Het wetsvoorstel uit 2012 dat de rechten van burgers bij de digitale verwerking van hun gegevens beter wil regelen zal na de zomervakantie door de Eerste Kamer plenair worden behandeld. De Eerste Kamer commissie voor volksgezondheid en minister Schippers hadden twee jaar voorbereidingstijd nodig, nadat de Tweede Kamer het wetsvoorstel in juni van 2014 al had aangenomen. De behandeling en wellicht stemming is voorlopig gepland op 13 september.
In de afgelopen twee jaar zijn er diverse vraag- en antwoord documenten tussen de Eerste Kamer en het ministerie van Volksgezondheid op en neer gegaan, en zijn er meerdere openbare deskundigenbijeenkomsten georganiseerd om meer duidelijkheid te krijgen over de reikwijdte van deze nieuwe wet. Het algemene beeld: een aanhoudende verwarring bij kamerleden over begrippen als gespecificeerde toestemming, patiëntportalen, push- en pull berichten en NEN-normen.
Mede naar aanleiding van de laatste deskundigenbijeenkomst afgelopen april stelden de Eerste Kamerleden eind mei nog een fors aantal aanvullende vragen aan minister Schippers. Vorig jaar nam de minister meer dan een half jaar de tijd voor een antwoord op eerdere vragen, maar ditmaal antwoordde Schippers de vaste commissie al op 21 juni: binnen enkele weken. In die meest recente nota herhaalt de minister dat de basale bescherming van de privacy is geregeld in de bestaande Wet op de Geneeskundige Behandelingsovereenkomst en de Wet Bescherming Persoonsgegevens. Het nieuwe wetsvoorstel stelt volgens haar aanvullende eisen die specifiek gericht zijn op de elektronische verwerking van medische gegevens en uitwisseling daarvan via een elektronisch uitwisselingssysteem.
Wat zijn de hot issues?
Wat zijn de belangrijkste (en daarmee controversiële) onderdelen van het wetsvoorstel, waarover de Eerste Kamer na de zomer moet beslissen? Een ingewikkeld hangijzer is de toevoeging die kamerlid Hanke Bruins Slot (CDA) bij de behandeling in de Tweede Kamer aan het wetsvoorstel wist te amenderen. In tegenstelling tot de manier waarop bijvoorbeeld het LSP nu werkt, eist het nieuwe voorstel dat burgers gespecificeerd toestemming geven met wie medische gegevens mogen worden gedeeld. De burger geeft dus in het voorstel aan de zorgaanbieder met wie hij of zij een behandelrelatie heeft toestemming om de eigen medische gegevens beschikbaar te stellen aan specifieke andere (categorieën) zorgaanbieders.
Simpel gezegd, die burger moet bijvoorbeeld kunnen zeggen: de chirurg mag wel bij mijn dossier, maar de diëtiste niet. Belangenorganisaties van zorgaanbieders lieten aan de minister en de Eerste Kamer weten dat hun ICT-systemen op geen enkele manier voorbereid zijn om toestemming zo fijnmazig vast te leggen. Hoe moet je die categorieën indelen, en op welke manier kan de burger die toestemming precies geven en intrekken? Over de duiding van het begrip ‘gespecificeerde toestemming’ zijn op diverse internet (fora) in de afgelopen twee jaar overigens talloze discussies gevoerd.
Zorgaanbieders: systemen niet klaar voor gespecificeerde toestemming
In een brief van eind vorig jaar liet minister Schippers weten dat ze oog heeft voor de praktische punten rond de invoering, en dat ze bereid is om dit deel van het wetsvoorstel met drie jaar uit te stellen, om daarmee zorgaanbieders de tijd te geven om hun systemen op orde te krijgen. Ze wil geen uitstel van de gehele wet, omdat daarmee volgens haar de urgentie voor zorgaanbieders wegvalt om aan het werk te gaan met nieuwe systemen.
