Hoe wilt u uw dossier, elektronisch of op papier?
Gezondheid speelt een centrale rol in ons leven: misschien heb je wel eens in het ziekenhuis gelegen of ben je laatst naar de tandarts geweest voor controle. In zulke veelvoorkomende scenario’s krijgt men te maken met de gezondheidszorg. In de zorg is het gebruikelijk dat artsen een dossier bijhouden met de medische gegevens van de patiënten die zij behandelen. Sterker nog, de wet schrijft voor dat artsen dit doen (Burgerlijk Wetboek 7, artikel 454). Dit is belangrijk voor zowel de patiënt als de behandelende artsen van de patiënt. Allereerst kan de arts informatie terugvinden in het dossier dat hij zelf heeft toegevoegd, maar ook in de dossiers die toegevoegd zijn door andere artsen. Ook de patiënt kan via het dossier inzage in zijn behandeling krijgen en het dossier kan een nuttige bron zijn in juridische procedures.
Tot een aantal jaar geleden waren deze dossiers voornamelijk in papieren vorm, maar in 2008 kwam het Ministerie van Volksgezondheid, Welzijn en Sport met een wetsvoorstel om een digitaal patiëntendossier in te voeren: het elektronisch patiëntendossier (EPD). Het wetsvoorstel was nog niet door de Tweede Kamer aangenomen of het EPD trok al volop publieke belangstelling. In grote getale werden brieven uitgestuurd om de burger te informeren over de komst van het EPD en over de mogelijkheid om bezwaar aan te tekenen tegen de elektronische verwerking1 van hun medische gegevens. Hoewel het wetsvoorstel uiteindelijk door de Tweede Kamer werd aangenomen, stemde de Eerste Kamer unaniem tegen het wetsvoorstel. Opmerkelijk, want het komt zelden voor dat een voorstel dat is goedgekeurd door de Tweede Kamer nog wordt afgewezen door de Eerste Kamer. Volgens de Eerste Kamer zou het EPD geen goede bescherming bieden van de persoonlijke levenssfeer van patiënten: de vereiste toestemming van de burger om over te gaan op elektronische verwerking was onduidelijk geregeld, het systeem was gevoelig voor hackers en er bestond een gevaar voor misbruik door zorgverleners. Deze afwijzing van het wetsvoorstel van een landelijk EPD was het begin van de nog altijd voortdurende discussie rondom het EPD. Hoe kunnen onze medische gegevens en privacy beschermd worden in een sterk digitaliserende wereld?
Regelgeving rondom medische gegevens
Als het gaat om gegevensbescherming zijn er verschillende juridische bronnen die kunnen worden geraadpleegd, bijvoorbeeld de Grondwet of Europese regelgeving. Deze beschrijven voornamelijk de algemene beginselen van gegevensbescherming waarbij de overheid wordt opgelegd bescherming te bieden aan de gegevens van hun burgers en regelgeving te vormen omtrent het verwerken en delen hiervan, maar richt zich vaak niet specifiek op de zorg. De Wet bescherming persoonsgegevens (Wbp) bevat wel een aantal artikelen die zich specifiek richten op de bescherming van de zogeheten ‘bijzondere gegevens’, waaronder gegevens omtrent gezondheid (Wet bescherming persoonsgegevens, hoofdstuk 2, paragraaf 2). De inhoud van de Wbp richt zich op verschillende aspecten die van belang zijn bij de verwerking van onder andere medische persoonsgegevens. Een aantal voorbeelden zijn:
– Toestemming van de patiënt: verwerking van medische gegevens is in beginsel verboden, tenzij de patiënt hier geïnformeerde toestemming voor geeft of wanneer de persoon die toegang wil tot de gegevens een behandelend arts is.
– Doelbinding: het is niet mogelijk om zomaar toegang te verkrijgen tot medische gegevens. Er moet een specifiek (medisch) doel zijn waarbij de verwerking bijdraagt aan het bereiken van dit doel.
– Proportionaliteit, subsidiariteit & noodzaak: de verwerking moet allereerst evenredig zijn aan het doel en er mogen niet meer medische gegevens worden verwerkt dan nodig is om dit doel te bereiken. Bovendien moet er geen alternatieve, minder ingrijpende manier bestaan om dit doel te bereiken en moet het doel een component van noodzakelijkheid bevatten.
