Minister Edith Schippers van Volksgezondheid, Welzijn & Sport (VWS) laat niet onderzoeken of het scenario dat de Verenigde Staten Nederlandse elektronische patiëntendossiers kan inzien, realistisch is. Zij wacht liever de uitkomsten af van het overleg tussen de vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) en de Amerikaanse automatiseerder CSC, bouwer en beheerder van het Landelijk Schakelpunt (lsp). De VZVZ heeft een verklaring geëist van CSC, waarin staat dat het risico is uitgesloten dat de inhoud van medische dossiers kan worden verstrekt aan Amerika.
Dit blijkt uit de antwoorden van de bewindsvrouw op vragen van het Kamerlid Reinette Klever (PVV) over berichten in de media dat de Amerikaanse overheid CSC met een beroep op de Patriot Act of de FISA Amendment Act kan dwingen gegevens af te staan.
Behalve dat zij eerst op de verklaring van CSC wacht wijst minister Schippers er op dat Nederland met de Verenigde Staten een bilateraal rechtshulpverdrag heeft dat, als het gaat om het uitwisseling van (digitale) gegevens, tot op EU-niveau is ‘geagendeerd’.
Bovendien heeft CSC bij het aannemen van de opdracht om een lsp te bouwen voor de uitwisseling van gegevens de voorwaarde aanvaard te voldoen aan de Nederlandse privacywetgeving, waaronder de Wet bescherming persoonsgegevens (Wbp). CSC won in 2005 samen met de Amerikaanse databasesoftwareleverancier Intersystems de Europese aanbesteding onder verantwoordelijkheid van Nictiz, destijds beheerder van het lsp.
Kritiek op doorstart
Na het mislukken van het landelijk epd is er een doorstart met een regionaal karakter. De vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ), de organisatie achter de doorstart, wil het lsp van CSC hiervoor blijven gebruiken. Minister Schippers stelt dat het de rol van de toezichthouders, de Inspectie voor de gezondheidszorg en het CBP (College Bescherming Persoonsgegevens), is om toezicht te houden op de inrichting van de informatiesystemen en het beheer daarvan.
Ook de doorstart van het epd in regionale vorm roept veel kritiek op, onder andere over privacy en veiligheid. Op een vraag van PVV-kamerlid Klever of zij de doorstart van het epd gaat beëindigen, schrijft Schippers: ‘Ik zie daarvoor geen aanleiding. Ook op grond van de huidige wet- en regelgeving kan ik de doorstart van het epd niet beëindigen. Als zou blijken dat de VZVZ, die verantwoordelijk is voor de zorginfrastructuur, zich niet houdt aan de geldende wet- en regelgeving is het aan het CBP hierop actie te ondernemen.’
De bewindsvrouw bereidt wel een wetsvoorstel voor waarin zij de belangrijkste randvoorwaarden, zoals toestemming, inzage en sancties bij misbruik, voor uitwisseling van patiëntengegevens wettelijk gaat regelen. Momenteel maken de regio’s Twente en Nijmegen al gebruik maken van het lsp. Vanaf het eerste kwartaal 2013 volgen ook andere regio’s.
Privacy
Dat het CBP de ontwikkelingen rond het nieuwe epd nauwgezet volgt bleek uit een recente reactie op het probleem dat er nog steeds persoonsgegevens in het lsp staan waar betrokkenen geen toestemming voor hadden gegeven. Dat is nog een erfenis van het stopzetten van het landelijk epd.
Het CBP stelt dat opname zonder toestemming van de betrokkenen in strijd is met de wet. Het college heeft VZVZ, de verantwoordelijke voor het lsp laten weten dat het handhavingsinstrumenten zal inzetten indien dit vanaf 1 januari 2013 nog steeds voorkomt. VZVZ heeft naar aanleiding hiervan bevestigd dat de gegevens van mensen van wie geen toestemming is verkregen voor de uitwisseling van hun medische gegevens, per 1 januari 2013 uit het systeem zullen worden verwijderd. Eerder wilde VZVZ nog een overgangsperiode tot juli 2013.
