Vragen Van Esch over de ‘ver­on­der­stelde toegang’ tot elek­tro­nische pati­ën­ten­dos­siers


Indiendatum: apr. 2020

Schriftelijke vragen van het lid Van Esch aan de minister voor Medische Zorg en Sport over de ‘veronderstelde toegang’ tot elektronische patiëntendossiers

1) Klopt het dat er op 8 april 2020 is besloten om de medische dossiers van ruim 8 miljoen mensen open te stellen middels een zogeheten ‘corona-opt in’?[1]

2) Klopt het dat met het, in fysieke zin, openstellen van deze medische dossiers in theorie elke zorgverlener in Nederland met een Unieke Zorgverlener Identificatie-pas, dus niet alleen zorgverleners met een behandelrelatie, nu in deze 8 miljoen dossiers kan kijken? Acht u dat wenselijk?

3) Hoe is de ‘corona-opt in’ volgens u te rijmen met de wet waarin staat vermeld dat voor elektronische gegevensuitwisseling “uitdrukkelijk toestemming” moet zijn gegeven?

4) Waarom noemt u deze ingreep een ‘corona-opt in’ aangezien een opt in systeem er vanuit gaat dat men een actie moet ondernemen om mee te doen en hier het tegenovergestelde (dus opt out) het geval is? Acht u een opt-out systeem passend voor de omgang met medische gegevens?

5) Is er, sinds uw brief van 08-02-2019 [Kamerstuk 27 529 nr. 170] waarin u als reactie op vragen van de Partij voor de Dieren aangaf dat er geen volledige end-to-end encryptie plaatsvind bij het uitwisselen van medische gegevens, gekeken naar een herziening van de richtlijn zoals u toen had toegezegd? Zo nee, waarom niet?

6) Waarom was, naar uw mening, de huidige praktijk waarbij men bij de huisarts aangeeft of er toestemming is voor het uitwisselen van gegevens niet langer werkbaar? Klopt het dat u deze maatregel heeft genomen om de huisartsen te ontlasten?

7) Heeft u een inschatting gemaakt hoeveel van de 8 miljoen mensen, wiens medische gegevens nu voor elke zorgverlener van Nederland in te zien zijn, hun huisarts gaan bellen om de ‘veronderstelde’ , maar nooit gegeven, goedkeuring voor deze inzage in te trekken? Wat voor belasting zou dat geven bij de huisartsen?

8) Klopt het dat de elektronische uitwisseling van medische gegevens vrijwel altijd via het Landelijk Schakelpunt verloopt?

9) Klopt het dat het Landelijk Schakelpunt in beheer is bij een Amerikaans bedrijf dat onder de Amerikaanse wet verplicht kan worden medische gegevens in haar beheer (zoals de Nederlandse) over te dragen aan (of door te geleiden naar) de Amerikaanse autoriteiten en dat het bedrijf verplicht is daar over te zwijgen? Acht u dat wenselijk?

10) Blijft de ‘corona-opt in’ of ‘veronderstelde’ toestemming staan na de corona crisis? Zo nee, hoe kan de minister dat garanderen?

11) Kunt u in ieder geval nog de garantie geven dat alle crisismaatregelen die ingrijpen op het recht op privacy na de crisis worden teruggedraaid?

[1] https://www.rijksoverheid.nl/ministeries/ministerie-van-volksgezondheid-welzijn-en-sport/nieuws/2020/04/08/belangrijkste-huisartsinformatie-tijdelijk-te-raadplegen

Indiendatum: apr. 2020
Antwoorddatum: 1 mei 2020

Vraag 1 Klopt het dat er op 8 april 2020 is besloten om de medische dossiers van ruim acht miljoen mensen open te stellen middels een zogeheten «corona-opt-in»?

Antwoord 1

In mijn brieven van 25 maart jl.2, 7 april jl.3 en 15 april jl.4 informeerde ik uw Kamer over de genomen tijdelijke noodmaatregelen om bij te dragen aan de beschikbaarheid van meer gegevens ten behoeve van de juiste zorg op de juiste plek en op het juiste moment om de zorg te ontlasten. Een van deze tijdelijke noodmaatregelen is de corona opt-in. Hiermee is het technisch mogelijk voor SEH-zorgverleners en huisartsen om een beperkte set huisartsgegevens van patiënten met of verdacht van COVID-19 op de HAP en SEH te raadplegen na het vragen en verkrijgen van toestemming hiervoor van de patiënt.