Het toestemmingsvereiste maakt deel uit van een breed scala aan belangrijke patiëntenrechten die in verschillende wetgeving omtrent de verwerking van medische gegevens terugkomen. Deze patiëntenrechten staan uitgebreid beschreven in het Burgerlijk Wetboek 7, maar komen ook veelvuldig terug in andere wetgeving, zoals hier in de Wbp. Naast de toestemmingsvereiste zijn ook het recht op inzage, het recht op vernietiging en de geheimhoudingsplicht hier van belang. Zo dient de patiënt inzage te krijgen in zijn patiëntendossier wanneer hij dit wenst, is de arts in beginsel verplicht op het patiëntendossier te vernietigen als de patiënt dit verzoekt en heeft de arts een geheimhoudingsplicht jegens de patiënt met betrekking tot de informatie die het medische dossier bevat, dat wil zeggen: de informatie mag niet zomaar worden gedeeld.
Het landelijk EPD drama
De weg van een papieren patiëntendossier naar een elektronische patiëntendossier is een moeizame gebleken, al leek zij met het oog op de digitalisering een voor de hand liggende ontwikkeling. Zoals hierboven besproken moet rekening gehouden worden met verschillende soorten wetgeving rondom gegevensbescherming, en medische gegevens zijn ook nog eens een bijzondere categorie. Toch heeft men na afwijzing van het eerste wetsvoorstel op veel verschillende manieren geprobeerd om het EPD vooralsnog te implementeren. Het is daarbij van belang dat de knelpunten rondom het wetsvoorstel ter introductie van een landelijk EPD in achting genomen worden, waaronder de meest doorslaggevende argumenten van de Eerste Kamer om het EPD voorstel af te wijzen:
– Waarborgen van privacy. Er werd gesproken over toegang tot de medische gegevens voor ‘alleen’ de personen binnen de medische branche, d.w.z. apothekers, huisartsen en medische specialisten. Echter, dit zijn vooralsnog zo’n honderdduizend personen! (R. Huissen (2014): Privacy in de Zorg) Bovendien was het met het voorgestelde systeem onmogelijk om te controleren of de opvraging van gegevens wel daadwerkelijk gedaan werd door de behandelend arts, zoals theoretisch gezien de voorwaarde is om toegang te krijgen tot medische gegevens. Met een UZI-pas (Unieke Zorgverleners Identificatie) had iedere zorgverlener toegang tot de medische gegevens, waarbij geen rekening werd gehouden met mogelijke intenties tot fraude of diefstal van een UZI-pas.
– Techniek en beveiliging. Uit onderzoek bleek dat het EPD systeem een gebrek had aan belangrijke beveiligingscomponenten, waardoor het mogelijk was om het systeem onopgemerkt te hacken wanneer artsen een medisch dossier opvraagden. Dit is natuurlijk allereerst inbreuk op het privéleven van de patiënt, maar ook de artsen zouden later op het matje moeten komen zonder weet te hebben gehad van het feit dat er sprake was van een hack.
– Toestemming. De patiënt heeft weinig controle over zijn gegevensgebruik: de toestemming voor het EPD was dusdanig geregeld dat men slechts ‘ja’ of ‘nee’ kon selecteren bij de vraag of medische gegevens verwerkt mochten worden. Het was niet mogelijk om aan te geven dat bepaalde delen van het medische dossier wel open stonden voor verwerking, maar andere delen juist niet.
– Pull-systeem. Het EPD maakte gebruik van een zogeheten pull-systeem, waarin informatie toegankelijk is voor alle zorgverleners die op het systeem zijn aangesloten. Zij kunnen deze informatie dus op ieder gewenst moment ‘naar zich toe trekken’. Dit in tegenstelling tot een push-systeem, waarbij specifieke informatie van de verschaffer naar de opvrager toe wordt gezonden (‘gepusht’) met een specifiek doel. Het lijkt er dus op dat ook de zorgverlener daarmee de controle over de medische gegevens verliest. Dit staat op gespannen voet met de geïnformeerde toestemming die de patiënt moet geven, aangezien hij niet weet precies weet voor welke gegevensverwerking hij toestemming geeft en ook niet wanneer deze informatie verwerkt wordt. Bovendien lopen hiermee ook het beroepsgeheim van de arts en de vereisten van doelbinding en proportionaliteit in gevaar. Immers, men verkrijgt eenvoudig toegang tot de medische informatie en zonder controle is het mogelijk dat meer informatie wordt verkregen dan nodig is, of zelfs geheel andere informatie.
