Het is aan de Autoriteit Persoonsgegevens om te beoordelen of de huidige manier waarop patiëntgegevens van huisartsen worden opgeslagen door een commerciële partij door de beugel kan. Ook zijn huisartsen zelf verantwoordelijk voor het vragen van toestemming en voorlichting geven aan patiënten over die dataopslag. Dat stelt minister van Volksgezondheid Welzijn en Sport (VWS) Ernst Kuipers in antwoorden op Kamervragen
De minister antwoordt op vragen van kamerlid Van Haga (Groep Van Haga). Hij stelde de vragen naar aanleiding van een artikel in NRC. Daarin uiten huisartsen hun zorgen over medische gegevens van miljoenen Nederlanders die wekelijks worden gekopieerd naar de servers van een commercieel softwarebedrijf. Het gaat om VIP Live-software van het Leidse bedrijf Calculus, dat onderdeel is van Topicus. Dat maakt van de aangesloten huisartsenpraktijken iedere week een kopie van de gehele patiëntenadministratie. Daardoor moeten gegevens van patiënten met chronische aandoeningen, zoals diabetes, beter uitgewisseld worden tussen behandelaren.
Die kopieën bevatten ook de data van patiënten die geen chronische aandoening hebben, het gaat onder meer om medische dossiers, laboratoriumuitkomsten, medicijngebruik en persoonlijke notities van de huisarts. Die kopieën worden versleuteld opgeslagen, alleen de huisarts kan ze inzien.
AP
De Autoriteit Persoonsgegevens voerde in 2018 een vooronderzoek uit naar de rol van Calculus en de opslag van de kopieën van de huisartsendossiers, maar zag geen aanleiding tot een vervolgonderzoek. Kuipers reageert: ‘De reden om geen vervolgonderzoek te doen was tweeledig. De AP constateerde dat de geëxtraheerde gegevens meteen automatisch worden versleuteld en alleen toegankelijk zijn voor de huisarts (die de sleutel heeft). De softwareleverancier en de ketenzorggroep hebben geen sleutel. Daarnaast worden medische gegevens niet met externen gedeeld, voor bijvoorbeeld wetenschappelijk onderzoek of statistiek.’
Volgens Kuipers is het niet nodig om de zaak alsnog te bekijken, bovendien kan hij de AP niet dwingen om alsnog een onderzoek te starten, omdat de privacywaakhond een zelfstandig bestuursorgaan is, zo redeneert hij. De minister schermt in zijn brief bovendien met allerlei algemene regelingen, beveiligings- en systeemeisen waaruit zou blijken dat de gang van zake in orde is, maar gaat niet in op details en specifieke vragen over het systeem van Calculus. Voor die verantwoordelijkheid wijst hij naar de huisartsen.
Op de vraag hoe Kuipers ervoor gaat zorgen dat huisartsen niet aansprakelijk kunnen worden gesteld voor oneigenlijk gebruik en verspreiding van de medische gegevens van hun patiënten, antwoordt hij: ‘Dat is niet aan mij. Of een huisarts tuchtrechtelijk of civielrechtelijk of uit anderen hoofde aansprakelijk of aanspreekbaar is vanwege overtreding van bepaalde wet- en regelgeving, hangt af van de relevante wet- en regelgeving en de concrete feiten en omstandigheden. Daarin kan ik niet treden.’ Hij wijst op de verwerkersovereenkomst die huisartsen volgens de AVG moeten sluiten met hun softwareleverancier.
AVG en privacy
Volgens Van Haga is sprake van grootschalige medische dataopslag, die vaak plaatsvindt zonder instemming van de patiënt en is dat in strijd met de privacywetgeving. ‘Daarin staat dat er zo weinig mogelijk gevoelige persoonsgegevens verzameld en opgeslagen mogen worden.’ Hij vraagt de minister om uit te leggen waarom dergelijke bedrijven ‘blijkbaar wordt toegestaan om buiten de wet te handelen.’
Kuipers: ‘Het is niet aan mij om een oordeel te geven over de rechtmatigheid van de gegevensverwerkingen die hier aan de orde zijn. Dat vergt onder meer een gedegen onderzoek naar de feiten en omstandigheden en hoe die zich verhouden tot het relevante wettelijke kader. Dat is aan de AP, als onafhankelijke toezichthouder op de naleving van het gegevensbeschermingsrecht.’
Kuipers schrijft dat zijn ministerie zich er wel voor inzet om zorgaanbieders bewust te maken van het nut van informatiebeveiliging.
Help! De dokter verzuipt van 31 januari 2014 wees al op het probleem van opslag want dat medische gegevens NIET met externen gedeeld worden, bijvoorbeeld voor wetenschappelijk onderzoek of statistiek is een flagrante leugen. Artikel 458 wetboek 7 (WGBO) stelt:
1. In afwijking van het bepaalde in artikel 457 lid 1 kunnen zonder toestemming van de patiënt ten behoeve van statistiek of wetenschappelijk onderzoek op het gebied van de volksgezondheid aan een ander desgevraagd inlichtingen over de patiënt of inzage in de gegevens uit het dossier worden verstrekt indien:
a. het vragen van toestemming in redelijkheid niet mogelijk is en met betrekking tot de uitvoering van het onderzoek is voorzien in zodanige waarborgen, dat de persoonlijke levenssfeer van de patiënt niet onevenredig wordt geschaad, of
b. het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de hulpverlener zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele natuurlijke personen redelijkerwijs wordt voorkomen.
2. Verstrekking overeenkomstig lid 1 is slechts mogelijk indien:
a. het onderzoek een algemeen belang dient,
b. het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd, en
c. voor zover de betrokken patiënt tegen een verstrekking niet uitdrukkelijk bezwaar heeft gemaakt.
Zonder onderzoek geen medicijn, zonder anonimisering geen privacy want het gaat niet om de versleuteling maar het verdraaien waardoor data nog wel bruikbaar is voor onderzoek maar niet terug te herleiden is op de natuurlijke persoon.