Op 18 juli 2023 publiceerde NRC een artikel over het opslaan van grote hoeveelheden medische gegevens door externe softwareleveranciers van huisartsen. Het artikel was aanleiding voor enige ophef en Kamervragen van het lid Bushoff (PvdA) en Van Haga (Groep van Haga) aan de Minister van Volksgezondheid. De vragen zijn op 12 september jl. behoorlijk uitgebreid beantwoord.
NRC meldde dat grote hoeveelheden medische patiëntendossiers wekelijks worden gekopieerd naar de servers van een ‘commercieel softwarebedrijf’, het Leidse Calculus. Met de ‘VIP Live software’ van dit bedrijf wordt iedere week een kopie gemaakt van de gehele patiëntenadministratie teneinde het delen van gegevens met andere lokale behandelaren mogelijk te maken. Die noodzaak blijkt met name te bestaan ten aanzien van patiënten met chronische aandoeningen zoals diabetes.
De AP heeft in 2018 reeds onderzoek gedaan naar Calculus maar zag toen geen aanleiding voor nader onderzoek of handhavend optreden, ook omdat de geëxtraheerde gegevens meteen automatisch worden versleuteld en alleen toegankelijk zijn voor de huisarts. De gegevens werden ook niet met derden gedeeld voor wetenschappelijk onderzoek of statistiek zoals volgt uit het ambtsbericht van de AP hierover.
De commotie ontstond enerzijds omdat de suggestie werd gewekt dat derde ‘commerciële’ partijen de vrije beschikking over de gegevens kregen. Dat blijkt niet aan de orde. De gegevens worden door de derde partijen verwerkt in opdracht van en onder verantwoordelijkheid van de huisartsen conform een verwerkersovereenkomst. Dit betekent dat die derde partijen de gegevens slechts conform de instructie van de opdrachtgever mogen verwerken en de gegevens dus niet voor eigen doeleinden mogen aanwenden. Zolang de veiligheid van de systemen in voldoende mate is geborgd, is dat een gebruikelijke gang van zaken. Het is immers onvermijdelijk dat IT leveranciers betrokken zijn bij de opslag van medische gegevens. Daar is op zich ook niets mis mee. Over het algemeen zullen gespecialiseerde derde partijen immers beter in staat zijn om patiëntgegevens adequaat te beschermen dan de huisartsen zelf. De AP was in 2018 dan ook van oordeel dat deze structuur in de kern op orde was.
Veel huisartsen vroegen zich echter af of de verantwoordelijke-verwerker-relatie wel recht deed aan de praktijk. Van werkelijke sturende invloed op de keuze voor en inrichting van het systeem blijkt namelijk in de praktijk niet of nauwelijks sprake, waardoor van een papieren werkelijkheid zou kunnen worden gesproken.
Ook werd aan de orde gesteld of het systeem wel voldeed aan de eis van dataminmalisatie. Men kan zich immers afvragen of het noodzakelijk is om op regelmatige basis kopieën van de gehele patiëntenadministratie te maken ten behoeve van uitwisseling met andere zorgverleners terwijl dit alleen nuttig is voor patiënten met chronische aandoeningen.
Minister Kuipers benadrukt in zijn antwoorden op vragen dat een oordeel over de rechtmatigheid niet aan hem is maar dat het inschakelen van IT dienstverleners noodzakelijk is om invulling te geven aan het zorgproces. De verantwoordelijkheid om burgers / patiënten te informeren ligt ook bij de huisartsen als verwerkingsverantwoordelijke. Ook stelt hij dat huisartsen zelf kunnen kiezen welke gegevens zij al dan niet via het systeem delen.
Leveranciersafhankelijkheid
Kuijpers erkent daarentegen wel met een verwijzing naar zijn kamerbrief van 4 april 2023 dat de leveranciersafhankelijkheid in de zorg een probleem is en dat het ontbreekt aan een gezamenlijke strategie van zorgaanbieders om deze afhankelijkheid te doorbreken. Hij wijst daarbij op het Actieplan zorg-ICT-markt dat beoogt zorgaanbieders te ondersteunen bij de inrichting van (cross)sectoraal leveranciersmanagement. Het doel daarvan is om de positie van zorgaanbieders te versterken. Minister Kuipers noemt in dat verband ook het belang van standaardisatie van taal en techniek en de implementatie van generieke functies zoals vastgelegd in de Wet elektronische gegevensuitwisseling in de zorg (Wegiz). Interoperabiliteit kan bijdragen aan keuzevrijheid van zorgaanbieders en burgers ten aanzien van IT-oplossingen in de zorg.
Het is begrijpelijk dat veel huisartsen het gevoel hebben dat van werkelijke invloed op (de inrichting van) het systeem niet of nauwelijks sprake is. De vraag kan dus terecht gesteld worden of de huisarts wel gezien kan worden als de partij die ‘doel en middelen van de gegevensverwerking bepaalt’ (de definitie van een verwerkingsverantwoordelijke uit de AVG). In de kern kiest de huisarts (danwel de organisatie waar de huisarts bij aangesloten is) uiteindelijk echter wel voor het systeem (het middel) als geheel voor een bepaald doel van de huisarts. De leverancier gebruikt de gegevens vervolgens niet voor eigen doeleinden. Om deze reden is het de meest logische oplossing om de huisarts(organisatie) als verwerkingsverantwoordelijke aan te merken en de leverancier als verwerker. Het alternatief is privacyrechtelijk ook niet werkbaar aangezien de leveranciers over het algemeen niet over een eigen verwerkingsgrondslag zullen beschikken.
Dataminimalisatie
Als hetzelfde doel inderdaad redelijkerwijs met minder gegevensuitwisseling bereikt kan worden, is denkbaar dat het systeem niet aan privacy-eisen voldoet, Of het systeem meer data opslaat dan nodig zoals werd gesuggereerd, valt op basis van de publicatie en de beantwoording van de kamervragen niet vast te stellen. Begrijpelijkerwijs laat de Minister dat oordeel aan de AP. Het is echter goed denkbaar dat het technisch niet werkbaar is om relevante gegevens van minder relevante gegevens te scheiden, of dat dit een analyse van gegevens eist die op zichzelf een grotere privacy-impact heeft dan het wekelijks versleuteld opslaan van alle gegevens.
Los van het feit dat de zorgmarkt natuurlijk gediend zou zijn met meer concurrentie en keuzevrijheid op IT-gebied, lijkt de commotie rond het NRC-artikel wat overtrokken.
