Het LSP en de sleepwet: a match made in heaven

14-11-2017

Zorgkoepels voegden zich deze maand bij het koor van critici dat zich tegen de sleepwet keert. Het medisch beroepsgeheim wordt met de invoering van de wet namelijk vogelvrij verklaard. De grootste knieval voor massasurveillance in de zorg maakten de organisaties echter jaren geleden zelf, toen ze instemden en meewerkten aan de invoering van het LSP.

De Landelijke Huisartsen Vereniging (LHV) en artsenfederatie KNMG plaatsten op 6 oktober jl. een identiek bericht op hun sites, waarin de organisaties aangeven zich ernstig zorgen te maken over de gevolgen van de sleepwet voor het medisch beroepsgeheim.

Zorgverleners krijgen, in tegenstelling tot advocaten, onder de wet namelijk geen verschoningsrecht. Er is volgens de organisaties “bewust voor gekozen om voor de vertrouwelijke communicatie tussen artsen en patiënten geen uitzondering te maken”. Hierdoor komt de toegankelijkheid van de zorg onder druk te staan. “Iedereen moet naar een arts kunnen gaan zonder angst dat instanties in zijn/haar dossier kunnen kijken”, aldus de twee zorgkoepels.

Op zich is het mooi dat ook zorgkoepels zich mengen in de discussie over de sleepwet. Er zijn echter een aantal kritische kanttekeningen te plaatsen bij het ‘wakker worden’ van de LHV en de KNMG als het gaat om het beschermen van het medisch beroepsgeheim tegen massasurveillance.

Allereerst is het opmerkelijk dat de organisaties nu pas besluiten een kritische noot te kraken over de sleepwet. In hun bericht stellen ze weliswaar dat de Tweede Kamer bij de behandeling van de wet niemand uit de gezondheidszorg heeft geconsulteerd, maar dat kwijt de LHV en KNMG, twee organisaties met autoriteit binnen de politiek, niet van hun verantwoordelijkheid om uit eigen beweging op te komen voor het beroepsgeheim.

De organisaties zeggen nu in het kader van de al aangenomen wet nog extra waarborgen en voorwaarden te willen realiseren, in overleg met de betrokken ministeries. Het is de vraag wat dat zal opleveren, aangezien alles al op papier staat.

Beroepsgeheim staat technisch al buitenspel

De mosterd na de maaltijd wordt echter nog straffer als men kijkt naar de rol die zorgkoepels speelden bij de keus voor informatiesystemen in de zorg die straks het doelwit kunnen worden onder de nieuwe sleepwet. Samen met zorgverzekeraars zijn zorgkoepels namelijk de drijvende kracht achter de invoering van het Landelijk Schakelpunt (LSP), het voormalig Elektronisch Patiëntendossier. De wijze waarop het LSP is ingericht maakt het een ideaal systeem voor sleepnetacties van inlichtingendiensten.

Allereerst ligt de zeggenschap over toegang tot het medisch dossier in het LSP niet langer bij de zorgverlener, maar bij het systeem en haar beheerder. De arts heeft, eenmaal aangesloten op het LSP, technisch geen controle over wie voor welke reden informatie uit de door hem beheerde dossiers kan opvragen. Dit zet het beroepsgeheim en het verschoningsrecht zowel technisch als juridisch buitenspel. Het is immers niet langer de zorgverlener, maar de beheerder van het systeem die toegang tot medische gegevens verleent en daarmee het beroepsgeheim doorbreekt.

Daarbij verloopt communicatie in het LSP niet één-op-één tussen zorgverleners, maar lopen alle informatieverzoeken via een zogeheten centrale verwijsindex. Vanuit deze ‘spil’ is het voor veiligheidsdiensten mogelijk om – zonder dat de huisarts hier controle over heeft – zowel real time communicatie tussen artsen over duizenden patiënten tegelijk af te tappen in een sleepnetactie, als gericht dossiers op te vragen vanuit dit punt.

