“Een noodsituatie vergt noodmaatregelen. Daar zijn we ons terdege van bewust. Maar ook noodmaatregelen moeten proportioneel, transparant en toetsbaar zijn. En daar lijkt de Autoriteit Persoonsgegevens (AP) nu toch een belangrijke steek te hebben laten vallen”, concluderen Platform Bescherming Burgerrechten, Privacy First, Humanistisch Verbond en Stichting KDVP.
“Omdat die haar goedkeuring heeft gegeven aan een problematische noodmaatregel, de zogenaamde ‘corona opt-in’, waarmee het medisch beroepsgeheim systematisch buitenspel wordt gezet. De medische privacy van alle Nederlandse burgers komt hiermee in gevaar.”
Platform Bescherming Burgerrechten, Privacy First, Humanistisch Verbond en Stichting KDVP hebben hun gezamenlijke standpunt gepubliceerd op de website van Platform Burgerrechten.
Waar gaat het om?
Ruim de helft van alle Nederlanders heeft nog geen toestemming gegeven om hun medische gegevens via het Landelijk Schakelpunt (LSP) te laten uitwisselen door zorgverleners.
Daardoor is er een groot niemandsland van potentiële corona-patiënten waarvan huisartsenposten en ziekenhuizen niet weten wat hun medische achtergrond is.
Terwijl ze daar wel behoefte aan hebben, als de nood aan de man komt. Vandaar dat ze aan het ministerie van VWS gevraagd hebben om daar iets voor te regelen.
Het ministerie van VWS heeft hiervoor de zogenaamde ‘corona opt-in’ bedacht. Een verwarrende term, omdat er door die maatregel juist géén expliciete toestemming (opt-in) meer vereist is; er wordt uitgegaan van een soort stilzwijgende toestemming dat je gegevens gedeeld mogen worden via het LSP. Tenzij je alsnog bezwaar maakt.
De nieuwe praktijk wordt daarmee: wie zwijgt, stemt toe (opt-out). Wat wettelijk gezien gewoon niet mag.
Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens vindt deze ‘corona opt-in’ niet bezwaarlijk, met dien verstande dat de patiënt nog wel even ter plekke toestemming moet geven.
In haar reactie op het voorstel stelt de AP: “Artsen op de huisartsenpost of spoedeisende hulp mogen alleen met toestemming van coronapatiënten het medisch dossier bij hun huisarts inzien via een elektronisch uitwisselingssysteem. Wie nog geen toestemming heeft gegeven, kan dat ter plekke doen. Dat mag in dit geval ook mondeling. Alleen als een patiënt niet in staat is om toestemming te geven, is inzage zonder toestemming toegestaan.”
Medisch beroepsgeheim massaal omzeild
Klinkt logisch en redelijk. Vooral ook vanwege de extra voorwaarden die de AP heeft toegevoegd, zoals: dat deze maatregel tijdelijk is, en dat de gegevens alleen ingezien mogen worden door de huisartsenpost of de spoedeisende hulp. Maar toch kleven er aan deze oplossing belangrijke bezwaren. We noemen er vier (maar er zijn er nog meer).
Eerste probleem
Ten eerste is er een technisch probleem. Je kunt als patiënt wel zéggen dat je toestemming geeft, maar dan kan de arts nog steeds niet in je dossier. Degene die je dossier moet ontsluiten is namelijk de huisarts die je medische gegevens heeft vastgelegd in zijn patiëntdossier.
Deze noodmaatregel is nou juist bedoeld om het beroepsgeheim dat daarop rust te omzeilen.
Hoe dit logistiek moet worden gerealiseerd, wordt niet helder uit de brief van de AP. Maar wie is ingewijd in de technische kant van het LSP, weet dat dit alleen maar kan door álle dossiers waarvoor nog geen toestemming voor uitwisseling is gegeven, alsnog te ontsluiten (via een update van huisarts-systemen).
Een volkomen disproportionele maatregel. En ook nog bloedlink, getuige het tweede probleem.
