Minister Edith Schippers van Volksgezondheid, Welzijn & Sport (VWS) laat niet onderzoeken of het scenario dat de Verenigde Staten Nederlandse elektronische patiëntendossiers kan inzien, realistisch is. Zij wacht liever de uitkomsten af van het overleg tussen de vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) en de Amerikaanse automatiseerder CSC, bouwer en beheerder van het Landelijk Schakelpunt (lsp). De VZVZ heeft een verklaring geëist van CSC, waarin staat dat het risico is uitgesloten dat de inhoud van medische dossiers kan worden verstrekt aan Amerika.
Dit blijkt uit de antwoorden van de bewindsvrouw op vragen van het Kamerlid Reinette Klever (PVV) over berichten in de media dat de Amerikaanse overheid CSC met een beroep op de Patriot Act of de FISA Amendment Act kan dwingen gegevens af te staan.
Behalve dat zij eerst op de verklaring van CSC wacht wijst minister Schippers er op dat Nederland met de Verenigde Staten een bilateraal rechtshulpverdrag heeft dat, als het gaat om het uitwisseling van (digitale) gegevens, tot op EU-niveau is ‘geagendeerd’.
Bovendien heeft CSC bij het aannemen van de opdracht om een lsp te bouwen voor de uitwisseling van gegevens de voorwaarde aanvaard te voldoen aan de Nederlandse privacywetgeving, waaronder de Wet bescherming persoonsgegevens (Wbp). CSC won in 2005 samen met de Amerikaanse databasesoftwareleverancier Intersystems de Europese aanbesteding onder verantwoordelijkheid van Nictiz, destijds beheerder van het lsp.
Kritiek op doorstart
Na het mislukken van het landelijk epd is er een doorstart met een regionaal karakter. De vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ), de organisatie achter de doorstart, wil het lsp van CSC hiervoor blijven gebruiken. Minister Schippers stelt dat het de rol van de toezichthouders, de Inspectie voor de gezondheidszorg en het CBP (College Bescherming Persoonsgegevens), is om toezicht te houden op de inrichting van de informatiesystemen en het beheer daarvan.
Ook de doorstart van het epd in regionale vorm roept veel kritiek op, onder andere over privacy en veiligheid. Op een vraag van PVV-kamerlid Klever of zij de doorstart van het epd gaat beëindigen, schrijft Schippers: ‘Ik zie daarvoor geen aanleiding. Ook op grond van de huidige wet- en regelgeving kan ik de doorstart van het epd niet beëindigen. Als zou blijken dat de VZVZ, die verantwoordelijk is voor de zorginfrastructuur, zich niet houdt aan de geldende wet- en regelgeving is het aan het CBP hierop actie te ondernemen.’
De bewindsvrouw bereidt wel een wetsvoorstel voor waarin zij de belangrijkste randvoorwaarden, zoals toestemming, inzage en sancties bij misbruik, voor uitwisseling van patiëntengegevens wettelijk gaat regelen. Momenteel maken de regio’s Twente en Nijmegen al gebruik maken van het lsp. Vanaf het eerste kwartaal 2013 volgen ook andere regio’s.
Privacy
Dat het CBP de ontwikkelingen rond het nieuwe epd nauwgezet volgt bleek uit een recente reactie op het probleem dat er nog steeds persoonsgegevens in het lsp staan waar betrokkenen geen toestemming voor hadden gegeven. Dat is nog een erfenis van het stopzetten van het landelijk epd.
Het CBP stelt dat opname zonder toestemming van de betrokkenen in strijd is met de wet. Het college heeft VZVZ, de verantwoordelijke voor het lsp laten weten dat het handhavingsinstrumenten zal inzetten indien dit vanaf 1 januari 2013 nog steeds voorkomt. VZVZ heeft naar aanleiding hiervan bevestigd dat de gegevens van mensen van wie geen toestemming is verkregen voor de uitwisseling van hun medische gegevens, per 1 januari 2013 uit het systeem zullen worden verwijderd. Eerder wilde VZVZ nog een overgangsperiode tot juli 2013.
De VZVZ is eind 2011 opgericht op initiatief van de koepels van huisartsen (LHV), huisartsenposten (VHN), apotheken (KNMP), ziekenhuizen (NVZ) in samenwerking met Nictiz en met steun van de patiëntenfederatie NPCF.
Een paar opmerkingen.
– staar je niet dood op juridische zaken.
