Het EPD: in de schaduw van het dossier
Masterscriptie Grondslagen van het Recht Petra van Driel (3002780) Afd. Rechtstheorie Begeleider: Dr. U.R.M.Th. de Vries Datum:30-11-2010 Cijfer: 8!
Afkortingenlijst BSN
Burgerservicenummer
BW
Burgerlijk Wetboek
CBP
College Bescherming Persoonsgegevens
CSIZ
Coördinatiepunt voor Standaardisatie Informatievoorziening in de Zorgsector
EMD
Elektronisch medicatiedossier
EPD
Elektronisch patiëntendossier
EZ
Ministerie van Economische zaken
GBZ
Goed Beheerd Zorgsysteem
ICT
Informatie- en communicatietechnologie
IGZ
Inspectie voor de Gezondheidszorg
IPZorg
ICT Platform in de Zorg
IT
Informatietechnologie
LSP
Landelijk schakelpunt
Nictiz
Nationaal ICT instituut in de zorg
NEN
Nederlands Normalisatie Instituut
NPCF
Nederlandse Patiënten Consumenten Federatie
NVZ
Nederlandse Vereniging van Ziekenhuizen
RVZ
Raad voor de Volksgezondheid en Zorggerelateerde dienstverlening
UZI
Unieke Zorgverleners Identificatie
VWS
Ministerie van Volksgezondheid, Welzijn en Sport
WBP
Wet Bescherming Persoonsgegevens
WDH
E-waarneemdossier huisartseninformatie
Wet
BIG Wet op de Individuele Beroepsbeoefenaar
WGBO
Wet Geneeskundige Behandelingsovereenkomst
ZIN
Zorg Identificatie Nummer
ZSP
Zorg Service Provider
1
Inhoudsopgave Afkortingenlijst Inleiding Elektronisch patiëntendossier
4
Probleemstelling & hoofdstukindeling
6
Methodologie
7
1. Informatiemaatschappij & privacy 1.1 Kenmerken van de informatiemaatschappij
9
1.2 Burgerschap in de informatiemaatschappij
10
1.3 De veranderende betekenis van privacy
11
1.4 De paradox van de informatiemaatschappij
13
1.5 Kwetsbaarheid van de informatiemaatschappij
15
1.6 Identiteitsfraude
17
1.7 Privacy in de zorg
19
1.8 Conclusie
21
2. Privacy & patiënt 2.1Achtergronden: ICT in de zorg
24
2.2 Vertrouwensbasis van de arts-patiëntrelatie
25
2.3 Informatie en toestemming
28
2.4 Medisch geheim
29
2.5 Het recht op inzage in het dossier
31
2.6 Conclusie
33
3. Het elektronisch patiëntendossier 3.1 EPD in de steigers
36
3.2 Actieplan ICT in de zorg
37
3.3 Landelijke infrastructuur
39
3.4 Wet op het EPD
41 2
3.5 Voor- en nadelen van een EPD
44
3.6 Vertrouwen van burgers in het landelijk EPD
48
3.7 Huidige stand van zaken
50
3.8 Conclusie
51
4. Conclusie 4.1 Informatie en privacy algemeen
54
4.2 Kwetsbaarheid informatiemaatschappij
55
4.3 ICT en patiëntenrechten
56
4.4 Opkomst en risico’s van EPD’s
57
4.5 EPD op verschillende niveaus
59
Geraadpleegde literatuur
61
3
Inleiding Privacy is een onderwerp dat reeds vele pennen in beweging heeft gebracht. Ik grijp in het kader van mijn afstudeerscriptie de mogelijkheid aan om de link te leggen naar de gezondheidszorg. Op dat gebied is het elektronisch patiëntendossier (EPD) momenteel een hot topic. Aanleiding voor deze onderwerpskeuze was een discussie die ik eind april 2010 in het 'ethisch café' heb bijgewoond in het ziekenhuis in Tiel. De discussie werd georganiseerd door de Medisch-ethische Commissie van dat ziekenhuis en diende voor mij als inspiratie voor onderzoeksvragen.
Elektronisch patiëntendossier Lokale informatiesystemen die zien op de vastlegging van patiëntgegevens kunnen meer of minder omvattend zijn. De verschillende systemen vormen onderdelen van wat uiteindelijk een lokaal EPD moet worden. De koppeling tussen systemen in regio’s bestaat al langer en heeft betrekking op onder meer het maken en voorbereiden van afspraken tussen hulpverleners en patiënten. Het gaat steeds om het beheren en ordenen van informatie, hetgeen in het verleden op papier gebeurde.1 Het doel van de koppelingen is dat informatie beter en veiliger rond zou kunnen gaan binnen uiteindelijk alle afdelingen van een ziekenhuis. Toegang tot het systeem geschiedt op basis van een persoonlijke gebruikerspas. Het idee is dat iedere hulpverlener op elk moment het dossier van een patiënt kan inzien, echter dit kenmerk is zowel het grote voor- als nadeel van een EPD. Naast de vraag of dit technisch mogelijk is, waar in deze tekst vanuit zal worden gegaan, spelen er morele en juridische argumenten tegen dat kenmerk mee. Enerzijds is het in het belang van de patiënt dat deze zo goed mogelijk geholpen wordt. Het kan daarom van belang zijn dat een bepaalde specialist inzage heeft in alle medische gegevens. Anderzijds kan sommige informatie gevoelig liggen en is niet alle informatie even relevant voor een arts. Juridisch gezien is in dit kader voornamelijk de Wet Geneeskundige Behandelingsovereenkomst (WGBO) relevant. Op grond van deze wet komt een overeenkomst tussen de patiënt en de behandelaar tot stand. Centraal in deze wet staat het recht op informatie, dat is afgeleid van het zelfbeschikkingsrecht. Zonder informatie kan de patiënt immers niet op weloverwogen wijze toestemming geven voor de behandelingsovereenkomst en/of de medische behandeling.2 Het recht op inzage in het eigen dossier hangt voor een deel samen met het recht op informatie en is verankerd in art. 35 van de Wet Bescherming Persoonsgegevens (WBP) en in art. 7:456 van het Burgerlijk Wetboek (BW). Belangrijker voor het inzagerecht is echter de link met het recht op bescherming van de persoonlijke levenssfeer, zo blijkt uit art. 10 lid 3 van de Grondwet. Het doel van het inzagerecht is het in de gaten houden van reeds vastgelegde
1 Ook andere zorginstellingen kunnen gebruik maken van een of ander EPD, maar in deze tekst zal worden uitgegaan van ziekenhuizen. Volgens ZorgVisie zijn Nederlandse ziekenhuizen nog niet vergevorderd met de implementatie van het elektronisch patiëntendossier. In augustus 2009 hadden pas zeven of acht ziekenhuizen een EPD ingevoerd dat door alle afdelingen in het ziekenhuis wordt gebruikt. Bij de 101 andere ziekenhuizen is er een of andere vorm geïmplementeerd, maar niet alle maatschappen of vakgroepen nemen deel aan het EPD. Via www.profnews.nl/916247/ziekenhuizen-zijn-nog-niet-ver-met-implementatie-epd (laatst bezocht op 27-092010) . 2 H.J.J Leenen, J.K.M. Gevers, J. Legemaate, Handboek gezondheidsrecht deel 1. Rechten van mensen in de gezondheidszorg, Houten: Bohn Stafleu van Loghum 2007, p. 190. 4
persoonsgegevens.3 Verder is het beroepsgeheim aan de orde, dat geldt voor gegevens die zijn vastgelegd in de individuele betrekking tussen de patiënt en de arts en voor vastgelegde gegevens omtrent bijvoorbeeld medische keuringen en preventieve doeleinden. Het geheim is ook een recht van de patiënt en geheimhouding is geregeld in art. 7: 457 BW, art. 272 Wetboek van Strafrecht, art. 218 Wetboek van Strafvordering, art. 88 Wet op de Individuele Beroepsbeoefenaar (Wet BIG) alsook in het tuchtrecht. Het uitgangspunt is dat medische gegevens alleen gebruikt mogen worden voor het doel waarvoor de patiënt ze heeft afgegeven, maar er zijn uitzonderingen op deze regel mogelijk. Van groot belang zijn tevens de mogelijke problemen die voortvloeien uit het digitaliseren van informatie, waaronder patiëntgegevens. Van overheidswege wordt de invoering van ICT in de gezondheidszorg al jaren gestimuleerd. De uitvoering van het landelijke EPD-project kreeg daadwerkelijk vorm toen eind 2006 het waarneemdossier voor huisartsen van de grond kwam. Huisartsen zijn daarna overgestapt van de traditionele groene patiëntenkaart naar de elektronische kaart. Ook maatschappen hebben een eigen elektronisch dossier aangelegd. Deze lokale dossiers, waarvan de invoering begin 2007 volgde, worden elektronische medische dossiers genoemd.4 Verschillende regio's hielden zich in die tijd al
bezig met de voorbereiding op de komst van de informatiesystemen. Voor huisartsen, huisartsenposten, ziekenhuizen en apothekers in heel Nederland werd aansluiting op de landelijke zorginfrastructuur via het landelijk schakelpunt (LSP) mogelijk vanaf het moment dat aan alle voorwaarden betreffende de veiligheid en betrouwbaarheid van landelijke communicatie was voldaan.5 Het landelijk EPD is een database waarmee onder andere huisartsen, specialisten of ziekenhuizen medische gegevens kunnen uitwisselen door middel van aansluiting op het landelijk schakelpunt.6 In deze scriptie zal uitgegaan worden van de definitie die door het Nationaal ICT instituut in de zorg (Nictiz) gehanteerd wordt. Deze luidt als volgt: 'Het elektronisch patiëntendossier is een virtueel dossier dat het uitwisselen van medische gegevens in de toekomst eenvoudiger moet maken. Zorgverleners kunnen dan actuele en volledige informatie over een patiënt vanuit het hele land opvragen en inzien, mits zij daartoe bevoegd zijn en daarvoor toestemming hebben van de patiënten. Patiëntgegevens blijven zo bij de bron.'7
3
Ibidem, p. 260 en 261.
4 T.F.M. Hooghiemstra, ‘Privacy bij ICT in de zorg’, College bescherming persoonsgegevens, Den Haag, november 2002, p. 19. 5 De inwerkingtreding van het wetsvoorstel gebruik BSN in de zorg was daarvoor noodzakelijk, omdat alleen met de BSN-wetgeving veilige en betrouwbare gegevensuitwisseling op landelijk niveau zou kunnen geschieden. Kamerstukken II, 2006/07, 27 529 Informatie- en Communicatietechnologie (ICT) in de Zorg, nr. 29, p. 2 en 3. De wet is gepubliceerd in Staatsblad nr. 164 van 20-05-2008. 6 De gegevens worden uitgewisseld tussen apotheken, ziekenhuizen, huisartspraktijken en huisartsposten. Daarnaast krijgen ook andere groepen zorgaanbieders, zoals de medewerkers in de ambulance en op de spoedeisende hulp, toegang tot het systeem. De patiënt zelf kan op termijn zijn eigen gegevens via internet opvragen', aldus het Informatiepunt BSN in de zorg en landelijk EPD. Via www.infoepd.nl/informatiepunt_com/epd_ict_leveranciers.php (laatst bezocht 27-09-2010). 7 www.nictiz.nl/?mid=65&mod=begrippenlijst#e (laatst bezocht op 13-06-2010). 5
De medische gegevens van een patiënt zullen dus opgeslagen blijven bij de verschillende hulpverleners. Andere hulpverleners binnen Nederland krijgen de mogelijkheid om deze gegevens via het landelijke netwerk op te vragen indien dat voor een behandeling nodig is.8 Een belangrijke voorwaarde is dat vooraf bepaald kan worden of een hulpverlener toegang tot de patiëntgegevens heeft. Dit wordt in het vervolg ‘authenticatie’ genoemd. Een arts identificeert en authenticeert zichzelf door gebruik te maken van de Unieke Zorgverleners Identificatie (UZI)-pas, een patiënt gebruikt hiervoor zijn Burger Service Nummer (BSN).9 Het gaat aldus om een verwijsindex op landelijk niveau, waarmee de toegang tot lokale bestanden met patiëntgegevens mogelijk wordt gemaakt.10 Een dergelijk systeem zou de kwaliteit en efficiëntie van de zorg kunnen vergroten, maar de ruimere toegang- en verspreidingsmogelijkheden kunnen ook leiden tot een verminderde betrouwbaarheid van medische gegevens. Het uitgangspunt is dat wanneer alle huisartsen, apotheken en ziekenhuizen meewerken aan dit landelijke netwerk een beter resultaat kan worden bereikt. De overheid is daarom van plan om voor bovengenoemde hulpverleners deelname aan het EPD-project verplicht te stellen. Het is de bedoeling dat het gebruik van het landelijk EPD in de 'Wet gebruik burgerservicenummer in de zorg' wordt opgenomen. In februari 2009 heeft de Tweede Kamer het wetsvoorstel waarmee de Wet gebruik burgerservicenummer in de zorg gewijzigd kan worden, aangenomen. Invoering van het landelijk EPD is voorlopig echter uit zicht, omdat er veel tegengeluiden waren die onder meer te maken hebben met het eerder aangehaalde inzagerecht, toestemmingsvereiste en geheimhouding. De Eerste Kamer heeft inmiddels het EPD-wetsvoorstel behandeld en besloten dat er aanvullende maatregelen nodig zijn alvorens de wet kan worden ingevoerd. Niettemin kunnen zorgverleners zich blijven aansluiten op het LSP omdat dit op vrijwillige basis is, zo meldt de Nederlandse Patiënten 11 Consumenten Federatie (NPCF).
Probleemstelling & hoofdstukindeling De vraag die in deze scriptie centraal staat, luidt: In hoeverre spelen de problemen die hebben geleid tot het afketsen van het landelijk EPD ook bij regionale EPD's een rol, met het oog op de problematiek die voortvloeit uit de ontwikkelingen in de hedendaagse informatiemaatschappij? In hoofdstuk 1 staan de informatiemaatschappij en privacy in algemene zin centraal. De ontwikkeling van en processen in onze informatiemaatschappij hebben de nodige effecten op 8 www.rijksoverheid.nl/onderwerpen/elektronisch-patientendossier/vraag-en-antwoord/wat-is-de-overheid-vanplan-met-het-landelijk-elektronisch-patientendossier-epd.html (laatst bezocht 4-06- 2010). 9 M.J. Bonthuis, ‘Het EPD en privacy’, Journaal Privacy Gezondheidszorg 2008-7, http://www.itsprivacy.nl/wp-content/uploads/2008/08/journaal-pg-nummer-7-2008.pdf (laatst bezocht 24-082010). 10 www.infoepd.nl/informatiepunt_com/ict_epd_typen_uzimiddelen.php (laatst bezocht op 4-06-2010). 11 Dit in tegenstelling tot hetgeen eerdere berichtgeving suggereerde. De elektronische uitwisseling in de zorg valt ook niet volledig stil, zoals Klink leek aan te geven. NPCF, ‘Patiëntenorganisaties tevreden: informatievoorziening in de zorg niet gestopt’, 8-07-2010. Via http://www.npcf.nl/index.php?view=article&catid=44%3Anieuws&id=1410%3Apatientenorganisatiestevreden-informatievoorziening-in-de-zorg-niet-gestopt&format=pdf&option=com_content&Itemid=64 (laatst bezocht op 29-07-2010). 6
privacy en het verlies van controle op vrijgegeven informatie. Ook de manier waarop privacy momenteel door de samenleving beleefd wordt, inclusief de mate van zelfbeschikking voor wat betreft het maken van beslissingen, wordt beïnvloed door de ontwikkelingen in onze informatiemaatschappij. De architectuur van privacy, de paradox van de infomaatschappij en de kwetsbaarheid van de huidige infomaatschappij worden in dit hoofdstuk besproken. Hoofdstuk 2 bespreekt de grondslagen van de medische relatie voor zover relevant met het oog op privacy. De gezondheidsrechtelijke beginselen en daaruit voortvloeiende patiëntenrechten komen aan bod. De professionele relatie is gebaseerd op vertrouwen en persoonlijke informatie wordt binnen die relatie vrijgegeven ten behoeve van het stellen van een diagnose en/of behandeling. Van groot belang is daarom zowel vertrouwen als het medisch geheim. Tevens komt het recht op inzage in het eigen dossier van de patiënt aan bod, dat een opening biedt waar de patiënt de controle over zijn eigen gegevens per definitie voor een groot deel kwijt is. Hoofdstuk 3 is een analyse van het landelijk EPD. Besproken wordt in hoeverre een dergelijk systeem al dan niet tegemoet komt aan onder meer de eisen van privacy. Ingegaan wordt op de voortgang van het wetsvoorstel en de wijziging van de Wet burgerservicenummer in de zorg. Hierbij komen de haken en ogen die na verloop van tijd boven zijn komen drijven aan de orde. Tegelijkertijd komt het lokale EPD aan bod. Het landelijk en lokaal EPD zullen veelal in samenspraak behandeld worden, omdat de analyse met betrekking tot de opkomst van ICT in de zorgsector voor beide systemen geldt. Het landelijk EPD (de verwijsindex) zal komen te bestaan uit de verschillende lokale EPD’s die in het gehele land al worden ingevoerd. Daarom wordt er alleen nadrukkelijk aandacht besteed aan een lokaal EPD als er zich uitdrukkelijke verschillen voordoen. Hoofdstuk 4 ten slotte is een conclusie van de analyses uit de voorgaande hoofdstukken.
Methodologie De onderzoeksmethode betreft grotendeels een juridische analyse aan de hand van literatuurstudie. De parlementaire geschiedenis, kamerstukken en kritieken uit de literatuur komen aan de orde. Naast analyses die op grond van onder meer wetenschappelijke teksten worden gemaakt, kunnen opinies uit het veld een waardevolle toevoeging zijn. Visies uit het veld bieden wellicht een ruimere blik op de theoretische kant van het verhaal. Daarom zijn vijf medewerkers uit Ziekenhuis Rivierenland Tiel om hun mening met betrekking tot het EPD gevraagd. Er zijn afspraken gemaakt en de individuele vraaggesprekken hebben half november plaatsgevonden. Allereerst zijn ze gewezen op hun eigen privacy en hebben allen toestemming gegeven voor naamsvermelding. In elk gesprek zijn de volgende punten ter sprake gebracht: -
Hoe te denken over de mogelijke knelpunten van een EPD, zowel als het gaat om de landelijke verwijsindex als een koppeling van systemen op lokaal niveau? In hoeverre kan een (landelijk/lokaal) EPD bijdragen aan de belangen van de patiënt? Worden de algemene voldoende gewaarborgd bij digitale vastlegging en raadpleging van patiëntgegevens? Hoe te denken over de aangepaste versie van het wetsvoorstel van het landelijk EPD, als het gaat om het strafrechtelijk aanpakken van misbruik?12
12 G. Herderscheê, Onnodig bekijken EPD kan arts baan kosten, De Volkskrant, 8-10-2010. 7
Het gaat om medewerkers die elk een andere functie bekleden -van arts tot pastor- zodat er verschillende invalshoeken zichtbaar zijn geworden. De gesprekken zijn uitgewerkt en direct ter controle en eventuele correctie teruggestuurd. De uiteindelijke versies van de verschillende opinies komen in de gehele tekst naar voren in kaders.
8
1. Informatiemaatschappij & privacy Alvorens in te gaan op gezondheidsrechtelijke aangelegenheden als het EPD is het nodig om kort aandacht te besteden aan de bredere context waarin dit onderwerp is ingebed. Immers, het politieke beleid omtrent ICT in de gezondheidszorg is onderdeel van een groter geheel. In dit hoofdstuk komt de informatiemaatschappij en privacy in algemene zin aan bod. De vraag die hier opkomt, luidt: Wat is de impact van ontwikkelingen in de informatiemaatschappij op relaties, waaronder de arts- patiëntrelatie?
1.1 Kenmerken van de informatiemaatschappij De huidige samenleving wordt gekenmerkt door het gegeven dat naast bijvoorbeeld landbouwproducten en sociale voorzieningen, informatieproducten onmisbaar zijn geworden. Er kan daarom gesteld worden dat wij leven in een ‘informatiemaatschappij’. Bovens tekent hierbij in de eerste plaats aan dat er wellicht beter gesproken kan worden van een ‘informatiseringsmaatschappij’, omdat informatie-uitwisseling in praktisch elke samenleving voorkomt. Waar het in casu om gaat, is dat het vervaardigen, verwerken en overdragen van informatie de fundamenten zijn geworden van productiviteit en macht.13 In de sociale communicatie tussen mensen en organisaties is informatie kortom een essentiële rol gaan spelen. Veelal gaat het daarbij om informatie in de zin van persoonsgegevens, die zowel commerciële als -al dan niet commerciële- dienstverlenende doeleinden kunnen hebben. Op verschillende manieren wordt persoonsinformatie verzameld en soms is dat duidelijk kenbaar, maar niet altijd, zoals bij spyware. De verzamelde informatie kan bijvoorbeeld gekoppeld worden aan andere gegevens, met als gevolg dat gegevens die eerst niet tot een bepaalde persoon te herleiden waren, op een later moment toch herleidbaar kunnen zijn.14 In de tweede plaats merkt Bovens op dat deze tendens niet nieuw is, omdat in de jaren ’50 informatiediensten en -voorzieningen al steeds belangrijker werden. De grootscheepse ontwikkeling en toepassing van ICT-diensten en -producten is meer recent, maar lijkt voornamelijk al voorkomende trends kracht bij te zetten in plaats van ze zelf te veroorzaken.15 In het licht van de voorgaande twee opmerkingen vertoont onze informatiemaatschappij volgens Bovens de volgende vier uitgangspunten. Ten eerste noemt hij deterritorialisering, hetgeen wil zeggen dat de informatiemaatschappij gekenmerkt wordt door overschrijding van landsgrenzen. Het uitwisselen van informatie is niet plaatsgebonden en gegevens kunnen binnen het terrein van meerdere landen tegelijk vallen of helemaal niet tot een bepaald landsgebied behoren. Het tweede uitgangspunt is turbulentie, want technieken en applicaties zijn razendsnel weer achterhaald en opgevolgd door nieuwere versies. Tegelijkertijd is het moeilijk te voorspellen in hoeverre nieuwe technologieën daadwerkelijk gebruikt worden in de samenleving en wat de gevolgen ervan op maatschappelijk gebied zijn. Ook kan nieuwe kennis op zichzelf leiden tot veranderingen in de samenleving, omdat deze snel overal verspreid kan worden. Dit kan vervolgens weer verandering van gedrag in de maatschappij tot gevolg hebben. Als derde uitgangspunt wordt horizontalisering genoemd en dit vloeit voort 13 M.A.P. Bovens, De digitale rechtsstaat. Beschouwingen over informatiemaatschappij en rechtsstaat (oratie Utrecht), Utrecht:18 november 1998, p. 8. 14 U.R.M.Th. de Vries, M. van der Linden-Smith, H. Tigchelaar, 'Identiteitsfraude en privacy', Privacy & Informatie 2008-4, p. 177. 15 M.A..P. Bovens, , Informatierechten. Over burgerschap in de informatiemaatschappij, Preadvies voor de Nederlandse Vereniging voor Wijsbegeerte van het Recht, Utrecht: 1999, p. 4. Ook: oratie Utrecht, 1998, p. 8. 9
uit de eerste twee uitgangspunten. Onderhandelen speelt immers een belangrijke rol in sociale betrekkingen. De overheid en grote bedrijven staan niet meer in een hiërarchische relatie ten opzichte van de rest van de maatschappij, omdat zij geen macht hebben over het informatisering- en digitaliseringproces. Zij zijn bijvoorbeeld voor hun informatievoorziening grotendeels afhankelijk geworden van andere spelers, waardoor markten en netwerken belangrijker zijn geworden als het gaat om de manier van maatschappelijke organiseren. Het vierde kenmerk van de informatiemaatschappij dat Bovens noemt is dematerialisering. Gegevens (meestal immaterieel) in de brede zin van het woord zijn in de plaats gekomen voor fysieke goederen. Gegevens kunnen zoals eerder gezegd grenzen overstijgen en daardoor kan dezelfde informatie eindeloos gemigreerd en gekopieerd worden. Echter, het vinden en controleren van informatiediensten en –producten wordt per definitie een moeilijke klus. Bovens concludeert hieruit dat het voor iemands maatschappelijke positie dan ook minder relevant is hoeveel materiële goederen diegene bezit. Daarentegen is het van groot belang dat iemand over toegang tot informatie en informatiekanalen beschikt en ook controle over die toegang heeft.16 Ten slotte is er een vijfde kenmerk dat ziet op de omgang met, bewerking van en toegang tot data. In het digitale tijdperk is het mogelijk om media, anders dan met andere vormen van elektronische media zoals een LP, data uit elkaar te trekken en weer in elkaar te zetten. Dit maakt dat de vorm aangepast kan worden.17
1.2 Burgerschap in de informatiemaatschappij De hierboven genoemde karakteristieken van de informatiemaatschappij hebben tot gevolg dat de invulling van het begrip burgerschap is veranderd. Bovens haalt drie klassieke aspecten van burgerschap aan: de burger als onderdaan, als citoyen, en als maatschappijlid.18 Deze aspecten leiden volgens hem tot de gevolgtrekking dat de eerder ontwikkelde burgerrechten niet meer voldoen om als burger in de informatiemaatschappij rechten uit te oefenen. Hij stelt daarom dat er ook gedacht moet worden aan nieuwe informatierechten.19 Immers, van wezenlijk belang voor de rechtszekerheid is dat burgers ten aanzien van de overheid een recht hebben op (elektronische) informatie over hun juridische situatie. ICT kan hierbij dienstig zijn om mensen snel en gemakkelijk beschikking te geven over de voor hen benodigde gegevens omtrent onder andere regels, beleid en richtlijnen. Bovens benadrukt overigens dat het hier gaat om een voorwaarde van legaliteit en dat enkel voorlichting en/of inlichtingen geven van
16 ‘Wie bijvoorbeeld geen sofi-nummer, e-mailadres, chipkaart of kabelaansluiting heeft, loopt in de toekomst het risico maatschappelijk en politiek te worden gemarginaliseerd’, aldus Bovens 1999, p. 4 en 5. 17 J. M. Slevin, The internet and society, Cambridge: Polity Press 2000, p. 1 t/m 5. 18 Voor de burger als onderdaan geldt dat informatierechten bovenal de tegenhanger zijn van de overigens om een recht op informatie dat burgers hebben t.a.v. de overheid. De burger als citoyen, ziet op de informatieplichten, die mensen als staatsonderdanen in de informatiemaatschappij hebben. Speerpunt in dit kader is het legaliteitsbeginsel, waarbij hier vooral rechtszekerheid, wetmatigheid en kenbaarheid relevant zijn. Het gaat hier grondrechtelijke waarborg op de toegang tot (overheids)informatie. De burger als lid van de samenleving ten slotte, is een aspect dat aangeeft dat informatiekanalen, -diensten en -produkten inmiddels onmisbare goederen zijn in een informatiemaatschappij. Dat gaat op voor zowel de verticale relatie tussen overheid en burger, als voor de horizontale relatie tussen burgers zelf. 19 Bovens 1999, p. 7. 10
overheidskant niet genoeg is.20 Een recht op informatie is tevens gerechtvaardigd vanuit de gedachte dat burgers in verschillende situaties een informatieplicht hebben tegenover de overheid, zoals bij de belastingdienst, de Informatiebeheergroep en de uitvoeringsorganen aangaande de sociale zekerheid. Om enige controle te kunnen houden op de informatieverzameling van de overheid zijn er een paar ‘beginselen van behoorlijk IT-gebruik bij informatisering’ ontwikkeld. Het uitgangspunt daarbij is dat mensen in de gelegenheid moeten kunnen worden gesteld om in te zien welke gegevens op welke plaats en met welk doel zijn vastgelegd. Om deze reden is een bijzonder informatierecht, dat specifiek ziet op de eigen persoonsgegevens, een onvermijdelijke eis voor de totstandkoming van beginselen van behoorlijke informatisering, waaronder de voorwaarden van integriteit, authenticiteit en transparantie.21 Volgens Bovens zijn burgerschap en informatierechten onlosmakelijk met elkaar verbonden, omdat dergelijke rechten in relatie staan tot het functioneren van mensen in de samenleving. Dat geldt ten opzichte van de overheid, maar ook ten opzichte van andere burgers en private rechtspersonen. Informatierechten bestaan daarnaast uit niet één, maar meerdere rechten. Al met al stelt Bovens dat er drie groepen informatierechten kunnen worden onderscheiden, uitgaande van de verhouding tussen burger en overheid. In de eerste plaats zijn dat de primaire informatierechten, die burgers een rechtstreekse claim op directe toegang tot overheidsinformatie geven. In de tweede plaats zijn er de secundaire informatierechten. Deze zien op de claim op overheidshulp, als het gaat om het beschikken over toegang tot essentiële informatiekanalen. Deze rechten bieden geen rechtstreekse claim op feitelijke gegevens, maar zien slechts op de mogelijkheid van toegang tot wegen die al dan niet tot het verkrijgen van informatie kunnen leiden. In de derde plaats worden tertiaire informatierechten genoemd, die ter ondersteuning kunnen dienen bij het bemachtigen van gegevens over burgers en hun relaties onderling en met particuliere rechtspersonen. Bij deze laatste rechten is de invloed van de overheid minimaal. Het gaat enkel om het realiseren van een raamwerk waarin mensen de gelegenheid hebben om aan hun benodigde informatie te komen.22
1.3 De veranderende betekenis van privacy De ontwikkelingen in de informatiemaatschappij hebben tot nieuwe problemen omtrent privacy geleid. Volgens Solove zijn deze problemen het gevolg van de stroom aan informatie die tegenwoordig in beweging is. Te denken valt aan de digitale dossiers vol met persoonsgegevens en aan de toenemende toegang tot persoonsinformatie. Ook het feit dat vaker gebruik gemaakt wordt van persoonlijke informatie bij het maken van belangrijke beslissingen over het leven van mensen leidt tot vragen omtrent de bescherming van privacy. Maar ook de overdracht van informatie tussen verschillende instellingen, de toename in het gebruik van persoonsgegevens en de opgekomen samenwerking tussen private instellingen die informatie verzamelen en overheidsinstanties met handhavingstaken zorgen voor moeilijkheden. Deze materie is van een andere soort dan de traditionele privacyproblematiek en vereist daarom een andere aanpak, aldus Solove. Het beschermen van privacy begint 20 ‘Afdwingbare, adequate, specifieke en tijdige inlichtingen’ zijn nodig, meent Bovens: ‘Bij informatierechten als uitvloeisel van een virtueel wetsbegrip gaat het immers niet meer om voorlichting of ‘communicatie`, maar om een elementair onderdeel van de eis van legaliteit’. 21 Bovens 1999, p. 8 en 9. 22 Ibidem, p. 12. 11
volgens hem met het construeren van het begrip privacy, zodat het grotere maatschappelijke geheel zichtbaar wordt. Solove noemt dit de ‘architectuur van privacy’. Hij stelt dat oplossingen voor problemen aangaande privacy niet kunnen worden opgelost door reconstructie; middels de uitoefening van rechten en het introduceren van wetgeving. Een juiste constructie van (de structuur van) het ontwerp is juist wel nodig. De architectuur die neergezet wordt, is immers onveranderbaar.23 In de traditionele betekenis wordt uitgegaan van handelingsprivacy. Schending van privacy impliceert dan een reeks afzonderlijke misstanden betreffende bepaalde individuen. Dit voldoet niet meer, volgens Solove.24 Het waarborgen van privacy betekent volgens het traditionele model dan ook dat individuen beschermt worden tegen inbreuken op hun privacy. Privacybescherming komt daarbij tot stand door een aantal rechten en corrigerende maatregelen of straffen uit te oefenen jegens daders, als reactie op de privacyinbreuken. Daarnaast gaat het traditionele model er meestal vanuit dat maatregelen tegen daders plaatsvinden op initiatief van de getroffen individuen. Oftewel, privacy wordt beschouwd als een persoonlijk recht dat afgedwongen kan worden door aan individuen maatregelen ter beschikking te stellen om inbreuken op hun privacy achteraf te bestraffen.25 Echter, volgens Solove zijn veel hedendaagse privacyproblemen niet op te lossen met dit traditionele model. Moderne privacyproblemen worden namelijk vaak gekenmerkt door het feit dat ze voortvloeien uit informatiestromen die plaatsvinden tussen verschillende instanties. Hierdoor is er meestal niet één specifieke dader aan te wijzen, wanneer er inbreuk wordt gemaakt op iemands persoonlijke levenssfeer. Het komt erop neer dat in de huidige betekenis van privacy de verantwoordelijkheid ervoor verspreid is over vele actoren. Die actoren hebben allemaal verschillende beweegredenen, doelstellingen en doen ieder verschillende dingen op verschillende tijdstippen.26 De stroom aan informatie heeft problemen tot gevolg die hun weerslag hebben op de maatschappij die we ontwikkelen. Immers, het steeds groeiende gebruik en verspreiden van persoonsgegevens leidt ertoe dat mensen in toenemende mate kwetsbaar en machteloos worden. Mensen verliezen de eigen controle over persoonlijke informatie, die ook nog eens terechtkomt in een proces dat op zichzelf al niet behoorlijk gecontroleerd wordt. De handhaving van hun privacy aan personen zelf overlaten is geen optie, omdat zij daar zelf geen controle over kunnen hebben. Het recht zou daarom aan mensen die hun privacy wel adequaat willen beschermen handvaten kunnen aanreiken. Echter, zo eenvoudig ligt het ook weer niet, omdat veel privacyproblemen niet op te lossen zijn door enkel te vertrouwen op acties aan de kant van individuen, schrijft Solove. Als mensen een persoonlijk recht op controle van de eigen persoonsgegevens zouden hebben, zou dat ogenschijnlijk impliceren dat zij daadwerkelijk zeggenschap hebben over die informatie. Dit probleem wordt ‘the autonomy trap’ genoemd. De waarborg van de eigen privacy zelf in handen hebben, lijkt dan ook alleen te werken wanneer iemand genoeg kennis, macht en middelen heeft om gebruik te maken van zijn rechten daartoe. De meeste tijd is dit niet het geval.27 Er is dus een systeem vereist waarin 23 D.J Solove, Identity Theft, Privacy, and theArchitecture of Vulnerability, Hastings Law Journal, Vol. 54, 2003, p. 1228. 24 Solove 2003, p. 1230. Uitgegaan wordt van acties van een specifieke dader, hetgeen schade oplevert bij de individuen die worden 25 Ibidem, p. 1231.
