Op verzoek van de Tweede Kamer, heeft de minister inmiddels een schriftelijk antwoord op onderstaande brief gegegeven.
Den Haag, 18 december 2012
Geachte Kamerleden,
Donderdag 20 december 2012 vergadert u over het Landelijk Schakelpunt (LSP), voorheen aangeduid als het Elektronisch PatiëntenDossier (EPD). Wij onderschrijven de noodzaak van goede communicatie in de zorg en een veilige (elektronische) uitwisseling van medische gegevens. Aansluiting op het LSP biedt echter op dit moment onvoldoende veiligheidsgaranties. Er is mede om die reden onder de bevolking, onder zorgverleners, onder deskundigen en onder ICT-experts weinig draagvlak voor het LSP. Het systeem is om deze reden unaniem door de Eerste Kamer verworpen.
Helaas voldoen ook de huidige regionale communicatiesystemen evenmin aan alle veiligheidseisen. Juist daarom is het opvallend dat de doorontwikkeling en verbetering van bestaande, regionale systemen nu wordt stopgezet, terwijl die met enige aanpassingen in betere informatie-uitwisseling zouden kunnen voorzien zonder de nadelen van een LSP.
De onderstaande 12 punten in deze brief geven aan waarom het LSP niet kan worden doorgezet en geven handvaten over de kernpunten waar rekening mee gehouden dient te worden bij de ontwikkeling van verantwoorde informatie-uitwisseling van medische gegevens waarbij zowel de veiligheid, het medisch beroepsgeheim en de bescherming van de privacy van patiënten gewaarborgd worden.
Inhoudsopgave
1. Laat het primaire beschikkingsrecht op medische gegevens berusten bij de patiënt en de behandelende zorgverlener. Het is niet ondenkbaar dat beheerders van een medisch datauitwisselingssysteem deze gegevens op een andere wijze willen gaan gebruiken dan voor het optimaliseren van de zorg voor betrokkenen. Met name het risico van vercommercialisering van de gegevens is groot. Het medisch beroepsgeheim en het fundamentele recht op bescherming van de privacy van patiënten komt daarmee onder druk te staan. Om dit te voorkomen zou wettelijk vastgelegd moeten worden dat het primaire beschikkingsrecht op medische gegevens altijd bij de patiënt en zijn directe zorgverlener ligt. De directe zorgverlener is daarbij gebonden aan zijn medisch beroepsgeheim en zijn zorgplicht voor de patiënt. Vertrouwelijkheid binnen de spreekkamer en van de medische gegevens moet door de zorgverlener gegarandeerd kunnen worden.
Een dergelijke wettelijke regeling verplicht derden om altijd vooraf expliciete toestemming te vragen aan een patiënt en/of zijn zorgverlener voor hij kan beschikken over medische gegevens. Deze toestemming kan ook te allen tijde weer worden ingetrokken. Expliciete toestemming betekent dat patiënten en zorgverleners zo volledig mogelijk moeten worden geïnformeerd. Patiënten mogen niet worden overgehaald om toestemming te geven met prijsvoordelen of door eisen of dwingende afspraken in zorgcontracten.
2. Draag zorg voor oprechte informatie naar patiënten. Patiënten worden nu met wervende teksten overgehaald deel te nemen. In de communicatie van VZVZ wordt telkens het woord 'veilig' gebruikt, terwijl de veiligheid van het LSP duidelijk niet gegarandeerd kan worden. Patiënten worden daarmee dus misleid. Met de huidige opt-in regeling wordt de indruk gewekt dat inzage in medische gegevens veiliger en acceptabeler is, omdat de burger daarvoor zelf toestemming heeft gegeven. Waar het 'ja' toe kan leiden kan noch door de patiënt noch door de artsen goed worden voorzien. Men weet gewoonweg niet waaraan en hoelang men toestemming geeft.
Als patiënten gevraagd worden deel te nemen aan het LSP, moeten ze eerlijk geïnformeerd worden. Er moet bijvoorbeeld duidelijk worden gemaakt dat huisartsen, huisartsenposten, ziekenhuizen en apotheken al gegevens delen en dat dat niet hetzelfde is als toestemming geven voor een landelijk LSP. Patiënten dienen als hen om toestemming wordt gevraagd te kunnen overzien waar die toestemming precies voor geldt, dus wie inzicht krijgt in welke gegevens. Patiënten dienen geïnformeerd te worden dat er aan digitale uitwisseling per definitie ook risico’s zijn verbonden dat gegevens bij derden terecht kunnen komen of buiten de context kunnen worden geïnterpreteerd.
