Huisartsdossiers in kader project inzien met opt-out-toestemming ontoelaatbaar

ontoelaatbaar

In Noord-Holland is de huisartsenpost van de HONK in Alkmaar gevestigd. HONK staat voor Huisartsenorganisatie Noord-Kennemerland. In verband met een flink aantal, achteraf onnodig beschouwde, spoedritten van de ambulance vindt daar een onderzoek plaats. In het kader van dit onderzoek proberen externe onderzoekers bij huisartsen van deze patiënten naderhand de huisartsdossiers in te zien. Dat doen ze met een opt-out-constructie. Daarbij krijgt de patiënt dertig dagen de tijd krijgt om bezwaar te maken. Reageert de patiënt niet binnen die termijn, dan gaat men uit van een gegeven toestemming. Dat is een ontoelaatbare gang van zaken. Indien er sprake is van het inzien of een afschrift krijgen van een medisch dossier dient de patiënt daar ondubbelzinnig en vrijwillig toestemming toe te geven na uitgebreide voorlichting. Dat heet een “informed consent”. Het gebruik van een opt-out-constructie daarentegen is daarbij uit den boze.

HONK

De organisatie met deze naam is een coöperatie van ongeveer 120 huisartsen en runt onder andere de huisartsenpost Alkmaar. De populatie waarvoor men werkt is 280.000 mensen groot. De ambulancediensten constateerden de laatste jaren een forse toename van het aantal spoedritten(A1-classificatie). Ambulancemedewerkers klaagden over de toename van “onzinritten”. Bij de klacht pijn op de borst bleek achteraf in meer dan de helft van de gevallen een A1-rit ingezet te zijn. Men vermoedt dat dit het gevolg kon zijn van het huidige(ongevalideerde) triagesysteem met bijbehorende protocollen. Op basis daarvan vinden de aanvragen voor het doen uitrukken van een ambulance plaats.

TRACE

Om achtergrondinformatie te krijgen en het zorgtraject te analyseren en mogelijk bij te sturen bij de triage werkt een groep onderzoekers, afkomstig van het Academisch Medisch Centrum Amsterdam, hieraan. Een lijst van mensen, waarbij de ingangsklacht pijn op de borst was, is in de administratie van de huisartsenpost opgezocht. Die mensen benadert men voor toestemming, waarna de onderzoekers bij praktijken van die patiënten de elektronische huisartsdossiers doornemen. Bij de toestemmingsvraag echter gaat het fout.

Opt-out

Men stuurt de patiënten die geselecteerd zijn naar eigen zeggen een toestemmingsformulier. Dat lijkt in de brief aan huisartsen op het eerste gezicht een “ïnformed consent”  te zijn. Bij zorgvuldig lezen zien we echter dit:

Patiënten die een contact met HAP hadden waarbij de ingangsklacht pijn op de borst was krijgen een toestemmingsformulier toegestuurd, waarbij ze kunnen aangeven bezwaar te hebben tegen de gegevensverzameling. De patiënt heeft 30 dagen de tijd om bezwaar te maken tegen de gegevensverzameling.

Een opt-out-constructie is het dus.

Illegaal

Men geeft de patiënt een maand de tijd in deze opt-out-constructie om bezwaar te maken. Blijkbaar wordt daarna de toestemming verondersteld. En dat kan gewoonweg niet. Voor het inzien van huisartsdossiers door een onderzoeksgroep van buiten de praktijken en de huisartsenpost is een “informed consent” noodzakelijk.

Overwegingen

Tussen huisartsenpraktijken en huisartsenpost(HAP) kan medische informatie uitgewisseld worden als een patiënt de HAP bezoekt. Voor de overdracht van gerichte medische gegevens in deze behandelrelatie speelt een vanzelfsprekende toestemming. De HAP wordt gezien als waarnemer van de eigen huisarts, waar de patiënt vrijwillig hulp zoekt. Bij het inschakelen van derden, in dit geval de projectgroep TRACE, is een apart gevraagde, opt-in-toestemming noodzakelijk.

AVG

Er kan ook geen beroep worden gedaan op de Algemene Verordening Gegevensbescherming(AVG) artikel 9 lid 2 onder punt  i. Daarin staat dat  dataverwerking wel zou mogen om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg. Van een dergelijk zwaarwegend algemeen belang is hier geen sprake.

Hakken in het zand

Het is mijns inziens terecht dat enkele huisartsen die benaderd zijn de hakken in het zand gezet hebben en niet mee willen werken aan een dergelijke wijze van onderzoeksgegevens verzamelen. Het gericht vragen om toestemming, de “informed consent”, moge dan bewerkelijk en voor de onderzoekers lastig zijn, maar kan en mag niet  omzeild worden.

Wat ik niet begrijp is dat noch de directeur acute zorg van HONK, noch de kaderarts acute zorg van HONK, noch de onderzoekers ingezien hebben dat een opt-out-constructie voor het doorzoeken van medische dossiers bij de huisarts geen juridisch juiste manier is.

W.J. Jongejan, 24 mei 2019

 

 

 

 

 

 

 

 




Aan structureel onrechtmatige aanmeldingen in LSP moet eind komen

speciaal aanbod

Onlangs kreeg ik zicht op hoe een apotheek op volkomen illegale wijze, volgens de marketingtruc ‘ja tenzij’ mensen aanmeldt alsof zij toestemming verleend zouden hebben om hun medische gegevens via het Landelijk Schakel Punt(LSP) te laten uitwisselen. De apotheek stopte dit voorjaar hiertoe een brief in de zakjes waarin afgehaalde medicijnen werden meegegeven. Daarin stond aangekondigd dat als men niet voor een bepaalde datum bezwaar aantekende, er na 14 juni 2017 voor hen het LSP zou worden aangezet onder vermelding dat zij door niet te reageren toestemming daarvoor zouden hebben gegeven. Daarnaast werden mensen ook nog eens op onrechtmatige wijze onder druk gezet dat toestemming geven in het belang van hun gezondheid is omdat er zonder aansluiting bij het LSP bijvoorbeeld in de avonduren via een dienstapotheek geen goede medicatie gegeven zou kunnen worden. Heel vilein suggereert het briefje bovendien dat men alleen maar geen toestemming bij de apotheek zou hebben staan, omdat men de klant al een poos niet aan de balie had gezien vanwege de bezorging van de medicijnen. De apotheek heeft met het sturen van deze brief en het aanmelden van mensen zich onmiskenbaar schuldig gemaakt aan het onder druk zetten van patiënten zodat zij niet in vrijheid zelf kunnen beslissen en aan het gebruik van een wettelijk verboden opt-out-constructie.

 Van Gogh-apotheek

De boosdoener is de van Gogh-apotheek in Haarlem. Door op de beschreven wijze medische gegevens van hun klanten open te zetten voor landelijke opvraging door zorgverleners waar betrokkenen geen enkele relatie mee hebben, is bovendien sprake van een grootschalig datalek van uiterst gevoelige medische persoonsgegevens. Omdat VZVZ(beheerder van het LSP) geen uniforme procedure hanteert voor het verkrijgen, registreren en loggen van aangemelde toestemmingen, valt te vrezen dat deze apotheek niet de enige is. Uit onderzoek van Burgerrechtenvereniging Vrijbit, blijkt hoe apotheken, het al dan niet daadwerkelijk verleende toestemmingen verzamelen, organiseren via regionale samenwerkingsverbanden. Volgens de Wet bescherming persoonsgegevens(Wbp) mogen mensen enkel worden aangemeld als zij daarvoor in vrijheid zonder uitoefening van druk en op grond van correcte en heldere informatie ondubbelzinnig toestemming voor hebben verleend.

Bij de doorstart van het LSP is door de voorganger van de huidige Autoriteit Persoonsgegevens(het CBP) op vragen van Nictiz (die het toenmalig door de Eerste Kamer verboden Landelijk Elektronisch PatiëntenDossier(L-EPD)-systeem) over deed aan de private partij VZVZ) duidelijk gesteld dat er sprake moest zijn van de expliciete toestemming van de patiënt via een opt-in systeem.

Geschiedenis

In 2008 had de toenmalige minister van VWS, Ab Klink, bepaald, dat de medische gegevens van iedere burger verplicht beschikbaar werden gesteld voor elektronische uitwisseling via het LSP. Pas toen er grote maatschappelijke onrust ontstond, werd er een uiterst gecompliceerde mogelijkheid aangekondigd waarbij mensen alsnog bezwaar zouden kunnen gaan maken tegen de uitwisseling van hun medische data via het Landelijk Elektronisch PatiëntenDossier(L-EPD). Toen na deze valse start van het L-EPD de Eerste Kamer de hele publieke L-EPD-invoering blokkeerde, werd het concept niet losgelaten, maar zodanig gewijzigd dat er een zogenaamde ‘private doorstart’ werd gemaakt. Daarbij kwam de verantwoordelijkheid niet langer in handen van de overheidsdienst Nictiz, maar in handen van een private partij. Deze Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), kreeg het oorspronkelijke systeem onder haar hoede met dien verstande dat de bestaande database gevuld met opt-out-toestemmingen opgeschoond diende te worden. 

