Dat is het advies van het College bescherming persoonsgegevens (CBP) aan het Nederlands ICT Instituut in de Zorg (Nictiz). Nictiz is op dit moment eigenaar van de restanten van het publieke Elektronisch Patiëntendossier (EPD) dat dit voorjaar werd afgekeurd door de Eerste Kamer. Nictiz is in verregaande onderhandeling met de zorgsector om het EPD in private handen een doorstart te geven. Er is een doorstartplan op papier gezet.

In dat plan wordt gesproken over de oprichting van een nieuwe rechtspersoon, de Vereniging van Zorgaanbieders voor Zorginformatie-uitwisseling (VZZ). Het Nictiz heeft het CBP gevraagd of die vereniging zonder meer de uitwisseling van die informatie tussen zorgaanbieders mag doen. En dat mag niet, zegt het CBP. Tenzij een patiënt uitdrukkelijk toestemming geeft om zijn of haar medische gegevens uit te wisselen.

Beren op de weg

Een van de beren die het CBP op de weg ziet is dat die nieuwe VZZ niet als verantwoordelijke kan worden beschouwd in de zin van de Wet bescherming persoonsgegevens (Wpb). En dat is essentieel, zegt het CBP. In de wet staat onder meer dat die “verantwoordelijke" een behandelrelatie met de patiënt moet hebben. Dat is niet het geval. Ook wil het CBP voor de VVZ geen uitzonderingspositie creëren.

De VVZ wil de verwerking en uitwisseling van medische gegevens uit de meer dan vijftig bestaande lokale medische databases uitbesteden aan het eveneens op te richten Servicecentrum Zorg Communicatie (SZC). Dat SZC zal gebruik maken van het landelijke schakelpunt (LSP), dat de spil moet zijn tussen alle bestaande medische databases. De medische gegevens blijven lokaal opgeslagen, dus er komt geen centrale database zoals in de oorspronkelijke plannen stond.

Medisch beroepsgeheim

Zorgaanbieders die gebruik willen maken van de diensten van het servicecentrun moeten eerst aangesloten zijn bij de Vereniging van Zorgaanbieders. Maar omdat die niet direct betrokken zijn bij de overdracht van gegevens, ziet het CBP een nieuw bezwaar. Zorgverleners hebben vanuit hun relatie met de patiënt te maken met hun medisch beroepsgeheim. De werknemers van de VVZ en SZC niet. In de wet is juist een belangrijke rol weggelegd voor dat beroepsgeheim, zegt het CBP.

Daarom moet elke patiënt voorafgaande aan de uitwisseling van zijn medische gegevens nadrukkelijk toestemming daarvoor geven. Het gaat om miljoenen personen, waarvan de gegevens op dit moment verspreid over meer dan vijftig lokale databases zijn opgeslagen. Die databases bleken in een eerder onderzoek door Nictiz niet allemaal optimaal beveiligd en Nictiz werkt aan een richtlijn en aanbevelingen om de veiligheid te verbeteren. In de toekomst zal Nictiz een oogje in het zeil houden, ook als gegevens landelijk uitgewisseld worden.

Tweede Kamer wordt geinformeerd

Wat er met het advies van het CBP zal gebeuren, is nog onbekend. Nictiz heeft minister Edith Schippers van Volksgezondheid geïnformeerd over de uitkomsten van het doorstartplan en de minister zal zelf de Tweede Kamer informeren. Dat gebeurt aankomende maandag, zo beloofde ze eind juni/url]. Eigenlijk zou dat al op 11 juli gebeuren, maar de Tweede Kamer protesteerde daartegen. De Kamer was op dat moment met reces en zou niet direct kunnen reageren op de nieuwe plannen.

Het landelijke EPD sneuvelde dit voorjaar [url=http://webwereld.nl/nieuws/106260/eerste-kamer-schiet-epd-unaniem-af.html]in de eerste Kamer vanwege zorgen over de beveiliging van een centrale database met alle medische gegevens van alle Nederlanders. Na het afschieten van het voorstel heeft de minister Nictiz de opdracht gegeven een onderzoek in te stellen naar een mogelijke private voortzetting van het EPD door de zorgsector. Dit om onder meer om de 300 miljoen die al in het landelijke schakelpunt werd geïnvesteerd niet weg te gooien. Dat LSP is de ict-as waarmee alle medische databases in Nederland kunnen worden ontsloten.