Kun je volgens de wet als patiënt digitale inzage krijgen in je medische dossier? En kunnen alle zorgprofessionals daar dan ook in kijken, of kun je als patiënt aangeven dat je GGZ-dossier niet zomaar gedeeld mag worden met de oogarts of diabetesverpleegkundige? Volgende week dinsdag (of bij een stemming de week daarop) gaat de Eerste Kamer eindelijk beslissen over het wetsvoorstel van minister Schippers, dat de rechten van burgers bij de digitale verwerking van hun medische gegevens beter moet waarborgen. Dat wetsvoorstel is ruim vier jaar geleden aan de Tweede Kamer aangeboden en heeft een ingewikkelde geschiedenis.
De Eerste Kamercommissie die het moest voorbereiden heeft ruim twee jaar nodig gehad om tot plenaire behandeling te kunnen overgaan. In die twee jaar heeft die Eerste Kamer afscheid genomen van een aantal ervaren senatoren die voor oppositie hadden kunnen zorgen. De algemene verwachting in Den Haag is dat met de huidige samenstelling van de Senaat, in combinatie met de strakke regie die het kabinet Rutte kenmerkt, de wet zal worden aangenomen.
Hoofdpijndossier
Daarmee zou minister Schippers een weerbarstig dossier afsluiten, dat zijn oorsprong heeft in het door de Eerste Kamer in 2011 afgeschoten plan voor een landelijk systeem voor inzage in medische dossiers. Hoewel de Eerste Kamer toen niets zag in een regierol van de overheid bij een landelijk systeem voor patiëntendossiers, vond men wel dat er wettelijk iets geregeld moest worden over de voorwaarden waaronder artsen digitaal gegevens van burgers mogen inzien. Dat was de basis van het huidige wetsvoorstel 33.509: Cliëntenrechten bij elektronische verwerking van gegevens.
Rechten ook digitaal beter regelen
Met haar eerste voorstel wilde de minister een aantal voor haar belangrijke zaken voor burgers regelen. De wet (of liever gezegd een bijbehorende Algemene Maatregel van Bestuur) schrijft bijvoorbeeld beveiligingseisen voor waaraan ICT-systemen die zorggegevens digitaal uitwisselen moeten voldoen.
Maar twee volgens Schippers belangrijke onderdelen van het wetsvoorstel bleken in de afgelopen vier jaar tot veel discussie en onduidelijkheid te leiden: het burgerrecht op digitale dossierinzage en de manier waarop burgers toestemming voor het delen van hun gegevens moeten goedkeuren. Dat zorgde ervoor dat minister Schippers begin dit jaar een compromis voorstelde. De twee onderdelen zullen niet direct na goedkeuring van de wet ingaan, maar zorgaanbieders krijgen drie jaar de tijd om aan de nieuwe regels te kunnen voldoen. Het probleem is dat de formulering (en daarmee de implementatie) van de betreffende twee wetsartikelen - zelfs na deskundigenbijeenkomsten in de Senaat en aanvullende nota’s van de minister - nog steeds tot vragen leiden. Ook bij mensen die behoorlijk in de materie zijn ingelezen. Twee van de belangrijkste vragen: wordt de patiënt hier nu echt beter van, en hoe kunnen zorgaanbieders de toestemming in de praktijk vastleggen op een manier die werkbaar is voor arts en burger?
"Geen adequate inlogmiddelen voor digitale inzage"
Schippers’ wens om het bestaande recht dat burgers hebben op inzage in hun papieren dossier uit te breiden met digitale inzage lijkt in eerste instantie een no brainer. We leven in 2016 en de wereld is grotendeels digitaal. Steeds meer ziekenhuizen bieden hun patiënten dan ook al online inzage in hun dossier. Maar eind vorig jaar liet de minister aan de Kamer weten dat ze na beraad met het spreekwoordelijke veld tot de conclusie kwam dat die digitale inzage door zorgaanbieders nog niet “adequaat” kan worden ingevuld.
