Dit is een blog in een serie waarin ik vragen beantwoord over het wetsvoorstel “Wet elektronische gegevensuitwisseling in de zorg”. Een wetsvoorstel dat beoogt om stap voor stap de zorg te digitaliseren. Zodat faxen, brieven of DVD’s op de buik van een patiënt steeds minder voorkomen. Het is een wet waaronder gegevensuitwisselingen kunnen worden aangewezen die tenminste digitaal moeten verlopen. Dat kan op twee manieren. Door aan te wijzen dat ze elektronisch moeten verlopen (spoor 1 van de wet) of door ook aan te wijzen hoe, volgens welke norm, dat moet (spoor 2). Het is een wet waarover vragen zijn. In een serie blogs ga ik in op die vragen. Heb je ook een vraag? Laat deze gerust weten; via LinkedIn bijvoorbeeld.

Hoe verhoudt de Wegiz zicht tot de Wabpvz?

Na mijn eerdere blog over de Wegiz en toestemming kreeg ik veel vragen over de verhouding van het wetsvoorstel tot de Wet aanvullende bepaling verwerking persoonsgegevens in de zorg (Wabvpz). Deze wet regelt onder meer het recht op digitaal afschrift van de eigen medische gegevens en de verplichting om aan normen ten aanzien van informatiebeveiliging te voldoen.

Er is echter nog iets dat de Wabvpz regelt, en dat geldt voor uitwisselingssystemen. Als daarvan gebruik wordt gemaakt dan is vanwege de bepalingen in de Wabvpz toestemming nodig voor het ongericht raadpleegbaar maken van medische informatie. Nu doet het woord “uitwisselingssystemen” denken dat het hierbij gaat om alle gegevensuitwisseling in de zorg. Maar dat is dus niet zo. Het gaat om een specifieke technische inrichting, waarbij informatie ongericht raadpleegbaar wordt gemaakt voor andere zorgverleners. Als de uitwisseling technisch zo werkt, dan is de extra toestemming nodig. Die moet ook specifiek zijn. Iets als “ik geef aan mijn huisarts toestemming om mijn samengevatte gegevens opvraagbaar te maken door de huisartsenpost voor waarneming”.

De Wegiz bepaalt dat normen voor gegevensuitwisseling er voor moeten zorgen dat niet alleen via uitwisselingssystemen kan worden uitgewisseld. Want anders is voor mensen die geen toestemming geven voor beschikbaarstelling van hun informatie geen gegevensuitwisseling mogelijk, ook als er volgens de WGBO geen uitdrukkelijke toestemming nodig is.

Een recent voorbeeld illustreert waarom dat belangrijk is.

Naast de GGD en allerlei zorginstellingen vaccineren ook huisartsen mensen tegen COVID-19. Volgens de Europese verordening die het Digitaal Corona Certificaat (DCC) regelt, mogen ze die gegevens verwerken voor zo'n DCC. Daar is geen aparte toestemming meer voor nodig.

Maar er is op dit moment geen manier om die gegevens vanuit de CoronaCheck-app op te halen uit de gebruikte huisartsinformatiesystemen, anders dan via een uitwisselingssysteem. En dat mag niet, omdat de toestemming die gegeven is door mensen voor het raadpleegbaar maken van hun gegevens niet is gegeven voor dit doel. Daarnaast zou langs deze route ook niet voor iedereen informatie beschikbaar zijn.

Precies dit is de reden waarom (aldus de Wegiz) ook op een andere manier dan via uitwisselingssystemen (zoals bedoeld in de Wabvpz) moet kunnen worden uitgewisseld.