Tweede probleem
Het tweede probleem is ook technisch van aard: de raadpleging van je dossier zou beperkt moeten blijven tot de zorgverleners die direct bij je behandeling zijn betrokken. Maar dat is in het LSP technisch niet mogelijk.
Dit informatiesysteem biedt geen mogelijkheid tot gericht opvragen: het is alles of niets. In dit geval dus alles, oftewel iedere zorgverlener aangesloten op het LSP. Dat zijn tienduizenden potentiële ingangen voor hackers.
De Eerste Kamer, die het LSP in 2011 unaniem verwierp, noemde het systeem daarom destijds “een dossier met duizend deuren aan de achterkant.”
Derde probleem
De ‘corona opt-in’ biedt daarmee slechts een schijnzeggenschap aan de patiënt – het derde bezwaar. Ongeacht of de patiënt toestemming geeft, zal diens dossier namelijk technisch al open staan voor raadpleging vanuit tienduizenden toegangspunten.
De toestemming die patiënten volgens de AP moeten geven, is daarmee niets meer dan een holle formaliteit.
Door in haar brief aan het Ministerie van Volksgezondheid ten onrechte te stellen dat deze toestemming een harde eis is om het dossier raadpleegbaar te maken, gaat de AP voorbij aan de verstrekkende technische implicaties van deze maatregel – en daarmee ook de juridische.
Vierde probleem
Daarmee komen we aan bij het vierde en overkoepelende bezwaar. De AP houdt officieel toezicht op de naleving van privacywetten, maar nergens in haar brief valt te lezen op welke wettelijke basis de ‘corona opt-in’ is gebaseerd.
Evenmin wordt duidelijk waarom de AP van mening is dat de voorgestelde ‘corona opt-in’ een noodzakelijke en proportionele maatregel en dat dit probleem niet op een minder ingrijpende manier kan worden opgelost.
Van een privacytoezichthouder in crisistijd mogen we een transparant en grondiger onderbouwd oordeel verwachten, waarbij bovenstaande gevolgen van de ‘corona opt-in’ expliciet worden meegewogen.
Toezicht op naleving van de privacywetgeving en de principes van het privacyrecht zijn de kerntaken van de AP, juist in crisistijd.
Als iemand nu het hoofd koel moet houden en niet mee moet gaan in overhaaste crisismaatregelen met onoverzienbare gevolgen, is het de nationale toezichthouder op de privacy.
Platform Bescherming Burgerrechten Privacy First Humanistisch Verbond Stichting KDVP
Door COVID-19 worden patiënten vaker verwezen naar huisartsenposten (HAP) en de spoedeisende hulp (SEH). Steeds meer huisartsenposten leveren 24/7 zorg aan patiënten met een mogelijke coronabesmetting om de huisartsenpraktijken te ondersteunen. Als de huisartsenpost en SEH inzage hebben in de belangrijkste gegevens van de eigen huisarts, kunnen mensen sneller de juiste zorg krijgen en blijven de wachttijden beperkt. Ook als mensen vanwege de drukte door een huisartsenpost, coronapost of ziekenhuis buiten hun eigen regio worden behandeld, is het belangrijk dat de arts deze gegevens van de huisarts kunnen raadplegen.
Normale situatie
In de normale situatie kan de huisartsenpost alleen een samenvatting van jouw medische gegevens van de huisarts raadplegen en alleen als je hiervoor toestemming (‘opt-in’) hebt gegeven bij de huisarts of via volgjezorg.nl. Bijna 8 miljoen Nederlanders hebben dat gedaan. Een klein deel heeft aangegeven dat hun gegevens niet gedeeld mogen worden. Ongeveer de helft van de Nederlanders heeft (nog) geen keuze gemaakt.
Tijdelijke oplossing
Uitsluitend tijdens de coronacrisis kunnen de huisartsenpost en de SEH ook een samenvatting van de medische gegevens van de huisarts raadplegen als je geen keuze hebt gemaakt. Het ministerie van Volksgezondheid, Welzijn en Sport heeft hiervoor op 8 april 2020 een tijdelijke maatregel getroffen. Dat betekent dat veel meer mensen snel en goed geholpen kunnen worden.