Het is onverstandig om de informatievoorziening in deze gevoelige materie over te laten aan de Vereniging van Zorgaanbieders Voor Zorgcommunicatie (VZVZ) die een duidelijk commercieel belang heeft bij het aantal inschrijvingen in het landelijke systeem.
3. Zorg dat autorisatie voor gegevensuitwisseling zeer specifiek gegeven moet en kan worden. Het LSP is een onveilig systeem vanwege het gebrek aan een goed autorisatie-model. Als patiënten toegang geven, geldt de toestemming op dit moment voor het dossier voor alle zorgverleners. Het VZVZ heeft de opgenomen dossiers tijdens de introductie alleen voor ziekenhuizen toegankelijk gemaakt, maar dat is een tijdelijke maatregel. Er is geen mogelijkheid autorisatie te verlenen of in te trekken per aandachtsgebied, per achterliggende periode of per zorgverlener. Controleren wie toegang tot de gegevens heeft gekregen, kan nu alleen achteraf plaatsvinden door de logbestanden te bekijken. Alleen al om die reden dient het LSP niet verder ingevoerd te worden.
4. Stop met het gebruik van het algemene BurgerServiceNummer (BSN) voor de zorgsector. Een systeem voor het uitwisselen van medische gegevens over individuele patiënten moet een andere identificatiecode gebruiken dan het BSN. Het BSN is bedoeld om binnen de overheid gebruikt te worden. Het gebruik van één identificerend nummer voor alle sectoren van de samenleving vormt een te groot risico voor de burger dat zijn gegevens veel te makkelijk en oncontroleerbaar worden gekoppeld aan andere informatie. Voor kwaadwillenden vormt het steeds meer een ideaal instrument voor identiteitsfraude en -diefstal.
5. Voorkom systeem-monopolisme Het is zeer onwenselijk als er één leidend systeem zou komen voor medische dossiers. De beheerders van dat systeem krijgen dan namelijk de macht van een monopolist om zorgverleners en patiënten te verplichten om mee te doen en zich te conformeren aan hun voorwaarden. Beheerders kunnen onder andere bepalen welke elementen in een elektronisch dossier moeten worden opgenomen en op welke wijze. En daarmee komt er een inhoudelijke bemoeienis met de behandeling. Dat is de omgekeerde wereld.
Primair moet in de spreekkamer bepaald kunnen worden wat goede zorg is. De zorgverlener bepaalt in overleg met de patiënt hoe de behandeling vorm krijgt. Een medisch datauitwisselingssysteem moet daarbij volgend zijn en de ontwikkelingen in de spreekkamer ondersteunen. Daarom moet er bij wet geregeld zijn dat zorgverleners altijd mogelijkheid blijven houden een eigen of alternatief systeem te gebruiken.
6.Toon nut en noodzaak van gegevensuitwisseling overtuigend aan. Voordat een systeem voor het uitwisselen van medische gegevens ingevoerd of gebruikt gaat worden moet overtuigend aangetoond worden dat het systeem daadwerkelijk bijdraagt aan een betere zorg voor patiënten. Dat is bij het LSP in de afgelopen 10 jaar nooit gebeurd. De claim dat er vermijdbare sterfgevallen voorkomen zouden kunnen worden is een aanname gebleven die nooit hard is gemaakt. Aan de andere kant zijn er vele signalen dat fouten in het LSP tot verkeerde behandelingen kan leiden.
Zolang er geen duidelijke meerwaarde voor een systeem is voor de patiënt of de behandelende zorgverlener, zal er geen draagvlak in de samenleving voor ontstaan. Een systeem is dan bij voorbaat gedoemd te mislukken.
7. Evalueer het gebruik van medische datauitwisselings systemen kritisch. Zoals inmiddels in moties is vastgelegd in zowel Eerste als Tweede Kamer, moet wetgeving die impact op de privacy heeft, altijd kritisch worden geëvalueerd om te kijken of het effectief is en te beoordelen waar het beter moet. Ongeacht of een medisch datauitwisselingssysteem in handen van de overheid is of niet, dat ontslaat de overheid niet van de plicht om het kritisch te evalueren. Nu al moet worden vastgelegd dat er periodiek een gedegen, inhoudelijke, onafhankelijke evaluatie moet plaatsvinden, waarbij in ieder geval gekeken wordt naar de effectiviteit in het voorkomen van fouten en de gevolgen voor de privacy van burgers.
