Ook na aanpassing Wiv blijft inbreuk in medische datasystemen mogelijk
Afgelopen dinsdag 10 april 2018 discussieerde de Tweede kamer over de reactie van het kabinet op de uitslag van het raadgevend referendum over de Wet op de inlichtingen- en veiligheidsdiensten(Wiv2017). Het debat leverde nu niet bepaald een enorm vuurwerk op. Dat zou je wel verwachten bij de zeer magere, en waarschijnlijke vooraf al ingecalculeerde aanpassingen die kabinet in de brief met de reactie ventileerde. De beloofde aanpassingen, nieuwe beleidsregels genoemd, betreffen enkele cosmetisch ingrepen, die de wet eigenlijk niet echt veranderen. In de “waarborgen in de uitvoeringspraktijk” komt in punt 5 de omgang met medische gegevens ter sprake. Op dat punt is helemaal niets gewijzigd en komt het kabinet met een uitleg die gerichte inzage in medische datasystemen niet uitsluit. Men komt met een uitleg over het verwerken van medische gegevens die in de aanloop naar het referendum al vaker te horen was. Dat kwam dan uit de mond van bewindslieden en (oud)hoofden van AIVD en MIVD. Ondanks de geruststellend bedoelde formulering in punt 5 is er nog steeds met de Wiv2017 een duidelijk koerswijziging ingezet, namelijk het in principe legaal kunnen binnendringen in medische data(transport)systemen. Ik schreef over dit onderwerp een vijftal stukken. Zie voor de link ernaar aan het einde van dit artikel.
Wat zegt het kabinet?
In de brief aan de Tweede Kamer zegt het kabinet:
- Omgang medische gegevens
De Wiv2017 (artikel 19) kent een bijzondere status toe aan de verwerking van medische gegevens. De verwerking van persoonsgegevens wegens iemands godsdienst of levensovertuiging, ras, lidmaatschap van een vakvereniging, gezondheid en seksuele leven vindt niet plaats. Dit kan alleen in aanvulling op de verwerking van andere gegevens, dus als iemand onderwerp is van lopend onderzoek en de medische gegevens het sluitstuk vormen op de informatie die de diensten nodig hebben om een dreiging goed in beeld te brengen. Dit geldt dus ook voor de eventuele verwerking van medische gegevens uit de dataset verkregen door onderzoeksopdracht gerichte (OOG)-interceptie op de kabel. Indien de diensten op medische gegevens stuiten die zij niet mogen inzien, zullen zij deze direct verwijderen. De CTIVD houdt toezicht of de diensten niet ten onrechte medische gegevens verwerken en rapporteert hierover aan de Tweede Kamer.
Wat staat hier?
Ogenschijnlijk lijkt het heel mooi dat gesteld wordt dat gegevens over iemands gezondheid niet verwerkt worden. Om daar dan in de volgende zin meteen aan toe te voegen dat het wel mag in aanvulling op de verwerking van andere gegevens en de medische data als sluitstuk dienen op informatie die de diensten nodig hebben om een dreiging goed in beeld te brengen. Men doelt dan niet uitsluitend op medische data die in het kader van een OOG-interceptie verkregen zijn. De bevoegdheid om gericht aan die aanvullende data te komen ontlenen de diensten, met de Wiv 2017 in de hand, aan artikel 45 daarvan. Daarin staat dat het mogelijk is dat de diensten gericht data(transport)systemen mogen binnendringen zonder dat daarbij een uitzondering vermeld is voor medische data(transport)systemen. Gericht hacken en zoeken in medische data- en datatransportsystemen is wel degelijk gepermitteerd met de wet.
Medisch beroepsgeheim
Er zijn mensen die zeggen, dat je je niet druk moet maken over de theoretische mogelijkheid dat een dienst medische data gericht gaat zoeken en daarvoor medische systemen doorzoekt. Het gaat daarbij om het van staatswege bewust doorbreken van het medisch beroepsgeheim. Aan zeer veel kanten staat het medisch beroepsgeheim onder druk door toedoen van de landelijke, maar ook de lokale overheid. Ik hoef daar alleen maar de perikelen rond de jeugdzorg onder de aandacht te brengen, waar wijkteams en andere overleggroepen over medische data wensen te beschikken zonder dat meerdere deelnemers gebonden zijn aan een beroepsgeheim. Daarbij komen medische data ook wel onder ogen van onbevoegden bij die overheden. Ook bij zorgverzekeraars spelen (dreigende) inbreuken op het medisch beroepsgeheim,.
Elke aantasting is er één
Juist omdat het medisch beroepsgeheim aan veel kanten onder druk staat, is het van belang om elke keer als dat dreigt te gaan gebeuren aan de bel te trekken. Zeker nu het met wetgeving rond de diensten een principiële discussie betreft. Door de Wiv2017 gaat het daarbij om het legaliseren van mogelijke inbreuken door het niet noteren van beperkingen in de wet ten aanzien van medische data. Groen Links deed nog een halfhartige poging om het medisch beroepsgeheim in de aanpassing van de Wiv gegarandeerd te krijgen, maar liet het hoofd snel hangen.
Het is ook weer jammer om te constateren dat ook nu weer de Koninklijke Nederlandse Maatschappij ter bevordering van de Geneeskunst(KNMG) publiekelijk niets van zich liet horen tussen het bekend worden van de referendumuitslag en het Kamerdebat. Weer een gemiste kans dus. De KNMG dient zich ten allen tijde publiekelijk als bewaker van het medisch beroepsgeheim op te stellen en niet halfhartig te opereren.
W.J. Jongejan
5 oktober 2017: Referendum sleepwet noodzakelijk i.v.m. aantasting medisch beroepsgeheim
8 oktober 2017: KNMG en LHV beseffen nu pas impact sleepwet op medisch beroepsgeheim
22 januari 2018: KNMG probeert alsnog patiëntdata beschermd te krijgen in kader van sleepwet
7 februari 2018: Flink geschut in stelling pro sleepwet. Serieuze opmaat naar referendum
23 maart 2018: Nasleep sleepwetreferendum meeslepend met onverwachte wendingen
De zorgICT staat onder zware druk.
Ik moet constateren dat medische communicatie en medische zorgICT-systemen nog immer gehackt kunnen worden.
Het medische beroepsgeheim is NIET gewaarborgd.
Artsen kunnen zich niet aan hun beroepseed houden.
Als arts ben ik van mening dat ik in gewetensnood kom wanneer ik gebruik zou maken van ICT-systemen voor de opslag en communicatie van patiëntengegevens. Moeten we weer terug naar papier? Dat is beter beveiligd tegen hacken dan elektronische communicatie en opslag systemen.
De KNMG is het niet gelukt het beroepsgeheim te borgen.
Ze hebben te weinig, te laat, gedaan.
Is de KNMG nog immer DE beste bewaker van het medische beroepsgeheim?
Is een beroep op een uitspraak van een rechter de enige weg die bewandeld kan worden.
Gaat de KNMG dat doen?