Huisartsenorganisaties (NHG, LHV, InEen), Patiëntenfederatie Nederland, VZVZ, zorgverzekeraars (ZN) en het ministerie van Volksgezondheid Welzijn en Sport (VWS) zorgen er samen voor dat dit veilig en verantwoord gebeurt. Ook de Autoriteit Persoonsgegevens, de Inspectie Gezondheidszorg en Jeugd en het Openbaar Ministerie blijven volgen of dit veilig en verantwoord gebeurt. Na de coronacrisis zijn de gegevens van Nederlanders die geen keuze hebben gemaakt niet meer te raadplegen bij de huisartsenpost en de SEH. Dan geldt weer de normale situatie.
Jij houdt de regie
Heb je contact met de huisartsenpost of de SEH, dan wordt je gevraagd of je het goed vindt dat de gegevens van de huisarts worden geraadpleegd. Zo houd je zelf de regie. Alleen als je niet aanspreekbaar bent, kunnen de huisartsenpost of de SEH de gegevens zonder die mondelinge toestemming raadplegen. Je kunt ook altijd precies zien wat er met jouw gegevens gebeurt. Dat kan door op deze website in te loggen bij het inzageportaal. Je ziet daar of jouw gegevens beschikbaar zijn gesteld. Je kunt ook zien of jouw gegevens zijn geraadpleegd en door wie.
Wil je niet dat jouw gegevens worden gedeeld?
Dan kun je dit bij je huisarts melden of online aangeven op volgjezorg.nl. Je hebt daar DigiD met SMS-functie of de DigiD-app voor nodig. Hou er wel rekening mee dat het door de drukte wat langer dan gebruikelijk kan duren voordat de huisarts jouw keuze heeft verwerkt. Heb je eerder al aangegeven dat je niet wil dat je gegevens worden gedeeld, dan gebeurt dat ook nu niet.
Jouw toestemming (zowel een ‘JA’ als een ‘NEE’) kun je op drie manieren regelen:
*Online regelen kan door in te loggen op je ‘Persoonlijke omgeving’. Ga dan naar ‘Toestemmingen’ en klik op ‘Zorgaanbieder +’. Zoek je zorgaanbieder en klik deze aan. Je kunt nu ‘Ja’ of ‘Nee’ aangeven. Dit zorgt ervoor dat er een ‘opt-in’ of ‘opt-out’ naar de zorgaanbieder wordt verstuurd.
Let op: online regelen kan alleen als je zorgaanbieder is aangesloten op Volgjezorg en het Landelijk Schakelpunt. Is je huisarts of apotheek dat niet, dan kun je online een formulier invullen en dat printen. Vervolgens geef je dit af bij je zorgaanbieder(s).
Het verwerken van die keuze door de huisartsenpraktijk / apotheek kan door de coronacrisis wel wat langer duren dan gebruikelijk.
Huisarts Hans Gimbel uit Heerhugowaard waarschuwt aan de hand van dagelijkse praktijkvoorbeelden voor absurde en onveilige gevolgen van de AVG in de zorgsector.
Gimbel is lid van de Ledenraad van Landelijke Huisartsen Vereniging (LHV). Hij schreef op persoonlijke titel een opiniestuk voor de Volkskrant. Dit veelgelezen stuk is ook gedeeld op de website Netkwesties.
Volgens Gimbel zorgt de Algemene Verordening Gegevensbescherming voor onnodige schadelijke rompslomp in de zorg en wordt medisch handelen beletseld.
Absurde en gevaarlijke vereiste in de zorg
“Door de nieuwe privacywetgeving kunnen artsen sinds 25 mei niet meer bij de gegevens van patiënten zonder hun uitdrukkelijk verleende schriftelijke toestemming. Een even absurde als gevaarlijke vereiste in de zorg”, schrijft Gimbels.
“Op 25 mei 2018 is de AVG (Algemene Verordening Gegevensbescherming) van kracht geworden. Brussel vond dat de privacy van burgers wel een steuntje in de rug kon gebruiken. Daar was zeker wat voor te zeggen als je ziet hoe commerciële organisaties als Facebook en Google met gegevens op internet omgaan.”
AVG in zorg is vanwege eed van Hippocrates overbodig
“Helaas heeft Brussel in één moeite door ook de alle andere sectoren meegenomen, waaronder de zorg. Volkomen onnodig, aangezien in de zorg al van oudsher het medisch geheim geldt, bekrachtigd met de eed van Hippocrates (460 voor Christus!) die elke arts aflegt.”
“Helaas pakt deze wet voor de zorg desastreus uit. Alle medische gegevens zijn achter een schier onneembare burcht geplaatst met als gevolg dat artsen niet bij de gegevens van de patiënt kunnen. Dat is natuurlijk niet de bedoeling, maar wel het gevolg van de wet.”
Huisartsen geen toegang tot patientendossier in regionaal ziekenhuis
“In onze regio, waar in het grote regionale ziekenhuis toevallig ook net een nieuw EPD (Elektronisch Patiënten Dossier) werd ingevoerd, kon de huisarts van de ene op de andere dag niet meer bij de gegevens van zijn patiënten.”
“Als een patiënt bij de specialist onder behandeling is, is het belangrijk dat ook de huisarts over die gegevens kan beschikken. Bijvoorbeeld bij het voorschrijven van bepaalde medicijnen is het belangrijk te weten wat de nierfunctie van de patiënt is. Voorheen kon de huisarts dat opzoeken in het ziekenhuissysteem via een beveiligde weg.”
“Nu is die route afgesneden met als gevolg dat de huisarts opnieuw bloedonderzoek moet laten doen. Ook andersom, als de specialist de onderzoekgegevens van de patiënt bij de huisarts nodig heeft, kan hij sinds 25 mei niet meer bij deze gegevens.”
Chirurg mag röntgenfoto gebroken enkel niet bekijken
“Als de huisarts bij een patiënt met een enkelletsel een foto laat maken en deze patiënt heeft een gebroken enkel, dan mag de chirurg niet kennis nemen van de foto, tenzij de patiënt schriftelijk toestemming heeft gegeven. Het lijkt absurd, maar het is helaas de werkelijkheid.”
AVG zorgt voor veel bureaucratie
“Om zorgverlening toch mogelijk te maken hebben juristen een administratief monstrum bedacht. De huisarts mag pas kennis nemen van de gegevens van een patiënt nadat de patiënt een schriftelijke verklaring heeft afgegeven aan het ziekenhuis. Deze formulieren komen op een grote stapel te liggen en worden vervolgens handmatig in het systeem ingevoerd. Zo gaat het althans in onze regio. Het invoeren van alle patiënten gaat maanden duren.”
Aanmelden op zorgportaal werkt omslachtig of niet
“Vervolgens moet de huisarts zich met een speciale pas, een zogenaamde UZI-pas, aanmelden bij het zorgportaal van het ziekenhuis.”
”Dat kan niet met elke webbrowser en ook niet met elke computer. Voorlopig is het voor Apple-computers nog niet mogelijk. Pas dan is het mogelijk de gegevens te raadplegen, tenminste als de patiënt een schriftelijke verklaring heeft afgegeven dat hij dat goedkeurt.”
Probleem als patient voor eerste keer in ziekenhuis komt
”Is die verklaring er niet, bijvoorbeeld omdat men verzuimd heeft dit te vragen, of omdat de patiënt nog niet eerder in het ziekenhuis is geweest, dan kun je alsnog niet bij de gegevens.”
“Het kan niet anders dan dat onvoldoende is nagedacht wat de consequenties van deze wet voor de zorg zijn”, schrijft Gimbel. “Desondanks is een speciale instantie in het leven geroepen, de Autoriteit Persoonsgegevens met PvdA’er Aleid Wolfsen aan het hoofd, die scherp toeziet op goede naleving van de regels uit Brussel. Overtredingen worden zwaar bestraft met boetes die kunnen oplopen tot 20 miljoen euro! De schrik zit er daarom goed in bij de zorgverleners.”
