07 mei 2015

Uw privacy wordt u ontfutseld

Het was een mooie zomeravond toen op de redactie het bericht binnenliep dat de bekende zangeres-presentatrice zelfdoding had gepleegd. Een klein uur na het dramatische bericht draaide de redactie routineus een extra pagina uit de proefprinter. Maar de spil van alles waar het om draaide kwam van een anonieme ambtenaar op de burgerlijke stand die in het rijksarchief gedoken was en het doopceel van de jonge vrouw had opgevraagd. De uitdraai lag op de desk van de hoofdredactie: verkeersovertredingen, caféruzies, huishoudelijk geweld, nachtlawaai, burenruzies, het lag er allemaal met alle details. Hier moest ik aan denken toen ik dit weekend een bericht kreeg van een kennis die een routinecontrole had ondergaan in een Brussels ziekenhuis.

"Bij de balie van het ziekenhuis merkte ik twee stapeltjes flyers op, één in het Nederlands en één in het Frans. Ik vroeg of dat iets was wat mij eventueel kon interesseren. Vriendelijk kreeg ik er een ‘ Toestemming tot inzage van uw gezondheids-gegevens door behandelende zorgverleners' toegestopt.

Wat was de bedoeling? Maar de baliebediende zei mij dat mijn dossier reeds op "aan" stond. Ik zei dat ik daarover nog nooit een vraag had gekregen en vroeg of dat terug "af" kon gezet worden, waarop de bediende het zonder er een punt van te maken, uitzette.

Ik vroeg hoe het kon dat mijn dossier zonder mijn akkoord geregistreerd werd. Men zei mij dat zij dat ook niet wisten. Onmiddellijk kreeg ik een opsomming van voordelen voor de patiënt om wel akkoord te gaan. Men kon mij niet zeggen wie me "aan" gezet had, noch wie reeds in mijn dossier gaan kijken was.

Wel kon men mij vertellen dat de ziekenhuisdirectie verplicht om elke patiënt die zich aanmeldt in het centraal register te zetten, met of zonder akkoord. Sterker nog, het akkoord diende niet gevraagd. Ik leer uit de folder dat een extern bedrijf gegevens uit het dossier kan checken en aanpassingen kan maken. Op geen enkel moment kan de patiënt zelf zijn dossier inkijken of zien wie daarin aanpassingen aanbrengt, zoals welke arts wel en niet toegang heeft tot zijn dossier, welke arts zijn dossier heeft geraadpleegd, of gewoonweg zijn dossier zelf verwijderen.

Het is ook onduidelijk of het dossier verwijderd wordt wanneer één van de ziekenhuizen uw dossier op "af" zet. Noch of de andere ziekenhuizen onderling dan eveneens geen gebruik meer kunnen maken van de gegevensuitwisseling. Tevens is het onduidelijk of uw groot dossier ooit nog kan verwijderd worden éénmaal u zogezegd uw toestemming gaf.  Wel is het zo dat uw dossier door het ziekenhuis telkens opnieuw op "aan" kan gezet worden, waardoor zij iedere eerdere weigering van toestemming weer ongedaan maken, zonder dat zij u dat moeten vragen of meedelen.

Dit is niet aanvaardbaar. We hebben de zaak al eerder aangekaart: de patiënt en alleen de patiënt is eigenaar van zijn persoonlijke gezondheidsdata, dus van zijn medisch dossier. De arts, en in het verlengde de instelling tot de welke de patiënt zich wendt voor zijn zorg, is slechts de bewaarder van het medisch dossier. Onder welke vorm dan ook. Ook artsen en ziekenhuizen zijn in de fout door hieraan te willen meewerken!

Dat betekent ook dat de overheid in zijn onverzadigbare jacht op big data niet het recht heeft om die persoonlijke gegevens van de patiënt op te eisen, op te slaan of daarmee aan de slag te gaan. Dit doet vragen rijzen bij het e-Healthproject zoals dat nu wordt uitgewerkt.

Dat de overheid zich interesseert voor het privéleven van zijn burgers is één zaak. Het is de taak van het parlement om die overheid te controleren en waar moet bij te sturen. Maar als privébedrijven, zoals ziekteverzekeraars, uw privacy binnen harken, dan is de waakzaamheid geboden.  Als ik weet dat data van bekende Vlamingen zomaar opgevraagd en doorgespeeld kunnen worden door een ambtenaartje wiens naam nooit bekend zal worden, dan maak ik mij ongerust.

Het ergste is dat onze gezondheidsgegevens allang gebruikt worden zonder dat daar enige controle op is door een schimmige privéorganisatie die luistert naar de naam Intermutualistisch Agentschap (IMA), dat opgezet werd door de zeven ziekenfondsen.

Deze ziekenfondsen verzamelen niet alleen de administratieve gegevens van de leden zoals geslacht, leeftijd, samenstelling van hun gezin en adres maar ook de facturatiegegevens van die leden: telkens als een lid recht heeft op een terugbetaling voor gezondheidszorgen, verwerkt en verzamelt het ziekenfonds gegevens zoals de datum, de plaats en de kost van de prestatie uitgevoerd door de zorgverstrekker.

Het IMA zegt wel dat het niet beschikt over de medische gegevens of diagnoses van de patiënt, maar uit de nomenclatuurnummers kan de hele historiek makkelijk gereconstrueerd worden. Het IMA  verzamelt en analyseert al deze gegevens. Het IMA is dus in feite een databroker, een handelaar in uw persoonlijke gegevens.

