Op de vaste vergaderdag van de Eerste Kamer stonden afgelopen dinsdag aanvankelijk twee wetsvoorstellen over privacy en persoonsgegevens op de agenda: een wet waar iedereen voor is en een lelijk eendje. De wetswijziging die overheden en bedrijven verplicht stelt om datalekken te melden werd zonder stemming aangenomen. De senatoren spraken goedkeurende woorden over de nieuwe wetsartikelen inzake datalekken die het College Bescherming Persoonsgegevens (CBP) veel meer macht geven, ook al vonden sommigen dat het te lang geduurd had voordat deze wet er was.
Het ander wetsvoorstel, dat na een lijdensweg van vijf jaar wachtte op het laatste debat in de Eerste Kamer, bleek echter na dit weekend opeens van de agenda verdwenen te zijn. Toen in 2011 duidelijk werd dat de overheid geen landelijk communicatiesysteem voor de uitwisseling van medische gegevens mocht gaan bouwen van de Eerste Kamer, vonden senatoren dat er rond elektronische dossiers wel een wettelijk kader moest komen, als aanvulling op bestaande wetten als de Wet geneeskundige behandelovereenkomst (WGBO) en de Wet bescherming persoonsgegevens (Wbp).
Minister Schippers liet een juridische analyse uitvoeren, en het resultaat was wetsvoorstel 33 509, ingediend in 2012 en meestal aangeduid als Wet cliëntenrechten bij elektronische verwerking van gegevens. Het in werking treden van die wet zou voor minister Schippers het ongetwijfeld zeer welkome slot zijn van het politiek rafelige EPD-dossier.
Hoezo, gespecificeerde toestemming?
De Tweede Kamer keurde het wetsvoorstel vorig jaar zonder al te veel gedoe goed, maar voegde er wel een nieuw onderdeel aan toe: de zogeheten gespecificeerde toestemming. Het gaat daarbij bijvoorbeeld om het om het recht van de patiënt om bepaalde hulpverleners (of een groep) geen toegang te geven tot het dossier. De grote vraag is: hoe fijnmazig moet je die toestemming kunnen vastleggen in een elektronisch dossier? En kunnen systemen dit wel aan? En hoe werkt het in de praktijk voor zorgaanbieders?
Is het wetsvoorstel het slot van het politiek rafelige EPD-dossier?
Zo’n anderhalve maand geleden organiseerde de Eerste Kamer voor de definitieve behandeling nog een allerlaatste deskundigenbijeenkomst om het voorstel te bespreken en de reacties uit het veld te peilen. Wat die deskundigenbijeenkomst glashelder maakte, is dat de interpretaties van het wetsvoorstel enorm verschillen. Mocht je nu alleen specialisten, groepen specialisten of specialisten in een bepaalde regio de toegang tot je medische data weigeren? En welk deel van je dossier dan? Mocht je aangeven dat je diëtiste niets mag weten over je depressie? Er was sprake van een Babylonische spraakverwarring, en de vertegenwoordigers van artsen zeiden dat het een onuitvoerbaar voorstel was.
Nieuwe ronde, nieuwe kansen in de Eerste Kamer
In het debat in de Tweede Kamer vorig jaar zomer hadden minister en kamerleden ook al meermalen verzucht dat er in debat heel veel misverstanden bestaan, maar dat weerhield de Kamer er niet van om de wet aan te nemen. De Eerste Kamer toonde zich weerbarstiger, en stelde na de genoemde deskundigenbijeenkomst opnieuw een groot aantal vragen aan de minister. De Eerste Kamer liet aan de minister weten dat ze de antwoorden op de nieuwe vragen uiterlijk vrijdag 22 mei a.s. aan het eind van de dag moest hebben. Anders zou de behandeling van het wetsvoorstel, die afgelopen dinsdag gepland stond, niet doorgaan. Sterker nog: dan zou de ‘nieuwe’ Eerste Kamer die deze week werd gekozen het wetsvoorstel gaan behandelen. En een groot aantal zittende leden zou uit de Senaat verdwijnen.
House of cards?
