achtergrond

“Lancering privacyvriendelijk systeem toont juridisch falen LSP”

Alleen al het feit dat er nu een privacyvriendelijk alternatief is voor het LSP, het voormalig EPD, toont aan dat dit systeem voor de uitwisseling van medische gegevens onrechtmatig is. “Er is nu onomstotelijk komen vast te staan dat digitale zorgcommunicatie mogelijk is met instandhouding van het beroepsgeheim, zonder inbreuk te maken op privacy van burgers”, stelt Platformdeelnemer KDVP. De roergangers achter het LSP sturen echter aan op een monopoliepositie.

Vorige maand lanceerden de Huisartsenkring Amsterdam-Almere en de Universiteit van Amsterdam een privacyvriendelijk alternatief voor het LSP, het voormalig landelijk EPD (Elektronisch Patiëntendossier). Verschillende publieke en medische nieuwsmedia besteedden aandacht aan de lancering van de zogeheten Whitebox.

Zowel de Volkskrant als de NOS melden dat patiënten sinds kort voor een “veiliger” patiëntendossier kunnen kiezen, daarbij verwijzend naar het beruchte EPD. Die vergelijking komt niet uit de lucht vallen. Voor de ontwikkeling van het systeem werkten de UvA en de huisartsen gedurende lange tijd nauw samen, om een systeem te ontwikkelen dat de fundamentele tekortkomingen van het EPD moet oplossen.

Ontwerper van het systeem Guido van ’t Noordende houdt zich al langer bezig met die tekortkomingen. Als informaticus en beveiligingsonderzoeker aan de UvA was hij uitgenodigd op de expertmeetings die de Eerste Kamer hield in 2011. De wet voor invoering van het EPD werd mede naar aanleiding van de inbreng van deze hoorzittingen unaniem verworpen door de Eerste Kamer, omdat nut en noodzaak van het systeem niet konden worden aangetoond. De opzet en schaal van het systeem hielden bovendien onacceptabele risico’s in voor de medische privacy en het beroepsgeheim van de arts.

Onder de afgewezen EPD-wet zouden medische gegevens landelijk raadpleegbaar worden, zonder dat patiënt of arts controle hadden wie voor welk doel deze gegevens opvroeg. Burgers konden er alleen voor kiezen om hun gegevens niet te delen (een zogeheten opt-out), wat rechtstreeks indruist tegen de wetgeving rondom het medisch beroepsgeheim. Deze schrijft voor dat er geïnformeerde, expliciete toestemming voorafgaand nodig is voor het delen van medische gegevens met derden.

Er kwam na de afwijzing in de Senaat een private doorstart van het EPD onder de naam Landelijk Schakelpunt (LSP). Het verschil met het EPD is dat burgers nu wel, eenmalig, voorafgaand toestemming dienen te geven voor het beschikbaar stellen van hun gegevens, een zogeheten opt-in. Na deze eenmalige toestemming kunnen echter nog steeds op het LSP aangesloten zorgverleners toegang krijgen tot opengestelde informatie, zonder dat de patiënt of diens arts daar controle over heeft. Volgens privacy-organisaties, maar ook  ICT’ers en zorgverleners is daarmee het medisch beroepsgeheim en de patiëntprivacy niet gewaarborgd.

Disruptief

Op de site van de Whitebox staat niet zonder reden een uitgebreide vergelijking met het LSP. Wellicht was er niet eens sprake geweest van de Whitebox wanneer het EPD nooit in zwang was geraakt. De meest wezenlijke kritiekpunten op het EPD komen onmiskenbaar terug in het ontwerp van de Whitebox.

Van ’t Noordende: “De Whitebox begint met de vraag: ‘wat willen we met wie uitwisselen?’ Die vraag kan het best door de patiënt zelf beantwoord worden, in overleg met zijn zorgverlener. Zo werkt de bestaande wetgeving ook, maar de wetgeving rondom het EPD zou dat drastisch veranderen. De individuele risico-afweging die de patiënt voorheen zelf met zijn arts maakte, werd bedreigd. Niet langer de zorgverlener en zijn patiënt, maar het systeem [het LSP, red.] regelt die toegang.”

