16 nov

Aan structureel onrechtmatige aanmeldingen in LSP moet eind komen

speciaal aanbod

Onlangs kreeg ik zicht op hoe een apotheek op volkomen illegale wijze, volgens de marketingtruc ‘ja tenzij’ mensen aanmeldt alsof zij toestemming verleend zouden hebben om hun medische gegevens via het Landelijk Schakel Punt(LSP) te laten uitwisselen. De apotheek stopte dit voorjaar hiertoe een brief in de zakjes waarin afgehaalde medicijnen werden meegegeven. Daarin stond aangekondigd dat als men niet voor een bepaalde datum bezwaar aantekende, er na 14 juni 2017 voor hen het LSP zou worden aangezet onder vermelding dat zij door niet te reageren toestemming daarvoor zouden hebben gegeven. Daarnaast werden mensen ook nog eens op onrechtmatige wijze onder druk gezet dat toestemming geven in het belang van hun gezondheid is omdat er zonder aansluiting bij het LSP bijvoorbeeld in de avonduren via een dienstapotheek geen goede medicatie gegeven zou kunnen worden. Heel vilein suggereert het briefje bovendien dat men alleen maar geen toestemming bij de apotheek zou hebben staan, omdat men de klant al een poos niet aan de balie had gezien vanwege de bezorging van de medicijnen. De apotheek heeft met het sturen van deze brief en het aanmelden van mensen zich onmiskenbaar schuldig gemaakt aan het onder druk zetten van patiënten zodat zij niet in vrijheid zelf kunnen beslissen en aan het gebruik van een wettelijk verboden opt-out-constructie.

 Van Gogh-apotheek

De boosdoener is de van Gogh-apotheek in Haarlem. Door op de beschreven wijze medische gegevens van hun klanten open te zetten voor landelijke opvraging door zorgverleners waar betrokkenen geen enkele relatie mee hebben, is bovendien sprake van een grootschalig datalek van uiterst gevoelige medische persoonsgegevens. Omdat VZVZ(beheerder van het LSP) geen uniforme procedure hanteert voor het verkrijgen, registreren en loggen van aangemelde toestemmingen, valt te vrezen dat deze apotheek niet de enige is. Uit onderzoek van Burgerrechtenvereniging Vrijbit, blijkt hoe apotheken, het al dan niet daadwerkelijk verleende toestemmingen verzamelen, organiseren via regionale samenwerkingsverbanden. Volgens de Wet bescherming persoonsgegevens(Wbp) mogen mensen enkel worden aangemeld als zij daarvoor in vrijheid zonder uitoefening van druk en op grond van correcte en heldere informatie ondubbelzinnig toestemming voor hebben verleend.

Bij de doorstart van het LSP is door de voorganger van de huidige Autoriteit Persoonsgegevens(het CBP) op vragen van Nictiz (die het toenmalig door de Eerste Kamer verboden Landelijk Elektronisch PatiëntenDossier(L-EPD)-systeem) over deed aan de private partij VZVZ) duidelijk gesteld dat er sprake moest zijn van de expliciete toestemming van de patiënt via een opt-in systeem.

Geschiedenis

In 2008 had de toenmalige minister van VWS, Ab Klink, bepaald, dat de medische gegevens van iedere burger verplicht beschikbaar werden gesteld voor elektronische uitwisseling via het LSP. Pas toen er grote maatschappelijke onrust ontstond, werd er een uiterst gecompliceerde mogelijkheid aangekondigd waarbij mensen alsnog bezwaar zouden kunnen gaan maken tegen de uitwisseling van hun medische data via het Landelijk Elektronisch PatiëntenDossier(L-EPD). Toen na deze valse start van het L-EPD de Eerste Kamer de hele publieke L-EPD-invoering blokkeerde, werd het concept niet losgelaten, maar zodanig gewijzigd dat er een zogenaamde ‘private doorstart’ werd gemaakt. Daarbij kwam de verantwoordelijkheid niet langer in handen van de overheidsdienst Nictiz, maar in handen van een private partij. Deze Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), kreeg het oorspronkelijke systeem onder haar hoede met dien verstande dat de bestaande database gevuld met opt-out-toestemmingen opgeschoond diende te worden. 

 Acht miljoen mensen werden zo uit de LSP-index verwijderd en alle bezwaren van mensen die aangegeven hadden dat ze niet accepteerde      dat  hun gegevens via het EPD beschikbaar kwamen werden ongeldig verklaard.(waardoor tot op de dag van vandaag er nog steeds mensen zijn die stellig van mening zijn dat zij expliciet tegen het huidige systeem hebben geprotesteerd omdat zij in 2008, 2009 bezwaar aantekenden).