Tekst loopt door onder foto.
Eén van de pogingen om het EPD een doorstart te geven, kwam vanuit de privaatrechtelijke sector. Uiteindelijk leidde dit eind 2012, met behulp van Zorgverzekeraars Nederland, tot het zogeheten Landelijke Schakelpunt (LSP). Het LSP is een regionaal opgezet systeem waarmee medische gegevens kunnen worden opgevraagd via een centrale verwijsindex die fungeert als een zoekmachine (Medisch Contact, dossier: Elektronisch Patiëntendossier). In januari 2014 hadden zo’n 2,3 miljoen Nederlanders hun toestemming uitgesproken over het regionaal uitwisselen van hun medische gegevens. Maar ook hier blijven in zekere mate dezelfde problemen bestaan die de Eerste Kamer als doorslaggevend zag om het voorstel landelijk af te wijzen, het enige verschil is dat de manifestatie zich dan op een regionaal niveau bevindt.
De toekomst van het EPD
Kortom, de combinatie van bescherming van medische gegevens en het EPD blijft geen ideale en ondervindt nog altijd weerstand uit vele hoeken. Maar het lijkt erop dat er hard wordt gezocht naar oplossingen voor optimalisatie van gegevensbescherming. Eind 2017 kondigde Nokia aan een project te beginnen in Finland, waarbij medische gegevens zouden worden opgeslagen in blockchain. Blockchain is een relatief nieuwe technologie die data kan registreren, uitwisselen en overdragen via een logaritme binnen een computersysteem. Blockchain is een gedistribueerde database die wordt bijgehouden door een netwerk van aangesloten computers, waarbij transacties tussen deze aangesloten computers, na verificatie, plaatsvinden op basis van consensus tussen systemen. Een transactie vormt een ‘blok’ van de blockchain. Met andere woorden, de medische gegevens worden opgeslagen in een logaritme en gegevensuitwisseling vindt pas plaats wanneer beide partijen toestemming hebben gegeven. Deze manier van gegevensuitwisseling heeft een aantal voordelen:
– Beveiliging. De beveiliging van blockchain is erg goed gebleken, mede omdat iedere partij hieraan bijdraagt. Op het moment dat een gegevensuitwisseling (‘blok’) wordt toegevoegd aan de blockchain neemt iedere partij in het netwerk dit blok over en zijn tussenliggende blokken niet meer te wijzigen. Bovendien ligt het vast dat de uitwisseling heeft plaatsgevonden, wat het moeilijker maakt om te frauderen en zorgt het systeem ervoor dat de uitwisseling van gegevens altijd herleidbaar is naar degene die de uitwisseling gestart heeft.
– Integriteit. Doordat de gegevensuitwisseling niet meer te wijzigen is, ontstaat er meer zekerheid dat de informatie die het dossier bevat juist is. Dit is met name in de medische wereld een relevante eigenschap. Het neemt namelijk de risico’s weg dat onjuiste medische informatie kan leiden tot medische fouten.
– Toestemming. Het systeem van toestemming kan goed worden ingericht, doordat patiënten controle kunnen krijgen over hun eigen ‘blokken’. Hierdoor patiëntenrechten heel goed kunnen worden uitgeoefend. Als patiënt kun je voor verschillende blokken apart toestemming geven, in plaats van ‘alles of niets’ zoals in het huidige systeem van het EPD.
Maar ook de implementatie van blockchain in de zorg zal ongetwijfeld veel kritiek opleveren, aangezien dit een next level vorm van digitalisering is waar nog relatief weinig over bekend is. Al met al lijkt het erop dat de digitalisering binnen de zorg eerder zorgt voor meer vragen dan dat het daadwerkelijk antwoorden geeft op het ontelbaar aantal vragen dat er al was. Wie weet heeft de implementatie van de Algemene Verordening Gegevensbescherming op 25 mei 2018 het antwoord op onze vragen?
Noten en/of literatuur
1. Wet bescherming persoonsgegevens, artikel 1 lid b: verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Merel Spaander is algemeen redactielid van Blind. Momenteel is zij bezig met haar masters in Brain & Cognitive Sciences en Gezondheidsrecht aan de Universiteit van Amsterdam. Haar interesse voor privacy en databescherming binnen de gezondheidszorg werd gewekt tijdens één van de vakken van Gezondheidsrecht.