Wachten met de antwoorden betekende dat Schippers verlost zou zijn van een aantal notoire lastpakken uit haar EPD-verleden, die bovendien zomaar tegen de wet zouden kunnen stemmen. Niet alleen uit de oppositie, zoals commissievoorzitter Slagter-Romkema van de SP en prof. Franken van het CDA. Ook de ‘eigen’ VVD senator Heleen Dupuis was een stoorzender voor Schippers. “De partij zal blij zijn dat ik ga, vooral Edith. Ik merk dat ze razend is als ik weer niet met haar meedoe”, vertelde Dupuis deze week aan NRC, dat stilstond bij het vertrek van vijf ervaren senatoren. En van het stemgedrag van coalitiegenoot PvdA kon Schippers evenmin op aan.
Het was dus eigenlijk geen verrassing dat de minister afgelopen vrijdag aan de kamer meldde:
In vervolg op mijn brief aan u van 13 mei jongstleden betreffende uw inbreng voor het nader voorlopig verslag van het wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens kan ik u melden dat een uiterste inspanning is gepleegd om de twaalf pagina’s vragen tussen 8 mei en heden te beantwoorden. Gezien het feit dat de antwoorden moeten worden afgestemd met derden en in deze termijn vakantiedagen vielen is het niet gelukt om deze Kamervragen voor het op 26 mei aanstaande geplande debat te beantwoorden.
Vertaling: ik probeer het liever in de nieuwe samenstelling van de Eerste Kamer, zelfs al raken we daarin als coalitie zetels kwijt.
Rommelwerk
Tineke Slagter-Roukema (SP) kent als voorzitter van de vaste senaatscommissie van VWS het LSP/EPD dossier van haver tot gort. Zij had een grote stem in het stranden van Schippers’ EPD plan in de senaat in 2011. Ook voor haar was het gisteren de laatste werkdag als senator. Volgens haar geven de vele misverstanden en vragen bij de behandeling van deze wet, die de inzage van de consument in zijn of haar medisch dossier zou moeten regelen, aan dat het een slecht voorbereid wetsvoorstel is.
In haar inschatting durfde de minister het niet aan om het op een stemming te laten aankomen met zoveel ervaren en vooral eigenwijze senatoren. “De coalitie verliest nu wel zetels, maar is ook een stel potentiële tegenstemmers uit eigen gelederen kwijt." Slagter verwacht dat het nu wel weer enige tijd zal duren voordat de behandeling verder gaat. Nieuwe leden zullen zich immers eerst moeten inwerken in het dossier.
Datalekken: bestuurders nu ook aansprakelijk
Zorgbestuurders krijgen dus voorlopig nog niet te maken met de strengere regels die volgen uit deze opnieuw uitgestelde wet. Maar zoals gezegd nam de Kamer wél de wetswijziging Meldplicht van datalekken en uitbreiding bestuurlijke boetebevoegdheid College Bescherming Persoonsgegevens (CBP) aan. Die wijziging is overigens niet specifiek op de zorg gericht, maar geldt voor iedereen die persoonsgegevens verzamelt, bewerkt of beheert. Wanneer die door inbraak, nalatigheid of andere oorzaak op straat komen, moet je dat voortaan dus melden bij het CBP. En in sommige gevallen moet je ook de betrokken personen op de hoogte stellen van het datalek.
Medische gegevens extra kwetsbaar
Toch is het niet verwonderlijk dat juist zorginstellingen met extra aandacht naar de nieuwe regels kijken. De in de wet genoemde persoonlijke levenssfeer van een consument wordt immers meer getroffen door het uitlekken van medische gegevens dan door het bekend worden van het lidmaatschap van de voetbalclub. Voorheen kon het College eigenlijk alleen macht uitoefenen door naming and shaming. Ziekenhuizen en andere zorginstellingen waren beducht voor de reputatieschade (en extra kosten voor ICT) wanneer hun falende beleid openbaar werd gemaakt op de site van het CBP. Maar nu komen daar nog eens boetes tot maximaal €810.000 bij, hoewel je eerst een berisping krijgt voordat het zover is. Bovendien kunnen bestuurders en managers in principe ook persoonlijk worden aangepakt bij falend ICT-beleid dat tot datalekken of diefstal leidt.
