Terwijl de Eerste Kamer zich buigt over het wetsvoorstel “Cliëntenrechten bij elektronische verwerking van gegevens” , de opvolger van de in 2011 verworpen Wet EPD, blijkt uit achtergrondinformatie die de minister over het onderwerp naar de kamer heeft gezonden, dat de zorg op het gebied van ict en privacy nog een grote slag te maken heeft.
Kort gezegd beoogt het wetsvoorstel het mogelijk te maken dat de burger via een zorgaanbieder niet alleen kan aangeven met welke specifieke andere zorgverlener(s) medische informatie uitgewisseld mag worden, hetgeen al onder de huidige wet kan, maar dat ook categorieën van zorgverleners op voorhand kunnen worden aangewezen. De burger moet bij het verlenen van toestemming specifiek aan kunnen geven of hij voor alle of bepaalde gegevens toestemming geeft en aan welke (categorieën van) zorgaanbieders die gegevens beschikbaar mogen komen. ‘Alle ziekenhuizen in Nederland’ zou zo’n categorie kunnen zijn, of alle apothekers en alle huisartsen. Het wetsvoorstel noemt dit het geven van “gespecificeerde” toestemming.
So far so good zou je denken, maar zo’n twee maanden geleden heeft de minister de kamer laten weten dat voor zo’n gespecificeerde toestemming de ict-systemen van de zorgverleners moeten worden aangepast, zodat enkel die gegevens kunnen worden uitgewisseld waarvoor ook daadwerkelijk toestemming is gegeven. De meeste systemen zouden namelijk enkel kunnen omgaan met de zogeheten ‘generieke toestemming’, een enkel Ja of Nee, waarbij een Ja tot gevolg heeft dat alle gegevens worden gedeeld met alle zorgaanbieders. Ook het door de zorgaanbieder moeten registeren van de gegeven toestemming, inclusief datum en tijdstip waarop een toestemming is ingegaan, stuit volgens de minister op organisatorische en technische aanpassingen bij de zorgaanbieder. Deze onderdelen van de wet zullen daarom pas drie jaar na de inwerkingtreding van de wet uitgevoerd hoeven te worden.
Zorgwekkend
Het is natuurlijk zorgwekkend dat de ict-leveranciers in de zorg een dergelijke aanpassing niet op korte termijn voor elkaar kunnen krijgen, maar pas echt zorgelijk is het feit dat de leveranciers klaarblijkelijk geen gebruik hebben gemaakt van de principes van Privacy by Design, en dat terwijl het juist bij medische gegevens cruciaal is om al in een vroeg stadium rekening te houden met de privacyvereisten. Zorgaanbieders moeten dit bij de keuze van hun informatiesystemen laten meewegen.
Ook is het de minister gebleken dat zorgaanbieders op dit moment nog geen adequate invulling kunnen geven aan het in het wetsvoorstel opgenomen recht op elektronische inzage en elektronisch afschrift. Daarvoor is het volgens de minister noodzakelijk dat de burger eerst beschikt over veilige authenticatiemiddelen op voldoende hoog betrouwbaarheidsniveau waarmee hij zijn gegevens in kan zien en opslaan. Omdat dit volgens de minister nog niet beschikbaar is, laat zij ook de bepalingen ten aanzien van elektronische inzage en elektronisch afschrift niet eerder in werking treden dan drie jaar na inwerkingtreding van het wetsvoorstel.
Ik denk dat iedereen met ook maar een beetje verstand van cryptografie nu heel erg hard moet lachen. Die middelen zijn er natuurlijk al lang, en zeer goedkoop te verkrijgen. Ook is het door middel van de blockchain mogelijk om gebruik te maken van timestamping. Die blockchain zou bovendien gebruikt kunnen worden als onderdeel van een nog te ontwikkelen zorgportaal waarin de burger zelf kan aangeven en kan bijhouden welke toestemming er op welk moment en aan wie is gegeven.
Juist de blockchain kan in combinatie met smart contracts zorgen voor een specifieke, gespecificeerde of generieke toestemming, waarbij burgers zeggenschap krijgen over hun eigen medische dossiers, en onrechtmatige inzage altijd getraceerd kan worden. Het is jammer dat de nieuwe wetgeving nog geen rekening heeft gehouden met deze nieuwe ontwikkelingen.
Nog lachwekkender is dat alles al kan met DigiD, iets wat veel EPD leveranciers al deels hebben geïmplementeerd. Blijkbaar is de huidige certificering van de leveranciers niet toereikend om op hetzelfde niveau te werken als de Belastingdienst, dan zou alles zonder probleem direct kunnen worden gebruikt.
Nog een beetje prematuur om nu al met blokchain technieken te gebruiken terwijl die nog grotendeels in ontwikkelingsfase zit. Los daarvan lijkt het zoals je zelf ook aangeeft het eerder een functionele zaak te zijn om de cliënt zelf de zeggenschap te geven wie wat in mag gaan zien.