Kwaadwillend knoeien met medische digitale beelden realiteit

kwaadwillend knoeien

Het blijkt zeer wel mogelijk digitaal beeldmateriaal van bijv. een CT- of MRI-scanner met malware te manipuleren. Afwijkingen toevoegen, maar ook aangetoonde afwijkingen verwijderen bleek mogelijk. Op 3 april 2019 publiceerden wetenschappers van het Cyber Security Research Center behorend bij de Ben-Gurion University of the Negev in Beer-Sheeva(Israël) daarover. The Washington Post zette er op diezelfde dag een uitgebreid artikel op haar website. In Nederland zag ik er tot heden slechts één bericht op 4 april op de website Security.nl over.  Wetenschappers lieten zien dat het mogelijk was beelden die onderschept waren tussen de computer van de beeldvormende apparatuur en de PACS-server. PACS staat voor Picture Archiving and Communication System. Het is een beeld-verwerkend systeem dat het mogelijk maakt om via computers de digitale beelden (met verslag) gemaakt op de afdeling radiologie van een ziekenhuis te verwerken, te archiveren en te verspreiden bij de aanvragende medisch specialisten.

Modus operandi

De onderzoekers produceerden software waarbij ze afwijkingen -zij namen daarvoor longkanker- op de CT-scan naar believen konden toevoegen, dan wel echt bestaande verwijderen. Ze voerden een penetratieaanval uit in een ziekenhuis, dat op de hoogte was dat er een soort aanval kon komen. Ze maakten er een video over. Het was een zogenaamde  een man-in-the-middle-aanval. Ze deden dat door een Raspberry Pi 3 Mode B computertje te gebruiken in combinatie met een USB-to-ethernet-adapter. Die kostten bij elkaar ongeveer 40 dollar. Een onderzoeker plaatste in 30 seconden de apparaatjes na insluiping in de avonduren bij de scanner in het netwerk. De signalen bestemd voor de PACS-server onderschepte men zo. Na modificatie van de data werden die met een vertraging van slechts enkele milliseconden doorgegeven aan de PACS-server.

Resultaten

Het bleek zeer goed mogelijk de radiologen die de beelden moesten beoordelen om de tuin te leiden. In bijna alle gevallen van toegevoegde tumoren(99%) en nauwelijks minder bij verwijderde(94%) hadden de radiologen het aan het verkeerde eind. Ook speciale artificial-intelligence-software die men gebruikt bij het helpen beoordelen van MRI- en CT-beelden ziet niet dat er gemanipuleerd is.

Authenticiteit / Integriteit

Het probleem is dat de authenticiteit van de beelden in het geding is. In de praktijktest met de interceptie bleek het ziekenhuis het encryptie-protocol(TLS v1.2), in gebruik bij het verzenden van data van scanner naar PACS-server, niet goed geïmplementeerd te hebben. Daardoor verzond het systeem “plain text”, d.w.z. onversleutelde informatie. Ook maakte men geen gebruik van een digitale ondertekening van het databericht waardoor het veranderd zijn van de informatie niet gedetecteerd kon worden. Zowel deugdelijke end-to-end-encryptie m als het aanbrengen van  een digitale handtekening in de data  kan veel ellende voorkomen.

Nachtmerrie

Het is natuurlijk de nachtmerrie van elke patiënt en arts, of dat nu de behandelaar is of de radioloog, dat beelden die gemaakt zijn met digitale beeldvormende apparatuur niet te vertrouwen zijn. De auteurs van het artikel zeggen zelf dat een aanvaller dit kan doen om een politieke leider of kandidaat te verwijderen, onderzoek te saboteren of vervalsen, een moord of terrorisme uit te voeren of gegevens voor losgeld te gijzelen. Dat is nogal boud gesteld, maar wel mogelijk. Het belangrijkste is echter het niet uit kunnen gaan van de integriteit en de authenticiteit van de beelden.

Zwakke plekken

Het is dan ook van groot belang dergelijke problemen te voorkomen door alert te zijn op mogelijke zwakke plekken in de keten. En die zijn er. Een information security officer van de Mayo Clinic in Minnesota stelde dat PACS-netwerken over het algemeen geen encryptie kennen. Ziekenhuizen gaan er volgens hem vaak onterecht van uit dat wat op hun interne netwerken gebeurt niet toegankelijk is voor de buitenwereld. Niets in minder waar.

Toename aanvallen

De laatste jaren is er in toenemende mate interesse van kwaadwilligen die d.m.v. hacken proberen medische informatie te verkrijgen of te beïnvloeden. Ik schreef op 25 april 2018 een artikel over de Orangeworm-hackersgroep die met het W32/Kwampir-virus de medische sector aanviel. Ook toen was duidelijk dat onvoldoende geupdate en beveiligde software en besturingssystemen dit soort aanvallen mede mogelijk maken.

Eerdere publicaties

Twee van de auteurs van het recente stuk, namelijk Tom Mahler en Yuval Elovici schreven in maart 2018 a ook een artikel met de titel “Know your enemy, Characteristics of Cyber-Attacks on Medical Imaging Devices”. Ik schreef daar op 18 april 2018 en artikel, getiteld: ”Wat als de CT- of MI-scanner gekaapt is door malware” over.

Bij het gebruik van geavanceerde  zorgICT-toepassingen dient men ook geavanceerd te blijven denken en state-of-the-art-beveiliging te gebruiken.

W.J. Jongejan, 10 april 2019

                           

 

 




eHealth: de wet van Jongejan en redenen voor uitblijven doorbraak

Gerard Freriks

In het verleden publiceerde ik op deze website meerdere keren over eHealth. De rode lijn daarin is dat men eHealth veel pusht maar dat aldoor de opschaling tegenvalt. eHealth-monitors van Nictiz laten dat elk jaar opnieuw zien. Het antwoord van het ministerie van VWS is dan steevast het roepen dat men er meer regie over gaat voeren. Ook trekt VWS dan vaak weer de beurs om met subsidies eHealth te stimuleren. In dit artikel zal ik uitgaan van de oude definitie van eHealth van Nictiz. Die luidt: eHealth is het gebruik van nieuwe informatie- en communicatietechnologieën, en met name Internettechnologie, om gezondheid en gezondheidszorg te ondersteunen. Met de nieuwe definitie kan je de soms al 30 jaar in gebruik zijnde zorginformatiesystemen ook meerekenen. In gesprek met mijn oud-collega Gerard Freriks(zie bio onder dit artikel) en zorgICT-kenner, komen een aantal zaken aan de orde die bij ongewijzigd beleid een blijvende belemmering zullen blijven vormen voor het opschalen van eHealth.

H=1/S

In de eHealth geldt tot nu toe een ijzeren wet. De Wet van Jongejan zal ik het maar noemen. Het is het gegeven dat tot heden telkens de haalbaarheid(H) van een eHealth-project of -toepassing omgekeerd evenredig blijkt te zijn met de schaalgrootte(S). Elke keer zie je dat er enthousiast bericht wordt over veelbelovende projecten. Naar verloop van tijd blijkt het dan toch telkens weer tegen te vallen. Een berucht voorbeeld is beeldzorg, zorg verlenen via een videoverbinding tussen arts en patiënt. Even zoeken op “telezorg” op deze website levert meerdere artikelen op.