En dat is zowel juridisch als ethisch onwenselijk volgens Van ’t Noordende. “Je kunt mensen niet verplichten hun medische gegevens te delen met meer personen dan waar ze zich comfortabel bij voelen. Daar was ik het in 2011 niet mee eens, en daar ben ik het nog steeds niet mee eens. Tijdens de expertmeetings in de Eerste Kamer werd duidelijk dat met de invoering van het EPD het oude vertrouwelijkheidsprincipe in de zorg werd losgelaten. Het systeem grijpt heel disruptief in op de manier waarop in de zorg wordt gecommuniceerd, en dat is niet anders bij het LSP.”

Het medisch beroepsgeheim regelt dat de arts medische gegevens vertrouwelijk houdt, en ervoor verantwoordelijk is om deze uitsluitend te delen met andere zorgverleners als dat nodig is voor een zorgbehandeling. De Whitebox maakt het, in tegenstelling tot het LSP, mogelijk om dat fijnmazig te regelen. Van ’t Noordende: “En dat staat dicht bij het klassiek medisch beroepsgeheim en de praktijk van zorgcommunicatie zoals die dagelijks plaatsvindt: alleen gegevens delen als dat nodig is.”

Toen het EPD sneuvelde in de Eerste Kamer, waren er volgens Van ’t Noordende al legio aankopingspunten voor het uitwerken van een beter, minder complex en veiliger systeem voor digitale zorgcommunicatie. Maar ondanks de kritiek vanuit de Eerste Kamer is er niets gedaan met suggesties om een veiliger systeem in te voeren. Ook Van ’t Noordende zelf gaf na de unanieme afwijzing in de Eerste Kamer verschillende mogelijkheden aan voor een effectiever, veiliger systeem voor informatieuitwisseling in de zorg.

“Een heroriëntatie was zeker mogelijk, maar in de periode na de afwijzing van het EPD zat iedereen nog vast in dat beeld dat het de toekomst is om gegevens breed te delen, en dat privacy daarbij in de weg stond. Niemand heeft de slag gemaakt om een oplossing voor die schijnbare tegensteling te bedenken. En dat is zeer jammer in mijn ogen.”

LSP juridisch onhoudbaar

Volgens Ab van Eldijk, voorzitter van de Stichting KDVP vormt de introductie van Whitebox  het onweerlegbare  bewijs dat het huidige LSP-systeem juridisch onhoudbaar is. “Met de lancering van de Whitebox is onomstotelijk komen vast te staan dat digitale zorgcommunicatie mogelijk is met instandhouding van het beroepsgeheim, zonder inbreuk te maken op privacy van burgers.”

En dat is volgens Van Eldijk geen luxe-product, maar een fundamentele eis bij het ontwikkelen van systemen die privé-gegevens uitwisselen van burgers, in dit geval patiënten. Hij licht toe: “Privacyrecht schrijft voor dat als er een manier is om een doel te bereiken zonder daarbij inbreuk te maken op de privacy van burgers, hiervoor gekozen moet worden. Of het nu gaat om overheden of private organisaties, bij de introductie van een informatiesysteem dat inbreuk maakt op het medisch beroepsgeheim en de privacy van burgers moet overeenkomstig het subsidiariteitsbeginsel worden vastgesteld of een systeem dat minder of geen inbreuk maakt niet mogelijk is.”

Volgens Van Eldijk, die middels verschillende rechtszaken in de afgelopen jaren opkwam voor het recht op patiëntprivacy en behoud van het medisch beroepsgeheim, verzaken de verantwoordelijke partijen – VWS,  zorgverzekeraars en de zorgverlenerskoepels, waarvan de laatste twee verantwoordelijk zijn voor de private doorstart van het EPD – hun wettelijke plicht. “Geen van deze partijen heeft onderzocht of de digitale uitwisseling van medische persoonsgegevens in de zorg ook mogelijk is op een manier die geen of minder inbreuk maakt op de patiëntprivacy en het medisch beroepsgeheim, zelfs niet na de kritische reacties van een expertcommissie en de unanieme verwerping van het EPD door de Eerste Kamer.”

Geen doel, geen noodzaak

Dat het EPD-systeem haar doel niet op de meest privacyvriendelijke wijze kon bereiken, heeft wellicht evenveel te maken met het gebrek aan een helder omschreven doel, zo laten studies naar de besluitvorming rondom het systeem zien. Het is tijdens de besluitvorming die voorafging aan de invoering van het EPD niet duidelijk geweest waar het systeem precies voor moest gaan dienen, laat staan hoe dit op de meest privacyvriendelijke manier kon worden bereikt.

