Gezondheid
28 april 2016 | door: J. Berkelaar, patiënt, voorvechter patiënt en recht

Patiënten ondeugdelijk geïnformeerd over het Landelijk Schakelpunt

De informatieverstrekking aan patiënten door de Vereniging van Zorgaanbieders voor Zorgcommunicatie laat te wensen over en maakt de uitspraak van het Gerechtshof van 8 maart 2016 discutabel.

"Amerikaanse inlichtingendienst kan medische gegevens patiënten opeisen via Landelijk Schakelpunt"

De Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) is de beheerder van het Landelijk Schakelpunt (LSP). Via het Landelijk Schakelpunt worden medische gegevens, wanneer een patiënt hier toestemming voor heeft gegeven, uitgewisseld tussen huisarts, apotheek en specialist.

 

Op dinsdag 8 maart 2016 deed het Gerechtshof Arnhem-Leeuwarden (hof) uitspraak in het hoger beroep van de Vereniging Praktijkhoudende Huisartsen tegen de Vereniging van Zorgaanbieders voor Zorgcommunicatie. Het hof erkent het bezwaar van de Vereniging Praktijkhoudende Huisartsen niet dat de privacy van patiënten onvoldoende is geborgd in het Landelijk Schakelpunt. Het hof stelt dat de toestemming van de patiënt uit vrije wil wordt verleend, voldoende specifiek is en gebaseerd op voldoende informatie. 

 

De uitspraak van het hof van 8 maart 2016 bevat drie opmerkelijke passages

In de uitspraak van het hof staat onder 4.17 vermeld dat de toegangspas tot het Landelijk Schakelpunt, de UZI-pas (Unieke Zorgverlener Identificatiepas) mogelijkerwijs door een ander kan worden gebruikt die de PIN-code van de pashouder heeft verkregen, nog niet maakt dat het gekozen beveiligingssysteem onvoldoende is.

 

Patiënten zijn echter niet op de hoogte van het feit dat alle UZI-pashouders zich toegang kunnen verschaffen tot hun medisch dossier, wanneer zij toestemming hebben gegeven tot medische gegevensuitwisseling via het Landelijk Schakelpunt. Het risico op misbruik is zeer groot omdat er vele tienduizenden UZI-passen in omloop zijn. Bovendien is het voor patiënten niet te overzien hoe het Landelijk Schakelpunt werkt en hoe het langzaamaan uitbreid.

 

Onder 4.17 staat ook vermeld: “Aangenomen kan worden dat de combinatie van logging en tuchtrechtelijke sancties een afschrikwekkende werking heeft ten aanzien van mogelijk misbruik.”

 

Door middel van logging wordt vastgelegd welke zorgverleners gegevens hebben aangemeld en welke zorgverleners gegevens hebben opgevraagd. Het is opvallend dat het hof bij de borging van een veilig Landelijk Schakelpunt, aannames boven zekerheidstelling plaatst. Logging en tuchtrechtelijke sancties maken het systeem namelijk niet veilig, maar is slechts een controle achteraf. Het is de wereld op zijn kop om de veiligheid van de uitwisseling van de medische gegevens te laten bepalen door de mogelijk afschrikkende werking die logging en tuchtrechtelijke sancties kunnen hebben, waarbij het aantoonbaar maken van het misbruik afhangt van controle achteraf door middel van door patiënten opgevraagde loggegevens.

 

Verder staat onder 4.18 vermeld: “Het hof verenigt zich ook met, en verwijst naar, de verwerping door de rechtbank (onder 5.40) van de stelling van VPH c.s. dat VZVZ door de bouw en het onderhoud van het LSP te laten uitvoeren door een Amerikaans bedrijf (CSC) in verband met de toepasselijkheid van de Patriot Act een, uit oogpunt van gegevensbescherming, onaanvaardbaar risico heeft genomen.”

 

De Vereniging van Zorgaanbieders voor Zorgcommunicatie heeft nagelaten patiënten te informeren over het feit dat de Amerikaanse inlichtingendienst medische gegevens kan opeisen bij CSC.

 

De Amerikaanse inlichtingendienst overrulet de Europese (privacy)wetgeving

De Amerikaanse inlichtingendienst (de National Security Agency: NSA) mocht op basis van de Patriot Act, sectie 215, inlichtingen verzamelen van burgers buiten de Verenigde Staten. Veel bepalingen uit de Patriot Act zijn eind mei 2015 verlopen, waaronder Sectie 215. 

De bevoegdheden van de NSA, het massaal verzamelen van grote hoeveelheden informatie (massasurveillance bevoegdheden) over burgers uit landen buiten de Verenigde Staten, zijn echter grotendeels in tact gebleven in andere wetgeving zoals de Foreign Intelligence Surveillance Act 2008 ( FISA Amendment Act van 2008), Presidential Policy Directive 28 (PPD-28) van 2014, en de USA Freedom Act van 2015.

 

Zo laat Sectie 702 van de FISA Amendment Act van 2008 nog altijd ruimte voor het opvragen van gegevens (waaronder medische gegevens) van personen, die zich niet op Amerikaans grondgebied bevinden. Onder deze wetgeving hebben bedrijven, waarvan  datagegevens worden opgeëist, een zwijgplicht (‘gag order’).

 

Verregaande surveillance bevoegdheid van de Amerikanen voldoet niet aan Europese wetgeving

Het Safe Harbor-verdrag (‘Veilige Haven’) is een verdrag van de Europese Commissie, het ‘dagelijks bestuur’ van de Europese Unie. Het verdrag geldt al sinds 2000 en bepaalt dat Europese bedrijven persoonsgegevens mogen verzenden naar de Verenigde Staten, wanneer die bedrijven de ‘Safe Harbor’ principes hebben aanvaard. Hierin staat hoe Amerikaanse bedrijven gegevens moeten verwerken om aan de Europese privacywetgeving te kunnen voldoen.

 

Op 7 oktober 2015 heeft het Europees Hof het Safe Harbor-verdrag ongeldig verklaard omdat het onvoldoende waarborgen bood voor een passend niveau van bescherming van persoonsgegevens. Het Europees Hof kwam tot deze conclusie vanwege de vergaande surveillance bevoegdheden (opvragen persoonsgegevens) van de Amerikaanse overheid, waarmee niet voldaan werd aan de Europese privacywetgeving.

 

Inmiddels ligt er een concept-privacybesluit van de Europese Commissie over een nieuw verdrag tussen de Europese Unie en de Verenigde Staten, die het Safe Harbor-verdrag moet vervangen: het Privacy Shield-verdrag. Dit verdrag moet regelen onder welke voorwaarden persoonsgegevens naar de Verenigde Staten mogen worden verstuurd. De huidige Europese privacyrichtlijn schrijft namelijk voor dat persoonsgegevens alleen naar landen buiten de Europese Unie mogen worden verstuurd, wanneer in dat land ‘passende waarborgen’ gelden voor de bescherming van persoonsgegevens, zoals wij dat kennen binnen de Europese Unie. De afspraken, die hierover zijn gemaakt in de concepttekst van het Privacy Shield-verdrag, lijken echter een wassen neus. De Europese privacytoezichthouders hebben hier dan ook forse kritiek op. Zo is onduidelijkheid over de bewaartermijnen van gegevens en kan de Amerikaanse overheid nog altijd massasurveillances uitvoeren op basis van een zestal ruime rechtsgronden (Presidential Policy Directive 28 van 2014): het opsporen en tegengaan van spionage van andere landen, het tegengaan van terrorisme, het tegengaan van de verspreiding van massavernietigingswapens, cybersecurity, het opsporen van bedreigingen voor de Verenigde Staten of zijn bondgenoten en het opsporen van grensoverschrijdende criminaliteit. Daarmee lijkt de onderliggende aanleiding, tot het ongeldig verklaren van het Safe Harbor-verdrag, dus niet verholpen.

 

Kortom, de Amerikaanse inlichtingendienst kan, op basis van de hier vermelde rechtsgronden, medische gegevens van nietsvermoedende patiënten bij de bouwer van het Landelijk Schakelpunt, CSC, opeisen.

 

Onjuiste informatie op de website van de Vereniging van Zorgaanbieders voor Zorgcommunicatie

De Vereniging van Zorgaanbieders voor Zorgcommunicatie meldt in een persbericht van 30 november 2012, dat er geen sprake is dat vanuit de Verenigde Staten gekeken kan worden in de patiëntgegevens van het Landelijk Schakelpunt en dat contractueel is vastgelegd dat CSC zich zal houden aan de Nederlandse wetgeving voor privacybescherming van burgers, waardoor er geen gegevens aan derden kunnen worden verstrekt. Dit is niet correct want de Amerikaanse wetgeving overrulet de Europese (privacy)wetgeving. CSC kan dus onderworpen worden aan een vordering door de Amerikaanse overheid. Patiënten, die toestemming hebben gegeven om hun medische gegevens uit te laten wisselen via het landelijk Schakelpunt, zijn daar niet van op de hoogte gebracht.

 

De Vereniging pretendeert te weten dat de Patriot Act in een periode van tien jaar nauwelijks is gebruikt. Hiermee doelt de Vereniging op het feit dat er nauwelijks bedrijven zijn geweest, die gegevens hebben moeten afstaan aan de Amerikaanse overheid. Het is onmogelijk dat de Vereniging hier van op de hoogte is aangezien de door de Amerikaanse inlichtingendienst bevraagde partijen hier geen informatie over naar buiten mogen brengen.

 

De opmerking van de Vereniging, dat CSC heeft verklaard dat ze, in het zeer onwaarschijnlijke geval dat CSC van de Amerikaanse overheid een vraag krijgt in het Landelijk Schakelpunt te kijken, alle wettelijke middelen zal inzetten om dit tegen te gaan, inclusief de gang naar de rechter, die zich dan zal baseren op de Nederlandse wetgeving, is incorrect. CSC valt immers onder de Amerikaanse wetgeving die de Nederlandse (privacy)wetgeving overrulet.

 

Verder benadrukt de Vereniging dat het Landelijk Schakelpunt geen medische informatie bevat van patiënten en dat het juridisch, maar ook technisch onmogelijk is om vanuit het systeem medische patiëntinformatie te verstrekken. Maar in de uitspraak van het hof van 8 maart 2016 staat onder 4.17 duidelijk vermeld dat medische gegevens kortdurend in het Landelijk Schakelpunt staan. Alle medische berichten passeren het Landelijk Schakelpunt waardoor deze binnen het systeem kunnen worden afgelezen, vastgelegd en geëxporteerd naar een derde partij, bijvoorbeeld de Amerikaanse geheime inlichtingendienst. Bovendien strookt de opmerking van de Vereniging niet met de waarschuwing, die het voormalig College Bescherming Persoonsgegevens (thans Autoriteit Persoonsgegevens) op 18 april 2013 per brief (kenmerk z2013-000125) deed aan de minister van Volksgezondheid, Welzijn en Sport, dat CSC aan een vordering door de Amerikaanse overheid onderworpen kan worden:

 

“Daarbij zij opgemerkt dat bij een vordering door een buitenlandse mogendheid op basis van wetgeving met extraterritoriale werking*1 (zoals de Patriot Act), dit meestal gecombineerd wordt met de verplichting tot geheimhouding van die vordering. Als CSC derhalve aan zo’n vordering onderworpen zou worden, dan zal CSC dit niet kenbaar kunnen maken, noch aan de verantwoordelijke (VZVZ) noch aan de toezichthouder (CBP). Zowel voor de VZVZ als voor het CBP geldt in dat geval dat zij ook niet van hun bevoegdheden gebruik zullen kunnen maken. Mede tegen die achtergrond wijs ik u erop dat het ten allen tijde de verantwoordelijkheid is van de VZVZ zelf om te bepalen of de inschakeling van een bedrijf zoals CSC als bewerker zodanige risico’s voor de naleving van de Wbp*2 met zich brengt dat de contractuele relatie niet kan worden voortgezet of aangepast moet worden. ”

 

*1Extraterritoriale werking:een land dat buiten zijn landgrenzen zijn eigen wetgeving toepast

*2Wbp: Wet bescherming persoonsgegevens

 

Overtreding Wet bescherming persoonsgegevens door CSC is contractbreuk

Zeven maanden na de waarschuwingsbrief van het toenmalig College Bescherming Persoonsgegevens stuurt de minister van VWS, op 13 november 2013 een brief, kenmerk 151039-110168-MEVA, naar de voorzitter van de Tweede Kamer waarin de minister laat weten dat de Vereniging van Zorgaanbieders voor Zorgcommunicatie de verantwoordelijke is om er voor zorg te dragen dat de uitwisseling van gegevens veilig is en voldoet aan de Wet bescherming persoonsgegevens. Dit zou niet alleen blijken uit de gunningscriteria (voorwaarden waar bedrijven aan moeten voldoen om een opdracht binnen te kunnen halen) maar ook uit het lopende contract tussen de Vereniging en CSC. “CSC heeft zich hiermee verplicht te voldoen aan onder andere de Wbp bij het beheer van het LSP. Overtreding van de Wbp wordt in het contract aangemerkt als wanprestatie en is reden voor ontbinding van het contract en schadeloosstelling.”

 

Het lijkt er op dat de minister zowel de waarschuwing van het College Bescherming Persoonsgegevens, dat er wel degelijk gevaren kleven aan het zaken doen met Amerikaanse bedrijven, als het feit dat er sprake is van contractbreuk met CSC, omdat het bedrijf niet kan voldoen aan de Nederlandse (privacy) wetgeving, heeft genegeerd.

 

De Vereniging van Zorgaanbieders voor Zorgcommunicatie negeert de patiënt

Op de website van de Vereniging staat vermeld (zie punt 3) dat het patiënten zijn die zwaarwegend advies geven, via de Patiënten en Privacyraad, wanneer er bijvoorbeeld veranderingen komen in de toestemmingsvraag bij het opvragen van gegevens via het Landelijk Schakelpunt. De raad bestaat uit de teammanager digitale zorg van de Nederlandse Patiënten en Consumenten Federatie, de directeur van de Stichting Kind en Ziekenhuis, de directeur van de Parkinsonvereniging, een adviseur gezondheidsrecht van de KNMG, een voormalig directeur/algemeen secretaris van het ministerie van VWS en een jurist van een adviesbureau dat zich richt op advisering en begeleiding van juridische en managementvraagstukken. Er wordt hier de suggestie gewekt dat het patiënten zijn die zwaarwegend advies geven en er op toezien dat de rechten en privacy van patiënten geborgd zijn binnen het Landelijk Schakelpunt, maar in werkelijkheid zijn het de hier vermelde aan de zorg verbonden professionals.

 

Het is onjuist dat de Vereniging van Zorgaanbieders voor Zorgcommunicatie vermeldt dat de Nederlandse Patiënten en Consumenten Federatie de belangen behartigt van alle patiënten en iedereen die zorgpremie betaalt (zie onder punt 5). De rechtbank van Rotterdam heeft namelijk op 9 april 2015 uitspraak gedaan dat de Federatie niet is aan te merken als consumentenorganisatie. De Vereniging propageert dus ten onrechte dat de Nederlandse Patiënten en Consumenten Federatie, via de Patiënten en Privacyraad, de belangen behartigt van alle patiënten en iedereen die zorgpremie betaalt.

 

Conclusie

In tegenstelling tot hetgeen is vermeld in de uitspraak van het hof d.d. 8 maart 2016, zijn patiënten onjuist en onvolledig geïnformeerd over het Landelijk Schakelpunt en kan de informatie zelfs misleidend worden genoemd. Het feit dat de Amerikaanse inlichtingendienst, medische gegevens bij bouwer CSC van het Landelijk Schakelpunt van onwetende patiënten op kan eisen, botst met de eerbiediging van de persoonlijke levenssfeer van patiënten.

Patiënten hebben geen adviserende rol in het besluitvormingsproces rondom het Landelijk Schakelpunt, terwijl de Vereniging van Zorgaanbieders voor Zorgcommunicatie dit wel pretendeert. Patiënten weten niet of de databeveiliging wel voldoet aan de geldende normen omdat er geen auditverslagen bekend zijn waaruit dit zou blijken.

De Vereniging Zorgaanbieders voor Zorgcommunicatie lijkt niet te voldoen aan haar informatieplicht jegens patiënten.

 

Patiënten hebben recht op alle informatie, die van invloed kan zijn op hun besluit om medische gegevens al dan niet uit te laten wisselen via het Landelijk Schakelpunt. Het is niet meer dan billijk om patiënten hiervoor opnieuw om toestemming te vragen nadat zij volledig en juist zijn geïnformeerd.

 

Deel

met uw netwerk:


Meer opiniestukken:

Bestel online:

Zo wordt u opiniemaker

In dit boek leert u in tien stappen denken en schrijven als een journalist

 

Alleen nog verkrijgbaar via bol.com


Schrijftip van de week

Week 50
Practice what you preach
> Meer