Vraag 2 Klopt het dat met het in fysieke zin openstellen van deze medische dossiers in theorie elke zorgverlener in Nederland met een Unieke Zorgverlener Identificatie (UZI)-pas, dus niet alleen zorgverleners met een behandelrelatie, nu in deze acht miljoen dossiers kan kijken? Acht u dat wenselijk?

Antwoord 2

Nee, niet elke zorgverlener met een UZI-pas kan de huisartsgegevens raadplegen. De patiënt moet ingeschreven staan in het informatiesysteem van de eigen zorgaanbieder. De opvragende zorgverlener moet zich identificeren met een UZI-pas. Op grond daarvan wordt vastgesteld of en welke gegevens mogen worden ingezien. Tot slot worden niet alle medische dossiers opengesteld, maar is een samenvatting van de huisartsgegevens raadpleegbaar voor specifieke zorgverleners, onder strikte voorwaarden.

Vraag 3 en 4

Hoe is de corona-opt-in volgens u te rijmen met de wet, waarin staat vermeld dat voor elektronische gegevensuitwisseling uitdrukkelijk toestemming moet zijn gegeven? Waarom noemt u deze ingreep een «corona-opt-in» aangezien een opt-in systeem er vanuit gaat dat men een actie moet ondernemen om mee te doen en hier het tegenovergestelde (dus opt-out) het geval is? Acht u een opt-out systeem passend voor de omgang met medische gegevens?

Antwoord 3 en 4

De corona-opt-in richt zich op de beschikbaarstelling van huisartseninformatie via elektronische uitwisselingssystemen. Daarop is de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) van toepas-sing. Artikel 15a geeft dan aan dat uitdrukkelijke toestemming is vereist. Met de Corona-opt-in wordt bedoeld dat voor de mensen die geen keuze hebben vastgelegd een deel van bij de huisarts bekende gegevens beschik-baar wordt gesteld voor de HAP en SEH. Op de HAP en SEH wordt door de zorgverlener de mondelinge toestemming gevraagd aan de patiënt, wanneer de noodzakelijke medische informatie bij de huisarts dient te worden geraadpleegd, tenzij de patiënt niet meer in staat is zijn wil te uiten. In dit laatste geval waar er sprake is van een spoedsituatie kan de hulpverlener de gegevens zonder mondelinge toestemming raadplegen. Als de patiënt geen toestemming geeft, dan worden zijn gegevens niet geraadpleegd. Daarmee is geen sprake van een opt-out-systeem, maar blijft de regie bij de patiënt. Tevens is van belang dat burgers ook als ze nog geen zorgvraag hebben, de mogelijkheid hebben tot een opt-out. Burgers die niet willen dat hun gegevens beschikbaar worden gesteld, kunnen zich melden bij de huisarts om dit aan te geven of kunnen de keuze doorgeven op volgjezorg.nl.

Vraag 5 Is er sinds de brief van uw ambtsvoorganger van 8 februari 2019, waarin als reactie op vragen van de Partij voor de Dieren wordt aangegeven dat er geen volledige end-to-end encryptie plaatsvindt bij het uitwisselen van medische gegevens, gekeken naar een herziening van de richtlijn, zoals toen gesteld? Zo nee, waarom niet?

Antwoord 5

Op dit moment wordt NEN 7512 herzien, de norm over informatieveiligheid bij het uitwisselen van (medische) gegevens. In die herziening wordt End-to-End encryptie als een van de onderwerpen meegenomen. De verwachting is dat de herziening in het eerste kwartaal van 2021 afgerond zal zijn.

Vraag 6 Waarom was naar uw mening de huidige praktijk, waarbij men bij de huisarts aangeeft of er toestemming is voor het uitwisselen van gegevens, niet langer werkbaar? Klopt het dat u deze maatregel heeft genomen om de huisartsen te ontlasten?

Antwoord 6

De maatregel is bedoeld om tijdelijk voor patiënten met symptomen van het coronavirus de triage op de HAP en SEH met betere informatie te ondersteunen. Hiermee ondersteunt het deze zorgverleners in het kunnen leveren van goede zorg. Vanwege de inrichting van specifieke huisartsenposten voor COVID-19 komen veel mensen niet bij hun eigen huisarts maar bij een HAP. De daarbij voor triage benodigde informatie is in de praktijk vaak bij de eigen huisarts voorhanden, maar door het ontbreken van een toestemmingskeuze niet altijd beschikbaar op de HAP. Deze informatie wordt nu tijdelijk op de HAP en SEH beschikbaar gesteld als de patiënt daar (mondeling) toestemming voor geeft op het moment van opvragen. Dit is gedaan op uitdrukkelijk verzoek van Patiëntenfederatie Nederland en de huisartsen vanwege de sterk oplopende belasting op huisartsenposten en de benodigde tijd voor triage. De uitwisseling van gegevens in een spoedsituatie was al voor de coronacrisis punt van aandacht. Juist omdat een patiënt in een acute situatie niet altijd in de gelegenheid is om toestemming te verlenen en omdat de betrokken zorgprofessionals niet altijd de tijd hebben om gegevens met elkaar uit te wisselen. Snelheid in het beschikbaar hebben van de patiëntsituatie is in dergelijke situaties juist van belang voor goede zorg.

