IGJ dient verificatieplicht tav toestemming delen medische data breder af te dwingen

only yes is yes

De Inspectie Gezondheidszorg en Jeugd(IGZ) van het ministerie van VWS is in het najaar van 2017 begonnen met verkennende gesprekken met zorginstellingen die gebruik maken van eHealth. eHealth is het gebruik van nieuwe informatie- en communicatietechnologieën, en met name internet-technologie, om gezondheid en gezondheidszorg te ondersteunen of te verbeteren. In dat kader bezocht de IGJ o.a. het Isala ziekenhuis in Zwolle. Daar waren op het gebruik van eHealth wat opmerkingen te maken door de inspectie. Eén daarvan was op welke wijze het ziekenhuis controle uitvoert of partijen die inzage in het Elektronisch Patiënten Dossier(EPD) hebben, ook toestemming hebben gevraagd aan de patiënt. Dit acht de IGJ van zo’n belang dat het voor eind februari dit jaar verwacht dat het ziekenhuis het borgen van de toestemming goed geregeld is in een verbeterplan. In wezen komt het neer op een verificatieplicht voor de instelling van een genoteerde toestemming van de patiënt voor inzage van zijn of haar medische data door andere zorgaanbieders. Het wonderlijk is dat de IGJ zich nu hier druk om maakt maar nimmer een punt gemaakt heeft van het niet controleren van een door een zorgaanbieder genoteerde opt-in-toestemming van de patiënt om medische data via het Landelijk SchakelPunt(LSP) te doen delen. De verantwoordelijke organisatie, de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), is nimmer door de IGJ en haar rechtsvoorganger de IGZ(Inspectie voor de GezondheidsZorg) aangesproken op het ontbreken van een verificatieplicht.

Onterechte toestemming

Ten aanzien van het LSP is in het recente verleden meermalen melding gemaakt van het onterecht noteren van opt-in-toestemmingen door zorgaanbieders. Daarbij gaat het vooral om apotheken die noteren dat iemand wel zijn medicatiegegevens wil delen, terwijl dat niet het geval is. Over deze materie is door de burgerrechtenvereniging Vrijbit bij de Autoriteit Persoonsgegevens (AP) een tweetal handhavingsverzoeken gedaan(A,B) om erop toe te zien dat dit soort praktijken stopt. De AP is met lange tanden een onderzoek gestart waarvan nog geen afloop bekend is.

VZVZ

De verantwoordelijke organisatie voor het LSP, VZVZ, stelt tot nu toe aldoor dat zij de toestemmingsvereisten voldoende duidelijk uitleggen in hun folders en voorlichtingsbijeenkomsten. Maar omdat VZVZ een systeem beheert dat onrechtmatig- dan wel helemaal niet verleende- toestemmingen als grondslag voor aanmeldingen faciliteert, zijn zij uiteraard wel degelijk aansprakelijk. Het zou de normaalste zaak van de wereld zijn als VZVZ een verificatieplicht opgelegd zou krijgen, die ze eigener beweging al lang hadden moeten effectueren. De IGJ en haar voorganger IGZ, hebben tot heden nooit enige opmerking gemaakt over deze materie, hoewel het probleem niet  onbekend geacht kan worden.

Volkomen ontoereikend

Bij VZVZ kan een iemand die wil controleren of er onterecht een toestemming ergens is genoteerd dat controleren via een website van VZVZ met het inzage-overzicht. Dat is volkomen ontoereikend. Het vereist namelijk niet een actie van VZVZ, maar van een argwanende burger. Die dan bovendien die controles regelmatig moet herhalen om te zien of er niet nadien een onterechte toestemming is genoteerd. Dat is de omgekeerde wereld.

Parallel

Nu de IGJ bij een ziekenhuis erop aandringt dat op voor haar genoegzame wijze het correct verkrijgen van toestemming om medische data te doen delen geverifieerd wordt, dient de IGJ ook bij andere organisaties toe te zien of de toestemming op rechtmatige wijze verkregen is. Zeker als het een organisatie betreft die iets beheert wat in principe alle Nederlanders aangaat. Ik heb inmiddels aan de IGJ het verzoek gedaan om de eis die ze aan het Isala ziekenhuis oplegt ook breder te trekken en daarom ook handhavend op te treden tegen VZVZ.

W.J. Jongejan