REACTIE OP NIEUW PLAN MINISTER BRUINS

Drie privacy-aanbevelingen voor gegevensuitwisseling zorg

Minister Bruins (VVD) wil meer eenheid in het uitwisselen van gegevens in de zorg. Hiervoor gaat hij bindende regels opstellen. Eerdere pogingen van toenmalig minister Schippers (VVD) leverde vooral privacyproblemen op. De minister kan deze met drie duidelijke keuzes grotendeels voorkomen.

In een brief aan de Tweede Kamer van vrijdag 20 december schrijft minister Bruins van Volksgezondheid dat hij "in concrete stappen elektronische gegevensuitwisseling overeenkomstig de bijpassende informatiestandaarden wettelijk verplicht [gaat] stellen." Het gaat daarbij om het verplicht stellen van een gemeenschappelijke taal binnen de zorg en het gebruik van standaarden bij de gegevensuitwisseling. Maar hij schrijft in vagere termen ook dat hij verplichtingen wil gaan invoeren over het uitwisselen van medische gegevens van patiënten zelf. De minister komt voor de zomer van 2019 met een plan van aanpak.

EPD gestrand

Minister Bruins bezweert dat hij geen nieuw landelijk Elektronisch PatiëntenDossier (EPD) zal creëren. Een eerdere poging om een landelijk verplicht elektronisch patiëntendossier in te voeren, is in 2011 in de Eerste Kamer gestrand. De belangrijkste reden was dat het systeem, het zogeheten LSP, niet aan de privacyregels kon voldoen. Toenmalig minister Schippers legde zich niet bij die beslissing van de Eerste Kamer neer en heeft het LSP, weliswaar zonder dat het verplicht werd, toch doorgeduwd. En omdat het LSP niet aan de wettelijke regels kan voldoen, heeft ze vervolgens de wettelijke regels versoepeld.

Alleen verder met goede privacywaarborgen

Privacy Barometer onderschrijft dat gegevensuitwisseling in de zorg een belangrijke voorwaarde is om goede zorg te kunnen bieden. Maar elke aanpak staat of valt met het serieus nemen van rechten van patiënten, waaronder het recht op privacy en het respecteren van het medisch beroepsgeheim. Wat er in het plan van aanpak van minister Bruins komt te staan, is nog niet bekend, maar onderstaande drie punten zouden niet mogen ontbreken.

1. Neem recht op privacy direct in plan van aanpak op
Volgens de nieuwe Algemene Verordening Gegevensbescherming (AVG) is het verplicht om al vanaf de ontwerpfase van nieuwe wetten, processen of systemen de privacyrechten en -risico's mee te nemen. Op die manier kunnen de juiste keuzes bij het ontwerp worden gemaakt, zodat processen en systemen tot stand komen waar privacy standaard zit ingebakken. Daarbij staan de meest privacyvriendelijke opties altijd vooraf ingesteld waarna het aan de mensen zelf is om toestemming te geven om (meer) gegevens te delen of om bepaalde zorgverleners inzage te geven in hun medische gegevens. Door privacy-aspecten al in het plan van aanpak mee te nemen voorkomt de minister grote problemen later in het proces.

2. Neem afscheid van het LSP
Bovenstaande aanbeveling is precies waar het bij het LSP aan heeft ontbroken. Het systeem is vanaf de start verkeerd ontworpen, waardoor het nooit meer aan de privacyregels kan voldoen. In plaats van medische gegevens te delen als er er om gevraagd wordt, worden gegevens standaard gedeeld, maar alleen voor bepaalde groepen geblokkeerd. Deze omgekeerde structuur is een ontwerpfout en niet te verhelpen. Het systeem voldoet niet en zal ook nooit voldoen. Om aan het principe van toestemming geven te voldoen zoals dat in de AVG is vastgelegd, zal de minister afscheid moeten nemen van dit verouderde en ontoereikende systeem.

3. Neem afscheid van gespecificeerde toestemming
Volgens de privacywet AVG moeten mensen specifiek toestemming geven. Dat betekent dat aan een specifieke behandelaar toestemming wordt gegeven om in een specifieke situatie gegevens te raadplegen. Omdat het LSP hiermee niet overweg kan is dit principe afgezwakt naar 'gespecificeerde toestemming'. Deze afgezwakte vorm van toestemming geven, waarbij een patiënt ineens toestemming geeft voor een hele categorie of regio van zorgverleners, is in strijd met de Algemene Verordening Gegevensbescherming en beschermt de privacy en het medisch beroepsgeheim van mensen onvoldoende. Met het afscheid van het LSP kan de minister gelijktijdig afscheid nemen van dit wetsartikel en weer gewoon de fundamentele principes van toestemming geven volgens de Europese privacywet nakomen.

Serieuze aanpak vraagt om serieuze keuzes

De minister schrijft in een bijlage bij de brief dat "privacy een randvoorwaarde is waar niet aan te tornen valt". "Mensen hebben bijvoorbeeld het recht zelf te beslissen welke informatie kan worden ingezien. De keuze om geen toestemming te geven gaat voor. Ook als het ontbreken van die toestemming leidt tot vermijdbare fouten in de behandeling en ook als het leidt tot irritatie en opnieuw moeten uitvragen door zorgprofessionals."

Dat is een bemoedigende start. We kijken uit naar het plan van aanpak van de minister en de privacy-keuzes die daarin worden gemaakt.