45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

EPD

In België kun je binnenkort online al je medische gegevens terugvinden

In het eerste kwartaal van 2018 komt er een online platform waarop iedereen z'n persoonlijk medisch dossier kan inzien. Dat zegt minister van Volksgezondheid Maggie De Block. Patiënten zullen ook gegevens kunnen toevoegen en kunnen kiezen met welke artsen of instellingen de gegevens gedeeld worden.

Het platform wordt nu al door een select publiek getest en zou volgens De Block "in het eerste kwartaal van 2018" voor iedereen beschikbaar moeten worden. Tegen eind maart moet je medische gegevens kunnen terugvinden via de "Health Viewer" in een latere fase moeten er ook "M-Health" toepassingen aan toegevoegd worden: digitale manieren van zorgvestrekking zoals een app die de hartslag meet en dergelijke.

"We gaan de patiënt niet enkel inzage geven", aldus De Block. "We gaan ook de mogelijkheid geven om zaken toe te voegen die er volgens de patiënt ook bij moeten staan. Je kan ook zelf kiezen of het dossier gedeeld wordt met andere zorgverstrekkers." 

Alles bij de bron; VRTNieuws


 

EPD/LSP; Hoge Raad stuurt aan op privacy by design

Sinds 2013 voerde de Vereniging Praktijkhoudende Huisartsen een fundamentele rechtszaak tegen de private opvolger van het Elektronisch Patiëntendossier: het Landelijk Schakelpunt (LSP). Eind vorige week besloot de Hoge Raad dat het LSP vooralsnog niet in strijd is met het huidige privacyrecht. In het oordeel van de Hoge Raad ligt echter de opdracht besloten dat het LSP snel zal moeten gaan voldoen aan het wettelijke vereiste van 'privacy by design'. Dit vormt een belangrijk precedent en legt de lat voor de toekomst hoog.

...Andere bezwaren tegen het LSP hebben o.a. betrekking op het feit dat de architectuur van het LSP inherent onveilig en privacyschendend is: via het LSP is ieder aangesloten medisch dossier voor duizenden zorgverleners inzichtelijk. Dit is in strijd met het recht op privacy van de patiënt en het medisch beroepsgeheim van behandelend artsen. Bovendien is hierbij geen sprake van privacy by design, bijvoorbeeld middels end-to-end encryptie. In wezen is het LSP hierdoor zo lek als een mandje, ideaal voor function creep (doelverschuiving) en mogelijk misbruik door kwaadwillenden...

... ook een belangrijk lichtpunt, en wel in de slotoverweging van de Hoge Raad:

“[Het hof heeft] onderkend dat de zorginfrastructuur ook kan worden ingericht op een wijze waarbij meer onderscheid tussen (soorten) gegevens en (categorieën) zorgaanbieders kan worden gemaakt, en waarbij in het bijzonder gegevensuitwisseling op basis van toestemming bij voorbaat desgewenst kan worden beperkt tot spoedeisende gevallen. In zijn oordeel ligt besloten dat deze inrichting meer en beter in overeenstemming is met de beginselen die aan de Privacyrichtlijn en de Wbp ten grondslag liggen, maar ten tijde van het wijzen van het bestreden arrest nog niet van VZVZ kon worden geëist. Van VZVZ mag volgens het hof wel worden verwacht dat zij, zodra dit voor haar technisch mogelijk en uitvoerbaar is, het systeem aanpast door daarin meer keuzevrijheid te bieden.

Deze overwegingen zijn niet onbegrijpelijk. Daarbij verdient nog opmerking dat gelet op de (...) ambities van VZVZ met het systeem en op de veranderingen in de regelgeving (...), waarbij ‘privacy by design’ en ‘privacy by default’ uitdrukkelijk tot uitgangspunt zijn genomen (art. 25 leden 1 en 2 Algemene verordening gegevensbescherming), eens te meer in de rede ligt wat het hof van VZVZ verwacht.” (5.4.4)

Evenals het Hof Arnhem stuurt de Hoge Raad hiermee duidelijk aan op implementatie van specifieke toestemming en privacy by design in het LSP. De Hoge Raad creëert hiermee een positief precedent dat ook in bredere zin (voor andere systemen) de toon voor de toekomst zet.