In een brief aan de Tweede Kamer is dat als volgt opgeschreven:

Eerder heb ik uw Kamer gemeld dat mogelijk ook vaccinatieregistraties bij huisartsen direct via CoronaCheck opvraagbaar zullen worden. De technologie van de meeste huisartsinformatiesystemen maakt directe aansluiting echter niet mogelijk. Hiervoor is een tijdelijke route via het Landelijk Schakelpunt (LSP) onderzocht die niet haalbaar is gebleken. In dit geval is namelijk sprake van een uitwisselingssysteem dat gegevens ongericht raadpleegbaar maakt. De toestemming die mensen hebben gegeven voor die beschikbaarstelling ziet op huisartswaarneming en niet op CoronaCheck, waardoor de gegevens niet voor dit doel mogen worden gebruikt. Hoewel er een juridische grondslag is voor het leveren van vaccinatiegegevens door huisartsen aan CoronaCheck, staat hier de technische wijze waarop die uitwisseling via het LSP zou worden vormgegeven de koppeling in de weg. Mochten bepaalde huisartsinformatiesystemen wel direct benaderbaar zijn voor CoronaCheck zal getracht worden met deze systemen alsnog een koppeling te realiseren.

Tot slot: het technische alternatief is er al. De systemen van de GGD en het RIVM worden bijvoorbeeld direct (via Internet) vanuit CoronaCheck bevraagd. Vandaar de laatste zin: zodra het kan zullen ook huisartsinformatiesystemen worden aangesloten.

Dit is een blog in een serie waarin ik vragen beantwoord over het wetsvoorstel “Wet elektronische gegevensuitwisseling in de zorg”. Een wetsvoorstel dat beoogt om stap voor stap de zorg te digitaliseren. Zodat faxen, brieven of DVD’s op de buik van een patiënt steeds minder voorkomen. Het is een wet waaronder gegevensuitwisselingen kunnen worden aangewezen die tenminste digitaal moeten verlopen. Dat kan op twee manieren. Door aan te wijzen dat ze elektronisch moeten verlopen (spoor 1 van de wet) of door ook aan te wijzen hoe, volgens welke norm, dat moet (spoor 2). Het is een wet waarover vragen zijn. In een serie blogs ga ik in op die vragen. Heb je ook een vraag? Laat deze gerust weten; via LinkedIn bijvoorbeeld.

De Wegiz, waarom bepaalt de overheid niet zelf de standaarden?
De Wegiz biedt de handvaten om stapsgewijs elektronische gegevensuitwisseling te verplichten. Die verplichting gebeurt via normen. Bij de opstelling van die normen zijn alle relevante partijen betrokken. Patiënten, zorgaanbieders, ICT-leveranciers, etc. Het is dus niet de overheid die zelf de standaarden bepaalt. Dat is zo vanwege de rol van de overheid in Nederland als het gaat om de gezondheidszorg.

Er zijn landen waar dat anders gaat. In die landen is vaak de overheid betrokken bij het leveren van zorg. Dat is bijvoorbeeld zo in de Verenigde Staten (denk aan de zorg aan veteranen) of in verschillende Europese landen (denk aan het Verenigd Koninkrijk). In dat geval kunnen voorwaarden ten aanzien van taal en techniek worden meegegeven bij inkooptrajecten omdat de overheid de inkopende partij is. Zo is bijvoorbeeld "Blue button" ontstaan in de Verenigde Staten waarmee veteranen toegang krijgen tot hun eigen gezondheidsgegevens.

Daarnaast zijn er landen waarin de overheid voorzieningen aanbiedt voor de uitwisseling van medische gegevens. Waar in Nederland sinds 2011 (na de afwijzing van de Wet EPD) de overheid geen betrokkenheid meer heeft bij specifieke infrastructuren voor uitwisseling is dat in andere landen wel het geval (zoals bijvoorbeeld in Denemarken, Estland, Portugal en Frankrijk). Door voorwaarden te stellen aan de verplichte aansluiting op nationale of regionale uitwisselingsinfrastructuren is dan een aparte wet minder nodig.

Dit is een blog in een serie waarin ik vragen beantwoord over het wetsvoorstel “Wet elektronische gegevensuitwisseling in de zorg”. Een wetsvoorstel dat beoogt om stap voor stap de zorg te digitaliseren. Zodat faxen, brieven of DVD’s op de buik van een patiënt steeds minder voorkomen. Het is een wet waaronder gegevensuitwisselingen kunnen worden aangewezen die tenminste digitaal moeten verlopen. Dat kan op twee manieren. Door aan te wijzen dat ze elektronisch moeten verlopen (spoor 1 van de wet) of door ook aan te wijzen hoe, volgens welke norm, dat moet (spoor 2). Het is een wet waarover vragen zijn. In een serie blogs ga ik in op die vragen. Heb je ook een vraag? Laat deze gerust weten; via LinkedIn bijvoorbeeld.