Kortom, als de landelijke uitrol van het LSP doorgaat zoals de LHV en de KNMG voor ogen hebben, maakt het in de praktijk niet uit dat het beroepsgeheim van medici niet wordt beschermd onder de nieuwe sleepwet. Het is namelijk al buitenspel gezet door de infrastructuur van het LSP. Daarvan lijken de organisaties zich min of meer bewust, zo klinkt door in hun bericht.

De problematiek is dan ook al jaren bekend. Een onderzoek van de UvA constateerde al in 2010 dat het LSP geen zogeheten ‘end-to-end beveiliging’ toepast, terwijl dit wel mogelijk is. In 2012 kon de minister bovendien niet ontkennen dat Amerikaanse geheime diensten via het Amerikaanse bedrijf CSC dat betrokken is bij de implementatie van het LSP, mogelijk toegang kunnen krijgen tot het systeem. Een probleem daarbij is dat CSC een zwijgplicht heeft en niet tegen Nederlandse opdrachtgevers mag zeggen dat zij gegevens aftapt in opdracht van de Amerikaanse geheime dienst. Ook een tap van de AIVD zal natuurlijk niet publiek bekend gemaakt (mogen) worden.

Wanneer een huisarts niet op het LSP zou zijn aangesloten maar gebruik maakt van een één-op-één communicatiesysteem, zouden grote, ongerichte sleepnetacties met medische dossiers niet mogelijk zijn en zou de AIVD enkel bij individuele zorgverleners inzage kunnen eisen. De zorgverlener zou in dat geval kunnen weigeren en zich in de rechtszaal op zijn zwijgrecht kunnen beroepen als het verzoek disproportioneel is.

Gebrek aan technologisch bewustzijn

Het feit dat de LHV en de KNMG jarenlang het LSP hebben verdedigd en actief hebben gepusht, maar vervolgens wel forse bezwaren uiten wanneer er een wet komt die de breed uitgemeten kwetsbaarheden van dat systeem uitbuit, legt een ernstig gebrek aan technologisch bewustzijn bloot bij de organisaties. Als zorgkoepels zich na het afschieten van het EPD in 2011 hadden ingezet voor privacy-by-design, zou de sleepwet nooit zo’n massale impact op het beroepsgeheim kunnen hebben.

Door echter hun steun te geven aan een systeem dat het mogelijk maakt om zonder voorafgaande controle door de arts gegevens uit medische dossiers op te eisen, hebben zij in technische zin hun beroepsgeheim al opgeheven. Dit vond al zes jaar geleden plaats, toen ze samen met zorgverzekeraars besloten het door de Eerste Kamer unaniem verworpen systeem alsnog privaat door te starten.

Was er destijds ingezet op een decentraal systeem waarin zorgcommunicatie tussen artsen één-op-één versleuteld plaatsvond, dan had er überhaupt geen sprake kunnen zijn van sleepnetacties in zorgcommunicatie. Alle informatie was dan niet vanuit één punt toegankelijk geweest zonder dat de arts daar controle over uitoefent; alleen gerichte opvragingen door geauthenticeerde zorgverleners zouden hierdoor mogelijk zijn.

Een gemiste kans die op dit moment de toegankelijkheid van de zorg in Nederland met één wetsvoorstel op losse schroeven zet. Willen zorgverleners werkelijk opkomen voor hun beroepsgeheim, dan zullen ze zich ook moeten verzetten tegen de technologie die dit ondermijnt.

Bron: SpecifiekeToestemming.nl

Van onze partners

Privacy in perspectief

→ Lees meer

Privacy in de zorg

→ Lees meer

Incompanymogelijkheden

Privacyweb biedt ook de mogelijkheid om de verschillende onderwerpen als incompanyworkshop/cursus te organiseren, in samenwerking met de deskundige docenten van de Berghauser Pont Academy.
Hierbij staat de kennisbehoefte van uw medewerkers centraal. U krijgt een uniek programma toegespitst op uw wensen.
Lees meer

Wilt u snel antwoord op uw vraag?
Judith Nuijens (uitgever) informeert u graag over de mogelijkheden. Zij is te bereiken via tel. 020 - 8200 908 en e-mail judith@berghauserpont.nl.

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer