30 december 2015

De patiënt is geen algoritme

"We leven in interessante tijden. Als iemand mijn LinkedIn-account bekijkt, krijg ik gelijk een waarschuwing in mijn mailbox. Maar als iemand inzage wil krijgen in mijn medisch dossier, dan heb ik volgens de huidige regelgeving geen enkel toezicht, laat staan controle op wie er met mijn data aan de haal gaat. Er daar heb ik moeite mee." Daarover schreef Marc van Impe deze serie van drie artikelen: de patiënt is geen algoritme. Dit is alvast deel één.

Onze overheid is een goodwillcampagne begonnen om het delen van het GMD te promoten. Nu duidelijk is dat de patiënt en in het verlengde de door hem gevolmachtigde huisarts de eigenaar en respectievelijk de bewaker zijn van de persoonlijke gegevens, wil men kost wat kost vermijden  dat iemand officieel verzet gaat aantekenen tegen wat eufemistisch het delen van het medische en wetenschappelijke data heet.

Het weze duidelijk: aan een EMD hangen heel wat voordelen vast, maar het aantal risico's is minstens even groot. Dat het gedeeld EMD er komt, betwijfelt niemand. Maar dan liever niet op de manier die de overheid nu voor ogen heeft. De aanleiding tot dit stukje zijn twee berichten  die de voorbije weken gemaild kreeg van huisartsen. Berichten die me danig verontrustten.

In het eerste geval betrof het een patiënte die  na  de plaatsing van een poortkatheter een bacteriële infectie had opgelopen en zich voor de verwijdering ervan tot een perifeer ziekenhuis wendde. Het medisch team ter plaatse permitteerde zich om het hele medisch dossier van de patiënte op te vragen – zonder dat zij noch haar huisarts daarvan in kennis werd gesteld - en waarop zij vervolgens een lading kritiek op de haar behandelende geneesheren te horen kreeg. De hematoloog had gewoon even gebeld met het ziekenhuis waar de poortkatheter oorspronkelijk geplaatst was en had het hele medische dossier doorgezonden gekregen.

In het tweede geval betrof het een patiënte die in een universitair ziekenhuis weigerde toestemming te geven om haar medische gegevens te delen. De behandelende arts dreigde daarop de behandeling te staken. Achteraf bleek dat haar dossier toch doorgeschoven was naar andere specialisten buiten het ziekenhuis.

Een bijkomende reden was de uitzending van Panorama op de Vlaamse openbare omroep over de rol van medisch experts. Ook zij kunnen desgewenst en meestal op eenvoudig verzoek toegang krijgen tot het medisch dossier. Dat heb ik aan den lijve mogen meemaken toen ik nog niet zolang geleden door mijn behandelende arts in een ander UZ gewaarschuwd werd dat ene dr. X inlichtingen over mij gevraagd had. Die arts werkt deeltijds als psychiater en klust dus bij voor een grote verzekeringsmaatschappij. In de uitzending werd gepleit voor een muur tussen verzekeringsgeneeskunde en de zorg. Die is er niet.

Op dit ogenblik gaan die ongeoorloofde consultaties nog manueel. Binnenkort wordt elektronisch gluren mogelijk. Daarom zou het goed zijn dat de patiënt en indien gewenst zijn huisarts, een waarschuwing krijgen telkens iemand een dossier raadpleegt en dat de identiteit van de gluurder bekend is. Dan kan die minstens ter verantwoording geroepen worden.

Ik overdrijf? Bij de balie van het ziekenhuis lagen twee stapeltjes flyers, één in het Nederlands en één in het Frans. De patiënt vroeg of dat iets was wat haar eventueel kon interesseren. Vriendelijk kreeg ze een ‘ Toestemming tot inzage van uw gezondheids-gegevens door behandelende zorgverleners' toegestopt. Wat was de bedoeling? Zij wou de tijd nemen om de informatie tot zich te nemen. Maar de baliebediende zei dat haar dossier reeds op "aan" stond. Ze  zei dat ze daarover nog nooit een vraag had gekregen en vroeg of dat terug "af" kon gezet worden, waarop de bediende het zonder er een punt van te maken, uitzette. Toen ze  vroeg hoe het kon dat haar dossier zonder haar akkoord geregistreerd werd, vertelde men haar dat men dat ook niet wist. Onmiddellijk kreeg ze een opsomming van voordelen voor de patiënt om wel akkoord te gaan. Men kon haar niet zeggen wie me "aan" gezet had, noch wie reeds in haar dossier gaan kijken was.

Wel leerde ze dat de ziekenhuisdirectie verplicht om elke patiënt die zich aanmeldt in het centraal register te zetten, met of zonder akkoord. Sterker nog, het akkoord diende niet gevraagd. Ik leerde ondertussen uit de folder dat een extern bedrijf gegevens uit het dossier kan checken en aanpassingen kan maken. Op geen enkel moment kan de patiënt zelf zijn dossier inkijken of zien wie daarin aanpassingen aanbrengt, zoals welke arts wel en niet toegang heeft tot zijn dossier, welke arts zijn dossier heeft geraadpleegd, of gewoonweg zijn dossier zelf verwijderen.

Dit gebeurt met het dossier van ieder van ons die in een ziekenhuis incheckt. Het is ook onduidelijk of het dossier verwijderd wordt wanneer één van de ziekenhuizen uw dossier op "af" zet. Noch of de andere ziekenhuizen onderling dan eveneens geen gebruik meer kunnen maken van de gegevensuitwisseling. Tevens is het onduidelijk of uw groot dossier ooit nog kan verwijderd worden éénmaal u zogezegd uw toestemming gaf.  Wel is het zo dat uw dossier door het ziekenhuis telkens opnieuw op "aan" kan gezet worden, waardoor zij iedere eerdere weigering van toestemming weer ongedaan maken, zonder dat zij u dat moeten vragen of meedelen.

Kunnen we dit accepteren? Alle ethici zijn het nochtans erover eens: de patiënt en alleen de patiënt is eigenaar van zijn persoonlijke gezondheidsdata, dus van zijn medisch dossier. De arts, en in het verlengde de instelling tot de welke de patiënt zich wendt voor zijn zorg, is slechts de bewaarder van het medisch dossier. Onder welke vorm dan ook. Ook artsen en ziekenhuizen zijn in de fout door hieraan te willen meewerken!

Dat betekent ook dat de overheid in zijn onverzadigbare jacht op big data niet het recht heeft om die persoonlijke gegevens van de patiënt op te eisen, op te slaan of daarmee aan de slag te gaan. Dit doet vragen rijzen bij het e-Healthproject zoals dat nu wordt uitgewerkt.

Dat de overheid zich interesseert voor het privéleven van zijn burgers is één zaak. Het is de taak van het parlement om die overheid te controleren en waar moet bij te sturen. Maar als privébedrijven, zoals ziekteverzekeraars, zoals een ziekenfonds, een verzekeringsmaatschappij uw privacy binnen harken, dan is de waakzaamheid geboden.

De consequenties zijn enorm zoals recent blijkt nu Belfius een patiënte die zich ooit liet behandelen voor anorexia radicaal een verzekering weigerde. Belfius dat nota bene de actie Rode Neuzen steunt als hoofdsponsor. Ach, zegt Wauthier Robyns directeur communicatie van Assuralia de beroepsvereniging van , een verzekeraar zal altijd de verzekeringstechniek volgen.

Wordt vervolgd.

Marc van Impe

Bron: MediQuality

18:20 Gepost door Marc van Impe | Permalink | Commentaren (0)

07 mei 2015

Uw privacy wordt u ontfutseld

Het was een mooie zomeravond toen op de redactie het bericht binnenliep dat de bekende zangeres-presentatrice zelfdoding had gepleegd. Een klein uur na het dramatische bericht draaide de redactie routineus een extra pagina uit de proefprinter. Maar de spil van alles waar het om draaide kwam van een anonieme ambtenaar op de burgerlijke stand die in het rijksarchief gedoken was en het doopceel van de jonge vrouw had opgevraagd. De uitdraai lag op de desk van de hoofdredactie: verkeersovertredingen, caféruzies, huishoudelijk geweld, nachtlawaai, burenruzies, het lag er allemaal met alle details. Hier moest ik aan denken toen ik dit weekend een bericht kreeg van een kennis die een routinecontrole had ondergaan in een Brussels ziekenhuis.

"Bij de balie van het ziekenhuis merkte ik twee stapeltjes flyers op, één in het Nederlands en één in het Frans. Ik vroeg of dat iets was wat mij eventueel kon interesseren. Vriendelijk kreeg ik er een ‘ Toestemming tot inzage van uw gezondheids-gegevens door behandelende zorgverleners' toegestopt.

Wat was de bedoeling? Maar de baliebediende zei mij dat mijn dossier reeds op "aan" stond. Ik zei dat ik daarover nog nooit een vraag had gekregen en vroeg of dat terug "af" kon gezet worden, waarop de bediende het zonder er een punt van te maken, uitzette.

Ik vroeg hoe het kon dat mijn dossier zonder mijn akkoord geregistreerd werd. Men zei mij dat zij dat ook niet wisten. Onmiddellijk kreeg ik een opsomming van voordelen voor de patiënt om wel akkoord te gaan. Men kon mij niet zeggen wie me "aan" gezet had, noch wie reeds in mijn dossier gaan kijken was.