De Wegiz, dat sluit toch niet aan op toestemming van patiënten?
Vaak wordt gedacht dat voor alle gegevensuitwisseling tussen zorgprofessionals apart toestemming nodig is. Dat is niet zo, er zijn veel meer grondslagen dan toestemming. De Wegiz biedt ook geen nieuwe grondslag voor gegevensuitwisseling tussen zorgaanbieders. Als er mag worden uitgewisseld, dan moet dat straks vanwege de wet stapsgewijs ook tenminste elektronisch. Als je een recept per fax naar de apotheek stuurt, dan moet je straks ook tenminste elektronisch het recept aan de apotheek doorgeven. De wet regelt daarvoor niet de grondslag, die moet er al zijn. Als die er niet is, dan hoeft er dus ook niet (digitaal) te worden uitgewisseld. De Wegiz dwingt zorgprofessionals niet hun beroepsgeheim te doorbreken maar geldt alleen als er al een grondslag is voor gegevensuitwisseling. De Wegiz dwingt ook niet om gegevens uit te wisselen die je niet wil uitwisselen. Als je nu gegevens niet op een doorverwijzing zet, bijvoorbeeld, hoeft dat onder de Wegiz ook niet. De zorgprofessional bepaalt wat nodig is om te melden. Maar als je iets uitwisselt, dan moet dat straks tenminste ook digitaal en zo dat de ontvanger het ook kan inlezen. De wet verandert niets aan de grondslagen voor uitwisseling en dus ook niet aan toestemming.

Ik schreef al eerder dat er veel verwarring is over toestemming voor gegevensuitwisseling. Veel gegevensuitwisseling is nu technisch zo ingericht dat gegevens al worden klaargezet voor nog onbekend later gebruik. Dan is inderdaad toestemming nodig. Terwijl in het zorgproces zelf die aanvullende toestemming heel vaak niet nodig is. Want toestemming is maar één van de grondslagen voor gegevensuitwisseling. En je komt pas bij toestemming, als die andere grondslagen er niet zijn. Als je een andere dokter consulteert, bijvoorbeeld, is extra toestemming om dan ook de gegevens uit te wisselen niet nodig. Dat geldt bijvoorbeeld ook bij doorverwijzing. Als een patiënt heeft ingestemd met de doorverwijzing, hoort daar ook de uitwisseling van de benodigde gegevens al bij. De Wegiz verandert daar niets aan. Maar wat wel waar is: er is veel onduidelijkheid over grondslagen voor gegevensuitwisseling. Of die nu op papier is, of digitaal.

Misverstanden over toestemming
Die onduidelijkheid komt als eerste, ik noemde het al, omdat veel gegevensuitwisseling nu zo is ingericht dat per definitie extra toestemming nodig is. Als je gegevens alvast elektronisch klaarzet, zonder te weten wie het gaat ophalen, dan is extra toestemming nodig. Want als je het zo doet, dan doorbreek je als zorgprofessional je beroepsgeheim. Toestemming is daarvoor de enige grondslag die er is (want je weet niet wie de gegevens ophaalt). Omdat veel gegevensuitwisseling zo werkt op dit moment, zijn veel mensen gaan denken dat altijd toestemming nodig is. Dat is niet zo. De Wegiz zegt daarom ook niets over toestemming, want gaat uit van een grondslag voor uitwisseling. Als je mag uitwisselen, dan moet het digitaal. Dat is de kern van de wet.

We zijn dus gaan denken dat toestemming altijd nodig is, terwijl dat niet zo is. Dat vergt vooral aandacht in opleiding, en veel communicatie en voorlichting. Niet over toestemming, maar over grondslagen voor gegevensuitwisseling. Waar toestemming er één van is, maar zeker niet de belangrijkste. Daarom gebruik ik zelf vaker het begrip "grondslag" dan het begrip "toestemming".

Beroepsgeheim strikt geregeld
Elke zorgprofessional heeft beroepsgeheim en voert een eigen dossier. Zodat mensen erop kunnen vertrouwen dat wat besproken wordt binnenskamers blijft. Als je als dokter gegevens uitwisselt, doorbreek je dat beroepsgeheim. Vaak mag dat (ik noemde al doorverwijzen of consulteren, maar medebehandeling is ook zo’n reden). En dat is ook logisch. Het zou toch gek zijn als de nachtverpleging je in het ziekenhuis wakker zou moeten maken om toestemming te vragen om je medicatie in te zien.

Op andere momenten mag dat niet. Zo mag de oncoloog niet zomaar jouw gegevens bij de cardioloog opvragen, die je voor een andere aandoening behandelt. Dat mag alleen met jouw toestemming. Dat is niet overal zo geregeld. Er zijn landen waarin dokters elkaar mogen inlichten als dat nodig is voor een behandeling. Maar in Nederland is daarvoor geen andere grondslag dan toestemming.

Er zijn ook momenten waarop goede zorg en beroepsgeheim in elkaars weg lijken te staan. Dat geldt bijvoorbeeld als een arts medicatie voorschrijft. Dan moet, volgens de richtlijnen die bepalen wat goede zorg is, eerst een medicatieoverzicht worden opgesteld. Dat is een overzicht waarin al jouw actuele medicatie is opgenomen. Daarvoor heb je de gegevens nodig van iedereen die jou op dat moment behandelt. Maar die mogen dat niet zonder jouw eigen toestemming doorgeven. Want door de voorgeschreven medicatie te melden aan iemand die je voor iets anders behandelt, doorbreken ze hun beroepsgeheim zonder dat ze daarvoor een andere grondslag dan jouw toestemming hebben.

De Wegiz brengt geen nieuwe grondslag aan voor gegevensuitwisseling. Daarvoor zou aanpassing nodig zijn van ons denken over beroepsgeheim en over de bijbehorende grondslagen voor gegevensuitwisseling.

Binnen zorgaanbieders gaat het anders
Ik schreef hiervoor al: het zou niet werken als de nachtverpleging je wakker zou moeten maken voor toestemming. Dat is ook niet zo. Binnen een zorgaanbieder is sprake van “high trust, high penalty”. Zorgaanbieders moeten loggen wie dossiers raadpleegt, en ingrijpen als mensen zonder reden gegevens inkijken. Er zijn veel voorbeelden van dat ingrijpen. Meerdere keren per jaar worden mensen die onbevoegd dossiers hebben ingezien berispt, of zelfs ontslagen. En ook zorgaanbieders die het te makkelijk maken om in dossiers te kijken worden aangesproken. Maar de hoofdbehandelaar, onder wiens verantwoordelijkheid het dossier wordt gevoerd, die is in dit geval niet verantwoordelijk.

Anders is het tussen zorgaanbieders. Als een zorgprofessional iets elektronisch klaar zet voor een collega bij een andere zorgaanbieder, zonder dat duidelijk is wie het gaat ophalen, dan mag dat alleen met toestemming. Binnen zorgaanbieders mag het wel, omdat er wordt gewerkt met één dossier waar iedereen toegang toe kan hebben. Tussen zorgaanbieders mag dat niet. Waar binnen de zorgaanbieder wordt gekeken naar de persoon die zich zonder reden toegang verschaft, ligt de verantwoordelijkheid tussen zorgaanbieders bij de zorgprofessional die de gegevens beschikbaar stelt.

De Wegiz verandert daar niets aan. Daarvoor zou aanpassing nodig zijn van ons denken over beroepsgeheim en grondslagen voor gegevensuitwisseling.