Regie en financiën

In een recent artikel op 8 april 2019 in het online magazine Zorgvisie meldt de leiding van het programma Act@Scale dat werkte onder de leiding van Philips dat bij eHealth het schort aan het regie nemen door overheden en de beperkte financiële middelen. In gesprek met Gerard Freriks maakt die me duidelijk dat het niet die factoren zijn. Het zijn in zijn ogen veel dieper liggende, fundamentele  factoren die bepalen dat eHealth nooit echt doorbreekt

Gerard Freriks

Hij stelt dat financiën het probleem niet zijn. Het probleem zit in de zorgICT-systemen die verouderd zijn en altijd suboptimale berichtenstandaarden nodig hebben. Hij geeft aan dat de overheid geen regie heeft en zo het een regie heeft dat die gefocust is op berichtenstandaarden die altijd voor problemen zorgen en niet bieden wat verwacht wordt. De overheid zou in zijn ogen een zorginformatie-ICT-Architectuur moeten vaststellen en effectueren.

Resoluut

Nederland volgt volgens hem tot op heden een weg die nooit leiden zal tot Elektronische Patiënt Dossiers(EPD’s) die onderling makkelijk kunnen uitwisselen, of integreren met eHealth applicaties, of makkelijk en veilig te gebruiken zijn voor slimme artificial intelligence  / algoritmen. De afgelopen twintig jaren is de HL7-berichtenstandaard gepropageerd door NICTIZ voor communicatie tussen zorgICT systemen. Gebruik van deze berichtenstandaard houdt in dat elke autonome leverancier, in elke versie de interne data afbeeldt op de berichtenstandaard. En elke leverancier doet dat op de eigen manier. Dit leidt tot suboptimale, soms gevaarlijke, en dure koppelingen voor gegevens-uitwisselingen.

Leveranciers

Elke eHealth- leverancier (en ook EPD leverancier) legt de data intern in het systeem op koppelvlakken op de eigen manier vast, Dat geeft integratie problemen. Daarnaast is er te veel impliciete kennis nodig om data op al die koppelvlakken juist en veilig te interpreteren. Te weinig wordt contextuele informatie (de epistemologie) vast gelegd ten einde de data juist te kunnen begrijpen.

Toenemend inzicht en ervaring leert dat er andere oplossingen zijn. Er is bv de ISO 13606 EPD standaard die vastlegt hoe zorgICT-systemen data presenteren en gebruiken op koppelvlakken binnen en buiten het systeem.

Zorgverleners

Die kunnen zelf bepalen wat er op de koppelvlekken beschikbaar komt. Elke leverancier kan van die technische oplossingen gebruikmaken die hij verkiest. De eerder genoemde standaard zorgt ervoor dat zorgdomein en zorgICT-domein gescheiden van elkaar kunnen opereren. De Europese 13606 standaard zorgt voor de lijm opdat het werkt.

Meerdere standaarden

Alleen maar kiezen voor de 13606 standaard is NIET genoeg. Een aantal andere standaarden zijn ook onontbeerlijk. Bv: Snomed, ICPC, ICD, documentatie, het zorgverleningsproces (ISO 13940), zorg-IT architectuur (ISO 12967), CIMI, om een paar te noemen. Al deze standaarden zijn er en worden elders toegepast. In landen zoals: Noorwegen, Slovenië, Rusland, Chili, zijn er leveranciers die op (grote) schaal opereren. Landen zoals Duitsland, Ierland, Zweden, oriënteren zich. In Nederland zijn er drie bedrijven met producten en kennis van enkele van deze standaarden.

W.J. Jongejan en G. Freriks, 17 april 2019

Gerard Freriks is actief in de ICT sinds 1972 en is 20 jaar huisarts geweest. Vanaf 1996 is hij actief betrokken bij het maken van Internationale standaarden voor de zorg ICT en stond daarbij aan de wieg van elektronische medische datacommunicatie. Enkele van deze standaarden zijn:

  • NEN 7510 Informatie Beveiliging in de Zorg
  • ISO 13606 EPD Communicatie
  • ISO 12934 System of Concepts for Continuity of CareIn Nederland

 

 

 




UZI-pas en rijbewijs: een slechte combinatie

UZI-pas zonder rijbewijsAfgelopen week bereikten mij een drietal verhalen van huisartsen, die een nieuwe UZI-pas aanvroegen en daar geen vrolijke herinneringen aan overhielden. Voor het inloggen in elektronische zorgcommunicatiesystemen, maar ook in een aantal gevallen het inloggen in het eigen huisarts-informatie-systeem(HIS) is een UZI-pas nodig. UZI-staat voor Unieke Zorgverlener Identificatie. Het UZI-register, als onderdeel van de dienst CIBG(Centraal Informatiepunt Beroepen Gezondheidszorg) valt onder het ministerie van VWS. Aangezien de UZI-passen een geldigheidsduur van drie jaar hebben, moet er nogal eens een pas vervangen worden. Soms noopt de komst van een nieuw personeelslid tot een nieuwe pas. Zowel het aanvragen als het in ontvangst nemen van een UZI-pas kan tot gekke situaties leiden. Ik neem u de komende minuten mee in de ervaringen van drie huisartsen.

Huisarts 1

Deze had een pas die het einde van de geldigheidsduur naderde. Hij vroeg een nieuwe aan. UZI-passen kunnen met een speciale koeriersdienst in de praktijk bezorgd worden. De aanvraag verliep vrij soepel. Hij kreeg een week voor de bezorging een email, dat hij een geldig legitimatiebewijs moest kunnen laten zien. Een geldig legitimatiebewijs zou zijn een rijbewijs of een paspoort. Dit stond in de mail. De huisarts was met een rijbewijs in de praktijk, toen de bezorger kwam. Een uur voor de koerier kwam kreeg hij nog een mail over de UZI pas. Of hij er wel om wilde denken, dat als hij meer dan één voornaam had, het rijbewijs ineens GEEN geldig legitimatiebewijs is. De koerier kwam. Hij toonde hem de oude UZI-pas en  het rijbewijs. Hij kreeg de UZI-pas niet, want hij heeft twee voornamen… Dan geldt het rijbewijs ineens niet als legitimatiebewijs. Hij moest weer een nieuwe afspraak maken voor het opnieuw sturen van een koerier.

Vervolg

De koerier kwam nadien voor de tweede keer langs. Hij zou komen tussen 8:00-13:00 uur. De huisarts was een visite (10 minuten) aan het rijden en uitgerekend toen kwam de koerier. Hij wilde geen minuten wachten, dus: weer geen UZI pas. Daarop weer een afspraak gemaakt voor de volgende dag en toen lukte het.

Overheen lezen

Wat stond er nu in de mail waar de huisarts achteraf van besefte dat hij er overheen gelezen had:

Bij het afleveren van de UZI-pas moet de koerier uw identiteit controleren aan de hand van een geldig wettelijk identiteitsdocument (rijbewijs is ook geldig mits u slechts 1 voornaam heeft en deze volledig staat vermeld of heeft u meerdere voornamen dan kan een rijbewijs enkel als u ook een geldig geboorteakte kunt overhandigen). (Vet WJJ) Meer informatie hierover kunt u lezen op www.uziregister.nl. Hieronder leest u in het kort hoe de procedure in zijn werk gaat:

  • U toont de koerier een geldig wettelijk identiteitsdocument (paspoort, rijbewijs, identiteitskaart, diplomatiek paspoort, dienstpaspoort of verblijfsdocument).
  • Uw identiteitsdocument wordt op echtheid gecontroleerd;
  • U zet uw handtekening op een handtekeningkaart, de koerier controleert deze aan de hand van de handtekening op uw identiteitsdocument; etc etc.

Vreemd

Bij twee voornamen is een rijbewijs opeens geen geldig identiteitsbewijs, maar weer wel als men een geldige geboorteakte kan overleggen. Dat zal geen huisarts zo maar bij de hand hebben. Het ware wenselijker als het rijbewijs als identiteitsbewijs voor het in ontvangst nemen van een UZI-pas gewoon geschrapt wordt en zo geen verwarring meer kan veroorzaken.

