Met regelmaat zien we communicatie vanuit VZVZ, VWS, of koepelorganisaties van artsen of apothekers die suggereren dat het LSP een prima idee is. We verzamelden een aantal van deze argumenten en plaatsen deze in perspectief.
In het LSP moet, inderdaad, bij elke zorgverlener apart toestemming worden gegeven voor het ontsluiten van gegevens. Nadat deze toestemming is gegeven, is echter op geen enkele manier beperkt welke zorgverleners — en dit kunnen er veel worden — uw gegevens nu of in de toekomst kunnen opvragen. Deze informatie is opvraagbaar zonder dat uw arts – en dus ook, uzelf – daar nog directe controle over hebben.
U geeft in feite één keer toestemming, om daarna nooit meer toestemming te kunnen geven. Niet specifiek dus.
Op pagina 4 staat wie er nu bij de gegevens kunnen:
Als u het woordje “alleen” wegdenkt, wat dan? Er zijn duizenden medisch specialisten in Nederland. En waar het ziekenhuizen/specialisten betreft, kunnen ook hun medewerkers straks toegang krijgen. “Alleen”? Heel veel dus.
En kunnen in de toekomst nog meer zorgverleners uw medische gegevens inzien? Bovenaan pagina 8 staat:
VZVZ geeft dus aan: allerhande toekomstige uitbreidingen zijn mogelijk, en een aantal daarvan staat zelfs al gepland. U moet zichzelf abonneren op een e-mail service om over uitbreidingen van het systeem geïnformeerd te worden. Reken er dus maar op dat een aantal uitbreidingen zullen plaatsvinden, zonder dat u dat weet. Het gaat hier dus duidelijk om generieke toestemming: onbepaald, ongericht, zonder duidelijk doel en duidelijke reikwijdte. Het is immers niet te zeggen (of zelfs te weten) wie in de toekomst uw gegevens kan inzien.
De conclusie: op termijn kunnen straks honderdduizenden BIG-geregistreerde zorgverleners met hun medewerkers, landelijk, toegang krijgen tot tenminste een deel van uw medische gegevens.
Dit betekent concreet voor u, dat u met de (generieke) toestemming die u voor het LSP geeft, niet kunt voorkomen dat gegevens die ooit beschikbaar gesteld zijn via het LSP, later alsnog op veel verschillende plekken in Nederland opvraagbaar zijn. Toegang tot en gebruik van gegevens is bovendien eenvoudig uitbreidbaar zonder dat u daar vanaf weet of invloed op heeft, waardoor risico’s van misbruik van die gegevens toenemen.
Wel wordt er gewerkt aan een centraal internetportaal waarmee u straks – zoals voorgeschreven door een nieuwe wet – “gespecificeerde toestemming” kunt geven. SpecifiekeToestemming heeft tegen deze wet campagne gevoerd, omdat we denken dat het een vrijwel onbegonnen taak is voor patiënten/burgers om zelf te bepalen wie toegang krijgt tot gegevens. En bovendien is de vraag wie aansprakelijk wordt als u het als burger verkeerd doet. Dáárom vinden we ook dat u gewoon van de zorgverlener zelf een vraag moet krijgen of uw gegevens met een andere zorgverlener uitgewisseld mogen worden. En niet dat u helemaal zelf verantwoordelijk wordt voor het regelen van toegang in de zorg.
Het eind van het liedje lijkt toch te zijn dat u zelf straks kunt “specificeren” dat iedereen toegang mag krijgen tot uw medische gegevens. En dan zijn we precies bij de situatie die de Eerste Kamer bij de afwijzing van de wet-EPD wilde voorkomen: iedereen krijgt toegang, en mensen die misbruik willen maken van uw gegevend dus ook. VZVZ stelt dan nog wel voor om u per SMS te informeren als iemand toegang heeft gevraagd tot uw dossier, maar op die dienst moet u zichzelf abonneren en dan nog – het is altijd achteraf. Bij een inbraak is het dan al te laat.
Met specifieke toestemming kan worden voorkomen dat zorgverleners toegang krijgen tot specifieke medische gegevens die er niets mee te maken hebben. – alleen diegenen die iets met uw gegevens te maken hebben krijgen toegang.