De evaluatieverplichting mag niet verworden tot een formaliteit. Uit de afgelopen jaren is gebleken dat het noodzakelijk is vast te leggen dat het bij een evaluatie dient te gaan om de inhoudelijke evaluatie van wetgeving, aan de hand van cijfermatige onderbouwing. De Tweede Kamer zou vooraf moeten bepalen dat bij het uitblijven van een grondige evaluatie de geldigheid van de onderhavige wet- of regelgeving automatisch komt te vervallen.
8. Introduceer snel een meldplicht voor datalekken met mogelijk boetes en strafrechtelijke vervolging. Er moet een meldplicht komen voor datalekken, met een mogelijkheid om substantiële boetes op te leggen als er opzet of nalatigheid in het spel is. Zolang dat niet in algemene zin geregeld is, zou dat nu in ieder geval voor medische gegevens moeten gaan gelden, vanwege de zeer veel gevoelige, en voor sommige partijen ook waardevolle gegevens van een groot deel van de bevolking.
9. Zet zorgverzekeraars op afstand van het kunnen beschikken over persoonlijke medische gegevens. Een medisch datauitwisselingssyteem is bedoeld om vermijdbare fouten tijdens de behandeling te voorkomen. Zorgverzekeraars hebben daar geen enkele rol in. Zorgverzekeraars dienen beperkt te worden tot hun primaire taak, namelijk het bekostigen van de verzekerde zorg. Er moet een verbod komen om te rapporteren over medische dossiers aan de zorgverzekeraars. Op geen enkele wijze mogen de verzekeraars toegang tot de op persoonlijk niveau terug te herleiden gegevens krijgen. Medische gegevens uit een behandeldossier mogen niet gekoppeld worden aan factuurinformatie, zoals via het Diagnosebehandelcombinatie Informatie Systeem (DIS).
De Tweede Kamer zou moeten aandringen op financiering van een uitwisselingssysteem die los staat van de zorgverzekeraars. Bij grote afhankelijkheid van de betalingen door de zorgverzekeraar, kunnen ze artsen en patiënten een richting op dwingen die handig is voor verzekeraars, maar haaks staat op een goede behandeling.
10. Accepteer geen Nederlandse deelname aan grootschalige Europese of mondiale medische data uitwisselingssystemen. Er wordt op dit moment proefgedraaid met een Europees patiëntendossier (EPSOS). Welk doel dat dient en wat daar de noodzaak voor is, is totaal onduidelijk. Zolang er geen overtuigende argumenten zijn, zou Nederland zijn medewerking aan dit project moeten stopzetten. Los daarvan dient nu al te worden vastgelegd dat voor deelname aan welk medisch datauitwisselingssyteem dan ook altijd expliciete toestemming van de patiënt nodig is.
11. Sluit als overheid uit dat medische gegevens verplicht (bijv. via de Patriot Act) bij vreemde mogendheden terechtkomen. Met de Patriot Act kunnen bedrijven die een vestiging in de Verenigde Staten hebben door de Amerikaanse overheid gedwongen worden om zonder tussenkomst van de rechter gegevens te overhandigen. Het is uiterst onwenselijk dat de Amerikaanse veiligheidsdiensten over de medische gegevens van Nederlandse burgers kunnen beschikken.
In het scenario van het LSP zouden dan de medische gegevens van in principe alle burgers ook nog eens met de BSN-sleutel erbij ter beschikking staan van de inlichtingen- en veiligheidsdiensten. Met de BSN-sleutel kunnen de gegevens makkelijk aan andere gegevens gekoppeld worden, zoals de talloze passagiersgegevens die al geleverd worden van personen die naar de VS reizen (PNR), de justitiële en financiële gegevens. Het is niet voor het eerst dat mensen om hun gezondheidstoestand een inreisverbod krijgen.
Om elk risico op ongewenst gebruik van de medische gegevens door de Amerikaanse veiligheidsdiensten uit te sluiten, moeten bedrijven die onder de Patriot Act vallen uitgesloten worden om mee te werken aan elektronische verwerking van medische gegevens.
12. Laat de patiënt samen met diens zorgverlener centraal staan. Uit het LSP dossier blijkt dat de techiek en het systeem te veel leidend zijn geworden, waardoor belangen van patiënt en zorgverlener ondergeschikt raken. Wij vragen u, als volkvertegenwoordiging, om bij de ontwikkeling van medische datauitwisselingssystemen, zodanige randvoorwaarden vast te leggen, dat de aantasting van het medisch beroepsgeheim en de bescherming van de privacy van patiënten en cliënten gewaarborgd blijft en de zorgtaak van medische zorgverleners in de gehele gezondheidszorg daadwerkelijk beter wordt ondersteund.
Vriendelijke groet,
Privacy Barometer
het bestuur van Burgerrechtenvereniging Vrijbit