College zal richtsnoeren opstellen
Volgens privacy-adviseur Lisette Meij van juridisch adviesbureau ICTRecht zal het College, voordat de wetswijziging in werking treedt, naar verwachting zogeheten richtsnoeren opstellen. Die moeten meer duidelijkheid geven over de daadwerkelijke handhaving van deze wetswijziging. Meij: “Die richtsnoeren zullen voorbeelden geven over wanneer er nu precies sprake is van een aanzienlijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens of nadelige gevolgen voor de persoonlijke levenssfeer van betrokkenen.”
Jan-Jan Lowijs, manager bij Deloitte Security & Privacy, gaat ervan uit dat het College na het verschijnen van de richtsnoeren (die in consultatie met betrokkenen verlopen) niet te lang zal wachten om de nieuw verworven macht in de praktijk te beproeven. “Wanneer er eenmaal een ingangsdatum voor de wetswijziging bekend is, moet je er als zorgbestuurder rekening mee houden dat het College daarna verwacht dat die wet wordt nageleefd.”
De genoemde richtsnoeren zullen dus duiding moeten geven aan de nu zeer breed geformuleerde wet. Staatssecretaris Klaas Dijkhoff (VVD) van Veiligheid en Justitie legde dinsdag in de Eerste Kamer uit waarom de wet zelf niet specifieker kan zijn: “Maken we de wet heel specifiek, dan weet iedereen precies waar hij aan toe is, maar dan lopen we ook het risico dat binnen de kortste keren de ontwikkelingen in de praktijk en in de techniek ervoor zorgen dat we hier weer staan met een nieuw wetsvoorstel, omdat het oude net niet voorzag in die nieuwe ontwikkelingen.”
Juridisch abracadabra
CDA-senator Franken vroeg aan Dijkhoff wat we eigenlijk moeten verstaan onder het woord 'aanzienlijk'. De wetstekst zegt immers dat je een inbraak moet melden wanneer die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Franken: “De burgers kennen die juridische abracadabra niet. Zegt u nou eens in gewoon Nederlands wat u een aanzienlijke kans vindt, staatssecretaris. Een kans van 60% dat het niet zal gebeuren? Of 100%? Probeer het nou eens gewoon te omschrijven, in gewone taal.”
"Probeer het nou eens gewoon te omschrijven, in gewone taal"
Dijkhoff waagde zich er niet aan, en zei dat cybercrime veel moeilijker te duiden is dan een klassieke inbraak. Daar zie je gewoon of iets weg is uit de kluis. Bij data is dat volgens hem anders. Hij maakte de vergelijking met iemand die een fysiek pand is binnengegaan en foto’s heeft gemaakt. “Dat kun je niet zien. Een datalek betekent niet dat de weggelekte data verdwenen zijn. Daarvan is een kopie gemaakt.”
Het zal er op neerkomen dat de richtsnoeren, de aanpak van het CBP en de toenemende jurisprudentie op dit gebied zorgbestuurders in de loop van 2016 meer duidelijkheid zullen gaan geven op de vraag of hun maatregelen adequaat zijn.
Wanneer medische gegevens het ziekenhuis verlaten?
In de zorg is relatief veel sprake is van uitwisseling van data met gevoelige informatie. Op een recente bijeenkomst van ICT-managers van ziekenhuizen was dit een terugkerend thema. “Men verwacht van ons dat wij onze systemen openstellen en data uitleveren aan verzekeraars, kwaliteitsregistraties, implantatenregisters, regionale netwerken en noem maar op, en in lang niet alle gevallen krijgen wij de garantie dat dit formeel goed is geregeld”, aldus een ICT-baas van een middelgroot ziekenhuis. “Wie is dan verantwoordelijk voor een datalek?”
