Vijf privacyorganisaties slaan gezamenlijk alarm over de beleidskoers van het Ministerie van Volksgezondheid. De systemen voor zorgcommunicatie die door VWS worden uitgerold, zijn onverantwoord kwetsbaar voor hackers en andere kwaadwillenden. “Zodra het misgaat, en het gaat een keer mis, dan raakt dat iedereen.”
Platform Burgerrechten, Privacy First, Stichting KDVP, Stichting Decozo en Spidz waarschuwen: door de keuze voor grote centrale systemen zoals Mitz en de European Health Data Space (EHDS) verliezen patiënt en arts de controle over medische gegevens en wordt de zorgcommunicatie kwetsbaar voor hackers. De recente ransomware-aanval op ChipSoft, waarbij medische gegevens werden gestolen, zou een wake-up call moeten zijn.
Kwetsbare systemen
De systemen die het Ministerie op dit moment uitrolt, bieden via één punt toegang tot tien- tot honderdduizenden dossiers, zonder dat de arts die de gegevens bewaart kan controleren wie ze voor welke reden opvraagt. Dit maakt ze een dankbaar doelwit voor hackers, die slechts één ingang nodig hebben om bij de gegevens van talloze patiënten te kunnen komen. Desondanks gaat de uitrol van deze systemen door.
Het gaat binnen Nederland om het systeem Mitz, waarop alle zorgverleners van Nederland moeten worden aangesloten. Het is in Mitz slechts mogelijk om tien- tot honderdduizenden zorgverleners tegelijk ongericht toegang te geven tot medische dossiers, waarna de dossierhoudend arts geen controle meer heeft over wie de gegevens inziet. Ook is het mogelijk om toestemmingen die patiënten al dan niet hebben gegeven, te overrulen door derden.
Daarnaast wordt vanuit Brussel de EHDS ingevoerd, een systeem dat vergelijkbaar werkt, maar dan zorggegevens in alle lidstaten van de Europese Unie toegankelijk maakt. Daar wordt iedere Nederlander automatisch in opgenomen. Wil je er buiten blijven, dan moet je zelf in actie komen en bezwaar registreren (opt-out). De EHDS biedt lidstaten geen ruimte om dit op basis van voorafgaande, geïnformeerde toestemming (opt-in) te doen, zoals het medisch beroepsgeheim vereist. Sterker nog, de mogelijkheid tot opt-out is optioneel onder de EHDS – waardoor lidstaten er zelfs voor kunnen kiezen burgers niet eens de keuze te geven over het al dan niet delen van hun medische gegevens.
Omdat de toestemmingsrechten van patiënten onder de EHDS worden ondermijnd en zelfs volledig kunnen worden afgeschaft, is deze verordening volgens de organisaties in strijd met het medisch beroepsgeheim zoals dat beschermd wordt onder Artikel 8 van het EVRM en in strijd met de eisen die de AVG stelt aan het delen van medische persoonsgegevens.
Koerswijziging noodzakelijk
De organisaties roepen de Kamer op tot een koerswijziging: er moet nu worden gekozen voor systemen die de risico’s van hacks daadwerkelijk wegnemen of sterk minimaliseren, in plaats van ze verder te vergroten. Een kleinschaligere aanpak is veiliger, eenvoudiger en houdt het medisch beroepsgeheim zoals dat sinds vanouds werkt, intact.
Er bestaan al geruime tijd alternatieve systemen voor zorgcommunicatie. Deze maken het mogelijk om gegevens gericht en veilig uit te wisselen, zonder dat er centrale databases of toegangspunten nodig zijn die een groot doelwit vormen voor hackers. Desondanks geven het Ministerie van Volksgezondheid en de besturen van zorgkoepels deze systemen geen kans. Daarmee schaden ze het vertrouwen dat mensen in hun zorgverlener kunnen stellen en ondermijnen ze het medisch beroepsgeheim, zo stellen de organisaties.
Oproep aan de Kamer
De organisaties doen de volgende gezamenlijke aanbevelingen:
De organisaties zijn beschikbaar voor nadere toelichting en roepen Kamerleden op om op 21 mei de regie terug te leggen bij patiënt en zorgverlener.
De brieven die de organisaties aan de Kamercommissie VWS stuurden, zijn via onderstaande links te downloaden: