Na een vertraging van bijna twee jaar gaat de Zweedse overheid dit najaar nu echt van start met de implementatie van een landelijk systeem waarin alle burgers vrijwillig hun medische data kunnen opslaan en online of via apps kunnen raadplegen. Het systeem heet HälsaFörMig (mijn gezondheid). Het gaat daarbij niet alleen om medische gegevens van zorgaanbieders, maar ook elektronische recepten en data van bijvoorbeeld fitnesstrackers of andere wearables.
De beslissing om zo’n systeem te bouwen werd al in 2012 genomen toen in de overheidsbegroting te lezen was dat “patienten en burgers moeten elektronisch toegang krijgen tot alle informatie over hun gezondheid, alsmede tot middelen om zelf meer betrokken te worden bij hun eigen gezondheid.”
Het project startte in 2013 razendsnel en automatiseerder Capgemini won een aanbesteding om op basis van het HealthVault platform van Microsoft voor zo’n 26 miljoen euro de basisvoorziening voor het persoonlijk dossier in de cloud te bouwen. Daarna stokte het project echter omdat één van de niet geselecteerde bedrijven die ook meedeed in de aanbestedingsprocedure een aanklacht indiende tegen de procedure. De uitspraak van de zogeheten Förvaltningsrätten (rechtbank) was een tegenvaller voor het ministerie, omdat de rechter vond dat Infogosoft, een klein softwarebedrijf dat al enkele jaren een online patiënt dossier op de markt heeft, niet eerlijk was behandeld in de aanbestedingsprocedure.
Beroepsprocedure roet in het eten
Een beroepsprocedure volgde, en die werd pas dit voorjaar beslecht in het voordeel van eHälsomyndigheten, het Zweedse nationale bureau voor eHealth dat de regie over HälsaFörMig voert. En daarmee kunnen de plannen nu ook daadwerkelijk worden uitgevoerd. Volgens Eva Leach, die voor eHälsomyndigheten verantwoordelijk is voor het project, is er in de afgelopen tijd veel interesse ontstaan van zowel publieke als private partijen om deel te nemen en toepassingen te ontwikkelen die aansluiten op het nationale persoonlijk gezondheidsdossier. Dit najaar zullen de eerste informatiebijeenkomsten voor softwareontwikkelaars worden gehouden, en daar zullen deze partijen meer informatie ontvangen over de manier waarop ze kunnen aansluiten op de infrastructuur.
Burger is eigenaar van de informatie
Het uitgangspunt van het dossier is dat de burger de eigenaar is van de informatie, en de overheid een neutrale en veilige opslag biedt op vrijwillige basis. Artsen, ziekenhuizen en andere zorgaanbieders moeten op een eenvoudige manier een kopie van alle medische dossiers in het persoonlijke dossier kunnen plaatsen. De burger kan vervolgens bepalen met wie hij of zij die informatie wil delen, bijvoorbeeld met familie of met andere zorgverleners. De burger kan te allen tijde besluiten om informatie te verwijderen uit het dossier.
Uitgangspunt is dat de overheid een neutrale en veilige opslag biedt op vrijwillige basis
Toegang tot het dossier vindt plaats met het Zweedse e-ID systeem dat ook voor overheidsinstanties en banken wordt gebruikt. Daarbij garandeert de Zweedse overheid dat de persoonlijke informatie conform alle geldende wetten en regelgeving op het gebied van databeveiliging en privacy wordt behandeld.
Inmiddels is in de Zweedse nationale pers al wel een discussie op gang gekomen of de opslag van medische data van burgers in de cloud van Microsoft volledig kan voldoen aan de nationale en Europese regels. De servers staan bijvoorbeeld niet in Zweden, maar kunnen ook in datacentra in Ierland en Nederland staan.
De Zweedse overheid stelt dat de contracten met zowel Capgemini als met Microsoft voldoende waarborgen bieden om te voldoen aan de Zweedse en Europese privacywetgeving. Critici wijzen erop dat in het kader van de Patriot Act Amerikaanse inlichtingendiensten mogelijk toegang zouden kunnen krijgen tot gegevens die op de servers van Amerikaanse ondernemingen zijn opgeslagen. Die bevoegdheden worden in de zogeheten Safe Harbour regeling tussen de Amerikaanse overheid en de EU weliswaar beperkt, maar juristen verschillen van mening over de reikwijdte van die regeling.
Ook volop discussie in Nederland
In ons land was deze discussie vorig jaar opeens actueel, toen het Nijmeegse Canisius-Wilhemina Ziekenhuis onder meer vanwege onvoldoende privacy-garanties de onderhandelingen met de Amerikaanse leverancier Epic stopzette. En ook in het kader van ons LSP-netwerk voor uitwisseling van gegevens in de zorg is de betrokkenheid van de Amerikaanse leverancier CSC in de Eerste en Tweede Kamer meerdere malen aan de orde geweest.