Vraag 7 Heeft u een inschatting gemaakt hoeveel van de acht miljoen mensen, wiens medische gegevens nu voor elke zorgverlener van Nederland in te zien zijn, hun huisarts gaan bellen om de veronderstelde, maar nooit gegeven goedkeuring voor deze inzage in te trekken? Wat voor belasting zou dat geven bij de huisartsen?

Antwoord 7

Gezien de bijzondere situatie en de getroffen mitigerende maatregelen om misbruik tegen te gaan, verwachten we niet dat veel patiënten hun goedkeu-ring voor inzage gaan intrekken en zal de belasting daarmee dus beperkt blijven. Ik weet niet hoeveel mensen in de huidige situatie een opt-out hebben geregistreerd en kan en mag dat ook niet weten want dit is onderdeel van de registraties van de afzonderlijke huisartsen en privacygevoelige informatie.

Vraag 8 Klopt het dat de elektronische uitwisseling van medische gegevens vrijwel altijd via het Landelijk Schakelpunt verloopt?

Antwoord 8

Nee integendeel. Het merendeel loopt niet via het Landelijk Schakelpunt (LSP) maar via allerlei andere kanalen en systemen. De meeste uitwisseling in de zorg gebeurt door het actief meesturen van gegevens met de patiënt zoals bij een verwijzing, een consultatie, een ontslagbrief of het uitschrijven van een recept.

Vraag 9 Klopt het dat het Landelijk Schakelpunt in beheer is bij een Amerikaans bedrijf dat onder de Amerikaanse wet verplicht kan worden medische gegevens in haar beheer (zoals de Nederlandse) over te dragen aan (of door te geleiden naar) de Amerikaanse autoriteiten en dat het bedrijf verplicht is daarover te zwijgen? Acht u dat wenselijk?

Antwoord 9

De beheerder van het Landelijk Schakelpunt is VZVZ Servicecentrum, de uitvoeringsorganisatie van de Nederlandse vereniging VZVZ. Deze heeft mij bij navraag laten weten dat het technisch onderhoud onder andere is ondergebracht bij een Nederlands bedrijf met een Amerikaanse moedermaat-schappij. Met deze organisatie is overeengekomen dat zij handelen volgens Nederlandse wetgeving en dat die prevaleert boven Amerikaanse wetgeving.

Vraag 10 Blijft de corona-opt-in of veronderstelde toestemming staan na de coronacrisis? Zo nee, hoe kunt u dat garanderen?

Antwoord 10

De corona opt-in is alleen bedoeld voor zorgverleners betrokken bij de behandeling van COVID-19-patiënten, of wanneer de gegevens noodzakelijk zijn voor het beoordelen van patiënten met mogelijke COVID-19-verschijnselen. Het gaat om een tijdelijke maatregel gedurende deze coronacrisis. De duur is in ieder geval tot 1 juni 2020 dan wel zolang er maatregelen van kracht zijn om het coronavirus onder controle te krijgen. De terugkeer naar de normaaltoestand blijft het uitgangspunt en technisch is voorzien dat de corona-opt-ins dan direct kunnen worden verwijderd.

Vraag 11 Kunt u in ieder geval nog de garantie geven dat alle crisismaatregelen die ingrijpen op het recht op privacy, na de crisis worden teruggedraaid?

Antwoord 11

Ik kan spreken voor de maatregelen die ik zelf neem of initieer. Bij het nemen van die maatregelen is er altijd oog voor de rechten van burgers en die rechten worden zo goed mogelijk gewogen en geborgd. Zo is de corona-opt-in ook in nauwe afstemming met de Autoriteit Persoonsgegevens tot stand gekomen om een gedragen afweging te kunnen maken ten aanzien van het recht op privacy. Uitgangspunt van deze maatregelen is dat ze tijdelijk zijn, dat is inherent aan het doel namelijk de bestrijding van de huidige crisis.