Relevante Ontwikkelingen
Cassatieberoep VPHuisartsen tegen VZVZ verworpen
4 december 2017
Deze week heeft de Hoge Raad het cassatieberoep dat VPHuisartsen ingesteld heeft tegen VZVZ, verworpen. VZVZ is de vereniging die verantwoordelijk is voor de implementatie van het Landelijke Schakelpunt (LSP), een systeem dat gebruikt kan worden voor regionale en landelijke uitwisseling van medische gegevens. Bij dit systeem worden medische gegevens opvraagbaar gemaakt voor een groot aantal zorgverleners. In tegenstelling tot bij de Whitebox betreft dit dus niet één of een beperkt aantal op voorhand bekende zorgverleners bij patiëntgegevens kunnen, maar direct alle huisartsen of apothekers in een regio of een stad, naast een groot aantal landelijke ziekenhuizen.
VPHuisartsen maakte bezwaar tegen het LSP omdat zij vinden dat dit systeem het recht op de bescherrming van de persoonlijke levenssfeer van de patiënt onnodig schendt, waar het gaat om het behoud van de vertrouwelijkheid bij de behandeling en de bescherming van zijn medische persoonsgegevens.
Dde uitspraak van de Hoge Raad betekent dat elektronische uitwisseling van patiëntengegevens in de zorg middels het Landelijk Schakelpunt (LSP) op dit moment juridisch aanvaardbaar wordt geacht. VPHuisartsen laat weten dat ze VZVZ zullen blijven monitoren en dat wat hen betreft betere en privacy-vriendelijker systemen mogelijk zijn dan de centrale uitwisseling van gegevens via het LSP.
Whitebox Systems is van mening dat een systeem om medische gegevens uit te wisselen niet alleen aan huidige juridische verplichtingen moet voldoen, maar ook gehoor moet geven aan de groep artsen en patiënten die meer decentrale regie aan de huisarts willen geven. Volgens Whitebox Systems sluit een systeem waarbij de huisarts met patiënt samen bepalen welke zorgaanbieders toegang krijgen veel beter aan bij de wensen van veel huisartsen en patiënten dan het LSP.
Dat het cassatieberoep is verworpen is bij nadere lezing wel frappant. Het Hof stelt namelijk nadrukkelijk dat medische gegevens ook zo kunnen worden gedeeld dat er onderscheid tussen (soorten) gegevens en (categorieën) zorgaanbieders wordt gemaakt, zodat er ook voor gekozen kan worden om alleen toestemming te geven voor spoedeisende gevallen. Volgens het Hof is deze inrichting meer en beter in overeenstemming met de beginselen die aan de Privacyrichtlijn en de Wbp ten grondslag liggen. De Hoge Raad verbindt hier echter geen consequenties aan omdat, zo stellen zij, VZVZ heeft aangegeven dat zij in de toekomst dergelijke, meer specifieke vormen van toestemming mogelijk zullen gaan maken.
De Whitebox voorziet nú al, in tegenstelling tot het LSP, in mogelijkheden om toegang te geven aan (specifieke) behandelaren die bij gegevens moeten kunnen – specifiek de huisartsenpost. Dit voorziet in de behoefte om veilige, decentrale uitwisseling van medische gegevens mogelijk te maken in spoedeisende gevallen, op een manier die meer dan voldoet aan wettelijke verplichtingen omtrent ICT-veiligheid en privacy.
Wat Whitebox Systems betreft is de uitspraak van het hof dan ook een aanmoediging voor het gebruik van alternatieve systemen om patiëntgegevens uit te wisselen, waarbij privacybescherming op meer ambitieuze wijze in het design is verankerd.
Zilveren Kruis (en ZN) laat inspanningsverplichting LSP vallen
3 november 2017
Zilveren Kruis had een formulering in de contracten voor huisartsen opgenomen, die huisartsen verplichtten tot een inspanning om het LSP te gebruiken. Na protest van onder meer VPHuisartsen, heeft Zilveren Kruis een addendum gestuurd waarin zij letterlijk aangeven: "Hiermee heeft [de huisarts] de mogelijkheid om ook een andere invulling te geven aan de elektronische uitwisseling van (medische) informatie van patiënten met andere zorgaanbieders."
Hiermee geeft Zilveren Kruis impliciet aan dat er behalve het LSP ook andere systemen bestaan om met de huisartsenpost te communiceren die ook aan de eisen voldoen, zoals de Whitebox. Dit is een primeur.
Europees Parlement wil end-to-end beveiliging voor alle elektronische communicatie
Een commissie van het Europees Parlement heeft een voorstel gedaan dat ervoor moet zorgen dat er end-to-end encryptie komt voor alle elektronische communicatie. Ook stelt de LIBE commissie dat zogeheten backdoors (achterdeurtjes voor bijvoorbeeld inlichtingendiensten, waarmee gegevens tóch kunnen worden ontsleuteld) moeten worden verboden. Dit blijkt uit een rapport van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE).
Artikel 7 van het EU Chapter of human rights zegt dat EU-burgers een recht hebben op bescherming van hun persoonlijke levenssfeer, zowel binnen hun gezinsleven als thuis. Daartoe behoort ook gevoelige persoonlijke medische informatie.
In het rapport is een amendement voor de ePrivacy-wetgeving opgenomen waarin aanbieders van elektronische communicatiediensten ervoor moeten zorgen dat er voldoende bescherming aanwezig is om ongeautoriseerde toegang tot of aanpassingen van elektronische communicatiegegevens te voorkomen, en dat de vertrouwelijkheid en veiligheid van de transmissie van gegevens wordt gegarandeerd door het gebruik van end-to-end beveiliging.
Whitebox juicht deze ontwikkeling toe en stáát ervoor dat bij elektronische communicatie geen partijen tussen verzender en ontvanger zitten die de gegevens kunnen ontsleutelen - end-to-end beveiliging dus. Dit is in het ontwerp meegenomen.
Vragen over beveiliging elektronische gegevensverwerking in de zorg
Juni 2017
De Eerste Kamer stelt vragen over beveiliging van zorginfrastructuren en over het niet beschikbaar zijn van decentrale alternatieven voor gegevensuitwisseling in het kader van het subsidieprogramma dat gegevensuitwisseling van ziekenhuizen met patiënten moet stimuleren. De vragen zijn hier te vinden . De vraag is of het ministerie afdoende stimulans biedt voor innovatieve oplossingen, zoals de Whitebox er óók een is?
Eerste Kamer neemt motie-Teunissen vóór privacyvriendelijke systemen in de zorg aan
25 oktober 2016
De motie-Teunissen c.s. voor privacyvriendelijke systemen in de zorg, is op 25 oktober 2016 door de Eerste Kamer aangenomen. De motie "verzoekt de regering ervoor zorg te dragen dat toegang tot het medisch dossier niet alleen gecentraliseerd, maar ook decentraal via bij de zorgaanbieder vastgelegde toestemmingen en autorisaties mogelijk zal blijven."
De Whitebox wil vanuit privacy-oogpunt het centraal delen van (toestemmings)gegevens zoveel mogelijk voorkomen; deze gegevens worden alleen decentraal bij de arts opgeslagen. Zo biedt de Whitebox een optie voor patiënten die wel willen dat hun gegevens goed uitgewisseld worden, maar zonder dat de gegevens meteen in een extern centraal systeem terechtkomen.
Systemen die uitgaan van decentrale gegevensuitwisseling zijn in de hedendaagse zorg bepaald geen vanzelfsprekendheid. De motie is daarom een belangrijke steun in de rug voor initiatieven zoals de Whitebox - en daarmee voor iedere arts en patiënt die de centrale verwerking van gevoelige patiëntgegevens om privacyredenen wil vermijden zonder direct in het papieren tijdperk te belanden.
Een andere relevante motie die unaniem is aangenomen, is de motie-Bredenoord c.s. Deze motie "verzoekt de regering dataprotectie-by-design verder uit te werken als het uitgangspunt voor de elektronische verwerking van medische gegevens", en stelt daarbij ook nog eens dat decentrale systemen de privacy van de patiënt het beste waarborgen.