getroffen door de misdaad.
26 Ibidem, p. 1232. 27 Ibidem, p. 1234 en p. 1236. 12
privacyrechten effectief uitgeoefend kunnen worden. Ook is het van belang dat mensen bijvoorbeeld niet onder druk staan of misleid worden bij het vrijgeven van hun data, want dan hebben hun rechten die zien op instemming met informatieverzameling ook weinig nut.28 In het verlengde hiervan kan geconcludeerd worden dat het traditionele model vaak over het hoofd ziet dat sommige privacyproblemen op juridisch en sociaal gebied structureel zijn en aldus de maatschappij in zijn geheel treffen, in plaats van enkel individuele personen. Renovatie volstaat kortom niet, stelt Solove. Wat wel nodig is, zijn fundamentele technologische wijzigingen.29
1.4 De paradox van de informatiemaatschappij Het woord architectuur impliceert dat een er een bepaalde technologische structuur bestaat, welke voortkomt uit een ontwerp. Het verzamelen, verspreiden en koppelen van informatie wordt vormgegeven door onderdelen van die structuur.30 Naast de rol die architectuur kan spelen als rechtstreekse fysieke beperking, bijvoorbeeld in de vorm van een muur, kan het de waarneming beïnvloeden door een bepaalde uitdrukking weer te geven. Zo wordt ten dele de structuur van de maatschappij bepaald: door menselijk gedrag, attitudes, gedachtegangen en interacties te beïnvloeden. In het licht hiervan meent Solove dat architectuur een stempel kan drukken op de samenleving door de mate van privacy die mensen hebben te vergroten of verkleinen. Door de wijze van vormgeving van zowel openbare als privé ruimtes, kunnen mensen in een wereld kunnen belanden waarin zij kwetsbaar zijn voor wezenlijke schade, maar daar niks tegen kunnen doen. Solove noemt dit ‘de architectuur van de kwetsbaarheid’.31 Ervan uitgaan de problemen betreffende privacy gezien kunnen worden als een opgebouwde architectuur, wordt het duidelijk dat privacyproblematiek gerelateerd is aan het soort samenleving waarin we ons bevinden. Immers, informatiestromen zijn onmisbaar bij het vormgeven van de huidige informatiemaatschappij. Het ontwerp van informatienetwerken speelt aldus een grote rol bij het structureren van onze wereld. De architectuur van informatienetwerken kan daarom gedrag, attitudes, normen, sociale interactie, en het gevoel van vrijheid en veiligheid van mensen op een soortgelijke manier beïnvloeden als de vormgeving van gebouwen en steden, stelt Solove. Volgens Solove is privacy tot op zekere hoogte juridisch gestructureerd, maar niet volledig. Het recht construeert de wereld waarin we leven en creëert mogelijkheden om gegevens te verbergen of juist beschikbaar te maken. Als gevolg van de aanwezigheid van het recht wordt 28 Mensen zijn snel geneigd om een deel van hun persoonlijke levenssfeer op te geven, waardoor verwachtingen die mensen hebben omtrent de mate van privacy afnemen. Als de bescherming van privacy voornamelijk afhangt van individuele rechten en persoonlijke acties, zullen problemen opdoemen. Het is moeilijk om schade als gevolg van het vrijgeven van informatie te herkennen en om de macht en middelen te hebben om dergelijke privacyrechten uit te oefenen. 29 Solove 2003, p. 1238. 30 ‘Architecture is an effective way to describe the way privacy is protected or diminished in our society, for the metaphor of architecture captures how legal regulations- or the lack there of- structure social interaction as well as the degree of social control and freedom in a society’, aldus Solove. 31 Ibidem, p. 1239, 1240 en 1241. 13
enerzijds bepaalde informatie in de openbaarheid gebracht, waar anderzijds het recht ervoor zorgt dat sommige plaatsen juist een privéaangelegenheid blijven, zoals de huizen waarin mensen leven. Rechtsregels hebben daardoor invloed op de verwachtingen die mensen hebben van privacy. Veel problemen aangaande de persoonlijke levenssfeer zijn het gevolg van eerdere juridische beslissingen waarmee vorm is gegeven aan de huidige samenleving. Het komt erop neer dat de wijze waarop middels recht de informatiemaatschappij vorm krijgt, bepalend is voor de mate van afbrokkeling van privacy. Om problemen rondom privacy aan te pakken, is dan ook bescherming nodig in de vorm van een sociaal bouwwerk. Een dergelijke architectuur kan de verdeling van macht in contacten tussen mensen, instellingen en de overheid organiseren. Het waarborgen van de persoonlijke levenssfeer hangt aldus samen met het in goede banen leiden van deze verhoudingen en kan bijvoorbeeld gerealiseerd worden door de macht van bureaucratische organisaties in te perken.32 Privacy waarborgen vanuit het idee van architectuur is meer proactief en houdt in dat structuren worden verwezenlijkt om schade te voorkomen, in plaats van maatregelen te verschaffen nadat schade aan de persoonlijke levenssfeer is ontstaan. Strafrecht bijvoorbeeld, benadrukt meestal het individu en wel op een manier dat er geen structurele veranderingen plaatsvinden. Om de hedendaagse privacyproblematiek aan te pakken, is erkenning van de verschillen tussen de problemen nodig. Het ontwerpen van rechtsregels die uitgaan van de architectuur van privacy, in plaats van het traditionele model, zou meer van dienst kunnen zijn. Vasthouden aan oude zienswijzen en die proberen toe te passen op de nieuwe problemen in onze moderne informatiemaatschappij is weinig zinvol, aldus Solove.33 Om nader tot het toepassingsgebied van deze scriptie te komen, kan de positie van de burger gespecificeerd worden naar de positie als patiënt in de informatiemaatschappij. De patiënt heeft een recht op privacy dat is neergelegd in art. 10 van de Grondwet, de WBP, de WGBO, in specifieke gezondheidsrechtelijke regelingen zoals de Wet afbreking zwangerschap en in internationale verdragen. Behalve aspecten als inzage en geheimhouding34 speelt hierbij het begrip ‘informationele privacy’, dat betrekking heeft op persoonsgegevens, een grote rol. In onze maatschappij worden eindeloos veel persoonsgegevens onder meer verzameld, bewerkt en uitgewisseld. Het recht op privacy krijgt zodoende steeds meer gewicht. Een van de belangrijkste aspecten van dit recht is de mogelijkheid om zelf te bepalen in welke mate persoonsgegevens toegankelijk worden voor anderen. Hieruit blijkt overigens al dat het geen absoluut recht is.35 Informationele privacy gaat over de zeggenschap over de eigen persoonsgegevens en kortweg kan gezegd worden dat als persoonsgegevens gedigitaliseerd worden, de persoon aan wie ze toebehoren de controle erover verliest. Problematisch is echter dat omwille van het verkrijgen van dienstverlening het verstrekken van persoonsgegevens veelal een vereiste is. Hierdoor is het praktisch onmogelijk is om steeds zeggenschap over de eigen persoonsgegevens te hebben. Als gevolg van het feit dat mensen genoodzaakt zijn om keer op keer hun persoonsgegevens af te geven, bestaat ook de kans dat mensen slachtoffer 32 Solove 2003, p. 1241 en 1242. 33 Ibidem, p. 1242 en 1243. 34 Het recht op privacy in de gezondheidszorg vloeit deels voort uit het beroepsgeheim, waardoor regels m.b.t. het beroepsgeheim doorwerken in het recht op privacy, aldus H.J.J. Leenen, J.K.M. Gevers, J. Legemaate, Handboek gezondheidsrecht deel 1. Rechten van mensen in de gezondheidszorg, Houten: Bohn Stafleu van Loghum, 2007, p. 252. 35 Leenen, Gevers, Legemaate 2007, p. 250-252. 14
van misbruik van die gegevens worden.36 De gedachte dat mensen de controle verliezen over (het gebruik van) hun gegevens, maar dat diezelfde kwetsbaarheid voor misbruik een impliciet gevolg is van onze informatiemaatschappij zelf, wordt de 'architectuur van de kwetsbaarheid' genoemd. Immers, informatie heeft juist effectieve dienstverlening tot doel en zal dus uitgewisseld moeten worden. Daar is de mogelijkheid tot misbruik een bijkomend effect van.37
M. Heemskerk, Hoofd Zorginnovatie & EPD: Als het gaat om de vernietiging van gegevens, is het natuurlijk zo dat bij digitale dossiers de kans groter is dat er restjes informatie achterblijven in bijv. back-ups. Maar in hoeverre doet het ertoe dat die gegevens niet écht weg zijn? Back-upsystemen zijn er niet op gericht om directe toegang tot die - ogenschijnlijk verwijderde- gegevens te verschaffen.
1.5 Kwetsbaarheid van de informatiemaatschappij De kwetsbaarheid van de informatiemaatschappij bestaat volgens Luijf uit twee aspecten. Aan de ene kant bestaat er het gevaar dat burgers en bedrijven hun vertrouwen in de ICTsamenleving verliezen. Aan de andere kant is het gevaar aanwezig dat deze maatschappij, mogelijk ernstig, beschadigd raakt door storingen of uitval van fundamentele infrastructuren.38 Het is daarom van belang dat zowel burgers, ook voor wat betreft hun rol als consument, als bedrijven en de overheid vertrouwen houden in ICT als onderdeel van de samenleving. Bescherming van privacy, de betrouwbaarheid van ICT-toepassingen en de mate van controle over de eigen gegevens zijn daarbij van groot belang. Uit onderzoek over de kwetsbaarheid van ICT39 is gebleken dat Nederland een groot internetknooppunt is geworden. Daarentegen gingen informatiesystemen tegelijkertijd in toenemende mate gebukt onder schade waarbij de beschikbaarheid, vertrouwelijkheid of integriteit van de systemen op het spel stond. Tevens is het voor de overheid lastig om veiligheidscontrole op ICT-netwerken uit te oefenen. Als het gaat om de veiligheid van systemen is het namelijk moeilijk om specifieke verantwoordelijken te bepalen. Bijvoorbeeld het ontwikkelen van standaarden voor ICT, hetgeen belangrijk is voor netwerkbeheer, komt op de markt tot stand. Het gevolg daarvan is dat de overheid weinig invloed erop heeft. Ook het grensoverschrijdende aspect van de netwerken speelt een rol. Immers is de vraag in hoeverre een nationale overheid nog daadwerkelijk invloed heeft op de bestrijding van schade aan informatiesystemen.40
36 De Vries, van der Linden-Smith en Tigchelaar 2008, p. 171, 175, 176. 37 Ibidem, p. 177. 38 Luijf, ‘De kwetsbaarheid van de ICT-samenleving’, Justitiële verkenningen 2004-8, p. 22. 39 Rathenau Instituut, Startnotitie ‘Kwetsbaarheid van de informatiesamenleving’, onderdeel van het project ‘Kwetsbaarheid en ICT’ 2001-2004. 40 Ibidem, p. 3 en 4. 15
Luijf noemt verschillende ontwikkelingen die een bedreiging kunnen zijn voor de informatiemaatschappij en in het bijzonder voor de ICT dienstverlening.41 Aangekaart wordt de vraag of de Nederlandse maatschappij misschien wel teveel vertrouwen in de internetinfrastructuur heeft. Daarnaast speelt de vraag of de overheid capabel genoeg is om opzettelijke verstoringen effectief aan te pakken.42 ICT is in algemene zin kwetsbaar vanwege het ‘matige beveiligingsbewustzijn van ICT-gebruikers’ zoals Luijf schrijft, in combinatie met de lage kwaliteit van software. Problemen die van hieruit kunnen ontstaan, kunnen gevolgen hebben voor het vertrouwen in ICT van de gehele samenleving. Onder meer virussen, wormen en Trojaanse paarden vinden hun ingang in computers van burgers, bedrijven en in overheidssystemen. De ICT-samenleving wordt daadwerkelijk bedreigt als er een massale besmetting van systemen plaatsvindt, aldus Luijf. Als gevolg van overbelasting zullen netwerken blokkeren en documenten lopen het risico om vernietigd te worden. Grote en langdurige schade, zoals een lange verstoring van het elektronisch belastingaangifte doen, kan veel effect hebben op de samenleving in zijn geheel. Gevaarlijker wordt het nog wanneer het netwerk dat schade oploopt fundamentele systemen omvat, bijvoorbeeld systemen waar patiënteninformatie in vastgelegd is. In dergelijke gevallen wordt een groot aantal mensen en instellingen geraakt en terugloop van het vertrouwen in de informatiemaatschappij lijkt dan onvermijdelijk.43 Naast deze algemene kwetsbaarheid van ICT-netwerken is er een ander soort kwetsbaarheid in de fundamentele infrastructuren van onze huidige samenleving te vinden. Wanneer deze netwerken plat komen te liggen, kunnen er levensbedreigende situaties ontstaan. Ook kan de samenleving grote schade oplopen aan fundamentele belangen welke van belang zijn voor het blijven bestaan van ‘onze territoriale, fysieke, economische en ecologische veiligheid’ alsook ‘de Nederlandse politieke en sociale stabiliteit’, meent Luijf.44 Uit het eerder genoemde onderzoek naar kwetsbaarheid en ICT blijkt ook dat deze kwetsbaarheid te beïnvloeden is door de samenleving weerbaarder te maken tegen de risico’s. Allereerst kan daarbij gekeken worden naar het verschil in weerbaarheid bij de verscheidene groepen die in de samenleving voorkomen, zoals arm en rijk.45 Daarnaast speelt het 41 Het gaat hierbij om dreigingen m.b.t. opsporing en strafbaarstelling, waaronder de dreigingen tegen ICT en de ICT-infrastructuur. Uitgegaan wordt van menselijke opzet of verwijtbaar onvoorzichtig handelen en van dreigingen die een negatief effect hebben op de uitvoering van justitiële werkzaamheden. 42 Luijf 2004, p. 23. 43 Ididem 2004, p. 24-26. Hacking vormt vooral een bedreiging voor onze maatschappij daar waar het voortvloeit uit criminele circuits waarin grote geldbedragen om gaan. Gestolen informatie , digitale fraude en geplunderde rekeningen worden genoemd ter illustratie. 44 Ibidem, p. 28 en 29. Echter, omdat historisch gezien onze voorzieningen een hoge betrouwbaarheidsfactor hebben, investeren bedrijven bijna niet in alternatieve oplossingen, zoals noodaggregaten. Dat er in het verleden geen problemen waren, wil niet zeggen dat het in de toekomst niet gebeurt. Doordat er meer en meer fundamentele producten en diensten met elkaar gecombineerd worden tot een nieuw product of een nieuwe dienst, wordt de maatschappij steeds afhankelijker van meer essentiële infrastructuur. Tegelijkertijd zijn er geen opties om op terug te vallen, omdat oude toepassingen of werkwijzen weggewerkt zijn. Deze ontwikkeling vormt aldus een nieuwe bedreiging. 45 Risico’s zijn aan de ene kant afhankelijk van iemands maatschappelijke klasse, maar tegenwoordig is hier minder sprake van. Anderzijds is als gevolg van het globale karakter van huidige risico’s, iemands plaats op de maatschappelijke ladder ook minder relevant. 16
vertrouwen dat mensen in ICT hebben een grote rol bij de mate van weerbaarheid van de samenleving. Dit vertrouwen wordt regelmatig aangemerkt als een onmisbare voorwaarde voor de groei van de informatiemaatschappij. Storingen in de ICT-infrastructuur kunnen ertoe leiden dat het vertrouwen van burgers in de technologie afbrokkelt. Wanneer als gevolg van storingen schade aan privacy ontstaat, bijvoorbeeld omdat bepaalde gegevens openbaar worden gemaakt, kan de maatschappelijke acceptatie van ICT in het gedrang komen.46
1.6 Identiteitsfraude47 De kwetsbaarheid van informatietechnologie houdt verband met een probleem dat steeds groter lijkt te worden naar mate het gebruik van ICT (-infrastructuren) toeneemt. Prins en Van der Meulen stellen dat de mate van identiteitsdiefstal direct gekoppeld is aan de zwakke plekken van een identificatiemiddel of –infrastructuur. 48 Volgens hen kan met preventie, dat uit twee elementen bestaat, al veel bereikt worden. Ten eerste is het zaak om kwetsbare delen onder handen te nemen en ervoor te zorgen dat volgende identificatieapplicaties minder kwetsbaar zijn. Ten tweede is het nodig dat mensen zich meer bewust worden van de kwetsbaarheid die sommige ICT-toepassingen en identificatiemiddelen met zich meebrengen. Voorzichtiger omgaan met het afgeven van persoonsinformatie en oplettender gebruik maken van (financiële) handelingen met bijvoorbeeld bedrijven zou al veel schade kunnen voorkomen. Prins en Van der Meulen benadrukken daarnaast dat het verschijnsel identiteitsdiefstal logischerwijs voortvloeit uit onze huidige samenleving. We zijn immers afhankelijk van identificatiemiddelen willen we bepaalde voorzieningen, diensten etc. verlenen of bemachtigen. Tevens ziet de beleidsvorming vooral op het steeds verder integreren en centraal stellen van identificatiesystemen en –middelen, omdat dit efficiënt en kostenbesparend lijkt te zijn. Echter, daarmee wordt de samenleving steeds meer afhankelijk van het goed functioneren van die centrale infrastructuren. Het gevolg is dat de maatschappij juist gevoeliger wordt voor identiteitsfraude.49 Identiteitsfraude is aldus maatschappelijk gerelateerd, in die zin dat er samenhang is met de huidige betekenis van identiteit/identificatie in onze samenleving. Immers is het belang van (persoons-) informatie sterk gegroeid. Daarentegen zijn mensen als gevolg van de digitalisering van die gegevens meer en meer anoniem geworden. Deze anonimisering heeft invloed op de inhoud van het begrip identiteit en op de waarde van identiteitsbescherming en 46 Rathenau Instituut 2001-2004, p. 5 en 6. Als voorbeeld wordt genoemd elektronische handel en internetbankieren. Veel mensen maken hiervan gebruik, maar de mogelijkheid dat er iets fout gaat is altijd aanwezig. Als dat gebeurt, zijn er behalve financiële kosten ook negatieve gevolgen voor het imago van banken en voor het vertrouwen van burgers. 47 Een definitie van identiteitsfraude: ‘Identiteitsfraude is het opzettelijk en wederrechtelijk (met of zonder toestemming) verkrijgen, toe-eigenen, bezitten of creëren van valse identificatiemiddelen en het daarmee begaan van een wederrechtelijke gedraging of: met de intentie om daarmee een wederrechtelijke gedraging te begaan’. Blijkens onderzoek van U.R.M.Th. de Vries e.a., ’Identiteitsfraude: een afbakening. Een internationale begripsvergelijking en analyse van nationale strafbepalingen’, Universiteit Utrecht: 2007, p. 12. 48 J.E.J. Prins en N.S. van der Meulen, ‘Identiteitsdiefstal: lessen uit het buitenland’, Justitiële verkenningen 2006-7, p. 14. 49 J.E.J. Prins en N.S. van der Meulen 2006, p. 14 en 17. 17
–informatie. De eerder besproken architectuur van de kwetsbaarheid kan hieraan gekoppeld worden, omdat mensen zelf geen zeggenschap meer hebben over de controle en vastlegging van de eigen persoonsinformatie. Hieruit vloeit voort dat een slachtoffer van identiteitsfraude geen idee heeft wat er allemaal met zijn informatie gebeurt. Ook heeft een slachtoffer daardoor geen mogelijkheid tot het herstellen van fouten die zijn gemaakt tijdens de fraude. Anonimisering heeft aldus ook tot gevolg dat onze maatschappij kwetsbaarder is geworden voor misbruik van informatie.50 Een ander probleem dat zich voordoet bij identiteitsfraude, is het gegeven dat de sporen van een strafbaar feit die een dader achterlaat meestal juist naar het slachtoffer leiden. Kenmerkend voor de digitalisering van gegevens is dat verrichte handelingen steeds meer sporen achterlaten, maar aan het digitale spoor is niet te zien welke persoon er daadwerkelijk achter de handelingen zit. Zodoende wijzen de sporen bij succesvolle identiteitsfraude altijd in de richting van het slachtoffer en niet naar de dader.51 Grijpink noemt nog twee kenmerken van identiteitsfraude, waaronder de zogenaamde olievlekwerking. De fraude, die begint op een kwetsbaar punt in een specifiek netwerk, verspreidt zich onopvallend naar andere netwerken en processen. Daarnaast vindt er bij identiteitscontroles in een gedigitaliseerde ruimte een machtsverschuiving plaats tussen de verhouding van de controleur en degene die wordt gecontroleerd. Immers, normaal gesproken wordt met de gecontroleerde weinig rekening gehouden. Wanneer het gaat om een digitaal proces of bij gebruikmaking van digitale toepassingen heeft de gecontroleerde echter de touwtjes in handen. Succesvolle identiteitsfraude komt op het moment zelf namelijk niet aan het licht. Hooguit komt een slachtoffer er achteraf achter, maar dan leiden zoals eerder gezegd de sporen meestal niet naar de dader, waardoor deze moeilijk te vinden is.52 Grijpink gaat ook in op het burgerservicenummer. De verplichting die strekt tot het gebruik van één algemeen openbaar persoonsnummer leidt ertoe dat een dergelijk nummer veel waarde heeft. Dit impliceert ook dat het BSN gevoeliger wordt voor misbruik, fouten en fraude, aldus Grijpink. Doordat het BSN het verplichte, algemeen gehanteerde nummer is, blijven er minder verschillende persoonsnummers bestaan. De controlemogelijkheden zijn daarmee minder geworden, omdat het gebruik van verschillende controle- of toegangsnummers, welke tot aansluitende persoonsinformatie leiden, is afgenomen. Dit is een nadeel van het verplichte gebruik van het BSN, omdat zo’n algemeen persoonsnummer problematischer is als het gaat om het beheer ervan. Het nummerbeheer zou volgens Grijpink eigenlijk gefocust moeten zijn op de risico’s die bestaan in de moeilijkste sector. Hier willen de andere sectoren die gebruik maken van het nummer echter vaak omwille van het kostenplaatje geen prioriteit aan geven. Al met al kan dus gesteld worden dat een verplicht algemeen persoonsnummer handig lijkt, maar dat het ook betekent dat het moeilijker is identiteitsfraude en privacyinbreuken tegen te gaan bij gebrek aan onafhankelijke gegevens die ter controle kunnen dienen.53 Wat het BSN betreft is het van belang om voor te zijn dat 50 U.R.M.Th. de Vries e.a. 2007, p. 24 en 25. Alleen wanneer de neveneffecten van digitalisering (waaronder anonimisering) als uitgangspunt worden genomen, kan misbruik van informatie structureel en efficiënt worden geproblematiseerd en daarna worden bestreden. 51 J.H.A.M. Grijpink, Identiteitsfraude en overheid, Justitiële Verkenningen 2006-7, p. 39. ‘Het slachtoffer moet dan bewijzen dat hij iets niet heeft gedaan. Dat lukt vaak niet’. 52 Ibidem, p. 40-41. 53 Ibidem, p. 53. 18
overheidsinstanties het tegelijkertijd gebruikmaken van andere persoonsgegevens, in verband met de algemene bestrijding van identiteitsfraude, als een hindernis ervaren. Verder stelt hij dat verplicht gebruik van het BSN alleen voor het aaneensluiten van gegevens binnen de overheid zou moeten gelden. ‘Onderlinge communicatie tussen overheidsinstanties enkel op basis van een BSN is dus uit den boze’, aldus Grijpink.54
