VWS spreekt onwaarheid over onlinetoestemmings-voorziening in wetsontwerp
Op 1 maart 2024 startte de overheid de internetconsultatieronde voor een nieuw wetsontwerp. Het gaat om het wetsontwerp Verzamelwet gegevensverwerking VWS III. Daarin probeert VWS voor een vijftal gegevensuitwisselingen in de zorg een wettelijk grondslag te fabriceren die er thans nog niet is. De internetconsultatieronde is verdacht kort, één maand. Meestal duren die consultaties twee maanden. De vijf onderwerpen betreffen de private online toestemmingsvoorziening(OTV) Mitz waarmee men het makkelijker wil maken zorgdata o.a. via het Landelijk SchakelPunt(LSP) uit te wisselen. Daarnaast gaat het om de uitwisseling van gegevens over de zorgtoeslag tussen de Dienst Toeslagen het Centraal Administratie Kantoor(CAK), het verduidelijken van het gebruik van declaratiedata op basis van de Zorgverzekeringswet voor bestaande taken van zorgverzekeraars, de gegevensuitwisseling met het Inlichtingenbureau (van de gemeenten) t.b.v. beleidsinformatie jeugd en maatschappelijke ondersteuning. Als laatste gaat het om gegevensuitwisseling voor een bloedtransplantatieregister. Ik zal mij beperken tot de onlinetoestemmingsvoorziening.
OTV de zorg in rommelen
Op 3 juli 2023 schreef ik al een artikel “OTV Mitz wordt langzaam de zorg in gerommeld”. Het vragen van toestemming vooraf om zorgdata beschikbaar te maken voor latere opvraag door zorgaanbieders levert problemen op. Als een patiënt/cliënt wil aangeven dat bepaalde categorieën van zorgaanbieders geen inzage mogen hebben dan zorgt dat bij gebruik van het LSP grote problemen. Op dat op te lossen heeft de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), als verantwoordelijke voor het LSP een private toestemmingsvoorziening bedacht, Mitz. Toestemmingen om zorgdata deelbaar te maken in de toekomst kan de patiënt/cliënt daarin volgens VZVZ kenbaar maken. Het ministerie van VWS wil nu met het wetsontwerp Verzamelwet gegevensverwerking VWS III een wettelijke grondslag creëren voor het verwerken van het BurgerServiceNummer\(BSN) door de beheerder van een OTV. Omdat het BSN een uniek identificerend persoonsnummer vormt wil VWS dat het private OTV Mitz dat ook als zodanig kan gebruiken.
VWS spreekt onwaarheid
In de memorie van toelichting bij de verzamelwet III geeft VWS in hoofdstuk 4.2 aan dat bij de OTV geen sprake is van het raken aan het medisch beroepsgeheim. Dat is absoluut onwaar. In het artikel dat ik op 3 juli 2023 publiceerde maakte ik duidelijk dat diverse onderdelen van de OTV Mitz wel degelijk medische informatie bevatten.
Hoe zat het ook al weer?
Mitz is namelijk niet één centraal systeem maar bestaat uit een drietal componenten. Dat zijn een centraal toestemmingsregister, een toestemmings-abonnementen-register en een toestemmingscatalogus. De toestemmingsapplicatie is de website waar patiënten rechtstreeks of vanuit een externe omgeving, zoals een patiëntportaal, laagdrempelig hun toestemmingskeuzes vastleggen.
De onderdelen hebben de volgende functies
- Het toestemmingsregister is de plek waar toestemmingskeuzes op een beveiligde manier worden opgeslagen en gecontroleerd kunnen worden.
- Het toestemmings-abonnementenregister bevat de abonnementen van zorgaanbieders op hun patiënt, zodat zij in kennis gesteld kunnen worden over wijzigingen in relevante toestemmingskeuzes
- De toestemmingscatalogus bevat de toestemmingsmogelijkheden . De patiënt geeft op een website aan- via een door VZVZ voor gedefinieerde set mogelijkheden (toestemmingscatalogus) – voor welke ‘groep zorgverleners’ hij/zij welke ‘set data wil delen’. VZVZ bepaalt hiermee feitelijk vooraf de mogelijkheden voor “de toestemmingsinhoud”. Hierdoor is het onmogelijk de inhoud flexibel in te richten naar gelang de context van zorg dit vereist.
Toestemmingsregister
Er speelt een heel principieel punt over medische gegevens. De toestemmingskeuze wordt opgeslagen in het toestemmingsregister: Hierin staan dus naast “ja/nee” voor het delen, ook gegevens over de patiënt (minimaal BSN, waarschijnlijk meer). Denkend aan het zorgproces gaat het dan om minimaal gegevens over het type zorg(bijv. huisartsgeneeskundige, psychiatrische etc) met een doelgegevens-set. Immers zorgverleners wijzen patiënten bij intake op de mogelijkheid (of wens) om gegevens te delen voor bijvoorbeeld een operatie of doorbehandeling. Dit betekent dat dit onderdeel van het register medische persoonsgegevens bevat, dus het medisch beroepsgeheim wel raakt.
Abonnementenregister
De verwerking van persoonsgegevens in het abonnementenregister is ook zeer problematisch. Om patiënten in het systeem vindbaar te maken, moet de zorgverlener, uiteraard met enige regelmaat, een lijst met alle patiënten uit diens patiëntenregistratie aanleveren bij Mitz. Weinig zorgaanbieders realiseren zich dat op dit moment. Ook dit register bevat per definitie medische persoonsgegevens, immers alleen al het type zorgverlener ligt daarin vast. Via het abonnementen-register krijgen zorgverleners ook notificaties van wijzigingen in toestemmingen van hun patiënt.
Complicerende verwerkingsverantwoordelijkheid
De beheerder van Mitz, VZVZ, is feitelijk de verwerker en verwerkingsverantwoordelijke voor het systeem, maar organiseert deze verantwoordelijkheid weg door zorgaanbieders gezamenlijk verantwoordelijk te maken. Dat staat ook nadrukkelijk in de privacyverklaring op de website Mijn Mitz.
Daarin staat:
“De zorgaanbieders zijn gezamenlijk verwerkingsverantwoordelijke voor Mitz. Hiervoor is een stichting opgericht (Stichting Gemeenschappelijke Voorzieningen voor Zorgcommunicatie).”
Zorgaanbieders kunnen echter nooit deze verantwoording op zich nemen gezien de complexiteit en grootschaligheid. VWS heeft ook wel door dat de verantwoordelijkheden bij het private OTV Mitz problemen kunnen geven. Men schrijft:
“De OTV is op dit moment door private partijen gerealiseerd. De overheid is niet betrokken bij de uitvoering. De overheid bepaalt ook niet de verwerkerslocatie en de technieken en methoden van de gegevensverwerkingen. De OTV-beheerder is hier zelf verantwoordelijk voor. Er wordt nog onderzocht of – en in hoeverre – de OTV publiek kan worden gemaakt.”
Erg vreemde governance
In een analyse getiteld “Naar een te verantwoorden, veilige en transparante gegevensuitwisseling in de zorg” door de informaticus Hugo de Vos van Vozwiz, gemaakt voor de stichting KDVP en het Platform Burgerrechten gaat deze uitgebreid op de verwerkingsverantwoordelijkheid in. Hij concludeert daar op pagina 33 dat de governance zo geregeld is dat Mitz zelf geen eigenstandige verwerkinsgverantwoordelijkheid heeft maar dat die weggeorganiseerd is richting de zorgaanbieders. Dat terwijl VZVZ als centrale (regisserende) partij overduidelijk doel en middelen (functionaliteit, werking) van Mitz bepaalt. Het lijkt me ook juridisch een fors probleem als er iets mis gaat, bijv. bij een ernstig datalek of gijzelsoftware. Gaat men dan de individueel of collectief zorgaanbieders verantwoordelijk stellen als verwerkingsverantwoordelijke terwijl de verantwoordelijkheid voor het reilen en zeilen bij MITZ en VZVZ ligt?
Parlementsleden dienen zich bij de behandeling van dit wetsontwerp zich terdege dit soort zaken te realiseren. Het lijkt een technische discussie om het BSN te gaan gebruiken voor de OTV maar er steekt veel meer achter.
Onbehoorlijk voorschot
Uit de memorie van toelichting blijkt ook dat de minister van VWS een voorschot wil nemen op het behandelen van het wetsontwerp. Er staat:
“Het ministerie VWS en het ministerie van BZK (beleidsmatig verantwoordelijk voor DigiD) hebben afgesproken om de OTV Mitz, vooruitlopend op een wettelijke grondslag voor het gebruik van het BSN, voorlopig aan te sluiten op DigiD. Daarmee kan die OTV DigiD nu al als inlogmiddel gebruiken. Voorwaarde is om binnen één jaar een wetgevingstraject te starten waarmee de wettelijke grondslag voor het verwerken van het BSN door de OTV wordt geregeld”
Dus, nog voordat VWS het wetsvoorstel van de verzamelwet over het gebruik van het BSN voor de OTV naar het parlement stuurt, gaat men het gebruik van het BSN al implementeren door aansluiting op DigiD. Bizar en onbehoorlijk.
Autoriteit Persoonsgegevens
Het lijkt mij onvermijdelijk dat dit wetsontwerp ook beoordeelt dient de worden door de Autoriteit Persoonsgegevens(AP). Zulks omdat de werking van diverse onderdelen van de OTV Mitz betrekking heeft op de aanwezigheid van medische informatie in de systemen van Mitz. Als de AP dat nu niet doet dan heeft in een later stadium een afwijzend oordeel weinig zin meer.
Bij de poging om met het wetsontwerp de centraal werkende OTV Mitz door te drukken moet men bedenken dat er al enige tijd een decentrale zorgcommunicatie-oplossing bestaat. Daarbij wordt de autorisatie wie de zorgdata mag inzien via decentrale push-autorisatie geregeld.
W.J. Jongejan, 11 maart 2024
Afbeelding van Gerd Altmann via Pixabay
Huib Modderkolk heeft een nieuw boek geschreven. Op pagina 234 zegt hij iets heel interessants.
Het boek “Dit wil je echt niet weten” van Huib Modderkolk heb ik net uit. Inderdaad staan op bladzijde 234 zeer behartigenswaardige opmerkingen over het feit dat tientallen overheidsorganisaties, van gemeenten tot UWV, zich op de nieuwe technologie van de algoritmes storten. En zo dankzij de nieuwe technologie voor inlichtingendienstje gaan spelen. Waarbij enige vorm van toezicht ontbreekt. Wildwest in algoritme-land.