Huisarts 2

Deze heeft een hidha sinds kort in de praktijk, een huisarts in dienst van een huisarts. Zij is medewerkster in zijn praktijk. Vanwege haar diensten als huisarts op de huisartsenpost heeft hij voor haar a raison van 250 euro een medewerker-UZI-pas aangevraagd. Fout helaas. Dat had een zorgverlenerspas moeten zijn. Een medewerkerspas is alleen bestemd voor personeel dat niet BIG-geregistreerd is. Opnieuw dus pas, maar wel de goede, aangevraagd. Weg 250 euro.

Huisarts 3

Deze verlengde zijn zorgverlenerspas en ook zijn pas werd bezorgd op de praktijk. De eerste keer was hij weggeroepen en ging de koerier zijns weegs. De tweede keer nam de koerier geen genoegen met de kopie van het paspoort uit de personeelsmap, waardoor een derde keer nodig was.

Weerbarstige materie

Uiteraard koppelt men aan de bezorging van UZI-passen de nodige controles vast. Deze geven in de praktijk toch de nodige praktische problemen. Vooral het gebruik van het rijbewijs als identiteitsbewijs kan beter volledig buiten beeld gebracht worden. En ja, heb je eenmaal je UZI-pas dan is maar helemaal de vraag hoe strikt er intern mee gewerkt wordt in praktijken. Logt een medewerker telkens uit en een nieuwe weer in als ze na elkaar op hetzelfde werkstation moeten werken of even naar het toilet gaan?

Dat is dan weer een heel ander verhaal.

W.J. Jongejan, 15 april 2019




Wanhoopspoging VWS om toestemming bij elektronische zorgcommunicatie uit te schakelen

vuist VWS

Minister van VWS voor de medische zorg, Bruno Bruins, stuurde op 9 april 2019 zijn tweede brief over gegevensuitwisseling in de zorg naar de Tweede kamer. Daarin schrijft hij onder andere dat het ministerie bezig is met een wijziging in artikel 15a lid1 van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg(Wabvpz). Hij wil daarin het vragen van toestemming voor elektronische gegevensuitwisseling in de zorg afschaffen. Bruins vindt dat bij elektronische uitwisseling er in verhouding tot de niet-elektronische weg naar het oordeel van VWS veel te vaak apart toestemming moet worden gevraagd. Hij maakt daarbij enkele zeer cruciale denkfouten. Het is de nieuwste ontwikkeling in het denken van het ministerie na twee eerdere strandingen op dit punt, namelijk bij de generieke toestemming en bij de gespecificeerde toestemming. Hij wil met het voorstel o.a. de opt-in-toestemming die nodig is bij het doen delen van medische informatie via het Landelijk SchakelPunt(LSP) afschaffen. Het delen van samenvattingen van huisartsgegevens leidt een kwijnend bestaan vanwege de onwil van het merendeel van de bevolking om daar toestemming voor te geven. Diverse media berichtten rover de nieuwe inzichten van de minister.

Wanhoopspoging

Bruno Bruins wil het artikel 15a, lid 1 van de Wabvpz (bouwjaar 2008) aanpassen. Daarin staat:

De zorgaanbieder stelt gegevens van de cliënt slechts beschikbaar via een elektronisch uitwisselingssysteem, voor zover de zorgaanbieder heeft vastgesteld dat de cliënt daartoe uitdrukkelijk toestemming heeft gegeven.

Hij wil hier de “uitdrukkelijke toestemming” uit verwijderen omdat hij stelt dat als er sprake is van een behandelrelatie van de patiënt met een opvragend arts toestemming verondersteld kan worden. Hij vergeet daarbij voor het gemak dat het moment van toestemmingsverlening niet op het moment van opvragen van de gegevens plaats vindt, maar op een veel eerder moment. Dan vraagt men toestemming om ooit in de toekomst die data te doen delen. Het is geen gerichte toestemming voor een specifieke ontvanger. Dat vereist een toestemmingsverlening bij alle zorgaanbieders waar data van die patiënt opgeslagen zijn.  Dus meer toestemmingen dan wanneer er sprake is van gerichte uitwisseling.

Nog meer

Ook wil hij van het begrip “elektronisch uitwisselsysteem” af omdat naar zijn zeggen uitwisseling tegenwoordig ook direct uit een systeem voor dossiervoering kan plaatsvinden. Hij doet zo voorkomen of systemen van zorgaanbieders  rechtstreeks met elkaar communiceren. Dat is absoluut niet het geval. Voor de elektronische communicatie tussen zorgaanbieders is altijd een elektronisch transportmedium nodig, een aparte infrastructuur.

Misvattingen

Op grond van een zeer kromme en onjuiste redenering wordt een aanpassing in de wet gesuggereerd die er op neer komt dat voor gegevensuitwisseling langs elektronische weg geen toestemming meer nodig is.  Die redenering houdt in dat het in de huidige wet zou gaan om een aparte/bijzondere bezwarende bepaling voor de uitwisseling van medische persoonsgegevens tussen zorgverleners, namelijk  het toestemming moeten vragen voor gegevensuitwisseling langs elektronische weg. Waar deze toestemmingsverplichting niet zou gelden voor  klassieke/papieren uitwisseling van medische gegevens uit patiëntdossiers.

Opmerkelijk

Dat niet meer gerefereerd wordt aan een gerichte en veilige uitwisseling van medische gegevens tussen zorgverleners direct betrokken bij een behandeling (zoals bij wet en verdrag vereist) is zeer opmerkelijk te noemen. Na het voorspelde vastlopen van het project gespecificeerde toestemming kijkt men nu niet meer naar alternatieve mogelijkheden (zoals de Whitebox) om op een andere wijze een veilig, gerichte en selectieve uitwisseling medische data tussen zorgverleners betrokken bij een behandeling (alsnog) mogelijk te maken. Het voorspelbare vastlopen van het project “gespecificeerde toestemming” laat men volgen door een initiatief om het toestemmingsvereiste voor de uitwisseling van medische persoonsgegevens (vanuit patiëntdossiers bij zorgverleners) langs elektronische weg dan maar geheel te laten vervallen.

Toestemmingsvereiste

De route die Bruins kiest, namelijk het laten vervallen van een formulering in de Wabvpz, heeft niet en kan niet tot gevolg hebben dat de algemene toestemmingsverplichting die geldt voor de uitwisseling van bijzondere persoonsgegevens door zorgverleners komt te vervallen zodra dit elektronisch gebeurt. Het zou neerkomen op een verplichte toestemming die alleen zou gelden als er sprake is van uitwisseling van persoonsgegevens langs elektronische weg. Juridisch gezien lijkt het me onmogelijk om voor hetzelfde doel twee soorten toestemmingsregelingen te hebben.

Eerdere zeperds

Bij de private doorstart van het gebruik van het LSP had de toenmalige minister van VWS, Edith Schippers, de generieke toestemming in gedachte. Daarmee werd een eenmalige onbepaalde toestemming bedoeld. Omdat die veel te ruim te interpreteren was kwam de minister zelf met het principe van de “gespecificeerde toestemming“ naast de generieke toestemming. Zij verzon dit plan om de patiënt onderdelen van het dossier en categorieën van zorgaanbieders uit te laten sluiten bij uitwisseling. Dat is nadien ten onrechte toegeschreven aan het Tweede Kamerlid Hanke Bruins Slot. Zij was het echter die met een motie gedaan kreeg dat i.p.v. de generieke toestemming alleen de gespecificeerde gebruikt mocht worden. De gespecificeerde toestemming invoeren bleek recent tot onoverkomelijke problemen te gaan leiden bij de invoering. Zo oordeelde een werkgroep, ingesteld door het ministerie, met dezelfde naam. Een patiënt zou dan 160 vinkjes moeten zetten bij het maken van keuzes.

Toestemming afschaffen?

Het voorstel  van Bruno Bruins rammelt aan alle kanten, is juridisch aantoonbaar onjuist en daarmee onhoudbaar. Het gaat volledig in tegen het recht op zelfbeschikking over de eigen medische data. Dit voorstel kan alleen maar krachtig afgewezen worden.

Het indienen van dit soort voorstellen geeft aan hoe wanhopig het ministerie van VWS bezig is om van het elektronische berichtenverkeer dat stagneert wat te maken. Hoewel het LSP in private handen is probeert het ministerie aan alle kanten het geforceerd vlot te trekken.

W.J. Jongejan, 12 april 2019

 

 

 




Zorgdata verwerken, MRDM en gepseudonimiseerde data

big data

Recent zorgde een bericht in het Algemeen Dagblad op 30 maart 2019 voor flink wat rumoer. Het zorgdata verwerkende bedrijf Medical Research Data Management(MRDM) blijkt deze data opgeslagen te hebben in de Google Cloud(locatie Eemshaven). Het gegeven dat het om gepseudonimiseerde data gaat, die volgens de vigerende wet- en regelgeving gewoon als bijzondere persoonsgegevens beschouwd moeten worden maakt het één en ander nog interessanter. Binnen MRDM heeft men zelf ook wel door dat er sprake is van bijzondere persoonsgegevens. Op 17 mei 2018 hield het bedrijf een informatiebijeenkomst gegevensbescherming  waarin dit onderwerp en de relatie tot de Algemene Verordening Gegevensverwerking(AVG) ter sprake kwam. Sprekers waren onder andere de “zorg”-jurist Theo Hooghiemstra en zijn confrater Evert-Ben van Veen, directeur van het bedrijf MedLaw. Bij het doorspitten van de positie van het bedrijf MRDM stuitte ik op een kluwen van zorg-data-verwerkende bedrijven die plotseling de Value Based HealthCare(VBHC) hoog in het vaandel hebben staan.

Kluwen

Bij het uitzoeken wat nu precies de positie is van het bedrijf MRDM bleek het lastig om de positie die het bedrijf in zorgdataverwerking in kaart te brengen. Het bedrijf is gevestigd op de Leeuwenbrug 115 te Deventer. Op dat adres blijken ook LOGEX Participatie II B.V, Brightingale B.V., Value2Health, en One2Many B.V. gevestigd te zijn. Ook de servicedesk van het Leidse Dutch Institute of Clinical Auditing(DICA) blijkt er aanwezig te zijn. De samenhang tussen enkelen van deze wordt enigszins duidelijk in de presentatie van de directeur Paul Crauwels. (sheet 4)

LOGEX

LOGEX en Value2Health hangen onder de LOGEX-groep, waarbij MRDM de dataverwerking doet en weer data door levert aan bijv. DICA. Het blijkt nog iets ingewikkelder omdat ZorgInvest B.V. de moeder maatschappij van Value2Health blijkt te zijn.  Binnen ZorgInvest zien we ook het uit  het voorbije jaren bekende Prismant weer terug. Dat heette tijdelijk, als onderdeel van Kiwa, Kiwa Carity, maar werd onder de naam Prismant bij Zorginvest ingelijfd.  De LOGEX-groep blijkt naar eigen zeggen de eerste Europese speler te zijn in geavanceerde software en analytics voor het meten van uitkomsten en kosten van zorg. We zien hier een ontwikkeling waarbij op grote schaal het uitbaten van zorgdata het businessmodel vormt voor een woud aan bedrijven. Alle bedrijven zijn met zorgdata bezig, maar het is lastig aan te geven waarin ze van elkaar verschillen. Men stelt dat op basis van deze zorgdata therapieën verbeterd kunnen worden en zorg efficiënter ingericht kan worden. Toch bekruipt mij bij dit alles het gevoel van data-harvesting op grote schaal.

AVG

Op de in de inleiding genoemde informatieavond belichtten ieder vanuit een andere hoek Theo Hooghiemstra en Evert-Ben van Veen de situatie van het verwerken van bijzondere persoonsgegevens. De AVG staat op zich het verwerken van medische gegevens als zijnde bijzondere persoonsgegevens toe maar er dient toestemming voor gevraagd te worden. In het geval van MRDM door de ziekenhuizen die de data aanleveren aan de patiënten. Dat gebeurt nu niet. Hooghiemstra ziet wel dat bij gepseudonimiseerde data de AVG van toepassing is en dat wel toestemming van de betrokkene nodig is. Hij komt in de discussie toch tot een wat vreemde toelichting. Hij stelt bij de Autoriteit Persoonsgegevens en bij de koepels gezegd te hebben dat je er niet tegen moet verzetten, maar dat het tijd kost om dit goed in te regelen. Het als bijzondere persoonsgegevens moeten beschouwen van gepseudonimiseerde zorgdata is echter een gevolg van vigerende wet- en regelgeving. Daarbij dient gewoon gehandhaafd te worden door de toezichthouder en niet afgewacht tot het goed ingeregeld is.

MedLaw

Evert-Ben van Veen van het juridisch adviesbureau MedLaw ziet dat duidelijk anders. In zijn presentatiesheets en in zijn tekst wijst hij de tegenstelling toestemming vragen of anders volledig anonimiseren van data af. Hij zegt uit te willen gaan van de gedachte dat als we een solidair zorgsysteem hebben datasolidariteit vanzelfsprekend moet zijn. Dat liet hij op deze website ook weten in een reactie op een op 1 april 2019 verschenen artikel van mij. Het is een wat makkelijk redenatie, want waar stopt die solidariteit dan.  Dezelfde redenatie kan men ook ophangen over een solidaire samenleving en zo veronderstellen dat alle data van burgers daardoor uit solidariteit uitgewisseld mogen worden. Hij stelde op de bijeenkomst ook dat gegevens niet direct-identificerend moeten zijn en in een veilig systeem gebruikt worden. Maar ja, wat versta je onder “direct identificerend” en wie bepaalt wat ‘veilig” is of “veilig genoeg”. Hij gaat voorbij aan de vigerende wet- en regelgeving en wil eigenlijk de gegroeide, niet legale manier van dataverwerking faciliteren. Van Veen voelt wel wat voor een optout-regeling. De patiënt moet dan wel weten dat hij deze vorm van negatieve toestemming kan uitoefenen. Dus dat betekent toch een extra actie richting patiënten wat hij eigenlijk niet wil.

Nog even dit

De data die MRDM van ziekenhuizen aangeleverd krijgt zijn minimaal voor een groep van zeven ziekenhuizen van de Santeon-groep niet-gepseudonimiseerd, nog ruwe data, als ze het ziekenhuis via een beveiligde verbinding verlaten richting MRDM. Pas bij dat bedrijf vindt zo nodig pseudonimisatie plaats. Zie hoofdstuk 3.1 van het Dataprotocol dd 10 januari 2017 van de Santeongroep.  De opgeslagen data zijn wel versleuteld.  Het gaat om de volgende ziekenhuizen: Canisius Wilhelmina Ziekenhuis(Nijmegen), Catharina Ziekenhuis (Eindhoven), Maasstad Ziekenhuis(Rotterdam), Martini Ziekenhuis(Groningen), Medisch Spectrum Twente(Enschede), OLVG(Amsterdam) en het St. Antonius Ziekenhuis(Utrecht/Nieuwegein/Woerden).

