VWS: EPD niet veilig door Patriot Act

0
548

Vandaag verscheen de nota naar aanleiding van het verslag bij Wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens. Hieruit komt naar voren dat het uitwisselen van elektronische patiëntendossiers  een risico is, omdat hetLandelijk Schakelpunt door een bedrijf met banden met de Verenigde Staten is opgezet. Dat blijkt uit een nota van minister Edith Schippers van Volksgezondheid, zo de schrijft de minister van VWS in een nota. Als zorginstellingen voor het opzetten of beheren van een elektronisch uitwisselingssysteem in zee gaan met een bedrijf met een basis in de VS, moeten zich bewust zijn van de risico’s. In dat geval kan een bedrijf namelijk onder de omstreden Patriot Act-wetgeving worden gedwongen om informatie te overhandigen, zo schreef ook De Telegraaf eerder op woensdag. De Patriot Act geldt zowel voor van origine Amerikaanse bedrijven als buitenlandse bedrijven met een vestiging binnen de Verenigde Staten. Met deze uitspraak heeft de minister eigenlijk het doodvonnis van een L-EPD via het LSP getekend.

privacy-1De minister vindt dat bij elektronische uitwisseling van gegevens de veiligheid van groot belang is. Niet alleen de vertrouwelijkheid van de gegevens maar ook de privacy van de patie?nt vragen om een goede bescherming van de elektronische gegevensuitwisseling. Een verantwoordelijke (beheerder) ongeacht welk systeem wordt gebruikt, ervoor zorg moet dragen dat de uitwisseling veilig is en voldoet aan de Wet bescherming persoonsgegevens (Wbp).

Het LSP wordt beheerd door CSC, een Amerikaans bedrijf. De waarschuwing dat de Amerikaanse overheid daardoor in de gegevens van Nederlandse patiënten kan en mag neuzen werd al eerder gegeven, en in haar brief aan de Kamer benadrukt minister Schippers dat er goede afspraken moeten worden gemaakt.Alleen gaat de minister niet in op het feit of deze afspraken in de VS ook bindend zijn en in hoeverre CSC ongezien data zou kunnen benaderen en eventueel aan de Amerikaanse overheid door te spelen. Het naken van afspraken lijkt in dit kader weinig zin te hebben. Als de Amerikaanse overheid gegevens opvraagt op grond van de Patriot Act wordt dat gecombineerd met een geheimhoudingsverplichting, schreef het College bescherming persoonsgegevens in een brief uit april, die vorige week pas is gepubliceerd, zo meldt Tweakers Het VZVZ, CBP en de zorginstellingen, die verantwoordelijk zijn voor het EPD, zullen daarom nooit te weten komen of er überhaupt zorggegevens worden opgevraagd.

Algemene Verordening gegevensbescherming
Betreffende het vraagstuk van de Patriot Act wordt er in Brussel onderhandeld over een Algemene verordening gegevensbescherming. Deze verordening zal een nieuw kader bevatten voor grensoverschrijdende doorgifte van persoonsgegevens. Daarbij wordt ook aandacht geschonken aan doorgifte van gegevens op grond van eenzijdige verplichtingen op basis van buitenlands recht van derde staten. De Europese Commissie gaat ervan uit dat een redelijk evenwicht is te bieden tussen de dilemma’s waarin bedrijven zich soms kunnen bevinden en de bescherming van persoonsgegevens.

Het onderzoek van het CBP naar privacybescherming in de zorg waar meerdere fracties aan refereren is gericht op de toegangsbeveiliging van interne systemen en niet op elektronische uitwisselingssystemen. De onderzochte zorginstellingen hebben afspraken gemaakt met het CBP om de wijze van toegangsverlening voor medewerkers tot patie?ntendossiers en de controle op die toegang te verbeteren. Als het CBP constateert dat de instellingen de overtredingen niet bee?indigen, zal het CBP handhavend optreden.

