De wet die de rechten van zorgconsumenten moet regelen wanneer hun gegevens elektronisch worden verwerkt en gedeeld is weer een stap dichterbij gekomen. Vorige week stuurde minister Edith Schippers aan de vaste kamercommissie voor VWS aanvullende antwoorden op vragen die na een bijeenkomst eerder dit jaar waren blijven liggen. De meest prangende kwesties: Amerikaanse inzage in gegevens van Nederlandse burgers, de reikwijdte van de toestemming die burgers verstrekken en de kwaliteit van de gewenste beveiliging van de systemen met gezondheidsgegevens.
Natuurlijk is er in Nederland al iets geregeld wanneer het om de bescherming van medische persoonsgegevens gaat. Maar het nieuwe wetsvoorstel in kwestie moet aanvullende garanties gaan bieden op bestaande algemenere wetten, zoals de Wet bescherming Persoonsgegevens (Wbp) en de Wet op de Geneeskundige Behandelingovereenkomst (WGBO).
Het voorstel is in 2012 ingediend, maar eigenlijk is het een voortzetting van wetsvoorstellen die al teruggaan tot 2008. Toen dacht iedereen nog dat er een landelijk geregisseerd Elektronisch Patiëntendossier (EPD) zou komen, en de wetsvoorstellen waren dan ook gericht op zo’n landelijke aanpak. Dat bleek anders uit te pakken: de Eerste Kamer verwierp het wetsvoorstel drie jaar geleden.
Bestaande wetgeving biedt niet voldoende garanties
Maar dat het steeds vaker zou voorkomen dat zorgaanbieders elektronisch gegevens van patiënten uitwisselen (bijvoorbeeld via het LSP) was toen ook al duidelijk, net als het gegeven dat de bestaande wetgeving in lang niet alle gevallen voldoende waarborgen biedt aan patiënten. Met het voorstel dat de minister eind 2012 naar de Tweede Kamer stuurde zou een groot deel van die lacunes in de bestaande wetgeving moeten worden geregeld. Het voorstel is in de afgelopen periode een aantal malen besproken door de vaste commissie die dit onderwerp in de portefeuille heeft. Uit de laatste vragenronde en de antwoorden van de minister wordt duidelijk waar de pijnpunten nog liggen.
Amerikaanse veiligheidsdiensten en Nederlandse medische dossiers
De leden van de SP-fractie vroegen aan de minister een uitgebreide toelichting op het vraagstuk rond de Patriot Act, waarmee de Amerikaanse overheid mogelijk zonder dat dit bekend wordt toegang zou kunnen krijgen tot medische gegevens van Nederlandse burgers. Dit is relevant, omdat een Amerikaanse onderneming (CSC) de infrastructuur voor het landelijke schakelpunt beheert waarlangs huisartsen, ziekenhuizen en in een later stadium ook andere zorgverleners medische gegevens delen.
Een Amerikaanse onderneming (CSC) beheert de infrastructuur voor het landelijke schakelpunt
Stel dat CSC van de Amerikaanse overheid een verzoek krijgt om persoonsgegevens te leveren, handelt ze daarmee dan niet in strijd met de Nederlandse wet- en regelgeving rond privacy, vraagt de SP zich af. Dit is een lastige kwestie, omdat zo’n Amerikaans verzoek niet openbaar is.
Minister Schippers stelt in haar antwoord dat er hier sprake kan zijn van een conflict in wetgeving, en dat er momenteel mede door de regering in Brussel wordt onderhandeld over een algemene Europese verordening voor gegevensbescherming, waarbij ook dit issue op de agenda staat. Het uitgangspunt is volgens haar dat ook Amerikaanse ondernemingen zich moeten houden aan de Nederlandse wetten, en dat er sprake is van wanprestatie wanneer ze dat niet doen.
Generieke toestemming voor inzage medisch dossier?
De manier waarop burgers toestemming geven om hun gegevens te delen was voor meerdere fracties nog niet voldoende duidelijk gemaakt door de minister. Het codewoord is hier generieke opt-in. Met andere woorden: is het wenselijk dat een burger met een algemene toestemming meerdere zorgprofessionals toegang tot zijn of haar elektronische dossier geeft? De minister geeft in haar antwoord aan dat volgens het wetsvoorstel elke individuele zorgaanbieder bij aanvang van de behandelrelatie toestemming aan de patiënt moet vragen voor het uitwisselen van gegevens.