Alles bij de bron; PrivacyFirst


 

Hoge Raad: Digitaal uitwisselen patiëntgegevens via het LSP acceptabel

Het digitaal uitwisselen van patiëntgegevens via het Landelijk Schakelpunt (LSP) is acceptabel, zo heeft de Hoge Raad geoordeeld in een zaak die de Vereniging van Praktijkhoudende Huisartsen (VPH) had aangespannen. Volgens de VPH is het LSP, de infrastructuur voor het uitwisselen van vertrouwelijke medische patiëntgegevens en opvolger van het Elektronisch Patiënten Dossier (EPD), in strijd met het recht op privacy van patiënten, de Wet bescherming persoonsgegevens en het medisch beroepsgeheim van de huisartsen, omdat te veel gegevens worden gedeeld.

De Hoge Raad heeft er ook rekening mee gehouden dat de normen over privacybescherming binnenkort strenger worden. Dit moet ervoor zorgen dat de zorginfrastructuur in de toekomst zo wordt ingericht dat meer onderscheid tussen (soorten) gegevens en (categorieën) zorgaanbieders kan worden gemaakt. Toestemming voor gegevensuitwisseling kan dan ook worden beperkt tot spoedeisende gevallen, aldus de Hoge Raad.

Alles bij de bron; Security


 

Na afblazen landelijk epd wordt aan vervanger gewerkt waarbij patiënt bepaalt welke informatie gedeeld wordt

Zes jaar na het afblazen van het Landelijk Elektronisch Patiëntendossier wordt in betrekkelijke stilte toch gewerkt aan een systeem voor digitale uitwisseling van medische data. MedMij moet mogelijk maken dat patiënten zelf hun gegevens verzamelen in een persoonlijke gezondheidsomgeving. Anders dan bij het landelijk EPD bepaalt de patiënt welke informatie gedeeld mag worden.

Via een persoonlijke digitale toegangspoort, waarop je inlogt met DigiD, moeten patiënten grip krijgen op al hun medische gegevens, zoals labuitslagen, scans en medicatieoverzichten. MedMij, een initiatief van het ministerie van Volksgezondheid, patiëntorganisaties, zorgverleners en zorgverzekeraars, stelt daarvoor spelregels op. Zo moet de uitwisseling van informatie tussen zorgverleners en patiënten mogelijk worden en veilig gebeuren. Het is de bedoeling dat iedereen die dat wil in 2020 een persoonlijke gezondheidsomgeving kan hebben.

Alles bij de bron; Volkskrant


 

Onrechtmatige aanmeldingen in EPD-LSP blijken structureel probleem. Vrijbit komt weer in actie.

VZVZ faciliteert een landelijk systeem wat aanzet tot het op grote schaal lekken van medische gegevens. Onterecht uw medische gegevens via het EPD-LSP beschikbaar gesteld? Dat kan iedereen overkomen! meermalen en ook per direct nadat een ‘fake-toestemming’uit het systeem is  verwijderd.

Toen de wet voor het invoeren van een Elektronisch Patiënten Dossier uitwisselingssysteem sneuvelde, betekende dit het einde van het EPD als opt-out ( ja tenzij) systeem van de overheid. De medische gegevens van mensen zouden nooit mogen kunnen worden uitgewisseld tussen alle zorgverleners waar men geen directe behandelrelatie mee heeft, tenzij de betrokkene daar vooraf, vrijwillig, goedgeïnformeerd en expliciet toestemming voor gaf.

Bij de private doorstart van het EPD-LSP vormde dit toestemmingsvereiste het uitgangspunt voor het beheer van het nieuwe EPD-LSP systeem van beheerder VZVZ.

Dit voorjaar ontdekten verschillende mensen dat zonder dat zij daar toestemming voor gegeven hadden hun medische gegevens wel degelijk landelijk opvraagbaar waren gesteld door VZVZ. In al die gevallen bleek dat er via een apotheek was doorgegeven dat voor deze persoon de voor iedereen latent aangemaakte aanmelding op het EPD-LSPsysteem moest worden geactiveerd.