De Wetenschappelijke Raad voor Regeringsbeleid (WRR) constateerde over de politieke besluitvorming die naar het EPD leidde (link): “In de beginjaren lijkt er een soort algemene consensus over te bestaan dat er moet worden gewerkt aan landelijke informatievoorziening in de zorg.” (..) “Er wordt gesproken over ‘betere kwaliteit van zorg’ en ‘de positie van dé patiënt en dé arts’. Door dergelijke abstracties is al lang niet meer duidelijk voor wie dit grote project nu eigenlijk is bedoeld en wat dat nu concreet voor het leven en het werk van de betrokkenen betekent.” Pas naargelang het project vorderde, verschenen er meer verwijzingen naar onderzoeksrapporten die een noodzaak voor een landelijk zorgcommunicatiesysteem moesten aantonen, schrijft de WRR.

De Commissie-Elias, publiceerde eind 2014 een onderzoek naar mislukte ICT-projecten van de overheid, en trekt dezelfde conclusie over de ambities van het EPD. Bij het project bleek dat “fundamentele vragen over de visie en strategie vanaf de start onvoldoende zijn beantwoord, zoals de vraag ‘wat willen we bereiken op de langere termijn?’ Bovendien hadden de partijen die bij het EPD betrokken waren geen gedeeld antwoord op vragen als: ‘Waarom hebben we een EPD nodig?’, ‘Welke gegevens moeten in een EPD worden opgenomen?’ en ‘Hoe moet het uiteindelijk allemaal gaan werken?’. Iedereen had een ander beeld en andere verwachtingen van het EPD en dat is gedurende het hele project zo gebleven.”

In de kiem gesmoord

De Eerste Kamer wees de wet die het EPD moest mogelijk maken in april 2011 af, en droeg de minister met een motie op om te stoppen met het EPD. Dat betekende geen overheidsbemoeienis en geen financiële steun meer aan het systeem. Volgens de Senaat moest worden onderzocht hoe kleinschaligere regionale uitwisseling kon worden bevorderd, omdat daar de beste verbeteropties lagen, gezien de risico’s van een grootschalig landelijk EPD. In plaats daarvan werd het EPD-systeem echter privaat doorgezet onder de naam Landelijk Schakel Punt (LSP), waarmee de mogelijkheid voor een alternatief systeem in feite in de kiem werd gesmoord.

In de software van het EPD-systeem werden regionale schotten ingebouwd waarbij voor sommige zorgverleners toegang regionaal beperkt werd en voor andere landelijke uitwisseling mogelijk bleef, maar die zijn op voorhand al als tijdelijk aangemerkt door de roerganger achter het private EPD, het daarvoor opgerichte Vereniging van Zorgaanbieders Voor Zorgcommunicatie (VZVZ). Het werd opgericht door de grote ziekenhuizen-, apothekers- en huisartsenkoepels en wordt gefinancierd door zorgverzekeraars, die nog steeds vastberaden zijn om het EPD-systeem de landelijke norm te maken.

De race om patiëntendossiers

Sinds op 1 januari 2013 het private EPD landelijk wordt uitgerold, spant VZVZ zich in om zoveel mogelijk patiënten toestemming te laten geven om hun medische gegevens te delen via het systeem. Voorlichtingsfolders in de praktijk, aansluitingscontracten met twijfelachtige vergoedingsregelingen, pogingen van zorgverzekeraars om deelname door artsen contractueel te verplichten en aansluitingscampagnes die niet zelden ronduit manipulatieve retoriek hanteren (van “Als u zich niet aanmeldt, zijn uw medische gegevens niet meer raadpleegbaar” tot “Geef toestemming, het kan je leven redden”) moeten burgers tot toestemming ‘verleiden’ en zorgverleners aanjagen om zoveel mogelijk toestemmingen binnen te halen. Ook de NPCF, al sinds het LSP nog EPD heette een trouwe voorstander, deed in de Telegraaf een duit in het zakje, waar voorzitter Wilna Wind lezers opriep om hun toestemming te verlenen.

