Eerst verloor ze haar baan, toen haar huis en daarna viel ze ten prooi aan een zware depressie. Op dat moment klopt Mandy aan bij de instelling voor geestelijke gezondheidszorg in Eindhoven. Hier krijgt ze gesprekstherapie en EMDR, waarvan de uitgebreide verslagen worden opgeslagen in het computersysteem van de GGzE, dat User heet.
Ze wil er zeker van zijn dat haar dossier voldoende is beveiligd en vraagt bij de GGzE een lijst op van de medewerkers die het hebben ingezien. Dat blijken er 160. Op die lijst staan onder meer een stagiaire en medewerkers die huisvesting regelen voor patiënten.
Mandy schrikt als ze ziet wie er allemaal weet heeft van haar intiemste gedachten en gevoelens. Maar ook van een gijzeling waar ze ooit slachtoffer van was, en van de zoektocht naar haar biologische vader. “Een enorme schaamte daalde op me neer.”
User is een elektronisch patiëntendossier (EPD) dat meerdere ggz-instellingen in Nederland gebruiken. Alleen is bij de GGzE de beveiliging niet op orde, meent Mandy. “De zwakke plek zit ’m in een button voor noodsituaties, waarmee je een dossier kunt openen van bijvoorbeeld een patiënt die zich plotseling van het leven wil beroven. Van die button kan bij de GGzE iedereen gebruikmaken, naam en geboortedatum volstaan om elk dossier in te kunnen zien.
Ik heb in 2022 al een klacht daarover ingediend bij de ‘complimenten- en klachtenfunctionaris’ van de instelling, maar in het voorjaar van 2023 lukte het nog steeds.” Ze heeft inmiddels een advocaat in de arm genomen en is naar de Geschillencommissie Geestelijke Gezondheidszorg gestapt. De zitting vindt plaats op dinsdag 4 februari.
In het verweerschrift eist de GGzE, die zich onthoudt van commentaar, dat de klacht niet-ontvankelijk zou moeten worden verklaard, omdat die enkele maanden te laat is ingediend, maar die eis heeft de Geschillencommissie afgewezen. Verder verzekert de ggz-instelling in het document dat alle inzages in het dossier rechtmatig zijn. Dat de 160 medewerkers een “functionele verantwoordelijkheid hadden in overeenstemming met de autorisatiematrix”.
Jurist Jolanda van Boven, die gespecialiseerd is in gezondheidsrecht en privacy, heeft hier haar bedenkingen bij. “Het gaat er niet om of deze medewerkers geautoriseerd waren”, zegt ze. “Waar het hier om draait, is de vraag: waren al die medewerkers betrokken bij de zorg voor deze patiënt?”
Hoe vaak dit soort privacyschendingen voorkomen is volgens Van Boven niet bekend. “Het zijn meestal patiënten, die deze misstanden aan het licht brengen.” Mandy vermoedt dat GGzE-medewerkers uit nieuwsgierigheid haar dossier hebben geopend vanwege haar deelname aan een tv-uitzending van Spoorloos. “Ik heb dat programma ingeschakeld om mijn biologische vader op het spoor te komen.”
Het landelijke patiëntenplatform Mind krijgt weinig meldingen binnen over onrechtmatige inzage in medische dossiers. Woordvoerder Marielle van de Berg mailt; “Wat wij wel horen is dat gegevens zonder toestemming van patiënten worden gedeeld tussen zorgverleners. Dat gebeurt vaak per ongeluk, wat toch tot veel wantrouwen bij patiënten leidt.”
De Autoriteit Persoonsgegevens wil niet op de zaak ingaan, omdat die bij de toezichthouder in behandeling is.
Alles bij de bron; Trouw
Jarenlang was Fleur Agema een groot voorvechter van meer regie voor burgers helaas ondermijnt ze nu als minister niet alleen diezelfde regie, maar zet ze ook de digitale soevereiniteit van Nederland op het spel.
Met nieuwe plannen van het Ministerie van VWS worden al onze medische gegevens straks opvraagvaar via een gigantisch dataplatform dat moet gaan draaien in een cloudoplossing van het Amerikaanse Microsoft. Het doel is alle zorgcommunicatie volledig te centraliseren, waarna onze gegevens voor een vrijwel onbegrensd scala aan doelen kunnen worden hergebruikt.