Als het ruwe data zijn, had toestemming aan de patiënt sowieso gevraagd moeten worden. Mij is het als zorggebruiker van één van die ziekenhuizen nooit gevraagd. Het werken met een veronderstelde toestemming is niet correct.

W.J. Jongejan, 9 april 2019

 




Forse boete AP voor MENZIS i.v.m. onvoldoende toezicht op inzage medische dossiers

forrse boete

Waar iedereen eigenlijk aldoor bang voor was, blijkt echt gebeurd te zijn. Een zorgverzekeraar geeft personen binnen de organisatie die niet bevoegd zijn inzage in medische dossiers. In het zojuist verschenen jaarverslag over 2018 van de zorgverzekeraar Menzis is te lezen dat men in dat jaar een boete van 50.000 euro van de Autoriteit Persoonsgegevens(AP) kreeg. Het ging om de constatering in 2017 door de AP dat er binnen Menzis onvoldoende toezicht was op wie toegang had tot medische persoonsgegevens EN het onvoldoende snel doorvoeren van verbeteringen op advies van de toezichthouder. Het bericht over de boete staat enigszins weggemoffeld in het jaarverslag 2018 en is niet op de website rechtstreeks zichtbaar. Daarnaast lijkt de Autoriteit Persoonsgegevens Menzis ook publicitair te sparen

Weggemoffeld

De passage waarin de boete vermeld staat is in het hoofdstuk 2 van het jaarverslag onder de kop “Beleid en resultaten”.  Wat staat er precies?

“Naar aanleiding van een onderzoek bij Menzis eind 2017 , constateerde toezichthouder AP dat Menzis onvoldoende toezag op wie er binnen onze organisatie toegang had tot persoonsgegevens betreffende de gezondheid. Gebleken is dat enkele medewerkers onnodig toegang hadden tot deze gegevens. Hoewel met de toegangsmogelijkheid niet verkeerd is omgegaan en de AP tijdens het ondezoek constateerde dat er geen sprake is van verkeerd of oneigenlijk gebruik van persoonsgegevens, hebben we dit signaal zeer serieus genomen. We hebben de toegang voor deze medewerkers dan ook onmogelijk gemaakt. De AP vindt echter dat deze verbeteringen onvoldoende snel zijn doorgevoerd en heeft ons een boete opgelegd van € 50.000. Wij vinden het vanzelfsprekend dat alleen bevoegde personen toegang hebben tot gezondheidsgegevens van klanten. Onze klanten hebben er recht op dat wij onze taak als zorgverzekeraar goed uitvoeren. In haar onderzoek constateerde de AP dat bij Menzis het bewaken van de privacy op een adequate wijze in de cultuur van het bedrijf is geborgd. Wij betreuren dan ook de oplegging van de boete. Het is voor ons een belangrijk signaal dat wij nog alerter moeten zijn rondom privacy. We zullen ons hier de komende jaren op blijven richten in nauwe samenwerking met toezichthouders zoals de AP, DNB(De Nederlandse Bank) en NZa(Nederlandse Zorgautoriteit). Tevens zullen wij naar onze klanten met regelmaat communiceren over de maatregelen die wij nemen om de privacy te blijven borgen”

Schandelijk

De wijze waarop Menzis met dit probleem omgaat is ronduit schandelijk te noemen. Men krijgt een bezoek van de privacy-toezichthouder. Die constateert twee flinke problemen en men reageert er traag op. Na de boete wordt er opeens wel onmiddellijk een einde gemaakt aan inzage door niet daartoe bevoegde personen.

Op haar website meldt Menzis op 7 maart 2018 dat ze met de AP in gesprek is in verband met een bezoek van de AP. Men spreekt in algemene bewoordingen over het beleid welke medewerkers tot persoonsgegevens krijgen zonder te melden dat het om medische persoonsgegeven gaat. Ook niet dat het in de ogen van de AP om onbevoegde inzage ging. Ook de logging van de inzage zou verbeterd moeten worden. Blijkbaar was die onder de maat. Tot eind 2018 zou Menzis naar eigen zeggen in de gelegenheid gesteld zijn deze onderdelen verder te verbeteren. Met geen woord wordt gerept over inzage door onbevoegde personen.

Bevoegd/onbevoegd

Er blijkt uit de besluitvorming van de AP dat er blijkbaar sprake is van een verschil van mening tussen de AP en Menzis over wie bevoegd is tot inzage. Menzis zegt in het jaarverslag dat ze vanzelfsprekend alleen bevoegde personen inzage geeft. Toch geeft de AP een aanzienlijke boete vanwege het niet goed regelen van de inzage van medische dossiers.

Menzis spreekt over een uitstekende verhouding met de toezichthouders, waaronder de AP. Blijkbaar had men toch niet de tijd tot eind 2018, omdat de AP nog in 2018 de boete van 50.000 euro  oplegt. Anders was die nooit in het jaarverslag 2018 terecht gekomen.

Politiek item

Het inzien van medische dossiers door medewerkers van zorgverzekeraars ligt al enige tijd onder een vergrootglas. Een wetsontwerp dat in het kader van het bestrijden van zorgfraude is gemaakt door het ministerie van VWS sleept zich vanaf 2014 voort door het parlement. Het gaat om het wetsontwerp 33.980. Mede vanwege de angst dat zorgverzekeraars ontercht inzage in medische dossier zouden krijgen werd in december 2018 de minister voor de zorg Bruno Bruins, gevraagd daar nog eens goed over na te denken. Plenaire behandeling staat u gepland voor 14 mei 2019. Het is echter de vraag of na de boete voor Menzis door de AP de Eerste Kamer niet totaal anders gaat denken over deze materie.

AP spaart Menzis publicitair

De Autoriteit Persoonsgegevens is een notoir trage reageerder en laat niet vaak haar tanden zien. Nu blijkbaar wel. Wat echter bijzonder vreemd is dat op de website van de AP geen enkel bericht over deze boete aan Menzis te vinden is. Ook met de zoekfunctie op de website is niets over deze boete te vinden. Het ziet er dan ook naar uit dat de AP Menzis publicitair behoorlijk spaart ondanks het opleggen van de boete.

Vertrouwen weg

Door wat er gebeurd is bij Menzis moeten we dus stellen dat we een zorgverzekeraar niet klakkeloos kunnen vertrouwen als het gaat om berichtgeving dat alleen maar bevoegde personen inzage hebben in medische dossiers. Het stoort mij ook dat Menzis nog van alles in haar bericht in het jaarverslag probeert af te dingen op het oordeel van de AP. We weten dit nu van Menzis maar het is de vraag of het bij de andere zorgverzekeraars beter gesteld is.

Wat door critici lang gevreesd is, blijkt helaas waarheid.

W.J. Jongejan, 4 april 2019

 

 




Juridische overwegingen bij medische data door MRDM en opslag bij Google Cloud

juridische

Op 1 april 2019 schreef ik op deze website een artikel over een bericht van het Algemeen Dagblad op 30 maart. Het betrof de verwerking van massale hoeveelheden medische data in gepseudonimiseerde vorm door het bedrijf Medical Research Data Management (MRDM) en de opslag van die data op de Google Cloud op de locatie Eemshaven. Inmiddels is de politiek ook wakker geschud, hebben Kamerleden van D66 en SP vragen gesteld en heeft minister Bruins opdracht gegeven aan de Autoriteit Persoonsgegevens onderzoek te doen. Er zitten interessante juridische kanten aan deze materie, voornamelijk van principiële aard. Niet alleen gaat het dan over het feit dat de data in de Google Cloud nu opgeslagen staan, maar ook over de positie van MRDM en de data-verzamelende zorginstellingen. De jurist Theo Hooghiemstra, kind aan huis bij het Ministerie van VWS, en in allerlei gremia betrokken bij data-uitwisseling, blijkt geen zwart/wit antwoord te kunnen geven of de in de Google Cloud opgeslagen data wel veilig zijn.