 Acht miljoen mensen werden zo uit de LSP-index verwijderd en alle bezwaren van mensen die aangegeven hadden dat ze niet accepteerde      dat  hun gegevens via het EPD beschikbaar kwamen werden ongeldig verklaard.(waardoor tot op de dag van vandaag er nog steeds mensen zijn die stellig van mening zijn dat zij expliciet tegen het huidige systeem hebben geprotesteerd omdat zij in 2008, 2009 bezwaar aantekenden).

Opt-in

Cruciaal voor de private doorstart werd geacht dat het geen opt-out (ja tenzij) maar opt-in systeem zou worden. Daarmee werd gesuggereerd dat mensen enkel in het systeem zouden komen als zijzelf daar expliciet toestemming voor gaven. Door deze verschuiving werden en passant alle bezwaren tegen het systeem qua onveilige dataverwerking, het gebruik van het BSN door een partij die daar niet over mag beschikken, en onwettige constructies met betrekking tot de verantwoordelijkheid bij misbruik van medische gegevens en gevraagde generieke toestemming voor onvoorziene toepassingen, ter zijde geschoven. Feit is dat in 2014 het CBP, na een uiterst beperkt onderzoek(steekproef van 149 personen), al onrechtmatig genoteerde toestemmingen constateerde. Dat werd toen als onbelangrijk incident afgedaan omdat het niet zou gaan om mensen die geen toestemming hadden gegeven maar slechts om administratief niet correct vastgelegde toestemmingen.

Werkwijze apotheek

De brief van de van Gogh-apotheek in Haarlem is gedateerd op 22-05-2017 met als bezwaar-deadline 24-06-2017. De folder van VZVZ die hierbij werd meegestuurd lijkt een poging om de illegale toestemmingsvraag een correct tintje te geven. Maar zelfs die voorlichtingsfolder geeft geen correcte informatie. Deze werkwijze, om via een stilzwijgende opt-out procedure toestemming te veronderstellen en vervolgens te registreren en door te geven aan het LSP voor opname in de verwijsindex, is niet alleen een onrechtmatige handelswijze van de betrokken apotheker, maar maakt ook dat alle aanmeldingen van toestemming vanuit deze apotheek vanaf 14-6-2017 niet langer als rechtmatig kunnen worden beschouwd en uit de verwijsindex verwijderd dienen te worden. Daarnaast is het maar helemaal de vraag of de vreemde opt-out-constructie enkel de mensen treft die de brief bij hun medicijnen meekregen of ook voor alle andere patiënten die bij deze apotheek hun medicatie krijgen, of ook voor de familieleden van de mensen die een dergelijke brief meekregen, maar toevallig geen medicijngebruikers zijn. Vandaar dat alle klanten van deze apotheek geïnformeerd dienen te worden over de onjuiste registratie van ‘toestemming’ alsook over het opvragen van medische gegevens zoals dat heeft plaatsgevonden op basis van de ten onrechte geregistreerde toestemmingen.

Vrijbit

Burgerrechtenvereniging Vrijbit heeft aan de toezichthouder bescherming persoonsgegevens een formeel handhavingsverzoek gestuurd om hiervoor zorg te dragen. Bovenstaande gang van zaken is één van de methodieken waardoor op illegale wijze toestemmingen vergaard worden door zorgaanbieders. Het gaat met name ook op het landelijk op grote schaal voorkomen van onrechtmatige aanmeldingen door met name de apothekers. Ook hierop ziet het handhavingsverzoek evenals het eerdere handhavingsverzoek wat gebaseerd was op de praktijkvoorbeelden van individuele gevallen waarin mensen ontdekten ten onrechte te staan aangemeld.

