LSP-database bevat schaduwadministratie van alle Nederlanders met hun naam en BSN

binary

De LSP-database bevat een schaduwadministratie van alle Nederlanders met hun naam en BSN. Tot deze conclusie kwam ik afgelopen week na zorgvuldige bestudering van communicatie met de Vereniging van Zorgverleners Voor Zorgcommunicatie(VZVZ), verantwoordelijk voor het Landelijk SchakelPunt(LSP) en het overdenken van de voorgeschiedenis van het LSP. Na het ontdekken van mijn onterechte aanmelding bij het LSP door twee apotheken  beantwoordde de afdeling communicatie van VZVZ namelijk meerdere vragen en ontving ik een standaardbrief na het opsturen van het online-formulier om de onterechte toestemming in te trekken. Het kan niet anders dan dat de LSP-database al vanaf het begin in 2008 zo opgezet is dat alle Nederlanders daar met naam en Burgerservicenummer(BSN) in opgeslagen zitten. In die database moeten er naast die voor het  BSN velden zijn voor zorgverleners, die een opt-in-toestemming doorgeven. Zodra die gevuld zijn, spreekt  VZVZ dan van deelname van een Nederlander aan het LSP. Eigenlijk is dat een soort database binnen een database.      Graag wil ik u meenemen in mijn analyse dat het eigenlijk niet anders kan zijn dan zoals ik hierboven schetste.

Eén

In de eerste plaats moeten we even terug in de tijd. Naar 2008 om precies te zijn, toen de toenmalige minister voor VWS Ab Klink het LSP introduceerde, nadat vlak daarvoor de wetgeving rond het BSN was afgerond. De BSN’s  waren onmisbaar voor het LSP-gebruik. De opzet van het Landelijke Elektronische Patiënt Dossier(L-EPD) was gebaseerd op een opt-out-systeem. Iedere Nederlander zat er met die opzet in (uiteraard met het destijds net goedgekeurde BSN). Behalve als je het niet wilde. De opzet van het systeem was dus van meet af aan een vulling met de naam en BSN van alle Nederlanders. Anders kan je geen opt-out-systeem opzetten. Na het echec van de wetgeving voor het L-EPD in de Eerste Kamer in 2011 zorgde de minister van VWS, Edith Schippers, met behulp van een VVD-motie ervoor dat een private doorstart van het LSP van de grond kwam. Die moest van het College Bescherming Persoonsgegevens(thans Autoriteit Persoonsgegevens) wel een opt-in-systeem kennen. Het zal voor de LSP-leiding niet moeilijk zijn geweest de opt-out-velden in de LSP-database op te schonen en naadloos door te gaan met de opt-in, met behoud van de onderliggende database met alle Nederlanders. De doorstart in private handen verliep naadloos zonder dat er signalen waren over een herontwerp van de database.

Twee

In de mailwisseling met VZVZ thans, schrijft deze dat als een zorgverlener een opt-in-toestemming van een patiënt krijgt, deze de toestemming met zijn informatiesysteem doorgeeft aan het LSP. De Unieke Registratie Abonneehouder(URA)-code van de zorgverlener wordt dan vastgelegd in de LSP-database. Als er in de database een kernregistratie is van alle BSN’s dan vereist die URA-registratie slechts éen of meerdere velden naast dat het BSN om die URA’s in te voeren.

Het BSN kent 9 cijfers. Fouten bij invoeren zijn makkelijk te maken, zeker door de duizenden aangesloten zorgaanbieders met hun personeel. Om er zeker van te zijn dat geen verkeerd BSN-nummer, dat de zorgaanbieder doorgeeft, opgeslagen wordt in de LSP-database moet dit wel een systeem zijn waar de BSN-nummers al in aanwezig zijn.

Drie

Als je niets met het LSP van doen wilt hebben en er toch onterecht in zit, staat nergens op de website van VZVZ dat je door afzegging met naam en BSN-nummer uit de LSP-index verwijderd wordt. Het is slechts mogelijk je opt-in-toestemming in te trekken.  Ook in de automatisch gegenereerde brief van VZVZ na mijn intrekkingsverzoek staat  nadrukkelijk dat ik mijn “toestemming” ingetrokken heb en niet dat ik volledig uit de database verwijderd ben. Bij het online afmelden dat met DigiD werkt, wordt pontificaal naar het BSN-nummer gevraagd. Bij het schriftelijk afmelden is het opsturen van een kopie van een identiteitsbewijs verplicht. De foto mag onherkenbaar zijn gemaakt, maar niet de naam en het BSN-nummer. Men moet VZVZ op de blauwe ogen geloven als ze zeggen dat ze de opgestuurde  kopieën na de afmelding vernietigen. Externe controle daarop meldt men niet.

