“Hackers krijgen een one-stop-shop voor toegang tot alles, van iedereen”, waarschuwde Privacy First in een oproep aan Kamerleden om in actie te komen tegen de plannen voor gegevensuitwisseling in de zorg. Tijdens een commissiedebat, dat zich grotendeels toespitste op cybersecurity en privacy, beloofde minister Mirjam Sterk in een brief te reageren op de kritiek en de zorgen. Privacy First wil vooral gerichte databeschikbaarheid in plaats van ongerichte beschikbaarheid, waar de zorg in hun ogen op af koerst.
Correcties
In haar brief laat Sterk weten het beeld dat Privacy First schetst niet herkent en zich geroepen voelt het te nuanceren en corrigeren. Zo bestrijdt de minister de suggestie dat gegevens massaal centraal opgeslagen gaan worden, waardoor hackers ze in één klap buit kunnen maken. “Het Landelijk Dekkend Netwerk (LDN) is geen centrale databank en ook geen voorziening waarin medische gegevens van alle Nederlanders worden samengebracht”, staat in de brief van de minister. “Medische gegevens blijven in beginsel bij de bron: bij de zorgaanbieder of organisatie waar de data is geregistreerd en waar de data onder verantwoordelijkheid van de bronhouder worden beheerd.” Volgens Sterk ontstaat er juist een “gelaagde beveiligingsstructuur” en is van een “one-stop-shop” voor hackers geen sprake.
Doenvermogen
Ook gaat Sterk in op de kritiek dat burgers de nieuwe opzet voor zorgdata voor keuzes worden gesteld waarvan ze de gevolgen niet kunnen overzien. “Ik neem het doenvermogen van burgers en patiënten serieus”, staat in de brief. Ze wijst erop dat burgers hun bankzaken, belastingaangiftes en pensioenregelingen ook zelf beheren. Ook meldt ze dat er via onder meer de Helpdesk Digitale Zorg hulp beschikbaar is.
Risico’s minimaliseren
Privacy First staat niet alleen in de kritiek op de digitale ontwikkelingen in de zorg. Ook Platform Burgerrechten, Stichting KDVP, Stichting Decozo en Spidz hebben bezwaren, blijkt uit een gezamenlijk statement van de vijf organisaties. “Er moet nu worden gekozen voor systemen die de risico’s van hacks daadwerkelijk wegnemen of sterk minimaliseren, in plaats van ze verder te vergroten”, staat daarin.
Kritiek op Mitz
Veel van de kritiek richt zich op Mitz, de generieke voorziening waar patiënten kunnen vastleggen of ze toestemming geven voor data-uitwisseling. Ze maken zich er bijvoorbeeld zorgen over dat een zorgaanbieder dit zonder instemming van de patiënt kan wijzigen. VZVZ, de maker van Mitz, erkent dat maar stelt dat dit zo is opgezet op nadrukkelijk verzoek vanuit het werkveld. Ook krijg je volgens Mitz niet zo maar een knop waarmee dit mogelijk is, daarvoor moet de patiënt bij je zijn ingeschreven. “En let op: onterecht een patiënt inschrijven is gewoon een strafbaar feit”, zei programmamanager Martijn Mallie van VZVZ hier eerder over.
Het Adviescollege ICT-toetsing kwam onlangs ook met forse kritiek op de generieke functies, waarvan Mitz er één is. Er worden “nauwelijks eisen aan de kwaliteit van de voorzieningen” gesteld, staat in het zeer kritische advies. “Dit levert onnodige risico’s op voor belangrijke aspecten als security, privacybescherming, beschikbaarheid en bruikbaarheid.”
Sterk hamert in haar reacties op de zorgen van Privacy First op het belang van maatschappelijk vertrouwen. Ze dankt tot slot van haar brief Privacy First voor de bijdrage aan het debat.