De VZVZ is eind 2011 opgericht op initiatief van de koepels van huisartsen (LHV), huisartsenposten (VHN), apotheken (KNMP), ziekenhuizen (NVZ) in samenwerking met Nictiz en met steun van de patiëntenfederatie NPCF.
Quote “Privacy Dat het CBP de ontwikkelingen rond het nieuwe epd nauwgezet volgt bleek uit een recente reactie op het probleem dat er nog steeds persoonsgegevens in het lsp staan waar betrokkenen geen toestemming voor hadden gegeven. Dat is nog een erfenis van het stopzetten van het landelijk epd”
De opzet van het EPD zal onverlaten ruimte bieden om ook data van Nee zeggers te benaderen omdat de data bij de hulpverlener op dezelfde systemen staat als de data van mensen die Ja zeggen.
Dit alternatief EPD zal dus al snel onderuit gaan omdat op geen enkele manier de toegang tot de data van nee zeggers gegarandeert ongedaan gemaakt kan worden zonder enorme investeringen aan de kant van de hulpverlener.
Het “verplichte” EPD was een gedrocht dat al werd gehackt voordat het live ging. Het nieuwe EPD zal ook gehackt worden en dan hebben we er met zijn allen weer ettelijke miljoenen inzitten.
Niet verrassend, de minister kijkt alleen naar kosten en is niet geïnteresseerd in de bescherming van persoonsgegevens.
Aangezien CSC een Amerikaans bedrijf is, en aldus gebonden is aan Amerikaanse wetgeving, zal CSC nooit een verklaring af kunnen geven dat zij nooit data aan de VS Regering zal afstaan. Dit omdat zij met haar systemen de data beheert. Als de data beheerder, ongeacht waar deze data staat, een oproep krijgt deze data af te staan kunnen ze hooguit eisen de betreffende gegevens nader te specificeren, maar de Patriot Act geeft de VS regering de macht deze data op te vragen. CSC kan daar geen keihard Nee tegen zeggen.
Ik wil hier graag even reageren op enkele reacties aangaande de privacy.
1 – CSC is een Nederlands bedrijf. Gewoon als BV ingeschreven in Nederland en gehouden aan de Nederlandse regels.
2 – LSP is een verbindingssysteem dat alleen zorgt dat gegevens van partij A door partij B opgevraagd kunnen worden op de systemen van partij B. Het LSP weet dus zelf niets van de patient waar het over gaat.
3 – Het gehele systeem is ISO 27002 gecertificeerd door een bekende Nederlandse auditor.
Samengevat: Het LSP is niets anders dan elk ander middleware systeem dat zorgt dat partijen elkaar kunnen vinden en daarna onderling gegevens kunnen uitwisselen. De uitwisseling van medische gegevens is hierbij overigens via HL7 en is versleuteld zodat de patientgegevens door de man in the middle ‘het LSP’ niet eens gelezen KUNNEN worden.
Interessant, de minister lijkt afstand te nemen.
De Patriot-regelgeving heeft geen boodschap aan contractuele afspraken volgens Nederlands recht tussen VZVZ en CSC.
De rol van de toezichthouders, de Inspectie voor de gezondheidszorg en het CBP wordt door de minsiter wel erg ruim geïnterpreteerd.
En als de minister nú nog met wetgeving moet komen om de patientprivacy te regelen geeft zij dus impliciet aan dat de huidige regelgeving op dat punt te kort schiet.
Beste Jan H.,
1. “Nederlandse” dochter van een Amerikaans bedrijf. Trek je conclusies.
3. Systemen kunnen niet 27002 gecertificeerd worden. Hooguit daaraan getoetst worden. De organisatie kan daarentegen wel 27001 gecertificeerd worden.
Het besluit is dom en kortzichtig, maar het zal ongetwijfeld de meest lucratieve optie zijn. Bah.
Lijkt me niet zo gek om eerst de verklaring van CSC af te wachten.