De addertjes onder het gras vind zoals zo vaak in de kleine letters en het Ministerie doet dat niet anders. We krijgen aan de voorkant de ‘zeggenschap’ over een kopietje, maar verliezen aan de achterkant controle over wie er verder nog toegang heeft tot onze medische gegevens. Bovendien is het opvragen van een kopie nu al mogelijk en hebben we conform huidige wetgeving (in beginsel) alle zeggenschap.
Op initiatief van de Patiëntenfederatie kan iedereen sinds een enkele jaren gebruik maken van een Persoonlijke Gezondheidsomgeving (PGO). Daar komen dan al je medische gegevens bij elkaar, weer te geven in mooie dashboards, maar slechts 5% van de bevolking gebruikt het. De meeste mensen hebben het eenvoudigweg niet nodig.
Dus besluit het Ministerie het aantal aanbieders van PGO’s terug te brengen naar drie. Als er over twee jaar niets veranderd is (27529 nr. 327, p4), dan gaat de stekker er mogelijk helemaal uit.
Het werkelijke probleem zit echter in het idee dat iedereen een PGO zou moeten hebben. De PGO is bedacht als plek voor ons, als burgers, waar we onafhankelijk de regie kunnen voeren over onze zorg en het is cruciaal dat die plek er is, ongeacht het aantal gebruikers.
Dat afschaffen kan overigens niet zomaar. De Europese EHDS verordening verplicht Nederland straks om een dergelijke voorziening te hebben.
Het nieuwe konijn uit de hoge hoed heet Mijn Gezondheidsomgeving (MGO) en de Minister vraagt zich nu af of hiervoor en wettelijke aanpassing nodig is (27529 nr. 327, p6). Dat lijkt bizar. Waarom al die moeite, terwijl de PGO een prima oplossing is?
Dat begint bij Ernst Kuipers. Vlak voor zijn vertrek als Minister besloot hij tot het op de agenda van het Ministerie zetten van Cumuluz. Het doel van Cumuluz is om alle gezondheidsgegevens van iedereen te ontsluiten via een gigantische data-centrale. Deze gegevens moeten vervolgens beschikbaar komen voor “preventie, zorg en welzijn” (27529 nr. 327, p6), zoals “beleidsterreinen voor gemeenten, rijk en maatschappelijke partners, die te maken hebben met de ondersteuning van mensen, het vergroten van de leefbaarheid en het bevorderen van participatie.” (27529, nr. 326 voetnoot 11).
Mijn Gezondheidsomgeving moet een inzagefunctie worden, maar voor het gebruik van een data-centrale is wel je toestemming nodig. Daar wil het Ministerie nu van af, zodat iedereen automatisch kan worden opgenomen. Daarna kan ook de PGO eenvoudig worden aangesloten, zo is het idee. (27529, nr. 326 voetnoot 7).
Alles bij de bron; PrivacyFirst
Als er geen actie wordt ondernomen, bestaat het medisch beroepsgeheim over enkele jaren niet meer. Met deze boodschap lanceren privacy-organisaties Platform Burgerrechten en Stichting KDVP deze week de campagne “Behoud Beroepsgeheim”.
VWS wil dat Mitz voor alle patiënten en zorgaanbieders in Nederland het register voor toestemmingen wordt.
Het doel van Mitz is om alle verschillende manieren om de toestemmingskeuzes vast te leggen overbodig te maken. Daardoor moet de patiënt meer overzicht en regie krijgen. Tegelijkertijd moet het voor de zorgprofessional eenvoudiger worden om te zien welke gegevens wel of niet gedeeld morgen worden.
Mitz regelt dat voor alle zorgsectoren.
Volgens de privacy-organisaties maakt Mitz medische gegevens voor grote groepen zorgverleners toegankelijk, zonder dat de dossierhoudend arts kan controleren wie voor welke reden gegevens uit diens dossiers opvraagt. Daardoor wordt het medisch beroepsgeheim geschonden.
