Zo verzoekt het Ministerie van Volksgezondheid, Welzijn en Sport het College Bescherming Persoonsgegevens (CBP) diverse malen om mee te praten én beslissen over het Elektronisch Patiënten Dossier (EPD). Maar dat lukt uiteindelijk niet, omdat de privacywaakhond een andere taak heeft. Het CBP kan niet medeverantwoordelijk zijn en ook nog eens onafhankelijk toezicht houden.

Nieuwe wetgeving nodig

Dat die onafhankelijkheid nodig is, blijkt al in 2005 wanneer het CBP duidelijk stelt niet akkoord te gaan met de plannen. Die druisen namelijk in tegen de Wet bescherming persoonsgegeven. Het Landelijk Schakelpunt (LSP) voor het EPD mag er alleen komen als er daarvoor wetgeving komt om dit te regelen. Dat wetsvoorstel komt er.

“Het is onvoldoende dat achteraf kan worden vastgesteld dat iemand zijn boekje te buiten is gegaan en onbevoegd toegang heeft gekregen tot een medisch dossier, nog daargelaten dat het waarschijnlijk onbegonnen werk is om al die loggegevens daadwerkelijk te controleren”, stelt het CBP in haar advies.

Welles-nietes

In een brief bij het wetsvoorstel EPD schrijft Klink dat CBP het vertrouwensmodel mede heeft opgesteld. CBP weet van niks en schrijft ook niet in de werkgroep te hebben gezeten. Kohnstamm is het zat en stapt naar de Volkskrant, die twee artikelen schrijft. Uiteindelijk is het CBP met wat mitsen en maren akkoord gegaan met de invoering van het Burger Service Nummer (BSN) in de zorg. De privacytoezichthouder is echter merkbaar ongelukkig. In april besluit de Eerste Kamer over het nu liggende wetsvoorstel.

De twist tussen het ministerie en het CBP komt naar voren in het dossier over de privacy rond het elektronisch patiëntendossier. Uit die documenten wordt duidelijk dat er vooral veel onenigheid is over plan om alle medische gegevens via een Landelijk Schakelpunt (LSP) toegankelijk te maken. Webwereld onderzocht het dossier samen met het blad Medisch Contact.

Op de rem trappen

Het CBP trapt vaker op de rem voor het EPD. Zo maakt de toezichthouder zich zorgen over de autorisatie. Het Nationaal ICT Instituut in de Zorg (Nictiz) werpt weer tegen dat als dit goed geregeld wordt er helemaal niemand mag kijken.

Er moet aan zeven voorwaarden worden voldaan. Dit omvat een mogelijkheid tot bezwaar maken, op de hoogte zijn dat er informatie over patiënten wordt uitgewisseld en er moet een rechtspersoon komen waarin zorgaanbieders zijn vertegenwoordigd. Die rechtspersoon houdt dan zeggenschap over verwerking van gegevens in het Landelijk Schakelpunt. Als harde eis stelt het CBP dat de toegang beperkt moet zijn tot zorgverleners waarmee patiënt een behandelrelatie heeft.

Ook het toezicht op basis van logging zint de toezichthouder niet. Het CBP vindt dat het ministerie een stap te ver heeft gezet, omdat toezicht achteraf wordt geregeld. “Logging is het sluitstuk, niet de oplossing voor gegevensbescherming”, concludeert de waakhond dan ook.

Ruzie om toezicht

Voor het CBP is het verder helder dat er toezicht moet komen als allerhande partijen de mogelijkheid krijgen om het patiëntendossier te bekijken. Het blijkt niet eenvoudig om dit goed te regelen en er wordt flink gesteggeld over wie dan op misbruik gaat letten. Uiteindelijk wordt betalingsverwerker Equens (toen nog Interpay) gevraagd onderzoek te doen. Die concludeert dat er teveel aandacht voor privacy is, maar stelt dat zonder het CBP te hebben gesproken.

Het CBP reageert furieus op dit rapport en stelt vast dat de privacy ook in dit dossier het onderspit delft. De minister van Volksgezondheid probeert de zaak te sussen door te stellen dat privacy echt niet minder belangrijk is. Samen met de Inspectie voor de Volksgezondheid moet het CBP maar toezicht gaan houden.

CBP is te klein

Dat is weer een probleem voor de toezichthouder die hier te weinig mensen voor heeft. “Voor het specifiek toezicht op het EPD zal het CBP menskracht nodig hebben die we nu niet hebben”, staat in een e-mail van het CBP uit mei 2007. In vette letters staat daarbij: “Er mag dus niets worden gezegd over toezicht op het EPD door het CBP zonder dat we zekerheid hebben over middelen/capaciteit!”. Maar Klink weigert vervolgens hiervoor de knip te trekken.

CBP-voorzitter Jacob Kohnstamm is er helemaal klaar mee. Hij schrijft op een gegeven moment met pen op een brief: "Wat mij betreft over en uit! Aannemen geen verdere actie ok?"

Één keer per jaar

In een reactie stelt het CBP prioriteit aan het patiëntendossier te geven. Het heeft twee onderzoeken gedaan naar regionale EPD's en ook diverse adviezen gegeven. "Wij kunnen echter als relatief kleine toezichthouder die zowel op de publieke als de private sector toezicht houdt, niet meer dan één keer per jaar of één keer per twee jaar onderzoek doen in het kader van het EPD", verzucht zegsvrouw Koosje Verhaar.

"Dit betekent dat wij geen continu en specifiek toezicht kunnen houden op de werking van het EPD in de praktijk, terwijl dit gezien de omvang en de aard van de gegevensverwerking in het EPD wel noodzakelijk is."

De ruzie, die volgens Verhaar niet 'elkaar de tent uitvechten' is, is dan ook logisch: "Daarom heeft het CBP - ook in het openbaar - de minister opgeroepen een oplossing te vinden voor deze blinde vlek in het wetsvoorstel en alsnog maatregelen te treffen opdat wel sprake zal zijn van continu en specifiek toezicht."