Deze moties ondersteunen systemen zoals de Whitebox, die decentrale, privacy-by-design uitwisseling van gegevens verzorgt.
Relevante ontwikkelingen in de Eerste Kamer
21 oktober 2016.
Op 4 oktober is de wet cliëntenrechten zorg (33.509) aangenomen in de Eerste Kamer. Er zijn een aantal interessante moties ingediend. Deze pleiten voor privacy-by-design en decentrale communicatie in de zorg.
De wet cliëntenrechten in de zorg beoogt een aantal rechten van de patiënt beter te verankeren. Whitebox Systems-oprichter Guido van 't Noordende heeft herhaaldelijk (en overigens niet als enige) beargumenteerd dat deze nieuwe niet nodig is, gegeven de bestaande, krachtige, en privacybeschermende wet op de geneeskundige behandelovereenkomst (Wgbo) en Wbp. Sterker nog, de wet kan schijnveiligheid bieden, gegevens véél te gemakkelijk grootschalig deelbaar maken, en een te grote verantwoordelijkheid en aansprakelijkheid bij de burger/patiënt neerleggen. (Lees ook "Schippers zet privacy en gezondheid op het spel" , de Volkskrant, 23 september 2016). De wet is er nu echter, dus we moeten het ermee doen.
Digitaal inzage- en afschriftrecht
Naast regels rond toezicht, toestemming en preventie van misbruik, regelt de wet dat patiënten een digitaal afschrift of inzage in hun medische gegevens kunnen verkrijgen. Dit kan, mits voorzien van afdoende waarborgen, een goed idee zijn. Het maakt mensen echter ook kwetsbaar. Zo meldde de landelijke huisartsvereniging LHV een aantal weken geleden nog dat mensen steeds vaker onder druk worden gezet om hun gegevens af te staan. Dit wordt straks veel makkelijker gemaakt doordat gegevens in één klap, zonder dat de huisarts of een andere beroepsgeheimhouder hier tussen zit, direct kunnen worden opgehaald via een internetportaal.
Te verwachten valt dat veel systemen die dit 'recht' van de patiënt zullen implementeren, straks veel te gemakkelijk zullen omgaan met deze mogelijkheid. De Whitebox wil mogelijkheden voor patiënteninzage faciliteren, maar dan wel zo dat arts en patiënt aan de bron kunnen controleren welke gegevens dan digitaal opgevraagd kunnen worden - dus vóórdat deze opgevraagd worden. Dit beschermt tegen misbruik later, op momenten dat het voor patiënten lastiger kan zijn om 'nee' te zeggen tegen verzoeken om inzage in hun gegevens.
Privacy by design
De motie-Bredenoord 33.509 R roept op tot "databescherming by design". Deze motie lijkt enigzins op een motie die enkele jaren geleden door Hans Franken (CDA) is ingediend, op 17 mei 2011. Die motie riep op tot het toepassen van privacy by design in de zorg. Helaas is hier sindsdien weinig mee gedaan.
Interessant aan de nieuwe motie Bredenoord (D66) is dat zij expliciet aangeeft dat de ondertekenaars (de volledige Eerste Kamer) van oordeel zijn dat decentrale systemen de privacy van de patiënt het beste waarborgen. Het is aan de Tweede Kamer om hier iets mee te doen de komende jaren.
De motie-Teunissen c.s. (PvdD), ten slotte, "verzoekt de regering ervoor zorg te dragen dat toegang tot het medisch dossier niet alleen gecentraliseerd, maar ook decentraal via bij de arts vastgelegde toestemmingen en autorisaties mogelijk zal blijven." Dit is precies wat de Whitebox mogelijk maakt. De landelijke huisartsvereniging LHV, KNMG en VPHuisartsen steunen deze motie.
Al met al zien we in de handelingen van de Eerste Kamer veel draagvlak voor decentrale privacybeschermende systemen in de zorg, waar de Whitebox een voorbeeld van is.