Vier

Voor een database waar miljoenen Nederlanders in zitten is het van groot belang dat die actueel is. Hij moet niet vervuild zijn met reeds overleden mensen en verkeerd geregistreerde BSN’s van bijvoorbeeld tweelingen. Berichtgeving over overledenen etc. via de zorgaanbieders is een veel te indirecte weg. De LSP-database moet haast wel een koppeling kennen met de systemen van het SBV-Z(Sectorale Berichten Voorziening in de Zorg).  Dan is het actueel houden van de database erg makkelijk. De SBV-Z is volgens de eigen website een betrouwbare bron voor het leveren van BSN’s aan de zorgsector. SBV-Z vormt voor de zorgsector de toegangspoort tot de Beheervoorziening BSN (BVBSN). Dit is de organisatie die verantwoordelijk is voor de uitgifte en het beheer van het burgerservicenummer. (tekst SBV-Z).  In het veld hebben huisartsen en apotheken met enige regelmaat elektronisch verbinding met het CIBG voor de uitgifte en intrekking van BSN’s. Het SBV-Z valt onder het CIBG( Centraal Informatiepunt Beroepen Gezondheidszorg), dat een uitvoeringsorganisatie is van het ministerie van VWS. Gezien de aanvankelijke opzet van het LSP in handen van VWS kon het ministerie een dergelijke route in 2008 makkelijk binnen de eigen organisatie faciliteren. En nadien in stand houden zonder dat er een haan naar kraait.

Zeer zorgelijk

Het kan gewoon niet anders dan dat de basale database van het LSP een vulling kent met alle namen en BSN-nummers van Nederlanders en dat, indien er door enige zorgverlener een opt-in-toestemming wordt doorgegeven de teller van LSP-deelnemers pas gaat tellen. Een dergelijke basale database kan met een gerust hart een schaduwadministratie van alle Nederlanders genoemd worden. De opzet van de database is veel te groot voor het doel: registratie van LSP-deelnemers. Hij voldoet daarmee niet aan de eisen van doelbinding en proportionaliteit.Het is dan ook in mijn ogen zeer zorgelijk dat zoiets kan.

Een centraal ingerichte database, waarin data van alle Nederlanders zijn opgeslagen vormt een uitermate kwetsbaar object voor indringers van buitenaf. Daarenboven speelt nog steeds dat een Amerikaans bedrijf, CSC, deze database beheert en onderhoudt. Het is een bedrijf dat in principe onder de Patriot Act valt, hoewel  VZVZ en het ministerie in het verleden hun  uiterste best deden om het risico van inzage op basis van die Amerikaanse wet als minimaal tot niet bestaand voor te stellen.

W.J. Jongejan

 

 

9 antwoorden
  1. de wit
    de wit zegt:

    Dat is ook zo. Dat heeft een medewerker van VZVZ mij telefonisch uitgelegd. Het is inderdaad zo dat van iedere Nederlander een soort profiel is gemaakt.
    Bij de opt-in toestemming wordt het actief.
    Ik had er vragen over gesteld,omdat ondanks mijn NIET_ toestemming een apothekersassistente de info na 2 pogingen kon ophalen. Het geschreven bezwaar kan nl overruled worden door een toestemming aan de balie van de spoedapotheek. Deze toestemming aan de balie was gegeven na een algemene vraag over ” doorgeven aan uw apotheek? ” met het idee dat het via het regiocluster ging. Dat het via het LSP ging, was niet duidelijk en wordt ook niet aan de patient uiteengezet, omdat die ” dat toch niet snapt” vgl de apotheker ( die ik belde ) na een bericht van VZVZ dat er 2 pogingen waren geweest. Ik durf de info via het regiocluster niet af te schermen, omdat je dan helemaal in het weekend geen medicijnen meekrijgt. Je moet een halfjaarlijks overzicht van je medicatie afgegeven door je eigen apotheek, meebrengen. Ik heb geen zin om elk half jaar een overzicht bij mijn eigen apotheek te vragen. Ze zuchten nu al.

    • wjjongejan
      wjjongejan zegt:

      De apotheek mag gewoon geen uitgifte van medicatie weigeren als er geen LSP-inzage mogelijk is of de patiënt geen uitgeprint overzicht bij zich heeft. Het is een volkomen verkeerde taakopvatting van de apotheek als die weigert medicatie mee te geven in beide voornoemde situaties.

  2. Arnout Engelen
    Arnout Engelen zegt:

    Ik zie eerlijk gezegd helemaal geen sluitend verhaal.

    Het LSP bevat een verwijsindex waarin de zorgaanbieders (tegenwoordig na opt-in) het feit dat ze een dossier over een persoon hebben registreren ( https://nl.wikipedia.org/wiki/Aorta_(nationale_infrastructuur) ).

    Een: Ook in de oude (opt-out) situatie was daarvoor geen database met BSN’s en persoonsgegevens nodig: de BSN’s zitten immers in de registraties in verwijsindex, en heb je geen registratie in de verwijsindex, dan zijn je gegevens ook niet nodig. Opt-out is prima mogelijk (door een lijst bij te houden van BSN’s waarvoor je geen registraties accepteert), en ook de transitie naar opt-in heeft geen architectuurwijziging nodig: je gooit gewoon je ‘oude’ registraties weg en eist van de zorgaanbieders dat ze dossiers weer aanmelden na opt-in.

    Twee: Je geeft aan dat er een basisregistratie moet zijn om invoerfouten met het 9-cijferige BSN te voorkomen. Dat denk ik niet: het BSN is weliswaar 9 cijfers, maar niet ieder 9-cijferig getal kan een BSN zijn. BSN’s voldoen namelijk altijd aan de ’11-proef’ ( https://nl.wikipedia.org/wiki/Burgerservicenummer#11-proef ), waardoor als je 1 cijfer verkeerd intoetst het nummer herkenbaar fout is. Het kan natuurlijk voorkomen dat je 2 cijfers verkeerd intoetst en ’toevallig’ toch weer op een nummer uitkomt dat voldoet aan de 11-proef, maar ik vermoed dat we dat risico gewoon nemen. Daarnaast (vooruitlopend op ‘Vier’) kan op het moment van opt-in natuurlijk wel prima een controle gedaan worden bij SBV-Z.

    Drie: Aangezien opt-ins worden vastgelegd op BSN vind ik het niet zo raar dat je je BSN moet doorgeven als je de opt-in wil laten verwijderen.

    Vier: Wanneer een dossieraanmelding na iemands overlijden in de verwijsindex blijft bestaan, kan dat dan kwaad? En zelfs als de aanmeldingen via SBV-Z worden gecontroleerd tegen het GBA, dan kan dat toch ook gewoon voor alleen de aangemeldde dossiers?

    Kortom: ik zie hier geen aanleiding om te denken dat het LSP een database heeft met BSN en persoonsgegevens van alle Nederlands, zonder opt-in. Of heb ik nu iets over het hoofd gezien?

    Overigens is inderdaad wel zorgwekkend dat er blijkbaar zo onzorgvuldig opt-in’s worden geregistreerd. Gelukkig dat daar via https://www.vzvz.nl/page/Zorgconsument/Inzage/Inzage-overzicht nu wel inzicht in is te krijgen (met zelfs de mogelijkheid meldingen te krijgen) – in de oude wereld zou je er niet zo makkelijk achter komen…

    Full disclosure: ik heb tot 2012 in de zorgautomatisering gewerkt, onder andere aan regionale voorlopers van het LSP en aan GBZ’s die hun dossiers bij opt-in bij het LSP aanmelden.

    • wjjongejan
      wjjongejan zegt:

      Allereerst wil ik met je laatste opmerking ingaan over de onzorgvuldige opt-in-registraties. Het is uiterst zorgwekkend dat het zo makkelijk is om een vermeende mondelinge opt-in toestemming te noteren en zo in het LSP-systeem te geraken. De wijze waarop de toestemmingsprocedure georganiseerd is, maakt dat VZVZ deze handelswijze duidelijk faciliteert. Strikt genomen zegt de wet niet dat de toestemming per se schriftelijk moet worden vastgelegd, maar een organisatie die het toestemming geven voor het delen van gevoelige medische informatie serieus neemt zou nooit moeten accepteren dat op de beschreven wijze toestemmingen in het LSP-systeem kunnen komen. VZVZ stelt zich helaas op het standpunt dat zij zeggen hoe het eigenlijk moet en dat het hun niet regardeert als er zaken in het veld fout gaan.
      Daarnaast is het afmelden iets wat enige inspanning vergt terwijl het binnen zeer korte tijd mogelijk is dat enige zorgverlener weer een vermeende toestemming doorgeeft. Waarna het hele afmeldcircus opnieuw begint.
      Uw argumentatie in de punten één tot en met vier, overtuigt mij net zo min als mijn verhaal u. Ik vermag niet in te zien hoe in het oorspronkelijke opt-out-systeem binnen de LSP-index bekend zou zijn wie er allemaal in die index zou zitten als er niet de BSN-nummers van alle Nederlanders al bij de opzet inzaten.

      Ten aanzien van punt twee. Uiteraard ben ik op de hoogte van de 11-proef, waardoor een incidentele typefout een niet bestaand nummer oplevert. Ik kan me niet goed voorstellen dat men voor lief neemt dat door een fout met 2 cijfers een wel bestaand nummer genereert. Daarenboven kan bij een zorgaanbieder sprake zijn van een verwisseling van naam en BSN met een ander persoon. Zonder het bezit van een LSP-index MET naam en BSN-nummer zou een dergelijke fout nimmer opvallen maar wel tot grote medische missers kunnen leiden door verwisseling van personen. Met een eigen database met naam en BSN is die kans zeer vele malen kleiner.
      In punt drie schreef ik naast het centraal staan van het BSN vooral dat er bij afmelding nergens vermeld wordt dat naam en BSN-nummer verwijderd worden maar alleen dat de entries van de zorgaanbieders verwijderd worden. Dat geeft voldoende reden om te denken dat naam en BSN bewaard blijven in de index en dat die index actueel gehouden wordt door koppeling aan de SBV-Z-systemen.

      • Arnout Engelen
        Arnout Engelen zegt:

        Ook in oorspronkelijke opt-out-systeem moesten dossierhouders de dossiers aanmelden in de verwijsindex van het LSP. De BSN’s zitten in die aanmeldingen, dus een aparte administratie daarnaast is niet nodig. Bij de switch naar opt-in kunnen dan gewoon alle aanmeldingen (inclusief BSN) weggegooid zijn, en de dossierhouders gevraagd om alleen na opt-in pas weer dossiers aan te melden.

        Wat foutgevoeligheid betreft: ik ben het ermee eens dat waarschijnlijk niet alleen de 11-proef gebruikt wordt, maar dat (na opt-in) BSN en persoonsgegevens gechecked worden via SBV-Z. En wellicht achteraf ook nog wel periodiek. Niettemin is een schaduwadministratie met BSN’s en persoonsgegevens van mensen die geen opt-in hebben gegeven ook hiervoor niet nodig.

        U schrijft dat mijn argumentatie “evenmin overtuigt”, maar let wel dat we heel verschillende claims maken: U stelt dat het “niet anders kan” dan dat het LSP een ‘schaduwadministratie’ bevat met BSN’s en persoonsgegevens, ook van niet-opt-in-gebruikers. Volgens mij kan het prima anders: ik beschrijf immers voor alle genoemde scenario’s een plausibel alternatief scenario. Ik weet natuurlijk ook niet of het LSP feitelijk zo in zijn werk gaat – maar dat claim ik ook niet.

  3. Herman Suichies
    Herman Suichies zegt:

    Een sluitend verhaal. Heb je ook rechtstreeks gevraagd bij VZVZ of het inderdaad zo in elkaar steekt? Of bij de AP?

    • wjjongejan
      wjjongejan zegt:

      Bij de Autoriteit Persoonsgegevens heb ik nog niet gemeld maar ga dat wel doen. Veel illusies maak ik me niet want de AP is notoir laks met handhaven. VZVZ heb ik het niet voorgelegd omdat je bij vragen over de opzet van het LSP-systeem meestal nul op het rekest krijgt en als ze antwoorden een ontwijkend of totaal nietszeggend antwoord.

  4. Hannelore Bruijn
    Hannelore Bruijn zegt:

    Hoe kan het dat twee apotheken één patiënt aangemeld hebben? Dan klopt systeem toch niet? Zie werkwijze ION bij huisartsen. Onmogelijk dat er tegelijkertijd bij twee huisartsen ingeschreven wordt.
    En worden de betreffende apotheken nog juridisch vervolgd? Ook daar ben ik benieuwd naar.

    • wjjongejan
      wjjongejan zegt:

      Mensen die in het LSP willen zitten moeten bij elke apotheek afzonderlijk waar ze medicijnen halen hun opt-in-toestemming laten vastleggen. Anders is het via het LSP opgevraagde medicatieoverzicht incompleet. Voor het delen van huisartsgegevens via het LSP moet je bij je eigen huisarts de opt-in-toestemming laten vastleggen. Het komt er dus op neer dat je overal waar je medische data liggen toestemming moet geven. De apotheken die onterechte aanmeldingen doen kunnen niet juridisch vervolgd worden. Het is legaal dat een mondelinge toestemming ook telt. Bij mij zegt de apotheek dat ze mij aangemeld hebben op basis van een veronderstelde toestemming. Hetgeen erg vreemd is omdat ik een notoire tegenstander ben.

Reacties zijn gesloten.