MEDINT: laakbaar gebruik van medische gegevens
Afgelopen week vestigde de oud-directeur van de Militaire Inlichtingen en Veiligheidsdienst(MIVD) Pieter Cobelens luidruchtig in het programma Pauw de aandacht op de grote interesse, die onze veiligheidsdiensten hebben voor allerlei grote databestanden, ook voor elektronische patiëntendossiers. Het geeft aan hoeveel interesse inlichtingendiensten hebben in medische gegevens ongeacht de gevolgen die inbreuken in het medische beroepsgeheim hebben. Naar aanleiding van enkele artikelen op het internet ga ik nader in op het begrip MEDINT.
Soorten intelligence
De inlichtingenwereld kent dezer dagen een breed scala aan methoden om legaal of illegaal aan data te komen. De Amerikanen zijn dol op afkortingen, dus ook hierbij. Zo zijn er (bron: Wikipedia, lemma: Geheime dienst):
- OSINT (Open Source Intelligence): inlichtingen uit openbare bronnen
- HUMINT (Human Intelligence): inlichtingen uit menselijke bronnen (“spionnen”)
- SIGINT (Signals Intelligence): inlichtingen uit elektronische signalen (“afluisteren”)
- IMINT (Imagery Intelligence): inlichtingen uit luchtfoto’s en satellietbeelden
- GEOINT (Geospatial Intelligence): inlichtingen uit verschillende bronnen gepresenteerd op landkaarten
- CLASSINT (Classified information Intelligence): inlichtingen uit geclassificeerde informatie van partnerdiensten
- MEDINT (Medical Intelligence): inlichtingen op medisch gebied
- FININT (Financial Intelligence): inlichtingen uit financiële bronnen
- TRAVINT (Travel Intelligence): inlichtingen uit reisgegevens
EPD’s
In het tijdperk van de papieren patiëntdossiers was het Nederland voor de inlichtingendiensten tamelijk moeilijk en bewerkelijk om aan medische gegevens te komen, zo ze er al aan konden komen. Met het verschijnen van de elektronische patiëntendossiers(EPD’S) ontstond de technische mogelijkheid om dergelijke gegevensverzamelingen via al dan niet slinkse wegen eventueel te kunnen benaderen. Het makkelijkst is dat bij gebruik van een centrale computer, het Landelijk SchakelPunt(LSP), waar de medische data bovendien korte tijd onversleuteld in dat systeem aanwezig zijn. De poging van de oud-directeur van de MIVD om dergelijk acties doodgewoon te doen lijken moet dan ook gezien worden als een poging de inzage legaal te doen maken.
USA
In de USA is het gebruik maken van informatie uit medische dossiers van burgers aldaar door inlichtingendiensten via wetgeving min of meer gelegaliseerd. Daarbij kan gebruik gemaakt worden van een tweetal reguleringen: The Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule daterend uit 2003 en de Patriot Act(Public Law 107-56) of voluit de Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act uit 2001.
Beide wetten maken het mogelijk medische data te “oogsten”. Bij de eerste wet is het nog mogelijk als burger navraag te doen naar het opvragen van die data. De Patriot Act echter verbiedt iedereen die gedwongen is met deze wet in de hand om data te overhandigen, daar melding van te maken.
De HIPAA kent een uitzondering(de zogenaamde “national security exception”), die de dokters en ziekenhuizen toestemming geeft om medische gegevens te verstrekken aan daartoe geautoriseerde federale ambtsdragers(inlichtingendiensten, NSA etc). Het wordt de patiënt wel ergens op papier of elektronisch getoond dat zoiets kan gebeuren op het moment dat iemand voor het eerst als patiënt geregistreerd wordt. Het zal net zo zijn als met de lappen tekst die bij het gebruik van software voorgeschoteld worden voor men software installeert: de zog. End User Licence Agreement. Formeel is het gemeld, maar niemand ziet het.
De Patriot Act zit wat het verkrijgen van medisch informatie wat anders in elkaar. Daar is het sectie 215 van deze wet die het mogelijk maakt om met een gerechtelijk bevel(niet openbaar van een speciale rechtbank) inzage af te dwingen. Zie daarvoor de tekst in artikel a sub3 in deze link.
Deze informatie is nog uitgebreider te lezen op de website van de Electronic Frontier Foundation (https://www.eff.org/issues/national-security-and-medical-information) waar bovenstaande informatie van afkomstig is.
