Bijdrage Teunissen AO Gege­vens­uit­wis­seling in de zorg / gege­vens­be­scherming


30 januari 2019

Voorzitter. Helaas kan ik dit debat over gegevensuitwisseling in de zorg beginnen met een recent en pijnlijk voorbeeld. Dit keer gaat het over afpersing door hackers van kwetsbare jongeren die dachten veilig via een onlineplatform hun psychische problemen met professionals te bespreken.

Het onderstreept dat privacywaarborgen cruciaal zijn als het op medische gegevens aankomt. Maar na de ongekende harde afwijzing van het elektronisch patiëntendossier in 2011 blijkt dat de privacy van de patiënt nog altijd onvoldoende is gewaarborgd. Terwijl de minister te weinig aandacht besteedt aan privacy om de wet tegen zorgfraude door de Staten-Generaal te krijgen, is hij nu op voorzet van VVD, D66 en CDA voornemens de hele zorg verplicht te digitaliseren.

Hoe is de minister van plan de keuzevrijheid van mensen te behouden die niet wensen mee te werken met dit digitale systeem, bijvoorbeeld uit privacyoverwegingen? De minister stelt dat hij niet voor één systeem kiest en dus verschillende systemen naast elkaar mogelijk maakt. Maar ondertussen bestempelt hij het Informatieberaad AORTA, de infrastructuur van het Landelijk Schakelpunt, als onomstreden bouwsteen voor de digitale infrastructuur.

Klopt het dat AORTA een verplichte bouwsteen wordt, zo vraag ik de minister, en hoe kan hij garanderen dat patiënten en zorgverleners nog voor andere, bijvoorbeeld decentrale en veiliger systemen kunnen kiezen?

Inhoudelijk lijkt er weinig veranderd ten opzichte van 2011. Destijds werd geoordeeld dat het LSP, de ruggengraat van het systeem, tekortschoot qua privacy. En datzelfde LSP, inmiddels in beheer van zorgverzekeraars en zorgverleners, schiet nog altijd tekort.

Voorzitter. Ik noem twee punten. Ten eerste de data-uitwisseling tussen zorgverlener en patiënt, of zorgverleners onderling, zou versleuteld moeten zijn, van begin tot eind. Dat lijkt een logische eis. Klopt het volgens de minister dat tussen zorgverlener A en B iemand, bijvoorbeeld de Amerikaanse operationeel beheerder CSC, inzage kan hebben in de medische gegevens? Kan de minister bevestigen dat medische gegevens met het LSP niet van zorgverlener tot zorgverlener versleuteld zijn? Is hij bereid de NEN-normen die de veiligheid van gegevensuitwisseling moeten regelen op dit punt aan te scherpen?

Voorzitter. Een andere tekortkoming is de toestemmingsverlening. Het LSP is ontworpen om gegevens altijd te delen, tenzij bepaalde categorieën geblokkeerd zijn in plaats van het meer logische omgekeerde: je deelt niets tenzij expliciete toestemming gegeven is. Actieve toestemming geven per categorie is in strijd met de privacywetgeving en het medisch beroepsgeheim, want daarmee kan elke zorgverlener uit die categorie bij het medisch dossier, ook als er geen behandelrelatie is. Kan de minister dat bevestigen? Door die weeffout in het LSP haal je je veel problemen op de hals, want de gespecificeerde toestemming heeft een juridisch optimum van maar liefst 160 categorieën. Dat betekent simpelweg meer categorieën en meer mensen die het echt niet begrijpen. Minder categorieën betekent dat nog meer onbevoegden toegang krijgen tot medische dossiers. Maar zelfs deze kunstgreep werd door de stuurgroep bestempeld als onuitvoerbaar. Een betere oplossing — alleen toestemming verlenen aan diegenen met wie de zorgvrager een behandelrelatie heeft, op korte termijn krijgt of in spoedeisende gevallen nodig heeft — komt niet aan bod. Is deze een-op-een uitwisseling van gegevens onverenigbaar met het LSP-systeem en daardoor onuitvoerbaar? Kan de minister dit bevestigen?

Voorzitter. Wettelijk gezien is er nog ruimte voor decentrale systemen. Maar omdat het LSP in beheer is van de gezamenlijke zorgverzekeraars en zorgverleners, heeft het een praktisch monopolie verworven. Op de achtergrond is het LSP dus de ruggengraat van deze vernieuwde digitaliseringsplannen. Erkent de minister dat hij met het kiezen van een verplichte infrastructuur per zorgproces alsnog indirect het LSP verplicht stelt, wat in strijd is met de motie-Tan destijds? Een privacyorganisatie schreef naar aanleiding van de brief van de minister van 20 december: "Het wordt tijd om na te denken over een wereld zonder LSP." Ik begrijp het best als deze minister zegt "ik wil niet voor één systeem kiezen of één systeem uitsluiten", maar momenteel lijkt hij toch sterk te sturen richting het LSP.

Voorzitter, ik rond af. Ik heb nog één vraag over de motie-Van Kooten-Arissen over het betrekken van privacy- en burgerrechtenorganisaties bij het Informatieberaad. Uit de brief van 20 december begreep ik dat er een gesprek met hen plaatsvindt over de rol van hun advisering aan de Expertgroep Informatieveiligheid en Privacy. Maar waarom kunnen zij niet worden betrokken bij de Kerngroep Informatieberaad Zorg, zoals ook de motie vroeg?

Tot zover. Dank u wel.

De voorzitter:

Dank u wel. Er is nog een vraag van de heer Raemakers.

De heer Raemakers (D66):

Privacy is heel belangrijk. Dat is D66 zeker met de Partij voor de Dieren eens. Maar ik ben het er niet mee eens dat privacy altijd op gespannen voet staat met digitalisering. Volgens mij zouden privacy en digitalisering ook samen kunnen gaan. Nu zijn er bijvoorbeeld ook medische missers. Er overlijden patiënten. Patiënten hebben gezondheidsschade doordat bijvoorbeeld verkeerde medicijnen worden verstrekt, doordat bijvoorbeeld dossiers incompleet zijn of te laat ergens aankomen. Erkent de Partij voor de Dieren ook dat het werken met papier en fax soms niet perfect is en dat juist digitalisering kan helpen bij betere zorg aan patiënten?

Mevrouw Teunissen (PvdD):

Ik ben heel blij met deze vraag, want ik kan de strekking van mijn bijdrage nog even verduidelijken. De strekking was niet "de Partij voor de Dieren is tegen digitalisering". Ik denk dat het heel goed is. Mevrouw Ellemeet hield net ook nog een pleidooi voor noodzakelijke digitalisering. Ik denk dat we daaraan moeten werken. Maar als je kijkt naar hoe er gestuurd wordt richting het LSP — ik hoop dat ik in mijn bijdrage heb aangetoond dat je daar kanttekeningen bij kunt plaatsen als het gaat om privacy — dan denk ik dat daar heel veel haken en ogen aan zitten en dat je ook moet kijken naar andere systemen die met elkaar kunnen communiceren om uitwisseling mogelijk te maken. Wat ons betreft is het LSP momenteel fundamenteel onveilig. Als je kijkt naar de manier waarop er toestemming wordt verleend — die gespecificeerde toestemming, per categorie, geen directe behandelrelatie — dan is dat gewoon in strijd met het huidige beroepsgeheim en met de privacywetgeving. Dat is onze grote zorg. We zijn voor digitalisering, maar de privacy moet echt beter geborgd worden. Ik vraag me zeer af of dat met het LSP mogelijk is.

De heer Raemakers (D66):

Ik ben het natuurlijk zeer met u eens dat we heel goed moeten kijken naar ieder systeem en kritisch moeten blijven op ieder systeem, en dat we altijd heel scherp moeten zijn als het gaat om mogelijke risico's, zeker bij risico's voor de privacy. Maar ik wil ook nog een andere vraag stellen. Uit het begin van uw betoog maak ik ook op dat u eigenlijk niet vindt dat de minister of de overheid hier de regie op moet nemen. U noemde toen ook het CDA, de VVD en D66. We hebben natuurlijk in een motie de minister juist wél opgeroepen om de regie te pakken. Natuurlijk moet de minister er dan voor zorgen dat de privacy gewaarborgd blijft en dat er allerlei risico's niet optreden. We zien nu echter in de praktijk dat als je het aan het Informatieberaad of de zorgverleners overlaat, het eigenlijk onvoldoende snel wordt opgepakt. D66 wil dus echt dat de minister de regie hierbij gaat nemen. Is de Partij voor de Dieren het daar wel mee eens? Vindt zij ook dat de minister die regie meer moet gaan nemen?

Mevrouw Teunissen (PvdD):

Ook dank voor deze vraag, want daardoor kan ik dit ook weer verhelderen. Als daar een misverstand over bestond, kan ik dat hopelijk wegnemen door te zeggen dat wij ook voor regie vanuit de overheid zijn. Dat is helemaal niet ons punt. Het punt is dat de motie-Tan destijds met name is aangenomen vanwege die privacyoverwegingen. Toen is gezegd: liever geen medewerking aan dit systeem, aan het epd en aan de opvolger daarvan, het LSP. We zien nu dat er op allerlei wijzen, onder andere door de infrastructuur, de bouwstenen, de AORTA toch naar dat ene LSP wordt toegewerkt. Daar gaat onze kritiek over. Wat de Partij voor de Dieren betreft is dat namelijk momenteel gewoon onveilig.

Mevrouw Van den Berg (CDA):

Daar wil ik graag nog wel even wat verduidelijking op hebben. Enerzijds is er toen een motie van het CDA aangenomen waarin staat dat er gespecificeerde toestemming moet zijn voordat gegevensoverdracht plaats kan vinden. Dat betekent wat ons betreft dat die gegevensuitwisseling in acute situaties inderdaad mogelijk moet zijn en dat er dus ook "niet gegluurd" kan worden, wat ik net zei. Mensen die niks met het dossier te maken hebben, moeten er dus ook geen toegang toe hebben. Maar dat is wat ons betreft wat anders dan ervoor zorgen dat er een digitale snelweg is waarover die gegevens vervoerd, getransporteerd kunnen worden. Is de Partij voor de Dieren het wel met het CDA eens dat je moet zorgen voor een veilige digitale snelweg waarover dat transport plaats kan vinden, en dat juist de minister daar regie op heeft?

Mevrouw Teunissen (PvdD):

Ja, dat is de Partij voor de Dieren met het CDA eens. Er moet een veilige structuur liggen. Met die gespecificeerde toestemming zijn wij het niet eens, omdat daarbij wordt uitgegaan van categorieën behandelaars. Daarbij geeft je dus ook toestemming aan behandelaars die geen directe behandelrelatie met jou hebben om jouw medische gegevens in te zien. We denken dat daar toch een wijziging ten opzichte van het huidige plan noodzakelijk is, om die weg van patiënt naar behandelaar goed te versleutelen met elkaar. Dat is momenteel niet aan de orde. Ik hoor straks ook heel graag van de minister of dat inderdaad nu niet zo is. Ik denk dat daar grote stappen te zetten zijn. We moeten dus op de een of andere manier wél die een-op-een behandelrelatie binnen die digitale infrastructuur mogelijk maken. We zijn het dus niet eens met die gespecificeerde toestemming, maar we zijn het er natuurlijk absoluut over eens dat een goede digitale infrastructuur noodzakelijk is.