De organisaties, eerder betrokken bij de rechtszaak tegen SyRI en de rechtszaak van Vertrouwen in de GGZ, constateren dat het medisch beroepsgeheim meer dan ooit onder druk staat door de datahonger van overheden en bedrijven. Hierdoor worden keuzes gemaakt voor beleid en technologie waarin het medisch beroepsgeheim en de patiëntprivacy ondergeschikt wordt gemaakt aan politieke en commerciële doeleinden.
Namens VZVZ, de beheerder van Mitz, reageert een lezer als volgt op bovenstaand artikel:
In Nederland geldt een opt-in systeem voor de uitwisseling van medische gegevens. Dit betekent dat zorgaanbieders alleen gegevens beschikbaar mogen stellen als een patiënt uitdrukkelijke toestemming heeft gegeven. Mitz is een systeem dat de opt-in benadering volledig ondersteunt en voldoet aan alle geldende wetten en regels.
Mitz geeft de burger niet alleen rechten, maar ook daadwerkelijk regie en zeggenschap. Zo kan elke burger met DigiD toestemmingskeuzes vastleggen voor de uitwisseling van medische gegevens tussen behandelaren. Mitz biedt ook maximale transparantie aan de burger. Deze kan precies volgen of een zorgaanbieder een toestemmingskeuze heeft geraadpleegd. Voor meer informatie kijk op http://www.MijnMitz.nl.
Alles bij de bron; Skipr
Engeland voert een volledig elektronisch patiëntendossier in dat gebruikers via de NHS-app kunnen inzien, zo heeft de Britse overheid aangekondigd.
Op dit moment is de informatie die patiënten via de NHS-app kunnen opvragen beperkt, omdat patiëntendossiers bij huisartsen en ziekenhuizen lokaal zijn opgeslagen. Straks zal er één elektronisch patiëntendossier zijn. Via de NHS-app kunnen gebruikers dan hun gezondheidsinformatie, testresultaten en brieven bekijken. Zorgpersoneel zou zo een volledig beeld van de gezondheid van de patiënt moeten krijgen.
Patiëntenprivacygroep medConfidential vreest dat de vertrouwelijkheid van patiëntendossiers in het geding is en gezondheidsgegevens straks aan allerlei partijen worden verkocht. Tegenover The Guardian laat de groep weten dat de Britse overheid aan een 'big brother' database werkt. "Je identificeerbare medische geschiedenis en al je medische notities zullen niet langer door artsen worden beheerd, en zullen worden gecontroleerd door politici die zullen beslissen aan wie ze worden verkocht – wat onvermijdelijk iedereen zal zijn die ervoor wil betalen."
De Britse privacytoezichthouder ICO stelt dat het klaarstaat om de overheid te helpen om de NHS 'klaar voor de toekomst' te maken.
Alles bij de bron; Security
Demissionair Helder van Volksgezondheid wil dat medische gegevens van Nederlanders via het Nationaal Contactpunt voor eHealth (NCPeH-NL) in Europa kunnen worden uitgewisseld en heeft het wetsvoorstel gepresenteerd dat hiervoor moet zorgen.
Het wetsvoorstel regelt de wettelijke taak en de grondslagen voor gegevensverwerking voor het Nationaal Contactpunt voor eHealth. De European Health Data Space (EHDS) zal straks van het contactpunt gebruikmaken.
De EHDS is een voorstel van de Europese Commissie voor het delen van medische gegevens in de Europese Unie in een gemeenschappelijk gebruikt formaat. Burgers die niet willen dat hun medische gegevens via dit systeem worden uitgewisseld moeten hier actief bezwaar tegen maken.
Stichting Privacy First is kritisch over het contactpunt. "Voor iedere aangesloten patiënt wordt er een index bijgehouden met de locaties van diens medische gegevens. Een arts mag die gegevens alleen opvragen binnen de context van een ‘behandelrelatie’, maar die behandelrelatie ontstaat pas wanneer je bij de arts binnenloopt. Het NCPeH-NL kan dus enkel achteraf (via ‘logging’) controleren of de opvraging terecht was. In beginsel kan dus iedere arts (of hacker) in heel Europa voor ieder geldig BSN medische gegevens opvragen."
Volgens Privacy First komt daarbij dat het NCPeH-NL ook binnen Nederland gebruikt kan worden en er maar één partij is die een landelijke index levert: de ontwikkelaar van het Landelijk Schakelpunt (LSP) en Mitz! Het NCPeH-NL fungeert hiermee als een nieuw Landelijk EPD, zonder dat het duidelijk is welke zeggenschap je daar straks in hebt", aldus de stichting, die burgers oproept om aan hun opt-out te denken.
Het publiek kan via Internetconsultatie.nl tot 2 augustus op het voorstel reageren.
Alles bij de bron; Security
Huisartsen en ziekenhuizen in Noord-Nederland hebben deze week een nieuw systeem gelanceerd voor het delen van patiëntinformatie met elkaar, wat zo voor een "compleet digitaal patiëntendossier" moet zorgen. Uiteindelijk zou het systeem in heel Nederland beschikbaar moeten komen, ook voor bijvoorbeeld GGZ-instellingen en ambulancezorg.
Het gebruik van Zorgviewer gebeurt 'enkel en alleen' met toestemming van de patiënt, zo laat het Universitair Medisch Centrum Groningen (UMCG) weten. Zorggebruikers geven de toestemming in het bronsysteem.
Het is de bedoeling dat het aantal gebruikers en de functionaliteit de komende tijd binnen deze en andere zorgorganisaties in Groningen, Friesland en Drenthe stapsgewijs wordt uitgebreid. Uiteindelijk zou elke zorgverlener in Nederland via Zorgviewer bij andere zorgverleners informatie over patiënten moeten kunnen opvragen.
Zorgviewer komt ook beschikbaar voor andere zorgverleners, waaronder andere ziekenhuizen in de regio, GGZ-instellingen, ambulancezorg, verpleeghuizen en wijkzorgorganisaties.
Alles bij de bron; Security
Met het voorstel voor het oprichten van een European Health Data Space (EHDS) maakt Brussel een einde aan het medisch beroepsgeheim, zo stelt stichting Privacy First. Onlangs liet demissionair minister Kuipers al weten dat door het EHDS medische data van burgers zonder toestemming toegankelijk wordt gemaakt voor derden.
Het EHDS is een digitaal patiëntendossier dat in een gemeenschappelijk Europees formaat is opgesteld en in alle EU-lidstaten te gebruiken moet zijn.
"Volledige medische dossiers, met de meest gevoelige en persoonlijke informatie, kunnen straks door Brussel worden opgevraagd en worden gebruikt voor een breed scala aan doeleinden. Patiënten wordt hiermee de controle over hun medische gegevens ontnomen", aldus Privacy First.
De stichting waarschuwt dat door de opzet van het EHDS zowel overheid als private partijen toegang tot medische dossiers van alle burgers in de Europese Unie krijgen en daarmee komt er ook een einde aan het medisch beroepsgeheim, zo stelt Privacy First.
In tegenstelling tot de situatie in Nederland, waarbij gezondheidsgegevens voornamelijk alleen met toestemming van de patiënt mogen worden verwerkt, gaat het EHDS-voorstel uit van een andere juridische grondslag, waarbij toestemming niet is vereist. Het gaat zowel om primair als secundair gebruik van gezondheidsgegevens.
Privacy First vreest ook dat de schaal waarop gegevens straks ontsloten worden, enorme risico’s voor de veiligheid en privacy van burgers met zich meebrengt.
Mocht het EHDS er komen, dan is volgens Privacy First de enige bescherming voor patiënten het recht op de vernietiging van hun medische gegevens. Patiënten zullen dan een eigen papieren dossier met zich moeten meedragen waarop zorgpersoneel aantekeningen kan maken.
Alles bij de bron; Security
Het ‘wetsvoorstel opvraagbaarheid gegevens voor spoedeisende zorg’ moet er voor gaan zorgen dat de toegankelijkheid van gegevens die noodzakelijk zijn voor het verlenen van spoedeisende zorg, wordt verbeterd.
Het voorstel verplicht sommige zorgaanbieders om bepaalde gegevens die opgevraagd worden voor spoedzorg direct beschikbaar te stellen of dat deze geraadpleegd kunnen worden, ook zonder (expliciete) toestemming van de patiënt, tenzij goed hulpverlenerschap zich daar tegen verzet of wanneer de persoonlijke levenssfeer van een ander wordt geschaad of wanneer de patiënt bezwaar maakt.
