Stel je voor dat de Nederlandse Autoriteit Persoonsgegevens (AP) een paar dagen voor het live gaan van enkele grote MedMij projecten zou besluiten om daar de stekker uit te trekken vanwege interpretatieverschillen over de privacy-aspecten. Daar is iets behoorlijk misgegaan in de samenwerking tussen de betrokken ministeries en overheidsinstanties, zou je logische eerste reactie zijn. In Zweden maakten ze het dit voorjaar mee bij de geplande introductie van een landelijk patiëntendossier (EPD). We zijn nu een half jaar later, en de zaak zit nog steeds op slot totdat rechters er uitspraak over doen.
Dit voorjaar besloot Datainspektionen, zeg maar de Zweedse Autoriteit Persoonsgegevens, dat de vergevorderde plannen voor een nationaal persoonlijk gezondheidsdossier met de naam HälsaFörMig moesten worden stopgezet.
Opvallende timing
Dat was een beroerde timing voor het Zweedse eHealth Agentschap, net als Datainspektionen ook een overheidsorganisatie, want die wilde na vijf jaar voorbereiding juist van start gaan met het EPD in enkele delen van Zweden. Dat zou moeten gebeuren tijdens een groot symposium over eHealth. De voortvarende start van het project had al een tik gekregen door rechtszaken over fouten in de aanbestedingsprocedure. Kleinere lokale IT-partijen vinden dat ze waren benadeeld ten opzicht van Microsoft en Capgemini, die het project in eerste instantie in de wacht hadden gesleept. Het gehakketak daarover zorgde voor twee jaar vertraging.
Microsoft HealthVault
Het uitgangspunt van HälsaFörMig is dat de burger de eigenaar is van de informatie, en de overheid een neutrale en veilige opslag biedt op vrijwillige basis. Artsen, ziekenhuizen en andere zorgaanbieders moeten op een eenvoudige manier een kopie van alle medische dossiers in het persoonlijke dossier kunnen plaatsen. (Ze kunnen daar overigens op basis van de huidige Zweedse wetgeving nog niet toe worden verplicht).
Amerikaanse technologie, dataopslag in EU
De burger kan vervolgens bepalen met wie hij of zij die informatie wil delen, bijvoorbeeld met familie of met andere zorgverleners. De burger kan te allen tijde besluiten om informatie te verwijderen uit het dossier. Uitgangspunt is dat de overheid een neutrale en veilige opslag biedt op vrijwillige basis. Toegang tot het dossier vindt plaats met het Zweedse e-ID systeem dat ook voor overheidsinstanties en banken wordt gebruikt. Daarbij garandeert de Zweedse overheid dat de persoonlijke informatie conform alle geldende wetten en regelgeving op het gebied van databeveiliging en privacy wordt behandeld.
Twee jaar geleden lieten de Zweden weten dat ze ook in zee waren gegaan met het elektronisch dossier systeem van de Amerikaanse aanbieder Get Real Health, die de producten InstantPHR and CHBase levert. Capgemini en Get Real Health werkten in de afgelopen jaren door aan het Zweedse landelijke EPD. Eind vorig jaar liet Helena Richardson van het eHealth Agenschap nog aan SmartHealth weten dat HälsaFörMig op schema lag, en dat de toepassing in het voorjaar van 2017 beschikbaar zou komen voor een eerste groep Zweedse burgers.
Helena Richardson
Maar drie dagen voor de geplande live-gang kwam er dus een kink in de kabel. Je zou denken dat de privacywaakhond Datainspektionen en het eHealth Agentschap in de afgelopen jaren wel eens met elkaar aan tafel zouden hebben gezeten om vooraf te bekijken welke privacy-problemen zouden kunnen opdoemen. Daarmee had de overheid kunnen voorkomen dat dit voorjaar, drie dagen voor de feestelijke landelijke introductie van HälsaFörMig, het project in ieder geval tijdelijk moest worden stopgezet.
Not amused
Het eHealth Agenschap was ook in publieke uitingen duidelijk not amused over de werkwijze van Datainspektionen. Helena Richardson van het eHealth Agenschap liet weten dat ze het merkwaardig vond dat Datainspektionen na een eerste correspondentie op geen enkele manier verder contact had gezocht met het landelijke eHealth project. Ze zei te begrijpen dat Datainspektionen zich niet kan uitlaten over individuele diensten die nog niet eens actief zijn, maar toonde weinig begrip voor de nu gekozen werkwijze.
Data van burgers of overheidsdocumenten?
Feit is dat de privacybewakers de Zweedse wetgeving anders interpreteren dan het eHealth agentschap, en dat het om complexe issues gaat. In een e-mail interview met SmartHealth legt Datainspectionen chef Katarina Tullstedt uit dat in het nationale HälsaFörMig EPD de medische gegevens van Zweedse burgers worden opgeslagen. Daarvoor is een motie aangenomen in het Zweedse parlement, waarin het eHealth Agentschap de opdracht kreeg om dit plan uit te werken.
Halseformig: Zweeds EPD
De crux, schrijft Tullstedt, zit hem erin dat data en documenten die worden opgeslagen op Zweedse overheidscomputers of clouddiensten, daarmee doorgaans ‘overheidsdocumenten’ worden en daardoor ook onder andere wettelijke bepalingen vallen. Ze kunnen bijvoorbeeld onder een soort Wet Openbaarheid Bestuur vallen. Volgens het eHealth Agentschap is er bij het landelijke EPD sprake van een uitzondering hierop, omdat de overheid de burger slechts een technische infrastructuur biedt.
Waakvlam
Maar Tullstedt vindt dat tot op de bodem moet worden uitgezocht of de technische en juridische uitzonderingsconstructie die HälsaFörMig heeft gekozen vanuit privacy-oogpunt waterdicht is. HälsaFörMig vindt dat natuurlijk wel, en daarom is zij in beroep gegaan tegen de gedwongen stopzetting. Vorige maand stuurde het eHealth Agentschap een verweer naar een Zweedse rechtbank voor bestuurlijke zaken. Tot er een uitspraak is worden alle activiteiten rond het EPD op een waakvlam gezet. Volgens sommige Zweedse deskundigen kan zo’n definitieve uitspraak lang op zich laten wachten, omdat het om een principezaak gaat die waarschijnlijk zal worden uitgevochten tot op het niveau van de Zweedse Hoge Raad.
wellicht ook interessant
Plaats een Reactie
Meepraten?Draag gerust bij!