Zeggenschap over zorgdata blijft met decentrale datacommunicatie in spreekkamer  

decentraleDoor eerder gemaakte keuzen bij zorgdatacommunicatie loopt men thans steeds meer aan tegen problemen met het toestemmingsvereiste. Met de keuze voor een centraal opgezet systeem, het Landelijk SchakelPunt(LSP), koos men daarmee voor het zogeheten pull-berichtenverkeer. Daarmee kunnen zorgdata door andere zorgverleners opgevraagd(pull) worden als de patiënt eerder toestemming gaf om in de toekomst de gegevens te delen.  Het toestemmingsvereiste, de opt-in, is geborgd in artikel 15a lid 1 van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Die wettelijk bepaling hindert iedereen rond het LSP en dus ook het ministerie van VWS in hoge mate. Zeker toen men ook nog de “gespecificeerde toestemming” introduceerde. Daarbij kan een patiënt aangeven welke specifieke groepen zorgverleners de zorgdata slechts mogen opvragen. Alles kan echter anders met een decentrale communicatiestructuur met gebruik van push-autorisatie. Daarover later in dit artikel.

Toestemmingsproblemen

Door de keuze voor een centraal georganiseerd systeem kwam men steeds meer in de knoop met het toestemmingsvereiste. Mensen moeten daarmee bij huisarts/apotheek expliciet toestemming geven om zorgdata opvraagbaar te maken. Of laten expliciet vastleggen de zorgdata niet via het LSP te doen delen. Problematisch voor de degenen die met het LSP meters wilden maken zijn juist de mensen die nooit iets hebben laten weten over die toestemming. Daarom verordonneerde VWS op het ergste punt van de corona-golf in voorjaar 2020 de tijdelijke corona-opt-in. Daarbij zette men van alle mensen die niets hadden laten weten de toestemming op “ja”. Dat gebeurde om bij opnames in ziekenhuizen vanwege corona de zorgdata snel te kunnen opvragen. Een ander probleem zit hem in de “gespecificeerde toestemming”. Het vastleggen daarvan bleek dermate gecompliceerd dat een burger daar rond de 160 vinkjes voor moest gaan zetten. Terecht achtte VWS dat onwerkbaar.

Schijnoplossing: juist meer centrale systemen

Om de toestemmingsproblematiek op te lossen kwam de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) met plannen voor het opzetten van een Online Toestemmings Voorziening(OTV) met de naam Mitz.

Dat is ook weer een systeem met een centrale opzet. Mitz is niet één systeem, maar zou naast een centraal toestemmingsregister, ook een toestemmings-abonnementen-register en een toestemmingscatalogus gaan bevatten. Dat abonnementen-register bevat dan de abonnementen van alle zorgaanbieders op hun patiënt waardoor zij in kennis kunnen worden gesteld over wijzigingen van relevante toestemmingskeuzes. Aan het toestemmingsregister zou dan ook een centrale toestemmingscatalogus moeten komen die de toestemmingsmogelijkheden bevat. Het moge duidelijk zijn dat dit een cumulatie betekent van centrale systemen.

Toestemming weg uit spreekkamer

Door het vastleggen van toestemming voor het doen delen van zorgdata te laten plaatsvinden bij een online toestemmings-voorziening die men met Mitz beoogt, komt het erop neer dat de burger/patiënt zijn/haar toestemming aan een website geeft. Met daarbij de reële mogelijkheid dat deze toestemmingsnotering zonder voldoende voorlichting plaatsvindt. De toestemmingsverlening is echter juist iets wat bij uitstek in de spreekkamer thuis hoort. Waarbij na uitleg van de zorgverlener deze een in samenspraak met de patiënt een “informed consent” vastlegt.

Decentrale systematiek

Er bestaat wis en waarachtig wel een alternatief voor Mitz dat door VZVZ opgezet en gepusht wordt. Bij zorgcommunicatie met decentrale systematiek kan men gebruik maken van de Open Standaard Push-Aautorisatie. De logica van de Open Standaard Push Autorisatie is dat een bronsysteem rechtstreeks een inzage-toestemmingslink kan sturen naar een doelsysteem of mee kan geven aan de patiënt. Met de toestemmingslink kan de behandelaar in het doelsysteem rechtstreeks het dossier van de patiënt inzien. Dit heet “push autorisatie van pull-rechten”.  De toestemmingslink kan meer of minder informatie bevatten, met vooraf gedefinieerde of zelf in te richten “rechten en plichten”, bijvoorbeeld ‘wie mag inzien’, ‘wanneer’, ‘hoelang’ en ‘welke informatie’, maar ook: ‘tweede zorgverlener mag onder x,y,z-voorwaarden de inzagelink doorgeven aan volgende zorgverlener’ en ‘zorgverlener mag via de opgezette verbinding terug rapporteren’. De Open Standaard Push Autorisatie is afkomstig van de Stichting DECOZO(Decentrale Communicatie in de Zorg).

Verkeerde weg

Het moge duidelijk zijn uit het voorgaande dat ik het inrichten van de ene centrale voorziening na de andere om gevolgen van eerdere keuzes weer recht te breien, uiterst onwenselijk acht. Zulks ook in het licht van het beschikbaar zijn van een alternatief. Dat alternatief is iets wat de toestemmingsverlening ook niet maakt tot het zetten van wat vinkjes op een website. Het genoemde alternatief met decentrale opzet en gebruik van push-autorisatie laat de toestemmingsverlening voor het mogen inzien van zorgdata in de spreekkamer, tussen patiënt en behandelend arts.

W.J. Jongejan, 11 april 2023

Afbeelding van Gerd Altmann via Pixabay