Toestemming geven is ingewikkeld
Als toestemming alsnog nodig is, dan is dat ingewikkeld geven. Dat is al zo in de papieren praktijk. Als een oncoloog iets nodig heeft van een cardioloog, het voorbeeld van hierboven, dan is dat soms veel gedoe. Jouw toestemming moet duidelijk zijn (een handtekening op een papier bijvoorbeeld), de arts die de gegevens verstrekt moet zich ervan vergewissen dat die toestemming echt van jou is, dat de oncoloog echt een dokter is, en moet het dan ook nog bij de oncoloog zien te krijgen. Er is geen simpele manier om dat elektronisch te doen. Er zijn landen die daarin iets verder zijn. In Oostenrijk, bijvoorbeeld, worden de elektronische toestemming van de patiënt en de vraag van de oncoloog gecombineerd tot één verzoek aan de cardioloog. Die kan dan, geautomatiseerd, de gegevens verstrekken omdat zeker is dat je toestemming hebt gegeven en dat het echt een dokter is aan wie de gegevens worden verzonden. In het huidige Internettijdperk zou je denken aan een pop-up bericht op je telefoon waarna je toestemming geeft en de informatie kan worden opgehaald. Maar zover zijn we nog niet.

De Wegiz verandert niets aan hoe we toestemming regelen. Maar het zou wel veel schelen als dat makkelijker werd.

Dit is een blog in een serie waarin ik vragen beantwoord over het wetsvoorstel “Wet elektronische gegevensuitwisseling in de zorg”. Een wetsvoorstel dat beoogt om stap voor stap de zorg te digitaliseren. Zodat faxen, brieven of DVD’s op de buik van een patiënt steeds minder voorkomen. Het is een wet waaronder gegevensuitwisselingen kunnen worden aangewezen die tenminste digitaal moeten verlopen. Dat kan op twee manieren. Door aan te wijzen dat ze elektronisch moeten verlopen (spoor 1 van de wet) of door ook aan te wijzen hoe, volgens welke norm, dat moet (spoor 2). Het is een wet waarover vragen zijn. In een serie blogs ga ik in op die vragen. Heb je ook een vraag? Laat deze gerust weten; via LinkedIn bijvoorbeeld.

De Wegiz, gaat dat niet eeuwig duren?
Normering kost tijd, soms zelfs veel tijd. Daarom kost een “Spoor 2 aanwijzing” onder de Wegiz tijd. Zorgprofessionals moeten allereerst bepalen welke informatie nodig is voor goede zorg, standaarden moeten worden ontwikkeld, er moet een NEN-norm komen, systemen moeten aangepast en dan pas kan de verplichting in gaan.

Voor een beetje ingewikkelde gegevensuitwisseling duurt dat zo een paar jaar. Als je verwacht dat de zorg pas echt digitaal uitwisselt als voor alles een norm bestaat, zou het inderdaad wel eens lang kunnen duren. Maar zo zal het niet gaan. Daar zijn meerdere redenen voor.

Niet alles wordt volledig genormeerd
Een van de redenen dat het niet zo lang hoeft te duren is dat de aanwijzing “Gij zult elektronisch uitwisselen” zonder een bijbehorende norm op te leggen snel kan gaan. Dan nog steeds zijn generieke normen van toepassing (zoals ten aanzien van informatiebeveiliging), maar in plaats van eerst te wachten op normering moet het tenminste digitaal verlopen. Remko Nienhuis schreef in zijn blog over de verborgen parels in de Wegiz hoe dit kan zorgen voor “bottom-up innovatie”. Zijn brede interpretatie van de Wegiz is correct. De wet zorgt voor beweging, zowel “top down” als “bottom-up”.

De Wegiz werpt zijn schaduw vooruit
Hoewel de Wegiz er nog niet is en niet direct alle elektronische gegevensuitwisseling zal verplichten, is die beweging al te zien. Niets staat het zorgveld in de weg om ook zelf, samen met alle betrokkenen, stappen te zetten. Laat dat precies zijn wat gebeurt.