Volgens deskundigen zullen dergelijke onduidelijkheden bij het bekend worden van een datalek hard worden afgestraft, vooral wanneer de nieuwe Europese privacy-wetgeving van kracht wordt. Je zult als zorginstelling met procedures, documentatie, en technologische oplossingen moeten aantonen dat je alle noodzakelijke maatregelen om data te beveiligen hebt genomen en bovendien voortdurend up-to-date houdt. Het eerste wat een toezichthouder bij een incident doet is vragen: wie is hier de volgens de wet verplichte Functionaris Gegevensbescherming? Om vervolgens aan die zogeheten FG te vragen: mag ik uw recente logboeken, bewerkersovereenkomsten, procedures, controle maatregelen en alle andere vastleggingen zien. Als je die niet op niveau hebt, dan ben je eigenlijk al gezien.
Voorkomen is onmogelijk
Voordat je een datalek kunt melden zul je natuurlijk eerst moeten weten dat medische dossiers in verkeerde handen zijn gekomen. Het is volgens Lieuwe Jan Koning, CEO van security-specialist ON2IT, niet de vraag of zich een datalek voordoet, maar wanneer. "De wet meldplicht datalekken verplicht bestuurders datalekken direct te melden, en ook om te weten dat ze er zijn. Inzicht hebben in bekende en onbekende zogeheten malware op het netwerk is dus van groot belang, maar nog lang niet overal realiteit."
Voordat je een datalek kunt melden moet je eerst weten dat medische dossiers in verkeerde handen zijn gekomen
Oplossingen voor het herkennen, voorkomen en het repareren van gesignaleerde lekken gaan steeds vaker uit van geavanceerde big data analyses op alle verkeer van en naar het netwerk van een zorgaanbieder. Koning: "Het hele idee van een veilig binnenste deel van het ziekenhuisnetwerk en een onveilige buitenwereld is volkomen achterhaald in security-termen." Alleen door alles te analyseren en te loggen kun je met slimme software verdachte patronen herkennen en rapporteren. Liefst real-time natuurlijk, maar in ieder geval ook achteraf."
Voor juridisch adviseurs breken er in ieder geval weer mooie tijden aan. Google maar eens op functionaris gegevensbescherming. De “privacy quickscans” en “workshops privacy officers” vliegen je om de oren in de betaalde AdWords advertenties.
Het is een wijd verbreid misverstand, ook bij senatoren, dat het begrip "gespecificeerde toestemming" aan het wetsontwerp 33509 bij motie is toegevoegd in de Tweede Kamer door Hanke Bruins Slot(CDA) medio 2014. Het is de minister van VWS zelve geweest die op 21-11-2013 in kamerstuk kst-33509-08 op pagina 2 in de ontwerp-wetstekst en op pag. 4 in de toelichting dit begrip toevoegde aan de eerdere generieke toestemming. De burger kon volgens de minister dan kiezen om alleen de generieke, algemene, toestemming te geven maar kon ook categorieën van zorgaanbieders gaan uitsluiten. Dat is trouwens een opt-out- boven op een opt-in. Hanke Bruins Slot heeft per motie bepaald dat uitsluitend de "gespecificeerde toestemming" gebruikt mocht gaan worden.
Het is de minister zelve die verantwoordelijk is voor de onwerkbaarheid van wetsontwerp 33509.
De gespecificeerde toestemming is een wangedrocht omdat het alleen categorieën van zorgaanbieders ter uitsluiting kent, geen individuen. Dat is wel belangrijk want het is voor te stellen dat binnen een bepaalde categorie van zorgaanbieders een burger bepaalde individuele zorgaanbieders wil uitsluiten en niet de hele categorie.
Geachte heer Jongejan. U heeft gelijk, en het is een relevante toevoeging, al was het alleen maar voor de geschiedschrijving. Het amendement van Bruins Slot van 10 juni 2014 (nummer
33509-13) geen nieuw concept. Feitelijk gezien voegde de Tweede Kamer niets toe, maar valideerde zij juist het door de minister geïntroduceerde concept van gespecificeerde toestemming door de generieke te laten vervallen.
Fijn dat er meer mensen door deze papierzee heenploegen, en dank voor de toevoeging.
Redactie.