Het aantal patiënten dat zich sinds de lancering van het private EPD heeft aangemeld, blijft echter ruim achter bij de streefcijfers. In haar businessplan (PDF, p.9) uit 2012 stelt VZVZ dat in 2014 70 procent van de huisartsendossiers aangemeld moet zijn. Dat is bijna een jaar na die deadline in geen van de 44 regio’s het geval. Slechts een handvol komt boven de 50 procent uit; het merendeel blijft steken tussen 0 en 30 procent. (link)

Dat het niet vlot met het aantal toestemmingen, ligt misschien wel net zo sterk aan de ontbrekende animo onder patiënten als de weerstand die er onder huisartsen heerst tegen het LSP. Niet alleen spande huisartsenvereniging VPHuisartsen, dat zich onder meer op dit dossier als tegenhanger van de grotere Landelijke Huisartsenvereniging profileert, een bodemprocedure aan tegen de uitrol van het private LSP. Ook ruim honderd huisartsen in de regio Noord-Limburg gaven eind oktober aan te stoppen met het verzamelen van toestemmingen voor het LSP, en in plaats daarvan hun eigen regionale uitwisselingssysteem te gaan gebruiken. De Huisartsenkring Groningen maakte in juli bekend te stoppen met het stimuleren van gebruik van het LSP, vanwege onvoldoende animo onder huisartsen.

Omdat het LSP alleen bij een hoge dekkingsgraad effectief bruikbaar is voor aangesloten zorgverleners, werpt dat vragen op over de toekomst van het LSP. Het systeem alleen al technisch in de lucht houden kost 25 miljoen euro per jaar – een bedrag waarvoor zorgverzekeraars in ieder geval nog tot 2016 met premiegelden garant staan. Ze staan dit jaar dus voor een beslissing; blijven ze een systeem dat in deze mate is gevuld ondersteunen?

Vooralsnog lijkt het daar op. Op dit moment worden de bestaande regionale uitwisselingssystemen, waarvan de Eerste Kamer in 2011 nog opdroeg om ze te verbeteren, uitgefaseerd. In berichtgeving over het geringe aantal aanmeldingen voor het LSP wordt hoopvol gesteld dat er simpelweg meer patiënten moeten worden benaderd.

Lippendiensten

Al in 2011 zette de Nederlandse regering in haar regeerakkoord: “Bij de bouw van systemen en het aanleggen van databestanden is bescherming van persoonsgegevens het uitgangspunt.” Ook het College Bescherming Persoonsgegevens, dat in 2012 nog akkoord ging met de private doorstart van het EPD, steekt in haar jaarverslag en in haar publieke statements de loftrompet over het zogeheten privacy by design. In 2010 zei voorzitter Jacob Kohnstamm: “Bedrijven moeten hun ‘knappe koppen’ inzetten om de diensten en producten zodanig te ontwikkelen dat ze geen of veel minder inbreuk maken op de persoonlijke levenssfeer”.

Het blijft vooralsnog bij lippendiensten. Geen van de verantwoordelijke partijen, VWS, zorgverzekeraars en de grote zorgverlenerskoepels, heeft zich tot nu toe ingespannen om de mogelijkheden te onderzoeken voor een privacyvriendelijk alternatief voor het EPD, het meest beruchte ICT-project van de Nederlandse overheid.

Ook een meerderheid van de Tweede Kamer wees onlangs nog een motie van de PVV af om een onderzoek te laten plegen naar een alternatief LSP. Volgens de partij zijn er verschillende opties die een kans verdienen en is het niet wenselijk dat het LSP een monopoliepositie krijgt. Minister Schippers vond zo’n onderzoek niet nodig. Ze antwoordde dat de overheid slechts de wettelijke kaders aangeeft, en dat elke partij verder vrij is daarbinnen systemen te lanceren. Een nieuwe wet, de opvolger van de wet EPD die de Eerste Kamer in 2011 verwierp, ligt daar op dit moment opnieuw. Wederom zijn de senatoren – en de deskundigen die ze uitnodigden – skeptisch. Tegelijkertijd loopt er een bodemprocedure van huisartsenvereniging VPHuisartsen tegen de private doorstart van het EPD, waarvan op 11 december dit jaar het hoger beroep aandient.

KDVP-voorzitter Ab van Eldijk: “De komst van Whitebox toont aan dat het LSP een onnodige en daarom onrechtmatige inbreuk vormt op de privacy van patiënten en het medisch beroepsgeheim. Daarom kunnen politiek, bestuur, verantwoordelijke toezichthouders en verzekeraars niet langer wegkijken van de ongewenste, onrechtmatige private doorstart van een grootschalig, intrinsiek onbeveiligbaar informatiesysteem dat eerder al door de Eerste Kamer werd afgewezen. Het valt te bezien welke van de voornoemde partijen echt nog wil opkomen voor de belangen van burgers.”