Digitale inzage door zorgaanbieders kan volgens Schippers nog niet “adequaat” worden ingevuld
En afgelopen zomer schreef ze in reactie op aanvullende vragen van de Eerste Kamer dat je voor het inzien van je gegevens een authenticatiemiddel op een hoog betrouwbaarheidsniveau nodig hebt. “Helaas is dat nog niet op brede schaal beschikbaar”, zei de minister. Er wordt wel druk aan gewerkt, Nictiz is bijvoorbeeld bezig met een aantal pilots met het nieuwe Idensys systeem als aanvulling op DigiD. Volgens een recente brief van minister Blok zouden burgers eind 2018 met de nieuwe, veiliger varianten van DigiD moeten kunnen inloggen bij zorgorganisaties.
Volstaat DigiD?
Curieus genoeg schrijft de minister in dezelfde nota dat het zorgverleners wel is toegestaan om hun patiënten nu elektronisch inzage te geven (als ze zich tenminste aan de geldende wet- en regelgeving houden). Daarmee suggereert ze op dat de huidige versie van DigiD (dat wel op brede schaal beschikbaar is) als toegangsmiddel voldoet aan de wettelijke regels. Een andere interpretatie zou immers zijn: alle ziekenhuizen die nu werken met DigiD voldoen niet aan de wet.
Specifieke, uh, gespecificeerde toestemming
De discussie over het recht op digitale inzage is redelijk overzichtelijk in vergelijking met het tweede heikele punt waarover de Kamer moet beslissen. Hoe leg je vast op welke manier burgers toestaan dat hun medische dossier (of delen daarvan) worden gedeeld? En even lastig: hoe ziet het systeem eruit waarmee je de nieuwe regels hiervoor kunt implementeren? Die vragen leidden in de afgelopen twee jaar tot grote begripsverwarring, nadat bij de behandeling in de Tweede Kamer kamerleden een motie hadden aangenomen die de uitgebreidere vorm van toestemming afdwingt.
Wanneer je de wetsartikelen in kwestie vluchtig doorleest lijkt het allemaal niet zo ingewikkeld:
- De zorgaanbieder stelt gegevens van de cliënt slechts beschikbaar via een elektronisch uitwisselingssysteem, voor zover de zorgaanbieder heeft vastgesteld dat de cliënt daartoe uitdrukkelijk toestemming heeft gegeven.
- De in het eerste lid bedoelde toestemming betreft gespecificeerde toestemming voor het beschikbaar stellen van alle of bepaalde gegevens aan bepaalde door de cliënt aan te duiden zorgaanbieders of categorieën van zorgaanbieders.
De pijn zit hem vooral in de tweede alinea. Daar staat dat de burger aan zijn of haar zorgaanbieder moet kunnen aangeven welke gegevens al dan niet gedeeld mogen worden. Maar daarnaast zou de burger ook nog moeten kunnen aangeven welke andere zorgaanbieders (of groepen zorgaanbieders) die gegevens al dan niet kunnen opvragen. Je vindt het misschien niet nodig dat je diabetesverpleegkundige op de hoogte is van bepaalde familieproblematiek, of wilt je GGZ-dossier niet zomaar delen met je oogarts.
Maar wat bedoelt u daar nu precies mee?
De interpretatie van deze twee regels leidde tot eindeloze discussies. Inmiddels circuleren er drie A4’tjes met een uitwerking die volgens de minister door ‘het veld’ gedragen wordt.
Het probleem is: de bestaande ICT-systemen en werkwijzen van zorgaanbieders zijn nog niet in staat om dit soort fijnmazige toestemmingsregels (en het zogeheten loggen van alle inzagen in een dossier) te kunnen uitvoeren. Artsenorganisatie LHV vroeg zich direct af of de wet zelfs over drie jaar wel uitvoerbaar is in de praktijk, en vindt dat de wet nog niet in behandeling moet worden genomen totdat helder is of deze ook uitvoerbaar is. Schippers wil echter de druk hoog houden, zodat zorgaanbieders en ICT-leveranciers weten waar ze aan toe zijn en de benodigde investeringen kunnen doen.
Het LSP regelt toch toestemming?
Er bestaat, anno 2016, een landelijk, zorgbreed systeem waarmee huisartsen en apothekers op basis van een verleende toestemming door patiënten (onderdelen van) hun medisch dossier kunnen delen met andere zorgverleners. Dit zogeheten Landelijk Schakelpunt of LSP (dat door de verzekeraars wordt gefinancierd) heeft nog geen honderd procent landelijke dekking, maar miljoenen Nederlandse burgers gaven al hun toestemming om via het LSP gegevens uit te wisselen. Die toestemming heeft nu maar één smaak: ja of nee. Je kunt als burger niet aangeven welke zorgaanbieders niét bij je gegevens mogen komen, en je kunt evenmin in het LSP specificeren welke delen van je dossier bij de huisarts of apotheek je niet wilt delen.
