangekaart. Op initiatief van Privacy First en het Platform Bescherming Burgerrechten is sinds april 2014 bovendien een grootschalige internetcampagne gelanceerd ter behoud en bevordering van het recht op medische privacy: www.SpecifiekeToestemming.nl. Deze campagne wordt sindsdien gesteund door tal van maatschappelijke organisaties, zorgverleners en academici. Kern van de campagne is dat specifieke toestemming (weer) het leidende principe moet worden bij de uitwisseling van medische gegevens. Bij specifieke toestemming kunnen patiënten voorafgaand aan het delen van hun medische gegevens bepalen of, en zo ja welke, gegevens mogen worden gedeeld met welke zorgverleners voor welke doeleinden. Dat beperkt de risico's en maakt het mogelijk voor patiënten om controle te houden over de uitwisseling van hun medische data. Dit in tegenstelling tot de generieke toestemming die geldt bij het LSP. Bij generieke toestemming is niet te voorzien door wie iemands medische gegevens kunnen worden ingezien, gebruikt, uitgewisseld etc. Generieke toestemming is daarmee per definitie in strijd met twee klassieke uitgangspunten in het privacyrecht: het beginsel van doelbinding en het recht op vrije, voorafgaande en volledig geïnformeerde toestemming bij de verwerking van persoonsgegevens.

Privacy by design

Mede onder druk van onze campagne SpecifiekeToestemming.nl werd het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens in de zorg (wetsvoorstel 33509) door de Tweede Kamer in 2014 aangescherpt en werden door de Eerste Kamer in 2016 twee cruciale moties aangenomen: de motie-Bredenoord (D66) c.s. over de verdere uitwerking van dataprotectie-by-design als het uitgangspunt voor de elektronische verwerking van medische gegevens en de motie-Teunissen (PvdD) c.s. inzake het decentraal (i.p.v. centraal) toegankelijk houden van medische dossiers. Onder deze nieuwe wet wordt specifieke (“gespecificeerde”) toestemming verplicht; dit dient nu geïmplementeerd te worden in alle bestaande en toekomstige systemen voor de uitwisseling van medische gegevens, waaronder het huidige LSP. Bovendien wordt onder de nieuwe Europese privacywetgeving privacy by design een harde juridische plicht: reeds vanaf het allereerste ontwerp dienen privacy en dataprotectie in alle relevante hardware en software te worden ingebouwd. In dit verband zijn er de laatste jaren reeds diverse marktontwikkelingen gaande die er op duiden dat bij nieuwe systemen specifieke toestemming de norm wordt en dat privacy by design de nieuwe standaard wordt. Een goed voorbeeld hiervan in de medische context is Whitebox Systems dat al in 2015 een Nationale Privacy Innovatie Award won.

Rechtszaak VP Huisartsen

Sinds maart 2013 voerde VP Huisartsen een grootschalige civiele rechtszaak tegen de private beheerder van het LSP: de Vereniging van zorgaanbieders voor zorgcommunicatie (VZVZ). Na teleurstellende uitspraken door de rechtbank Utrecht en het Hof Arnhem stelde VP Huisartsen eind 2016 cassatie in bij de Hoge Raad. In cassatie kreeg deze zaak (via Pro Bono Connect, op advies van Privacy First) ondersteuning door advocatenkantoor Houthoff Buruma. Bij de Hoge Raad diende Privacy First vervolgens samen met het Platform Bescherming Burgerrechten een amicus curiae-brief (PDF) in ter ondersteuning van de standpunten van VP Huisartsen, in lijn met onze gezamenlijke campagne SpecifiekeToestemming.nl. In het advies (“conclusie”) van de Advocaat-generaal bij de Hoge Raad werd vervolgens uitgebreid aan deze amicus curiae-brief gerefereerd. Op 1 december jl. heeft de Hoge Raad uiteindelijk uitspraak gedaan. In deze uitspraak sluit de Hoge Raad zich helaas grotendeels aan bij de eerdere argumentatie van het Hof Arnhem. Privacy First kan zich daarbij echter niet aan de indruk onttrekken dat het LSP (zelfs voor de Hoge Raad) blijkbaar “too big to fail” is: dit gebrekkige systeem is inmiddels dusdanig groot dat men het wellicht niet onrechtmatig durft te verklaren. Toch is er ook een belangrijk lichtpunt, en wel in de slotoverweging van de Hoge Raad:

“[Het hof heeft] onderkend dat de zorginfrastructuur ook kan worden ingericht op een wijze waarbij meer onderscheid tussen (soorten) gegevens en (categorieën) zorgaanbieders kan worden gemaakt, en waarbij in het bijzonder gegevensuitwisseling op basis van toestemming bij voorbaat desgewenst kan worden beperkt tot spoedeisende gevallen. In zijn oordeel ligt besloten dat deze inrichting meer en beter in overeenstemming is met de beginselen die aan de Privacyrichtlijn en de Wbp ten grondslag liggen, maar ten tijde van het wijzen van het bestreden arrest nog niet van VZVZ kon worden geëist. Van VZVZ mag volgens het hof wel worden verwacht dat zij, zodra dit voor haar technisch mogelijk en uitvoerbaar is, het systeem aanpast door daarin meer keuzevrijheid te bieden.

Deze overwegingen zijn niet onbegrijpelijk. Daarbij verdient nog opmerking dat gelet op de (...) ambities van VZVZ met het systeem en op de veranderingen in de regelgeving (...), waarbij ‘privacy by design’ en ‘privacy by default’ uitdrukkelijk tot uitgangspunt zijn genomen (art. 25 leden 1 en 2 Algemene verordening gegevensbescherming), eens te meer in de rede ligt wat het hof van VZVZ verwacht.” (5.4.4)

Evenals het Hof Arnhem stuurt de Hoge Raad hiermee duidelijk aan op implementatie van specifieke toestemming en privacy by design in het LSP. De Hoge Raad creëert hiermee een positief precedent dat ook in bredere zin (voor andere systemen) de toon voor de toekomst zet. Privacy First zal de ontwikkelingen hieromtrent actief blijven volgen en e.e.a. indien nodig opnieuw bij de rechter (laten) aankaarten.

 

Lees HIER het hele arrest van de Hoge Raad en HIER de eerdere conclusie van de Advocaat-generaal.
De amicus curiae brief van Privacy First en het Platform Bescherming Burgerrechten vindt u HIER in pdf.

Commentaar VP Huisartsen: http://www.vphuisartsen.nl/nieuws/cassatieberoep-vphuisartsen-verloren-toch-winst/

Commentaar SpecifiekeToestemming.nl: http://specifieketoestemming.nl/werk-aan-de-winkel-na-teleurstellend-vonnis-over-lsp/ .

Gepubliceerd in Medische privacy
Pagina 1 van 5

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
Control Privacy
Procis

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon