21 november jl. reageerde de Landelijke Huisartsenvereniging op de brandbrief over Mitz die we aan alle huisartsen in Nederland stuurden. Daarin neemt de LHV het op voor de Mitz-werkwijze, maar negeert daarbij de fundamentele bezwaren in onze brief. Dit artikel zal puntsgewijs ingaan op de reactie van de Landelijke Huisartsenvereniging.
“Er staan onjuistheden in de brief”
Hoewel de reactie van de LHV in de inleiding direct stelt dat onze brief onjuistheden bevat, wordt geen van de vermeende onjuistheden in onze brief specifiek aangehaald of weerlegd. De bezwaren en onze brief zijn hier terug te lezen. Wel bevat de reactie van de LHV verschillende stellingen die verband houden met de bezwaren in onze brief. Deze stellingen zullen hieronder bespreken.
“Mitz is noodzakelijk voor een goede gegevensuitwisseling”
De LHV stelt dat Mitz in een noodzakelijke behoefte voorziet bij gegevensuitwisseling in de zorg: “In de zorg is gegevensuitwisseling geen luxe maar noodzaak, bijvoorbeeld in de spoedzorg maar ook in de netwerkzorg. Gegevensuitwisselingen die alleen mogen met toestemming van de patiënt en onder strikte voorwaarden. De toestemmingenvoorziening Mitz zet patiënt en zorgverlener in positie.”
In de meeste situaties is er echter geen enkele noodzaak om, zoals onder Mitz gebeurt, medische gegevens voor categorieën van tienduizenden zorgverleners beschikbaar te stellen en patiënten in een centraal register op te nemen. Ook als het gaat om spoedzorg zijn er privacyvriendelijkere oplossingen dan de Mitz-werkwijze. Lees daarover in ons artikel over alternatieven voor Mitz.
De LHV gaat niet in op ons punt dat de toestemmingen in Mitz zó breed zijn dat deze werkelijke regie onmogelijk maken. Niet alleen krijgen tienduizenden zorgverleners tegelijk toegang tot gegevens; ook is niet duidelijk om welke gegevens het gaat, omdat meerdere dossiers bij verschillende zorgaanbieders ineens ontsloten kunnen worden. Daarom is het ook niet mogelijk om te weten welke gegevens je moet blokkeren van inzage, zoals de LHV beschrijft onder “beveiligingsmaatregelen”.
De toestemmingen in Mitz bieden geen ruimte voor maatwerk en ondermijnen juist de positie van arts en patiënt. Een patiënt die alleen gegevens van een bepaalde behandeling in een specifiek ziekenhuis beschikbaar wil maken voor een specialist, heeft juist geen enkele manier om dit via Mitz in te regelen.
“De juridische positie van de huisarts is onder Mitz goed geregeld”
In onze brief stelden we dat artsen onder Mitz de controle kwijtraken over wie met welk doel gegevens van hun patiënten kan opvragen en dat dit hen problemen kan opleveren. Ze zijn immers nog steeds aansprakelijk als er gegevens van hun patiënten lekken of worden gestolen. De LHV stelt daarover: “Wij hebben met die stichting en de andere koepels samen het juridische construct uitgewerkt en dit afgestemd met de betreffende overheidsinstanties. Hierin hebben wij als LHV juist heel erg de nadruk gelegd op de juridische positie van de huisarts.”
De LHV gaat niet in op ons argument dat je als arts onmogelijk verantwoordelijkheid kunt dragen voor gegevensuitwisselingen waarover je geen controle hebt. Mitz probeert dit probleem op te lossen door artsen die zich aansluiten gezamenlijk onder te brengen bij de stichting SGVZ. Via deze stichting worden artsen collectief verantwoordelijk voor de gegevensuitwisseling via Mitz. Juridisch deugt deze constructie niet. De AP oordeelde al in 2011 bij de doorstart van het Landelijk EPD dat een systeem met de omvang van het LSP niet beheerd kan worden door zorgaanbieders onder een gezamenlijke verwerkingsverantwoordelijkheid – wat ook geldt voor Mitz.
“Er gelden afspraken over wie welke gegevens mag raadplegen”
De LHV stelt dat voor de gegevensuitwisseling via Mitz afspraken gelden: “Bovenop deze voorzieningen zijn er afspraken en richtlijnen van toepassing op gegevensuitwisseling die bepalen wie welke gegevens mag inzien en wanneer.” Daarbij stelt ze: “Hierbij is ook nog als extra controlemiddel logging van toepassing.”
Allereerst zijn er op dit moment via mijnmitz.nl geen duidelijke afspraken te vinden over welke gegevens zullen worden uitgewisseld – terwijl patiënten dit wel moeten weten om geïnformeerd toestemming te kunnen geven. Er is geen antwoord op vragen als: Welke gegevens worden gedeeld? Hoe ver gaan deze gegevens terug in de tijd? Welke gegevens zullen in de toekomst worden gedeeld? Dit past niet bij de eisen die in Europa aan werkelijk geïnformeerde toestemming worden gesteld.
Daarnaast kunnen deze afspraken in de toekomst door Mitz aangepast worden zonder dat de patiënt of de arts daar direct inspraak op heeft.
Tot slot zijn afspraken geen harde technische begrenzingen. Een persoon die met verkeerde intenties inbreekt op Mitz, zal zich van afspraken weinig aantrekken en kan zichzelf via het registreren van toestemmingen toegang verschaffen tot gegevens die hij op basis van ‘afspraken’ nooit zou mogen raadplegen. Weliswaar stelt de LHV dat er logging plaatsvindt op wie welke gegevens raadpleegt, maar dit is een controle achteraf; je voorkomt er niet mee dat gegevens kunnen lekken of worden gestolen.
“Artsen en patiënten houden beheer over gegevens”
De LHV beschrijft Mitz als een systeem dat uit ‘twee kluisjes’ bestaat: Één kluisje waar artsen in opslaan welke patiënten bij hen staan ingeschreven (lokalisatiegegevens) en één kluisje waar de toestemmingskeuzes van de patiënt in staan opgeslagen.
Door te stellen dat deze kluisjes worden beheerd door de arts en de patiënt, wekt de LHV de indruk dat deze de volledige zeggenschap hebben over deze kluisjes en de toegang daartoe. Dit is niet zo. De lokalisatiegegevens in het kluisje van de arts zijn te allen tijde toegankelijk voor Mitz. Via dit kluisje weet Mitz altijd waar ieders gegevens liggen opgeslagen en kunnen zorgverleners aangesloten op Mitz, met of zonder toestemming van de patiënt, gegevens opvragen.
Artsen kunnen niet tegenhouden dat Mitz dit kluisje bevraagt; hun ‘beheer’ beperkt zich tot het vullen van het kluisje met gegevens over hun patiënten. Doel en middelen van het kluisje worden door Mitz/VZVZ en de SGVZ bepaald.
“De patiënt kan bezwaar maken tegen het opslaan van lokalisatiegegevens”
De LHV stelt daarbij: “De patiënt kan ook bij de huisarts aangegeven niet in dat eerste kluisje te willen staan. Zo houdt de patiënt de volle regie.” Dit is geen regie, maar komt neer op het überhaupt niet uitwisselen van je gegevens – alles of niets dus. Werkelijke regie zou betekenen dat de patiënt en arts precies kunnen bepalen wie met welk doel welke gegevens kan inzien en hier ook reële controle op kunnen houden, zoals wij in ons artikel over privacyvriendelijke alternatieven uiteenzetten.
Patiënten zijn daarnaast nooit ingelicht over het feit dat hun lokalisatiegegevens in dat kluisje terechtkomen, welke gevolgen dat kan hebben en dat ze, zoals de LHV stelt, de mogelijkheid hebben om dit te weigeren. Mijnmitz.nl rept niet over deze mogelijkheid en ook de aansluitingsinstructies voor huisartsen die we in onze brief aanhalen, schrijven voor dat de lokalisatiegegevens van alle patiënten aan Mitz moeten worden doorgegeven. Door patiënten niet eerst om toestemming te vragen om deze gegevens door te sluizen, handelen artsen in strijd met de AVG.
Het kluisje ‘van de patiënt’?
Ook het tweede kluisje, waarin de toestemmingen van de patiënt worden bewaard, is toegankelijk voor derden en wordt dus niet exclusief door de patiënt beheerd. Op Mitz aangesloten zorgverleners kunnen vanuit ieder aansluitpunt in het kluisje van de patiënt toestemmingen opvragen, maar deze ook via een procedure registreren of aanpassen. Het zo eenvoudig kunnen creëren van toegangen naar medische gegevens is een onverantwoord risico op lekken of diefstal.
Opt-out of opt-in?
Uit de reactie van de LHV blijkt dat Mitz in essentie een opt-out systeem is dat wordt gepresenteerd als een opt-in. Zo eenvoudig als het is om via Mitz je dossier open te zetten, zo moeilijk is het om er buiten te blijven of bepaalde informatie af te schermen voor uitwisseling. Het is in minuten geregeld om gegevens direct raadpleegbaar te maken voor tienduizenden zorgverleners. Dit kan door de patiënt zelf of door elke zorgverlener worden geregeld, waardoor binnen enkele muisklikken gegevens kunnen gaan stromen.
Buiten Mitz blijven is daarentegen een ingewikkelde, tijdrovende klus. Om te voorkomen dat je gegevens opvraagbaar zijn, zul je elke zorgverlener die gegevens over je bewaart, moeten vragen om je uit het kluisje met lokalisatiegegevens te houden. Dit geldt ook voor het afschermen van gegevens. Je zult moeten nagaan welke gegevens bij welke zorgverleners liggen opgeslagen en daarbij zelf moeten regelen dat deze niet worden gedeeld via Mitz. Als de werkwijze verandert en daardoor gegevens tegen je wil opvraagbaar worden, moet je wederom in actie komen om dit tegen te houden.
In gesprek over Mitz
De LHV sluit haar reactie af met: “We moeten blijven streven naar een zo goed mogelijk systeem volgens wat er vandaag en morgen kan. Daarin heeft iedereen een rol, ook de briefschrijvers. We vinden het goed, dat de hiervoor mede door ons in het leven geroepen Stichting GVvZ, in gesprek gaat met de briefschrijvers. Liever hadden we gezien dat er eerst contact was geweest, zodat onjuistheden die nu voor onrust zorgen vermeden hadden kunnen worden.”
Hoewel na het lezen van de reactie van de LHV nog steeds onduidelijk is welke onjuistheden onze brief bevat, zijn we uiteraard bereid tot een goed gesprek over de uitrol van Mitz, de gevaren die wij zien voor het medisch beroepsgeheim en de patiëntprivacy en de mogelijke alternatieven voor deze werkwijze. De SGVZ, de stichting waarin Mitz de aangesloten zorgverleners bundelt, is echter niet de aangewezen partij om dit gesprek mee aan te gaan. Het is alleen zinvol om in gesprek te gaan met de beroepskoepels die achter de Mitz-werkwijze staan. Zij zijn immers verantwoordelijk voor de inrichting en het stimuleren van de uitrol van Mitz en zijn de vertegenwoordigers van zorgverleners die met het systeem moeten werken.
Het volledige verhaal
Volgens ons dienen organisaties als de LHV in de eerste plaats volledig en eerlijk te zijn over wat er met Mitz op tafel ligt; de afschaffing van het medisch beroepsgeheim zoals we dat kennen. Als Mitz wordt geïmplementeerd zoals de LHV en andere zorgkoepels voor ogen hebben, komt er effectief een einde aan de vertrouwensrelatie tussen zorgverleners en hun patiënt. Dat vertrouwen wordt onder het complexe Mitz-regime overgedragen aan een systeem en haar protocollen, waarvan de ondoorzichtige werkwijze wordt vormgegeven door beheerders en bestuurders achter Mitz. Die hebben onder Mitz zowel technisch als juridisch het laatste woord over wat er met gegevens gebeurt – en niet de arts en de patiënt.