Een verwijsbriefje, dat is wel zo veilig

Al onze medische gegevens worden verzameld in een elektronisch patiëntendossier.

Een echte noodzaak daarvoor ontbreekt. Maar de risico’s zijn wel enorm groot.

Een verwijsbriefje, dat is wel zo veilig. Illustratie Ruben L. Oppenheimer Oppenheimer, Ruben L.

Iedereen weet inmiddels dat we goed moeten opletten over wat we over onszelf op internet publiceren. De overheid geeft hierin echter niet het goede voorbeeld. Zij legt eenzijdig de nadruk op de voordelen; de gevaren worden structureel onderbelicht. Het voorlopige dieptepunt: het elektronisch patiëntendossier (EPD).

Een elektronisch dossier met medische gegevens, ter inzage voor zorgverleners – is dat een goed idee? In 2005 deden meer dan 200 Rotterdamse agenten een poging in het elektronische dossier van de voetballer Robin van Persie te kijken, die toentertijd verdacht werd van verkrachting. De agenten kregen weliswaar geen toegang – ze ontvingen een waarschuwingsbrief – maar de zorgverleners die straks in uw medische gegevens willen bladeren, krijgen in beginsel wél toegang.

Volgens een wetsvoorstel over het elektronisch patiëntendossier hebben straks veel zorgverleners toegang tot uw medische gegevens – als ze maar verklaren dat zij een behandelrelatie met u hebben, en dat u toestemming hebt gegeven om de gegevens in te zien. Zorgverleners mógen dus niet zomaar uw gegevens bekijken, maar ze kúnnen het vaak wel. Hun handelen wordt weliswaar geregistreerd, en kan dus worden gesanctioneerd, maar het leed is dan al geschied.

De moeizame ontwikkeling van het patiëntendossier leidde tot de keuze voor een zogenaamde landelijke verwijsindex, die verschillende bestaande EPD-systemen met elkaar verbindt. Om de gecombineerde toegang tot elk van deze ‘informatie-eilanden’ te verzekeren, wordt het ‘Burger Service Nummer’ gebruikt – een unieke code voor iedere burger.

Door de informatie bij verschillende zorginstellingen via dit nummer bijeen te brengen, ontstaat een completer beeld van de patiënt. Dat is, stelt de regering, goed nieuws voor de zorg, die immers gebaat is bij beschikbaarheid van actuele gegevens bij alle behandelende partijen.

Maar is dat wel zo? En wat is de keerzijde van die beschikbaarheid? Digitale beschikbaarheid van gegevens leidt niet automatisch tot een bruikbaar en consistent beeld van de zorgbehoeften. Gegevens kunnen elkaar tegenspreken. Bovendien is de beschikbaarheid van gegevens nog geen garantie dat deze ook daadwerkelijk gelezen, begrepen en gebruikt worden. Een beknopte verwijsbrief kan aanmerkelijk effectiever zijn.

Papieren dossiers op verschillende locaties, en zelfs lokale elektronische patiëntendossiers, hebben de prettige eigenschap dat zij lastig toegankelijk zijn voor mensen van buiten een zorginstelling. Buiten die zorginstelling zijn veel mensen die niets met uw gegevens te maken hebben. En onbevoegde toegang tot medische gegevens vormt een zeer ernstige inbreuk op de persoonlijke levenssfeer.

Uitgaan van het verantwoordelijkheidsgevoel van mensen, is dan ook geen goed idee, zo is gebleken uit de zaak-Van Persie. De persoonlijke nieuwsgierigheid van mensen prevaleert nu eenmaal vaak. Hetzelfde geldt voor toegang op bedrijfsniveau. ‘Institutionele nieuwsgierigheid’ – de wens van bijvoorbeeld verzekeraars om zoveel mogelijk te weten over hun klanten – mag niet door het EPD gefaciliteerd gaan worden.

Nu zullen patiënten er straks zelf voor kunnen kiezen om de toegang tot hun gegevens uit te schakelen voor bepaalde zorgaanbieders. Maar hoe hoog is de irritatiefactor die dat oproept bij de behandelaars van patiënten? Zullen patiënten zich niet onder druk gezet voelen om toch alle informatiesluizen open te zetten?

Als het internet ons iets geleerd heeft, dan is het wel dat ongeclausuleerde toegang tot grote hoeveelheden gegevens heel handig, maar ook bijzonder schadelijk kan zijn. Helaas legt de overheid een grote naïviteit aan de dag bij de omgang met persoonsgegevens. Ondanks een negatief advies van de Raad van State zet de regering het wettelijk kader voor een landelijk EPD door.

In de informatiesamenleving is de papieren wetgevingswerkelijkheid van ‘waarborgen’ en ‘beveiliging’ al snel een wassen neus. Wat moet er anders? De zorgsector moet aantonen dat de vergaande koppeling van patiëntgegevens werkelijk een doel dient. De verspreiding van persoonlijke gegevens dient minimaal te zijn, en de controle van burgers over die gegevens maximaal. De overheid heeft een belangrijke rol in het verbeteren van de ‘digitale weerbaarheid’ van haar burgers, en dient het eigen handelen daarop af te stemmen.

Dr. Laurens Mommers is verbonden aan het Centrum voor Recht in de Informatiemaatschappij van de Universiteit Leiden.