Met specifieke toestemming kunt u zelf bepalen welke en hoeveel zorgverleners toegang krijgen, en daarmee welke risico’s u wilt nemen. U bespreekt dat met uw zorgverlener. Zo beperkt u het aantal toegangspunten waarvandaan uw informatie beschikbaar is, en daarmee de risico’s op onrechtmatige inzage, samen met uw arts.
Conclusie: generieke toestemming ontneemt zowel u als uw arts de mogelijkheid om direct controle te houden op wie toegang tot gegevens krijgt.
Als het voor uw behandeling nuttig is, is de vraag om toegang tot bepaalde gegevens uit het dossier te geven (of om gegevens door te sturen) niet vreemd en alleen maar logisch. Het moet mogelijk zijn om gericht toegang te verlenen in situaties waarin dat nodig is. Als u wordt doorverwezen naar het ziekenhuis, de orthopeed of de fysiotherapeut, is het voor een zorgverlener heel eenvoudig om te vragen “mag ik deze gegevens doorzetten naar ziekenhuis Y? Het is belangrijke informatie voor de behandeling van uw knie.” Het moet mogelijk zijn om gericht informatie te delen in situaties waarin dat nodig is.
Wij willen dat het vragen van specifieke toestemming – net zoals het nu gaat – routine is en blijft. Generieke toestemming is wel vreemd om te vragen – dat is namelijk helemaal niet nodig.
Conclusie: specifieke toestemming moet werkbaar kunnen zijn in de zorg, omdat het past bij hoe zorgverleners nu al werken. Het lijkt alleen te ontbreken aan systemen die aansluiten bij deze manier van werken. Dit moet, als het aan Specifieke Toestemming ligt, veranderen.
Het lijkt ons echter dat er ook wel patiënten zullen zijn waarbij het nuttig is om gegevens te ontsluiten voor noodsituaties. Bijvoorbeeld wanneer zij veel soorten medicatie gebruiken die op zichzelf tot medische problemen kunnen leiden. Voor het ontsluiten van een “spoeddossier” kan echter gewoon specifieke toestemming worden gevraagd en gegeven. Dit is dan een gerichte toestemming voor het doel van toegang tot een kleine set van gegevens voor noodsituaties. Voor waarneming geldt iets soortgelijks – ook hier kan specifieke toestemming voor geregeld worden.
Het is dus niet nuttig of noodzakelijk om op basis van eenmalige toestemming voor alle patiënten behandelinformatie breed toegankelijk te maken voor spoed. Voor spoed lijkt helemaal geen generieke toestemming (zoals in het LSP ) nodig.
Net zoals een portaal voor “gespecificeerde toestemming” teveel buiten de zorg staat en de verantwoordelijkheid voor communicatie van gevoelige gegevens onnodig bij de patiënt legt, legt ook het zelf beheren van gegevens ook een te grote verantwoordelijkheid bij de patiënt, in de praktijk.
Als uw arts u laat opnemen in het ziekenhuis, moet hij de overdracht van de dan benodigde gegevens op dat moment – met expliciete of impliciete toestemming – kunnen regelen. De arts is in de meeste gevallen het beste op de hoogte welke informatie wanneer relevant is om uit te wisselen. De huisarts moet daarom – als het even kan mét u – kunnen regelen wie welke gegevens kan inzien.
Internetportalen voor het inzien van informatie, en toegangsprofielen voor het regelen van toegang tot die informatie, zijn een aanvulling op specifieke toestemming, maar geen vervanging daarvoor.
De arts en de apotheker zijn bij wet verplicht om een (professioneel) dossier bij te houden en, indien nodig, om gegevens uit te wisselen. Dáár ziet specifieke toestemming op toe. Wat een patiënt wil of kan regelen is mooi, maar geen vervanging voor een goede omgang met medische gegevens én met toestemming binnen de zorgverlening — wat vaak gebeurt op momenten dat de patiënt het zelf even niet kan, of niet wil regelen.
Specifieke toestemming is kortom nodig om te waarborgen dat u de zeggenschap – en uw arts controle – houdt over de ontsluiting van het professionele medische dossier. Dit staat los van of u zelf (ook) een eigen dossier beheert.