Digitale lekkage bij Hippocrates

Het beroepsgeheim van de arts waarborgt de privacy van de patiënt. Maar hoe zit dat, nu de dokter steeds meer wordt ingesponnen in elektronische netwerken?...

'Na de ramp in Enschede wilde iemand de registratie van de slachtoffers vergemakkelijken door hun DNA te vergelijken met dat uit de hielprikjesdatabank. Een creatieve oplossing, maar daarvoor is dat bloed niet verzameld', vertelt Peter Hustinx. Zo, wil de voorzitter van het College Bescherming Persoonsgegevens (CBP, voorheen de Registratiekamer) maar zeggen, moet de privacy in de zorg dus niet. In het rapport Privacy bij ICT in de zorg dat een dezer dagen uitkomt, beschrijft het CBP hoe het wél kan. Hustinx: 'De patiënt moet de dokter kunnen blijven vertrouwen.'

Behandelgegevens, nota-informatie, productiviteitsmetingen; in de zorg lopen allerlei gegevensstromen door elkaar heen. Artsen, wetenschappers, ziekenhuisbestuurders, verzekeraars, beleidsmakers en patiënten hebben allemaal delen van die informatie nodig. Dat ontaardt snel in een wildgroei van systemen. Patiënten moeten erop kunnen vertrouwen dat informatie die zij aan hun dokter geven, niet op straat komt te liggen. Maar: 'Met de huidige netwerken en automatisering is het een feit: niemand kan overzien waar welke gegevens staan', zegt Hustinx.

Hustinx illustreert met een voorbeeld hoe moeilijk het is grip te krijgen op privacy-bescherming. Een ziekenhuis bood zich vijf jaar geleden aan voor een volledige toetsing op zijn omgang met persoonsgegevens. Tientallen registraties bleken te bestaan, in allerlei subklinieken. Dat was nog niet alles. 'Uit alle ramen liepen er lijntjes naar landelijke onderzoeksbestanden', herinnert Hustinx zich. 'En het was nog niet eens een academisch ziekenhuis.' Nog een voorbeeld. Het CBP inventariseert de landelijke registraties in de zorg. Tientallen blijken er te bestaan, van hartkleppen tot hielprikken. Beheerders van de lijsten weten niet dat ze deze onder de eind vorig jaar aangescherpte Wet Bescherming Persoonsgegevens (WBP) horen aan te melden, of ze vinden dat ze geen persoonsregistraties beheren. Volgens Hustinx is bij een ongeregistreerde lijst meestal niet afgesproken wie gebruik mag maken van welke gegevens. Misbruik ligt dan op de loer.

Bijna mis ging het met een diabetespas die zorgverzekeraar Achmea wilde verstrekken aan zijn verzekerden. Omdat Achmea rekeningen betaalt, weet het bedrijf welke van zijn verzekerden diabetesmedicijnen gebruiken. Achmea wilde - nota bene in overleg met de vereniging van diabetespatiënten - deze verzekerden een zakboekje toesturen met daarin alle gegevens voor hun hulpverleners. Ze kregen de pas ongevraagd op hun huisadres. Na klachten stak het CBP er een stokje voor.

De diabetespas lijkt een goede service - waarom grijpt het CBP dan in? 'Het gaat om de vraag of een verzekeraar claimgegevens mag gebruiken voor andere doelen. Als een verzekeraar groepen patiënten kan insluiten, zoals bij de diabetespas, kan hij ook patiënten uitsluiten. Dat is dezelfde bewerking van de gegevens', legt Hustinx uit. 'De verzekeraar kan dan een aanmelding weigeren omdat hij op basis van claimgegevens van familieleden een erfelijke ziekte vermoedt.' De CBP-voorzitter wil niet voor zijn rekening nemen dat zorgverzekeraars misbruik zouden maken van hun informatiesystemen, maar 'je moet de kat niet op het spek binden.'

Het College maakt zich niet altijd geliefd met zijn activiteiten. 'Voormalig staatssecretaris Margo Vliegenthart vond het helemaal niet leuk om van ons een brief te krijgen over het wachtlijstbeheer in de ouderenzorg, het was toch al zo'n hoofdpijndossier', herinnert Hustinx zich. Volgens hem werden volledige dossiers van patiënten het hele land door 'rondgepompt' tot er ergens plaats was. 'Dat hoefde niet. Je moet vaststellen welke gegevens je minimaal nodig hebt om een vraag te beantwoorden. Bij het bijhouden van een wachtlijst zijn de aantallen in eerste instantie genoeg', stelt Hustinx.

'Privacy is uit', signaleert hij. 'Steeds meer mensen vinden dat de privacy maar eens moet opschikken. Maar privacy is een onderdeel van de gezondheidszorg. Het is niet óf een betere gezondheidszorg, óf meer privacy, het is en-en.' Het ziekenhuis dat zich aanmeldde om getoetst te worden op privacy-waarborgen, heeft de resultaten gebruikt om alle systemen in één keer goed in te richten.

In een 'goed' systeem in de ogen van het CBP wordt een patiëntendossier in aparte elektronische 'kamertjes' bewaard. Persoonsgegevens, zoals naam en adres van een patiënt, staan in een eerste kamer. Behandelgegevens worden per ziektebeeld geclusterd in aparte kamers. Er zijn speciale elektronische sleutels nodig om bij de kamers te komen. Informatiegebruikers krijgen alleen toegang tot de gegevens die ze beslist nodig hebben.

Zo beschikken behandelaars wel over volledige dossiers, maar alleen van hun eigen patiënten. Een incassobureau dat achterstallige nota's incasseert, moet wel bij de betalingsgegevens kunnen, maar hoeft niet te weten waarvoor een patiënt behandeld is.

Privacy by design, is de toverformule van het CBP. Hustinx: 'Als je het moment van herinrichten van een systeem aangrijpt om het meteen goed te doen, kost het misschien 1 procent extra, en het levert ook besparing op.' Die zit erin dat minder gegevens worden bewaard en beheerd, met ook minder behoefte aan dure beveiliging. Het systeem van het 'voorbeeld-ziekenhuis' wordt inmiddels ook bij tien andere toegepast. 'Elke databank zou een keurmerk moeten hebben: privacy inside.'

Het ministerie van Volksgezondheid heeft de grootste moeite de privacybescherming goed in de vingers te krijgen, is Hustinx' ervaring. Het jarenlange gemodder met een zorgidentificatienummer (ZIN), is illustratief. 'Men dacht aanvankelijk aan een versleuteling van het sofinummer, maar die nummerbestanden zijn sterk vervuild. Honderdduizenden nummers kloppen niet. En een nummer dat goed genoeg is voor de sociale zekerheid en de fiscus is per definitie niet goed genoeg voor de gezondheidszorg. Want het kan een zaak van leven of dood zijn of iemand de juiste injectie krijgt. Nu komt er dan eindelijk een apart persoonsnummer voor de zorg.'

Krijgt bescherming van de privacy niet te veel aandacht? Hustinx: 'Beslist niet. Want daarover gaat de eed van Hippocrates die de dokter heeft gezworen: dat hij de heilige geheimen van zijn patiënt nooit zal openbaren.'

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden