Bijdrage Van Kooten debat over een datalek in de jeugdzorg


17 april 2019

Voorzitter,

Wat zou het prettig zijn als we het vandaag konden hebben over een incident. Iemand was vergeten de domeinnaam te registreren, uiteindelijk is de data niet echt op straat gekomen. Net journalistiek werk, foutje gecorrigeerd; eind goed al goed.

Maar de realiteit is anders. We moeten het hebben over structurele fouten in de omgang met privacy en data in de zorg. De zorg is de sector met de meeste datalekken. De voorbeelden van misstanden zijn legio; onterechte inzage in patiëntendossiers in het ziekenhuis , hackers die jongeren afpersen met de informatie die zij dachten online in vertrouwen met professionele hulpverleners gedeeld te hebben , honderdduizenden medische dossiers belanden in handen van Google en nu dus de zeer gevoelige informatie van bijna 3000 kwetsbare jongeren die vrijelijk beschikbaar was. Dit alles in het afgelopen half jaar.

Vandaag nog werd bekend dat bij het CBR één miljoen medische dossiers zijn opgeslagen in een database die al 9 jaar geen veiligheidsupdates heeft gehad .

Het gaat dus structureel mis met gegevens die de allerhoogste bescherming en zorgvuldigheid vereisen en verdienen. Met een beetje publiek beschikbare informatie kan al een individu worden achterhaald en gezien de gevoeligheid van deze informatie mag dat niet gebeuren. Punt.

Het gebeurt toch, want de infrastructuur waarop vertrouwd wordt is structureel gebrekkig. Als de infrastructuur zo in elkaar zit dat medische gegevens via onbeveiligde email in plain tekst gedeeld worden, als studenten met een bijbaantje haast onbeperkte toegang tot patiënt dossiers hebben of als de gegevens open staan voor hackers dan is er sprake van een gebrekkige infrastructuur en gegevensbescherming. Wat ons betreft bespreken we dit dan ook vandaag, met alle respect voor de vicepremier, met de verkeerde minister.

Het is namelijk zijn collega, de minister voor Medische Zorg, die deze Kamer recent een brief stuurde waarin hij uiteenzet hoe hij de gehele zorg sector verplicht wil digitaliseren.

En de lijn die daarin geschetst wordt is er niet een die doet geloven dat we dit soort incidenten in het vervolg niet meer meemaken. Omdat we altijd menselijke fouten zullen hebben is het van belang om een infrastructuur te kiezen die zo min mogelijk fouten, lekken en misstanden toelaat. Daarom is het onverstandig dat er nog altijd vertrouwd wordt op bijvoorbeeld het Landelijk Schakelpunt. De infrastructuur van het in 2011 ongekend hard afgewezen Elektronisch Patiëntendossier stelt de gegevens van miljoenen mensen open voor veel meer mensen dan nodig: huisartsen, apothekers en zorgverleners en hun medewerkers in ziekenhuizen kunnen straks bij die data. Acht jaar later blijkt dit systeem dus nog altijd even onverenigbaar met privacybelangen maar is het toch nog altijd niet ten grave gedragen. Het is zelfs door de sector benoemd tot ‘onomstreden bouwsteen’.

Een privacy website schreef recentelijk naar aanleiding van de impasse waarin de minister is beland rondom de toestemmingsverlening, het is nu namelijk of te algemeen of onuitvoerbaar, dat het tijd werd om na te denken over een wereld zonder het LSP . Een stelling die ik onderschrijf.

Zoals het onveilig is om dossiers via onbeveiligde mail te versturen, zo is het ook onveilig om de gehele zorg te digitaliseren op basis van een systeem dat gegevens niet van verzender tot ontvanger versleuteld, dat geen specificering kent voor de toestemmingsverlening om ervoor te zorgen dat jouw dossier alleen openstaat voor diegene die daar recht op hebben en dat wordt beheerd door een Amerikaans bedrijf dat door de nationale veiligheidswetgeving aldaar op elk moment gedwongen kan worden om alle data te overleggen zonder daar enige Nederlandse partij kennis van te mogen geven.

De Raad van State had recent kritiek op de wijze waarop de Nederlandse regering haar beleid vormgeeft. Belanghebbenden zouden te veel invloed hebben op de wijze waarop wetgeving tot stand komt. Als we nu zien dat de minister met een voorstel komt om de gehele zorg verplicht te digitaliseren en daarbij uitgaat van een infrastructuur die door de Senaat unaniem is weggestemd, en door privacy organisaties, die hierbij geen eigen belang hebben, onverenigbaar wordt geacht met privacywetgeving. Als we lezen dat het de minister zijn voornemen is om ‘in rap tempo te digitaliseren’ en daarbij niet klein met een proef wil beginnen maar meteen zo groot mogelijk wil inzetten dan vraag ik de Kamer en de minister om stevig te herbezinnen!

Ja, digitalisering kan helpen in de zorg maar als we digitaliseren dan moet dat op vrijwillige basis. Geen verplichting. En als men vrijwillig besluit deel te nemen dan moet dat door middel van een infrastructuur die de allerhoogste privacy en gegevensbescherming garandeert!

Tot slot, kan de minister aangeven hoe het staat met het onderzoek naar end-to-end encryptie in de zorg zoals gevraagd in mijn aangenomen motie ?

Dank u wel.