– Kijk naar ICT
* terecht wijst eerste reactie op dat toegang tot enkele gegevens lokaal ook andere kwetsbaar maakt
* is een systeem met meer dan 100.000 sleutels te vertrouwen (want dat is minimale aantal gebrukers)
* wat wordt de waarde van (alle) de opgeslagen gegevens? Dat bepaalt criminele belangstelling.
* zijn er geen slimmere oplossingen (eerder genoemd zijn chipkaart, dubbele sleutel etc)??
@Ruud : feitelijk niet relevant, maar laat dan de minister even haar verantwoordelijkheid nemen en verklaren dat het EPD-verstrekkingenregime zodanig is dat in het kader van bilaterale rechtshulp EPD-gegevens verstrekt kunnen worden. En dan hoor ik daarover ook graag nog even het CPB, dat door de minister zo nadrukkelijk naar voren geschoven wordt.
Onze overheid is na jaren van mislukte ict-projecten en andere beveiligingsprojecten (vb. fraudevrije paspoort) nog steeds niet wakker geworden.
Beveiligen via elektronica, wachtwoorden, enz. is nog nooit echt gelukt, zie de geregelde successen van hackers.
MIJN CONCLUSIE:
werkelijk belangrijke informatie mag nooit via internet beschikbaar kunnen komen!
Echter het gros van de mensen kijkt helaas alleen naar gemak, wat niet alleen geldt voor hen, MAAR ook voor de CRIMINEEL!
Wie kan mij antwoord geven op de volgende vraag: voor zover ik het heb begrepen kan men via LSP alleen dossiergegevens raadplegen zoals die bij de huisarts staan geregistreerd. Dat raadplegen is een momentopname. Als de huisartsenpost nu inkijkt, zien ze bijv. alleen gegevens van de laatste 4 maanden en een actuele episode/probleemlijst. Bij het huidige LSP wordt er toch buiten de huisarts om géén dossier vastgelegd? Of heb ik iets gemist? (in dat geval valt er door CSC niets vrij te geven aan de USA, mind you – ik zit NIET te wachten op een extern dossier in handen van een semi-Amerikaans bedrijf).
Even de feiten.
– Bestaande fouten zijn niet opgelost.
– Onduidelijke vraagstelling. Denk hierbij aan het te bereiken doel en alle rand-(voorwaarden).
– We dus weer van start (met gemeenschapsgeld) met een project wat nu al volledig is gebasseerd op aannames en/of afspraken waar geen duidelijke sancties tegenover staan.
– De uiteindelijke eigenaar wordt niet of nauwelijks geraadpleegd en eventuele afwegingen bij besluitvorming lijken althans niet relevant.
– Onze oosterburen zijn inmiddels veel verder met implementatie, wet en regelgeving. Ook daar trekken besluitvormers zich nog immer niets van aan en leveren ons straks voor veel geld opnieuw uitgevonden (vierkante) wielen.
– Wat zijn de gevolgen en de burgerrechten, mochten dossiers straks toch op straat liggen, hetzij in NL, Europa of op een andere willekeurig plek op deze aardkloot. Met of zonder gebruik van publieke infrastructuur, dit gaat onherroepelijk fout.
– Er is nog steeds niets geregeld vwb. de volgende casus: “Stel door een foutje heb ik volgens het EPD blinde darm meer. Wordt ik dan toch even snel en efficient geholpen bij een acute blinde darm onsteking. Of gaan de onderzoekers op zoek naar een andere oorzaak of wordt het een administratief drama.”. “Stel ik weet dit van te voren, had ik het dan binnen afzienbare tijd uit het EPD kunnen verwijderen.” Antwoorden zijn nog immer volmondig NEEN.
– Stel een werkgever of verzekering heeft op welke wijze ook inzicht gekregen tot mijn EPD, en ik lijdt hier schade door, op wie kan ik schade verhalen (binnen Nederland uiteraard).
DRAMA’S als gevolg van ambtelijke naïviteit en falen zullen wederom ten deel vallen aan velen, helaas.
@Jan H.- Ik neem aan dat u geen vermogensrekening had bij Lehman Brothers, die zouden goed op de centjes passen. Verder weten wij niet en worden deels in onwetendheid gehouden over wat er inmiddels allemaal al is gehacked en waar open deuren zijn gevonden. “HL7 ??” Nou en. “e.detifier2 ???” Nou en.. Dat laatste gaat toch ook mis. Wel een gehoord van Spyware op het werkstation van de gebruiker. Corruptie etc. etc. en dan???
En nu komt als antwoord, ja maar het ligt nu toch ook al vast. Inderdaad, maar het is niet via 1 systeem toegankelijk.