Opt-in

Cruciaal voor de private doorstart werd geacht dat het geen opt-out (ja tenzij) maar opt-in systeem zou worden. Daarmee werd gesuggereerd dat mensen enkel in het systeem zouden komen als zijzelf daar expliciet toestemming voor gaven. Door deze verschuiving werden en passant alle bezwaren tegen het systeem qua onveilige dataverwerking, het gebruik van het BSN door een partij die daar niet over mag beschikken, en onwettige constructies met betrekking tot de verantwoordelijkheid bij misbruik van medische gegevens en gevraagde generieke toestemming voor onvoorziene toepassingen, ter zijde geschoven. Feit is dat in 2014 het CBP, na een uiterst beperkt onderzoek(steekproef van 149 personen), al onrechtmatig genoteerde toestemmingen constateerde. Dat werd toen als onbelangrijk incident afgedaan omdat het niet zou gaan om mensen die geen toestemming hadden gegeven maar slechts om administratief niet correct vastgelegde toestemmingen.

Werkwijze apotheek

De brief van de van Gogh-apotheek in Haarlem is gedateerd op 22-05-2017 met als bezwaar-deadline 24-06-2017. De folder van VZVZ die hierbij werd meegestuurd lijkt een poging om de illegale toestemmingsvraag een correct tintje te geven. Maar zelfs die voorlichtingsfolder geeft geen correcte informatie. Deze werkwijze, om via een stilzwijgende opt-out procedure toestemming te veronderstellen en vervolgens te registreren en door te geven aan het LSP voor opname in de verwijsindex, is niet alleen een onrechtmatige handelswijze van de betrokken apotheker, maar maakt ook dat alle aanmeldingen van toestemming vanuit deze apotheek vanaf 14-6-2017 niet langer als rechtmatig kunnen worden beschouwd en uit de verwijsindex verwijderd dienen te worden. Daarnaast is het maar helemaal de vraag of de vreemde opt-out-constructie enkel de mensen treft die de brief bij hun medicijnen meekregen of ook voor alle andere patiënten die bij deze apotheek hun medicatie krijgen, of ook voor de familieleden van de mensen die een dergelijke brief meekregen, maar toevallig geen medicijngebruikers zijn. Vandaar dat alle klanten van deze apotheek geïnformeerd dienen te worden over de onjuiste registratie van ‘toestemming’ alsook over het opvragen van medische gegevens zoals dat heeft plaatsgevonden op basis van de ten onrechte geregistreerde toestemmingen.

Vrijbit

Burgerrechtenvereniging Vrijbit heeft aan de toezichthouder bescherming persoonsgegevens een formeel handhavingsverzoek gestuurd om hiervoor zorg te dragen. Bovenstaande gang van zaken is één van de methodieken waardoor op illegale wijze toestemmingen vergaard worden door zorgaanbieders. Het gaat met name ook op het landelijk op grote schaal voorkomen van onrechtmatige aanmeldingen door met name de apothekers. Ook hierop ziet het handhavingsverzoek evenals het eerdere handhavingsverzoek wat gebaseerd was op de praktijkvoorbeelden van individuele gevallen waarin mensen ontdekten ten onrechte te staan aangemeld.

VZVZ

VZVZ poogt zich er altijd uit te draaien door te stellen dat zij de toestemmingsvereisten voldoende duidelijk uitleggen in hun folders en voorlichtingsbijeenkomsten. Maar omdat VZVZ een systeem beheert dat onrechtmatig- dan wel helemaal niet verkregen- toestemmingen als grondslag voor aanmeldingen faciliteert, zijn zij uiteraard wel degelijk aansprakelijk. Dit geldt zowel voor het runnen van een systeem waarbij mensen er niet van op aan kunnen dat hun medische gegevens niet ter beschikking worden gesteld aan partijen waar zij geen toestemming voor gaven, als voor de manier waarop de controle hierop systematisch onmogelijk wordt gemaakt. VZVZ voelt wel nattigheid, want in de nieuwsbrief van juli 2017 is een apart stukje aan dit onderwerp besteed. Daarin refereert men aan de recente belangstelling voor verkregen toestemmingen naar aanleiding van de voorbeelden van mensen die onterecht in het systeem bleken te ‘zitten’ en berichtgeving van het tv programma Radar waaruit blijkt dat een substantieel deel van de bevolking geen idee heeft of zij staan aangemeld( en dus wie er over hun medische gegevens kunnen beschikken). Het VZVZ-toestemmingsformulier is inmiddels na jaren zodanig aangepast dat daarop nu wel wordt vermeld dat het over het LSP gaat, maar de informatie blijft te sturend om in vrijheid gegevenstoestemming mogelijk te maken.

Marketing-truc

Aan het op illegale wijze vullen van de LSP-index met vermeende toestemmingen moet een einde komen. Daarbij moet de AP niet schuwen om overtreders aan te pakken voor overtreden van de wet aangaande toestemmingsvereisten en daarmee en het grootschalig en structureel faciliteren van grootschalige datalekken aangaande uiterst gevoelige medische persoonsgegevens. Uiteraard dient ook de hoofdverantwoordelijke VZVZ te worden aangepakt en worden gedwongen om paal en perk te stellen aan de huidige illegale praktijken. Zowel door het verwijderen van ( mogelijk) onterechte toestemmingen. Als door het verplicht aanbrengen van systeemwijzigingen waardoor het onmogelijk wordt om onterechte aanmeldingen te kunnen doen.

W.J. Jongejan

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *