ANALYSE - De te verwachten privacyproblemen van het EPD zijn ernstig. Maar ook de private bypass van een publiek NEE en het digitaal ondergraven van het medisch beroepsgeheim zouden al reden tot afblazen moeten zijn.
Afgelopen week werden de doorstartproblemen van het EPD eens flink in het zonnetje gezet. De te verwachten privacyproblemen voerden de boventoon, tot aan de Amerikaanse Patriot Act toe. De meest koddige verdediging van het systeem kwam van de uit het predigitale tijdperk stammende Wilna Wind. In De Wereld Draait Door probeerde zij de beveiliging te verdedigen met ‘zo’n dokter moet zich kunnen identificeren, die moet aantonen dat hij een behandelrelatie heeft met die patiënt.’ Mevrouw Wind, ik ken het systeem niet in detail, daarom vraag ik het maar aan u. Geldt dat ook voor hackers? Dat ze zo’n behandelrelatie moeten hebben, alvorens zij zichzelf toegang verschaffen tot het systeem?
Die journalistieke belichting van verwachte privacyproblemen was aangenaam en nodig, maar liet twee andere kwesties in het schemerduister achter. Kwesties die op zichzelf al reden zouden moeten zijn het systeem af te blazen. De eerste gaat over het medisch beroepsgeheim. Want zelfs als patiënten aangeven mee te willen doen, is het maar de vraag of de arts met het koppelen van de gegevens niet alsnog dat beroepsgeheim schendt. De tweede is de wonderlijke opvatting over democratie die uit dit dossier spreekt, met een hoofdrol voor minister Schippers en een bijrol voor senator/zorgverzekeraar Roger Van Boxtel.
Het medisch beroepsgeheim
Volgens het NRC-artikel waarmee de publiciteitsgolf begon, zullen huisartsen hun patiënten vanaf januari de vraag voorleggen of zij instemmen met opname van hun gegevens in een digitaal dossier. Stemt de patiënt in, dan mag de arts zijn medisch beroepsgeheim doorbreken en alle persoonlijke medische informatie van zijn patiënten aan dat digitale dossier koppelen. Dat lijkt de redenering te zijn, maar is te kort door de bocht. Want louter instemming van de patiënt is niet genoeg om dat beroepsgeheim prijs te geven.
Twee bronnen:
1. Een citaat van de website van het advocatenkantoor Korver& van Essen: ‘Op grond van de wet is toestemming van de patiënt vereist voor het verstrekken van inlichtingen aan anderen dan de patiënt. Als de arts weet dat de patiënt zijn toestemming op onvoldoende gronden geeft, dan blijft de zwijgplicht van de arts gelden.’
2. Een citaat uit een recente brief van onze eigen minister van Volksgezondheid: ‘Toestemming voor doorbreking van het beroepsgeheim moet altijd vooraf worden gevraagd en verkregen. […] Het is aan de zorgverlener om te beslissen of hij het beroepsgeheim doorbreekt, zelfs als de patiënt toestemming geeft. De zorgverlener moet in zijn afweging meenemen of de patiënt zijn toestemming in vrijheid en weloverwogen heeft kunnen geven.’
Instemming is dus niet genoeg, de huisarts moet tevens beoordelen of de patiënt wel alle gronden voor en tegen instemming meeweegt en hij moet dat oordeel als weloverwogen kwalificeren. Realiseert de oude dame die tegenover de arts hem zit zich wel, dat zo’n systeem gehackt kan worden? Weet zij überhaupt hoe dergelijke informatiesystemen werken en wat hacken betekent? (Weet hij het zelf wel?) Kan hij de instemming van de gebrekkig Nederlands sprekende man die voor hem zit, die zijn uitleg waarschijnlijk niet eens heeft begrepen, weloverwogen noemen? Realiseert de chronisch zieke en niet bijster pientere jongen die hem zojuist in vertrouwen om advies vroeg zich, dat als zijn gegevens ooit in handen van een verzekeraar vallen, ze hem op basis daarvan misschien wel een verzekering ontzeggen?
Stelt een huisarts zichzelf deze vragen niet en stuurt hij mensen na instemming met een informatiefolder naar huis, dan doorbreekt hij z’n medisch beroepsgeheim. Toch is dat wel het meest voor de hand liggende scenario, want welke huisarts heeft tijd om met elke patient alle voor- en nadelen te doorlopen? Bovendien, als we dat beroepsgeheim serieus nemen, dient dan niet bij elke overdracht van persoonlijke informatie die vraag opnieuw gesteld te worden? Het voorstel lijkt een eenmalige toestemming om tot het einde der tijden informatie in te zien.