Een mooi voorbeeld is de uitwisseling van de Basis Gegevensset Zorg. Dat is de samenvatting van medische gegevens die eigenlijk in elke behandeling nodig is en die bijvoorbeeld veel lijkt op de zogenaamde “International Patient Summary”. Geïnspireerd door de aanpak van de Wegiz zijn leveranciers bezig gegaan om voorstellen te doen voor een “technische afsprakenset” voor de uitwisseling van de Basisgegevensset Zorg (BGZ) . Precies zoals de Wegiz beoogt te gaan doen. Laat de BGZ nou ook één van de voorbeelden zijn die beoogt zijn te gaan verplichten. Voordat het wetsvoorstel behandeld is, worden dus al concrete stappen gezet die de zorg vooruit gaan helpen.

Alle begin is moeilijk
Bij de eerst verplicht elektronische gegevensuitwisselingen is veel nieuw. De standaarden voor de informatie die er in is opgenomen, de techniek van de uitwisseling, etc. Er is een eerste keer dat medicatie in een norm voorkomt, bijvoorbeeld, en ook dus een eerste keer dat wordt bepaald hoe moet worden uitgewisseld.

Maar de tweede keer, als medicatie in een andere uitwisseling nodig is, hoeft heel veel werk niet meer gedaan. Er is al een keer bepaald welke gegevens er worden uitgewisseld, en ook al hoe. Zie het als legoblokjes die opstapelen tot telkens een nieuwe gegevensuitwisseling. Na een tijdje zijn de meeste blokjes wel gemaakt, en is het een kwestie van een nieuwe stapel bouwen om een nieuwe gegevensuitwisseling te realiseren.

Normen die voor alle uitwisseling gelden hebben direct impact
Tot slot zullen er generieke normen ontstaan die altijd gelden. Die zijn er al, bijvoorbeeld, voor informatiebeveiliging in de zorg. Dergelijke generieke normen zullen er ook komen voor andere zaken die in elke gegevensuitwisseling nodig zijn. Zo is er nu NTA-7516, de norm voor veilig mailen in de zorg. Omdat dit soort normen gaat gelden voor alle uitwisseling, zullen deze sneller impact hebben dan de stapsgewijze aanwijzing van elektronische gegevensuitwisselingen.

Ik schreef er al eerder over (zoek maar eens op “privacy” in mijn blogs ): wat mij betreft staat privacy goede gegevensuitwisseling niet in de weg. Het kan zelfs leiden tot hele mooie innovaties. “Privacy by design” is het uitgangspunt in de AVG (artikel 25). Maar hoe werkt dat dan in de praktijk?

"Privacy by design" is niet iets maken en daarna in een Privacy Impact Assesment (of PIA, nog zo’n eis van de AVG) rechtvaardigen welke keuzes je hebt gemaakt. Eerder werkt het andersom: door eerst zo’n PIA te maken en daarna pas te starten met ontwikkelen krijg je de mooiste oplossingen. Design by privacy dus.

Dat is de manier waarop we werken als het gaat om de digitale ondersteuning van de pandemie. Zo is CoronaMelder tot stand gekomen, maar bijvoorbeeld ook CoronaCheck.

Klinkt vaag toch, “privacy by design”? Dat is ook zo en vraagt dus om een concreet voorbeeld. Laten we CoronaCheck nemen.

Eind vorig jaar stelden wetenschappers en anderen voor om in situaties dat de epidemiologische situatie dat eigenlijk niet toelaat toch meer contacten toe te staan (denk aan evenementen bijvoorbeeld). Dat zou kunnen - zeiden ze - als je de risico's verlaagt door een negatieve test voorafgaand aan zo'n evenement. Daaruit is het idee ontstaan van toegangstesten. Aan de poort bewijzen dat je recent negatief getest bent.

Maar hoe bewijs je dat dan? Dat kan natuurlijk met een testuitslag met al je gegevens erop. Maar het gaat om jouw eigen medische gegevens en dus is dat niet de meest wenselijke situatie. Kan het niet anders?

Toen ons gevraagd werd om daarover na te denken (en over de digitale technologie om dat mogelijk te maken) stelden we privacy centraal. Er zou bijvoorbeeld een wettelijke grondslag moeten zijn om de benodigde gegevens te verwerken (die wet is recent door de Eerste Kamer aangenomen ), mensen moeten niet volgbaar zijn over bezoeken van verschillende evenementen heen, het moet niet mogelijk zijn om aan de poort te zien wat de reden van het verlaagde risico is (zoals een test of juist een vaccinatie), er moet geen centrale database komen van die gegevens en het is niet nodig om al je gegevens in een bewijs op te nemen om het waarschijnlijk genoeg te maken dat het bewijs inderdaad bij jou hoort.

Dat nadenken over gegevensbescherming heeft geleid tot CoronaCheck, een app waarin je de gegevens van jouw negatieve test (en straks ook je vaccinatie) veilig ophaalt bij de testaanbieder en opslaat op (alleen) je eigen telefoon, en er een QR-code van maakt die kan worden gescand. Maar dan wel op een manier waardoor de risico’s die ik hiervoor noemde sterk zijn verminderd.

Zo verandert de QR-code voortdurend (en heeft het dus geen zin om QR-codes te vergelijken als je meerdere evenementen bezoekt), is in de QR-code niet opgenomen of het gaat om een negatieve test of een vaccinatie en zijn alleen je initialen, je geboortedag en geboortemaand opgenomen. Omdat soms ook initialen heel zeldzaam zijn hebben we er (op basis van gegevens van het Meertensinstituut) zelfs voor gezorgd dat nog minder informatie wordt getoond bij zeldzame initialen.

De QR-code die je laat zien bij een deur is daarmee niet volgbaar over locaties heen, zegt niet of je een test of vaccinatie hebt gehad en vertelt niet precies wie je bent.

De manier waarop het werkt is beschreven in de wet en in de komende wettelijke regelingen. Binnenkort gaat ook de DPIA die het helemaal uitlegt naar de Tweede Kamer. Zodat voor iedereen duidelijk is hoe het werkt, welke gegevens verwerkt worden en door wie. De broncode van de app staat op GitHub zodat iedereen kan controleren dat het ook echt zo werkt.

De ontwikkeling van de wet, het bedenken van de werkwijze en het ontwerpen en maken van de techniek gingen de afgelopen maanden hand in hand. Beleid en uitvoering als werelden die elkaar beïnvloeden om te komen tot privacy by design. Of wat mij betreft dus beter nog: design by privacy.

Gaat het dan alleen om privacy? Nee, zeker niet. Privacy, security en toegankelijkheid zijn het uitgangspunt. Niet alleen van de app, ook van de keten. Zo moeten testaanbieders die aansluiten op CoronaCheck aan allerlei eisen voldoen.

Design by privacy, security en toegankelijkheid: het lijkt ingewikkeld en begrenzend, maar het is het juist niet. Het leidt tot innovatieve oplossingen en is zelfs extra leuk. Zo leuk dat de ontwikkelaars die dit nu een tijdje samen doen zelf met voorstellen komen hoe privacy wellicht nog net iets beter ingebed kan.

Vandaag werden in behoorlijk wat ziekenhuizen in Nederland mensen gevaccineerd tegen COVID-19. Dit keer ging het niet om eigen personeel, maar onder andere om zorgmedewerkers van zelfstandige klinieken. Ik was zelf even in het AMC, en zag een perfect georganiseerde logistieke operatie. Het prikken zelf, de logistiek, de registratie: het verliep vloeiend.

Die registratie was wel een ding. Vaccinatie van eigen personeel kan worden geregistreerd door de arbodienst, prikken van patiënten kunnen vastgelegd in het EPD. Maar voor registratie van gezonde anderen, daar is geen logische plek voor.

Vandaag werden vaccinaties voor het eerst vastgelegd in een nieuw registratiesysteem: ZKVI (dat staat voor ziekenhuizen kunnen vaccinaties invoeren). Een systeem gemaakt onder verantwoordelijkheid van VWS, door bevlogen mensen van wie velen uit de hackerswereld komen en ook betrokken zijn bij BRBA, CoronaMelder, CoronaCheck en GGD Contact.