Of het CBP in een specifieke situatie capaciteit inzet voor het toezicht op het elektronisch uitwisselen van medische gegevens, bepaalt het CBP aan de hand van prioriteringscriteria. De prioriteringscriteria zijn erop gericht om de capaciteit van het CBP zo efficie?nt en effectief mogelijk in te zetten. In de Beleidsregels handhaving door het CBP heeft het CBP deze prioriteringscriteria vastgesteld en heeft het keuzes in het toezicht inzichtelijk gemaakt.

Rechten die patie?nten
De rechten die patie?nten hebben op basis van de huidige wet- en regelgeving (de Wbp en de WGBO) gelden ook voor elektronische gegevensuitwisseling. Zo heeft de patie?nt ook zonder dat er sprake is van elektronische gegevensuitwisseling het recht zijn zorgverlener te vragen bepaalde gegevens te verwijderen of af te schermen voor inzage. Wat betreft het geven van toestemming voor het beschikbaar stellen van gegevens biedt het genoemde wetsvoorstel de clie?nt de mogelijkheid generieke, beperkte of geen toestemming te verlenen om zijn gegevens beschikbaar te stellen via een elektronisch uitwisselingssysteem. In geval van generieke toestemming, verleent de clie?nt toestemming voor het elektronisch ter beschikking stellen van zijn gegevens aan zijn behandelend zorgaanbieder en alle andere zorgaanbieders die zijn aangesloten op het elektronisch uitwisselingssysteem en waarmee deze clie?nt nu of in de toekomst een behandelrelatie heeft. Als de clie?nt geen toestemming geeft, is elektronische uitwisseling van zijn gegevens in zijn geheel niet mogelijk. Daar tussenin geeft het wetsvoorstel in artikel 15a, tweede lid Wbsn-z, de mogelijkheid om de toestemming te beperken tot bepaalde (categoriee?n van) zorgaanbieders.

Belangrijk is dat de zorgaanbieder die een clie?nt om toestemming vraagt, op grond van het voorgestelde artikel 15c, eerste lid Wbsn-z, de clie?nt informatie geeft over zijn rechten bij de elektronische gegevensuitwisseling waarvoor toestemming wordt gevraagd.

Welke vorm van encryptie de VZVZ gebruikt is daarnaast niet bekend bij de minister.

Aangesloten huisartsenpraktijken huisartsenpraktijken) Aangesloten apotheken apotheken)

Aangesloten huisartsenposten huisartsenposten) Aangesloten ziekenhuizen ziekenhuizen)
2.749 (67% van het totaal aantal 1.507 (75% van het totaal aantal 103 (80% van het totaal aantal 17 (19% van het totaal aantal

Het LSP bevat alleen een BSN van de patie?nt en geen dossiers. Op dit moment zijn er ongeveer 856.059 huisartsgegevens raadpleegbaar en 450.590 medicatiegegevens.

In totaal hebben 1.156.010 burgers toestemming gegeven aan hun huisarts en/of apotheker om deze gegevens beschikbaar te stellen.

Bron: VWS en Tweakers

Vorig artikelZiekenhuis en huisartsen werken samen in Leusden
Volgend artikelInnovatieve behandelingen psychische problemen via smartphones
Ik heb mij gespecialiseerd in interactief nieuws voor zorgverleners, zodat zorgverleners elke dag weer op de hoogte zijn van het nieuws wat voor hen relevant kan zijn. Zowel lekennieuws als nieuws specifiek voor zorgverleners en voorschrijvers. Social Media, Womens Health, Patient advocacy, patient empowerment, personalized medicine & Zorg2.0 zijn voor mij speerpunten om extra aandacht aan te besteden. Ik studeerde Fysiotherapie en Health Care bedrijfskunde. Ik heb veel ervaring in diverse functies in de medische- , farmaceutische industrie en de gezondheidszorg. En heb brede medische kennis van de meeste specialismen in de zorg. Ik ga jaarlijk naar de meeste toonaangevende medisch congressen in Europa en Amerika om mijn kennis up-to-date te houden en bij te blijven op de laatste ontwikkelingen en innovaties De berichten van mij op deze weblog vormen geen afspiegeling van strategie, beleid of richting van een werkgever noch zijn het werkzaamheden van of voor een opdrachtgever of werkgever.