Onduidelijke positie MRDM

Uit de berichten in het Algemeen Dagblad doet het bedrijf MRDM voorkomen dat het contractueel een onderdeel is van de aanleverende zorginstellingen (zie daarin punt 4: Kan dit zomaar?) en dus geen derde zou zijn die de data voor de zorginstellingen be-/verwerkt. Het bedrijf doet ermee voorkomen geen zelfstandige onderneming te zijn. Het vreemde aan die constructie is dat meerdere zorginstellingen dezelfde onderneming als onderdeel van hun organisatie zouden hebben. Dat maakt de zelfstandigheid van MDRM dan ook twijfelachtig.  Toch profileert  MRDM zich zelf naar buiten als een zelfstandige onderneming, als Trusted Party. Op haar website profileert MRDM zich ook als zelfstandige onderneming met als klanten een baaierd aan zorginstellingen.

Verwerkingsverantwoordelijke en be-/verwerker

Bij het be-/verwerken van data is er volgens de Algemene Verordening Gegevensbescherming(AVG) altijd een verwerkingsverantwoordelijke die het doel van en de middelen van de gegevensverwerking vaststelt. Deze heeft de zeggenschap over hetgeen wordt verwerkt, kan instructies geven voor de gegevensverwerking en heeft hierop feitelijke invloed. Het gaat hier vooral om wie daadwerkelijk de beslissingen neemt en feitelijk bepaalt wat er met die gegevens gebeurt. De verwerker verwerkt persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke. In het geval van gepseudonimiseerde zorgdata dienen we op basis van uitspraken van de Autoriteit Persoonsgegevens gewoon te spreken over het verwerken van (bijzondere) persoonsgegevens. Daarbij is bij hergebruik voor een ander doel toestemming van de patiënt noodzakelijk.

MRDM

De reactie van MRDM doet duidelijk uitkomen dat zij zichzelf “slechts” ziet als een bewerker die medische gegevens verwerkt in opdracht van ziekenhuizen. Dit standpunt houdt in dat MRDM niet eigenstandig mag beslissen op welke wijze en waarvoor de door ziekenhuizen aangeleverde data worden verwerkt. Dit betekent ook dat de doorlevering van data aan Google gebeurt in opdracht van de ziekenhuizen die door MRDM worden aangemerkt als de verantwoordelijke voor de verwerkingen die door hen als bewerker worden uitgevoerd.

Eigen Initiatief?

Mocht de doorlevering van de medische data aan Google Cloud op eigen initiatief van MRDM geschied zijn dan moet zij worden aangemerkt als verwerkingsverantwoordelijke . Die kan en moet dan worden aangesproken op de vereisten die gelden voor het verwerken van deze bijzondere persoonsgegevens.

Wettelijke en verdragsrechtelijke eisen

Bewerkers die worden ingeschakeld voor de verwerking van bijzondere persoonsgegevens moeten gehouden kunnen worden aan dezelfde wettelijke en verdragsrechtelijke vereisten zoals die gelden voor de verwerkingsverantwoordelijke. Een andere opvatting is onhoudbaar omdat anders het inschakelen van een buitenlandse bewerker die niet gehouden is aan in Nederland geldige wet en regelgeving tot een “reguliere optie” wordt voor het in strijd met de wet(illegaal) verwerken van persoonsgegevens van Nederlanders.

Zeer problematisch

Een ander problematisch punt in deze casus is echter dat besturen van ziekenhuizen zonder toestemming van de patiënt menen te kunnen en mogen beschikken over behandelinformatie van in het ziekenhuis werkzame zorgverleners. De gegevens in dossiers van zorgverleners zijn verkregen voor de behandeling van de patiënt en mogen niet aan derden die niet direct bij de behandeling betrokken zijn slechts worden door geleverd voor enig ander welbepaald doel zonder expliciete geïnformeerde toestemming van de patiënt.

Toe-eigening zeggenschap zorgdata

Ook buiten deze casus speelt dit bij de pogingen tot verstrekking van ROM-data door GGZ-instellingen aan eerst SBG en thans Awka met De Nieuwe Entiteit als verwerker. De gedachte dat besturen van GGZ-instellingen uit hoofde van hun functie menen te kunnen beschikken over gegevens in patiëntdossiers van zorgverleners is  volstrekt onjuist. In het model-privacy-reglement  van GGZ Nederland voor GGZ-zorginstellingen  worden de besturen van zorginstellingen tot verwerkingsverantwoordelijke gemaakt  die het doel en de middelen van de verwerking vaststellen.

Het gevolg is dat niet de cliënt met de zorgverlener bepaalt of persoons-/behandelgegevens van de cliënt de instelling verlaten, maar de zorgaanbieder, zijnde het bestuur en de directie van de zorginstelling. Ik schreef hierover op 29 maart 2018.

Patiënten

Het is triest om te moeten constateren dat in dit data-geweld de rechten van patiënten om zelf te beschikken over wat er met zijn/haar data gebeurt met de voeten worden getreden. Allerlei constructies worden opgetuigd om over die data te beschikken. De Autoriteit Persoonsgegevens die daarover zouden moeten waken slaapt of is onwillig krachtige beslissingen te nemen.

W.J. Jongejan, 3 april 2019

 

 

 

 

 

 

 

 

 

 




Wegduikende Autoriteit Persoonsgegevens faciliteert weer massale overdracht van medische data

wegduikende

Op zaterdagochtend 30 maart 2019 verscheen op de website van het Algemeen Dagblad een artikel over het kopiëren van massale hoeveelheden patiëntendata naar servers van de Google-cloud. Enkele uren later gevolgd door een tweede artikel, genaamd: “Ook jouw medische data liggen nu bij Google”.  Dat gebeurde door het dataverwerkingsbedrijf Medical Research Data Management (MRDM), één van de grootste medische dataverwerkingsbedrijven van het land. Die kopieerde die data naar het Google Cloud Centre aan de Eemshaven te Groningen. Het gaat om gepseudonimiseerde behandelgegevens van honderdduizenden Nederlanders uit ziekenhuizen en bevolkingsonderzoeken. MRDM verzamelt en verwerkt zorgdata om er bigdata-analyse op uit te voeren. Wat hier gebeurt is al meerdere keren op andere terreinen gebeurt. Bij de verzameling van diagnosegegevens in het Diagnose BehandelCombinaties(DBC’s) in het DBC Informatie Systeem(DIS) gebeurt precies hetzelfde met gepseudonimiseerde gegevens. Ook bij het verzamelen van Routine Outcome Momitoring(ROM)-data uit de geestelijke gezondheidszorg(GGZ) gebeurt precies hetzelfde. Ik schreef er op deze website vaker over. Bij al die verwerkingen speelt de Autoriteit Persoonsgegevens(AP) een dubieuze, maar cruciale faciliterende rol.