 Een bank beschikt ook over nogal wat persoonlijke gegevens van zijn klanten maar mag die gegevens niet aan derden verkopen of doorgeven. Big data is big business.  Vorige week werd en stoemelings een akkoord getekend voor samenwerking  tussen het Verzekeringscomité van het  RIZIV en het Wetenschappelijk Instituut Volksgezondheid (WIV-ISP) met het oog op het voorzien van een technische dienstverlening, genaamd healthdata.be, voor het verzamelen, beheren en ontsluiten van geanonimiseerde(?) gezondheid- en gezondheidszorggegevens voor wetenschappelijk onderzoek.

Het WIV-ISP, via het healthdata-platform, en het Intermutualistisch Agentschap (IMA) sluiten daarom ook een overeenkomst die de uitwisseling van beschikbare gepseudonimiseerde gegevens mogelijk maakt.  De rapporten bevatten dus enkel geaggregeerde gegevens zodat identificatie van personen niet mogelijk is.

 "Het objectief van deze samenwerkingsovereenkomst is het aan gemachtigde gebruikers ter beschikking stellen van een veilige en performante datawarehouse dat onderzoek en vigilantie, kwaliteitsverbetering, management en permanent leren in het domein van gezondheid en gezondheidszorg mogelijk maakt," zegt woordvoerder Ludwig Moens van het Riziv, "De dienstverlening biedt een antwoord op de bestaande versnippering aan gegevens en aan middelen die daartoe vandaag ingezet worden, en draagt bij aan de uitbouw van een "Health Research System"-infrastructuur voor België.

Voor haar ambities en werking spiegelt het healthdata-platform zich onder meer aan het Nederlandse Medical Research Data Management (MRDM) dat ondermeer het Dutch Institute for Clinical Auditing (DICA) op succesvolle wijze technisch hielp uitgroeien tot hét platform in Nederland dat inzicht geeft in de kwaliteit van de medische zorg. Tevens heeft de beoogde dienstverlening als doelen een minimalisatie van de registratielasten voor alle betrokken partijen en het handelen volgens transparante en efficiënte processen, zoals opgenomen als doelstelling in hoger genoemde beleidsnota van de Federale Minister van Sociale Zaken en Volksgezondheid."

De dienstverlening komt eveneens tegemoet aan de toenemende noodzaak om gegevens samen te brengen in internationale projecten zoals in het Europese project voor Zeldzame Ziekten (Orphanet).

Het Nederlandse Medical Research Data Management heeft ondertussen de Nederlandse ziekteverzekeraars toegang gegeven tot de geanonimiseerde gegevens.  Het  MRDM is vanuit privacy-oogpunt een verlengde van het ziekenhuis geworden en mag daarmee privacygevoelige gegevens hebben. De ziekteverzekeraars betalen de kosten en beslissen dus mee.

Dit tweede Belgische dataproject heeft dus niets te maken met het eHealth platform waar Frank Robben en Smals-MvM aan werkt. 

De vraag is nu wie de eerste zal zijn? Wie wordt de eerste patiënt die een klacht neerlegt tegen het Intermutualistisch Agentschap IMA dat zich permitteert om zomaar met die persoonlijke gegevens aan de slag te gaan? Eddy Boonen van dienstenverlener Care4Health kaartte deze zaak aan op social website LinkedIn.

"Een 3-tal weken geleden (tijdens de uitreiking van de e-health awards) een interessante discussie gehad over dit onderwerp. De meningen verschillen uiteraard. Maar wat mij wel opviel is dat iedereen het er over eens is dat de informatie moet kunnen gebruikt worden voor het beter behandelen van de patiënt. Dit wordt volgens mij volledig gecoverd door de informed consent procedure," schrijft hij.

Dat zou dus betekenen dat de IMA beschikt over een vrijwillig verkregen toestemming van elke patiënt voor deelname aan een studie of interventieprogramma. Informed consent betekent volgens de begrippenlijst van Minerva.be dat de persoon in kwestie duidelijk ingelicht is over het doel, de methode, de procedure, de voordelen en de risico's en, indien van toepassing, over de graad van onzekerheid van de uitkomst.

‘Essentiële criteria van informed consent zijn: kennis en begrip van bovenstaande, dat de toestemming onbeïnvloed is gegeven en dat het recht op intrekken van de toestemming op elk moment in de studie of interventie duidelijk is medegedeeld.'

Boonen: "Persoonlijk heb ik echter geen weet dat je als patiënt gevraagd wordt om toelating te geven om jouw medische data te gebruiken voor vb. wetenschappelijk onderzoek. Je kan je dan ook de vraag stellen of onderzoeksinstellingen zomaar deze data mogen gebruiken ? En zo ja moet de overheid dit dan niet organiseren ? Zodat iedereen van deze data kan gebruik maken ? Eventueel tegen betaling om zo een stukje van de gemaakte onkosten te recupereren." 

Het IMA maakt hier zogenaamd gebruik van een opt out formule, wat betekent dat wie niet weigert toestemt. De Europese Commissie heeft wat dat betreft al menige Google op de vingers getikt en legt in voorkomend geval zware boetes op. Het is dus wachten op de eerste patiënt die bij het Europees Hof van de Rechten van de Mens (EHRM) klacht neerlegt.

Ik heb in elk geval nooit mijn informed consent gegeven. Mijn kennis heeft toestemming geweigerd. En u? Als u zich echt wil uitschrijven moet u een formulier F011 invullen. Als u daar aan geraakt(*). En dan nog wordt u toch weer automatisch ingeschreven als zijnde akkoord bij ieder ziekenhuisbezoek, en wie weet in welke gevallen nog.

 

Marc van Impe

 

Bron: MediQuality

20:38 Gepost door Marc van Impe | Permalink | Commentaren (0)