1.7 Privacy in de zorg Ook het belang van privacy in de gezondheidszorg is toegenomen naar mate er meer en meer van ICT gebruik gemaakt wordt. Met het constant groeiende gebruik van ICT wordt de kans op inbreuken op de persoonlijke levenssfeer van patiënten vanzelfsprekend ook steeds groter. Een belangrijk onderdeel van het recht op privacy betreft bescherming van de persoonsgegevens die in de huidige maatschappij onder meer worden verzameld, verwerkt en uitgewisseld. De mogelijkheid om zelf aan te geven in welke mate de eigen persoonsinformatie voor anderen beschikbaar wordt, is een van de speerpunten van het privacyrecht. In de zorg ligt de nadruk op informationele privacy. Dit betekent dat vooral de WGBO en de WBP van belang zijn. Immers, het privacyrecht vloeit voort uit het medisch geheim en regels aangaande het beroepsgeheim hebben dan ook invloed op het recht op privacy. Verschillende problemen kunnen zich voordoen bij persoonsinformatie, waarbij Leenen e.a. als voorbeeld het ontstaan van een ‘schaduwpersoon’ noemen. Als gevolg van een opeenstapeling van persoonsgegevens kan een persoon gecreëerd worden, welke niet meer overeenkomt met de werkelijke persoon aan wie de gegevens toebehoren. Voor informationele privacy gelden enkele uitgangspunten. Ten eerste is er sprake van gegevens van de patiënt, die zeggenschap over de eigen gegevens dient te hebben, zo stelt Leenen. Hierbij aangetekend dat de patiënt geen zeggenschap over zijn dossier heeft, maar alleen een inzagerecht heeft, in zoverre dat hij gegevens ten behoeve van de behandelrelatie al heeft afgegeven en daarmee ook de controle erover heeft opgegeven. Dit staat in verband met het beroepsgeheim van de arts, hetgeen ook blijkt uit art. 9 lid 4 WBP.55 Ten tweede mag er niet meer patiëntinformatie worden gevraagd; mag niet meer worden onderzocht en niet meer worden vastgelegd dan noodzakelijk is voor het doel van de vastlegging. Het kan dan bijvoorbeeld gaan om de behandeling als doel. Hierop volgt het derde uitgangspunt, namelijk dat het doel van het vastleggen, bewaren en gebruiken van de informatie acceptabel moet zijn. Tevens geldt de eis dat het doel duidelijk omgeschreven moet zijn, alsook de eis dat de vrijgegeven informatie niet mag worden gebruikt voor een ander doel dan waarvoor het verzameld is. Uit deze drie uitgangspunten kan worden afgeleid dat het belangrijk is om te bepalen in hoeverre er gesproken kan worden van een eigendomsrecht met betrekking tot medische gegevens en aan wie het eigendom dan toebehoort. Leenen stelt hieromtrent dat er
54 Ibidem, p. 56. ‘Voorzieningen waarbij de identiteit van burgers elektronisch eenmalig wordt geverifieerd zonder dat de uitvoerende instanties de identiteit van de burger zelf mogen onderzoeken door opnieuw naar essentiële controlegegevens te vragen, dienen niet te worden ingevoerd’, aldus Grijpink. Wanneer het onvermijdelijk is om een persoonsnummer op een document te vermelden, kan er in het kader van het voorkomen van identiteitsfraude beter alleen een bepaald stuk van het nummer vermeld worden. Dat volstaat als zijnde koppelgegeven en maakt tevens het gebruik van een andere, liefst onafhankelijke informatiebron noodzakelijk. Op deze manier wordt het meeliften op iemands persoonsnummer, door gebruik van een fotokopie van een bijvoorbeeld gestolen identiteitsbewijs, tegen gegaan. 55 Op grond hiervan mag een arts slechts patiëntgegevens in een informatiesysteem vastleggen als hij ervan overtuigd is dat het geheim daarbij voldoende beschermd is. 19
geen duidelijkheid bestaat over de vraag aan wie medische gegevens toebehoren.56 Wel helder is dat de patiënt een recht op inzage heeft, waar hierna op ingegaan wordt en recht heeft op geheimhouding van de medische persoonsinformatie. ‘Voor een eigendomsrecht van de patiënt met betrekking tot zijn gegevens biedt de rechtspraak geen aanknoping’, aldus Leenen. Dat geldt ook voor de arts, hoewel aan hem wel de beschikking toekomt over de stukken die hij opstelt in verband met de behandelovereenkomst met de patiënt. Dit heeft te maken met de dossierplicht van de arts, hetgeen met name samenhangt met art. 7:454 BW (overigens moet de arts bij vertrek uit bijvoorbeeld het ziekenhuis wel de stukken of documenten daar achterlaten). Ten slotte kan in dit kader nog gezegd worden betreffende de inhoud van de patiëntgegevens, dat het eigendom van de gegevensdragers toekomt aan de zorginstelling. Hetzelfde geldt voor de verantwoordelijkheid in de zin van de WBP met betrekking tot het verwerken van de persoonsinformatie.57 In relatie tot de privacyregelgeving zijn de volgende punten op te merken. Voor toepassing van deze regelgeving is allereerst van belang dat het gaat om persoonsgegevens. Art. 1 van de WBP geeft een definitie: ‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’. De WBP is vervolgens van toepassing indien aan de in art. 2 lid 1 genoemde eisen is voldaan. Het moet dan gaan om persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn daarin te worden opgenomen. Het begrip ‘verwerking’ beslaat de kern van de wet. Deze term ziet op alle handelingen betreffende persoonsgegevens, van verzamelen tot vernietigen (art. 1). De wet heeft daarmee een brede invalshoek, omdat het de omgang met gegevens als leidraad neemt, meent Leenen.58 Voor persoonsgegevens die als gevoelig gezien worden, hetgeen ook geldt voor gegevens over de gezondheid, heeft de wet een aparte afdeling (art. 16-24). Daarnaast is de WGBO ook van toepassing als het gaat om de verwerking van patiëntengegevens vallende onder de WBP. Mocht een situatie uitmonden in samenloop van regelgeving dan krijgt de wet die de patiënt het meest beschermt voorrang. De WGBO is verder in het licht van privacybescherming van belang met betrekking tot het aanleggen en bewaren van het medisch dossier (art. 7:454-455 BW). Artsen hebben immers te maken met dossiervorming en er geldt dan ook een dossierplicht voor hen. Deze plicht houdt in dat aantekening gemaakt moet worden van de informatie betreffende de gezondheid van de patiënt en de in dat kader uitgevoerde handelingen. Voor andere stukken geldt dat zij in het dossier moeten worden opgenomen indien zij dusdanige informatie bevatten dat vastlegging ervan noodzakelijk is voor een goede hulpverlening. De bewaartermijn van het dossier is momenteel in beginsel 15 jaar. De patiënt heeft het recht om vernietiging van in het dossier
56 In de rechtspraak (Hof Den Bosch 6 juli 1987, TvGR 1988/19) is o.a. naar voren gekomen dat de opsteller van het origineel van iemands ziektegeschiedenis, of degene die dat heeft doen opstellen, de beschikking daarover toekomt. In een andere zaak (CMT 19 maart 1981, TvGR 1982/9) werd de vraag of er sprake is van een eigendomsrecht over medische gegevens onbepaald gelaten. Wel gaf de rechter in daarbij aan dat de kaarten of bladen met medische aantekeningen in eigendom toebehoren aan de steller. Tegelijkertijd werd bepaald dat verslagen aan huisartsen over specialistische behandelingen geen eigendom van de patiënt zijn. 57 H.J.J Leenen, J.K.M. Gevers, J. Legemaate 2007, p. 250 t/m 254. 58 Ibidem, 2007, p. 254 e.v. In de wet staan een aantal algemene regels, te vinden in art. 6-15. Art. 13 heeft betrekking op het beveiligen van informatie tegen onrechtmatige toegang; volgens dat artikel moeten namelijk ‘passende’ technische en organisatorische maatregelen genomen worden om persoonsgegevens te beschermen. Degene die het doel van en de middelen voor gegevensverwerking vast stelt, is hiervoor verantwoordelijk. 20
opgenomen informatie te verzoeken (art. 7:455 BW). 59 Op de andere regels die mogelijk van toepassing op patiënten zal, behalve het hierna te bespreken inzagerecht, niet verder ingegaan worden.
1.8 Conclusie Onze huidige samenleving is aan te merken als ‘informatiemaatschappij’. Informatie heeft in de sociale communicatie tussen mensen en organisaties een onmisbare positie ingenomen. Vaak is daarbij sprake van informatie in de zin van persoonsgegevens. De vier uitgangspunten die volgens Bovens gelden voor een informatiemaatschappij zijn besproken. Deze hebben tot gevolg dat de invulling van het begrip burgerschap is veranderd en Bovens meent dan ook dat burgerschap en informatierechten onvermijdelijk met elkaar samenhangen, omdat zulke rechten invloed hebben op het functioneren van mensen. Dat geldt zowel ten opzichte van de overheid als ten opzichte van andere burgers en private rechtspersonen. De ontwikkeling van en binnen onze informatiemaatschappij heeft geleid tot nieuwe privacyproblemen. Solove stelt dat deze problemen voortvloeien uit de stroom aan informatie die tegenwoordig in beweging is, bijvoorbeeld het grote aantal digitale dossiers met persoonsgegevens. Het beschermen van privacy begint volgens Solove dan ook met het construeren van het begrip privacy, omdat op die manier het hele maatschappelijke plaatje zichtbaar wordt. Solove noemt dit de ‘architectuur van privacy’ en stelt dat oplossingen voor privacyproblemen niet slechts kunnen worden opgelost door reconstructie. Het uitoefenen van rechten en het introduceren van wetgeving is dus geen duurzame oplossing. Geen reconstructie, maar een goede constructie van (de structuur van) het ontwerp is nodig, omdat de architectuur die neergezet wordt onveranderbaar is. In de traditionele betekenis wordt uitgegaan van handelingsprivacy. Dit voldoet niet meer volgens Solove, omdat hedendaagse privacyproblemen worden vaak gekenmerkt door het feit dat ze voortvloeien uit informatiestromen die plaatsvinden tussen verschillende instanties. Er is meestal niet één specifieke dader aan te wijzen in geval van inbreuk op de persoonlijke levenssfeer. In de huidige betekenis van privacy is de verantwoordelijkheid ervoor aldus verdeeld over vele actoren. Bij de grote positie die informatie inneemt in onze maatschappij hoort ook dat mensen de eigen controle over hun persoonlijke informatie verliezen. Zij hebben niet daadwerkelijk zeggenschap hebben over vrijgegeven en vastgelegde informatie. Volgens Solove ziet het traditionele model vaak over het hoofd dat sommige privacyproblemen op juridisch en sociaal gebied structureel zijn en de maatschappij in zijn geheel treffen, in plaats van enkel individuele personen. De oplossing voor de huidige privacyproblematiek dient aldus gevonden te worden in het aanbrengen van fundamentele technologische wijzigingen, in plaats van bijvoorbeeld wetgeving invoeren als actie achteraf. Solove gebruikt het woord ‘architectuur’, hetgeen impliceert dat er een bepaalde technologische structuur bestaat, die voortkomt uit een ontwerp. Het verzamelen, verspreiden en koppelen van informatie wordt vormgegeven door onderdelen van die structuur. In het verlengde hiervan kan gezegd worden dat privacyproblematiek gekoppeld is aan het soort samenleving waarin we ons bevinden, omdat informatiestromen onmisbaar zijn bij het vormgeven van de huidige informatiemaatschappij. Het recht geeft vorm aan de wereld waarin we leven en creëert mogelijkheden om gegevens te verbergen of juist beschikbaar te maken. Het waarborgen van 59 H.J.J Leenen, J.K.M. Gevers, J. Legemaate 2007, p. 257, 258 en 259. Wanneer er meer gegevens opgenomen worden noodzakelijk voor een goede hulpverlening, is daarvoor toestemming van de patiënt nodig. De patiënt kan desgewenst om vernietiging van deze extra informatie verzoeken 21
de persoonlijke levenssfeer hangt dus samen met het in goede banen leiden van sociale verhoudingen. Als gevolg van het feit dat er zo ontzettend veel persoonsgegevens verzameld, bewerkt en uitgewisseld worden, krijgt het recht op privacy steeds meer gewicht. Een belangrijk aspect van dit recht is de mogelijkheid om zelf te bepalen in welke mate persoonsgegevens toegankelijk worden voor anderen, maar dit is geen absoluut recht. Mensen zijn genoodzaakt om steeds weer hun persoonsgegevens af te staan, waarmee ook de kans bestaat dat ze slachtoffer van gegevensmisbruik worden. Het idee dat mensen de controle kwijtraken over hun persoonsgegevens, maar dat de kwetsbaarheid voor misbruik een impliciet gevolg is van onze informatiemaatschappij zelf, heet de 'architectuur van de kwetsbaarheid'. Het doel van informatie is namelijk effectieve dienstverlening, dus uitwisseling ervan is onontkomelijk en eventueel misbruik is daar een bijkomend effect van. Volgens Luijf bestaat de kwetsbaarheid van onze informatiemaatschappij enerzijds uit het gevaar dat burgers en bedrijven hun vertrouwen in de ICT-samenleving verliezen. Anderzijds bestaat het gevaar dat onze maatschappij schade oploopt door storingen of uitval van fundamentele infrastructuren. ICT is immers in algemene zin kwetsbaar, omdat gebruikers zich vaak niet bewust zijn van de beveiligingsrisico’s. Daarbij komt de vaak matige kwaliteit van software. Problemen die hieruit kunnen voortkomen, kunnen impact hebben op het vertrouwen in ICT van de gehele samenleving. Behalve deze algemene kwetsbaarheid van ICT-netwerken is er in de fundamentele infrastructuren van onze huidige samenleving een kwetsbaarheid te vinden. Als deze netwerken plat komen te liggen, kunnen levensbedreigende situaties ontstaan. Tevens kan de samenleving grote schade oplopen op essentiële gebieden die van belang zijn voor het blijven bestaan van bijvoorbeeld de territoriale en economische veiligheid alsook de politieke en sociale stabiliteit, stelt Luijf. Als schade aan privacy ontstaat, bijvoorbeeld omdat bepaalde gegevens openbaar worden gemaakt, loert het gevaar dat de maatschappelijke acceptatie van ICT in het gedrang komt. De kwetsbaarheid van informatietechnologie houdt verband met identiteitsdiefstal, een probleem dat direct gekoppeld is aan de zwakke plekken van een identificatiemiddel of – infrastructuur. Met preventie zou al veel bereikt kunnen worden. Identiteitsfraude is van maatschappelijke betekenis, in die zin dat het verbonden is met de huidige betekenis van identiteit en identificatie in onze samenleving. De waarde van persoonsinformatie is sterk gegroeid. Daartegenover staat dat mensen als gevolg van de digitalisering van gegevens in toenemende mate anoniem zijn geworden. Hieruit vloeit voort dat het voor een slachtoffer van identiteitsfraude moeilijk is om te achterhalen wat er allemaal met zijn informatie gebeurt. Tevens heeft een slachtoffer weinig mogelijkheden om de fouten die zijn gemaakt tijdens de fraude te herstellen. De anonimisering heeft dus ook tot gevolg dat onze maatschappij kwetsbaarder is geworden voor misbruik van informatie. In samenhang hiermee is het BSN aangekaart. De verplichting die strekt tot het gebruik van één algemeen openbaar persoonsnummer zorgt ervoor dat zo’n nummer veel waarde heeft. Dit impliceert dat het BSN gevoeliger wordt voor misbruik, fouten en fraude. Als het gaat om de algemene bestrijding van identiteitsfraude is het daarom van belang om te voorkomen dat overheidsinstanties het tegelijkertijd gebruik maken van andere persoonsnummers en –gegevens als negatief ervaren. Verder stelt Grijpink dat verplicht gebruik van het BSN enkel voor aaneensluiting van informatie binnen de overheid zou moeten gelden. Ten slotte is besproken dat het belang van privacy in de gezondheidszorg is toegenomen naar mate het ICT-gebruik is gegroeid. De kans op inbreuken op de persoonlijke levenssfeer van patiënten wordt daarmee ook steeds groter. In de zorg ligt de nadruk op informationele privacy, dat betrekking heeft op persoonsgegevens. In relatie tot de privacyregelgeving is opgemerkt dat voor toepassing van 22
deze regelgeving belangrijk is dat het gaat om persoonsgegevens. Art. 1 van de WBP geeft een definitie: ‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’ en de WBP is van toepassing indien aan de in art. 2 lid 1 genoemde eisen is voldaan. De WGBO is ook van toepassing met betrekking tot de verwerking van patiëntengegevens vallende onder de WBP en indien er samenloop van regelgeving plaats vindt, gaat de wet die de patiënt het meest beschermt voor.
23
2. Privacy & patiënt In dit hoofdstuk komt privacy in de gezondheidszorg aan bod in verband met de aard van de relatie tussen arts en patiënt. Uitgangspunt daarbij is immers het in vertrouwen uitwisselen van informatie, zodat een diagnose en/of behandeling gesteld kan worden en de patiënt toestemming daarvoor kan geven. De gezondheidsrechtelijke beginselen en de professionele relatie -waarbij vertrouwen, geheim en het inzagerecht cruciaal zijn- komen in dit hoofdstuk naar voren. De centrale vraagstelling in dit hoofdstuk luidt: Wat zijn de grondslagen van de medische relatie voor zover relevant met het oog op privacy?
2.1Achtergronden: ICT in de zorg De in hoofdstuk 1 besproken ontwikkeling van de informatiemaatschappij en de ontwikkelingen daarbinnen hebben hun uitwerking op de betekenis van privacy in algemene zin. In het vorige hoofdstuk is uiteengezet dat o.a. digitalisering en anonimisering een meer kwetsbare samenleving tot gevolg hebben. Doordat we in grote mate afhankelijk zijn geworden van informatiesystemen kan storing of misbruik van netwerken desastreuze gevolgen hebben voor de overheid, voor bedrijven of voor grote groepen mensen. Ook binnen de gezondheidszorg heeft de informatisering en digitalisering invulling gekregen, om te beginnen met het ICT- beleid aangaande de zorgsector. Overheidsbeleid was en is gericht op doelstellingen als een kwalitatief betere zorg, een grotere toegankelijkheid en een duurzame financiering voor eenieder die zorg nodig heeft. Vanzelfsprekend heeft dergelijk beleid invloed op de notie van privacy binnen de gezondheidszorg. Wanneer (medische) persoonsinformatie uitgewisseld en vastgelegd wordt, ontstaat er immers een situatie waarin de patiënt geen zeggenschap meer heeft over de controle en verspreiding van zijn gegevens. Tegelijkertijd is de vertrouwensrelatie tussen arts en patiënt een cruciaal kenmerk als het gaat om gezondheidszorg, waardoor het des te meer van belang is dat er zorgvuldig omgegaan wordt met gegevensuitwisseling. De grondslagen van de gezondheidszorg kunnen immers in het geding komen wanneer niet genoeg aandacht besteed wordt aan, of misbruik gemaakt wordt van, onder andere de privacyregels.60 Enkele jaren geleden heeft de lijn die was uitgezet betreffende het gebruik van ICT al voor een groot deel vorm gekregen met de invoering van het landelijk elektronisch medicatiedossier en het waarneemdossier huisartsen. De hulpverlening zou zoals eerder gezegd beter moeten worden door zulke ICT-toepassingen, maar er zijn ook risico’s aan verbonden. De veiligheid van zorg en dus van mensen kan in gevaar komen, hetgeen onwenselijk is. Een van die risico’s betreft de privacy van de patiënt, daar waar in de zorg gevoelige informatie juist extra goed beschermd zou moeten worden. Patiënten lopen in ziekenhuizen het meeste risico wanneer er op onveilige wijze aan ICT toepassing wordt gegeven, omdat de verwerking van kwetsbare persoonsinformatie in ziekenhuizen meestal uiterst omvangrijk is. Uit onderzoek van het College Bescherming 60 T.F.M. Hooghiemstra, ‘Privacy bij ICT in de zorg’, College bescherming persoonsgegevens, Den Haag, november 2002, p. 14 en 15. De koepels van patiënten, zorgaanbieders, zorgverleners, zorgverzekeraars en de ministeries van Economische Zaken en Volksgezondheid, Welzijn en Sport hebben in september 2000 de Intentieverklaring van het ICT Platform in de Zorg (nu: Nictiz) ondertekend. Vlak daarna kwam de Beleidsbrief en Actieplan ICT in de Zorg van de minister van VWS uit. Deze werd gevolgd door een voortgangsrapportage, welke in januari 2002 verscheen. De intentieverklaring en beleidsplannen van VWS maken duidelijk dat ‘de betrokken partijen een hoge ambitie hebben bij de toepassing van ICT in de zorg en dat privacybescherming en beveiliging volgens alle partijen zeer zwaar dienen te wegen’. 24
Persoonsgegevens (CBP) en de Inspectie voor de Gezondheidszorg (IGZ)61 uit 2007 is gebleken dat ziekenhuizen zich veel te weinig bewust zijn van de kans dat er fouten ontstaan met het verwerken van de patiëntgegevens. De beveiliging van de informatieverwerking was dan ook bij gebrek aan maatregelen veelal onder de maat. Naast bescherming van de veiligheid en privacy van patiënten is ook in verband met de ontwikkeling van het landelijk EPD van belang dat steeds aan de normen voldaan wordt.62 Hetzelfde onderzoek geeft ook te kennen dat er met name op het technische vlak veel verbeteringen zijn aangetroffen, in vergelijking met soortgelijk onderzoek dat vier jaar eerder plaatsvond. Toch legt het CBP de nadruk op het gebrek aan bewustzijn omtrent de gevaren die vastzitten aan het gebruik van ICT, zowel voor wat betreft de leidinggevenden als de andere medewerkers van de ziekenhuizen.63
Mr. Paul van der Ven, pastor/ voorzitter Commissie Ethiek: Risico’s in het kader van een EPD zullen altijd aanwezig zijn, maar kunnen beperkt worden door de bron goed te beveiligen en door duidelijk vast te stellen welke personen toegang tot het systeem hebben. Enerzijds spelen er technische aspecten, anderzijds moet het in de gebruikershoek goed georganiseerd zijn. Een goede beveiliging hangt ook af van degenen die het systeem handen en voeten moeten geven. Dat vergt discipline en bereidwilligheid van de mensen die het moeten uitvoeren en is om die reden een kwetsbaarheid die blijft bestaan. Een ander punt is hoe omgegaan moet worden met nieuwsgierigheid en betrokkenheid en waar de grens tussen die twee getrokken dient te worden. De drempel om het dossier van een bekende in te zien is met het EPD lager dan met papieren dossiers. Er kan immers makkelijker toegang verkregen worden tot het systeem. Medewerkers moeten leren om verantwoord om te gaan met de veiligheidsrisico’s van een EPD. Een belangrijke taak is om medewerkers van bijv. ziekenhuizen te vormen, zodat zij weten wat wel en wat niet te doen in het kader van een EPD. Dat houdt verband met professionaliteit en innerlijke beschaving.
61 Dit wordt het ‘risicobewustzijn’ genoemd. ‘Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm’, Rapportage van een onderzoek in 2007 door het College bescherming persoonsgegevens en de Inspectie voor de Gezondheidszorg naar de informatiebeveiliging in 20 ziekenhuizen, Den Haag, november 2008. 62 Ibidem, p. 3. Als een ziekenhuis niet aan o.a. de veiligheidsnormen voldoet, kan er namelijk geen aansluiting op het Landelijk Schakelpunt plaatsvinden. 63 Ibidem, p. 5. ‘Over het algemeen wordt bewust omgegaan met het openstellen van het netwerk voor andere zorginstellingen’. Echter, ‘informatiebeveiliging staat of valt met het gedrag van medewerkers en effectieve controle op gedrag ontbreekt nog te vaak,’ volgens de rapportage. 25
2.2 Vertrouwensbasis van de arts-patiëntrelatie Het zelfbeschikkingsrecht is voor het gezondheidsrecht een bijzonder belangrijk beginsel.64 Het vloeit voort uit het principe van de menselijke waardigheid. Juist aangaande de zorg voor de gezondheid kan de mogelijkheid om naar eigen wens te handelen in het geding zijn. Immers is de patiënt afhankelijk van de deskundigheid van de arts en het systeem van de gezondheidszorg an sich, terwijl het effect daarvan op iemands gezondheid of leven groots kan zijn. Zorginstellingen en soms ook de overheid kunnen een bepaalde machtspositie hebben als het gaat om de gezondheid van mensen gaat.65 Ook Sijmons bespreekt de meest algemene beginselen in het gezondheidsrecht. Er bestaat geen twijfel over de plaats van het zelfbeschikkingsrecht als zijnde een van de kernpunten binnen het gezondheidsrecht. Dit recht vormt de basis van mensenrechten, zoals onaantastbaarheid van de persoonlijke levenssfeer en onaantastbaarheid van de integriteit van het lichaam (art. 10 en 11 Grondwet). Onder andere de regels betreffende het recht op informatie en op privacy komen voort uit het zelfbeschikkingsrecht.66 Zelfbeschikking en vrijheid zijn sterk met elkaar verbonden, stelt Leenen. Het begrip zelfbeschikking is naar zijn aard aan verandering onderhevig, omdat het afhankelijk is van de ontwikkeling van de maatschappij. Daarmee is dus tevens de juridische betekenis van zelfbeschikking veranderlijk. Immers is zelfbeschikking geen absoluut recht, omdat bij de uitoefening ervan de vrijheid en rechten van anderen in acht genomen moeten worden. Indien er schade of beperking van dat recht bij anderen ontstaat, is dat een reden om grenzen te stellen.67 Een zorgvuldige omgang met gegevens is zowel in het belang van de arts als van de patiënt. Om tot een goede diagnose en/of behandeling te komen, is het namelijk nodig dat de arts 64 Als tweede gezondheidsrechtelijke beginsel kan het beschermingsbeginsel genoemd worden, hetgeen o.a. betrekking heeft op het nemen van verantwoordelijkheid voor mensen die hulp of zorgverlening nodig hebben. Dit beginsel vloeit voort uit zowel het zelfbeschikkingsrecht als het gelijkheidsbeginsel en de overheid moet dan ook op grond van art. 22 van de Grondwet voor de gezondheidszorg zorgen. De overheid moet de kwaliteit, toegankelijkheid en betaalbaarheid van de noodzakelijke zorg garanderen en daarmee wordt uiting gegeven aan dit beginsel. Volgens J.G. Sijmons, De stimulerende middelen van de wetgever. Ontwikkelingen in het gezondheidsrecht, Den Haag: Sdu Uitgevers 2008, p. 17 en 18. Leenen besteedt op de derde plaats aandacht aan het gelijkheidsbeginsel. Iedereen verdient het om behandelt te worden met inachtneming van respect voor diens waardigheid en met name als het gaat om mensen uit minderheidsgroepen moet voorkomen worden dat zij willekeurig benadeeld worden. Het gelijkheidsbeginsel hangt dan ook veelal samen met gelijke toegang tot zorg en eerlijke verdeling van schaarse voorzieningen, aldus H.J.J Leenen, J.K.M. Gevers, J. Legemaate, Handboek gezondheidsrecht deel 1. Rechten van mensen in de gezondheidszorg, Houten: Bohn Stafleu van Loghum 2007, p. 40 t/m 42. 65 Leenen, Gevers en Legemaate 2007, p. 37 en 38. 66 Sijmons 2008, p. 17. 67 Leenen, Gevers en Legemaate, 2007, p. 37 t/m 40. Leenen stelt hieromtrent dat op grond van het algemeen belang de rechten die voortvloeien uit het zelfbeschikkingsrecht beperkt kunnen worden. Wel gelden dan de eisen van noodzakelijkheid en subsidiariteit en proportionaliteit, de rechtvaardiging voor dergelijke inbreuken moet belangrijker zijn naarmate die inbreuken meer invloed hebben op de privésfeer en de lichamelijke en geestelijke integriteit van mensen. Ook speelt de veiligheid van de maatregel mee en de zwaarte van de ingreep die leidt tot beperking van rechten voortkomende uit het zelfbeschikkingsrecht. Verder moet de inbreuk zoveel mogelijk het herstel van zelfbeschikking tot doel hebben. 26
beschikt over de juiste en volledige gegevens van de patiënt. De vertrouwensrelatie die arts en patiënt hebben, is daarbij van cruciaal belang. Er is voor de patiënt vaak gevoelige informatie aan de orde, daarom moet gewaarborgd worden dat er zorgvuldig omgegaan wordt met de patiëntgegevens. Als deze vertrouwensbasis er niet is, zou de patiënt immers niet zomaar alle informatie kunnen en willen delen met de arts.68 In de gehele gezondheidszorg speelt zodoende de vertrouwensrelatie tussen arts en patiënt een belangrijke rol. Centraal bij de omgang met (gevoelige) patiëntinformatie staat het medisch geheim, omdat het uitgangspunt is dat iedereen voor advies of hulp terecht moet kunnen bij een arts of andere hulpverlener. Daarvoor is het noodzakelijk dat mensen er zeker van kunnen zijn dat de informatie die gedeeld wordt met die hulpverlener niet bij een ander terecht komt.69 Het essentiële beroepsgeheim (als patiëntenrecht) is vastgelegd in de WGBO, hier zal verderop op ingegaan worden. Het is dus zowel voor de patiënt als voor de samenleving als geheel van belang dat er helderheid bestaat over de reikwijdte en de gevolgen van het beroepsgeheim. In de zorgsector wordt tenslotte een enorme hoeveelheid patiëntinformatie verzameld, vastgelegd, toegankelijk gemaakt en uitgewisseld. Ook komen er steeds nieuwe patiënten bij. Hooghiemstra merkt in deze context op dat zodra een patiënt aanklopt bij een huisarts of medisch specialist er een voortdurende stroom van gegevens in gang wordt gezet. Daarbij komt dat deze stroom aan informatie maar deels direct te maken heeft met de eigenlijke diagnose of behandeling. Tegelijkertijd is er veelal sprake van elektronische dossiervorming, waarbij privacybescherming genoeg aandacht moet krijgen, aldus Hooghiemstra.70
Mr. Paul van der Ven, pastor/ voorzitter Commissie Ethiek: Naast het aspect van de software spelen er morele aspecten rondom een EPD, waarbij het gaat om arbeidsethos en besef van de medewerkers. Daarbij hoort ook de vraag hoe omgegaan moet worden met collega’s die de vertrouwelijkheid schenden, alsook hoe en door wie zij daarop aangesproken dienen te worden. Dat heeft te maken met het leren omgaan met collegialiteit, veiligheid van een afdeling en hoe mensen aan te spreken op hun gedrag. Meer in het algemeen kan gezegd worden dat wij als samenleving moeten leren omgaan met de digitalisering van gegevens. Moreel gezien lopen we namelijk achter; de ethiek loop achter op de realiteit, net als wetgeving. Echter, dat moet ons niet ervan weerhouden om op ons eigen morele kompas te zeggen ‘dit doen wij niet’. De omgang met digitaal vastgelegde gegevens heeft aldus alles te maken met innerlijke bewustwording. Ook al komt regelgeving achteraf, ondertussen moeten de gebruikers zelf hun verantwoordelijkheid nemen.
68 M.J. Bonthuis, ‘Het EPD en privacy’, Journaal Privacy Gezondheidszorg 2008-7, Via http://www.itsprivacy.nl/wp-content/uploads/2008/08/journaal-pg-nummer-7-2008.pdf (laatst bezocht 24-082010), p. 2. 69 Hooghiemstra 2002, p. 37. 70Ibidem, p. 37. 27
Volgens Sijmons is een ander belangrijk grondbeginsel de professionele autonomie van de arts, welke is neergelegd in art. 7:453 BW als de verplichting tot handelen naar de professionele standaard als goed hulpverlener. Het betekent dat de arts zijn eigen mening kan volgen bij onderzoek en verrichtingen aan de patiënt, maar dat hij bij het nemen van beslissingen enkel het belang van de patiënt in het oog houdt, op basis van de deskundigheid die van hem redelijkerwijs verwacht mag worden. De vertrouwensrelatie tussen arts en patiënt is praktisch gestoeld op de professionele autonomie als gevolg van de grotere rol die zelfbeschikking in de loop der tijd kreeg toebedeeld. Naast het belang voor de patiënt dient de professionele autonomie ook ter bescherming van de hulpverlener. Als een patiënt bijvoorbeeld teveel vraagt, hoeft een arts daar niet in mee te gaan. Ook is de patiënt medeverantwoordelijk voor gevaren die elke medische behandeling vanzelfsprekend met zich meebrengt. De implicatie van art. 7:450 lid 1 BW is namelijk dat er juridisch gezien niet geklaagd kan worden over een gebrek aan de allernieuwste, allerbeste, perfecte zorg, aldus Sijmons.71
2.3 Informatie en toestemming Het spreekt voor zich dat de patiënt zich in een kwetsbare positie bevindt en daarom de nodige bescherming verdient. De algemene patiëntenrechten, die voortvloeien uit de Grondwet zijn neergelegd in de WGBO. Het recht op informatie (art. 7:448 BW) beslaat de kern van de patiëntenrechten en houdt verband met het eerder besproken zelfbeschikkingsrecht. Het recht op informatie is zo belangrijk, omdat het zowel ter verkleining van het verschil in medische kennis tussen arts en patiënt, als ter benadrukking van de afhankelijkheidspositie van de patiënt ten opzichte van de arts dient. Het geven van informatie heeft een belangrijke functie in de gezondheidszorg, omdat er geen toestemming gegeven kan worden voor een handeling waarover de patiënt niet geïnformeerd is. In beginsel is toestemming zonder informatie namelijk niet geldig, hoewel er uitzonderingen op deze regel bestaan, bijvoorbeeld als het gaat om noodgevallen.72 De invulling van het recht op informatie heeft zich de afgelopen decennia ontwikkeld en het uitgangspunt is tegenwoordig dat hoe meer en hoe beter de communicatie tussen arts en patiënt is, hoe beter de vertrouwensrelatie kan zijn. Van belang met betrekking tot de communicatie is vooral dat de patiënt de informatie goed begrijpt en de arts dient hier dan ook op te letten.73 Ook Legemaate geeft aan dat patiënten veel gewicht toekennen aan goede informatie, vooral als het gaat om informatie over de gevaren en bijwerken van het onderzoek en de behandeling. De patiëntveiligheid kan volgens hem gebaat zijn bij oplettende en actieve patiënten. Het recht op informatie omvat verder tevens het recht op informatie over fouten. Artsen hebben hiertoe een eigen verantwoordelijkheid als het gaat om het onderscheiden van de constatering ‘fout’ of ‘geen fout’. Hulpverleners moeten open over (mogelijke) medische fouten kunnen praten met patiënten en hoewel voorkomen met worden dat onterecht een misser wordt toegegeven, is het belangrijker dat fouten niet stil blijven, aldus Legemaate.74 71 Sijmons 2008, p. 18 en 19. 72 Het verband tussen toestemming en informatie wordt ook wel aangegeven met de term ‘informed consent’. 73 Leenen, Gevers en Legemaate 2007, p. 173, 182, 190, 191 en 195. 74 Legemaate, Patiëntveiligheid en patiëntenrechten, Houten: Bohn Stafleu van Loghum 2006, p. 7 en 11. 28
Verder is het recht op informatie voornamelijk van belang met betrekking tot informatie over de medische onderzoeken en handelingen. Dit blijft hier onbesproken, daar de nadruk in casu ligt op de omgang met de medische gegevens. In samenhang met het recht op informatie is het toestemmingsvereiste hier zeer relevant. Een patiënt dient zowel toestemming te geven voor het aangaan van de geneeskundige behandelingsovereenkomst als voor de medische handelingen op zich. Het feit dat er een behandelingsovereenkomst is, impliceert dus niet dat de patiënt ook toestemming gegeven heeft voor de medische verrichtingen. Zoals eerder aangegeven hebben toestemming en informatie met elkaar te maken. De toestemming reikt immers in beginsel zo ver als de informatie zich heeft uitgestrekt en de patiënt maakt een beslissing op basis waarvan de arts bepaalde handelingen kan verrichten, uitzonderingen daargelaten. De arts heeft kortom geen eigen behandelingsrecht, omdat de beslissing van de patiënt in de vorm van toestemming cruciaal is. De patiënt om toestemming vragen is daarmee een plicht van de behandelend arts. Hierbij is van belang dat er voldoende informatie is verstrekt, maar ook dat die informatie goed te begrijpen is voor de patiënt.75 Op het punt van de toestemming voor de medische verrichtingen zelf zal hier ook niet verder ingegaan worden.
2.4 Medisch geheim Het geheim is in de gezondheidszorg ook een fundamenteel patiëntenrecht en is onder meer neergelegd in art. 7:457 BW. Hooghiemstra merkt op dat het medisch beroepsgeheim tegenwoordig een grotere rol speelt, omdat de geautomatiseerde verwerking van medische persoonsgegevens voortdurend groeiende is. Dit vloeit voort uit het toegenomen gebruik van ICT in de zorgsector. Het CBP gaat voor wat betreft het medisch beroepsgeheim voornamelijk uit van de rechtsregels over de behandelingsovereenkomst uit de WGBO, aldus Hooghiemstra. Ook de WBP ziet op het geheim en in beginsel vullen deze twee wetten elkaar aan. 76 De belangrijke positie die het medisch beroepsgeheim inneemt, hangt onder meer samen met het feit dat er twee belangen aan verbonden zijn. In de eerste plaats is dat het individuele van de patiënt en in de tweede plaats het algemeen belang dat te maken heeft met het toegankelijk houden van zorg.77 Het uitgangspunt betreffende het gebruik van medische gegevens is daarom dat deze gegevens alleen gebruikt mogen worden voor het doel waarvoor zij afgegeven zijn. Op deze regel bestaan wel een aantal uitzonderingen. Hier zal alleen verder ingegaan worden op het beroepsgeheim. Patiënten hebben er belang bij dat hun informatie geheim gehouden wordt, dus artsen of andere beroepsbeoefenaars moeten dat geheim bewaren. Hieraan kan worden gekoppeld dat er zowel sprake is van een zwijgplicht als van een verschoningsrecht. Zoals eerder genoemd vloeit uit de aard van het medisch beroep het beroepsgeheim voort. Alleen in uitzonderlijke gevallen mag doorbreking van het medisch geheim plaatsvinden. Het gaat dan om gevallen waarbij de informatieverstrekking binnen een bepaald behandelteam blijft en er daarmee dus sprake is van medebehandelaars.78 In het geval 75 Leenen, Gevers en Legemaate 2007, p. 203, 204. 76Hooghiemstra 2002, p. 37. 77 W.L.J.M. Duijst, Praktijkboek beroepsgeheim en informatieverstrekking in de zorg, Apeldoorn/Antwerpen: Maklu 2009, p. 13. 78 Bonthuis 2010, p. 2. 29
dat er meerdere mensen bij de behandeling van een patiënt betrokken zijn, geldt ten opzichte van hen de zwijgplicht dus niet. Er is dan sprake van een gedeelde zwijgplicht; het is in het belang van de patiënt de anderen ook over informatie beschikken. Wel geldt de voorwaarde dat verstrekking van de patiëntgegevens noodzakelijk moet zijn voor de door de anderen te verrichten werkzaamheden (art. 7:457 lid 2 BW). Naast artsen zijn er natuurlijk ook andere personen die zijn betrokken bij de patiënt en kunnen beschikken over de bijbehorende informatie, zoals arts-assistenten en secretaresses. Voor hen geldt ook dat zij stil moeten houden wat zij horen en zien. De zwijgplicht heeft ook betrekking op de communicatie met andere artsen, namelijk in geval zij niet rechtstreeks bij de uitvoering van de behandeling zijn betrokken en informatie-uitwisseling niet noodzakelijk is voor de door hen uit te voeren handelingen.79 Artikel 7:457 BW is dan ook geen absoluut recht en op basis van een wettelijk voorschrift of toestemming van de patiënt kan het geheim doorbroken worden. Ook mag doorbreking plaatsvinden in geval van een conflict van plichten in de zin van art. 40 Wetboek van Strafrecht (overmacht).80 Uit het bovenstaande blijkt dat, ook als het gaat om het medisch geheim, de toestemming van de patiënt aan de orde is. Volgens de WGBO is toestemming vereist indien er patiëntgegevens worden uitgewisseld buiten het team van hulpverleners die rechtstreeks betrokken zijn bij het verrichten van handelingen betreffende de behandelovereenkomst. Het hoeft hierbij niet altijd te gaan om expliciete of schriftelijke toestemming; een arts mag uitgaan van stilzwijgende toestemming voor wat betreft de informatie-uitwisseling als de patiënt in verband met eenzelfde behandeling wordt doorverwezen naar een andere arts die de behandeling overneemt. In de praktijk wordt behalve als het gaat om bijzonder kwetsbare informatie zoals psychiatrische, geaccepteerd dat toestemming stilzwijgend kan zijn. Want uit het gedrag van een patiënt kan diens toestemming afgeleid worden, stelt Hooghiemstra. Wanneer er twijfel heerst omtrent de toestemming moet er uiteraard wel expliciete toestemming aan de patiënt gevraagd worden. De hier beschreven stilzwijgende toestemming gaat ook alleen op in gevallen waarin de gegevensverstrekking noodzakelijk is voor de hulpverlening en kenbaar is voor de patiënt.81 Hooghiemstra merkt in verband met gebruik van ICT in de zorgsector nog op dat de voorwaarden betreffende de stilzwijgende toestemming moeilijk zijn te controleren. In andere sectoren wordt echter meestal met betrekking tot gegevensvertrekking expliciete, bij voorkeur schriftelijke, toestemming als uitgangspunt genomen.82 Verder vermeldenswaardig is het feit dat het beroepsgeheim in beginsel stand houdt na de dood van de patiënt; 79 Leenen, Gevers en Legemaate 2007, p. 225 t/m 227. Naast hulpverleners binnen eenzelfde zorginstelling kunnen ook verwijzende huisartsen en hulpverleners van een andere instelling die bij de behandeling worden betrokken onder het begrip medebehandelaar vallen, aldus Duijst 2009, p. 14. 80 Hooghiemstra 2002, p. 37 en 38. Bij doorbreking op grond van een wettelijk voorschrift valt te denken aan de Infectieziektenwet, de Rampenwet of de Wet toetsing levensbeëindiging op verzoek en hulp bij zelfdoding, volgens Duijst 2009, p. 15. 81 Hooghiemstra 2002, p. 39. 82 Hooghiemstra 2002, p. 39. ‘Echter ook bij ondubbelzinnige toestemming dient elke twijfel te zijn uitgesloten over de vraag óf de betrokkene (de patiënt/cliënt) zijn toestemming heeft gegeven en voor welke specifieke verwerkingen deze toestemming is gegeven. Terwijl in geval de verantwoordelijke de uitdrukkelijke toestemming van de betrokkene dient te verkrijgen, de betrokkene expliciet zijn wil daarover dient te hebben geuit’, stelt Hooghiemstra. 30
nabestaanden kunnen geen ontheffing geven voor de zwijgplicht van de arts, hoewel zij belang kunnen hebben bij bijvoorbeeld het inzien van de medische gegevens van de overledene. Uitzondering op de regel is hierbij in de eerste plaats de zogenaamde ‘veronderstelde toestemming’. De achterliggende gedachte hiervan is dat de overledene de nabestaanden niet in hun belang zou willen schaden. Echter, als de arts weet dat de overledene zijn of haar doodsoorzaak geheim wil houden, moet hij die wens respecteren en zwijgen. In geval veronderstelde toestemming niet opgaat, kunnen nabestaanden in de tweede plaats recht op inzage in de medische gegevens van de overleden patiënt eisen als zij ‘zwaarwegende belangen’ daarbij hebben.83
2.5 Het recht op inzage in het dossier Volgens Leenen heeft het inzagerecht zich vooral sinds midden jaren ’70 ontwikkeld. Het recht op inzage in het eigen dossier biedt de patiënt een opening bij de zeggenschap over zijn eigen informatie, op een plek waar de controle daarover per definitie afgegeven is ten behoeve van de diagnosestelling/behandeling. Het inzagerecht is dan ook voornamelijk afgeleid van het recht op bescherming van de persoonlijke levenssfeer, maar houdt ook verband met het recht op informatie. Het inzagerecht is echter breder, want dat is ook aanwezig als er geen informatieplicht was in een bepaalde arts- patiënt relatie. Het belangrijkste verschil tussen de twee is verder dat het inzagerecht betrekking heeft op het toezicht houden op al bestaande, vastgelegde gegevens en dus geen betrekking heeft op nieuwe informatie. In de WGBO is het recht op kennisneming van het medisch dossier te vinden in art. 7:456 BW en in de WBP in art. 35 als het recht op mededeling omtrent opgenomen gegevens. Het inzagerecht impliceert dat een patiënt in ieder geval recht heeft op een afschrift of kopie van zijn medisch dossier. Een dossier kan ook persoonlijke werkaantekeningen van een arts bevatten, maar deze vallen dan niet onder het inzagerecht en hoeven dus niet zichtbaar te zijn voor de patiënt. Dit zijn namelijk losse aantekeningen, waar anderen niet bij kunnen, die de arts voor eigen werk gebruikt. Te denken valt bijvoorbeeld aan voorlopige gedachtes die na een onderzoek hun waarde verliezen voor de arts en vernietigd kunnen worden. Indien de patiënt niet zelf inzage kan verzoeken, geldt er het plaatsvervangend inzagerecht van zijn vertegenwoordiger, hoewel dit recht niet onbegrensd is (art. 7:457 lid 3 BW). Naast het recht op mededeling in de WBP bestaat er in diezelfde wet de mogelijkheid tot het corrigeren, aanvullen of verwijderen van informatie. Deze rechten gaan op wanneer de gegevens feitelijk onjuist zijn, voor het doel van de vastlegging niet volledig zijn of niet er toe doen, of als de verwerking ervan in strijd met een wettelijk voorschrift is (art. 36 WBP). Weliswaar is het aan degene die verantwoordelijk is voor de verwerking in hoeverre aan het verzoek van de patiënt voldaan wordt. In de WGBO is geen recht op correctie van gegevens opgenomen, maar bestaat wel de mogelijkheid voor de patiënt om een verklaring aangaande de in het dossier geregistreerde stukken toe te voegen (art. 7:454 lid 2). Ten slotte kan in verband met de WBP het verstrekken van persoonsgegevens aan derden gezien worden als gegevensverwerking, hetgeen dus volgens de
83 Leenen, Gevers en Legemaate 2007, p. 231 en 232. 31
regels moet geschieden.84 In ieder geval blijven de regels omtrent geheimhouding ook steeds gelden bij gegevensverstrekking in de zin van de WBP.85 Er is recentelijk onderzoek gedaan naar het effect van patiëntinzage op de behandelrelatie.86 In de toekomst is het wellicht mogelijk dat mensen (delen van) hun eigen medische gegevens elektronisch kunnen raadplegen. Dit is een van de aspecten van het landelijk EPD, waar in het volgende hoofdstuk op ingegaan zal worden. Er is onderzoek gedaan naar verschillende aspecten van de behandelrelatie en de omgang met patiëntgegevens, waarbij hier de hoofdlijnen genoemd zullen worden. Ten eerste is onderzocht wat de impact op de kwaliteit van informatie is en op hetgeen vastgelegd wordt. In het kader van het landelijk EPD is er immers tevens discussie over patiëntinzage. Enerzijds stellen artsen dat het nodig is om de dossiers op te schonen, voordat patiënten deze kunnen inzien. De gedachte hierachter is dat mogelijk de relatie tussen arts en patiënt geschaad wordt als patiënten bepaalde dingen lezen. Verwacht wordt bijvoorbeeld dat patiënten zich beledigd zouden kunnen voelen als zij lezen op welke manier hun klacht is omschreven. Anderzijds zijn er artsen die menen dat de onderdelen van het dossier die zichtbaar worden voor de patiënt geen geheimen bevatten, waardoor er geen reden is om de dossiers eerst op te schonen. Als het gaat om de invloed van elektronische patiëntinzage op de kwaliteit van medische gegevens zijn er ook verschillende kampen. De kans bestaat dat patiënten fouten in de gegevens opmerken en kunnen verhelpen, al dan niet in samenspraak met hun arts. Patiëntinzage kan in deze situatie verbetering van de kwaliteit van informatie tot gevolg hebben, maar de keerzijde is dat patiëntinzage tot gevolg kan hebben dat belangrijke informatie juist verdwijnt indien patiënten hier aanspraak op maken of de arts hiertoe kunnen aanzetten. Tevens bestaat de angst dat elektronische patiëntinzage ervoor zorgt dat artsen informatie niet elektronisch vastleggen om te voorkomen dat patiënten deze kunnen zien.87 Als het gaat om de kwaliteit van de opgeslagen informatie wordt winst gezien in de mogelijkheid om foutieve informatie in het dossier op te merken en door te geven aan de arts. Daartegenover staat dat het als een bedreiging wordt gezien indien
84 Gegevens betreffende de gezondheid mogen alleen verwerkt worden als dat op basis van art. 21 of 23 toegestaan is. Daarnaast moet voldaan zijn aan de eisen van art. 6-14, waaronder art. 9 lid 4 dat ziet op het behouden van o.a. de beroepsgeheimhouding. 85 Leenen, Gevers en Legemaate 2007, p. 260 t/m 263. 86 F. J. Douglas, M. Minderhoud, B. Pluut, De impact van patiëntinzage op het zorgproces, Onderzoek in opdracht van het Ministerie van Volksgezondheid, Welzijn en Sport, Zenc, 11 januari 2010, p. 5 en 8. Het is de bedoeling dat het mogelijk wordt voor patiënten om middels het klantenloket van het landelijk EPD elektronisch inzage te krijgen in de eigen medische gegevens die via het Landelijk Schakelpunt toegankelijk zijn. In de eerste plaats gaat het daarbij om medicatiegegevens (EMD) en het Waarneem Dossier Huisartsen (WDH). Voor dit onderzoek het uitgangspunt dat via het klantenportaal in de toekomst tevens andere ‘hoofdstukken’ van het EPD beschikbaar zijn, ook van belang geweest. Overigens blijkt uit eerder onderzoek dat het feitelijke gebruik en de invloed op het zorgproces afhankelijk is van het ontwerp van het klantenportaal. 87 Douglas, Minderhoud, Pluut 2010, p. 16 en 17. Bij geen van de onderzochte zorginstellingen is informatie aangepast voordat deze online beschikbaar kwam voor patiënten. Ook wat de gebruikte taal betreft zijn er geen aanpassingen gedaan. Er is wel een verschil als het gaat om toelichting van de inzichtelijke gegevens. In het onderzoek kwam drie soorten uitleg naar voren. Ten eerste een waarbij uitleg gegeven wordt van behandelingen en medische termen. Ten tweede die waarbij het systeem verwijzingen naar andere betrouwbare bronnen geeft en ten derde de optie waarbij artsen de patiënten zelf doorverwijzen naar andere betrouwbare bronnen. 32
patiënten de mogelijkheid zouden hebben om zonder de betrokkenheid van een arts veranderingen in te voeren.88 Een ander deel van hetzelfde onderzoek betreft de impact op de arts- patiëntrelatie van elektronische patiëntinzage. Hieruit blijkt dat de bij het onderzoek betrokken artsen het allemaal van belang achten dat de patiënt goed geïnformeerd is en tevens blijkt dat openheid binnen de relatie op prijs gesteld wordt. Duidelijk was ook dat er weinig verandering in de communicatie tijdens de consulten plaats vond, die impact is aldus beperkt. Bijkomend positief punt is dat de ziekenhuizen en artsen die bij het betrokken waren over het algemeen positief over het patiëntenportaal zijn. De patiëntinzage wordt dan ook gezien als een extra service aan de patiënt.89 Ten slotte heeft het onderzoek betrekking op de invloed op de efficiëntie van de behandeling. Als pluspunt van patiëntinzage wordt in dit kader genoemd dat er effectiever gewerkt kan worden en eerder tot de kern kan worden gekomen, omdat de patiënt al over een deel van de benodigde informatie beschikt. Daarentegen kan patiëntinzage anderzijds juist leiden tot meer vragen van de patiënt tijdens het consult, alsook per email of telefoon. Uit het onderzoek blijkt dat de artsen ‘weinig tot geen extra werkbelasting ervaren door de online inzagemogelijkheid’, dat soms tegen de verwachtingen van artsen ingaat. De algemene conclusie van dit onderzoek is op grond van het voorgaande dat patiëntinzage een positief effect kan hebben voor zowel patiënten als artsen.90 Janneke Bransz, secretaris Raad van Bestuur: Ten opzichte van papieren dossiervorming kent het digitaal vastleggen van patiëntgegevens andere pluspunten en risico’s. De kans dat documenten zoek raken is bijv. aanzienlijk minder groot in een digitaal systeem. Met het oog op een EPD zijn sommige risico’s groter, anderen zijn juist kleiner geworden. In ieder geval is het een impuls voor de patiëntveiligheid. De bezwaren moeten ook vanuit dit gezichtspunt afgewogen worden. Misbruik bestraffen is een goede zaak. In de huidige situatie wordt schending van de vertrouwelijkheid ook zwaar gestraft, als uitkomt dat een onbevoegde inzage heeft (gehad) in een papieren dossier. Het voordeel van digitale dossiervorming op dit punt is dat eenvoudig is te checken wie wanneer inzage heeft gehad, omdat alles gelogd wordt. Zorgelijk is wel dat de overheid er niet voor heeft gekozen om patiëntenrechten aan te passen op de digitale wereld. Onzeker is nog of dit gaat knellen, maar er liggen wellicht gevaren op het vlak van bijv. de controlebevoegdheden van verzekeraars en de Inspectie.
88Idem, p. 16 en 19. Voor de bij het onderzoek betrokken zorginstellingen geldt dat patiënt niet alle medische informatie uit zijn dossier online in kan zien. Redenen hiervoor zijn ofwel technisch van aard, ofwel de systeemontwikkelaars en/of artsen vinden het niet nodig dat alle medische gegevens toegankelijk worden voor de patiënt. Wanneer onderzoek- of testresultaten elektronisch beschikbaar zijn, is daarvoor een bijzondere regeling. Er wordt bijvoorbeeld een tijdsperiode van twee weken tussen uitslag en online beschikbaarheid gesteld, zodat het voor behandelaars eerst mogelijk is om de resultaten persoonlijk mede te delen. 89Douglas, Minderhoud, Pluut 2010, p. 20 t/m 22. 90 Ibidem, p. 22 en 25. 33
2.6 Conclusie Het gebruik van ICT in de zorgsector heeft vooral een hoge vlucht genomen sinds de invoering van het landelijk elektronisch medicatiedossier en het waarneemdossier huisartsen. De doelstelling hiervan was onder meer verbetering van de hulpverlening, maar er zijn ook risico’s aan verbonden aan het toenemende gebruik van ICT, zoals in hoofdstuk 1 duidelijk is geworden. Vanaf het moment dat (medische) persoonsinformatie uitgewisseld en vastgelegd wordt, ontstaat er namelijk een situatie waarin de patiënt geen zeggenschap meer heeft over de controle en verspreiding van die gegevens. Daar staat tegenover dat de vertrouwensrelatie tussen arts en patiënt een essentieel kenmerk is als het gaat om gezondheidszorg. Daarom is het belangrijk dat zorgvuldig omgegaan wordt met de gegevens. De veiligheid van mensen staat op het spel in de zorg en schade daaraan is vanzelfsprekend niet wenselijk. Een mogelijk risico betreft de privacy van de patiënt, maar juist in de zorg dient gevoelige informatie extra goed beschermt te worden. Uitgangspunt in de vertrouwensrelatie tussen arts en patiënt is immers het autonome individu. Het zelfbeschikkingsrecht is voor het gezondheidsrecht dan ook fundamenteel. Met betrekking tot de zorg voor de gezondheid kan de mogelijkheid om naar eigen wens te handelen in het geding zijn, omdat de positie van de patiënt afhankelijkheid impliceert. Zelfbeschikking vloeit voort uit het principe van de menselijke waardigheid en het recht op zelfbeschikking staat aan de voet van mensenrechten als onaantastbaarheid van de persoonlijke levenssfeer en onaantastbaarheid van de integriteit van het lichaam (art. 10 en 11 Grondwet). Dat zorgvuldig omgegaan wordt met informatie is zowel in het belang van de arts als van de patiënt. Om tot een goede diagnose en/of behandeling te kunnen komen, moet een arts kunnen beschikken over de juiste en volledige gegevens van een patiënt. De vertrouwensrelatie die arts en patiënt hebben, is daarbij onmisbaar, omdat een patiënt vaak gevoelige informatie aan de arts moet vrijgeven. Daarom moet gewaarborgd worden dat zorgvuldig omgegaan wordt met patiëntgegevens. Als het gaat om de omgang met (gevoelige) patiëntinformatie staat het medisch geheim centraal, omdat in beginsel iedereen voor hulp bij een arts of andere hulpverlener terecht moet kunnen. Volgens Sijmons is een ander fundamenteel beginsel de professionele autonomie van de arts, dat is neergelegd in art. 7:453 BW in het kader van de verplichting tot handelen naar de professionele standaard als goed hulpverlener. De vertrouwensrelatie tussen arts en patiënt is haast gebouwd op de professionele autonomie, als gevolg van het feit dat zelfbeschikking een steeds grotere rol ging spelen. Het recht op informatie (art. 7:448 BW) raakt de kern van de patiëntenrechten en vertoont samenhang met het zelfbeschikkingsrecht. Dit recht op informatie is zo belangrijk, omdat het ter verkleining van het verschil in medische kennis tussen arts en patiënt dient, alsook ter benadrukking van de afhankelijkheidspositie van de patiënt ten opzichte van de arts. Het verstrekken van juiste en heldere informatie is cruciaal in de gezondheidszorg, omdat voorafgaand aan een behandeling door de patiënt toestemming gegeven moet worden (‘informed consent’). In verband met het recht op informatie is het toestemmingsvereiste dan ook op deze plaats te noemen. Een patiënt dient toestemming te geven voor het aangaan van de geneeskundige behandelingsovereenkomst én voor de medische handelingen op zichzelf. Het medisch geheim is ook een fundamenteel patiëntenrecht en is onder meer neergelegd in art. 7:457 BW. Als gevolg van de continue groeiende geautomatiseerde verwerking van medische persoonsgegevens speelt het medisch beroepsgeheim tegenwoordig een belangrijkere rol. Het uitgangspunt met betrekking tot het gebruik van medische gegevens is dan ook niet voor niks dat deze gegevens slechts gebruikt mogen worden voor het doel waarvoor zij afgegeven zijn. Alleen bij uitzondering mag doorbreking van het medisch geheim geschieden, bijvoorbeeld als het gaat om gevallen waarbij de informatieverstrekking binnen een specifiek behandelteam 34
blijft en er dus sprake is van medebehandelaars die informatie nodig hebben om hun werk goed te kunnen doen. Het toestemmingsvereiste is ook hier aan de orde, want op grond van de WGBO is toestemming vereist indien er patiëntgegevens worden uitgewisseld buiten het team van hulpverleners die rechtstreeks betrokken zijn bij het verrichten van handelingen betreffende de behandelovereenkomst. Ten slotte is vermeldenswaardig dat het beroepsgeheim in principe blijft bestaan na de dood van de patiënt, dus nabestaanden kunnen geen ontheffing geven voor de zwijgplicht van de arts, hoewel er op deze regel uitzonderingen bestaan. Als laatste is in dit hoofdstuk het recht op inzage in het eigen dossier besproken, dat de patiënt een opening geeft met betrekking tot de zeggenschap over zijn eigen informatie, waar de controle is afgegeven ten behoeve van de diagnosestelling/behandeling. Het inzagerecht betekent dat een patiënt recht heeft op een afschrift of kopie van zijn medisch dossier. Het inzagerecht is in de eerste plaats afgeleid van het recht op bescherming van de persoonlijke levenssfeer en vertoond ook enige samenhang met het recht op informatie. Het inzagerecht is echter breder, omdat het ook bestaat indien er geen informatieplicht bestond in een bepaalde arts-patiëntverhouding. Het belangrijkste verschil tussen de twee is in ieder geval dat het inzagerecht ziet op het toezicht op bestaande, reeds vastgelegde gegevens. Naast het recht op mededeling in de WBP biedt diezelfde wet de mogelijkheid tot het corrigeren, aanvullen of verwijderen van informatie in het dossier. Deze rechten bestaan wanneer informatie feitelijk onjuist is, voor het doel van de vastlegging niet volledig is of niet er toe doet, of als de verwerking ervan in strijd met een wettelijk voorschrift is (art. 36 WBP). Ten slotte is er recentelijk onderzoek gedaan naar het effect van patiëntinzage op de behandelrelatie, omdat het in de toekomst wellicht mogelijk is dat mensen (delen van) hun eigen medische gegevens elektronisch kunnen raadplegen. Dit is een van de aspecten van het landelijk EPD, waar in het volgende hoofdstuk op ingegaan zal worden. Er is onderzoek gedaan naar verschillende aspecten van de behandelrelatie en de omgang met patiëntgegevens. De algemene conclusie van dit onderzoek is dat patiëntinzage een positief effect kan hebben, voor zowel patiënten als artsen. Ter afsluiting van dit hoofdstuk kan gesteld worden dat de digitalisering van medische dossiers volop in beweging is, waarbij de verschillende patiëntenrechten gewaarborgd dienen te worden. In hoeverre het relevant is dat elektronische patiëntendossiers ook op landelijk niveau beschikbaar komen, mogelijk in de vorm van een verwijsindex, zal in het volgende hoofdstuk worden besproken.
35
3. Het elektronisch patiëntendossier Dit hoofdstuk bestaat uit een juridische analyse van het landelijk EPD. De parlementaire geschiedenis, kamerstukken en kritieken uit de literatuur komen aan de orde. Ingegaan wordt op bijvoorbeeld de rechtspolitieke argumenten die ten grondslag liggen aan de (problemen rondom) invoering van het landelijk EPD. De vraagstelling is: Waarom wil de Nederlandse overheid een landelijk EPD invoeren en welke voor- en nadelen zijn daaraan verbonden? Tegelijkertijd komt het lokale EPD aan bod in verband met de vervolgvraag die luidt: In hoeverre hebben dezelfde (of andere) problemen betrekking op een lokaal EPD en zou een dergelijk systeem ook ongeschikt kunnen zijn? Het landelijk en lokaal EPD worden de meeste tijd in samenspraak behandeld, omdat de analyse met betrekking tot de opkomst en gebruik van ICT in de zorgsector voor beide systemen geldt. Het landelijk EPD (als verwijsindex) zal tenslotte bestaan uit de verschillende lokale EPD’s die in het gehele land al worden ingevoerd. Als het gaat om het lokale EPD wordt daarom alleen nadrukkelijk aandacht besteed aan verschillen met het landelijk EPD.
3.1 EPD in de steigers Het idee omtrent elektronische patiëntendossiers in algemene zin vindt zijn herkomst in 1996. De voorlopige Raad voor de Volksgezondheid en Zorggerelateerde dienstverlening (RVZ) bracht in dat jaar een advies uit aan de toenmalige minister E. Borst van Volksgezondheid, Welzijn en Sport. Het technologiebeleid in de zorgsector begon daarmee vorm te krijgen. De adviesaanvraag van de minister was het gevolg van de constatering dat een volledige visie op informatietechnologie in de zorgsector in die tijd ontbrak. Duidelijk was echter wel dat de mogelijkheden van IT als instrument in de zorg en ondersteuning daarvan groots waren.91 De Raad kwam met een aantal aanbevelingen, waarvan de belangrijkste de ontwikkeling van een 'open infrastructuur voor elektronische communicatie92 in de zorg' en de ontwikkeling van een elektronisch patiëntendossier zijn.93 Volgens de Adviesraad zou een arts, weliswaar alleen met toestemming van de patiënt, moeten kunnen zien op welke plaats, welke medische gegevens die van belang zijn voor zijn werk, zich bevinden. De Raad bepleitte hiervoor gebruik van een zorgchip, een persoonlijke chipcard voor patiënten waarop staat waar elke medische informatie van diegene opgeslagen is. Daarnaast bepleitte de Raad dat er elektronische patiëntendossiers moesten komen in plaats van de papieren versies. Verder meende de Raad dat er een elektronische snelweg voor handen van artsen e.d. diende te komen, waarmee zij via de zorgchip toegang zouden kunnen krijgen tot gegevens die zich elders bevinden. Personen die daarvoor toestemming hebben, kunnen op dergelijke wijze 91 Advies uitgebracht door de voorlopige Raad voor de Volksgezondheid en Zorggerelateerde dienstverlening aan de minister van Volksgezondheid, Welzijn en Sport, Informatietechnologie in de zorg, deel1, Zoetermeer: oktober 1996, p. 11. 92Indien mogelijk dient de zorgsector gebruik te maken van de informatiesnelweg die ook door andere sectoren gebruikt wordt, maar de zorg zou in ieder geval gebruik moeten maken van de normstellingen gelden als het gaat om digitale gegevensuitwisseling. Het ministerie van VWS dient het belang van de zorgsector op interdepartementaal niveau te behartigen en de verantwoordelijkheid voor het ontwikkelen van de informatiesnelweg ligt aldus niet in de zorgsector zelf. Om op verantwoorde wijze gebruik te kunnen maken van de informatiesnelweg dient deze te allen tijde beschikbaar, betrouwbaar, veilig en snel te zijn, aldus de Adviesraad in 1996. 93 Advies RVZ 1996, p. 30. 36
onafhankelijk van tijd en plaats zorggegevens inzien.94 In haar reactie op het advies onderschreef minister Borst grotendeels de toekomstvisie van de RVZ betreffende het toepassen van IT in de zorgsector. Zij benadrukte dat een goede communicatie tussen meer zorgverleners vereist is. Eén van de kernpunten van de nota 'Informatievoorziening in de zorg' was de ontwikkeling van een EPD, dat volgens de nota inhoudt 'een verzameling van door verschillende zorgverleners bijgehouden deeldossiers, welke via de elektronische snelweg in samenhang geraadpleegd kan worden'.95 Borst pleitte voor de ontwikkeling van een EPD, omdat zij een dergelijk systeem belangrijk achtte voor de bijdrage die het in de toekomst kan leveren aan de gezondheidszorg. Volgens Borst was het aan het veld zelf om, met aanmoediging van de overheid, de ontwikkeling ervan op touw te zetten. Immers, de functie van een EPD betreft de verbetering van de kwaliteit en doelmatigheid van de behandeling van patiënten.96 De aandacht van de Raad ging ook uit naar verschillende knelpunten die aan de orde kwamen bij de toepassing van bepaalde vormen van IT, waaronder de ontwikkeling van een EPD. Volgens de Raad moest er bijvoorbeeld een balans gezocht worden tussen het privacy- en het zorgbelang van de specifieke patiënt of cliënt, alsook een balans tussen het individueel belang en het algemeen belang. Het gebruik van patiëntgegevens voor onderzoeksdoeleinden wordt als voorbeeld genoemd. Beiden hebben te maken met kwesties betreffende privacy. Daarnaast moest er onder meer een afweging worden gemaakt als het gaat om taken van de overheid tegenover taken van het veld.97 Uit de hier besproken stukken van minister Borst en de RVZ blijkt dus dat er al tijden geleden plannen gemaakt zijn omtrent de invoering van een EPD. De eerste knelpunten en randvoorwaarden die zichtbaar werden, bijvoorbeeld als het gaat om privacy en beveiliging, stammen uit dezelfde tijd.
3.2 Actieplan ICT in de zorg Borst ging er in de nota Informatievoorziening in de zorg (1997) vanuit dat toename van het gebruik van ICT, waaronder de ontwikkeling een EPD, voornamelijk aan het veld van de zorgsector zelf was. Echter later bleek dat het ministerie van VWS toch meer invloed zou moeten uitoefenen om de barricades die opdoemden bij de toepassing van ICT, te constateren en weg te werken.98 In 1996 werd al het, grotendeels door VWS gefinancierde, Coördinatiepunt voor Standaardisatie Informatievoorziening in de Zorgsector (CSIZ)99 94Kamerstukken II, 1997/98, 25 669 Nota informatievoorziening in de zorg, nr. 2, p. 2. 95Kamerstukken II, 1997/98, 25 669 Nota informatievoorziening in de zorg, nr. 2, p. 3. De Raad stelde voor dat zorgverleners via biometrische identiteitscontrole en gebruikersvriendelijke software toegang zouden kunnen krijgen tot deze gegevens, welke versleuteld verzonden dienen te worden. Wanneer alle relevante informatie over de patiënt beschikbaar is, kan dat volgens de RVZ onnodig onderzoek voorkomen en zou de patiënt minder vragen hoeven te beantwoorden. Toegang tot kennissystemen, databanken en wetenschappelijke literatuur zou ook eenvoudiger worden voor zorgverleners, aldus de Raad. 96Idem, p.5. 97Advies RVZ 1996, p. 13. 98Kamerstukken II, 2000/01, 27 529 Informatie- en Communicatietechnologie (ICT) in de Zorg, nr. 1, p. 1. 99Een vereniging met in het bestuur de koepels van zorgaanbieders, zorgverleners, patiënten en zorgverzekeraars. 37
ingesteld. CSIZ diende een bijdrage te leveren aan de totstandkoming van de randvoorwaarden normalisatie en standaardisatie, die blijkens de eerdergenoemde Nota van groot belang zijn voor het ontwikkelen van een EPD.100 In 1999 is in het kader van de bestuurlijke betrokkenheid van de overheid het ICT Platform in de Zorg (IPZorg) opgezet, tegenwoordig genaamd Nictiz. Dit is een platform dat moest zorgen voor de afstemming en uitwisseling van concepten op bestuurlijk niveau. De leden van het toenmalige IPZorg, de koepels van patiënten, zorgaanbieders, zorgverleners, zorgverzekeraars en de ministeries van VWS en Economische zaken (EZ) hebben in 2000 een intentieverklaring ondertekend. Hierin werd het draagvlak betreffende de ontwikkeling van een landelijke koers voor het gebruik van ICT in de zorg, dat in die tijd voor het IPZorg Platform gecreëerd was, onderschreven. Centraal in deze intentieverklaring stond de zorgverlening aan de patiënt. Het uitgangspunt was passende 'bediening' van de patiënt of cliënt, waarbij diens privacy in acht dient te worden genomen. Het EPD werd hierbij gezien als waardevol instrument dat de doeltreffendheid van het zorgproces dient te vergroten. Daarnaast, als het gaat om de materiële betrokkenheid van de overheid omtrent het kernthema EPD, heeft VWS enkele initiatieven ondersteund. Onder meer het CSIZ kreeg financiële hulp op het gebied van standaardisatie, weliswaar onder de voorwaarde dat de vereniging voortaan ging samenwerken met het Nederlands Normalisatie Instituut (NEN). Uit het voorgaande blijkt dat het meer en meer een taak van het ministerie van VWS werd om problemen rondom het gebruik van ICT in de zorgsector te signaleren en op te lossen. Dit viel ook te verdedigen in het licht van het gegeven dat het vertrekpunt en de doelstelling van de overheid en het veld gemeenschappelijk waren.101 Teneinde de kwaliteit, efficiëntie en toegankelijkheid van de zorg te vergroten, achtte de overheid het nodig om het gebruik van ICT in deze sector te bevorderen. IPZorg heeft daarom in de beginjaren verschillende randvoorwaarden weten te onderscheiden, waaraan geld en aandacht besteed diende te worden. De eerste voorwaarde was een infrastructuur, zijnde het totaal van werkplekken en netwerken dat vereist is om de hulpverleners aan elkaar te verbinden. Ten tweede was identificatie en authenticatie nodig, waaraan het onderwerp privacybescherming van patiënten onlosmakelijk verbonden is. De mogelijkheid om een zogenaamde Zorg Identificatie Nummer (ZIN) in te voeren werd geopperd als een optie voor een landelijk speciaal persoonsnummer voor de gehele zorgsector. In dit kader is de Unieke Identificatie van de Zorgverlener (UZI) ook relevant, die nodig is wanneer een arts het informatiesysteem van een collega wil raadplegen.102 De volgende randvoorwaarde betreft de autorisatiestructuur: het concreet en ondubbelzinnig vastleggen van normen betreffende de mogelijkheden tot het inzien van gegevens. Dit hangt samen met privacybescherming en het beroepsgeheim. Het idee van een verwijsindex werd tegelijkertijd naar voren gebracht. Berichtenverkeer en interoperabiliteit is een andere randvoorwaarde. Aangehaald werd hierbij dat de software welke informatie-uitwisseling ondersteunt, gecertificeerd moet worden. De 100Kamerstukken II, 2000/01, 27 ICT in de Zorg, nr. 1, p. 10. 101Kamerstukken II, 2000/01, 27 529 ICT in de Zorg, nr. 1, p. 1, 2, 11 en 12. Hoewel de oorsprong van IPZorg wordt gevonden in de afspraken in de curesector, zijn zorgaanbieders uit de caresector ook mee gaan werken. Zorgverzekeraars, patiënten, consumentenorganisaties, de ministeries van VWS en EZ vormden samen het platform. 102Anders dan in 1997 werd er vanaf 2000 steeds meer gesproken over 'ophalen van informatie', in plaats van 'versturen van gegevens uit een informatiesysteem naar een behandelaar', een ontwikkeling waaruit nieuwe randvoorwaarden zijn voortgevloeid. 38
leden van IPZorg meenden dat een elektronisch patiëntendossier een randvoorwaarde is als het gaat om efficiënt gebruik van ICT in de zorg. De minister was echter van mening dat een EPD een instrument is, waar bovengenoemde voorwaarden betrekking op hebben. Zij leveren immers een bijdrage aan totstandkoming van een EPD dat één geheel vormt; voor verschillende zorgaanbieders en zorgverleners toegankelijk is; op verschillende terreinen binnen een behandelingstraject. De betrouwbaarheid van informatie in het EPD en de zeggenschap van de patiënt zijn punten die helder moeten zijn om een EPD goed te laten functioneren, aldus de toenmalige minister van VWS.103
3.3 Landelijke infrastructuur In 2002 is het Nationaal ICT instituut in de zorg (Nictiz) tot stand gekomen. Samen met VWS moest het Nictiz een bijdrage leveren aan het invoeren van een persoonsnummer voor de zorgsector en het invoeren van een landelijk medicatiedossier, een dossier dat gezien kan worden als de voorloper van het EPD.104 In 2004 heeft de Inspectie voor de Gezondheidszorg (IGZ) onderzocht in hoeverre in de ziekenhuizen de randvoorwaarden voor veilig gebruik van ICT toegepast werden. Uit het rapport bleek dat alle betrokken partijen er nog stevig aan moeten trekken, aangezien de vereisten voor een wijd gebruik van ICT in de zorgsector op dat moment onvoldoende aanwezig waren. Minister Hoogervorst van VWS onderschreef deze bevinding in zijn reactie op het rapport. Hij voegde daaraan toe dat hij het veld eerder al duidelijk gemaakt had dat gebruik van ICT in de zorg geen vrijblijvendheid meer is. Als gevolg van dit IGZ-rapport was de minister daarom ook van mening dat de verruimde overheidsinvloed als het gaat om de toepassing van ICT in de zorg een goede stap is geweest. Blijvende bemoeienis van VWS bleek dus nodig te zijn.105 In 2004 maakten praktisch alle huisartsen, apothekers en steeds meer specialisten gebruik van informatiesystemen. Een veilige en handzame koppeling van deze systemen is volgens de overheid nodig, zodat artsen op basis van alle voor handen zijnde medische gegevens hun werk kunnen doen. Gepland werd dat deze koppeling tot stand zou kunnen komen middels een -door Nictiz ontwikkeldelandelijke basisinfrastructuur aan te leggen. Onder meer ziekenhuizen kunnen zich dan daarop aansluiten. Een landelijk netwerk, bewerkstelligd door lokale en regionale zorgnetwerken aan elkaar te verbinden via een landelijk schakelpunt, zou in 2006 mogelijk moeten zijn meende Hoogervorst. Het schakelpunt zou moeten fungeren als identificatie van zorgaanbieders, authenticatie, logging en een verwijsindex. De verwijsindex is in dit verband een register van burgerservicenummers van patiënten, met de bijbehorende zorgverleners en het soort zorggegevens. De index geeft aan waar welke gegevens zijn vastgelegd. 'De landelijke infrastructuur is ontworpen om een veelheid aan toepassingen – zoals het elektronische medicatiedossier en de elektronische waarneeminformatie huisartsen en het edeclaratieverkeer – te ondersteunen', aldus minister Hoogervorst eind 2004. De totstandkoming van deze drie essentiële onderdelen werd gezien als een belangrijke bouwsteen op weg naar een EPD.106 103Kamerstukken II, 2000/01, 27 529 ICT in de Zorg, nr. 1, p. 12 t/m 17. 104Kamerstukken II, 2002/03, 27 529 ICT in de Zorg, nr. 3, p. 2. 105Kamerstukken II, 2003/04, 27 529 ICT in de Zorg, nr. 4, p. 1 en 2. 106 Kamerstukken II, 2004/05, 27 529 ICT in de Zorg, nr. 6, p. 1, 2 en 3. Toelichting bij begrippen: Het emedicatiedossier geeft aan een zorgverlener via het eigen informatiesysteem van de specifieke instelling inzage in de geschiedenis van voorgeschreven en verstrekte medicatie van een patiënt. Deze medicatiegegevens blijven dus bij de bron, bijv. het informatiesysteem van een ziekenhuis of apotheek en kan ingezien worden bij 39
Volgens de beleidsplannen zou er in 2006 gestart worden met de landelijke uitrol van het gebruik van BSN in de zorgsector. Dit werd gezien als voorwaarde om op betrouwbare wijze op landelijk niveau informatie uit te kunnen wisselen. Invoering van het elektronisch medicatiedossier diende een grote bijdrage te leveren aan vergroting van de veiligheid van de patiënt. Nodeloze ziekenhuisopnames en behandelingen tengevolge van het gebruik van verkeerde medicatie door afwezigheid van noodzakelijke informatie deed zich namelijk te vaak voor. Bij de invoering werd een actieve rol van de sector zelf verwacht, benadrukte Hoogervorst. Om een verbetering van de kwaliteit van zorg en de efficiëntie teweeg te kunnen brengen, was verandering van zowel de ICT-systemen als van de werkwijze van artsen zelf noodzakelijk. Daarnaast, het elektronisch medicatiedossier was op dat moment niet het enige omvangrijke project binnen het actieplan van VWS. Het einddoel was per slot van rekening het creëren van een landelijk EPD dat naast informatie betreffende medicatie ook alle essentiële medische gegevens van een patiënt omvat. Ook invoering van het ewaarneemdossier huisartseninformatie stond gepland voor 2006.107 De landelijke infrastructuur voor informatie-uitwisseling in de zorgsector begon aldus met de invoering van het elektronisch medicatiedossier en het elektronisch waarneemdossier huisartsen.108 In 2005 waren de voorbereidingen aan de centrale kant al vergevorderd en werd vooral actie verwacht van de zorgaanbieders en ICT-leveranciers.109
geautoriseerde verstrekkers en voorschrijvers van medicijnen. Middels de e-waarneeminformatie heeft de waarnemend huisarts inzage in een samenvatting van het dossier van de patiënt, waarbij de vaste huisarts dossierhouder blijft en het dossier kan enkel ingezien worden t.b.v. een waarneemconsult. Behandeling van een declaratie voor een medische aangelegenheid kost zorgverleners en zorgverzekeraars tijd en geld, daarom zal om fouten in de afwikkeling van het declaratieverkeer te voorkomen en om het zorgverleners en zorgaanbieders makkelijker te maken het betalingsverkeer worden in het geheel worden ondersteund door ICT. 107Kamerstukken II, 2004/05, 27 529 ICT in de Zorg, nr. 7, p. 1 en 2. 108Kamerstukken II, 2004/05, 27 529 ICT in de Zorg, nr. 15, p. 1,2 en 3. De andere elementen die uiteindelijk zouden moeten leiden tot het landelijk EPD zijn: het landelijk schakelpunt, het BSN voor de zorgsector, de UZIpassen voor zorgaanbieders en -verleners, een centrale helpdesk voor regionale ondersteuning en ten slotte de thema's communicatie, verplichtingen en ICT-leveranciers. 109Kamerstukken II, 2005/06, 27 529 ICT in de Zorg, nr. 19, p. 2. 40
Casus: EPD in Ziekenhuis Rivierenland Tiel In het ziekenhuis in Tiel is eind 2007 het besluit genomen dat de verschillende papieren dossiers plaats moeten maken voor één elektronisch patiëntendossier. Hiervoor wordt gebruik gemaakt van een softwarepakket dat een EPD kan realiseren met het oog op de specifieke wensen en eisen van het ziekenhuis. De afdeling Zorginnovatie/EPD is speciaal gevormd in het kader van de invoering van het EPD en heeft de taak om het hele proces in goede banen te leiden. Doelstellingen van deze afdeling zijn onder meer het uitzetten van EPD-beleid, het ontwikkelen van de elektronische patiëntendossiers en het beheer daarvan. Er wordt hierbij samengewerkt met de afdeling ICT, die het ter voorbereiding op het EPD al mogelijk maakte dat medewerkers op verschillende computers kunnen werken met hun eigen gebruikersinstellingen. Als gevolg van het feit dat er steeds meer patiëntgegevens elektronisch beschikbaar komen in het ziekenhuis, is het belangrijk dat de toegang tot die informatie goed beveiligd is. Hiervoor is de persoonlijke gebruikerspas in het leven geroepen. Het EPD wordt gefaseerd ingevoerd; het startpunt was een test met het elektronisch aanvragen van lab- en radiologieonderzoeken bij een aantal specialismen.110 De basisfunctie van de software die het ziekenhuis gebruikt, bestaat uit tabellen met gegevens van het ziekenhuis, die weergeven op welke afdeling, kamer en bed een patiënt ligt. De zorgverlenergegevens worden weergegeven in tabellen waarin alle specialismen, artsen, en overige zorgverleners staan. Ook wordt historische informatie vanuit andere informatiesystemen weergegeven, waaronder de contactgegevens van de patiënt, opnamegegevens en labuitslagen. Verder zijn er systemen aan elkaar gekoppeld zodat patiëntgegevens en uitslagen steeds up to date zijn. Een nieuwe functie betreft de mogelijkheid tot het digitaal aanvragen van onderzoeken (ordercommunicatie). Het voordeel van digitaal aanvragen is dat gelijk zichtbaar is welke aanvragen er al zijn geplaatst en wat de status daarvan is, waarmee dubbele aanvragen worden voorkomen. Ook zal het mogelijk gemaakt worden om veel gebruikte combinaties van aanvragen in één keer in te voeren, zodat er geen aanvragen vergeten worden. Nadat de basisfunctie betreffende de digitale aanvragen is opgeleverd, kunnen verschillende digitale dossiers gerealiseerd worden. Voor de verschillende soorten gebruikers, waaronder artsen, zullen bepaalde onderdelen aan het softwarepakket toegevoegd worden.111
110 Het elektronisch patiëntendossier, Scoop op ziekenhuis rivierenland (personeelsblad van ZRT), 2010-4. 111 Soarian in gebruik!, Scoop op ziekenhuis rivierenland, 2010-5. 41
3.4 Wet op het EPD Begin 2007 konden huisartsen, huisartsenposten, ziekenhuizen en apothekers in heel Nederland zich aansluiten op de landelijke zorginfrastructuur via het landelijk schakelpunt. Wel moest op dat moment aan alle voorwaarden betreffende de veiligheid en betrouwbaarheid van landelijke communicatie voldaan zijn. De inwerkingtreding van het Wetsvoorstel Gebruik BSN in de zorg was daarvoor noodzakelijk. Alleen met BSN-wetgeving zou namelijk op landelijk niveau veilige en betrouwbare gegevensuitwisseling kunnen geschieden.112 Deze wetgeving ziet op het gebruik van het burgerservicenummer in de zorg, hetgeen volgens de overheid vereist is om te bepalen welke persoonsgegevens op welke persoon betrekking hebben. Indien het wetsvoorstel omtrent het elektronisch patiëntendossier, zoals dat ingediend is bij de Tweede Kamer, geaccepteerd wordt door de Staten-Generaal wordt de titel van de Wet gebruik burgerservicenummer in de zorg 'Kaderwet elektronische zorginformatieuitwisseling'.113 Het wetsvoorstel met betrekking tot het EPD is een aanvulling op de Wet gebruik burgerservicenummer in de zorg voor wat betreft de randvoorwaarden aangaande een veilige en accurate invoering van het landelijk EPD. De bedoeling van de Wet op het EPD, welke de afronding van de landelijke uitrol van het EPD-project zou betekenen, is dat geautoriseerde zorgaanbieders verplicht worden om gebruik te maken van het landelijk EPD. De wet dient ervoor te zorgen dat in de toekomst alle zorgaanbieders, met inachtneming van de door de overheid gestelde voorwaarden, aansluiting vinden op het landelijk schakelpunt. Het wetsvoorstel dient als kaderwetgeving; nadere voorwaarden dienen uitgewerkt te worden in lagere regelgeving.114 Door een landelijke infrastructuur voor de zorgsector met landelijke standaarden te realiseren, wordt volgens oud-minister Klink ook vermeden dat iedere regio voor zich een werkwijze uit moet zoeken. De afzonderlijke regionale netwerken en het mogelijkerwijs combineren van regionale en landelijke informatie-uitwisseling mag de invoering van het landelijke EPD niet in de weg zitten. Daarnaast is het van belang dat dergelijke gegevensuitwisseling voldoet aan de inwerking getreden wet- en regelgeving betreffende het beveiligen van informatie en bescherming van de privacy van patiënten. Volgens de Inspectie voor de Gezondheidszorg werkte de regionale uitwisseling van medicatiegegevens niet optimaal. Het landelijke EPD zou aldus op verschillende punten aanzienlijke vooruitgang op kunnen leveren. Het gaat dan om het verkrijgen van een totaalbeeld van patiënteninformatie onafhankelijk van plaats of tijd, het vermijden van naamsverwisselingen en -dubbelingen van patiënten, een betere beveiliging en strakkere privacyregels, aldus de minster.115 In het najaar van 2008 vond voorlichting aan alle apotheken, ziekenhuizen, huisartsenposten en huisartspraktijken over de invoering van het landelijk EPD plaats, waarna de zorgaanbieders een koppeling met het LSP konden maken. Aansluiting is, alvorens de Wet op het EPD in werking treedt, op basis van 112Kamerstukken II, 2006/07, 27 529 ICT in de Zorg, nr. 29, p. 2 en 3. De wet is gepubliceerd in Staatsblad nr. 164 van 20-05-2008. 113www.eerstekamer.nl/wetsvoorstel/30380_wet_gebruik (laatst bezocht op 28-06-2010). Het BSN is in de overheidssector ingevoerd met de Wet algemene bepalingen burgerservicenummer; voor gebruik van het BSN in andere sectoren, bijvoorbeeld zorg en onderwijs, is aanvullende regelgeving vereist. 114Kamerstukken II, 2006/07, 27 529 ICT in de Zorg, nr. 29, p. 6 en www.eerstekamer.nl/wetsvoorstel/31466_elektronisch (laatst bezocht op 28-06-2010). 115Kamerstukken II, 2007/08, 27 529 ICT in de Zorg, nr. 38, p. 3 en 4. 42
vrijwilligheid. Tevens werd er een tegemoetkoming in de vorm van een subsidieregeling voor huisartspraktijken, huisartsenposten en apothekers in het leven geroepen, waarop inmiddels geen beroep meer kan worden gedaan. In verband met bescherming van de privacy van patiënten is het wetsvoorstel aangepast. Het ging hierbij zoal om punten als het vooraf controleren van de aanwezigheid van een behandelrelatie tussen een arts of apotheker en een patiënt, hetgeen een voorwaarde is voor toegang tot het EPD. Ook zal er vastgelegd worden welke personen EPD in wilden zien ('logging').116 Duidelijk is dat er in de politiek en daarbuiten veel wordt gediscussieerd over het EPD en de bijbehorende haken en ogen. Soms lijkt er weinig schot in de zaak te zitten, zo blijkt ook uit het tijdspad betreffende het EPD, dat op 20 mei 2008 startte met indiening van het wetsvoorstel 'Wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatie-uitwisseling in de zorg'. Het voorstel werd op 19 februari 2009 door de Tweede Kamer aangenomen. De Eerste Kamercommissie kwam op 20 april 2010 met een zogenaamd nader voorlopig verslag, dat beantwoord werd met een nadere memorie van antwoord.117 Verder werd er op 23 juni 2009 een begeleidingscommissie ingesteld die onderzoek gedaan heeft naar de mogelijkheden voor wat betreft deskundigenconsultatie en publieksonderzoek. In december 2009 heeft er een expertmeeting plaatsgevonden, waarvan de Eerste Kamercommissie op 8 februari 2010 het verslag heeft vastgesteld. In maart is er een rondetafelgesprek met deskundigen gehouden en het verslag van deze meeting volgde eind maart. In mei werd vervolgens de brief van de minister van Volksgezondheid, Welzijn en Sport van 6 mei 2010 inzake de behandeling van dit wetsvoorstel besproken. Hierop volgde een verzoek van de commissie bij de Voorzitter van de Eerste Kamer om de voor 1 juni 2010 geplande plenaire behandeling van het wetsvoorstel uit te stellen.118 Voorgesteld werd daarbij om een plenair debat te plannen op diezelfde datum, omdat oud-minister Klink een externe deskundige had ingezet om het toezichtskader uit te werken. Ook achtte hij nog onderzoek nodig met betrekking tot de mogelijkheid 'om op verzoek van de patiënt regionale begrenzing van de informatie-uitwisseling binnen de landelijke infrastructuur aan te brengen'. Daarnaast moest nog uitgezocht worden of automatische sms-notificatie van raadplegingen aan patiënten mogelijk gemaakt kan worden. Ook als gevolg van adviezen van de Raad van State dienden er wijzigingen in het wetsvoorstel gemaakt te worden.119 De Eerste Kamer heeft op 1 juni gedebatteerd met de minister over onder meer bovengenoemde wijzigingen van het wetsvoorstel en de hiervoor benodigde uitstel van behandeling; tijdens dit debat zijn verschillende moties ingediend.120 De Eerste Kamer heeft inmiddels het EPD-wetsvoorstel 116Kamerstukken II, 2007/08, 27 529 ICT in de Zorg, nr. 42, p. 1, 2, 3. 117Dit betekent dat de betreffende Kamercommissie een tweede ronde in de schriftelijke voorbereiding nodig achtte. In dit verslag konden de antwoorden die de regering in de memorie van antwoord heeft gegeven, worden aangehaald. 118 www.eerstekamer.nl/wetsvoorstel/31466_elektronisch (laatst bezocht op 29-06-2010). 119Kamerstukken II, 2009/10, 31 466 H Wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatie-uitwisseling in de zorg. Het advies van de Raad van State ontvangen ziet op het invoeren van nadere bepalingen, bijvoorbeeld over de strafbaarstelling van misbruik van het EPD, de zichtbaarheid van de afscherming van gegevens en de uitsluiting van toegang tot het EPD voor verzekeraars. Het advies van de Raad van State leidt tot aanpassing van zowel het conceptbesluit als tot wijziging van het onderhavige wetsvoorstel, aldus oud-minister Klink. 120 www.eerstekamer.nl/wetsvoorstel/31466_elektronisch (laatst bezocht op 29-06-2010). 43
behandeld en besloten dat er aanvullende maatregelen nodig zijn alvorens de wet kan worden ingevoerd.121
3.5 Voor- en nadelen van een EPD Het ministerie van VWS meent dat een landelijke infrastructuur voor patiënten pluspunten heeft, die de bestaande regionale systemen niet hebben. Om te beginnen valt volgens de overheid de behoefte die mensen aan zorg hebben, niet samen met regionale grenzen. De gedachte dat patiënten vaker en verder zouden willen reizen voor een behandeling lijkt aannemelijk, als gevolg van de markwerking een toegenomen keuzevrijheid met betrekking tot zorg. Uit cijfers van de Vereniging van Ziekenhuizen (NVZ) blijkt daarentegen dat er sinds 2000 slechts een kleine toename is van het aantal patiënten ‘dat van buiten het verzorgingsgebied van een ziekenhuis komt’.122 Patiënten komen voor 85% uit de eigen regio, aldus NVZ.123 Ook stelt de overheid dat een totaalbeeld van de essentiële medische persoonsgegevens in het belang van de patiënt is. Het implementeren van het landelijk elektronisch patiëntendossier impliceert zodoende een investering in de kwaliteit en de toekomst van zorg, aldus oud-minister Klink. Eén van de doelstellingen van het EPD is immers ook het vergroten van de patiëntveiligheid en de kans op medische missers verminderen.124 Gezondheidsschade die veroorzaakt wordt door verkeerde medicijnen, als gevolg van een gebrek aan gegevens, kan vaker worden voorkomen. Informatie-uitwisseling tussen verscheidene zorgaanbieders en zorgverleners kan mogelijkerwijs helpen om de kwaliteit van zorg vergroten, de kans op medische fouten wordt immers vermindert en ook kan er efficiënter gewerkt worden.125 Een specialist, apotheker of (waarnemend) huisarts kan op eenvoudige wijze informeren naar het medicijngebruik van een specifieke patiënt. Als een iemand een andere arts bezoekt, is het niet meer nodig om hem te informeren over gegevens in het dossier. Daarnaast kan de waarnemend huisarts middels het EPD de eigen huisarts op de hoogte stellen van de behandeling.126 Naast het up-to-date houden van gegevensuitwisseling kan het EPD voordelen bieden als transparantie en vermindering van administratieve werkzaamheden, door het vastleggen van informatie onderdeel te maken van de normale registratie. Uit het vakblad Medisch Contact blijkt dat veel specialisten voor een grotere mate van transparantie en het controleerbaar maken van medische handelingen zijn. Een beter registratiesysteem is volgens arts-onderzoeker Gooiker absoluut welkom. Een EPD 121 G. Herderscheê, ‘Senaat schort invoering van het EPD op’, de Volkskrant 6 juli 2010. Via http://www.volkskrant.nl/binnenland/article1397783.ece/Senaat_schort_invoering_van_het_EPD_op (laatst bezocht op 29 juli 2010). 122 Nieuwsbericht op http://www.skipr.nl/actueel/mobiliteit-patient-groeit-nauwelijks-61517.html (laatst bezocht op 06-10-2010). 123 http://www.nvzziekenhuizen.nl/Actueel/NVZ_Nieuws/Archief/2010/Juni/24/Pati%C3%ABnten_komen_voor_85_uit_eigen_reg io (laatst bezocht op 06-10-2010). 124Kamerstukken II, 2007/08, 27 529 ICT in de Zorg, nr. 38, p. 3, 4. 125J.M. Barendrecht e.a., Aansprakelijkheden rond het EPD, Den Haag: Boom Juridische Uitgevers 2008, p. 7. 126www.rijksoverheid.nl/onderwerpen/elektronisch-patientendossier/epd-in-het-kort#voordelen-van-het-epd (laatst bezocht op 23-06-2010). 44
zou een uitkomst kunnen bieden door informatie geautomatiseerd en gecodeerd op te nemen. Overeenstemming van taal en definities is wel een vereiste, zodat interpretatieverschillen worden vermeden en verschillende instellingen met elkaar vergeleken kunnen worden. Voor wat betreft het landelijk EPD is uitgegaan van de internationale standaardtaal, de zgn. ‘Systematized Nomenclature of Medicine-Clinical Terms’. Dit is een register met medische termen, welke gemaakt is voor digitale gegevensuitwisseling en het aaneenschakelen van synoniemen. Omdat dit systeem enkel ziet op de inhoudelijke definitie van een woord is volgens Gooiker de eenheid van de medische taal nog niet gewaarborgd. Om tot een goede vergelijking tussen ziekenhuizen te kunnen komen, zal er dus een ondubbelzinnige definitie uit het systeem moeten rollen.127
Károly Illy, kinderarts: Het landelijk EPD zou een goed idee zijn geweest als de overheid zich 10 jaar geleden al zou hebben bedacht dat er dan ook één standaardsysteem en eenheid van taal zou moeten zijn. In die zin is de overheid een kans misgelopen, omdat de situatie hoe die er nu voor staat niet meer terug te draaien is. Nu hebben de verschillende ziekenhuizen vaak allemaal verschillende systemen gekocht, waardoor het wiel elke keer opnieuw uitgevonden moet worden. Dat is gewoon kapitaalverlies en slecht voor de patiëntenzorg, want eenheid met betrekking tot het systeem en de patiëntveiligheid (privacy) is belangrijk. Het overheidsbelang bij invoering is altijd kwaliteitsverbetering geweest, maar het kan niet zo zijn dat al die verschillende systemen goed zijn voor de kwaliteit van de zorg.
Met het EPD zoals het er nu uitziet wil oud-minister Klink dus vooral de zorg kwalitatief gezien naar een hoger niveau tillen en tegelijkertijd de doelmatigheid opschroeven. Volgens Spaink is het nog maar de vraag of de doelstellingen van het EPD realistisch zijn. De invoering ervan is immers een 'buitengewoon complexe operatie' en het moet nog maar blijken of ziekenhuizen en andere betrokken instellingen klaar voor de start zijn. Ook haalt Spaink het inzagerecht voor patiënten aan. Het is namelijk in de toekomst de bedoeling dat mensen hun eigen elektronisch patiëntendossier kunnen inzien via internet. Het voordeel hiervan is dat op dergelijke wijze het dossier helemaal volledig gemaakt kan worden, omdat er veel zelfzorgmiddelen gebruikt worden waarvan veelal geen aantekening gemaakt wordt in het medisch dossier. Dergelijke geneesmiddelen kunnen wel van invloed zijn op bijvoorbeeld de werking van voorgeschreven medicatie. Naast het argument dat een het medisch gezien voordelig kan zijn als patiënten eenvoudig bij hun eigen gegevens kunnen, ziet Spaink op dit punt problemen als het gaat om de beveiliging van de dossiers. Verder stelt zij dat regelmatige inzage door patiënten zelf mogelijkerwijs af doet aan de mate van verslaglegging door
127 G. Gooiker e.a., 'EPD: artsen aan zet', Medisch Contact 2009-4, p. 165. ‘Voor het begrip ‘naadlekkage’ als complicatie bij een darmresectie zijn bijv. verscheidene synoniemen maar ook multipele definities denkbaar. Zonder een eenduidige definitie zal de kwaliteitsindicator ‘percentage naadlekkages na gastro-intestinale resecties’ nooit een betrouwbare vergelijking tussen ziekenhuizen opleveren’, aldus Gooiker. 45
zorgverleners, omdat bijvoorbeeld een arts wellicht minder geneigd is vermoedens te vermelden als hij weet dat de patiënt de gegevens vaak naleest.128 Wat betreft de nadelen van het EPD heeft een onderzoek Van ’t Noordende, onderzoeker aan de Universiteit van Amsterdam, het nodige stof doen opwaaien. Naast kritiek op de lokale EPD's van instellingen moest ook het landelijk EPD het ontgelden. Van 't Noordende heeft onder meer onderzocht hoe toegankelijk het EPD is voor buitenstaanders die toegang tot persoonsgegevens willen of anderszins in kwade zin het datasysteem willen gebruiken. Hij kwam tot de conclusie dat er feitelijke beveiligings- en privacyrisico's bestaan. De onderzoeker stelt bijvoorbeeld dat indien medische informatie in het EPD is opgeslagen, deze nooit helemaal verwijderd kan worden. De verscheidene ziekenhuizen e.d. leggen namelijk patiëntgegevens vast in hun eigen systeem, dat op zijn beurt gekoppeld is aan het landelijke schakelpunt. In dat schakelpunt blijft altijd enkele gegevens opgeslagen, als gevolg waarvan het spoor naar bijvoorbeeld een behandelrelatie getraceerd kan worden.129 Ook Bonthuis geeft aan dat digitale dossiervorming gevaren met zich meebrengt, vooral betreffende het verwijderen van gegevens. Waar het vernietigen van een papieren dossier een simpele handeling is, is dit van het vernietigen van een digitaal dossier niet te zeggen. Er kunnen altijd nog ergens kopieën rondzwerven en er kan dus geen garantie worden gegeven dat daadwerkelijk alle versies verwijderd zijn.130 Betreffende de beveiliging van het LSP geeft Van 't Noordende aan dat het voor een hacker 'niet onmogelijk’ is om zich toegang tot het systeem te verschaffen.131
G.C. Dun, internist : Als het gaat om privacy moet het systeem voorbereid zijn op misbruik, omdat iedere arts op elk moment toegang heeft tot het gegevens in het patiëntendossier. Je kunt bij het bouwen van een systeem niet uitgaan van het goede van mensen. Van alle gegevens die verzameld worden, kan misbruik gemaakt worden, zowel door overheidsinstanties als door hulpverleners. Dit blijkt nu eenmaal voor te komen in de alledaagse praktijk. Misbruik strafrechtelijk aanpakken als preventie van misbruik lijkt vanzelfsprekend: mensen die de wet niet in acht nemen, worden gestraft. Maar daarmee voorkom je niet dat misbruik gemaakt wordt van het EPD, het creëert eerder een “Oostbloktoestand”, waarin iedereen elkaar wantrouwt en controleert. Terwijl in de arts-patiëntrelatie juist uitgegaan moet worden van vertrouwen en samenwerken. Dit impliceert dat sommige vertrouwelijke dingen niet vast worden gelegd in het medisch dossier. 128K. Spaink, Medische geheimen. Risico's van het elektronisch patiëntendossier, Amsterdam: Nijgh & Van Ditmar/ XS4ALL Internet 2005, p. 8-10, 15, 41-43. Professionele patiëntendossiers zijn er ten slotte in de eerste plaats voor behandelaars, stelt Spaink. 129 G. van 't Noordende, Brief aan de Eerste Kamer der Staten Generaal over de beveiliging van het landelijk EPD, Amsterdam: 18-02-2010. (d1sx0yagqoiea4.cloudfront.net/epd/Brief-EK-final.pdf, laatst bezocht op 23-062010). 130 Bonthuis 2008, p. 3. 131Van 't Noordende, 18-02-2010. Ook: nieuwsbericht van 31-03-2010 op de website van tijdschrift Psy, via www.psy.nl/meer-nieuws/nieuwsbericht/article/elektronisch-patientendossier-slecht-beveiligd/ (laatst bezocht op 23-06-2010). 46
Het gevaar dat persoonlijke informatie als gevolg van een fout op straat terecht komt of dat de overheid vastgelegde gegevens gebruikt voor andere doel dan waarvoor ze zijn bedoeld, bijvoorbeeld opsporing, is aldus aanwezig.132 Opvallend is dan ook dat onder degenen die bezwaar133 hebben gemaakt tegen uitwisseling van hun gegevens in het bijzonder veel artsen zijn. Zij geven daarmee blijk van de mening dat zij, vanuit het oogpunt van hun positie als patiënt, geen hoge pet op hebben van het EPD. Volgens artsenorganisatie KNMG zijn artsen vaak tegen het datasysteem. De organisatie zelf is wel voor invoering van het EPD, maar is wel van mening dat er nog onduidelijkheden omtrent privacy en betrouwbaarheid zijn.134 Ook volgens internetdeskundige Spaink kleven er de nodige risico's aan het digitaliseren van het medisch geheim. Zij vraagt zich onder meer af of het voor artsen wel altijd nodig is om iemands gehele dossier voor ogen te hebben. In het kader van de geplande verwijsindex als decentraal systeem meent ze dat het enerzijds voordelig is dat ieder ziekenhuis zelf verantwoordelijk blijft voor zijn informatie, omdat op die manier vertragingen kunnen worden vermeden. Een arts hoeft 'zijn' gegevens niet ergens anders vandaan te halen. Anderzijds kan de decentralisatie nadelig uitpakken indien (een van) de gekoppelde regionale systemen tijdelijk uit de lucht zijn, bijvoorbeeld door een storing. De vraag is hoe betrouwbaar de gegevens in de verwijsindex dan nog zijn en hoe anderen van bijvoorbeeld die storing op de hoogte kunnen zijn.135 Naast nadelen die voortvloeien uit de digitalisering van gegevens, stelt Bonthuis dat als gevolg van het EPD een aantal begrippen uit de WGBO en WBP worden verruimd. Dit is vooral het geval als het gaat om de toegang tot het dossier op grond van een behandelrelatie. In principe heeft een arts alleen toegang tot het medisch dossier van de patiënt als er een behandelrelatie tussen beiden is. In geval van een nieuwe patiënt zal door de arts in het systeem aangegeven moeten worden dat de behandelrelatie aanwezig is. Echter, volgens Bonthuis is het problematisch dat betreffende de rechtmatigheid hiervan enkel controle achteraf mogelijk is. Hij noemt dit een uitholling van het beroepsgeheim en gooit daarnaast de vraag op in hoeverre adequate controle achteraf ook echt mogelijk is. Voor wat betreft de reeds bestaande behandelrelatie geldt dat de administratiegeschiedenis blijk zou moeten geven van het bestaan van de behandelrelatie. Volgens Bonthuis hoeft dit echter niet altijd zo te zijn, omdat de uitwisseling van patiëntinformatie meestal afhangt van welke behandelaars organisatorisch gezien beschikbaar zijn of door welke de patiënt behandeld wenst te worden. Ook de vraag wie als medebehandelaar aan te merken is, is zodoende afhankelijk van beschikbaarheid. Meestal ontbreekt de tijd om exact vast te leggen in hoeverre elke medebehandelaar betrokken is bij de patiënt. Het begrip medebehandelaar is aldus ook lastig in te vullen in het kader van het EPD. De toegenomen mogelijkheden omtrent ICT kunnen ook in de zorgsector het verwerken en uitwisselen van informatie vergemakkelijken. Hoewel
132www.profnews.nl/929015/datahonger-van-overheid-is-gevaarlijk (laatst bezocht op 23-06-2010). 133Als iemand niet wil dat zorgverleners waar hij of zij onder behandeling staat de persoonlijke medische gegevens via het landelijk EPD in kunnen zien, kan daartegen bezwaar gemaakt worden. www.infoepd.nl/informatiepunt_com/patient_bezwaar_maken.php (laatst bezocht 23-06-2010). 134'Artsen dienen massaal bezwaar in tegen EPD', nieuwsbericht op de website van tijdschrift Medisch Contact, 13-05-2009, via medischcontact.artsennet.nl/nieuwsartikel/Artsen-dienen-massaal-bezwaar-in-tegen-EPD.htm (laatst bezocht op 23-06-2010). 135Spaink 2005, p. 15, 22, 23. 47
voor zorgaanbieders vooral het gebruiksgemak van belang is, mag de bruikbaarheid van systemen niet impliceren dat er minder bescherming is, aldus Bonthuis.136 Voor een overzicht de hierboven besproken voor- en nadelen in schema: Voor : Regiogrenzen overbruggen (m.b.t. landelijk EPD) Totaalbeeld medische informatie leidt tot: -Vergroten patiëntveiligheid -Verbetering kwaliteit van zorg -Efficiënter werken Transparantie
Tegen: Nauwelijks groei mobiliteit patiënt Digitalisering gegevens leidt tot: -beveiligingprobleem: risico misbruik/ fraude ( ook m.b.t. inzagerecht patiënt) -moeilijk verwijderen verspreidde informatie Overeenkomst van taal nodig Verruiming begrippen in WGBO en WBP Complexe operatie: heeft gevolgen voor tijd, geld, productiviteit
3.6 Vertrouwen van burgers in het landelijk EPD Uit onderzoek naar de van burgers en ondersteunende zorgverleners over het EPD137 komt naar voren dat de kennis over het EPD onder de deelnemers erg oppervlakkig is. Er wordt voornamelijk gesproken wordt over 'het digitaal beschikbaar komen van medische dossiers', waarbij meestal ook nog wordt verondersteld dat álle gegevens van een patiënt zichtbaar zullen worden. Behalve bij de mensen die bezwaar hebben ingediend tegen de elektronische informatie-uitwisseling138 heeft invoering van het landelijk EPD bij weinig deelnemers tot onrust geleid. Veel respondenten geven wel aan dat zij meer willen weten over de exacte inhoud en werking van het EPD. De meningen over het EPD zijn verdeeld139 en degenen die een positief beeld hebben van het EPD, baseren dat op het idee dat de gegevensuitwisseling minder medische missers tot gevolg zal hebben. Zij menen aldus dat de kwaliteit van de zorg voor de patiënt toe kan nemen. Een negatief beeld wordt daarentegen gevormd door de mogelijke risico’s op het gebied van de persoonlijke levenssfeer (privacy). Onder de deelnemers zijn de burgers en de zorgverleners zich beiden bewust van de voordelen van het systeem, vooral met betrekking tot acute gevallen. Naast het verminderen van medische fouten en een betere behandeling, worden pluspunten als een snel zichtbaar totaalplaatje van iemands medicijngebruik en medische geschiedenis genoemd. Tevens wordt genoemd verbetering van de communicatie tussen zorginstellingen en artsen, het voorkomen van herhaling van onderzoek. Ten slotte wordt kosten- en tijdsbesparing genoemd. Er wordt overigens getwijfeld aan de wenselijkheid van het EPD binnen het veld, omdat de medische 136 Bonthuis 2008, p. 2, 3 en 4. 137J. ter Berg & Y. Schothorst. Het EPD: opvattingen van burgers. Verslag van een focusgroeponderzoek. Den Haag: Rathenau Instituut TA rapport februari 2010, p. 33 t/m 35. 138 Dat de mogelijkheid hiertoe bestond, is overigens velen niet opgevallen, zo blijkt uit hetzelfde onderzoek. 139Lager opgeleiden hebben een positiever beeld dan de hoog opgeleide deelnemers en voor de deelnemers die veel zorgcontacten hebben geldt dat zij beide kanten kiezen. Betreffende de ondersteunende zorgverleners valt op dat zij meestal positief zijn. 48
beroepsgroepen geen rol als ambassadeur en/of pleitbezorger van het EPD vervullen. Indien deze beroepsgroepen duidelijk laten weten dat zijn achter de invoering staan, zou dat een gunstige uitwerking kunnen hebben. Duidelijk is dat eerder genoemde voordelen er zijn, volgens hetzelfde onderzoek. De mening heerst daarentegen dat deze slechts gerealiseerd kunnen worden indien het EPD enkel wordt gebruikt voor de gestelde doeleinden, hetgeen veel van de deelnemers zorgen baart. Er is wantrouwen en twijfel als het gaat om de gang van zaken omtrent toegang tot het EPD in de praktijk, alsook over de technische realiseerbaarheid van het datasysteem.140 Daarnaast blijkt de mate van bescherming en beveiliging van de medische informatie ook voor onrust te zorgen. Er wordt opgemerkt dat ieder systeem bevattelijk is voor kwaadwillenden die toegang ertoe willen, hoe goed de beveiliging ook is. In het verlengde hiervan ligt het gegeven dat de deelnemers van het onderzoek bezorgd zijn over het grote aantal UZI-passen dat uitgegeven wordt.141 Tevens vermeldenswaardig is de gedachte dat het EPD als bijkomend effect een vermindering van persoonlijk contact in de relatie zorgverlener en patiënt kan hebben. Ook wordt opgemerkt dat artsen meer vooringenomen zouden kunnen gaan worden, omdat hij op grond van het medisch dossier 'zijn conclusies al klaar heeft'. De mate van vertrouwen in het EPD hangt ook samen met toestemming van de patiënt als vereiste voor inzage. Tevens speelt mee in hoeverre de inzage geregistreerd wordt en de mogelijkheid om als patiënt zelf inzage te hebben in het eigen medische dossier.142
140Het wantrouwen heeft voornamelijk betrekking op personen en instanties die toegang zouden kunnen krijgen tot het EPD en in dit kader worden vaak het UWV en (zorg)verzekeraars aangekaart, voor wie de beschikbaarheid van gegevens in het EPD als 'uiterst onwenselijk 'gezien wordt. 141'In alle groepen wordt aandacht gevraagd voor de toegang tot extra gevoelige gegevens, zoals informatie over psychische aandoeningen. Nadrukkelijk wordt gesteld dat niet iedere arts zomaar toegang moet kunnen krijgen tot zulke gegevens', aldus de onderzoekers. 142 Ter Berg & Schothorst 2010, p. 33 t/m 35. Zeggenschap over het eigen dossier hebben blijkt een belangrijke voorwaarde voor het vertrouwen in het EPD. De toestemmingseis welke geldt voor zorgverleners, het vastleggen van inzage door zorgverleners, het recht van de patiënt op inzage in de eigen gegevens en de mogelijkheid tot afscherming van gegevens zijn punten die het vertrouwen van de deelnemers doen toenemen. Een aantal respondenten menen daarentegen wel dat inzage in het eigen dossier via internet het EPD kan leiden tot een verhoogde kans op fraude, zo blijkt uit het rapport. 49
3.7 Huidige stand van zaken Nu de opstartprojecten inmiddels klaar zijn en ook de randvoorwaarden voor de koppeling van de zorgaanbieders zijn opgesteld, zijn de resterende opdrachten betreffende de implementatie van het EPD overgeheveld naar Nictiz. Deze organisatie zal het vervolg zorg dragen voor het coördineren van het aansluitproces plus de connecties en communicatie met de zorgaanbieders, regio’s en ICT-leveranciers.143 Met betrekking tot de toegang tot het EPD is de grondslag in de wetgeving dat beroepsbeoefenaars, inhoudende BIG-geregistreerden, over toegang kunnen beschikken indien het noodzakelijk is om de persoonsgegevens in te zien en op voorwaarde dat er een behandelrelatie tussen de zorgverlener en de patiënt bestaat.144 Als het gaat om zorgverzekeraars is er discussie of zij al dan niet toegang tot het EPD zouden moeten kunnen hebben, maar het College Bescherming Persoonsgegevens (CBP) heeft hieromtrent recentelijk geadviseerd om de mogelijke uitzonderingen op het verbod op toegang tot het EPD voor verzekeraars te verwijderen.145 Wat betreft het inzagerecht voor patiënten is wel het een en ander helder geworden. Op grond van de WGBO bestaat het recht op inzage in de eigen medische gegevens. Als gevolg van de ontwikkeling van het landelijke EPD kunnen patiënten mogelijk in het vervolg elektronisch over toegang tot het EPD-gedeelte G.C. Dun, internist: Het ontwikkelen van een EPD is tijdrovend en kostbaar. Het voeren van een EPD onttrekt tijd aan de directe patiëntenzorg en vermindert de productiviteit met ongeveer 10%. De overheid legt het EPD op als voorwaarde voor het leveren van kwaliteit in de zorg, maar houdt zich afzijdig bij het ontwikkelen en financieren van een uniforme standaard. Elke regio of ziekenhuis is bezig tegen hoge kosten een eigen EPD te ontwikkelen, waarvan het de vraag is of het kan functioneren en communiceren binnen een netwerk. Wanneer een EPD is ingevoerd moet het bedrijfszeker zijn en 99.99 % van de tijd in de lucht zijn zonder storing. Daarnaast is het de vraag of een arts daadwerkelijk al die gegevens uit het EPD nodig heeft om iemand beter te maken?Dat is waar het uiteindelijk om gaat. De hulpverlening zou zich niet moeten plooien naar het EPD, maar juist andersom: het EPD zou de zorg moeten faciliteren.
van de eigen medische informatie beschikken. Er kan zodoende digitaal in de eigen medische informatie gekeken worden. Ook bestaat de mogelijkheid om bezwaar tegen uitwisseling van gegevens via het landelijk EPD in te dienen of in te trekken.146 143Kamerstukken II, 2009/10, 27 529 ICT in de Zorg, nr. 59, p. 2. 144Kamerstukken II, 2009/10, 27 529 ICT in de Zorg, nr. 58, p. 4. In het kader van een motie over de zgn. 'verlengde arm-constructie' schrijft Klink het volgende. Voor triagisten geldt dat zij alleen toegang hebben onder verantwoordelijkheid van een huisarts, hetgeen impliceert dat een huisarts een koppeling met de inzage van de triagist moet hebben. Dit kan op meerdere manieren, huisartsenposten hebben bijvoorbeeld een autoriserend huisarts die de inzage van de triagist mandateert of de triagist kan vóór inzage te kennen geven namens welke huisarts dit plaatsvindt. 145Kamerstukken II, 2009/10, 27 529 ICT in de Zorg, nr. 59, p. 7. Oud-minister Klink is voornemens dit advies te volgen en een nota van wijziging hieromtrent aan te bieden aan de Kamer. 146Kamerstukken II, 2009/10, 27 529 ICT in de Zorg, nr. 59, p. 5, 6. 50
Op het punt van de veiligheid wordt meermalen door de overheid benadrukt het landelijk EPD met een hoog beveiligingsniveau te maken heeft. Er zijn strenge eisen in verband met zowel de technische infrastructuur als de daadwerkelijke gegevensuitwisseling. Alvorens koppeling aan het LSP plaats kan vinden, moet een zorgaanbieder (instelling of zorgverlener) immers voldoen aan de eisen die gelden voor een 'Goed Beheerd Zorgsysteem' (GBZ). Hieronder valt bijvoorbeeld het gebruiken van een door Nictiz aangemerkt zorginformatiesysteem. Ook moet er gebruik gemaakt worden van de diensten van een gekwalificeerde Zorg Service Provider (ZSP) en moet voldaan zijn aan de norm voor informatiebeveiliging in de zorgsector (NEN 7510). De NEN 7510 is een normstelling die in het ziekenhuisveld tot stand is gekomen en waarop door de Inspectie voor de Gezondheidszorg toezicht wordt gehouden. Indien niet aan de eisen voldaan is, kan geen aansluiting op het LSP verkregen worden.147 Een ander aspect van de informatiebeveiliging houdt verband met de verschillende indringertesten waaraan onderdelen van het EPD onderworpen worden, zoals de test van het UZI-register. Deze zal jaarlijks plaats gaan vinden. Het LSP heeft ook een jaarlijkse indringertest ondergaan, uitgevoerd door een onafhankelijke partij en daar zijn geen bijzonderheden uit voort gekomen. Verder wordt in opdracht van Nictiz nagegaan of de op het LSP aangesloten ziekenhuizen en artsen voldoen aan het 'Programma van Eisen GBZ'. Hierbij zijn vooralsnog geen noemenswaardige bevindingen uitgekomen.148 Naast genoemde voorbeelden lopen er nog andere testen en op nieuwe resultaten zal in elke voortgangsrapportage worden ingegaan.
3.8 Deelconclusie Allereerst is besproken welke overwegingen ten grondslag liggen aan het wetsvoorstel omtrent invoering van een EPD. In 1996 zijn de plannen omtrent elektronische patiëntendossiers gestart, na een advies over het technologiebeleid in de zorgsector van de voorlopige RVZ. Toenmalige minister Borst van VWS zette de lijn uit die de Raad had geschetst. Dientengevolge was een van de hoofdthema's in de nota 'Informatievoorziening in de zorg' de ontwikkeling van een landelijk EPD. Om de kwaliteit, efficiëntie en toegankelijkheid van de zorg te vergroten moest het gebruik van ICT in de zorg bevorderd te worden. Een landelijk netwerk dat tot stand gebracht wordt door verbinding van lokale en regionale netwerken via een landelijk schakelpunt, zou in 2006 mogelijk moeten zijn volgens Hoogervorst (de opvolger van minister Borst). Tevens is de status van de Wet op het EPD aan de orde gekomen. Het voorstel voor 'Wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatie-uitwisseling in de zorg' is ingediend op 20 mei 2008 en werd op 19 februari 2009 door de Tweede Kamer aangenomen. Het wetsvoorstel op het EPD is een aanvulling op de Wet gebruik burgerservicenummer in de zorg, als het gaat om de randvoorwaarden die gelden voor een veilige en adequate invoering van het landelijk EPD. Doel van de Wet op het EPD is dat geautoriseerde zorgaanbieders verplicht worden gebruik te maken van het landelijk EPD. Beroepsbeoefenaars, de BIG-geregistreerden, kunnen over toegang tot het EPD beschikken als dat noodzakelijk is om de persoonsgegevens in te zien en op voorwaarde dat er een behandelrelatie tussen arts en patiënt bestaat. Wat betreft de veiligheid van het EPD wordt meer dan eens benadrukt dat er uitgegaan wordt van een hoog beveiligingsniveau. Er zijn strenge eisen aan koppeling aan het LSP verbonden, zo moet een ziekenhuis o.a. voldoen aan de eisen van een 'Goed Beheerd Zorgsysteem' (GBZ).
147Kamerstukken II, 2009/10, 27 529 ICT in de Zorg, nr. 58, p. 2 en nr. 59, p. 7. 148 Kamerstukken II, 2009/10, 27 529 ICT in de Zorg, nr. 60, p. 3 en 4. 51
De voorgestelde landelijke infrastructuur zou onder meer het elektronische medicatiedossier, de elektronische waarneeminformatie huisartsen en het e-declaratieverkeer moeten ondersteunen. De totstandkoming van deze drie onderdelen waren belangrijke stappen in de richting van een EPD, maar over de verdere uitvoering van het EPD-project is momenteel veel onduidelijk. Dit heeft vooral te maken het de nadelen die kleven aan een landelijk EPD. Als voordelen noemt de overheid dan wel verhoging van de kwaliteit van zorg, verkleining van de kans op medische fouten en vergroting van de doelmatigheid van zorg. Immers een specialist, apotheker of (waarnemend) huisarts kan op een makkelijke manier informeren naar het medicijngebruik van de patiënt en bij het bezoeken van een andere arts hoeft een patiënt hem niet meer in te lichten over gegevens in het dossier. Daarnaast worden voordelen als transparantie en vermindering van administratieve werkzaamheden genoemd. De vraag is echter of deze voordelen opwegen tegen de nadelen die gemoeid zijn met de invoering van een landelijk EPD. Wellicht is het grootste voordeel dat de overheid uiteindelijk uit dit EPD wil slepen het krijgen van meer controle over meer informatie. Uit hoofdstuk 1 is immers al gebleken dat het enkele digitaliseren van informatie tot de nodige problemen omtrent beveiliging en privacy leidt. Nadelen zijn dus vooral te vinden in de beveiliging van het systeem en de privacybescherming van patiënten. Informatie die in het EPD is opgeslagen, kan nooit meer volledig verwijderd worden en mogelijk vinden kwaadwillenden altijd wel een weg naar de opgeslagen persoonsgegevens. Gedigitaliseerde gegevens zijn nu eenmaal gevoelig voor misbruik en fraude. Het gevaar dat persoonlijke informatie als gevolg van een fout op straat terecht komt of dat de overheid vastgelegde gegevens gebruikt voor andere doel dan waarvoor ze zijn bedoeld, is aanwezig. Daarnaast blijkt de mobiliteit van patiënten helemaal niet zoveel te zijn toegenomen als wordt gedacht, waardoor het argument betreffende het overbruggen van regiogrenzen aan kracht verliest. De verschuiving van patiëntendossiers op papier naar digitale versies is al jaren gaande is, zo blijkt uit het besprokene. De huidige trend is om de verschillende dossiers op één plaats te verzamelen: in een EPD. De bedoeling hiervan is dat informatie beter en veiliger rond kan gaan binnen uiteindelijk alle afdelingen van een ziekenhuis. Het uitgangspunt is dat iedere hulpverlener op elk moment het dossier van een patiënt kan inzien. Dit idee is zowel het grote voor- als nadeel van een EPD. Het is immers in het belang van de patiënt dat hij zo goed mogelijk geholpen wordt, op grond waarvan het nodig kan zijn dat een bepaalde specialist inzage heeft in alle medische gegevens in het dossier. De andere kant van de medaille is dat sommige informatie mogelijk gevoelig ligt en tevens zijn niet alle gegevens relevant voor een arts. Hieruit vloeit dan de vraag voort in hoeverre een patiënt zelf kan beoordelen welke gegevens voor welke arts relevant zijn en welke niet. Het zal in grote mate afhankelijk zijn van de professionaliteit van de hulpverleners, als het gaat om wie wanneer en waarvoor het digitale dossier induikt. De toegang tot gegevens wordt namelijk makkelijker en hoewel elke inzage vastgelegd wordt in het systeem zal eventuele controle slechts achteraf plaatsvinden. Van groot belang zijn verder de mogelijke problemen die voortvloeien uit het digitaliseren van informatie. Digitalisering leidt tot anonimisering en het gevaar van het ontstaan van een schaduwdossier doemt op. Het risico op misbruik en fraude van gegevens wordt ook groter als digitalisering plaatsvindt. Dat heeft te maken met het beveiligingsniveau van het systeem, maar ook met digitalisering op zichzelf. De belangen op het gebied van privacy zijn groot in een ziekenhuis en risico’s moeten dan ook zoveel mogelijk voorkomen worden. Ook bestaat het risico op storingen van informatiesystemen, met alle gevolgen van dien, waaronder de situatie dat artsen (tijdelijk) niet meer in het dossier van een binnengebrachte patiënt kunnen. Met betrekking tot de verwijsindex als decentraal systeem, is het voordeel dat ieder ziekenhuis zelf verantwoordelijk blijft voor zijn informatie en daardoor vertragingen kunnen 52
worden vermeden. Een nadeel dat aan decentralisatie kleeft is daarentegen de mate van betrouwbaarheid medische gegevens als de aangekoppelde regionale systemen bijvoorbeeld tijdelijk uit de lucht zijn. Ook het toekomstige inzagerecht voor patiënten in hun eigen medische dossier brengt plus- en minpunten met zich mee. Het kan voordelig zijn als patiënten eenvoudig bij hun eigen gegevens kunnen om bijvoorbeeld informatie aan te vullen en te checken, maar er kunnen zich ook problemen omtrent de beveiliging van de dossiers voordoen. Om een groot systeem als het landelijk EPD te laten slagen is nodig dat patiënten vertrouwen in en kennis van het systeem hebben. Recent onderzoek heeft laten zien dat burgers uit verschillende groepen van de Nederlandse bevolking in het algemeen weinig weten van het landelijk schakelpunt en er vaak vanuit gaan dat alle gegevens van patiënten te zien zullen zijn. Veel deelnemers hebben aangegeven dat zij meer willen weten over de inhoud en werking van het landelijk EPD, dus ook op dit punt ligt klaarblijkelijk nog werk voor de overheid en de zorginstellingen, alvorens het grote project tot een goed eind (of juist goed begin) te brengen. Al met al is het een behoorlijke ingewikkelde operatie die niet voor niks zoveel stof doet opwaaien. Mijn inziens is het terecht dat er steeds opnieuw weer vragen worden gesteld met het oog op de beveiliging van de vastgelegde informatie en de privacy van patiënten. Dat een landelijk EPD geen goed idee is, wil echter niet zeggen dat een lokaal EPD dat ook is. De overheid kan immers tevens andere belangen hebben bij informatieverzameling dan ziekenhuizen en hulpverleners zelf.
Károly Illy, kinderarts: Een EPD op lokaal niveau is goed, het kan immers leiden tot een grote mate van patiëntveiligheid. Maar het is jammer dat alles zelf ontwikkeld, uitgevonden en getest moet worden. Dat kost tijd en geld en is slecht voor ziekenhuizen. In vergelijking met het papieren medisch dossier is een digitale versie veel minder makkelijk toegankelijk voor onbevoegden. Elke keer dat een dossier wordt ingezien door iemand wordt dit gelogd. Hulpverleners moeten zich dan ook bewust zijn van de consequenties van misbruik van het elektronische systeem. Al met al zijn de mogelijke nadelen omtrent privacy nog altijd kleiner dan het voordeel van het EPD. Als er iemand bijv. bewusteloos wordt gevonden in het bos, kan deze patiënt door iedere arts op elk moment worden geholpen, de gegevens zijn immers toegankelijk en beschikbaar. Met het papieren medisch dossier is dat absoluut niet zeker.
53
4. Conclusie 4.1 Informatie en privacy algemeen In deze scriptie stond de volgende probleemstelling centraal: In hoeverre spelen de problemen die hebben geleid tot het afketsen van het landelijk EPD ook bij regionale EPD's een rol, met het oog op de problematiek die voortvloeit uit de ontwikkelingen in de hedendaagse informatiemaatschappij? Het startpunt was in hoofdstuk 1 de informatiemaatschappij en privacy in algemene zin. Tegenwoordig heeft informatie een essentiële plaats ingenomen in sociale en bureaucratische relaties, zodat de term ‘informatiemaatschappij’ van toepassing is op onze samenleving. Het gaat hierbij voornamelijk om informatie in de zin van persoonsgegevens. Vier uitgangspunten zijn aan de orde gekomen die volgens Bovens gelden met betrekking tot een informatiemaatschappij. Het ontstaan van de informatiemaatschappij heeft er namelijk toe geleid dat de inhoud van het begrip burgerschap is veranderd. Bovens stelt dat burgerschap en informatierechten niet los van elkaar te zien zijn, omdat informatierechten het gedrag van mensen beïnvloeden, zowel als het gaat om relaties met de overheid als met andere burgers en private rechtspersonen. Nieuwe privacyproblemen zijn het gevolg van de opkomst van en ontwikkelingen in onze informatiemaatschappij. Volgens Solove komen deze voort uit de vloedgolf aan informatie die in beweging is. Om privacy te beschermen in deze tijd moet volgens hem allereerst het begrip privacy geconstrueerd worden. Op die manier kan het totale maatschappelijke plaatje zichtbaar worden, hetgeen door Solove de ‘architectuur van privacy’ wordt genoemd. Het idee is dat privacyproblemen niet simpelweg kunnen worden opgelost door reconstructie, oftewel door de uitoefening van rechten en het introduceren van wetgeving, maar wel door een goede constructie van (de structuur van) het ontwerp. De architectuur die in eerste instantie tot stand komt, is namelijk onveranderbaar. Traditioneel gezien betekent privacy handelingsprivacy, maar Solove geeft aan dat voor de moderne privacyproblematiek juist kenmerkend is dat knelpunten voortkomen uit informatiestromen die plaatsvinden tussen verscheidende instanties. Hierdoor is er is in de meeste gevallen niet één dader aan te wijzen wanneer er inbreuk op de persoonlijke levenssfeer wordt gemaakt. In de hedendaagse betekenis van privacy dient de verantwoordelijkheid ervoor dan ook te worden verdeeld over verschillende spelers. Dit impliceert dat al die verschillende actoren zich allereerst bewust moeten worden van hun verantwoordelijkheid, zodat ze die vervolgens ook kunnen nemen. De kern van het oplossen van moderne privacyproblemen kan volgens Solove gevonden worden in het aanbrengen van fundamentele technologische wijzigingen, in plaats van bijvoorbeeld nieuwe wetgeving in te voeren als reactie op inbreuken. Architectuur houdt in dat er een bepaalde technologische structuur bestaat die volgt uit een ontwerp. Het verzamelen, verspreiden en koppelen van informatie wordt zodoende vormgegeven door onderdelen van die structuur. De privacyproblematiek zoals we die tegenwoordig tegenkomen hangt dus samen met het soort samenleving waarin we nu leven. Immers, informatiestromen zijn onmisbaar als het gaat om het vormgeven van de huidige maatschappij. Het recht kan vorm geven aan onze wereld en biedt mogelijkheden als het gaat om het verbergen of juist openbaar maken van gegevens. Het waarborgen van de persoonlijke levenssfeer is kortom verbonden met het op een goede manier reguleren van sociale verhoudingen. Het gevolg van het gegeven dat informatie zo’n belangrijke positie inneemt in de moderne samenleving is dat mensen de eigen controle over hun persoonlijke informatie makkelijker verliezen. Mensen hebben namelijk geen feitelijke zeggenschap over door hen vrijgegeven en eenmaal vastgelegde gegevens. Privacy in de traditionele betekenis gaat voorbij aan de gedachte dat 54
sommige privacyproblemen structureel zijn. Dit leidt ertoe dat de maatschappij in zijn geheel getroffen kan worden, dus niet alleen individuen. Architectuur kan de maatschappij beïnvloeden door de mate van privacy van mensen groter of kleiner te maken. Als voorbeeld wordt genoemd de manier waarop openbare en privéruimtes vormgegeven worden. Ze zijn in een openbare ruimte meer kwetsbaar, maar staan daar vrijwel machteloos tegenover, hetgeen voortvloeit uit de zogenaamde ‘architectuur van de kwetsbaarheid’. Een koppeling makende naar persoonsinformatie kan dus allereerst gezegd worden dat op het moment dat gegevens gedigitaliseerd worden, de persoon aan wie die gegevens toebehoren de controle erover verliest. Tegenwoordig is echter het verstrekken van persoonsgegevens bijna altijd nodig alvorens dienstverlening beschikbaar wordt. Dit maakt dat het in de praktijk haast onmogelijk is om steeds zeggenschap over de eigen persoonsgegevens te hebben en te houden. Mensen zijn dus keer op keer genoodzaakt om persoonlijke informatie vrij te geven, waardoor de kans op misbruik van en door middel van die persoonsgegevens toeneemt.
4.2 Kwetsbaarheid informatiemaatschappij Daarna is uiteengezet dat de gevoeligheid van de informatiemaatschappij volgens Luijf uiteen valt in twee elementen. Enerzijds is het risico aanwezig dat het vertrouwen van burgers en bedrijven aangaande ICT verloren raakt. Anderzijds kunnen storingen of uitval van fundamentele infrastructuren ertoe leiden dat onze huidige maatschappij beschadigd raakt. Het is daarom van belang dat burgers én bedrijven, alsook de overheid vertrouwen houden in ICT als essentieel onderdeel van de samenleving. Hierbij zijn het beschermen van de privacy, de betrouwbaarheid van ICT-toepassingen en de mate van controle over de eigen gegevens cruciale elementen. Problemen die als gevolg van de kwetsbaarheid van ICT kunnen ontstaan, kunnen gevolgen hebben voor het vertrouwen in ICT van de gehele samenleving. Virussen, wormen en Trojaanse paarden vinden hun weg in computers van burgers, bedrijven en in overheidssystemen. Daarnaast is het risico op levensgevaarlijke situaties aanwezig indien onmisbare ICT-netwerken schade oplopen en plat komen te liggen. Onderzoek naar de kwetsbaarheid van ICT geeft aan dat deze algemene kwetsbaarheid van ICT te beïnvloeden is door de samenleving weerbaarder te maken tegen de risico’s. Ook speelt daarbij het eerder genoemde vertrouwen dat o.a. burgers en consumenten hebben in ICT een grote rol. Deze vertrouwensbasis is dan ook aan te merken als een cruciale voorwaarde voor de groei van de informatiemaatschappij. De kwetsbaarheid van informatietechnologie staat rechtstreeks in relatie tot het toenemende gevaar betreffende identiteitsdiefstal, omdat het gekoppeld is aan de zwakke plekken van een identificatiemiddel of –infrastructuur. Identiteitsfraude is een maatschappelijk probleem, omdat het samenhang vertoont met de huidige betekenis van identiteit/identificatie in onze samenleving. Het belang van persoonsinformatie is immers sterk gegroeid. Echter, tegelijkertijd zijn mensen als gevolg van de digitalisering van die gegevens anoniemer geworden. Deze anonimisering heeft op zijn beurt invloed op de inhoud van het begrip identiteit, alsook op de waarde van identiteitsbescherming en –informatie. De ‘architectuur van de kwetsbaarheid’ kan hieraan gekoppeld worden, omdat de mensen zelf geen zeggenschap meer hebben over de controle en vastlegging van de eigen persoonsinformatie. Ook aangaande het toegenomen gebruik van het burgerservicenummer (BSN) worden een aantal risico’s opgemerkt. De waarde van een dergelijk persoonsnummer is ondertussen erg toegenomen, omdat gebruik ervan op sommige fronten verplicht gesteld is. Wederom impliceert dit een toename in kwetsbaarheid voor misbruik, fouten en fraude.
55
4.3 ICT en patiëntenrechten Voor de toepassing van ICT in de gezondheidszorg betekent het bovenstaande het volgende. Het ICT-beleid in de zorg heeft voor een belangrijk deel te maken met de invoering van het landelijk elektronisch medicatiedossier en het waarneemdossier huisartsen, als zijnde startpunten voor een landelijk EPD. Ook betreffende ICT gebruik in de zorg komen er zowel kansen als bedreigingen naar voren. De veiligheid van mensen kan echter in het geding komen als het gaat om mogelijke bedreigingen, dat zoveel mogelijk voorkomen dient te worden. Een groot risico op het gebied van gezondheidszorg ligt op het punt van de privacy van de patiënt, omdat juist in de zorg gevoelige informatie extra goed beschermd moet worden. Het medisch geheim staat centraal bij de omgang met (gevoelige) patiëntinformatie. Het uitgangspunt is tenslotte dat iedereen voor advies of hulp terecht moet kunnen bij een arts of andere hulpverlener. De vertrouwensrelaties die arts en patiënt hebben, is daarbij van cruciaal belang. In verband met de gevoeligheid van medische gegevens moet een zorgvuldige omgang met de patiëntgegevens gewaarborgd zijn. Zowel voor de patiënt op zich als voor de samenleving in het geheel is het dus van belang dat duidelijk is wat het beroepsgeheim precies impliceert.
M. Heemskerk, Hoofd Zorginnovatie & EPD: Het succes van digitale patiëntendossiers hangt af van hoe mensen ermee omgaan, dat ze bijv. hun toegangspas niet laten slingeren. Met een goede beveiliging is het gevaar van misbruik minder aanwezig, hoewel die kans altijd zal blijven bestaan. Een eventuele onbevoegde inzage is daarnaast bij elektronische raadpleging van een dossier te herleiden, omdat elke inzage geregistreerd wordt. Enerzijds is het de taak van hulpverleners om professioneel, volgens de arbeidsethiek, om te gaan met een EPD. Anderzijds is het de taak van een instelling om dat mogelijk te maken, dus een goed beheer van de vastgelegde gegevens te organiseren, zodat informatie goed beschermd is tegen verlies en diefstal. Met een goede organisatie van het geheel kan ook (voor zover mogelijk) voorkomen worden dat onbevoegden toegang kunnen hebben tot de patiëntgegevens.
In de zorg wordt zo’n grote hoeveelheid gevoelige patiëntinformatie verzameld, vastgelegd, toegankelijk gemaakt en uitgewisseld dat mensen extra kwetsbaar zijn. Dit met betrekking tot hun gezondheid en met betrekking tot misbruik van hun gegevens, omdat mensen voor het verkrijgen van zorg genoodzaakt zijn om hun persoonsgegevens af te geven. Zij verliezen daarbij de eigen controle over de informatie en de kans bestaat dat hun medische gegevens een eigen leven gaan leiden. Patiëntenrechten zijn er om voor een deel bescherming te bieden. Het zelfbeschikkingsrecht is voor het gezondheidsrecht het meest belangrijke beginsel en vloeit voort uit het principe van de menselijke waardigheid. Het begrip zelfbeschikking is naar zijn aard aan verandering onderhevig, omdat het afhankelijk is van de ontwikkeling van de maatschappij. Ook kan de professionele autonomie van de arts, dat is neergelegd in art. 7:453 BW als de verplichting tot handelen naar de professionele standaard als goed hulpverlener, aangemerkt worden als een belangrijk beginsel. Het recht op informatie (art. 7:448 BW) staat centraal in de patiëntenrechten en houdt verband met het zelfbeschikkingsrecht. Het gaat erom dat de patiënt de door de arts gegeven informatie goed heeft begrepen. Het geven van informatie heeft een belangrijke functie in de gezondheidszorg, omdat er geen toestemming gegeven kan worden voor een handeling waarover de patiënt niet 56
geïnformeerd is. In principe is toestemming zonder informatie niet geldig, hoewel er uitzonderingen bestaan, waaronder bij noodgevallen. De patiënt dient zowel toestemming te geven voor het aangaan van de geneeskundige behandelingsovereenkomst als voor de medische handelingen op zich. Toestemming strekt zich uit zo ver als de informatie zich heeft uitgestrekt. Ook het geheim in de gezondheidszorg is een patiëntenrecht (onder meer neergelegd in art. 7:457 BW). Het medisch beroepsgeheim is tegenwoordig van zeer groot belang, omdat de geautomatiseerde verwerking van medische persoonsgegevens constant groeiende is. Dit vloeit voort vanzelfsprekend voort uit het toegenomen gebruik van ICT in de zorgsector. Het medisch beroepsgeheim betreft twee punten, namelijk het individuele belang van de patiënt en het algemeen belang dat te maken heeft met het toegankelijkheid van de zorg. Het uitgangspunt betreffende het gebruik van medische gegevens is dat deze gegevens alleen gebruikt mogen worden voor het doel waarvoor zij afgegeven zijn. Artikel 7:457 BW is daarentegen geen absoluut recht en o.a. op grond van een wettelijk voorschrift of toestemming van de patiënt kan het geheim doorbroken worden. Met betrekking tot het medisch geheim is ook de toestemming van de patiënt belangrijk. Op het moment dat patiëntgegevens worden uitgewisseld buiten het team van hulpverleners die rechtstreeks betrokken zijn bij het verrichten van handelingen betreffende de behandelovereenkomst is namelijk op grond van de WGBO toestemming van de patiënt vereist. Tevens is het belang van privacy in de gezondheidszorg gegroeid naar mate ICTontwikkelingen dieper in de zorgsector zijn doorgedrongen. Een van de centrale punten daarbij is de mogelijkheid om zelf aan te geven in welke mate de eigen persoonsinformatie voor anderen beschikbaar komt. Voor de zorg geldt dat de nadruk op de informationele privacy ligt, dat ziet op persoonsgegevens. Daarbij gelden enkele uitgangspunten en in de eerste plaats is dat de eis dat er sprake moet zijn van gegevens van de patiënt. Die dient zeggenschap over de eigen gegevens te hebben, hetgeen samenhangt met het beroepsgeheim van de arts, zoals bijvoorbeeld blijkt uit art. 9 lid 4 WBP. In de tweede plaats mag er niet méér patiëntinformatie worden gevraagd, mag niet meer worden onderzocht en niet meer worden vastgelegd dan noodzakelijk is voor het doel (bijvoorbeeld de behandeling). Aansluitend hierop het derde uitgangspunt, zijnde dat het doel van het vastleggen, bewaren en gebruiken van informatie acceptabel moet zijn. Verder is er de eis van een duidelijk omgeschreven doel en de eis dat de vrijgegeven informatie niet mag worden gebruikt voor een ander doel dan waarvoor het verzameld is. Het inzagerecht vervolgens, dat vooral voortkomt uit het recht op bescherming van de persoonlijke levenssfeer, is in casu ook relevant. Opmerking verdient dat dit recht ook bestaat als er geen informatieplicht is in de arts-patiëntrelatie. Uit onderzoek over de impact van patiëntinzage op de behandeling blijkt dat er zowel kansen als risico’s zitten aan patiëntinzage, voor wat betreft de kwaliteit van de vastgelegde informatie. Als voordeel wordt gezien dat patiënten eventuele fouten in het dossier kunnen opmerken en door kunnen geven aan hun arts. Een nadeel zou kunnen opspelen indien patiënten zelf de mogelijkheid krijgen om, zonder betrokkenheid van een arts, wijzigingen in hun dossier door te voeren. Daarnaast blijkt uit onderzoek dat de artsen het belangrijk vinden dat de patiënt goed geïnformeerd is en ook openheid binnen de artspatiëntrelatie wordt als positief gezien. Als voordeel van patiëntinzage wordt verder genoemd dat er effectiever gewerkt kan worden en eerder tot de kern kan worden gekomen. De digitalisering van medische dossiers is kortom volop in beweging, waarbij het van belang is dat de patiëntenrechten in acht genomen worden.
57
4.4 Opkomst en risico’s van EPD’s In hoofdstuk 3 is besproken in hoeverre het relevant is dat elektronische patiëntendossiers ook op landelijk niveau beschikbaar komen, mogelijk in de vorm van een verwijsindex. De overwegingen die ten grondslag liggen aan het wetsvoorstel omtrent invoering van een EPD zijn allereerst aan bod gekomen. Vanaf 1996 begon het idee met betrekking tot elektronische patiëntendossiers handen en voeten te krijgen, nadat de RVZ een advies over het technologiebeleid in de zorgsector had gegeven. Daarop volgde de toenmalige minister Borst van VWS de lijn die de RVZ had uitgezet. Eén van de hoofdthema's in de nota 'Informatievoorziening in de zorg' was de ontwikkeling van een landelijk EPD. Het advies was om het gebruik van ICT in de zorg te bevorderen, zodat de kwaliteit, efficiëntie en toegankelijkheid van de zorg vergroot kon worden. Vervolgens is besproken hoe het wetsvoorstel van de Wet op het EPD tot stand is gekomen. Om te beginnen is het voorstel voor 'Wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatie-uitwisseling in de zorg' ingediend op 20 mei 2008 en werd vervolgens op 19 februari 2009 door de Tweede Kamer aangenomen. Het wetsvoorstel op het EPD is een aanvulling op de Wet gebruik burgerservicenummer in de zorg, als het gaat om de randvoorwaarden die gelden voor een veilige en adequate invoering van het landelijk EPD. Met de Wet op het EPD zouden geautoriseerde zorgaanbieders verplicht moeten worden om zich aan te sluiten op het landelijk EPD. BIG-geregistreerde beroepsbeoefenaars zijn bevoegd tot toegang tot het EPD als dat noodzakelijk is om persoonsinformatie te bekijken. De voorwaarde is ook dat er een behandelrelatie tussen de arts en de patiënt bestaat. De veiligheid van het EPD wordt vaak als knelpunt beschouwt, maar de overheid benadrukt meer dan eens dat er sprake is een hoog beveiligingsniveau. De koppeling aan het schakelpunt is volgens de overheid dan ook aan strenge voorwaarden gebonden, waaronder de eis dat een ziekenhuis moet voldoen aan de eisen van een 'Goed Beheerd Zorgsysteem'.
M. Heemskerk, Hoofd Zorginnovatie & EPD: Waarom zou een arts in Groningen het dossier van iemand uit Maastricht willen inzien? Die enkele keer dat iemand met spoed binnen wordt gebracht en een pinda-allergie blijkt te hebben, is wel te overzien, als een arts dat al niet zelf had ontdekt of door de patiënt/begeleiders is verteld. Een andere vraag omtrent het landelijk EPD is of het economisch gezien de investering waard is. Hoeveel schade zou er daadwerkelijk ontstaan of blijven bestaan als het niet ingevoerd wordt? Wel is het zo dat de overheid belang heeft bij het verzamelen van informatie over de zorgsituatie in Nederland, dus dat er regels worden gesteld aan de organisatie van lokale EPD’s, zodat instellingen op gelijke wijze gegevens registreren, kan wel waardevol zijn.
De geplande landelijke infrastructuur zou bijvoorbeeld het elektronische medicatiedossier, de elektronische waarneeminformatie huisartsen en het e-declaratieverkeer moeten kunnen ondersteunen. Deze drie onderdelen waren al grote stappen op weg naar een landelijk EPD, echter als het gaat om het verdere verloop van het EPD-project is op dit moment veel onzeker. Dit houdt verband met de bezwaren die spelen bij invoering van het landelijk EPD. De overheid focust vooral op voordelen als verhoging van de kwaliteit van zorg, verkleining van de kans op medische fouten en vergroting van de doelmatigheid van zorg. Dat is ook wel te begrijpen, omdat een specialist, apotheker of huisarts vrij eenvoudig toegang krijgt tot patiëntgegevens. Zo is er sneller antwoord op vragen omtrent bijvoorbeeld het medicijngebruik van een patiënt. Ook indien een patiënt een andere arts bezoekt, hoeft hij de 58
arts niet meer in te lichten over gegevens in het dossier. Verder worden pluspunten als meer transparantie en een vermindering van administratieve taken genoemd door de overheid. Toch is het maar de vraag of de hier genoemde voordelen kunnen opboksen tegen de bezwaren die opdoemen bij het invoeren van het landelijk EPD. Het grootste gewin voor de overheid ligt mogelijk op het punt van het krijgen van meer controle over meer informatie. In hoofdstuk 1 is immers uitgebreid besproken dat alleen al het digitaliseren van gegevens een aantal knelpunten met zich meebrengt als het gaat om systeembeveiliging en privacy. Bezwaren spelen vooral met betrekking tot de beveiliging en de privacybescherming van patiënten. Daarnaast is het risico aanwezig dat persoonsgegevens als gevolg van een fout op straat terecht komen of dat de overheid de verzamelde informatie ergens anders voor gebruikt dan waarvoor het eigenlijk bedoeld is. Het argument dat ziet op het overbruggen van regiogrenzen is ook niet zo sterk als het op het eerste gezicht lijkt, omdat de mobiliteit van patiënten niet zoveel blijkt te zijn toegenomen als door de overheid gebracht wordt. Ook is het zo dat informatie die in het EPD geregistreerd is nooit meer helemaal weggehaald kan worden. Het is niet ondenkbaar dat kwaadwillenden altijd wel een weg naar de opgeslagen persoonsgegevens kunnen vinden, want gedigitaliseerde gegevens zijn per definitie kwetsbaar voor misbruik. Bovengenoemde bezwaren met betrekking tot het digitaliseren van informatie gelden overigens ook voor lokale EPD’s. Echter de tegenargumenten die opgaan in verband met (mogelijk andere) belangen van de overheid spelen hierbij in niet of in mindere mate.
4.5 EPD op verschillende niveaus Al jaren vindt er ontwikkeling plaats waarbij papieren patiëntendossiers plaatsmaken voor digitale dossiers. Als de verschillende dossiers samenkomen in een landelijk of een lokaal koppelingssysteem leidt dat uiteindelijk tot een EPD. Het belangrijkste punt van vooruitgang zou moeten zijn dat patiëntgegevens beter en veiliger vastgelegd en ingezien kunnen worden. Echter, de gedachte dat iedere hulpverlener op elk moment het dossier van een patiënt kan inzien is zowel het voornaamste voor- als nadeel van een EPD. Uit het voorgaande is gebleken dat digitalisering van gegevens risico’s met zich meebrengt. Als gevolg van de digitalisering van informatie worden mensen meer anoniem, waarmee bijvoorbeeld het risico op een schaduwdossier ontstaat. Misbruik en fraude zijn ook gevaren die spelen als het gaat om digitale verwerking van informatie. Belangrijk is daarom dat het beveiligingsniveau van het systeem hoog is, maar daarmee kunnen niet alle mogelijke problemen voorkomen mee worden. De belangen op het gebied van privacy zijn immers groot, zowel voor een ziekenhuis als voor een verwijsindex op landelijk niveau. Informatiesystemen kunnen ten slotte te maken krijgen met storingen, dat onder meer tot de situatie kan leiden waarin artsen (tijdelijk) geen toegang tot de dossiers van patiënten hebben. Tegelijkertijd kan een patiënt er veel baat bij hebben als iedere arts inzage heeft in alle medische gegevens in het dossier, bijvoorbeeld als de situatie zich voordoet dat hij in bewusteloos binnen wordt gebracht in een ziekenhuis. Daarnaast is een knelpunt dat sommige informatie mogelijk gevoelig ligt en ook niet alle gegevens zijn even relevant voor een arts. De vraag die gesteld kan worden, is dan ook in hoeverre een patiënt zelf kan beoordelen welke gegevens voor welke arts relevant zijn. Bij het gebruik van een EPD komt veel nadruk te liggen op de professionaliteit van de gebruikers. Zij dienen zich bewust te zijn van de consequenties die overbodige en onbevoegde toegang kunnen hebben. Inzage in dossiers wordt immers veel makkelijker. Er kan pas achteraf controle uitgeoefend worden, dus wie wanneer en waarom toegang krijgt, zal vooraf heel duidelijk moeten zijn om problemen te voorkomen.
59
M. Heemskerk, Hoofd Zorginnovatie & EPD: De mate van toegang tot het (lokale) EPD heeft alles te maken met het beveiligingsniveau van het systeem. Digitalisering van gegevens kan juist veiliger zijn, bijv. bij het digitale verpleegkundigendossier is toegang voor onbevoegden nu veel moeilijker als gevolg van een goede beveiliging dan bij het papieren patiëntendossier.
Het EPD op landelijk niveau zou de vorm van een verwijsindex moeten krijgen en is aldus een decentraal systeem. Pluspunt daarvan is dat ieder ziekenhuis verantwoordelijk blijft voor zijn eigen informatie, waardoor vertragingen in de gegevensoverdracht vermeden kunnen worden. Anderzijds brengt decentralisatie met zich mee dat de betrouwbaarheid van de informatie ook afhangt van de aangekoppelde lokale systemen. Aan het inzagerecht voor patiënten in hun eigen medische dossier, dat in de toekomst mogelijk vorm krijgt, zitten ook haken en ogen. Een voordeel is dat patiënten makkelijk bij hun eigen gegevens kunnen en zo bijvoorbeeld gegevens kunnen aanvullen en controleren. Een knelpunt is ook hier weer de beveiliging van de dossiers. Concluderend kan nog gesteld worden dat vertrouwen in en kennis van het systeem nodig is om het landelijk EPD te laten slagen. De hele operatie is zeer complex en ondanks dat lokale koppelingen steeds meer opduiken, is een landelijke database een ander verhaal. Niet voor niks blijven er vragen bestaan als het gaat om de beveiliging van de vastgelegde informatie en de privacy van patiënten. Een belangrijk verschil met betrekking tot de niveaus van een EPD is dat de overheid mogelijk ook andere belangen dan ziekenhuizen en hulpverleners bij de gegevensvastlegging kan hebben. De bezwaren en winstpunten van de digitale samenleving kunnen naast elkaar bestaan als er een balans gevonden wordt. Ook wat betreft de medische gegevensvastlegging moet immers met de tijd mee worden gegaan. De truc is wellicht om als gebruiker tussen de tegenstellingen door te dansen. Solove’s uitleg omtrent ‘de architectuur van privacy’ komt immers niet uit de lucht gevallen. Concluderend kan het volgende gesteld worden in het kader van de vraag wat recht kan doen. Het wetsvoorstel van het landelijke EPD ziet op verplichte koppeling van informatiesystemen. Negatieve effecten van digitalisering in algemene zin zijn uitgebreid besproken. Anderzijds zijn er patiëntenrechten die houvast kunnen bieden als het gaat om bescherming van personen en hun gegevens. Bewustwording kan wellicht een grote rol spelen. Als mensen zich meer bewust zijn van de risico’s van technologie, waaronder het digitaal afgeven en verspreiden van persoonsgegevens, zou schade voorkomen kunnen worden. Tegelijkertijd zouden mensen zich meer bewust kunnen worden van hun rechten, in casu op het gebied van de WGBO en de WBP, zodat ze die effectiever, bij voorbaat al, kunnen uitoefenen. Ten slotte het idee om misbruik van het EPD strafrechtelijk aan te pakken kan een preventieve werking hebben, maar gaat voorbij aan de meeste bezwaren die spelen in verband met de digitalisering van informatie, zoals anonimisering en de kans op storingen. Een dergelijke aanpak is immers een actie achteraf, middels wetgeving. Solove stelt juist dat deze werkwijze minder effectief is bij de huidige privacyproblematiek, omdat de kern van de oplossing zit in het bouwen van een goede architectuur.
60
Geraadpleegde literatuur: Advies RVZ 1996 Advies van de voorlopige Raad voor de Volksgezondheid en Zorggerelateerde dienstverlening aan de minister van Volksgezondheid, Welzijn en Sport, Informatietechnologie in de zorg, deel 1, Zoetermeer: oktober 1996. Barendrecht 2008 J.M. Barendrecht e.a., Aansprakelijkheden rond het EPD, Den Haag: Boom Juridische Uitgevers 2008. Ter Berg en Schothorst 2010 J. ter Berg & Y. Schothorst. Het EPD: opvattingen van burgers. Verslag van een focusgroeponderzoek. Den Haag: Rathenau Instituut TA rapport februari 2010. Bonthuis 2008 M.J. Bonthuis, ‘Het EPD en privacy’, Journaal Privacy Gezondheidszorg 2008-7. Bonthuis 2010 M.J. Bonthuis, ‘Het EPD en privacy’, Journaal Privacy Gezondheidszorg 2008-7.
Bovens 1998 M.A.P. Bovens, De digitale rechtsstaat. Beschouwingen over informatiemaatschappij en rechtsstaat (oratie Utrecht), Utrecht:18 november 1998. Bovens 1999 M.A..P. Bovens, , Informatierechten. Over burgerschap in de informatiemaatschappij, Preadvies voor de Nederlandse Vereniging voor Wijsbegeerte van het Recht, Utrecht: 1999. Douglas, Minderhoud en Pluut 2010 F. J. Douglas, M. Minderhoud, B. Pluut, De impact van patiëntinzage op het zorgproces, Onderzoek in opdracht van het Ministerie van Volksgezondheid, Welzijn en Sport, Zenc, 11 januari 2010. Duijst 2009 W.L.J.M. Duijst, Praktijkboek beroepsgeheim Apeldoorn/Antwerpen: Maklu 2009.
en
informatieverstrekking
Gooiker 2009 G. Gooiker e.a., 'EPD: artsen aan zet', Medisch Contact 2009-4.
61
in
de
zorg,
Grijpink 2006 J.H.A.M. Grijpink, Identiteitsfraude en overheid, Justitiële Verkenningen 2006-7. Herderschee 2010 G. Herderscheê, ‘Senaat schort invoering van het EPD op’, de Volkskrant, 6-07- 2010. Herderschee 2010 G. Herderscheê, Onnodig bekijken EPD kan arts baan kosten, De Volkskrant, 8-10-2010. Hooghiemstra 2002 T.F.M. Hooghiemstra, ‘Privacy bij ICT in de zorg’, College bescherming persoonsgegevens, Den Haag, november 2002. Luijf 2004 H.A.M. Luijf, ‘De kwetsbaarheid van de ICT-samenleving’, Justitiële verkenningen 2004-8. Leenen, Gevers, Legemaate 2007 H.J.J Leenen, J.K.M. Gevers, J. Legemaate, Handboek gezondheidsrecht deel 1. Rechten van mensen in de gezondheidszorg, Houten: Bohn Stafleu van Loghum 2007. Legemate 2006 J. Legemaate, Patiëntveiligheid en patiëntenrechten, Houten: Bohn Stafleu van Loghum 2006. Van ’t Noordende 2010 G. van 't Noordende, Brief aan de Eerste Kamer der Staten Generaal over de beveiliging van het landelijk EPD, Amsterdam: 18-02-2010. NPCF 2010 NPCF, ‘Patiëntenorganisaties tevreden: informatievoorziening in de zorg niet gestopt’, 8-072010. Personeelsblad Ziekenhuis Rivierenland Tiel Het elektronisch patiëntendossier, Scoop op ziekenhuis rivierenland, 2010-4. Personeelsblad Ziekenhuis Rivierenland Tiel Soarian in gebruik!, Scoop op ziekenhuis rivierenland, 2010-5. Prins en van der Meulen 2006 J.E.J. Prins en N.S. van der Meulen, ‘Identiteitsdiefstal: lessen uit het buitenland’, Justitiële verkenningen 2006-7. 62
Rapport CBP 2008 Rapportage van het College bescherming persoonsgegevens en de Inspectie voor de Gezondheidszorg, Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm, Den Haag, november 2008. Rathenau Instituut 2001-2004 Rathenau Instituut, Startnotitie ‘Kwetsbaarheid van de informatiesamenleving’, onderdeel van het project ‘Kwetsbaarheid en ICT’ 2001-2004. Sijmons 2008 J.G. Sijmons, De stimulerende middelen van de wetgever. Ontwikkelingen in het gezondheidsrecht, Den Haag: Sdu Uitgevers 2008.
Slevin 2000 J. M. Slevin, The internet and society, Cambridge: Polity Press 2000. Solove 2003 D.J Solove, Identity Theft, Privacy, and theArchitecture of Vulnerability, Hastings Law Journal, Vol. 54, 2003. Spaink 2005 K. Spaink, Medische geheimen. Risico's van het elektronisch patiëntendossier, Amsterdam: Nijgh & Van Ditmar/ XS4ALL Internet 2005. De Vries 2007 U.R.M.Th. de Vries e.a., ’Identiteitsfraude: een afbakening. Een internationale begripsvergelijking en analyse van nationale strafbepalingen’, Universiteit Utrecht: 2007. De Vries, van der Linden-Smith en Tigchelaar 2008 U.R.M.Th. de Vries, M. van der Linden-Smith, H. Tigchelaar, 'Identiteitsfraude en privacy', Privacy & Informatie 2008-4.
Rechtspraak: CMT 19 maart 1981, TvGR 1982/9. Hof Den Bosch 6 juli 1987, TvGR 1988/19.
Kamerstukken: Kamerstukken II, 1997/98, 25 669 Nota informatievoorziening in de zorg, nr. 2. 63
Kamerstukken II, 2006/07, 27 529 Informatie- en Communicatietechnologie (ICT) in de Zorg, nr. 1. Kamerstukken II, 2002/03, 27 529 ICT in de Zorg, nr. 3. Kamerstukken II, 2003/04, 27 529 ICT in de Zorg, nr. 4. Kamerstukken II, 2004/05, 27 529 ICT in de Zorg, nr. 7. Kamerstukken II, 2004/05, 27 529 ICT in de Zorg, nr. 15. Kamerstukken II, 2005/06, 27 529 ICT in de Zorg, nr. 19. Kamerstukken II, 2000/01, 27 529 ICT in de Zorg, nr. 29. Kamerstukken II, 2007/08, 27 529 ICT in de Zorg, nr. 38. Kamerstukken II, 2007/08, 27 529 ICT in de Zorg, nr. 42. Kamerstukken II, 2009/10, 27 529 ICT in de Zorg, nr. 59. Kamerstukken II, 2009/10, 27 529 ICT in de Zorg, nr. 58. Kamerstukken II, 2009/10, 27 529 ICT in de Zorg, nr. 60. Kamerstukken II, 2009/10, 31 466 H Wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatie-uitwisseling in de zorg.
Wetsvoorstellen: Wetsvoorstel 31466 (elektronisch patiëntendossier). Wetsvoorstel 30380 (wet gebruik BSN in de zorg).
Websites: Artsen dienen massaal bezwaar in tegen EPD, nieuwsbericht op de website van tijdschrift Medisch Contact, 13-05-2009, medischcontact.artsennet.nl/nieuwsartikel/Artsen-dienenmassaal-bezwaar-in-tegen-EPD.htm (laatst bezocht op 23-06-2010). Mobiliteit patiënt groeit nauwelijks, nieuwsbericht op http://www.skipr.nl/actueel/mobiliteitpatient-groeit-nauwelijks-61517.html (laatst bezocht op 06-10-2010). www.nvzziekenhuizen.nl/Actueel/NVZ_Nieuws/Archief/2010/Juni/24/Pati%C3%ABnten_komen_voor _85_uit_eigen_regio (laatst bezocht op 06-10-2010).
64
www.rijksoverheid.nl/onderwerpen/elektronisch-patientendossier/epd-in-het-kort#voordelenvan-het-epd. (laatst bezocht 30-11-2010). www.profnews.nl/929015/datahonger-van-overheid-is-gevaarlijk (laatst bezocht op 23-062010). www.psy.nl/meer-nieuws/nieuwsbericht/article/elektronisch-patientendossier-slechtbeveiligd/ (laatst bezocht op 23-06-2010). www.infoepd.nl/informatiepunt_com/patient_bezwaar_maken.php (laatst bezocht 23-062010).
65
