Een waterdicht systeem dat lekt

Huisartsen en apothekers krijgen een bonus van zorgverzekeraars voor elke patiënt die zijn medische gegevens gaat delen via het landelijk schakelpunt (lsp), voorheen het elektronisch patiëntendossier (epd). Dat is tegen de afspraken die vorig jaar zijn afgedwongen door de Tweede Kamer. Het illustreert andermaal de obsessieve drang tot het hamsteren van data van burgers.

Een huisarts uit Almelo is kritisch hierover in NRC Handelsblad. ‘Hier worden met geld patiënten gelokt. Dat staat haaks op de vrije keus die mensen moeten hebben. Een dergelijke agressieve strategie om een systeem door te drukken heb ik in de zorg niet eerder meegemaakt.’ De directeur van de organisatie die het systeem beheert, de Vereniging van Zorgaanbieders voor Zorgcommunicatie (vzvz), ontkende: het is oud nieuws. Maar wat is die uitspraak eigenlijk waard?

Zorgverzekeraars, die het lsp financieren, doen er alles aan om het systeem te vullen met data. Via een informatiefolder worden burgers verleid om mee te werken: wie geen toestemming verleent om zijn medische gegevens af te staan loopt het risico op fouten. Dit argument speelt in op angst. Doe je niet mee, dan roep je onheil over jezelf af.

De technologische infrastructuur van het LSP ligt in handen van het Amerikaanse ICT-bedrijf CSC

Duidelijk is dat het lsp in werking móet treden, ongeacht de kritiek op de risico’s van misbruik. Geloven degenen die toestemming verlenen werkelijk in de bezwerende woorden dat ‘het systeem waterdicht is’? Of kan misbruik hen niks schelen? De geruststellende mantra ‘het kan geen kwaad, want ik heb toch niks te verbergen’ is namelijk een illusie.

Vorige week meldde de Volkskrant dat criminelen de digitale identiteit (DigiD) van 150 inwoners in Amsterdam hebben gehackt. Ze kregen daarmee toegang tot de site van de overheid en nadat ze de rekeningnummers hadden gewijzigd gingen toeslagen en uitkeringen linea recta naar hun eigen rekening. Ook het lsp is beveiligd met DigiD. Weliswaar met een sms-controle, maar als die gekraakt wordt liggen de gegevens van patiënten bloot.

Uit een steekproef bleek onlangs nog dat apothekers de medische gegevens van klanten hebben geleverd aan farmaceutische bedrijven. Een ander voorbeeld. De ov-chipkaart werd in 2008 ingevoerd omdat het handig is voor reizigers. Justitie en politie blijken ondertussen de reisgegevens regelmatig – enkele malen per week – te gebruiken voor onderzoeken. Het mag van de wet, maar het strookt niet met de informatie waarmee het systeem indertijd aan de man is gebracht. Wat zijn beloftes over de veiligheid en de toepassing van datasystemen dan waard?

En dan hebben we het nog niet eens over de nsa, die, zoals bekend werd door de onthullingen van Snowden, meekoekeloert met reisgegevens, betalingsverkeer en communicatiestromen van Europese burgers. Natuurlijk is ook de medische doopceel interessant. Daar komt nog iets bij. De nsa mag volgens de Patriot Act zonder verantwoording af te leggen gericht gegevens opvragen uit datasystemen die worden beheerd door Amerikaanse bedrijven. Voor het lsp is dat mogelijk, want de technologische infrastructuur ligt in handen van het Amerikaanse ict-bedrijf csc.

Ja, dat was even schrikken voor vws-minister Schippers. Ze onderkende opeens wél de risico’s. Ze wijst nu naar Brussel – daar wordt het Europese standpunt over databescherming jegens de nsa bepaald. Zo wordt de verantwoordelijkheid voor de beveiliging amorf. Ondertussen moeten burgers maar blijven geloven in een waterdicht datasysteem en steeds weer nieuwe beloftes. Dat is net als vertrouwen op God – het is niet rationeel.