Autoriteit Persoonsgegevens

De AP speelt die rol omdat ze oogluikend het verwerken van gepseudonimiseerde gegevens voor andere doeleinden dan waarvoor ze bedoeld zijn, zonder nadere toestemming van de patiënt, toestaat. Diverse pogingen om de AP bij de les te houden stranden op de halsstarrige houding van de AP om een beslissing te nemen over de gevolgen van de status van gepseudonimiseerde patiëntgegevens. Die pogingen zijn in gang gezet via de burgerrechtenvereniging Vrijbit in samenwerking met de Stichting KDVP en door een handhavingsverzoek aan de AP door een ex-patiënte uit de GGZ in het voorjaar van 2017. Naar het DIS doorgestuurde data zijn gepseudonimiseerd. Dat geldt ook voor de ROM-data die eerst naar de Stichting Benchmark GGZ gingen en nu naar de rechtsopvolger Akwa in samenwerking met De Nieuwe Entiteit als verwerker. Het handhavingsverzoek dat de ex-patiënte in maart 2017 deed aan de AP  hield in dat de AP gevraagd werd er op toe te zien dat de verzameling en verwerking van ROM-data gestaakt moest worden omdat zulks zonder toestemming van de patiënt gebeurde. Mede naar aanleiding van dit handhavingsverzoek startte de AP een onderzoek in juni 2017 richting SBG.

Gepseudonimiseerde patiëntgegevens

Patiëntgegevens die gepseudonimiseerd zijn dienen te worden beschouwd als (bijzondere) persoonsgegevens. Pseudonimisatie is namelijk geen anonimisatie. Bij dat laatste is sprake van een onomkeerbaar proces. Na anonimisatie is geen herleiding tot een persoon mogelijk. In het artikel in het AD geeft de directeur van het bedrijf ook aan dat enkele werknemers die ontsleuteling kunnen toepassen. De AP heeft zelf in 2015 duidelijk gemaakt dat pseudonimisatie een beveiligingsmaatregel is die de herleidbaarheid tot het individu beperkt, maar niet voorgoed onmogelijk maakt.

Geen toestemming gevraagd

Dat verwerkte de voormalige minister van VWS Edith Schippers in een antwoord op Kamervragen in maart 2017 over het verzamelen van en verwerken van ROM-data. Zij bevestigde dat pseudonimiseren slechts een beveiligingsmaatregel is. Daarnaast zei ze dat er dus voor de verwerking van gepseudonimiseerde gegevens een wettelijk grondslag nodig is op basis van de Wet bescherming persoonsgegevens(Wbp). Het verkrijgen van expliciete toestemming van de patiënt is één van de grondslagen. Noch in het geval van de DIS-data, noch bij de ROM-data, noch bij de door MRDM verwerkte data is van die toestemmingsvraag  sprake.

Laffe houding

De AP heeft door de loop der tijd blijk gegeven van het niet eigenstandig krachtige beslissingen nemen. Ze laat haar oren hangen naar de politiek en naar grote veldpartijen zoals de zorgverzekeraars. De rechtszaak van Vrijbit en KVDP loopt al vanaf begin 2016 en wordt door toedoen van de AP telkenmale getraineerd. Het onderzoek van de AP over het verzamelen van ROM-data door eerst SBG en huidige rechtsopvolgers is na 94 weken nog steeds niet afgerond. Het handhavingsverzoek is om formele gronden afgewezen. De vraagstelster stelde ruim 100 weken na maart 2017 de AP in gebreke vanwege het niet nemen van een beslissing binnen de normaal geldende termijnen. De AP stelde dat het verzoek te moeten afwijzen omdat het onderzoek nog niet was afgerond(sic!)

Legaal?

Het bedrijf MRDM stelt dat alles volkomen legaal gebeurt. In haar persbericht staat dat het zorgdata verwerkt in opdracht van de partij die wettelijk verantwoordelijk is voor die data, met een vooraf afgestemd doel. Ziekenhuizen geven volgens MRDM opdracht om de gegevens te verwerken ten behoeve van kwaliteitsverbetering, kostenbeheersing en/of onderzoek. Daarmee haalt het bedrijf letterlijk een uitzonderingsbepaling in de AVG aan, waar in punt 52 staat dat die gronden een uitzondering kunnen zijn voor het verbod op het verwerken van bijzondere persoonsgegevens. Men gaat echter daarbij voorbij aan het feit dat voor het verwerken van bijzondere persoonsgegevens voor een ander doel dan waarvoor ze initieel vergaard zijn toestemming nodig is van de patiënt. Daar hoort de AP op toe te zien en op te handhaven.

Een Autoriteit Persoonsgegevens die wegkijkt bij kritische vragen en geen beslissing durft te nemen is de naam Autoriteit niet waardig. Ze faciliteert onwettige praktijken.

O ja: ook nu weer betalen de zorgverzekeraars grotendeels de acties van MRDM.

W.J. Jongejan, 1 april 2019.

 

 

 




eHealth vlot niet. Nictiz rekt dit begrip opzichtig op in nieuwe definitie

rekt op

Op 27 maart 2019 verblijdt Nictiz Nederland met een nieuwe definitie van eHealth. Het is verpakt in een blijmoedige boodschap,die op Twitter verschijnt. Voor de goede orde: Nictiz (voluit: Nationaal ICT Instituut in de Zorg) is het Nederlandse kenniscentrum voor landelijke toepassingen van ICT in de zorg. Daarnaast schrijft de eHealth-adviseur bij Nictiz Britt van Lettow een enthousiast bedoeld blog op de website van het online magazine Skipr. De kop luidt “Iedereen is ‘van de eHealth’ ”. In het artikel maakt zij al snel duidelijk dat er met de nieuwe definitie volgens Nictiz veel meer onder die noemer valt dan voorheen. Opvallend is dat door de nieuwe definitie opeens al bijna 30 jaar bestaande zaken als huisartsinformatiesystemen ook onder de eHealth vallen. De afgelopen drie jaar is duidelijk geworden dat een echte doorbraak van wat tot voor kort onder eHealth viel niet echt plaats vindt. Opeenvolgende eHealthmonitors laten teleurstellende  groei zien. Blijkbaar is de remedie nu het aanpassen van de definitie waardoor het allemaal opeens veel rooskleuriger moet klinken. Het is niets meer of minder dan een ordinaire communicatie-business-truc.

Definitie

Nictiz kondigt de aanpassing van de definitie aan in een rapportje genaamd “eHealth, wat is dat”. Het telt 27 pagina’s en is geschreven door Britt van Lettow met als coauteurs Myrah Wouters en Judith Sinnege. Die zijn programma-leider van de EHealth-monitor respectievelijk eHealth-adviseur bij Nictiz.

Sinds 2012 hanteert Nictiz de definitie die ook door de Raad voor Volksgezondheid en Samenleving (RVS) (voorheen RVZ) gebruikt wordt: eHealth is het gebruik van nieuwe informatie- en communicatietechnologieën, en met name Internettechnologie, om gezondheid en gezondheidszorg te ondersteunen.

Andere definities

Daarnaast noemt men:

  • Die van de Rijksoverheid en Patiëntenfederatie Nederland (2017): ‘Digitale zorg’. De Patiëntenfederatie vult aan met ‘Het omvat alle digitale mogelijkheden die u in kunt zetten om uw gezondheid te verbeteren of te ondersteunen.’
  • GGZ Nederland (2018): ‘Elektronische gezondheid, ofwel zorg via internet’.
  • NHG (2018): ‘eHealth is een verzamelbegrip voor een veelheid van uiteenlopende toepassingen. Gemeenschappelijke noemer is min of meer het gebruik van internet (technologie) en het gebruik van multimediamogelijkheden.’
  • KNMG (2018): ‘eHealth gaat over digitale toepassingen in de zorg: het gebruik van informatie- en communicatietechnologie ter ondersteuning of verbetering van de gezondheid en de gezondheidszorg.’

Nieuwe definitie

Volgens Nictiz moet de nieuwe definitie vanaf nu luiden: eHealth is de toepassing van zowel digitale informatie als communicatie om de gezondheid en gezondheidszorg te ondersteunen en/of te verbeteren. U ziet meteen dat het woord “nieuw” in de definitie verdwenen is en dat “Informatie- en communicatietechnologieën” het veld hebben moeten ruimen voor ”digitale informatie en communicatie”.

