mei 2019

Huisartsen verwijzen hun patiënten met regelmaat naar (een specialist in) een ziekenhuis. Ze blijven daarbij betrokken bij de behandeling. Die betrokkenheid kan bijvoorbeeld worden vormgegeven door toegang tot (alleen de) voor hen relevante informatie van hun eigen patiënten in een EPD bij een ziekenhuis. De vraag wordt vaak gesteld of daar aparte toestemming van patiënten voor nodig is.

Of die aparte toestemming van patiënten nodig is, hangt af van de vraag of gebruik wordt gemaakt van een elektronisch uitwisselingsysteem. In de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (de Wabvpz) is daarvan een definitie opgenomen: “een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder, voor het bijhouden van een elektronisch dossier”.

De wetgever heeft aan het gebruik van dit soort systemen nadere eisen gesteld. Dit omdat anders dan met zogenaamd “push-verkeer” gegevens over de gezondheid raadpleegbaar worden gemaakt, zonder dat de zorgaanbieder (op wie het medisch beroepsgeheim rust) nog directe controle heeft over de raadplegingen door andere zorgaanbieders. Voor het beschikbaar stellen van gegevens via een dergelijk elektronisch uitwisselingssysteem is uitdrukkelijke toestemming van de patiënt nodig.

De uitdrukkelijke toestemming die op grond van de Wabvpz is vereist voor het raadpleegbaar maken van gegeven via een elektronisch uitwisselingssysteem, is ook in lijn met de eisen die de AVG stelt aan de verwerking van gegevens over de gezondheid. Gelet op de AVG is een opt-out regeling voor het gebruik van elektronische uitwisselingssystemen dan ook niet toegestaan.

Of toegang van huisartsen tot een zorgverlenersportaal van een ziekenhuis moet worden aangemerkt als een elektronisch uitwisselingssysteem hangt af van de concrete inrichting van dit portaal. Bij de behandeling van de Wabvpz is aangegeven dat het gebruik van een portal waarmee bijvoorbeeld door middel van een inlogcode alleen de eigen huisarts gegevens als lab-uitslagen en specialistenbrieven kan ophalen, feitelijk eenzelfde situatie oplevert als bij push-verkeer die valt onder de veronderstelde toestemming op grond van de Wet op de geneeskundige behandelingsovereenkomst. Als een zorgverlenersportaal langs die lijn is ingericht, kan uitdrukkelijke toestemming op grond van artikel 15a van de Wabvpz achterwege blijven. Dan immers houdt de zorgaanbieder controle over wie er toegang heeft tot welke informatie.

Kortom: het is de inrichting die bepalend is of aparte toestemming nodig is.

Gisteren schreef ik een persoonlijke blog over de reden van mijn inzet voor privacy en vertrouwelijkheid bij gegevensuitwisseling. Onbedoeld was het ook een bewijs voor de Wet van Godwin, maar dat terzijde.

Voor mij is privacy geen reden om nooit gegevens uit te wisselen. In tegendeel: voor mij gaan privacy en gegevensuitwisseling hand in hand. Ook in de zorg. Juist door aandacht voor de bescherming van gegevens ontstaat het vertrouwen dat nodig is om goede zorg te leveren en de informatie uit te wisselen die daarvoor nodig is. Tussen zorgprofessionals en hun patiënten, en tussen zorgprofessionals onderling.

Voor het tijdperk van Internet ging die communicatie via de telefoon, de fax of de post. Op papier maar ook op USB-sticks, CD-ROMS en DVD’s. Dat is niet altijd veilig. Met het briefgeheim hebben we bijvoorbeeld wel organisatorisch geregeld dat de postbode niet in de per brief verstuurde gegevens mag kijken, maar technisch onmogelijk is het niet. Een mesje is voldoende om de envelop te openen en de medische gegevens te lezen. En USB-sticks kunnen worden verloren.

Digitalisering maakt meer beveiliging en aandacht voor privacy niet alleen mogelijk. Het is door de toegenomen massaliteit ook nodig. Ik kreeg van meerdere kanten een reactie op een persoonlijke mening (al mijn blogs zijn persoonlijke mening trouwens) in een recente blog over dubbele toestemming. Ik schreef:

Het zou overigens, om veel redenen, wat mij betreft goed zijn als er zo weinig mogelijk van dergelijke indexen buiten instellingen zelf zouden zijn.

Eén van de redenen waarom ik dit vind is dus privacy. Het lijkt zo makkelijk: een index van organisaties die gegevens over mij hebben. Maar als dat niet nodig is, dan zou ik dat niet erg vinden. Want een index die zegt dat een “mannenkliniek voor prostaataandoeningen” iets van mij weet, of een “instelling voor GGZ-hulp”, dat is geen onschuldige informatie. Soms ontkom je daar niet aan, maar als het met nieuwe technieken mogelijk is zonder, dan liever zonder.

Daarom ook vind ik het helemaal niet zo gek dat er onderzoek komt naar de technische (on)mogelijkheden van “end-to-end-encryptie” in digitale uitwisseling in de zorg. Want waar bij de post briefgeheim nodig is als organisatorische maatregel, kan de beveiliging van elektronische gegevensuitwisseling misschien uiteindelijk wel zo dat niemand anders dan zender en ontvanger de medische gegevens kunnen lezen. Ik snap best dat dat niet zomaar voor alles geregeld is en dat de huidige technieken dat niet altijd mogelijk maken. En ik snap ook best dat het misschien niet altijd en overal zal kunnen. Maar dat neemt niet weg dat ik vind dat het onze gezamenlijke opgave is om de vertrouwelijkheid tussen dokter en patiënt ook technisch te borgen waar het kan. Alle technische voorstellen om dat stap voor stap voor elkaar te krijgen zijn welkom. Juist omdat vertrouwen in de uitwisseling van gegevens en privacy hand in hand gaan.

Ik heb het nooit gezien maar kan het me wel voorstellen: mijn moeder met een ster. Wat ik ook nooit heb gezien maar me wel kan voorstellen: mijn vader die al spelend van de Duitsers stal. Gisteravond was ik samen stil met mijn kinderen. Niet omdat ik er op aandrong, maar omdat ze het zelf wilden. Ik was trots. Vrijheid lijkt iets vanzelfsprekends. Maar dat is het niet, toen niet en ook nu niet.

Ik ben van na de oorlog en moet het doen met die voorstellingen in mijn hoofd. Voorstellingen die al werden gebouwd in mijn jeugd waarin de oorlog nog een veel grotere rol speelde dan in de jeugd van mijn eigen kinderen. Bij mijn oma, die boos was op mijn opa als hij handelde met “de moffen”. In de familie van mijn moeder, waar het leed werd weggestopt. Als een struisvogel, ondanks de tientallen namen van directe familie in het boek dat ik in de kast heb staan met de namen van 101.414 joodse oorlogsslachtoffers die tijdens de Tweede Wereldoorlog uit Nederland werden gedeporteerd en van wie geen graf bekend is. Wegstoppen werkte maar even. Aan het einde van haar leven kwam de oorlog in alle heftigheid terug in het hoofd van mijn oma.

Ik leef. Waar veel familieleden nooit kinderen hebben gekregen omdat ze omkwamen in plekken met beruchte namen als Auschwitz, overleefde mijn moeder wel. En dus kon ik, ruim twintig jaar na de oorlog, geboren worden. In het “Over mij” staat al een tijdje dat ik iets heb met privacy. Ik heb er iets mee omdat ik wel geboren kon worden.

Het briefje dat ik erfde toen mijn opa overleed is simpel, en de betekenis vooral duidelijk met terugwerkende kracht. “Door een brand in het bevolkingsregister kan ik u niet van dienst zijn”. Het register, met daarin de gegevens van meer dan 70.000 Amsterdamse Joden, was doelwit geweest van een aanslag. Maar een paar van de aanslagplegers overleefden de oorlog. Hun doel: het moeilijker maken om mensen met een Joodse achtergrond op te pakken.

Vandaag vier ik de vrijheid. Vrijheid die ook kan bestaan doordat Gerrit van der Veen, Willem Arondéus, Johan Brouwer, Rudi Bloemgarten (een joodse verzetsman) en nog een aantal anderen hun leven gaven om ervoor te zorgen dat gegevens niet in de handen kwamen van de foute mensen.

Informatie delen doen we elke dag. Echte vriendschap kan alleen bestaan als je gekend bent en ook kwetsbare informatie in vertrouwen kunt delen. Goede zorg kan bestaan in de vertrouwelijke uitwisseling van informatie tussen dokter en patiënt. Kwetsbare informatie delen, kortom, kan alleen in het vertrouwen dat die niet misbruikt wordt.

Ik wil in vertrouwen gekend kunnen zijn. Daarom vier ik vandaag niet alleen de vrijheid. Vandaag vier ik ook de privacy.