AVG houdt geen rekening met belangen patienten
“Bij het invoeren van deze privacywet is de patiënt geheel uit beeld verdwenen. Privacyregels zijn bedoeld om het belang van de burger te beschermen en niet om zijn zorgverlening te blokkeren. Geen patiënt zal tegen de chirurg zeggen dat hij wel zijn gebroken enkel mag repareren, maar niet naar de foto mag kijken.”
Advies van huisarts Gimbel
“Laat een zinloze schriftelijke toestemming achterwege. Het kan alleen maar problemen opleveren, als de verklaring er per ongeluk niet is. We zijn in de zorg al jaren bezig de administratieve rompslomp terug te dringen. Alle politieke partijen staan hierachter. Mondjesmaat leek dat te gaan lukken en nu zijn we met één decreet uit Brussel weer jaren teruggeworpen.”
“De zorgverlener moet nu cursussen gaan volgen hoe hij de gegevens volgens de Brusselse regels moet opbergen, er moeten registers worden aangelegd, overeenkomsten, tientallen pagina’s dik, getekend met allerlei toeleveranciers, met beheerders van de computersystemen, van praktijk- websites, van de telefooncentrale op de praktijk, met de personeelsadministratie enz. De enorme hoeveelheid tijd hieraan besteed gaat ten koste van de zorg aan de patiënt.”
Zonder de zorg uit van deze bureaucratische privacywet
“Iedereen zal het erover eens zijn dat in de zorg de patiënt centraal staat. Dat betekent dat privacyregels het zorgproces niet mogen frustreren. Het zal toch mogelijk moeten zijn Brussel duidelijk te maken dat wat goed is voor Google niet goed hoeft te zijn voor de zorg. Privacy is bovendien van oudsher al goed geregeld in de zorg. Zonder daarom de zorg uit van deze bureaucratische privacywet. De patiënt zal er wel bij varen.”
Het is tien uur ‘s ochtends. Je ligt in het ziekenhuis op een verpleegzaal met drie andere patienten. Je behandelend specialist maakt samen met de verpleegsters een ronde. Jij krijgt alles mee over de ziekte van je kamergenoten.
Hoe zit het eigenlijk met de AVG op verpleegzalen in ziekenhuizen?
Veel artsen en patienten worstelen met de Algemene Verordening Gegevensbescherming (AVG). Hoe ga je om met privacy in wachtkamers en kamers in ziekenhuizen waar meerdere patienten liggen?
Sommige artsen en patienten denken dat niets meer mag. Artsen laten voor de zekerheid krampachtig patienten een verwerkingsovereenkomst tekenen waarin zij akkoord gaan met het omroepen van hun naam als ze aan de beurt zijn.
Het gaat verder met de samenwerking met andere artsen en eindigt met een overeenkomst over samenwerking met de zorgverzekeraar.
Absurd. Nergens voor nodig.
Om te beginnen is er volgens de AVG geen toestemming vereist voor de omroepen van de naam van patienten die aan de beurt zijn. Het anonimiseren van patienten door nummers te gebruiken is dus niet nodig.
Hoe zit het met privacy op de verpleegzaal met 4 bedden?
Hetzelfde geldt ook voor verpleegzalen met meerdere bedden in het ziekenhuis. Ook hier is het niet nodig om de individuele patiënten (in hun bed) telkens te verplaatsen naar een seperate behandelkamer waar het medische team slechts met één patiënt kan praten.
De samenwerking met andere artsen, laboratoria en zorgverzekeraars kan worden samengevat onder de noemer “ontheffing van de geheimhoudingsplicht”.
In principe vallen alle verwerkingen die nodig zijn om aan het verwerkingscontract te voldoen, onder het verwerkingscontract.
Toestemming is niet vereist!
Diverse andere wetten verlenen artsen ook transmissiebevoegdheden.