Totaal ander bereik

Door het herdefiniëren van eHealth is wat onder het bereik van dit begrip valt opeens totaal anders. Het wegvallen van het woord “nieuw” betekent dat opeens al vele jaren bestaande HuisartsInformatieSystemen(HIS-sen), KetenInformatieSystemen(KIS-sen), ZiekenhuisInformatieSystemen(ZIS-sen) en ApotheekInformatieSystemen(AIS-sen) onder dit begrip gaan vallen. Kleine mutaties in de functionaliteit ervan kunnen nu opeens als eHealth gelabeld worden. In het blog op Skipr van Britt van Lettow komt dat meteen naar voren.

Ook de vervanging van het begrip “ICT” in de definitie door “digitale toepassingen” maakt dat er opeens veel meer zaken onder de definitie vallen. Alles wat niet analoog werkt is opeens eHealth.

Opzichtige truc

De nieuwe move van Nictiz is eigenlijk niets anders dan het toepassen van een nogal armoedige communicatie-advies-truc. Je verandert de definitie om daarmee nieuwe successen te kunnen claimen. Het éen en ander moet in samenspraak met de leiding van het ministerie van VWS gebeurd zijn. VWS betaalt Nictiz volledig en heeft alleen in naam een onafhankelijk bestuur. VWS mikt al jaren op successen van eHealth om de zorg toekomstbestendig te maken. Het sleurt al jaren aan eHealth waardoor het een soort religie geworden is. De tegenvallende resultaten met eHealth zijn VWS ook een doorn in het oog.

De verandering van de definitie betekent trouwens oook dat toekomstige eHealth-monitoren van Nictiz niet meer te vergelijke zijn met de edities van 2013 t/m 2018.

W.J. Jongejan, 28 maart 2019

 

 

 




Vrijwaringsbepalingen van zorgICT-firma’s beperken rechten patiënt

voorwaarden contract

Afgelopen week publiceerde ik op deze website een artikel genaamd “Keiharde kritiek in V.S. op zorginformatiesystemen, ook over hier gebruikte”. Daarbij kwamen contractuele bepalingen tussen zorgICT-leveranciers en zorgaanbieders aan de orde die rechten van patiënten aanzienlijk beperken. Het gaat daarbij om zogenaamde “gag-“ en “hold-harmless”-clauses(bepalingen). De gag-clauses(zwijgbepalingen) verhinderen dat de zorgaanbieder open is richting patiënt over problemen met zorgICT-systemen. De hold-harmless-clauses(vrijwaringsbepalingen) snijden de patiënt als derde de pas af als die de zorgICT-firma aansprakelijk zou willen stellen. Dat is voor te stellen als de zorgICT-applicatie niet naar behoren werkt en de patiënt daar direct of indirect schade door geleden heeft. Ook in Nederland komen “gag”-(ook wel “non-disclosure” genoemde) bepalingen voor in contracten tussen zorgICT-firma’s en zorgaanbieders. Bij een korte zoekactie op het internet is het duidelijk dat men in Nederland ook gebruik maakt van “hold harmless”-/vrijwarings- bepalingen in contracten. Sterker nog: in de algemene of gebruiksvoorwaarden komt het woord “patiënt” totaal niet voor. Die wordt slechts al “derde” aangeduid. Ik zag deze bepalingen die de patiënt uitsluiten bijvoorbeeld bij Zorgdomein en bij FocusCura. Het zijn allebei firma’s die actuele zorgdata van patiënten transporteren. Ongetwijfeld zullen er veel meer zorgICT-leveranciers zijn die hun voorwaarden zo opstellen.

Zorgdomein

Zorgdomein is een digitaal platform waarop zorgverleners zorgvragen aan andere zorgaanbieders stellen, zorg aanbieden en op een snelle, veilige manier patiëntinformatie kunnen uitwisselen. Daarvoor maakt men gebruik van versleuteld elektronisch transport van zorgdata. Eerste- en tweedelijnszorgaanbieders gebruiken het platform  voor het inzicht krijgen in de beschikbaarheid van zorgaanbieders op poliklinieken, het maken van afspraken, maar ook voor het digitaal transporteren van verwijsbrieven. Op de website treffen we onderaan de gebruikersvoorwaarden aan.

FocusCura

Dit is een firma die zich bezig houdt met beeldbellen tussen patiënten en zorgaanbieders en onder andere applicaties heeft voor het monitoren van vitale waarden gerelateerd aan een ziektebeeld. Daarbij gaat het ook om transport van zorgdata.

Voorwaarden Zorgdomein

In de gebruikersvoorwaarden van Zorgdomein vinden we het woord “patiënt” nergens ook al is die het onderwerp van alle acties tussen firma en gebruiker. Slechts in de formulering “derde” kan men ook een patiënt zien. We vinden er de volgende passage:

7.4 De Gebruiker vrijwaart ZorgDomein tegen vorderingen en andere aanspraken van derden en de daaruit voortvloeiende schade in verband met het gebruik van een Product door de Gebruiker, waaronder begrepen maar niet beperkt tot schade als gevolg van enig (medisch) handelen of medische zorg verleend door of in opdracht van de Gebruiker.”

Voorwaarden FocusCura

In de algemene voorwaarden van FocusCura komt het woord patiënt ook  niet voor en figureert die daar ook als “derde”. Er staat in artikel 5 Garanties en verplichtingen van de afnemer:

“De Afnemer vrijwaart FocusCura voor aanspraken van derden in verband met de in lid 1 van dit artikel bedoelde goederen, informatie, gegevens, beslissingen en wijzigingen.”

Hold Harmless

De beschreven bepalingen zijn op te vatten als “hold harmless” clauses. De betrokken firma’s willen niets liever dan juridisch alleen maar te maken hebben met hun contractpartij: de zorgaanbieder. Het is echter zeer wel voor te stellen dat op enig moment door disfunctioneren van de geleverde voorziening de patiënt schade ondervindt. Door de patiënt als partij nergens expliciet te benoemen en met gebruik van de algemene term “derde” de patiënt de weg richting rechtbank via de zorgverlener af te willen snijden  frustreert men de rechtsgang van een wezenlijk belanghebbende.  Het draait namelijk allemaal om de patiënt. Deze moet bij disfunctioneren van het zorgICT-systeem zelf het dienstverlenende bedrijf aansprakelijk kunnen stellen.

Geldigheid bepalingen

Het is maar de vraag of een dergelijk formulering in gebruikers- of algemene voorwaarden de aansprakelijkheidsstelling door een patiënt voor de rechter altijd stand houdt. Zowel in de V.S. als in Nederland geven vrijwaringsbepalingen geen absolute garantie voor een zorgICT-firma om onder een aansprakelijkheidsstelling door een patiënt uit te komen. De Nederlandse rechter zal de bepaling vooral toetsen op redelijkheid en billijkheid. Zeker in het geval van grove nalatigheid door de zorgICT-firma zal de rechter de bepaling ongeldig verklaren. Vrijwaringsbepalingen zijn, volgens de jurist Jan Willem de Groot van Blenheim Advocaten op het internet, vooral vatbaar voor een afwijzing door de rechter als ze onderdeel zijn van algemene voorwaarden en niet individueel met de gebruiker uit onderhandeld zijn.

Dit alles overziend moet geconstateerd worden dat de rechten van de patiënt in de beschreven contracten, en vermoedelijk nog vele andere in de zorg, niet voorop staan. Toch is er enige hoop.

W.J. Jongejan, 26 maart 2019