“Daarnaast is een belangrijke overweging om de wet nu in werking te laten treden dat vanaf het moment waarop dat gebeurt zorgaanbieders en ICT aanbieders zekerheid hebben dat het gaat gebeuren, wanneer dat gaat gebeuren en waarin ze moeten investeren. Door de behandeling met een jaar uit te stellen bieden we zorgaanbieders en ICT-leveranciers nu niet de duidelijkheid die nodig is om over te gaan op de vereiste investeringen. Dat zal resulteren in uitstel van investeringen in deze broodnodige omslag.”
Hoe gespecificeerde toestemming gaat werken wordt volgens de brief aan de Eerste Kamer steeds meer helder. De artsenkoepels KNMG, KNMP, LHV en de patiëntenfederatie NPCF hebben volgens Schippers een gezamenlijk plan opgesteld, waarin ze “toewerken naar het geschetste eindperspectief en al concrete stappen zetten voor de implementatie van gespecificeerde toestemming.”
Digitale inzage in dossier ook drie jaar uitstel
Een ander belangrijk punt in de wet is dat de burger het recht krijgt om zijn of haar gegevens digitaal in te zien. Dat recht bestaat nu al - je kunt het papieren dossier opvragen in het ziekenhuis of bij de huisarts - maar niet in elektronische vorm. In haar brief van afgelopen december liet de minister weten dat ze bereid is om ook deze bepaling van het voorstel drie jaar uit te stellen. De nieuwe brief van vorige week geeft een nadere onderbouwing van deze beslissing:
“Het recht op inzage als zodanig wordt niet uitgesteld, immers, op grond van de WGBO heeft de patiënt recht op inzage in zijn (papieren) dossier. Het onderhavige wetsvoorstel regelt aanvullend hierop het recht het dossier ook langs elektronische weg in te zien. Om je gegevens elektronisch in te kunnen zien is een authenticatiemiddel op hoog betrouwbaarheidsniveau nodig. Helaas is dat nog niet op brede schaal beschikbaar voor burgers. Vandaar het voorstel de bepalingen over elektronische inzage en elektronisch afschrift niet eerder dan drie jaar na inwerking treding van dit wetsvoorstel in werking te laten treden. Dit betekent niet dat het zorgverleners niet is toegestaan elektronische inzage in het dossier te geven binnen de geldende wet- en regelgeving. Het betekent dat dit over drie jaar een recht is om het ook elektronisch te kunnen inzien.”
Is DigiD van een hoog betrouwbaarheidsniveau?
Dit lijkt een curieuze redenering. Enerzijds is het bestaande en op brede schaal beschikbare DigiD volgens de minister kennelijk niet betrouwbaar genoeg om toegang tot zorgdossiers goed te regelen. Maar van de andere kant mogen zorgverleners van Schippers nu al wel elektronisch inzage geven, als ze de wet- en regelgeving respecteren. In de praktijk gaan ziekenhuizen en huisartsen ervan uit DigiD aan die regelgeving voldoet, want het is het meest gebruikte authenticatiemiddel voor patiëntportalen die nu al in gebruik zijn. Wanneer DigiD niet zou voldoen, dan kunnen vrijwel alle bestaande patiëntportalen hun digitale deur nu sluiten. Om nog maar te zwijgen van portalen met toegang tot patiëntgegevens op basis van alleen gebruikersnaam en wachtwoord.
NEN-normen
Het nieuwe wetsvoorstel regelt via een zogeheten Algemene Maatregel van Bestuur (AMvB) dat de zogeheten NEN-normen, die technische en organisatorische maatregelen beschrijven, wettelijk verplicht worden voor alle zorgaanbieders die patiëntgegevens verwerken. Die eisen van NEN 7510 en 7512 gelden overigens al langer voor systemen waarin het BSN (burger service nummer) wordt verwerkt. Volgens Schippers bevatten de NEN-normen adequate beveiligings eisen voor de zogeheten logging, zodat duidelijk is wie wanneer toegang heeft gehad tot bepaalde gegevens.
