In de zorgsector wordt momenteel een nieuw, landelijk systeem voor het delen van medische gegevens ingevoerd: Mitz. Uit actueel onderzoek van Pointer blijkt dat dit systeem grootschalige inzage in patiëntendossiers mogelijk maakt, in strijd met het recht op privacy en het medisch beroepsgeheim. Een manier om dit te blokkeren is er niet.
De kern van het probleem is hetzelfde als met het Landelijk EPD (Landelijk Schakelpunt, LSP) uit 2011. Dat komt doordat het idee achter het ontwerp hetzelfde is: medische gegevens worden op zo’n manier beschikbaar gesteld dat deze eenvoudig en direct opvraagbaar zijn wanneer een arts dat nodig vindt. Dat klinkt goed, maar het is onveilig. Dit is precies de reden waarom het EPD is afgewezen door de Eerste kamer in 2011.
Met gecentraliseerde systemen zoals het LSP ontstaat direct de vraag “Wie krijgt er wanneer toegang tot jouw gegevens?” Mitz is een soort voorzetscherm, waarmee je toestemming kunt geven. Uit het onderzoek van Pointer blijkt nu dat iedere zorgverlener, ook zonder dat je daar bij bent, eenvoudig je toestemming kan aanpassen. Hiermee zijn effectief de gegevens van iedereen opvraagbaar, net als in het Landelijk EPD. Een zorgverlener, hackerboef, Chinees of Rus hoeft maar 1 vinkje (op één plek) te zetten om toegang te krijgen tot je gegevens.
Het medisch beroepsgeheim zegt dat het anders moet: je overlegt in de spreekkamer met de arts over je zorg. Op basis van dat overleg stelt je arts gegevens gericht beschikbaar, dus alleen aan zorgverleners die betrokken zijn bij je behandeling. Systemen die op deze manier werken zorgen ervoor dat alleen het deel van je medisch dossier dat voor je huidige zorgtraject relevant is als het ware met je meereist.
Mitz en het LSP zijn ontwikkeld door zorgpartijen en gefinancierd door de zorgverzekeraars. Zij vinden het belangrijk dat gegevens overal beschikbaar zijn. Bovendien willen zij invloed houden op de ontwikkeling van systemen voor de uitwisseling van gegevens. Een systeem waarbij de controle over gegevensuitwisseling écht bij de arts en de patiënt ligt, vinden zij daarom lastig.
Alternatieven worden niet of nauwelijks opgepakt. Het kost tijd om dit te ontwikkelen en de zorgkoepels hebben met het Ministerie van VWS afgesproken dat zij vooral snel door moeten. Daarbij hebben deze partijen ook nog afgesproken dat dit zoveel mogelijk op basis van bestaande technologieën moet gebeuren, zoals het LSP.
Dit is de context waarbinnen Mitz is ontstaan. De prioriteit ligt bij toegang tot gegevens en de partijen die de “oplossingen” bouwen zijn dezelfde als die het LSP hebben ontwikkeld. Dit zijn ook de partijen die binnen het Ministerie van VWS de “governance” voor de digitale uitwisseling van medische gegevens vormen.
Hierdoor blijft het probleem voortbestaan.
Precies dit probleem in de governance (de aansturing), agendeerde Privacy First eerder dit jaar bij de Autoriteit Persoonsgegevens (AP). Ondanks onze uitgebreide inbreng (zie hier en hier), eigen onderzoek van de AP en meerdere gesprekken tussen Privacy First en de AP over dit onderwerp, vindt de AP het vooralsnog niet nodig hierop te acteren.
Ons inziens is dit een denkfout. Als het om de bescherming van fundamentele burgerrechten zoals privacy gaat, begint het bij governance: de sturing over het ontwerp van een systeem. Het is niet voor niets dat de AVG privacy by design verplicht: juist in de ontwerpfase van het systeem – en bij het bepalen van de uitgangspunten – worden beslissingen genomen met een grote impact op burgerrechten. Daarom is bij het ontwerp van systemen een gebalanceerde afweging nodig waarbij burgerrechten zoals privacy direct worden meegenomen.
Zolang de governance niet verandert en zeggenschap van burgers (en hun privacyvertegenwoordigers) niet wordt vergroot, blijft het probleem bestaan.