Van BRBA heb je waarschijnlijk nog nooit gehoord. Het werd in december 2020 in een paar weken tijd ontwikkeld door al een deel van deze mensen. Het is een doorgifteportaal voor die situaties waarin geen dossiersysteem voorhanden is dat gegevens kan doorleveren aan het centrale registratiesysteem CIMS van het RIVM. Het was een huzarenstuk: in enkele weken tijd een veilig en in heel Nederland bruikbaar systeem neerzetten.

Een paar weken geleden werd duidelijk dat ook ziekenhuizen een rol zouden kunnen gaan spelen in de opschaling van de vaccinatiecampagne. De LNAZ, NVZ, NFU, het RIVM en natuurlijk alle betrokken ziekenhuizen werkten daaraan. Vandaag was er een pilot met kliniekmedewerkers. Maar waarin moesten die prikken dan geregistreerd en hoe zou dat proces er uit zien? Wij dachten dat het mogelijk moest zijn om voortbordurend op BRBA een vaccinatieregistratiesysteem te bouwen. Ook nu weer in een paar weken tijd. Veilig, voldoend aan alle normen ten aanzien van informatiebeveiliging en privacy en daarnaast gebruiksvriendelijk en het proces optimaal ondersteunend. Met ook een koppeling naar CIMS van het RIVM en naar CoronaCheck voor het komende vaccinatiebewijs.

ZKVI Screenshot

Vandaag heb ik het in de praktijk kunnen zien: het is ze weer gelukt. Op dezelfde onconventionele manier als eerder BRBA. Geen ellenlange vergaderingen maar korte online standups als het nodig is. Met werkweken die weinig ruimte laten voor slaap, met oplossingen in enkele uren waar het in normale tijden weken zou duren en tegelijkertijd met heel veel lol. Die lol zie je bijvoorbeeld terug in de namen van de componenten. De huisdieren van veel betrokkenen komen daar in voor. Bijvoorbeeld die van Jack en Jane, de konijnen van de verpleegkundige bij het Erasmus Medisch Centrum die meehielp om de processen te beproeven en te optimaliseren. Zodat elke prikker 60 mensen per uur kan vaccineren en de registratie vloeiend gaat.

Ook ZKVI wordt binnenkort open source. Verschillende onderdelen ervan zullen we apart publiceren. Want terwijl we ZKVI maakten zijn voor allerlei veel voorkomende situaties in de zorg nieuwe oplossingen bedacht. Voor BSN-verificatie bijvoorbeeld, en voor login met de UZI-pas.

De dossiervoering is natuurlijk niet van VWS maar van de ziekenhuizen zelf. Daarom is het beheer van ZKVI overgedragen aan Dutch Hospital Data. Zij ondersteunen alle ziekenhuizen bij het gebruik van het systeem. De nerds die ZKVI maakten waren direct blij met de samenwerking met DHD. “Ze lijken op ons” was de conclusie. En uit de monden van deze mensen is dat misschien wel het grootste compliment dat je kunt krijgen.

Het is een eer om met deze groep (en de mensen van DHD) te mogen werken. Dank jullie wel:

Anne Jan Brouwer, Barbara Gelauf, Bjorn Hamoen, Brenno de Winter, Christiaan den Besten, Cleo van Engelen, Dennis van Zuijlekom, Dorus-Jan ten Boom, Elger Jonker, Erwin Hager, Esther Ton, Fatma Sevinc, Gert-Jan van Boven, Heleen Klopper, Herman Rink, Ilona Mallisse, Ivo Tamboer, Jaap Hoorenman, Jan Klopper, Janneke van de Brand, Jeroen Baten, Jochem Broekhuizen, Joost Beukers, Joshua Thijssen, Justin Loew, Klaas-Wouter Geleynse, Kura Kinfe, Lynn Reijnders, Mark Janssen, Max Vasterd, Mendel Mobach, Mike Sijmons, Nick ten Cate, Niels Hatzmann, Paul Dam, Pauline Vos, Peter Paul van Gemerdern, Peter Seignette, Pier Nauta, Rafeal Dulfer, Renze Nicolai, Ritva Kirpestein, Rob Sijmons, Sijmen Ruwhof, Willem van Asperen en Yvo von Berg.