Wie namens een apotheker of huisarts wordt aanmeld hoeft dat niet zelf te bevestigen en kan zelfs maar moeilijk controleren of men onterecht toch staat aangemeld. Enige beveiliging tegen het meermalen onrechtmatig aangemeld worden is er niet en de mogelijkheid tot vermelding in het systeem dat er sprake is geweest van een onterechte aanmelding wegens geen of ongeldige toestemming ontbreekt.

Op 4  augustus 2017 heeft Burgerrechtenvereniging Vrijbit, naar aanleiding van de geconstateerde onrechtmatige aanmeldingen, de toezichthouder Autoriteit Persoonsgegevens (AP) formeel gevraagd om handhavend op te treden tegen VZVZ. Maar tot op de dag van vandaag laat de AP het afweten om zelfs maar te starten met een vooronderzoek en schuift men het nemen van een (voor beroep vatbaar) besluit om al dan niet in actie te komen voor zich uit....

...Handhaafverzoek II van Burgerrechtenvereniging Vrijbit aan AP d.d. 3-11-2017

Vandaar dat wij AP op grond van bovenstaande informatie verzoeken om handhavend op te treden tegen:

  • Het structureel onjuist en verwijtbaar onzorgvuldig handelen van apothekers bij het verkrijgen en doorgeven van ‘toestemming’ van personen die niet op de vereiste wijze (in vrijheid en juist en afdoende geïnformeerd) geldige toestemming hebben verleend voor uitwisseling van medische persoonsgegevens via het EPD-LSP.
  • Het ontbreken van effectieve, verantwoorde, uniforme  procedures voor het verkrijgen, valideren, registreren en doorgeven (voor vermelding in verwijsindex) van geldige toestemming voor het opvragen van medische persoonsgegevens via het EPD/LSP. Wil sprake kunnen zijn van een geborgde verwijsindex dan dient systematisch logging plaats te vinden van deze procedures.
  • Het structureel ontbreken van procedures voor het opvragen van informatie over verleende toestemmingen, over inzage van gegevens via het EPD-LSP en voor het eventueel effectief doen schrappen van eerder verleende toestemmingen. Deze procedures moeten voor elke burger toegankelijk zijn, moeten door elke burger gebruikt kunnen worden.

Alles bij de bron; Burgerrechtenvereniging Vrijbit


 

Het LSP en de sleepwet: a match made in heaven

Zorgkoepels voegden zich deze maand bij het koor van critici dat zich tegen de sleepwet keert. Het medisch beroepsgeheim wordt met de invoering van de wet namelijk vogelvrij verklaard. De grootste knieval voor massasurveillance in de zorg maakten de organisaties echter jaren geleden zelf, toen ze instemden en meewerkten aan de invoering van het LSP... 

...Op zich is het mooi dat ook zorgkoepels zich mengen in de discussie over de sleepwet. Er zijn echter een aantal kritische kanttekeningen te plaatsen bij het ‘wakker worden’ van de LHV en de KNMG als het gaat om het beschermen van het medisch beroepsgeheim tegen massasurveillance. 

Allereerst is het opmerkelijk dat de organisaties nu pas besluiten een kritische noot te kraken over de sleepwet. De mosterd na de maaltijd wordt echter nog straffer als men kijkt naar de rol die zorgkoepels speelden bij de keus voor informatiesystemen in de zorg die straks het doelwit kunnen worden onder de nieuwe sleepwet.

Samen met zorgverzekeraars zijn zorgkoepels namelijk de drijvende kracht achter de invoering van het Landelijk Schakelpunt (LSP), het voormalig Elektronisch Patiëntendossier. De wijze waarop het LSP is ingericht maakt het een ideaal systeem voor sleepnetacties van inlichtingendiensten.

Allereerst ligt de zeggenschap over toegang tot het medisch dossier in het LSP niet langer bij de zorgverlener, maar bij het systeem en haar beheerder. Dit zet het beroepsgeheim en het verschoningsrecht zowel technisch als juridisch buitenspel. Het is immers niet langer de zorgverlener, maar de beheerder van het systeem die toegang tot medische gegevens verleent en daarmee het beroepsgeheim doorbreekt.