Opslaan in het huisartsendossier
Patiënten kunnen wel bij individuele zorgaanbieders, zoals de eigen huisarts, aangeven wat ze wel of niet willen delen. Dat toestemmingsprofiel (wat mag worden gedeeld?) zou in principe moeten worden bewaard in het ICT-systeem van huisarts, apotheek of ziekenhuis. En die werken allemaal verschillend. Dat is lastig voor een uniforme landelijke standaard.
Die behoorlijk algemene toestemming op basis waarvan het LSP werkt staat volgens sommigen op gespannen voet met de privacy van burgers. Maar VZVZ, de exploitant van het LSP, voert aan dat zowel de rechter als de Autoriteit Persoonsgegevens oordelen dat de huidige manier van toestemming vragen conform de bestaande wet- en regelgeving is.
Nieuwe wet vraagt om nieuwe toestemming?
Minister Schippers wil het systeem van toestemming vragen dus uitbreiden. Er zal dus een ander systeem moeten komen. De minister wil graag dat dit - net als het bestaande LSP - een “zorgbrede” voorziening wordt. Ze heeft aan koepelorganisaties van artsen en patiënten gevraagd om mee te denken over de manier waarop de zogeheten ‘gespecificeerde toestemming’ moet worden ingericht in de komende jaren. Er is een stuurgroep ingericht waarin Actiz, lnEen, KNMG, KNMP, LHV, de Patiëntenfederatie en NVZ, gefaciliteerd door VWS en Nictiz, uitwerken hoe het wetsvoorstel praktisch moet worden ingevuld.
Koppeling met persoonlijk gezondheidssdossier
Misschien moet dat helemaal niet met een LSP-achtig systeem, maar met veel modernere, mobiele technologie. En in ieder geval met een gestandaardiseerde, landelijk uniforme aanpak van de manier waarop toestemming online wordt vastgelegd, beheerd en getoond. Met de input van alle betrokkenen wil het ministerie tot een ‘globaal bedrijfsplan’ komen voor deze nieuwe infrastructuur, “inclusief de financiering van de ontwikkel- en exploitatiekosten”. De oplossing zou overigens ook moeten gaan aansluiten op de MedMij plannen van de Patiëntenfederatie voor een persoonlijk gezondheidsdossier of - omgeving.
Financiers gezocht
Er wordt dus gezocht naar een of meerdere financiers. Het ministerie van VWS heeft de ervaren zorgbestuurder Erwin Velzel gevraagd als programmamanager om tot zo’n bedrijfsplan te komen. Die kent de problematiek goed, in 2012 gaf hij de private doorstart van het gesneuvelde landelijke EPD vorm gaf als bestuurder van VZVZ, de organisatie die met geld van verzekeraars het LSP-netwerk beheert. Een woordvoerder van VZVZ zegt desgevraagd dat men niet actief betrokken is bij de nieuwe plannen, maar dat er wel contacten zijn.
Een uitgangspunt van de stuurgroep is dat investeringen in bestaande systemen niet nodeloos moeten worden weggegooid. Wellicht kan het bestaande LSP bijvoorbeeld worden uitgebreid met extra functies om die toestemming specifieker te kunnen vastleggen en online inzichtelijk te maken voor de burger? Bij VZVZ vindt men volgens het eigen businessplan 2016-2020 dat die aanpassingen technisch haalbaar zijn. Dat standpunt werd daarna herhaaldelijk genoemd.
LSP geen gelopen race
Hoewel het dus niet onlogisch zou zijn dat de functie van een nieuw landelijk register met digitale goedkeuringen bij het LSP terecht komt, heeft Schippers er voorlopig voor gekozen om onder eigen regie en dichter bij het ministerie een bedrijfsplan uit te laten werken. Daarbij zal ze ook de artsenkoepels te vriend moeten houden, want die zijn nog helemaal overtuigd van een exclusieve status voor het LSP, en spelen de kaart dat de nieuwe wet bij te snelle implementatie tot hogere kosten, een hogere werkdruk en complexe ICT-systemen zal gaan leiden. Schippers wil dus wel drie jaar water bij de wijn doen, maar gaat ervan uit dat de goedkeuring van de wet zowel voor zorgaanbieders als ICT-leveranciers duidelijk zal maken dat je over drie jaar klaar moet zijn.
Het LSP is nog geen doorslaand succes, het is vooralsnog wèl het enige systeem dat landelijk beschikbaar is. In de bouw en de uitrol van het LSP is door overheid en verzekeraars honderden miljoenen euro’s geïnvesteerd. Veel apotheken en huisartsen hebben oudere systemen uitgefaseerd en zijn nu afhankelijk van het LSP. Maar de onderliggende technologie is tien jaar oud, en bij verzekeraars vraagt men zich af of men de jaarlijkse exploitatiekosten wel moet blijven betalen. De stuurgroep die nu aan het werk is rond de nieuwe toestemming krijgt dit issue zeker op de agenda.
Vanuit het oogpunt van privacy is er ook kritiek op het LSP. Tegenstanders wijzen erop dat we met de wet in de huidige vorm nog minimaal drie jaar vastzitten aan een systeem waarbij er veel te weinig garanties zijn dat de vertrouwelijkheid van je medische gegevens gewaarborgd is. Tegenstanders noemen het ‘alles of niets’ principe van het huidige LSP een te grote inbreuk op je privacy. Sommigen gaan verder, en zeggen dat de huidige architectuur van het LSP, met een centrale registerfunctie, ouderwets is en kwetsbaar voor cyberaanvallen en misbruik. Minister Schippers gaf eerder aan gevoelig te zijn voor dit soort argumenten, en erkende de noodzaak om een zorgbrede voorziening volgens de nieuwste inzichten van ‘privacy by design’ in te richten. Wat daar de feitelijke invulling van wordt is nog niet bekend.
Moet er wel een centrale voorziening komen?
Je hoort geluiden dat de overheid niet zelf één centrale voorziening moet ontwikkelen waarmee patiënten hun toestemming kunnen vastleggen en beheren. Zij pleiten voor het verplicht maken van open standaarden, waardoor patiënten niet gebonden zijn aan de diverse systemen van hun zorgaanbieders maar hun data altijd op een gestandaardiseerde en veilige manier naar hun eigen computer, mobiel of web-omgeving kunnen downloaden. Die verplichte standaardisatie zou er dan ook meteen zorgen dat systemen van zorgaanbieders ook onderling eenvoudiger en veiliger kunnen communiceren voor het uitwisselen van medische gegevens.
Een open einde?
Wanneer de Eerste Kamer a.s. dinsdag het voorstel van Schippers goedkeurt, dan is dat politiek gezien de laatste stuiptrekking van de plannen voor een landelijk systeem voor medische dossiers. Dat dossier kan dan na een geschiedenis van meer dan een decennium dicht. Wat in Nederland politiek niet lukte, bleek in andere landen overigens wel mogelijk.
Wat in Nederland politiek niet lukte, bleek in andere landen wel mogelijk
Maar het aannemen van de wet zal niet direct antwoord geven op de vraag hoe het geven van toestemming voor het delen van het medische dossier in de praktijk zal gaan werken. De eerdergenoemde koepels van zorgaanbieders en de Patiëntenfederatie zeggen in een recente brief aan de Eerste Kamer dat rond de uitvoering van de wet nog niet alle aspecten duidelijk zijn, maar dat zij zich ervoor willen inzetten “om binnen de door de minister aangegeven overgangsperiode van drie jaar het wetsvoorstel te implementeren.”
Het idee dat aan alle patiënten dan weer opnieuw moet worden gevraagd om toestemming zal voor veel artsen en apothekers geen aantrekkelijke optie zijn. De eerder genoemde stuurgroep zou er een voorstander van zijn wanneer nu verleende miljoenen toestemmingen kunnen worden hergebruikt. Maar bij een strikte interpretatie van de wet en de toepassing van de huidige gebruikersvoorwaarden van het LSP moeten zorgaanbieders wellicht toch nog een keer terug naar de patiënt. En dan maar hopen dat die het verschil begrijpt.
Trackbacks & Pingbacks
[…] Ontknoping nadert voor Schippers’ wet over digitale gegevensuitwisseling […]
Plaats een Reactie
Meepraten?Draag gerust bij!