Alle zorgverleners moeten bij aanvang van de behandelrelatie toestemming vragen voor het delen van medische gegevens
Ze noemt het voorbeeld van ketenzorg bij diabetes, waarbij vrijwel altijd meerdere zorgaanbieders betrokken zijn. Volgens Schippers moeten die allemaal bij aanvang van de behandelrelatie toestemming vragen aan de patiënt om gegevens te mogen uitwisselen.
Dat lijkt helder, maar er blijkt ook de mogelijkheid te bestaan om generieke toestemming te verlenen. Dat betekent volgens de minister niet dat alle zorgaanbieders toegang hebben tot persoonlijke data, maar wel dat de patiënt in één keer toestemming geeft aan alle zorgaanbieders waarmee hij of zij een behandelrelatie heeft en die zijn aangesloten zijn op een elektronisch systeem.
Wat is precies een behandelrelatie?
Daarmee wordt de vraag automatisch: wat verstaat het wetsvoorstel onder een behandelrelatie? De minister heeft daarom een definitie aan de wet toegevoegd. In haar antwoord schrijft ze (laten we dit niet parafraseren):
“Onder een behandelrelatie wordt verstaan, de relatie tussen de cliënt en de zorgaanbieder met wie de cliënt een behandelingsovereenkomst als bedoeld in de WGBO heeft, of degene die rechtstreeks betrokken is bij de uitvoering van die behandelingsovereenkomst, of degene die optreedt als vervanger van degene die een behandelingsovereenkomst heeft met de cliënt. Net als in de WGBO moet onder degenen die rechtstreeks betrokken zijn bij de zorgverlening, worden verstaan: de verpleegkundige, de doktersassistent of bijvoorbeeld de collega- vakgenoot die over de te verlenen zorg wordt geraadpleegd. Ook met de “vervanger van de zorgaanbieder” wordt hetzelfde bedoeld als in de WBGO wordt bedoeld met de “vervanger van de hulpverlener”, bijvoorbeeld als het een huisarts betreft: de waarnemer of huisarts bij de huisartsenpost. Wat noodzakelijke gegevens zijn wordt binnen de beroepsgroepen bepaald en vastgelegd in protocollen.”
Is 'dwingend verwijzen' hetzelfde als 'voldoen aan'?
In haar antwoord gaat de minister ook uitgebreid in op de technische, organisatorische en functionele eisen waaraan systemen voor gegevensuitwisseling moeten voldoen. Die worden namelijk niet expliciet genoemd in het wetsvoorstel, maar uitgewerkt in een zogeheten 'algemene maatregel van bestuur', die de minister eerder in concept naar de Tweede Kamer stuurde.
Goed nieuws voor IT-consultants en beveiligingsfirma’s
Daarin noemt ze een aantal specifieke normen voor gegevensbeveiliging, zoals NEN 7510, 7512 en 7513. De D66-fractie vroeg zich echter af wat de minister bedoelt wanneer ze, zoals in de maatregel staat, ‘dwingend verwijst’ naar die normen. Welnu, dat betekent volgens de minister eenvoudig dat gebruikers en beheerder van elektronische uitwisselingssystemen moeten voldoen aan de in de betreffende normen gestelde eisen, en dat het College Bescherming Persoonsgegevens (CBP) toe ziet op de handhaving.
NEN-normen voortaan gratis
Dit lijkt misschien een voetnoot, maar de consequentie is dat bij de inwerkingtreding van deze wet een groot aantal nu nog deels ongereguleerde online medische diensten moeten gaan voldoen aan een complex normenkader. Goed nieuws voor IT-consultants en beveiligingsfirma’s. Een voordeel is wel dat zorgaanbieders en consumenten de betreffende NEN-normen voortaan niet meer hoeven te kopen. Het ministerie heeft, aldus de minister, de rechten afgekocht, waarmee ze voor een ieder vrij raadpleegbaar zullen worden.
De volgende zet in de behandeling van de wet ligt nu bij de Tweede Kamer. Volgens de woordvoerder van de minister neemt die het initiatief voor verdere stappen om tot het aannemen van het voorstel te komen. En dan is er natuurlijk ook nog de Eerste Kamer. Die heeft zich eind vorig jaar echter inschikkelijk getoond bij de behandeling van de wetgeving rond het Kwaliteitsinstituut, een verwant onderwerp.
Wanneer de patient de eigen regie krijgt over zijn gehele medische dossier, dan zijn al deze discussies niet meer nodig. Binnenkort komt de website van MED4Life in de lucht, en daar valt dan te lezen hoe het anders kan en hopelijk zal worden.