VZVZ

VZVZ poogt zich er altijd uit te draaien door te stellen dat zij de toestemmingsvereisten voldoende duidelijk uitleggen in hun folders en voorlichtingsbijeenkomsten. Maar omdat VZVZ een systeem beheert dat onrechtmatig- dan wel helemaal niet verkregen- toestemmingen als grondslag voor aanmeldingen faciliteert, zijn zij uiteraard wel degelijk aansprakelijk. Dit geldt zowel voor het runnen van een systeem waarbij mensen er niet van op aan kunnen dat hun medische gegevens niet ter beschikking worden gesteld aan partijen waar zij geen toestemming voor gaven, als voor de manier waarop de controle hierop systematisch onmogelijk wordt gemaakt. VZVZ voelt wel nattigheid, want in de nieuwsbrief van juli 2017 is een apart stukje aan dit onderwerp besteed. Daarin refereert men aan de recente belangstelling voor verkregen toestemmingen naar aanleiding van de voorbeelden van mensen die onterecht in het systeem bleken te ‘zitten’ en berichtgeving van het tv programma Radar waaruit blijkt dat een substantieel deel van de bevolking geen idee heeft of zij staan aangemeld( en dus wie er over hun medische gegevens kunnen beschikken). Het VZVZ-toestemmingsformulier is inmiddels na jaren zodanig aangepast dat daarop nu wel wordt vermeld dat het over het LSP gaat, maar de informatie blijft te sturend om in vrijheid gegevenstoestemming mogelijk te maken.

Marketing-truc

Aan het op illegale wijze vullen van de LSP-index met vermeende toestemmingen moet een einde komen. Daarbij moet de AP niet schuwen om overtreders aan te pakken voor overtreden van de wet aangaande toestemmingsvereisten en daarmee en het grootschalig en structureel faciliteren van grootschalige datalekken aangaande uiterst gevoelige medische persoonsgegevens. Uiteraard dient ook de hoofdverantwoordelijke VZVZ te worden aangepakt en worden gedwongen om paal en perk te stellen aan de huidige illegale praktijken. Zowel door het verwijderen van ( mogelijk) onterechte toestemmingen. Als door het verplicht aanbrengen van systeemwijzigingen waardoor het onmogelijk wordt om onterechte aanmeldingen te kunnen doen.

W.J. Jongejan




LSP-database bevat schaduwadministratie van alle Nederlanders met hun naam en BSN

binary

De LSP-database bevat een schaduwadministratie van alle Nederlanders met hun naam en BSN. Tot deze conclusie kwam ik afgelopen week na zorgvuldige bestudering van communicatie met de Vereniging van Zorgverleners Voor Zorgcommunicatie(VZVZ), verantwoordelijk voor het Landelijk SchakelPunt(LSP) en het overdenken van de voorgeschiedenis van het LSP. Na het ontdekken van mijn onterechte aanmelding bij het LSP door twee apotheken  beantwoordde de afdeling communicatie van VZVZ namelijk meerdere vragen en ontving ik een standaardbrief na het opsturen van het online-formulier om de onterechte toestemming in te trekken. Het kan niet anders dan dat de LSP-database al vanaf het begin in 2008 zo opgezet is dat alle Nederlanders daar met naam en Burgerservicenummer(BSN) in opgeslagen zitten. In die database moeten er naast die voor het  BSN velden zijn voor zorgverleners, die een opt-in-toestemming doorgeven. Zodra die gevuld zijn, spreekt  VZVZ dan van deelname van een Nederlander aan het LSP. Eigenlijk is dat een soort database binnen een database.      Graag wil ik u meenemen in mijn analyse dat het eigenlijk niet anders kan zijn dan zoals ik hierboven schetste.

Eén

In de eerste plaats moeten we even terug in de tijd. Naar 2008 om precies te zijn, toen de toenmalige minister voor VWS Ab Klink het LSP introduceerde, nadat vlak daarvoor de wetgeving rond het BSN was afgerond. De BSN’s  waren onmisbaar voor het LSP-gebruik. De opzet van het Landelijke Elektronische Patiënt Dossier(L-EPD) was gebaseerd op een opt-out-systeem. Iedere Nederlander zat er met die opzet in (uiteraard met het destijds net goedgekeurde BSN). Behalve als je het niet wilde. De opzet van het systeem was dus van meet af aan een vulling met de naam en BSN van alle Nederlanders. Anders kan je geen opt-out-systeem opzetten. Na het echec van de wetgeving voor het L-EPD in de Eerste Kamer in 2011 zorgde de minister van VWS, Edith Schippers, met behulp van een VVD-motie ervoor dat een private doorstart van het LSP van de grond kwam. Die moest van het College Bescherming Persoonsgegevens(thans Autoriteit Persoonsgegevens) wel een opt-in-systeem kennen. Het zal voor de LSP-leiding niet moeilijk zijn geweest de opt-out-velden in de LSP-database op te schonen en naadloos door te gaan met de opt-in, met behoud van de onderliggende database met alle Nederlanders. De doorstart in private handen verliep naadloos zonder dat er signalen waren over een herontwerp van de database.

Twee

In de mailwisseling met VZVZ thans, schrijft deze dat als een zorgverlener een opt-in-toestemming van een patiënt krijgt, deze de toestemming met zijn informatiesysteem doorgeeft aan het LSP. De Unieke Registratie Abonneehouder(URA)-code van de zorgverlener wordt dan vastgelegd in de LSP-database. Als er in de database een kernregistratie is van alle BSN’s dan vereist die URA-registratie slechts éen of meerdere velden naast dat het BSN om die URA’s in te voeren.

Het BSN kent 9 cijfers. Fouten bij invoeren zijn makkelijk te maken, zeker door de duizenden aangesloten zorgaanbieders met hun personeel. Om er zeker van te zijn dat geen verkeerd BSN-nummer, dat de zorgaanbieder doorgeeft, opgeslagen wordt in de LSP-database moet dit wel een systeem zijn waar de BSN-nummers al in aanwezig zijn.

Drie

Als je niets met het LSP van doen wilt hebben en er toch onterecht in zit, staat nergens op de website van VZVZ dat je door afzegging met naam en BSN-nummer uit de LSP-index verwijderd wordt. Het is slechts mogelijk je opt-in-toestemming in te trekken.  Ook in de automatisch gegenereerde brief van VZVZ na mijn intrekkingsverzoek staat  nadrukkelijk dat ik mijn “toestemming” ingetrokken heb en niet dat ik volledig uit de database verwijderd ben. Bij het online afmelden dat met DigiD werkt, wordt pontificaal naar het BSN-nummer gevraagd. Bij het schriftelijk afmelden is het opsturen van een kopie van een identiteitsbewijs verplicht. De foto mag onherkenbaar zijn gemaakt, maar niet de naam en het BSN-nummer. Men moet VZVZ op de blauwe ogen geloven als ze zeggen dat ze de opgestuurde  kopieën na de afmelding vernietigen. Externe controle daarop meldt men niet.

Vier

Voor een database waar miljoenen Nederlanders in zitten is het van groot belang dat die actueel is. Hij moet niet vervuild zijn met reeds overleden mensen en verkeerd geregistreerde BSN’s van bijvoorbeeld tweelingen. Berichtgeving over overledenen etc. via de zorgaanbieders is een veel te indirecte weg. De LSP-database moet haast wel een koppeling kennen met de systemen van het SBV-Z(Sectorale Berichten Voorziening in de Zorg).  Dan is het actueel houden van de database erg makkelijk. De SBV-Z is volgens de eigen website een betrouwbare bron voor het leveren van BSN’s aan de zorgsector. SBV-Z vormt voor de zorgsector de toegangspoort tot de Beheervoorziening BSN (BVBSN). Dit is de organisatie die verantwoordelijk is voor de uitgifte en het beheer van het burgerservicenummer. (tekst SBV-Z).  In het veld hebben huisartsen en apotheken met enige regelmaat elektronisch verbinding met het CIBG voor de uitgifte en intrekking van BSN’s. Het SBV-Z valt onder het CIBG( Centraal Informatiepunt Beroepen Gezondheidszorg), dat een uitvoeringsorganisatie is van het ministerie van VWS. Gezien de aanvankelijke opzet van het LSP in handen van VWS kon het ministerie een dergelijke route in 2008 makkelijk binnen de eigen organisatie faciliteren. En nadien in stand houden zonder dat er een haan naar kraait.

Zeer zorgelijk

Het kan gewoon niet anders dan dat de basale database van het LSP een vulling kent met alle namen en BSN-nummers van Nederlanders en dat, indien er door enige zorgverlener een opt-in-toestemming wordt doorgegeven de teller van LSP-deelnemers pas gaat tellen. Een dergelijke basale database kan met een gerust hart een schaduwadministratie van alle Nederlanders genoemd worden. De opzet van de database is veel te groot voor het doel: registratie van LSP-deelnemers. Hij voldoet daarmee niet aan de eisen van doelbinding en proportionaliteit.Het is dan ook in mijn ogen zeer zorgelijk dat zoiets kan.

Een centraal ingerichte database, waarin data van alle Nederlanders zijn opgeslagen vormt een uitermate kwetsbaar object voor indringers van buitenaf. Daarenboven speelt nog steeds dat een Amerikaans bedrijf, CSC, deze database beheert en onderhoudt. Het is een bedrijf dat in principe onder de Patriot Act valt, hoewel  VZVZ en het ministerie in het verleden hun  uiterste best deden om het risico van inzage op basis van die Amerikaanse wet als minimaal tot niet bestaand voor te stellen.

W.J. Jongejan