Nieuwe wet staat aantasting beroepseed artsen toe. Oproep aan KNMG

confidential met stethoscoop

Op dinsdag 11 juli 2017 is in de Eerste Kamer het wetsontwerp 34588 aangenomen, voluit het voorstel van wet houdende regels met betrekking tot de inlichtingen- en veiligheidsdiensten alsmede wijziging van enkele wetten (Wet op de inlichtingen- en veiligheidsdiensten 2002). Hierin zijn vergaande nieuwe  bevoegdheden van de Algemene Inlichtingen en Veiligheids- Dienst(AIVD) en de Militaire Inlichtingen en Veiligheidsdienst(MIVD) opgenomen. Die gaan van de uitbreiding van tapmogelijkheden, via het vergaand afluisteren van het internet tot het actief hacken van verdachten en zijn omgeving. De formulering van het aangenomen wetsontwerp is zodanig dat het niet uitgesloten is dat de veiligheidsdiensten zich toegang verschaffen tot ICT-systemen met medische informatie of medische netwerken. Het bewaren van het medisch beroepsgeheim is daardoor in het geding. Na het aannemen van het wetsvoorstel door de Eerste kamer heeft een brede coalitie van  juristen, journalisten, privacy-organisaties en tech-bedrijven aangekondigd zich niet neer te leggen bij de goedkeuring door de Eerste Kamer. Deze groep, geleid door het Public Interest Litigation Project(PILP) stapt naar de rechter in de hoop dat die een stokje steekt voor de aftapwet. Eventueel zal door geprocedeerd gaan worden tot aan het Europese Hof van Justitie en het Europese Hof voor de Rechten van de Mens. De Koninklijke Nederlandse Maatschappij ter bevordering van de Geneeskunst(KNMG) zou zich in het kader van het bewaken en beschermen van het medisch beroepsgeheim dienen aan te sluiten bij dit initiatief om te voorkomen dat inlichtingendiensten toegang krijgen tot medische computersystemen of medische netwerken. 

Toetsing

Op papier dient er toetsing plaats te vinden door een Toetsingscommissie Inzet bevoegdheden(TIB) die weer valt onder een toezichthouder, de Commissie van Toezicht op de Inlichtingen- en Veilig-heidsDiensten(CTIVD). Het voorbeeld van de V.S. waarbij veiligheidsdiensten via een speciaal ge-rechtshof toestemming dienen te vragen voor bijzondere opsporingsvragen, het United States Foreign Intelligence Surveillance Court, laat zien dat zoiets een wassen neus is. Het wordt daar eigenlijk nooit geweigerd.

MEDINT

Onder het begrip MEDINT(Medical Intelligence) verstaan veiligheidsdiensten inlichtingen op medisch gebied, maar ook niet-medische informatie die via medische dossiers verkregen kan worden, zoals adressen, verzekeringsnummer, etc. Ook in Nederland leeft het willen inzien van medische systemen en medische netwerken. Na de aanslagen in Parijs in 2016 liet het oud-hoofd van de MIVD, Peter Cobelens op de televisie duidelijk weten dat die ambitie er wel degelijk is. In het nu aangenomen wetsontwerp is er geen uitzondering gemaakt voor medische systemen en netwerken, zelfs niet voor medische apparatuur, die in het lichaam van een burger is ingebracht, zoals pacemakers, inwendige defibrillatoren etc. Dat laatste probeerde het D66 Tweede Kamerlid Kees Verhoeven te voorkomen door een amendement op artikel 45 van het wetsontwerp in te dienen. Dat amendement werd echter op 14 februari 2017 verworpen.

LSP niet uitgesloten

In het aangenomen wetsontwerp staat nadrukkelijk het benaderen van systemen en netwerken. Medische informatie wordt over diverse netwerken uitgewisseld. Eén daarvan is het systeem waar het Landelijk SchakelPunt(LSP) het centrale punt is. Omdat een Amerikaanse leverancier, CSC, het LSP gemaakt  heeft en onderhoudt kan met een beroep op de Patriot Act door Amerikaanse diensten inzage afgedwongen worden. Thans maakt ook onze eigen nationale wetgeving inbreuken op het systeem mogelijk.

Hoe?

In de pers is ruimschoots duidelijk geworden dat veiligheidsdiensten vaak gebruik maken van zwakheden in systemen. Eén voorbeeld daarvan zijn de zogenaamde zero-day-hacks. Dit zijn hacks op basis van fouten in besturingssystemen of programma’s die nog niet algemeen bekend zijn en waarvoor de fabrikant nog geen update of patch gemaakt heeft. Het kan uitermate gevaarlijk zijn om de IT-systemen niet veiliger te maken door de gaten in de software te laten voortbestaan, bijvoorbeeld door updates van het besturingssysteem niet meteen of niet automatisch te installeren. Overigens gaat het om alle systemen: databases, mails, maar ook medische apparaten, en mobiele telefoons gebruikt door medici en hun ondersteunend personeel. Dat heeft de golf van geblokkeerde (medische) systemen met de Wannacry-malware laten zien.

KNMG

In een ingezonden artikel in het NRC-Handelsblad op 4 maart 2016 waarschuwden de schrijvers al voor het hacken van medische systemen en netwerken door onder andere nationale veiligheids-diensten. Toen was het onderhavige wetsontwerp nog onder behandeling in de Tweede Kamer. Het grote probleem is dat als artsen niet meer in kunnen staan voor de bescherming van patiëntgegevens de Eed van Hippocrates tot een dode letter verwordt. De aangenomen wet maakt schending van het beroepsgeheim mogelijk. Het wordt thans tijd dat de KNMG duidelijk maakt dat wat haar betreft de grens overschreden is.

De KNMG zou zich moeten aansluiten bij de brede coalitie, die via de rechter alsnog probeert de wet niet tot uitvoer te doen brengen om  zo het medisch beroepsgeheim te beschermen.

Wij roepen de KNMG daartoe op, omdat met de nieuwe wet op de veiligheidsdiensten medische informatie vogelvrij is verklaard!

W.J. Jongejan en G. Freriks

Wim J. Jongejan was van 1976 tot 2007 huisarts en volgt intensief zorg-ICT en privacy-zaken in de zorg.  Gerard Freriks is arts en was betrokken bij het maken van een standaard voor informatiebeveiliging in de zorg (NEN7510).