45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

EPD

Na afblazen landelijk epd wordt aan vervanger gewerkt waarbij patiënt bepaalt welke informatie gedeeld wordt

Zes jaar na het afblazen van het Landelijk Elektronisch Patiëntendossier wordt in betrekkelijke stilte toch gewerkt aan een systeem voor digitale uitwisseling van medische data. MedMij moet mogelijk maken dat patiënten zelf hun gegevens verzamelen in een persoonlijke gezondheidsomgeving. Anders dan bij het landelijk EPD bepaalt de patiënt welke informatie gedeeld mag worden.

Via een persoonlijke digitale toegangspoort, waarop je inlogt met DigiD, moeten patiënten grip krijgen op al hun medische gegevens, zoals labuitslagen, scans en medicatieoverzichten. MedMij, een initiatief van het ministerie van Volksgezondheid, patiëntorganisaties, zorgverleners en zorgverzekeraars, stelt daarvoor spelregels op. Zo moet de uitwisseling van informatie tussen zorgverleners en patiënten mogelijk worden en veilig gebeuren. Het is de bedoeling dat iedereen die dat wil in 2020 een persoonlijke gezondheidsomgeving kan hebben.

Alles bij de bron; Volkskrant


 

Onrechtmatige aanmeldingen in EPD-LSP blijken structureel probleem. Vrijbit komt weer in actie.

VZVZ faciliteert een landelijk systeem wat aanzet tot het op grote schaal lekken van medische gegevens. Onterecht uw medische gegevens via het EPD-LSP beschikbaar gesteld? Dat kan iedereen overkomen! meermalen en ook per direct nadat een ‘fake-toestemming’uit het systeem is  verwijderd.

Toen de wet voor het invoeren van een Elektronisch Patiënten Dossier uitwisselingssysteem sneuvelde, betekende dit het einde van het EPD als opt-out ( ja tenzij) systeem van de overheid. De medische gegevens van mensen zouden nooit mogen kunnen worden uitgewisseld tussen alle zorgverleners waar men geen directe behandelrelatie mee heeft, tenzij de betrokkene daar vooraf, vrijwillig, goedgeïnformeerd en expliciet toestemming voor gaf.

Bij de private doorstart van het EPD-LSP vormde dit toestemmingsvereiste het uitgangspunt voor het beheer van het nieuwe EPD-LSP systeem van beheerder VZVZ.

Dit voorjaar ontdekten verschillende mensen dat zonder dat zij daar toestemming voor gegeven hadden hun medische gegevens wel degelijk landelijk opvraagbaar waren gesteld door VZVZ. In al die gevallen bleek dat er via een apotheek was doorgegeven dat voor deze persoon de voor iedereen latent aangemaakte aanmelding op het EPD-LSPsysteem moest worden geactiveerd.

Wie namens een apotheker of huisarts wordt aanmeld hoeft dat niet zelf te bevestigen en kan zelfs maar moeilijk controleren of men onterecht toch staat aangemeld. Enige beveiliging tegen het meermalen onrechtmatig aangemeld worden is er niet en de mogelijkheid tot vermelding in het systeem dat er sprake is geweest van een onterechte aanmelding wegens geen of ongeldige toestemming ontbreekt.

Op 4  augustus 2017 heeft Burgerrechtenvereniging Vrijbit, naar aanleiding van de geconstateerde onrechtmatige aanmeldingen, de toezichthouder Autoriteit Persoonsgegevens (AP) formeel gevraagd om handhavend op te treden tegen VZVZ. Maar tot op de dag van vandaag laat de AP het afweten om zelfs maar te starten met een vooronderzoek en schuift men het nemen van een (voor beroep vatbaar) besluit om al dan niet in actie te komen voor zich uit....

...Handhaafverzoek II van Burgerrechtenvereniging Vrijbit aan AP d.d. 3-11-2017

Vandaar dat wij AP op grond van bovenstaande informatie verzoeken om handhavend op te treden tegen:

  • Het structureel onjuist en verwijtbaar onzorgvuldig handelen van apothekers bij het verkrijgen en doorgeven van ‘toestemming’ van personen die niet op de vereiste wijze (in vrijheid en juist en afdoende geïnformeerd) geldige toestemming hebben verleend voor uitwisseling van medische persoonsgegevens via het EPD-LSP.
  • Het ontbreken van effectieve, verantwoorde, uniforme  procedures voor het verkrijgen, valideren, registreren en doorgeven (voor vermelding in verwijsindex) van geldige toestemming voor het opvragen van medische persoonsgegevens via het EPD/LSP. Wil sprake kunnen zijn van een geborgde verwijsindex dan dient systematisch logging plaats te vinden van deze procedures.
  • Het structureel ontbreken van procedures voor het opvragen van informatie over verleende toestemmingen, over inzage van gegevens via het EPD-LSP en voor het eventueel effectief doen schrappen van eerder verleende toestemmingen. Deze procedures moeten voor elke burger toegankelijk zijn, moeten door elke burger gebruikt kunnen worden.

Alles bij de bron; Burgerrechtenvereniging Vrijbit


 

Het LSP en de sleepwet: a match made in heaven

Zorgkoepels voegden zich deze maand bij het koor van critici dat zich tegen de sleepwet keert. Het medisch beroepsgeheim wordt met de invoering van de wet namelijk vogelvrij verklaard. De grootste knieval voor massasurveillance in de zorg maakten de organisaties echter jaren geleden zelf, toen ze instemden en meewerkten aan de invoering van het LSP... 

...Op zich is het mooi dat ook zorgkoepels zich mengen in de discussie over de sleepwet. Er zijn echter een aantal kritische kanttekeningen te plaatsen bij het ‘wakker worden’ van de LHV en de KNMG als het gaat om het beschermen van het medisch beroepsgeheim tegen massasurveillance. 

Allereerst is het opmerkelijk dat de organisaties nu pas besluiten een kritische noot te kraken over de sleepwet. De mosterd na de maaltijd wordt echter nog straffer als men kijkt naar de rol die zorgkoepels speelden bij de keus voor informatiesystemen in de zorg die straks het doelwit kunnen worden onder de nieuwe sleepwet.

Samen met zorgverzekeraars zijn zorgkoepels namelijk de drijvende kracht achter de invoering van het Landelijk Schakelpunt (LSP), het voormalig Elektronisch Patiëntendossier. De wijze waarop het LSP is ingericht maakt het een ideaal systeem voor sleepnetacties van inlichtingendiensten.

Allereerst ligt de zeggenschap over toegang tot het medisch dossier in het LSP niet langer bij de zorgverlener, maar bij het systeem en haar beheerder. Dit zet het beroepsgeheim en het verschoningsrecht zowel technisch als juridisch buitenspel. Het is immers niet langer de zorgverlener, maar de beheerder van het systeem die toegang tot medische gegevens verleent en daarmee het beroepsgeheim doorbreekt.

Daarbij verloopt communicatie in het LSP niet één-op-één tussen zorgverleners, maar lopen alle informatieverzoeken via een zogeheten centrale verwijsindex. Vanuit deze ‘spil’ is het voor veiligheidsdiensten mogelijk om zowel real time-communicatie tussen artsen over duizenden patiënten tegelijk af te tappen in een sleepnetactie, als gericht dossiers op te vragen vanuit dit punt.

Alles bij de bron; SpecifiekeToestemming


 

GGZ wil toch weer gegevens uitwisselen ondanks risico op rechtzaken

GGZ Nederland roept zorginstellingen op om via een omweg toch weer intieme behandelgegevens te delen met een externe databank, Stichting Benchmark GGZ (SBG). De brancheorganisatie voor de geestelijke gezondheidszorg doet dat op basis van een juridisch advies waarin staat dat het onzeker is of dat wel mag. Volgens dat advies riskeren instellingen op deze manier rechtszaken. 