De brief bevat echter ook de opmerking dat - mede op basis van de deskundigenbijeenkomsten - de regering voornemens is de AMvB aan te vullen met de eis dat “naar de laatste stand van wetenschap en techniek privacy versterkende maatregelen moeten worden genomen”. Daarmee wordt volgens de minister voorkomen dat voortschrijdende technologische verbeteringen ten aanzien van privacy-bescherming niet worden toegepast. Er gaan steeds meer stemmen op dat de NEN-normen geen aansluiting meer hebben met het cloud ICT-landschap van 2016. Er komen ook nieuwe versies van de NEN-normen aan, maar dat is een langlopend proces. De passage over aanvullingen op de NEN-normen is dus koren op de molen van ICT-advocaten en beveiligingsconsultants. Je zou erin kunnen lezen dat de NEN-normen op zichzelf niet de ‘passende’ beveiliging kunnen bieden die gevraagd wordt in artikel 13 van de Wet Beschermings Persoonsgegevens. Maar wat zijn dan die “naar de laatste stand van wetenschap en techniek privacy versterkende maatregelen” waarnaar de AMvB gaat verwijzen? En op welke manier gaan toezichthouders dat toetsen? Zorgorganisaties zullen in ieder geval reikhalzend uitkijken naar praktische richtsnoeren van instanties als de Autoriteit Persoonsgegevens en de Inspectie voor de Gezondheidzorg.
Portalen als centraal punt om inzage te regelen?
Een laatste opvallende punt aan de voorbereiding van dit wetsvoorstel is de groeiende rol van patiëntportalen voor de problematiek rond digitale inzage. Schippers heeft eerder gezegd dat de patiënt zelf op eenvoudige wijze zijn toestemmingsprofiel moet kunnen aanpassen, vastleggen en inzien, liefst op ieder moment en op iedere plaats. De minister schrijft nu: “Een patiëntenportaal waarin patiënten inzage hebben in hun medische gegevens bij een zorgaanbieder zou hiervoor een instrument kunnen zijn. Wellicht dat dergelijke portalen, zoals de portalen die al in gebruik zijn bij het UMCU, LUMC of UMC Radboud, kunnen toegroeien richting een instrument waar ook het persoonlijk toestemmingsprofiel beheerd kan worden.”
Nieuwe senatoren
In de afgelopen twee jaar heeft de Eerste Kamer afscheid genomen van een aantal uitgesproken senatoren, die nauw betrokken waren bij de bewogen ontstaansgeschiedenis van deze wet, zoals Hans Franken, Heleen Dupuis, Guusje ter Horst en Tineke Slagter. De wet heeft zijn oorsprong in het door de Eerste Kamer getorpedeerde landelijke EPD. Hun politieke kleur was geen garantie voor een welwillende opstelling ten opzichte van deze regeringscoalitie. De algemene indruk in Den Haag is dat de nieuwe senatoren van de regeringspartijen niet voor grote problemen gaan zorgen bij de behandeling van deze wet. Zo bezien is de lange incubatietijd van deze nieuwe wet wellicht ook een weloverwogen tactische keuze van de minister geweest.
Probleem met Digid is dat een kwaadwillende door een paar keer foutief in te loggen kan triggeren dat een nieuw Digid wachtwoord wordt verzonden per post, en dat uit de betreffende brievenbus kan hengelen. In het verleden gebruikt voor uitkeringsfraude.
Ieder patiëntportaal kan zelf een prima authenticatie regelen met usernaam+wachtwoord en sms-code. (Digid biedt trouwens ook niet meer dan wachtwoord of wachtwoord+sms. ) Liefst wel aan de balie uitreiken aan patiënt die een ID laat zien, en met enige eisen aan sterkte van een wachtwoord. Dat is samen een heel veilige methode.
Problematisch wordt authenticatie pas als je patiënten toegang wilt bieden via Internet zonder dat ze aan de balie zijn geweest. Dus alle patiëntgegevens ontsluiten met een online authenticatiemiddel. Misschien wordt Idensys dat. Ben benieuwd.