Het datalek bij Humannet waarbij de medische gegevens van honderdduizenden Nederlanders ongemerkt konden worden ingezien toont aan dat het niet gaat om de vraag of er ook bij het LSP ooit een datalek kan optreden maar wanneer. Het CBP onderzocht vorig jaar 15 datalekken waarvan de beveiliging niet op orde was en waarbij het voorkomen van lekken bij de organisaties onvoldoende prioriteit had. Het aantal datalekken zal vele malen groter zijn want we kennen alleen de gevallen die door organisaties zelf gemeld worden of die in de media komen.
Ik noem er nog een paar:
Het medisch onderzoekscentrum Diagnostiek in Brabant heeft medische gegevens van duizenden Brabanders gelekt via een eenvoudig te achterhalen wachtwoord.
De Vereniging van Psychologen heeft de namen van tientallen patiënten gelekt middels een fout in een vragenlijst.
De Gemeenten Hellendoorn, Heerlen, Hengelo en Landsmeer vroegen meer medische gegevens van burgers op dan nodig was en hadden deze vervolgens onvoldoende beveiligd.
En het meest recente incident bij GGZ Noord-Holland Noord waardoor de gegevens van 8500 patiënten openbaar waren
Mijn fractie vindt het onverantwoord dat de minister blijft spreken over het LSP als een veilig systeem waarmee veilig medische gegevens uitgewisseld kunnen worden. Eveneens onverantwoord is het gemak waarmee de minister voorbijgaat aan de situatie in Engeland. Ze meldt slechts dat het Verenigd Koninkrijk zich in een heroriëntatiefase bevindt en dat het EPD daar tijdelijk is stilgelegd. De reden dat het is stilgelegd zijn de 806 incidenten in de afgelopen 3 jaar waarbij de privacy van medische patiëntgegevens in het geding was. Het gaat om incidenten waarbij het personeel de gegevens van hun collega’s of familieleden opvroegen, waarbij gegevens gekopieerd werden op USB-sticks of laptops en verloren gingen. En dat is waarom Norman Lamb van de Liberale Democraten, opriep tot een fundamentele heroriëntatie ten aanzien van elektronische patiëntendata. Mag ik op dit punt een bevestiging van de minister dat het aantal privacy schendingen de reden was voor de stillegging van het EPD in Engeland?
Het CBP vraagt om meer bevoegdheden. Het College wil niet alleen een dwangsom kunnen opleggen als er een lek geconstateerd is maar wil meteen een boete uit kunnen delen als privacy gegevens niet voldoende beveiligd zijn. Wij zijn hier voorstander van. Gaat de minister het CBP meer bevoegdheden geven? Zo ja, wie krijgt dan de boete? In mijn ogen is iedereen in een organisatie die met medische patiëntengegevens omgaat aansprakelijk. Van een administratieve medewerker tot en met de Raad van Bestuur. Allen hebben immers de wettelijke en ethische plicht om de privacy van patiënten te bewaken. En hoe denkt de minister over een wettelijk meldplicht medische data incidenten? Het zal duidelijk zijn dat wij hier ook een sterk voorstander van zijn.
Dan kom ik bij het doorstartmodel zelf en de rol van de minister. Ik kan hier kort over zijn, mijn fractie wijst het doorstartmodel af. Een EPD hoort niet in private handen thuis en al helemaal niet als zorgverzekeraars hierbij betrokken zijn. Zolang er geen wettelijke waarborgen zijn ten aanzien van veiligheid, privacy bewaking, toezicht, klachtafhandeling en overige patiëntenrechten kan en mag er niet via het LSP uitgewisseld worden. De minister verwijst hiervoor diverse malen naar aanvullingen op de Wet cliëntenrechten zorg, echter deze wet is nog lang niet door de Eerste Kamer en zolang dat niet gebeurd is zijn die waarborgen een wassen neus.
De communicatie richting burger is daarom te voorbarig tenzij het gaat om de mededeling dat het LSP definitief over is. De conceptbrief van de minister mag wat mij betreft direct naar de prullenbak. Waarmee ik overigens niet aangeef dat de minister de burger helemaal niet meer hoeft te informeren zoals de LHV, KNMP en NPCF suggereren. Integendeel, ik wil dat de minister zodra de wettelijke waarborgen geregeld zijn, de burger uitvoerig informeert en daarbij ook alle nadelen en risico’s van het landelijk uitwisselen vermeld. Wat het doorstartmodel betreft heb ik nog een paar feitelijke vragen. Hoeveel deelnemers zijn er inmiddels? Waarom zijn er ook specialisten en ziekenhuizen bij betrokken, het zou toch alleen om medicatie en waarneemdossiers gaan. Waarom wordt er al een patiëntenfolder verspreid? Klopt het dat VWS een subsidie van112.500 euro beschikbaar heeft gesteld aan de koepels om regionale informatiebijeenkomsten te houden waar huisartsen en apothekers geïnformeerd worden over de doorstart? En hoe zit nu eigenlijk de financiering in elkaar? Er wordt gesproken over een speciale opslagpremie. Is het dan zo dat elke zorgaanbieder een extra vergoeding krijgt van de zorgverzekeraar voor elke patiënt die hij aangemeld heeft voor het LSP? Dan is er dus sprake van een financieel belang om zoveel mogelijk patiënten zien over te halen tot het LSP. Kan de minister aangeven of dit inderdaad zo is en vindt zij dit wenselijk?
De PVV pleit in navolging van Engeland voor een heroriëntatie op de doorstart van het EPD/LSP in Nederland. De eerder genoemde incidenten krijgen wij namelijk ook, of ze zijn er al en zullen zich alleen maar uitbreiden. Ze zijn ook heel moeilijk te voorkomen. Daarom moeten hier zoveel mogelijk maatregelen tegen genomen worden. Wij hebben een 10-punten plan opgesteld om het uitwisselen van medische gegevens zo goed en zo veilig mogelijk te laten verlopen. Ik noem ze even op:
Wetgeving: Eerst aanpassing van wetgeving en dan pas opname nieuwe patiënten in LSP.
Standaarden: Afspraken vastleggen over welke informatie en volgens welke normen er wordt uitgewisseld.
Regionaal: Uitwisseling alleen regionaal om de veiligheid te bevorderen en misbruik te beperken.
Training zorgverleners: Zorgverleners moeten getraind worden in het omgaan met privacy gevoelige informatie en risico bewustzijn.
Altijd toestemming/ opt in: Voor elke zorgverlener moet de patiënt vooraf toestemming geven en deze toestemming dient aan een termijn gebonden zijn.
Patiëntenrechten: Patiënten hebben recht op inzage, aanpassing, aanvulling en verwijdering van gegevens, recht op uitsluiting van bepaalde zorgverleners.
Aansprakelijkheid: Het moet duidelijk zijn wie waarvoor aansprakelijk is, zowel voor fouten in het systeem als fouten in het dossier.
Toezicht, handhaving en sancties: Het moet duidelijk zijn wie waar toezicht op houdt, wat zijn de sancties bij overtreding en hoe en waar kunnen klachten en overtredingen gemeld worden.
Zorgverzekeraars: Zorgverzekeraars mogen geen toegang hebben tot het EPD, en mogen aansluiting op het EPD niet afdwingen bij zorgverleners.
Zorgpas: Middels een zorgpas moet de patiënt toegang krijgen tot zijn dossier, hierdoor worden fouten verminderd en de kwaliteit verhoogd. We draaien de toegang tot het dossier in feite om, niet alle zorgverleners krijgen een zorgpas, maar de patiënt.
Ik wil de minister verzoeken om deze 10 punten over te nemen en waar mogelijk in wetgeving vast te leggen.