Vergaand
In juni 2015 publiceerde Wayne Madsen in de USA een artikel op de website van de Strategic Culture Foundation met de kop “ NSA makes medical intelligence operations a priority”. Het artikel is gebaseerd op informatie van Edward Snowden over de MEDINT-activiteiten van de National Security Agency(NSA). Deze dienst blijkt medische informatie te misbruiken om patiënten op te sporen of te vermoorden. Wayne Madsen concludeert dat de NSA op een hellend vlak bezig is met betrekking tot het naleven van de privacy- en gegevens-beschermings-regels van tientallen landen, alsmede internationale wetgeving inzake mensenrechten en oorlogsvoering. Hij vemeldt ook de betrokkenheid van de Britse diensten: GCHQ(Government Communications Headquarters) en MI-6(Military Intelligence, Section 6), de Britse buitenlandse inlichtingendienst).
Wat men in het kader van de MEDINT doet is: het extraheren uit de data van het patroon van leven van iemand. Het gaat om de identificatie van alle terugkerende, en dus voorspelbare, gedragingen die voortvloeien uit het behandelregime van een doelwit door diens medische aandoening: medicatie, medische tests, chirurgische behandelingen, het ziekenhuis- en doktersbezoek. (citaat artikel Wayne Madsen).
Bij het opsporen van Osama bin Laden werd op aandringen van de veiligheidsdiensten de Pakistaanse arts Shakil Afridi bereid gevonden een nep-hepatitisvaccinatieprogramma op te zetten om DNA te verkrijgen van kinderen van Osama die bij hem in diens vermoedelijke verblijfplaats woonden. Dat mislukte, maar de regering van Pakistan kwam er achter, waarop Afridi eerst tot 33 jaar celstraf, later tot 23 jaar veroordeeld werd.
Het verkrijgen van DNA in het kader van MEDINT gaat voor de USA nog veel verder. In het hetzelfde artikel van Wayne Madsen is te lezen dat het DNA verzameld wordt van regeringsleiders, hooggeplaatste VN-personeel en VN-diplomaten, naast de leiding van de OESO(Organisatie voor Economische Samenwerking en Ontwikkeling) , IAEA(International Atomic Energy Agency) en de WHO(World Health Organization)
Wayne Madsen besluit zijn artikel met de opmerking:
“It is abundantly clear from the Snowden revelations and the State Department classified cables allegedly supplied by Bradley, now Chelsea, Manning that the U.S. intelligence community has embarked on a dangerous program of using medical intelligence to assassinate HVIs, or «high-value individuals”
Onwenselijkheid
Uit het bovenstaande moge duidelijk zijn dat MEDINT bestaat. Wat ervan bekend is, maakt duidellijk dat het meewerken aan dergelijke inspanningen van inlichtingendiensten in Nederland uiterst onwenselijk en laakbaar is. Het gaat dus ook niet aan dat onze eigen inlichtingendiensten pogingen in het werk stellen om elektronische patiëntendossiers te willen en mogen inzien en de data te gebruiken voor non-descripte acties. Een land verliest zijn geloofwaardigheid als vrije natie als dergelijke activiteiten gesanctioneerd zouden worden door de politiek, zoals eerder wel gebeurde in de USA.
W.J. Jongejan
Vraagje?
Geldt ook voor laakbaar gebruik van medische gegevens door Inlichtings- en Veiligheidsdiensten per 1-1-2016 de meldplicht aan Het College Bescherming persoonsgegevens (CPB), wanneer digitale informatie met persoonsgegevens ongewenst dus buiten de organisatie terechtkomt?
M.vr.gr.
W. van Gurp
Indien een arts merkt dat er buiten zijn wil/medeweten medische data buiten zijn praktijksysteem/zeggenschap gekomen, zijn zal hij dit met de huidige regeling over datalekken aan het CBP moeten melden. Gebeurt het met gebruikmaking van de Patriot Act via een Amerikaanse leverancier met een Europese vestiging dan zal u over het algemeen er niets van merken omdat de wijze van inbreken niet geopenbaard mag worden door degene die het uitvoert. Is het u duidelijk dat er data gelekt zijn en ontkennen softwareleverancier, netwerkbeheerder en LSP-verantwoordelijke VZVZ glashard dan zal het verstandig zijn dat ook aan het CBP te melden. Vermoedelijk zal het CBP daar niets mee doen omdat het ondanks het feit dat het een zelfstandig bestuursorgaan is, toch wel geheime overheidsdienstactiviteiten stilzwijgend zal toestaan.