Daarbij verloopt communicatie in het LSP niet één-op-één tussen zorgverleners, maar lopen alle informatieverzoeken via een zogeheten centrale verwijsindex. Vanuit deze ‘spil’ is het voor veiligheidsdiensten mogelijk om zowel real time-communicatie tussen artsen over duizenden patiënten tegelijk af te tappen in een sleepnetactie, als gericht dossiers op te vragen vanuit dit punt.

Alles bij de bron; SpecifiekeToestemming


 

GGZ wil toch weer gegevens uitwisselen ondanks risico op rechtzaken

GGZ Nederland roept zorginstellingen op om via een omweg toch weer intieme behandelgegevens te delen met een externe databank, Stichting Benchmark GGZ (SBG). De brancheorganisatie voor de geestelijke gezondheidszorg doet dat op basis van een juridisch advies waarin staat dat het onzeker is of dat wel mag. Volgens dat advies riskeren instellingen op deze manier rechtszaken. 

Het gaat om vragenlijsten die patiënten invullen aan het begin en eind van een behandeling, met daarin gegevens over suïcidaliteit, depressie, angsten en seksualiteit. Namen, postcodes en burgerservicenummers zijn wel afgeschermd. Met deze gegevens, zogeheten Rom-data (Routine Outcome Monitoring), meet de SBG de kwaliteit van behandelingen.

Dit voorjaar stopten 175 instellingen met het delen van deze data nadat minister Edith Schippers (VVD, volksgezondheid) liet weten dat hier geen wettelijke grond voor is. Patiënten werd niet om toestemming gevraagd, terwijl die volgens Schippers wel moet worden gegeven. De Autoriteit Persoonsgegevens onderzoekt momenteel of de privacy van patiënten is geschonden.

De discussie over het delen van behandeldata heet onder psychiaters inmiddels de ‘Rom-soap’. Het gaat er verhit aan toe en aan beide zijden zijn actiegroepen actief: Stop Rom aan de ene kant en Red Rom daartegenover. “Dit is een burgeroorlog geworden, over de hoofden van patiënten heen”, zegt psychiater en jurist Coby Groenendijk van Stop Rom. De groep zegt binnenkort juridische stappen te ondernemen tegen GGZ-instellingen die zonder toestemming medische informatie delen.

Alles bij de bron; Trouw


 

Vier Rijnmondse ziekenhuizen gaan elektronisch patientendossier gebruiken

Vier ziekenhuizen in de regio Rijnmond gaan vanaf november werken met het elektronisch patiëntendossier (EPD): het Spijkenisse Medisch Centrum, Van Weel-Bethesda Ziekenhuis in Dirksland, het Ikazia Ziekenhuis en het Maasstad Ziekenhuis in Rotterdam gaan patiëntendossiers uitwisselen om zo efficiënter te werken. In Nederland is het de eerste keer dat vier zelfstandige ziekenhuizen overstappen naar één elektronisch patiëntendossier (EPD)...

...Tegenstanders van het elektronisch patiëntendossier maakten zich altijd grote zorgen over de privacy en de beveiliging van medische gegevens. Volgens Langenbach wordt er heel nauwkeurig gewerkt: "We doen niets zonder de toestemming van de patiënt, die moet heel duidelijk toestemming geven voor dit EPD."

"Niet iedereen in het ziekenhuis kan zomaar bij alle gegevens van alle patiënten. Een arts krijgt toegang tot het hele dossier, maar anderen krijgen beperkte toegang. Bijvoorbeeld een voedingsassistent krijgt alleen die gegevens die van belang zijn voor voeding. We houden ook goed bij wie in welk dossier kijkt. Regelmatig controleren we daar op. Zonodig treden we op en volgt er ontslag."

Ook de bedreigingen van computerhackers die het ziekenhuissysteem willen binnendringen lijken beheersbaar. "Wij houden ieder kwartaal een test, dan kijken we of we gehackt kunnen worden. Daar komen altijd verbeteringen uit waar we snel van leren om het optimaal te beveiligen. Ik ben erg benieuwd hoe groot de animo zal zijn, je hebt altijd mensen die de kat uit de boom kijken. Het is aan de patiënt zelf. Als die het niet wil, dan doen we het niet, even goeie vrienden. Maar ook dan krijgt die de beste zorg die we kunnen leveren."

Allesbij de bron; Rijnmond