Kan een patiëntendossier veilig zijn?

Amerika kent uw ziektes

De medische gegevens van alle Nederlandse burgers moeten dit jaar worden vastgelegd in het landelijke schakelpunt (LSP), ondanks niet-aflatende kritiek op privacyrisico’s. En of de NSA de data opeist kan niemand weten: dat is geheim.

Medium trustedcloud grayscale

In een folder met een foto van een breed lachende vrouw met vlammend rood haar worden alle burgers uitgenodigd toestemming te geven om hun medische gegevens beschikbaar te stellen aan het landelijk schakelpunt (lsp), voorheen het elektronisch patiëntendossier (epd). ‘Een ziekte, een blessure of een ongeval komt vaak onverwacht en als je daardoor terechtkomt bij een onbekende arts, een andere apotheek of de huisartsenpost is het belangrijk dat die zorgverlener meteen de actuele medische gegevens kan inzien. Zo krijgt u de juiste zorg.’ En doet u dat niet, waarschuwt de folder, dan is er een risico van fouten.

Vanaf 1 januari wordt Nederland door middel van een wervingscampagne gepusht om de ‘aorta’ van het lsp te vullen met data. Over de veiligheid ervan staat vermeld dat huisartsen en apothekers alleen de medische gegevens mogen delen met andere zorgverleners, en andere zorgverleners de gegevens alleen mogen opvragen als dat nodig is voor de behandeling. Het uitwisselen valt onder de Wet bescherming persoonsgegeven (Wbp) en daaraan dienen de gebruikers zich te houden.

Inmiddels hebben twee miljoen mensen hieraan gehoor gegeven. Dat is veel minder dan gepland, maar naar verwachting zal het aantal dit jaar gestaag groeien. Deze mensen geloven kennelijk in de veiligheid van het systeem. Wie zijn persoonlijke data afgeeft vertrouwt erop dat zorgverleners – huisartsen en apothekers en straks ook medisch specialisten – geen fouten maken bij de invulling van de data en bovendien zorgvuldig omgaan met de zogenaamde uzi-pas die alleen big-geregistreerde artsen verkrijgen. Wie zijn data afgeeft vertrouwt er bovendien op dat het systeem niet wordt gehackt door bijvoorbeeld bedrijven. Of dat de nsa er niet in geïnteresseerd is om voor specifieke doeleinden een kijkje te nemen in de schatkamer van gegevens over iemands meest persoonlijke bezit: gezondheid. Of iemand in therapie is geweest wegens een depressie, een abortus heeft moeten ondergaan, ongewenst kinderloos is, lijdt aan epileptische aanvallen, geteisterd wordt door clusterhoofdpijn, last heeft van eetstoornissen, kanker heeft gehad – kortom data die voor medici niet voor niets vallen onder het beroepsgeheim waarvoor zij de eed van Hippocrates hebben afgelegd. De bezweringen dat onbevoegden geen toegang kunnen krijgen tot de data steken echter schril af tegen de niet-aflatende kritiek op de privacyrisico’s.

Het elektronisch patiëntendossier is vanaf de invoering in 2008 omstreden. Toenmalig vws-minister Ab Klink begon ermee zonder de toestemming van patiënten goed te regelen. Mensen konden slechts actief bezwaar aantekenen, anders zouden de gegevens gewoon opgenomen worden. Veel erger was dat de veiligheid van het systeem rammelde.Toch nam de Tweede Kamer het epd vervolgens aan, maar de Eerste Kamer verwees het in 2011 naar de prullenbak: onveilig. Daarop trok de overheid zich terug, maar ze wilde koste wat het kost dat het toch doorging. Er was immers al veel in geïnvesteerd, zo’n 280 miljoen euro. Er lag een bijna dogmatische drang aan ten grondslag om een centrale ontsluiting van gegevens te creëren. De zorg zou hierdoor efficiënter worden – het toverwoord om de zorgkosten te beteugelen. Het dossier kreeg een doorstart onder een andere naam – landelijk schakelpunt – en kwam in handen van een andere eigenaar: een in allerijl opgericht samenwerkingsverband van de patiëntenfederatie, de vier grote zorgverzekeraars, de koepels van huisartsen, huisartsenposten, apotheken en ziekenhuizen, dat opereert onder de naam Vereniging van Zorgaanbieders voor Zorgcommunicatie (vzvz). De vereniging nam de taak op zich om de uitwisseling van gegevens te beheren, met als doel ‘het systeem te behouden en uit te breiden’. Voor de technologische infrastructuur was op dat moment al het Amerikaanse ict-bedrijf csc verantwoordelijk. csc is wereldwijd marktleider op het gebied van cloud-infrastructuur en had in 2005 na een openbare aanbesteding de opdracht gekregen om het informatiesysteem voor de Nederlandse gezondheidszorg te bouwen en uit te voeren. vzvz bleef met csc in zee gaan. En hier wringt de schoen pas echt.

In 2012 kwam uit onderzoek van het Instituut voor Informatierecht van de Universiteit van Amsterdam naar voren dat het risico bestaat dat het Amerikaanse bedrijf op grond van de Patriot Act of fisa Amendment Act, een verzameling anti-terreurwetten met verregaande bevoegdheden die is ingevoerd een maand na 9/11, gegevens aan de overheid van de Verenigde Staten moet doorspelen. Het rapport beschrijft hoe de Patriot Act de opsporingsdiensten mogelijkheden geeft om met name cloudgegevens van niet-Amerikanen te doorzoeken. Zolang zij gegevens bij een bedrijf hebben opgeslagen met een link met Amerika is dat mogelijk. Bedrijven worden achter de schermen onder druk gezet om gegevens af te staan, en ze mogen de gebruikers niet vertellen of informatie is opgevraagd. Het is zelfs zwaar strafbaar als iemand een fisa-request laat uitlekken. Hoe vaak dit gebeurt, is volgens de onderzoekers onbekend.

‘Je kunt er wel vanuit gaan dat wanneer het mogelijk is om gegevens af te luisteren dit gebeurt’

Deze brisante conclusies leidden weliswaar tot ophef maar minister Schippers nam genoegen met een slappe verklaring van csc: zij hielden zich gewoon aan de Nederlandse privacywet. Bovendien benadrukte Schippers in een brief aan het College Bescherming Persoonsgegevens (cbp), de toezichthouder, dat een eventuele overtreding van de Nederlandse privacywetgeving zou worden aangemerkt als een wanprestatie en reden zou zijn voor ontbinding van het contract met csc.

Schippers kon toen misschien nog worden verweten dat ze te goed van vertrouwen was, maar na de onthullingen van Edward Snowden is dat niet meer mogelijk. We weten nu zeker dat privacywetgeving geen puur nationale aangelegenheid is en kan worden overruled door de Amerikaanse wetgeving. Onder invloed van de aanhoudende onthullingen kwam dit vraagstuk eind vorig jaar opnieuw in het nieuws: het is theoretisch mogelijk dat de Amerikaanse overheid het elektronisch patiëntendossier inziet.

De directeur van vzvz, Edwin Velzel, kon het allemaal maar nauwelijks geloven. Hij achtte het ondenkbaar dat csc onder de Patriot Act viel. Maar áls csc geen verklaring kon leveren, dan zou hij de samenwerking met csc beëindigen. En hij begon het Amsterdamse onderzoek af te zwakken. ‘De Patriot Act wordt te groot uitgelegd. Er is in de bijna tien jaar dat de wet bestaat nauwelijks een beroep op gedaan.’

Minister Schippers verklaarde zich vervolgens in een nota naar de Kamer concreter dan ze een half jaar daarvoor was: zorginstellingen die voor het opzetten of beheren van een elektronisch patiëntendossier in zee gaan met een bedrijf dat is geworteld in de Verenigde Staten moeten zich volgens haar ‘bewust zijn van de risico’s’. Ze zei omineus dat ‘er goede afspraken gemaakt moeten worden over de gegevens van Nederlandse patiënten’.

Wat is daar nu van terechtgekomen? De relatie tussen vzvz en csc is niet beëindigd – moet je daaruit concluderen dat het Amerikaanse bedrijf niet onder de Patriot Act valt? Bij navraag verwijzen csc en vzvz naar elkaar, en zij baseren zich formeel op het contract waarin is vastgelegd dat zij zich houden aan de naleving van de Nederlandse privacywetgeving. Een woordvoeder van csc zegt verder dat hij ‘geen uitspraken doet over zaken die we leveren aan opdrachtgevers, zoals vzvz, en zich niet uitspreekt over juridische aangelegenheden’.

De minister zei dat ‘er goede afspraken gemaakt moeten worden over de gegevens van Nederlandse patiënten’

Alf Zwilling van vzvzherhaalt de uitspraak van zijn directeur. ‘Overtreding van de Wbp wordt in het contract aangemerkt als wanprestatie en is reden voor ontbinding van het contract en schadeloosstelling. De vzvz is van mening dat hiermee de juridische aspecten zijn gewaarborgd.’ Maar je weet toch niet of er een overtreding plaatsvindt, vanwege de geheimhouding? Zwilling geeft geen antwoord. Wel zegt hij dat de discussie over álle persoonlijke data in relatie tot Amerika op dit moment op Europees niveau besproken wordt. Wat daar uitkomt zal bepalend worden. Het is volgens hem een juridisch en ethisch probleem – dat nu wordt vertaald naar de politiek. Wat je dus ziet is dat de nationale verantwoordelijkheid zich verplaatst naar Brussel: daar wordt momenteel gepraat over welke houding Europa moet aannemen tegenover Amerika, en daarop baseert de minister – en vervolgens vzvz – haar standpunt.

Hebben zij boter op hun hoofd? Kijkt de politiek liever weg?

Guido van ’t Noordende, die als privacy- en beveiligingsonderzoeker de beveiliging van het lsp heeft onderzocht, constateert dat de afluisterpraktijken van de Amerikaanse spionagedienst eerder leiden tot ongeloof dan tot het treffen van beschermende maatregelen. Hij stelt dat het lsp technisch niet waterdicht is. ‘Dat zou dan het eerste systeem ter wereld zijn. Bovendien zijn zelfs de technische maatregelen om het systeem basaal tegen afluisteren te beveiligen niet genomen. Bijvoorbeeld, het van verzender tot ontvanger versleutelen van berichten is zeker mogelijk, maar is niet toegepast. Los van de vraag of de VS nu wel of niet juridisch bevoegd zijn om in de gegevens te kijken, zouden uitwisselingssystemen natuurlijk zo ontworpen moeten zijn dat medische gegevens die uitgewisseld worden helemaal nooit ingezien kunnen worden. Dit is niet het geval bij het lsp. Je kunt er wel vanuit gaan dat wanneer het mogelijk is om gegevens af te luisteren dit gebeurt. Er wordt te veel op het systeem vertrouwd. Snowden heeft dat bewezen.’

In een democratische samenleving heeft de overheid juist de verantwoordelijkheid om burgers te beschermen, zegt hij. ‘Waarom kiezen overheid en bedrijven niet voor systemen waarin afluisteren niet kan plaatsvinden? De overheid kan normen stellen, zoals end-to-end beveiliging: alleen zender en ontvanger hebben een sleutel om gegevens te ontcijferen. Ze moeten kiezen voor systemen die niet afgeluisterd kunnen worden.’

Hij begrijpt ook niet waarom de overheid, nadat het epd door de Eerste Kamer was afgewezen, niet heeft gekozen voor uitbreiding van de reeds bestaande regionale systemen, zoals de Senaat voorstelde. ‘Die waren ook regionaal bezit, er was geen centraal schakelpunt en er waren minder toegangspunten. Er zaten harde grenzen tussen de systemen. En als je dan een keer buiten regio’s moet uitwisselen, dan kun je gegevens actief versturen, bijvoorbeeld bij een doorverwijzing. Voor noodgegevens kun je een apart systeem inrichten. In het algemeen geldt: hoe groter een informatiesysteem, hoe moeilijker te beheersen. Dat het lsp onder de Patriot Act valt maakt het extra beangstigend.’

Toch hebben we Snowden niet nodig om te beseffen wat de risico’s van het lsp zijn. Er is vanaf het begin kritiek geuit, desondanks werd het systeem ingevoerd en wordt het systeem nu gevuld met data. Het cbp houdt ondertussen toezicht. Vorige week constateerde de toezichthouder nog dat alle, steekproefsgewijs onderzochte apothekers op verschillende punten tekortschoten. Zo bleken bijvoorbeeld vier apothekers in strijd met hun medisch beroepsgeheim patiëntgegevens te hebben verstrekt aan een fabrikant van incontinentiemateriaal. Er waren ook overtredingen met de beveiliging van de toegang.

De apothekers hebben beloofd maatregelen te treffen.

Beterschap beloven, het is altijd achteraf. Gezond wantrouwen werkt preventief.