Wel kon men mij vertellen dat de ziekenhuisdirectie verplicht om elke patiënt die zich aanmeldt in het centraal register te zetten, met of zonder akkoord. Sterker nog, het akkoord diende niet gevraagd. Ik leer uit de folder dat een extern bedrijf gegevens uit het dossier kan checken en aanpassingen kan maken. Op geen enkel moment kan de patiënt zelf zijn dossier inkijken of zien wie daarin aanpassingen aanbrengt, zoals welke arts wel en niet toegang heeft tot zijn dossier, welke arts zijn dossier heeft geraadpleegd, of gewoonweg zijn dossier zelf verwijderen.

Het is ook onduidelijk of het dossier verwijderd wordt wanneer één van de ziekenhuizen uw dossier op "af" zet. Noch of de andere ziekenhuizen onderling dan eveneens geen gebruik meer kunnen maken van de gegevensuitwisseling. Tevens is het onduidelijk of uw groot dossier ooit nog kan verwijderd worden éénmaal u zogezegd uw toestemming gaf.  Wel is het zo dat uw dossier door het ziekenhuis telkens opnieuw op "aan" kan gezet worden, waardoor zij iedere eerdere weigering van toestemming weer ongedaan maken, zonder dat zij u dat moeten vragen of meedelen.

Dit is niet aanvaardbaar. We hebben de zaak al eerder aangekaart: de patiënt en alleen de patiënt is eigenaar van zijn persoonlijke gezondheidsdata, dus van zijn medisch dossier. De arts, en in het verlengde de instelling tot de welke de patiënt zich wendt voor zijn zorg, is slechts de bewaarder van het medisch dossier. Onder welke vorm dan ook. Ook artsen en ziekenhuizen zijn in de fout door hieraan te willen meewerken!

Dat betekent ook dat de overheid in zijn onverzadigbare jacht op big data niet het recht heeft om die persoonlijke gegevens van de patiënt op te eisen, op te slaan of daarmee aan de slag te gaan. Dit doet vragen rijzen bij het e-Healthproject zoals dat nu wordt uitgewerkt.

Dat de overheid zich interesseert voor het privéleven van zijn burgers is één zaak. Het is de taak van het parlement om die overheid te controleren en waar moet bij te sturen. Maar als privébedrijven, zoals ziekteverzekeraars, uw privacy binnen harken, dan is de waakzaamheid geboden.  Als ik weet dat data van bekende Vlamingen zomaar opgevraagd en doorgespeeld kunnen worden door een ambtenaartje wiens naam nooit bekend zal worden, dan maak ik mij ongerust.

Het ergste is dat onze gezondheidsgegevens allang gebruikt worden zonder dat daar enige controle op is door een schimmige privéorganisatie die luistert naar de naam Intermutualistisch Agentschap (IMA), dat opgezet werd door de zeven ziekenfondsen.

Deze ziekenfondsen verzamelen niet alleen de administratieve gegevens van de leden zoals geslacht, leeftijd, samenstelling van hun gezin en adres maar ook de facturatiegegevens van die leden: telkens als een lid recht heeft op een terugbetaling voor gezondheidszorgen, verwerkt en verzamelt het ziekenfonds gegevens zoals de datum, de plaats en de kost van de prestatie uitgevoerd door de zorgverstrekker.

Het IMA zegt wel dat het niet beschikt over de medische gegevens of diagnoses van de patiënt, maar uit de nomenclatuurnummers kan de hele historiek makkelijk gereconstrueerd worden. Het IMA  verzamelt en analyseert al deze gegevens. Het IMA is dus in feite een databroker, een handelaar in uw persoonlijke gegevens.

 Een bank beschikt ook over nogal wat persoonlijke gegevens van zijn klanten maar mag die gegevens niet aan derden verkopen of doorgeven. Big data is big business.  Vorige week werd en stoemelings een akkoord getekend voor samenwerking  tussen het Verzekeringscomité van het  RIZIV en het Wetenschappelijk Instituut Volksgezondheid (WIV-ISP) met het oog op het voorzien van een technische dienstverlening, genaamd healthdata.be, voor het verzamelen, beheren en ontsluiten van geanonimiseerde(?) gezondheid- en gezondheidszorggegevens voor wetenschappelijk onderzoek.

Het WIV-ISP, via het healthdata-platform, en het Intermutualistisch Agentschap (IMA) sluiten daarom ook een overeenkomst die de uitwisseling van beschikbare gepseudonimiseerde gegevens mogelijk maakt.  De rapporten bevatten dus enkel geaggregeerde gegevens zodat identificatie van personen niet mogelijk is.

 "Het objectief van deze samenwerkingsovereenkomst is het aan gemachtigde gebruikers ter beschikking stellen van een veilige en performante datawarehouse dat onderzoek en vigilantie, kwaliteitsverbetering, management en permanent leren in het domein van gezondheid en gezondheidszorg mogelijk maakt," zegt woordvoerder Ludwig Moens van het Riziv, "De dienstverlening biedt een antwoord op de bestaande versnippering aan gegevens en aan middelen die daartoe vandaag ingezet worden, en draagt bij aan de uitbouw van een "Health Research System"-infrastructuur voor België.

Voor haar ambities en werking spiegelt het healthdata-platform zich onder meer aan het Nederlandse Medical Research Data Management (MRDM) dat ondermeer het Dutch Institute for Clinical Auditing (DICA) op succesvolle wijze technisch hielp uitgroeien tot hét platform in Nederland dat inzicht geeft in de kwaliteit van de medische zorg. Tevens heeft de beoogde dienstverlening als doelen een minimalisatie van de registratielasten voor alle betrokken partijen en het handelen volgens transparante en efficiënte processen, zoals opgenomen als doelstelling in hoger genoemde beleidsnota van de Federale Minister van Sociale Zaken en Volksgezondheid."

De dienstverlening komt eveneens tegemoet aan de toenemende noodzaak om gegevens samen te brengen in internationale projecten zoals in het Europese project voor Zeldzame Ziekten (Orphanet).

Het Nederlandse Medical Research Data Management heeft ondertussen de Nederlandse ziekteverzekeraars toegang gegeven tot de geanonimiseerde gegevens.  Het  MRDM is vanuit privacy-oogpunt een verlengde van het ziekenhuis geworden en mag daarmee privacygevoelige gegevens hebben. De ziekteverzekeraars betalen de kosten en beslissen dus mee.

Dit tweede Belgische dataproject heeft dus niets te maken met het eHealth platform waar Frank Robben en Smals-MvM aan werkt. 

De vraag is nu wie de eerste zal zijn? Wie wordt de eerste patiënt die een klacht neerlegt tegen het Intermutualistisch Agentschap IMA dat zich permitteert om zomaar met die persoonlijke gegevens aan de slag te gaan? Eddy Boonen van dienstenverlener Care4Health kaartte deze zaak aan op social website LinkedIn.

"Een 3-tal weken geleden (tijdens de uitreiking van de e-health awards) een interessante discussie gehad over dit onderwerp. De meningen verschillen uiteraard. Maar wat mij wel opviel is dat iedereen het er over eens is dat de informatie moet kunnen gebruikt worden voor het beter behandelen van de patiënt. Dit wordt volgens mij volledig gecoverd door de informed consent procedure," schrijft hij.

Dat zou dus betekenen dat de IMA beschikt over een vrijwillig verkregen toestemming van elke patiënt voor deelname aan een studie of interventieprogramma. Informed consent betekent volgens de begrippenlijst van Minerva.be dat de persoon in kwestie duidelijk ingelicht is over het doel, de methode, de procedure, de voordelen en de risico's en, indien van toepassing, over de graad van onzekerheid van de uitkomst.

‘Essentiële criteria van informed consent zijn: kennis en begrip van bovenstaande, dat de toestemming onbeïnvloed is gegeven en dat het recht op intrekken van de toestemming op elk moment in de studie of interventie duidelijk is medegedeeld.'

Boonen: "Persoonlijk heb ik echter geen weet dat je als patiënt gevraagd wordt om toelating te geven om jouw medische data te gebruiken voor vb. wetenschappelijk onderzoek. Je kan je dan ook de vraag stellen of onderzoeksinstellingen zomaar deze data mogen gebruiken ? En zo ja moet de overheid dit dan niet organiseren ? Zodat iedereen van deze data kan gebruik maken ? Eventueel tegen betaling om zo een stukje van de gemaakte onkosten te recupereren." 

Het IMA maakt hier zogenaamd gebruik van een opt out formule, wat betekent dat wie niet weigert toestemt. De Europese Commissie heeft wat dat betreft al menige Google op de vingers getikt en legt in voorkomend geval zware boetes op. Het is dus wachten op de eerste patiënt die bij het Europees Hof van de Rechten van de Mens (EHRM) klacht neerlegt.

Ik heb in elk geval nooit mijn informed consent gegeven. Mijn kennis heeft toestemming geweigerd. En u? Als u zich echt wil uitschrijven moet u een formulier F011 invullen. Als u daar aan geraakt(*). En dan nog wordt u toch weer automatisch ingeschreven als zijnde akkoord bij ieder ziekenhuisbezoek, en wie weet in welke gevallen nog.

 

Marc van Impe

 

Bron: MediQuality

20:38 Gepost door Marc van Impe | Permalink | Commentaren (0)