Politici en democratie
In maart 2011 stemde de Eerste Kamer tegen het EPD. Unaniem. Dat zal niet vaak voorkomen. Dan kun je als minister een paar dingen doen. Je accepteert je nederlaag en laat het onderwerp rusten, of je verandert de plannen en legt ze opnieuw aan beide Kamers voor. Maar je kunt ook doen wat minister Schippers deed: de Eerste Kamer omzeilen en een private doorstart ondersteunen.
Dat lijkt misschien kwaadwillender dat het is. Want de Tweede Kamer was voor en er zijn goede redenen om de toegang tot sommige patiëntgegevens voor artsen te vergemakkelijken. Maar tegelijkertijd is deze handelswijze een waarschijnlijk onbedoeld statement van minister Edith Schippers over onze democratie. Dat statement luidt: een unaniem NEE van de Eerste Kamer is ook maar een mening.
Ze is voor het EPD en ondersteunt de private bypass die nu wordt bewerkstelligd, ondanks dat dezelfde plannen geen democratische goedkeuring kregen. Dat is wettelijk misschien toegestaan, maar betekent tegelijkertijd dat je als politicus de democratie niet serieus neemt. Terwijl het enige dat elke kiezer van elke politicus mag verlangen precies dat is – het serieus nemen van het instituut waarin ze de kiezer vertegenwoordigt: diezelfde democratie. Ik ben benieuwd hoe de Senaat daarover denkt als ze binnenkort weer eens wakker wordt.
Over de Senaat gesproken. Er zijn weinig momenten waarop ik graag Eerste Kamerlid zou willen zijn, maar in haar wandelgangen had ik collega Roger van Boxtel weleens willen aanspreken. Want hoewel hij nog geen senator was toen unaniem tegen werd gestemd, is hij wel voorzitter van de Raad van Bestuur van Menzis en bestuurslid van Zorgverzekeraars Nederland. Ik zou hem naar zijn oordeel vragen. ‘Zeg Roger, dat EPD wordt nu toch ingevoerd hè, wat moeten wij daar als senatoren van denken? Wij stemmen unaniem tegen en met hulp van de minister voeren de zorgverzekeraars hetzelfde plan nu toch in. Is dat niet minachting van de democratie?’
Reacties (5)
Geen wetgeving is ook niet verbieden.
Dag regering. Hallo multinational.
Stop met roeptoeteren naar de regering en neem een usb met encryptie software naar de dokter. Vraag elke keer vriendelijk of hij alles wat hij heeft vastgelegd (verplicht) op de usb wilt zetten.
Zeg ‘nee’ tegen delen en presenteer de usb bij elke volgende hulpverlener. Zorgverleners zijn wel patientgericht je moet ze als patient alleen wel vertellen waar ze zich dan op moeten richten. Anders bedenken ze het zelf, of luisteren naar de regering of de zorgverzekeraars.
Kijk eens naar een quantified-self groep op bv linked-in, neem de data van je gezondheid in je eigen hand en gebruik een arts als adviseur voor het duiden van die data.
Wat een ellende. Ik ga iig bij aanvang van elk bezoek aan mijn huisarts hem vragen om niets over mij in te tikken op zijn computer. Misschien wil hij wel een papieren dossier speciaal voor mij aanmaken? Het is mijn laatste hoop.
@2: ik denk dat veel huisartsen zo’n papieren dossier voor 95% van hun patiënten, helemaal geen gek idee vinden :) en voor de rest een #1 usb-stickje
Waarom wordt er eigenlijk nooit ophef gemaakt over alles wat achter je DigiD te vinden is? Je zorgverzekeraar gebruikt het ook. Een mooi overzicht van je medicijngebruik lijkt me een mogelijkheid.
Verder heb je met DigiD toegang tot je financiële gegevens, je aanraking met politie, enz.
@T: omdat dat dat niet hetzelfde is? DigiD controleert slechts dat je min of meer bent wie je zegt te zijn. Het regelt verder helemaal niets qua doorgifte van gegevens. Het controleert uitsluitend je aanmelding en geeft vervolgens een seintje naar de site waar je kwam ‘ja, dit is meneer/mevrouw X, go ahead.’
Het is daarom meer te vergelijken met de UZI-pas dan met het EPD.
Belangrijk verschil verder is vooral dat je met je DigiD uitsluitend toegang krijgt (of hoort te krijgen) tot je eigen gegevens, terwijl bij het EPD ook vele anderen toegang kunnen krijgen, namelijk iedereen met een inlog voor een willekeurig medisch systeem en die op ‘ja’ klikt bij de vraag ‘hebt u een behandelrelatie met deze patient?’ Kom je onreglementair aan andermans DigiD, dan heb je toch nog maar toegang tot individuele gegevens. Met het EPD heb je potentieel de gegevens van alle 17 miljoen mensen in handen.
Dat systemen (ook die gebruik maken van DigiD) alsnog niet volkomen veilig zijn, daar zou ik wel vanuit gaan. Maar het is toch essentieel iets anders dan het EPD.