Patiënten ondeugdelijk geïnformeerd over LSP

(Tekst: Opiniestukken)

Patiënten ondeugdelijk geïnformeerd over het Landelijk Schakelpunt

De informatieverstrekking aan patiënten door de Vereniging van Zorgaanbieders voor Zorgcommunicatie laat te wensen over en maakt de uitspraak van het Gerechtshof van 8 maart 2016 discutabel.

De Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) is de beheerder van het Landelijk Schakelpunt (LSP). Via het Landelijk Schakelpunt worden medische gegevens, wanneer een patiënt hier toestemming voor heeft gegeven, uitgewisseld tussen huisarts, apotheek en specialist.

Op dinsdag 8 maart 2016 deed het Gerechtshof Arnhem-Leeuwarden (hof) uitspraak in het hoger beroep van de Vereniging Praktijkhoudende Huisartsen tegen de Vereniging van Zorgaanbieders voor Zorgcommunicatie. Het hof erkent het bezwaar van de Vereniging Praktijkhoudende Huisartsen niet dat de privacy van patiënten onvoldoende is geborgd in het Landelijk Schakelpunt. Het hof stelt dat de toestemming van de patiënt uit vrije wil wordt verleend, voldoende specifiek is en gebaseerd op voldoende informatie.

De uitspraak van het hof van 8 maart 2016 bevat drie opmerkelijke passages

In de uitspraak van het hof staat onder 4.17 vermeld dat de toegangspas tot het Landelijk Schakelpunt, de UZI-pas (Unieke Zorgverlener Identificatiepas) mogelijkerwijs door een ander kan worden gebruikt die de PIN-code van de pashouder heeft verkregen, nog niet maakt dat het gekozen beveiligingssysteem onvoldoende is.

Patiënten zijn echter niet op de hoogte van het feit dat alle UZI-pashouders zich toegang kunnen verschaffen tot hun medisch dossier, wanneer zij toestemming hebben gegeven tot medische gegevensuitwisseling via het Landelijk Schakelpunt. Het risico op misbruik is zeer groot omdat er vele tienduizenden UZI-passen in omloop zijn. Bovendien is het voor patiënten niet te overzien hoe het Landelijk Schakelpunt werkt en hoe het langzaamaan uitbreid.

Onder 4.17 staat ook vermeld: “Aangenomen kan worden dat de combinatie van logging en tuchtrechtelijke sancties een afschrikwekkende werking heeft ten aanzien van mogelijk misbruik.”

Door middel van logging wordt vastgelegd welke zorgverleners gegevens hebben aangemeld en welke zorgverleners gegevens hebben opgevraagd. Het is opvallend dat het hof bij de borging van een veilig Landelijk Schakelpunt, aannames boven zekerheidstelling plaatst. Logging en tuchtrechtelijke sancties maken het systeem namelijk niet veilig, maar is slechts een controle achteraf. Het is de wereld op zijn kop om de veiligheid van de uitwisseling van de medische gegevens te laten bepalen door de mogelijk afschrikkende werking die logging en tuchtrechtelijke sancties kunnen hebben, waarbij het aantoonbaar maken van het misbruik afhangt van controle achteraf door middel van door patiënten opgevraagde loggegevens.

Verder staat onder 4.18 vermeld: “Het hof verenigt zich ook met, en verwijst naar, de verwerping door de rechtbank (onder 5.40) van de stelling van VPH c.s. dat VZVZ door de bouw en het onderhoud van het LSP te laten uitvoeren door een Amerikaans bedrijf (CSC) in verband met de toepasselijkheid van de Patriot Act een, uit oogpunt van gegevensbescherming, onaanvaardbaar risico heeft genomen.”

De Vereniging van Zorgaanbieders voor Zorgcommunicatie heeft nagelaten patiënten te informeren over het feit dat de Amerikaanse inlichtingendienst medische gegevens kan opeisen bij CSC.

De Amerikaanse inlichtingendienst overrulet de Europese (privacy)wetgeving

De Amerikaanse inlichtingendienst (de National Security Agency: NSA) mocht op basis van de Patriot Act, sectie 215, inlichtingen verzamelen van burgers buiten de Verenigde Staten. Veel bepalingen uit de Patriot Act zijn eind mei 2015 verlopen, waaronder Sectie 215.

De bevoegdheden van de NSA, het massaal verzamelen van grote hoeveelheden informatie (massasurveillance bevoegdheden) over burgers uit landen buiten de Verenigde Staten, zijn echter grotendeels in tact gebleven in andere wetgeving zoals de Foreign Intelligence Surveillance Act 2008 ( FISA Amendment Act van 2008), Presidential Policy Directive 28 (PPD-28) van 2014, en de USA Freedom Act van 2015.

Lees hier verder

Geef een reactie