Minister Sterk schrijft evident onwaarheid over zorgdata-communicatie

U bevindt zich hier: / / / Minister Sterk schrijft evident onwaarheid over zorgdata-communicatie
Print 🖨 PDF 📄 eBook 📱

minister

Minister Sterk schrijft evident onwaarheid over zorgdata-communicatie

In een Kamerbrief, gedateerd 17 juni 2026, gaat minister Sterk van het ministerie van VWS in op een indringende brief die de organisatie Privacy First haar stuurde. Dat gebeurde naar aanleiding van een commissiedebat op 21 mei 2026. Privacy First schreef een indringend stuk ter voorbereiding van die commissievergadering aan VWS. Ook de Stichting KDVP, Platform Burgerrechten, Stichting Decozo en Spidz, schreven indringende ingezonden stukken maar die vermeldt de minister (bewust) niet. Dat ondanks het feit dat de vijf organisaties voor de commissievergadering gezamenlijk naar buiten traden door de commissie met een verklaring te benaderen. Privacy First waarschuwde ervoor dat de beoogde datacommunicatie-structuur een one-stop-shop voor hackers vormt vanwege grootschalig gecentraliseerde voorzieningen. De minister spreekt dat ten onrechte tegen.

Landelijk Dekkende Zorgnetwerk

In de bezwaren van de genoemde organisaties staat voorop dat met het beleid van aan elkaar gekoppelde centrale systemen er sprake is van het ongericht beschikbaar stellen van gegevens. Waardoor een verzameling van patiëntgegevens breed raadpleegbaar wordt gemaakt voor grote groepen zorgverleners, zonder dat op voorhand bekend is voor wie precies.  De ongerichte methode is in elke situatie toepasbaar, maar vereist een complexe, grootschalige implementatie. Door de grootschalige systemen, gekoppeld in een landelijk Dekkend Zorgnetwerk, zoals VWS dat noemt, is, de kans dat er een hack van die systemen plaatsvindt niet ondenkbaar. Dan is er sprake van een, zoals Privacy First dat noemt een one-stop-shop.

Wat schrijft minister Sterk?

“Privacy First schetst het risico dat grootschalige gecentraliseerde voorzieningen zouden leiden tot een aantrekkelijk doelwit voor hackers, waarbij feitelijk “alles van iedereen” potentieel toegankelijk zou worden. Dat beeld herken ik niet. Het Landelijk Dekkend Netwerk (LDN) is geen centrale databank en ook geen voorziening waarin medische gegevens van alle Nederlanders worden samengebracht. Medische gegevens blijven in beginsel bij de bron: bij de zorgaanbieder of organisatie waar de data is geregistreerd en waar de data onder verantwoordelijkheid van de bronhouder worden beheerd. Het LDN is bedoeld om, op basis van een landelijk afsprakenstelsel (LAS) en gecontroleerde toegang en inzage (de generieke functies), mogelijk te maken dat gegevens uit die verschillende bronnen beschikbaar kunnen komen wanneer dat noodzakelijk is binnen het zorgproces.“

En vervolgt:

“Daarmee wordt het door Privacy First geschetste beeld van een “one-stop-shop” voor hackers niet onderschreven. Een aanval op een functie of voorziening binnen het stelsel betekent niet dat alle medische gegevens van alle burgers op één plek beschikbaar zijn. Doordat gegevens bij de bron blijven, onder verantwoordelijkheid van de bronhouder worden beheerd én toegang via landelijke afspraken en generieke functies wordt begrensd, gecontroleerd, en herleidbaar gemaakt, ontstaat een gelaagde beveiligingsstructuur.”

Sterk gaat voorbij aan essentie

Minister Sterk schetst een beeld van data die “veilig” bij de bron staan, bij de zorgverlener. Daarnaast zouden de centrale systemen, gekoppeld in het LDN, alleen maar af en toe de data van hot naar her transporteren. Zij gaat volledig voorbij aan de mogelijkheid, die gezien de recente hacks van zorgdata niet onmogelijk te noemen is, dat hackers zich toegang verschaffen tot één van de centrale systemen, zoals het Landelijk SchakelPunt(LSP). Om daarna als er zorgdata het LSP na een opvraag door een zorgverlener het LSP passeren deze dan te kopiëren en te stelen. Dan zijn niet alle gegevens van alle patiënten beschikbaar maar wel veel.

Dat wringt des te meer omdat onomstreden is dat zorgdata in het LSP kortdurend onversleuteld(artikel uit 2015) aanwezig zijn. Daarnaast is het denkbaar, dat eenmaal genesteld in een systeem als het LSP, hackers aanvragen kunnen simuleren en vervolgens in bulk data oogsten. Hackers kunnen eventueel van het ene centrale systeem in een ander gekoppeld centraal systeem Mitz bijvoorbeeld doorstoten.

Minister benoemt één centrale database niet

In de huidige constructie het beoogde LDN  bevinden zich in geen centraal systeem op enig moment alle zorgdata van alle patiënten. De minister vermeldt niet dat er in Mitz een database bestaat die wel uiterst gevoelige zorgdata van alle burgers bevat. Het gaat om de lokalisatie-index die een onderdeel is van de online toestemmingsvoorziening Mitz. Hierin staat een landelijke database die bevat wie bij welke zorgverlener onder behandeling is/was.

Twee kluizen

In het Mitz-systeem bevonden zich twee datakluizen.

Kluis 1 waarin als een zorgverlener aansluit op Mitz de BSN-nummers van alle patiënten van een zorgverlener verplicht terecht komen plus de unieke zorgverlenerscode van de zorgverlener. Daardoor ontstaat als steeds meer zorgverleners verleid worden om een koppeling met Mitz te maken, een database met daarin van alle Nederlanders het BSN-nummer plus de zorgverlener en het type zorgverlener waar de patiënt onder behandeling is. In kluis 2 komt de toestemming te staan die een patiënt aan Mitz doorgeeft om zijn/haar zorgdata opvraagbaar te maken voor andere zorgverleners. Als in kluis 2 een toestemming komt ,dan kan kluis 1 geopend worden om te zien waar zorgdata opvraagbaar zijn en kan een andere zorgverlener die data opvragen  .

Vuige juridisch truc

Organisatorisch en fysiek valt die kluis 1 onder de organisatie Mitz, onderdeel van de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ). Door die kluis 1 juridisch te bestempelen als een extensie van het zorgverleners informatiesysteem, stelt Mitz/VZVZ dat die kluis een uitbreiding van het zorgverlenersinformatiesysteem is. Echter de genoemde kluis 1 valt onder de governance van Mitz/VZVZ waarbij de zorgverlener via een Stichting Gemeenschappelijke Voorzieningen voor zorgcommunicatie maar zeer beperkt iets in de melk te brokkelen heeft. Dit kan ik niet anders noemen dan een vuige, discutabele, juridische truc. Waar de Autoriteit Persoonsgegevens overigens niet tegen optreedt. Deze doet haar afkorting daarmee eer aan AP=Alles Prima.

Kwetsbare structuren

In haar antwoord stelt de minister het voor dat een hack van een centrale structuur in het beoogde Landelijk Dekkend netwerk maar een zeer beperkte schade oplevert voor de burgers qua zorgdata-expositie. Daarnaast doet zij het voorkomen dat de centrale structuren zelf geen zorgdata bevatten, terwijl dat voor de lokalisatie-index binnen Mitz toch wel degelijk het geval is.

Ik kan niet anders concluderen dan dat ze de waarheid niet spreekt maar met een omhaal van woorden er omheen fietst.

W.J. Jongejan, 23 juni 2026

Afbeelding van jacqueline macou via Pixabay

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie gegevens worden verwerkt.

Vernietigend oordeel over miljarden kostend ICT-beleid VWS