"Voldoen aan de Safe Harbour biedt niet voldoende garanties dat de Nederlandse wetgeving wordt nageleefd"
Het Nederlandse College Bescherming Persoonsgegevens nam in 2012 het standpunt in dat het voldoen aan de Safe Harbour uitgangspunten door Amerikaanse bedrijven niet voldoende garanties biedt dat de Nederlandse wetgeving wordt nageleefd. Daarvoor zijn volgens het CBP aanvullende garanties nodig in de contracten die Europese ondernemingen, in dit geval ziekenhuizen, sluiten met Amerikaanse aanbieders van software of clouddiensten. De Zweedse overheid stelt dat die aanvullende garanties zijn verkregen van Microsoft, en wijst er bovendien op dat de Europese privacy-autoriteiten van mening zijn dat de Microsoft cloud-contracten voldoen aan de strenge EU-privacy richtlijnen (nog los van de Safe Harbour regeling). Bovendien, zeggen de Zweden, sluiten de EU-regels rond databescherming specifieke landelijke regelgeving uit. “Wij kunnen contractueel niet eisen dat de data-opslag specifiek in Zweden plaatsvindt, een rechter zou dat waarschijnlijk als een onredelijke eis verwerpen”, meldt de site van eHälsomyndigheten.
Minister Schippers: EU-aanpak nodig
Minister Schippers zei vorig jaar bij de beantwoording van kamervragen over het LSP dat ze het zeer onwenselijk vindt dat een andere mogendheid gegevens over Nederlandse burgers kan opvragen. Maar je kunt volgens haar niet om Amerikaanse bedrijven heen. In de zorg zijn dat bijvoorbeeld CSC, Epic, McKesson en Microsoft. Maar ook Philips en Siemens hebben vestigingen in de Verenigde Staten en vallen dus onder de Patriot Act. De Patriot Act vraagt volgens de minister om een gezamenlijke Europese aanpak, en daar zet het kabinet ook op in.
Volgens het Zweedse technologie-magazine NyTeknik is de Zweedse privacy-waakhond Datainspektionen (zeg maar het College Bescherming Persoonsgegevens van Zweden) nog niet overtuigd dat de cloudopslag van HälsaFörMig aan alle Zweedse regels voldoet. In een recent nummer citeren ze jurist Katarina Tullstedt van Datainspektionen die aangeeft dat er volgens haar aanvullend onderzoek nodig is. Het is volgens haar nog niet helemaal duidelijk wie nu verantwoordelijk is voor de data: de burger zelf of de overheid die via HälsaFörMig de opslag van data faciliteert.
Praktische vragen
Bij de invoering van een landelijk persoonlijk gezondheidsdossier blijken opeens nog allerlei andere praktische vragen de kop op te steken. Neem bijvoorbeeld de toegang die apps van derden tot dat dossier moeten hebben.
Je moet goed nadenken over de fijnmazigheid van de rechten die je aan derden kunt geven
Dat je Fitbit of Apple toestaat om je dagelijkse aantal stappen of je bloeddruk in HälsaFörMig te plaatsen is een redelijk scenario. Het is zelfs ook denkbaar dat je apps van derden toegang geeft tot delen van je dossier. Maar hoe voorkom je een situatie waarbij Fitbit eerder weet wat de uitslag van een bloedonderzoek is dan jij zelf? Daarvoor moet je goed nadenken over de indeling van zo’n dossier en de fijnmazigheid van de rechten die je aan derden kunt geven. Dergelijke vragen zullen volgens de Zweden gaandeweg in de praktijk worden beantwoord.
Een ander opvallend punt is dat de gegevens in HälsaFörMig wél onder de privacywetgeving vallen, maar niet onder de Zweedse Patientdatalag, de wet die regelt hoe persoonlijke gegevens van patiënten in de zorgsector mogen worden gebruikt. De argumentatie hier is dat de data in HälsaFörMig geen gegevens voor zorgprofessionals zijn, maar gegevens voor privégebruik.
De Zweedse overheid ziet natuurlijk dat er inmiddels al heel wat gratis diensten en apps zijn waarmee consumenten medische, fitness en sportgegevens kunnen opslaan. Toch vinden de Zweden dat er een gratis en neutrale basisvoorziening moet zijn waarmee burgers gegevens vanuit allerlei bronnen veilig kunnen opslaan en delen met derden. HälsaFörMig gaat in ieder geval zelf geen apps of toepassingen maken om te concurreren met commerciële aanbieders.
Trackbacks & Pingbacks
[…] zweedse overheid heeft in 2012 de moed gehad om met een open en innovatieve geest na te denken over de toekomst van […]
Plaats een Reactie
Meepraten?Draag gerust bij!