Het gaat om vragenlijsten die patiënten invullen aan het begin en eind van een behandeling, met daarin gegevens over suïcidaliteit, depressie, angsten en seksualiteit. Namen, postcodes en burgerservicenummers zijn wel afgeschermd. Met deze gegevens, zogeheten Rom-data (Routine Outcome Monitoring), meet de SBG de kwaliteit van behandelingen.

Dit voorjaar stopten 175 instellingen met het delen van deze data nadat minister Edith Schippers (VVD, volksgezondheid) liet weten dat hier geen wettelijke grond voor is. Patiënten werd niet om toestemming gevraagd, terwijl die volgens Schippers wel moet worden gegeven. De Autoriteit Persoonsgegevens onderzoekt momenteel of de privacy van patiënten is geschonden.

De discussie over het delen van behandeldata heet onder psychiaters inmiddels de ‘Rom-soap’. Het gaat er verhit aan toe en aan beide zijden zijn actiegroepen actief: Stop Rom aan de ene kant en Red Rom daartegenover. “Dit is een burgeroorlog geworden, over de hoofden van patiënten heen”, zegt psychiater en jurist Coby Groenendijk van Stop Rom. De groep zegt binnenkort juridische stappen te ondernemen tegen GGZ-instellingen die zonder toestemming medische informatie delen.

Alles bij de bron; Trouw


 

Vier Rijnmondse ziekenhuizen gaan elektronisch patientendossier gebruiken

Vier ziekenhuizen in de regio Rijnmond gaan vanaf november werken met het elektronisch patiëntendossier (EPD): het Spijkenisse Medisch Centrum, Van Weel-Bethesda Ziekenhuis in Dirksland, het Ikazia Ziekenhuis en het Maasstad Ziekenhuis in Rotterdam gaan patiëntendossiers uitwisselen om zo efficiënter te werken. In Nederland is het de eerste keer dat vier zelfstandige ziekenhuizen overstappen naar één elektronisch patiëntendossier (EPD)...

...Tegenstanders van het elektronisch patiëntendossier maakten zich altijd grote zorgen over de privacy en de beveiliging van medische gegevens. Volgens Langenbach wordt er heel nauwkeurig gewerkt: "We doen niets zonder de toestemming van de patiënt, die moet heel duidelijk toestemming geven voor dit EPD."

"Niet iedereen in het ziekenhuis kan zomaar bij alle gegevens van alle patiënten. Een arts krijgt toegang tot het hele dossier, maar anderen krijgen beperkte toegang. Bijvoorbeeld een voedingsassistent krijgt alleen die gegevens die van belang zijn voor voeding. We houden ook goed bij wie in welk dossier kijkt. Regelmatig controleren we daar op. Zonodig treden we op en volgt er ontslag."

Ook de bedreigingen van computerhackers die het ziekenhuissysteem willen binnendringen lijken beheersbaar. "Wij houden ieder kwartaal een test, dan kijken we of we gehackt kunnen worden. Daar komen altijd verbeteringen uit waar we snel van leren om het optimaal te beveiligen. Ik ben erg benieuwd hoe groot de animo zal zijn, je hebt altijd mensen die de kat uit de boom kijken. Het is aan de patiënt zelf. Als die het niet wil, dan doen we het niet, even goeie vrienden. Maar ook dan krijgt die de beste zorg die we kunnen leveren."

Allesbij de bron; Rijnmond


 

VGZ zorgdebat over heikele punten aan privacy en data delen

Privacy in de zorg is een heet hangijzer. Hoe moeten zorgverleners en zorgverzekeraars omgaan met data als het gaat om hun zorgplicht? En van wie is die data eigenlijk? Mogen ze gebruikt worden voor - gevraagd of ongevraagd - gezondheidsadvies? En mag de zorgverzekeraar die ook geven? Tijdens het VGZ zorgdebat, op 29 juni in Arnhem, kwamen heikele punten aan bod.

Vraag altijd om toestemming als het gaat om gegevensgebruik, vonden de patiënten en de zorgverleners in de zaal. Maar dat geldt ook voor de zorgverzekeraar, legde Anne-Mieke van den Broek van VGZ uit. “Als we geen toestemming hebben, dan mogen we niks doen.”..

...Na heel veel juridisch gepuzzel zijn zij nu wel afgedekt om een pilot te doen met advisering bij oververzekering van tandzorg, bij cliënten die ook onder de Wlz vallen. De zorgverzekeraar wil zeker niet op de stoel van de (huis)arts gaan zitten, benadrukte Kees Hamster, lid van de raad van bestuur van VGZ en verantwoordelijk voor datagebruik. Toch was de zaal kritisch op de ambities in leefstijl- en gezondheidsadvisering van VGZ. “Zijn er geen andere instanties – patiëntenverenigingen, de Patiëntenfederatie of lokale instanties – die dit beter kunnen?”, vroeg Sebastiaan van Sandijk van informatter en +company zich af. 

...Bij alle partijen is er onduidelijkheid over welke data waar ligt en wie er voor verantwoordelijk is. Mariëlle Blankestijn, patiënt met een dwarslaesie, verwoordde het treffend: “Als je ziek wordt, dan ben je opeens allerlei dossiers. Bij de gemeente, bij het CAK, Wmo, de zorgverzekeraar. Het uitwisselen van informatie tussen die dossiers kan mogelijk tegen je keren. Ik weet een voorbeeld van een patiënte die geen recht had op een traplift omdat er ergens ‘terminaal’ stond in een van haar dossiers. Terwijl ze nog jaren leefde.”

...Dat ervoer ook Igor Dirkx, patiënt met de ziekte van Crohn. Hij merkte dat ziekenhuizen geen informatie bij elkaar vragen, maar ook niet willen delen. Absurd, vindt Dirkx. “De informatie is van mij”, zegt hij stellig. “Ik bepaal met wie ik die deel.” Dat onderschreef Astrid van Heusden, huisarts in Anna Paulowna, hartstochtelijk. “De patiënt is de houder van data en die is te kostbaar om risico mee te lopen. In verband met hacken doe ik daarom niet mee met het LSP. Als alternatief stuur ik de betreffende data beveiligd via een PDF naar andere zorgverleners.”

Léon Haszing, functionaris voor de gegevensbescherming bij Radboudumc pleitte er voor dat de patiënt én de zorgverlener beslissen welke info wordt doorgegeven. Haszing: “De arts weet alles over een ziektebeeld, de patiënt weet alles van het hebben van de ziekte.” Dus in een goede structuur beheren zij samen het dossier. “En het is de rol van de zorgverzekeraar dit te faciliteren, niet inhoudelijk maar slechts financieel”, zo concludeerde Kees Hamster. De zaal was het daar helemaal mee eens.

Alles bij de bron; Skipr


 

“Niet-verifieerbare toestemmingen voor het LSP moeten zo snel mogelijk aangepakt”

Om te voorkomen dat burgers ongemerkt tegen hun wil in het Landelijk Schakelpunt worden geregistreerd, dient de beheerder van het systeem, VZVZ, schriftelijke toestemmingen voor het LSP vast te leggen. Die aanpassing moet er zo snel mogelijk komen, evenals een onderzoek naar de omvang van het probleem. 

Dat schrijft de campagne Specifieke Toestemming in een brief aan de Tweede Kamer, nadat opnieuw blijkt dat meerdere burgers ten onrechte staan geregistreerd in het Landelijk Schakelpunt, het voormalig EPD. Dit probleem bestaat omdat het mogelijk is om op basis van één mondelinge (en daarmee niet achteraf controleerbare) toestemming opgenomen te worden in het LSP.

Een fout als een verkeerd geplaatst vinkje in het systeem, of een onvolledige voorlichting door een zorgverlener kan op deze manier ertoe leiden dat burgers in het LSP worden opgenomen zonder op de hoogte te zijn van deze registratie en de mogelijk grote gevolgen daarvan. “Een vermeend eenmalig en mondeling ‘ja’ aan de zorgverlener, zonder dat schriftelijk wordt vastgesteld waarvoor de patiënt toestemming verleent, kan geen basis zijn om medische gegevens breed te ontsluiten”, stelt de campagne.

De Autoriteit Persoonsgegevens constateerde dit probleem al eerder in 2014, toen uit een steekproef bleek dat bij 8 van de 139 onderzochte toestemmingen niet kon worden aangetoond dat er geïnformeerd toestemming was verleend. Na overleg met VZVZ concludeerde de toezichthouder destijds dat er voldoende maatregelen waren genomen om dit probleem te voorkomen. De afgelopen periode is echter gebleken dat er nog steeds burgers ten onrechte in het LSP worden opgenomen.

“De recente uitzending van EenVandaag, tezamen met online publicaties van Medisch Contact en ZorgICTzorgen, tonen aan dat dit probleem nog springlevend is”, schrijft Specifieke Toestemming aan de Tweede Kamer. De Autoriteit Persoonsgegevens zou volgens de campagne opnieuw een grondig onderzoek moeten doen naar de toestemmingen die voor het LSP zijn gegeven.

Ook zouden personen die in het systeem staan geregistreerd, maar niet aantoonbaar toestemming hebben verleend, daarvan op de hoogte moeten worden gesteld of alsnog schriftelijk toestemming moeten geven. VZVZ heeft een verantwoordelijkheid om zeker te stellen dat toestemming is gegeven, en ook om niet-verifieerbare en daarmee mogelijk foutief geregistreerde toestemmingen in het systeem te corrigeren.

Een persoon die al dan niet onterecht in het LSP is opgenomen, wordt daar niet van op de hoogte gesteld. Wel is er een optie om een SMS te ontvangen wanneer gegevens via het LSP zijn geraadpleegd, maar hiervoor moeten burgers zich zelf aanmelden. Dit neemt bovendien niet weg dat burgers zonder toestemming of notificatie in het LSP kunnen worden geregistreerd. Iemand die zich nu bij VZVZ afmeldt, kan de volgende week weer worden opgenomen in het systeem, omdat een centrale “opt out” registratie ontbreekt. Daarom blijft een centrale registratie van opt-in toestemmingen volgens Specifieke Toestemming noodzakelijk. Van iemand waarvan niet vaststaat dat deze toestemming heeft gegeven, zouden nooit medische gegevens mogen worden verwerkt.

Download de brief (PDF) die Specifieke Toestemming aan de Tweede Kamer stuurde.

Alles bij de bron; PlatformBurgerrechten


Patiënt zonder EPD krijgt medicatie soms maar moeilijk mee

Patiënten die hun medische gegevens niet willen delen via het Landelijk Schakelpunt (LSP), de opvolger van het elektronisch patiëntendossier (EPD), krijgen bij de apotheek vaak moeizaam of helemaal geen medicatie mee. Het gaat daarbij om patiënten die naar een andere dan hun eigen apotheek gaan, blijkt uit onderzoek van EenVandaag.
 

De recepten die worden uitgeschreven door een huisarts, tandarts of specialist blijken voor verschillende apothekers niet voldoende om de gewenste medicijnen mee te geven. Soms wekken apothekers de indruk dat mensen moeten zijn aangesloten bij het LSP voor ze medicatie mee kunnen krijgen.

De KNMP, de beroepsvereniging voor apothekers, zegt in een reactie; "Het kan niet zo zijn dat iemand medicatie wordt geweigerd, alleen omdat hij niet in het LSP is opgenomen", aldus KNMP-voorzitter Gerben Klein Nulent. Ook vZVZ, de beheerder van het LSP, stelt dat het weigeren van medicatie niet de bedoeling is. "Deelname aan en gebruik van het LSP is vrijwillig voor zorgverleners en patiënten. Het gebruik ervan is een hulpmiddel voor medicatieveiligheid, geen doel op zich."

Alles bij de bron; NU