Onder het wetsvoorstel vallen echter niet alle tandartsen en tandarts-specialisten. Het voorstel beperkt zich tot tandheelkundige spoedzorg die in ziekenhuizen wordt geboden. Spoedgevallendiensten of spoedpraktijken die buiten de ziekenhuizen spoedeisende zorg verlenen, zijn niet in het wetsvoorstel betrokken...
... Dit is onterecht volgens de KNMT, bij het verlenen van tandheelkundige zorg moet kunnen worden beschikt over de medische anamnese en een actueel medicatieoverzicht om goede en verantwoordelijke keuzes te kunnen maken. Dit geldt vanzelfsprekend ook voor mondzorg in spoedeisende situaties. Daarom acht de KNMT het van belang dat ook tandarts(-specialist)en die spoedzorg verlenen de mogelijkheid krijgen tot (directe) toegang tot noodzakelijke gegevens.
Alles bij de bron; KNMT
Veel EU-lidstaten zijn voor de invoering van een Europees digitaal patiëntendossier en willen dan ook doorgaan met het European Health Data Space (EHDS). Dit is een digitaal patiëntendossier dat in een gemeenschappelijk Europees formaat is opgesteld en in alle EU-lidstaten te gebruiken moet zijn. Dat heeft demissionair minister Kuipers van Volksgezondheid aan de Tweede Kamer laten weten (pdf).
Het EHDS zorgt er ook voor dat gezondheidsgegevens van Europese burgers beschikbaar komen voor secundair gebruik, zoals onderzoek, ontwikkeling van diensten en producten en beleidsvorming. De onderhandelingen over het EHDS zijn nog gaande. Zo is er voorgesteld dat Brussel het aantal categorieën gezondheidsgegevens die via het EHDS kunnen worden gedeeld op termijn kan uitbreiden....
..."Nederland heeft tijdens de Raad benadrukt dat het digitale gezondheid ziet als een fundamenteel onderdeel van de toekomst van onze gezondheidsstelsels. Wat Nederland betreft is het dan ook essentieel om de productieve samenwerking binnen Europa op dit gebied voort te zetten", stelt de minister.
Alles bij de bron; Security
Burgerbeweging We Move Europe is een petitie gestart tegen het delen van medische data via het Europees digitaal patiëntendossier de European Health Data Space (EHDS).
Er zijn echter zorgen over het delen van medische gegevens van Europese burgers voor secundair gebruik met grote tech- en farmabedrijven. Iets dat zonder toestemming van de betreffende burgers kan plaatsvinden. Burgerbeweging We Move Europe is nu een petitie gestart die ervoor moet zorgen dat patiënten expliciete toestemming geven voor het delen van hun gegevens voor secundair gebruik. Daarnaast moet het grote aantal categorieën van gezondheidsdata worden beperkt, alsmede ook de schaal van hoe deze informatie is te gebruiken en wie er toegang toe heeft.
"Via de European Health Data Space wil de Europese Commissie, een moderne, uniforme manier creëren om onze gezondheidsgegevens beter te kunnen gebruiken, maar ten koste van wat?", vraagt de burgerbeweging zich af. "Patiënten hebben geen zeggenschap over het delen en commercieel gebruik van hun data en zouden ook niet worden ingelicht over wie het ontvangt. Het voorstel beschermt niet onze rechten op privacy van onze medische dossiers en gezondheidsinformatie en de geheimhoudingsplicht van artsen."
Afgelopen maart waarschuwde de Europese burgerrechtenorganisatie EDRi dat de EHDS de privacyrechten van patiënten negeert. Zo zouden artsen worden gedwongen om data van hun patiënten te delen. Het secondair gebruik van medische data kan volgens de burgerrechtenbeweging extreem gevaarlijk zijn voor het privéleven van miljoenen patiënten in de EU. Ook EDRi stelt dat gezondheidsgegevens nooit zonder toestemming met derde partijen mogen worden gedeeld.
De Raad van de Europese Unie is echter tegen een opt-in voor het beschikbaar stellen van gezondheidsgegevens via het Europees digitaal patiëntendossier.
Alles bij de bron; Security