De gegevens kunnen ook worden doorgestuurd naar de ziektekostenverzekeraars. Anders zouden ze geen rekeningen kunnen vereffenen met de artsen.
Minister Hugo de Jonge (CDA) van Zorg heeft een wetsvoorstel ingediend om zorgfraude te bestrijden, maar daarvoor moeten wel medische gegevens van patiënten gedeeld worden met onder meer gemeenten en de Belastingdienst. Artsen zijn daar mordicus op tegen.
Aantasting van het medisch beroepsgeheim en aantasting van de privacy van de patiënt.
“Wij denken dat het een aantasting van het medisch beroepsgeheim is, en een aantasting van de privacy van de patiënt”, zegt voorzitter René Heman van de Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst (KNMG). Dit is een federatie van beroepsverenigingen van artsen die de belangen van artsen in Nederland behartigt.
Artsen zijn nu al verplicht beperkte medische gegevens van hun patiënten door te geven aan zorgverzekeraars. Het nieuwe voorstel geeft aan dat die gegevens ook weer met derden gedeeld kunnen worden. “Dat vinden wij geen goede zaak”, zegt Heman.
De gemeenten, de zorgverzekeraars, de zorgaanbieders, de FIOD, de Inspectie gezondheidszorg (IGZ), de Inspectie SZW, de belastingdienst, de zorgautoriteit NZA en de Sociale Verzekeringsbank worden straks verplicht om op verzoek (medische) gegevens aan te leveren aan een centraal informatiepunt.
Dit zogeheten Informatie Knooppunt Zorg (IKZ) zal op basis van een vermoeden van fraude bij de deelnemende organisaties relevante gegevens opvragen om dit vermoeden verder te onderzoeken.
Zodra het knooppunt een conclusie heeft getrokken wordt dit teruggekoppeld aan de deelnemende partijen, zodat deze daar vervolgens actie op kunnen ondernemen bij het bestrijden van fraude.
Het knooppunt gaat ook statistische rapportage en trendanalyses over fraude in de gemeentelijke zorg maken.
Bevechten van beroepsgeheim als principe
“Het bevechten van de grenzen van het beroepsgeheim blijft belangrijk, een principieel punt”, zegt huisarts Toosje Valkenburg uit De Bilt. Ondanks dat is Valkenburg niet tegen de intenties achter het plan. “Je gaat niemand vinden die zegt: wat een ontzettend goed idee, die fraude. Maar deze maatregel is niet proportioneel.”
Alternatieven voor wet
Heman geeft aan niet te snappen waarom er geen alternatieven worden gebruikt, in plaats van deze nieuwe wet. “We hebben twee jaar geleden een convenant gesloten over de inzet van onafhankelijke artsen. Zij maken van in beslag genomen gegevens een verslag, dat anonimiseren ze en dat gaat naar de overheidsinstellingen.”
Met dit plan is echter nog nooit iets gedaan. “Sinds 1 januari 2017 zijn zij in de lucht, maar ze zijn nog nooit ingezet door het Openbaar Ministerie.”
De Algemene Verordening Gegevensbescherming zorgt voor verwarring en irritatie. Apothekers die van wege de AVG plotseling geen medicijnen meer meegeven voor je partner. Dat is toch niet praktisch in een tijd dat er door de overheid meer mantelzorg vereist wordt?
Studenten die plots een nummer geworden zijn in schoolroosters. Voelt niet goed en is lastig. Moet dat nou zo?
RTL Nieuws zocht het uit.
De apotheker heeft gelijk. Hij mag medicijnen voor een ander alleen meegeven als daar een machtiging voor is afgegeven. Maar dat was altijd al zo. Apothekers die dat tot dusver niet deden waren dus in overtreding.
Onderwijsinstellingen die denken te voldoen aan de AVG door namen van studenten te ‘anonimiseren’ door een nummer te gebruiken slaan de plank mis. De nummers zijn te herleiden tot de namen en worden daarom als persoonsgegevens gezien door de Autoriteit Persoonsgegevens. De scholen moeten voortaan persoonlijke roosters samenstellen per student.