Maar dat moet dan wel bloed kritisch worden bekeken.
Als CSC zich beroept op een save harbour regeling moeten we dat niet serieus nemen in het kader van de patriot act. Het College Bescherming persoonsgegevens heeft reeds gewaarschuwd dat dat niet helpt tegen de patriot act. Zie b.v. http://webwereld.nl/nieuws/111737/cbp–bedrijven-mogen-niet-vertrouwen-op-safe-harbor.html
Zie ook het verhelderende artikel van o.a. een jurist van het ministerie van VenJ (Ruud Leether): http://www.van-doorne.com/Global/Publicaties/2012/AG%20-%20USA%20Patriot%20Act%20Haaks%20op%20privacywetgeving%20EU_24%20mei%202012.PDF
Ook Microsoft heeft erkent dat zij gebruikers net kunnen vrijwaren tegen de patriot act: http://www.zdnet.com/blog/igeneration/microsoft-admits-patriot-act-can-access-eu-based-cloud-data/11225.
Doorslaggevend argument moet dus zijn dat CSC verklaart niet bij de data zelf te kunnen. Dat is b.v. het geval als zij uitsluitend de bewerkings-software of hosting leveren.
Als het hoofdkantoor van CSC in de US staat dan moet CSC meewerken aan verstrekken van gegevens aan US overheid indien die daarom vraagt. Een verklaring van CSC aan NL overheid, of welke andere garantie dan ook, heeft nul waarde omdat ze dan tegen de US wetgeving ingaan. Ik kan ook alles verklaren en garanderen, maar ik daarvoor niet gemachtigd ben is het dus onzin. Ook als CSC die garantie afgeeft en de US overheid eist de gegevens op dan moet CSC dat geven. De NL overheid zegt dan foei, deelt een dikke boete uit (goed voor de schatkiat), maar onze (mijn) gegevens zijn wel de grote plas over. Het zijn MIJN gegevens en alleen diegene die direkt er iets mee moeten mogen het gebruiken, de rest niet! Het lijkt allemaal wel een app voor een telefoon die meteen toestemming vraagt voor alles, met garantie die niet eens tot aan de deur komt. Ofwel je hebt geen nul idee of controle wat er met jouw gegevens gebeurt.
Jan Mendrik, het lijkt mij duidelijk dat als het CSC de data niet kan ontsleutelen ze strafbaar gesteld zullen worden door de Amerikaanse overheid. ‘dat Nederland met de Verenigde Staten een bilateraal rechtshulpverdrag heeft dat, als het gaat om het uitwisseling van (digitale) gegevens, tot op EU-niveau is ‘geagendeerd’.’ Dit kan ook alleen maar eenduidig worden uitgelegd: ze gaat geen stroobreed in de weg liggen en alle burgers zijn criminelen, tot het tegendeel bewezen is.. Dit is ook de reden dat ik vanaf dag 1 erop tegen ben tegen het EPD, omdat ik niet geloof dat er in Nederland er de politieke wil is om privacy bescherming van de burger serieus te nemen.. Zulks in tegenstelling met bijv. landen als Duitsland.. En dat opsteller van de wet zich verschuilt achter de handhaver (CBP), is op z’n minst opmerkelijk te noemen..
Een verklaring als door de VZVZ naar eigen zeggen gevraagd van CSC kan dat bedrijf eenvoudig niet afgeven. Doet zij dat toch dan is die verklaring van nul en generlei waarde. Juist is wel dat Nederland en de VS een rechtshulp verdrag hebben gesloten op grond waarvan informatie als de onderhavige mogelijk ook kan worden verstrekt. Verschil is evenwel dat daartoe dan wel een officieel verzoek aan de Nederland moet worden gericht terwijl acties o.b.v. de Patriot Act zich volledig aan het zicht van de Staat onttrekken. Overigens doet ook het bouwen van een eigen ISP voor de uitwisseling van medische gegevens niets af aan de o.b.v. de PA en de VS constitutie (de laatste waar het gaat om VS jurisdictie) bestaande mogelijkheden.