Op 10 april jl. vond in de Tweede Kamer een groot politiek debat plaats rond digitalisering in de zorg. Hoopgevend is de brede politieke steun voor overheidsregie – een wereld van verschil met 2011, toen de politiek overheidsregie stopte. Tegelijkertijd lijken de zorgen die in 2011 speelden rondom privacy nog steeds dominant, en de visie op het waarborgen van privacy beperkt tot opt-out. Dat is jammer, want het politieke debat zou moeten gaan over het publieke belang van databeschikbaarheid, de landelijke inrichting van uitvoering, toezicht om misbruik van zorgdata te voorkomen, en het geven van vertrouwen.
Op 19 maart jl. kwam de NOS met een alarmerend bericht: ‘Artsen zien dagelijks gevaar voor patiëntveiligheid door ICT-problemen.’ Uit een enquête onder 1.116 medisch specialisten bleek dat 97% hinder heeft van gebrekkige beschikbaarheid van patiëntgegevens1. Eerder dit jaar schetste de Algemene Bestuursdienst (ABD) een schokkend beeld van de gebrekkige voortgang in de Nationale Visie en Strategie (NVS)2,3. Marktwerking, polderen en decentralisatie leiden onvoldoende tot daadwerkelijke vooruitgang in de beschikbaarheid van zorgdata, zowel in het zorgproces als voor onderzoek.
We lopen volgens ABD inmiddels 10 jaar achter. Dat leidt tot informatie die mist, fouten in het zorgproces, inefficiëntie (overtypen) en het belemmert kwaliteitsverbetering, innovatie en het oplossen van personeelstekorten. ABD constateert dat er talloze initiatieven, instituten en organisaties zijn en evenzovele praattafels die best willen, maar elk hun eigen koers hebben en vaak geen mandaat van hun achterban krijgen.
De huidige wetgeving en diverse financieringsstromen versterken de fragmentatie. Vanuit de vele stimuleringssubsidies wordt niet aangestuurd op convergentie van de ICT-architectuur, waardoor de fragmentatie eerder groter dan kleiner wordt. Subsidies geven EPD-marktleiders bovendien de gelegenheid grof geld te verdienen met bovenmatige winstmarges.
ABD adviseert VWS dan ook om de nationale regie vorm te geven door diverse uitvoeringsorganisaties te bundelen in één publieke organisatie op enige afstand van de politiek. Europese wetgeving (EHDS) die maart jl. is bekrachtigd biedt steun voor zo’n ingreep4. De EHDS biedt namelijk wettelijke kaders om databeschikbaarheid voor zorgverlening (primair gebruik) en voor onderzoek, beleid en innovatie (secundair gebruik) te versterken. Bovendien gaat de EHDS zorgen voor een betere regulering van de markt voor EPD-systemen in Europa.
Privacyzorgen domineren debat
Gezien al deze ontwikkelingen waren de verwachtingen voor het grote politieke debat over digitale ontwikkelingen in de zorg hoog. Op 10 april jl. sprak de vaste commissie voor Volksgezondheid, Welzijn en Sport met Minister Agema over maar liefst 28 Kamerbrieven die sinds 2023 door haar en haar voorgangers naar de Tweede Kamer zijn gestuurd. Die brieven gingen over een breed scala aan onderwerpen, van onderzoek naar mogelijkheden voor een landelijk dekkend netwerk van infrastructuren tot het voorkomen van administratielast, generieke functies, vragen over incidenten, cybersecurity, regie op de zorg-ICT-markt, eenheid van taal en de voortgang in de ontwikkeling van de persoonlijke gezondheidsomgeving.
Helaas leidde het debat niet tot een discussie over publieke verantwoordelijkheid en governance-randvoorwaarden voor databeschikbaarheid. Een dominant gespreksonderwerp voor Kamerleden was het recht van burgers om hun zorgdata niet beschikbaar te stellen voor primair en secundair gebruik; het zogenaamde opt-out.
Vertrouwen: meer dan opt-out
Het is een misverstand dat opt-out op zichzelf bij burgers tot het vertrouwen gaat leiden dat hun data goed worden gebruikt en niet worden misbruikt. Maar vertrouwen is wél een belangrijk fundament voor databeschikbaarheid. Zoals NVS stelt3:
- “Databeschikbaarheid wordt gedragen door vertrouwen, want zonder vertrouwen wordt data niet gedeeld.”
- “Vertrouwen betreft de kwaliteit van de data (betrouwbaarheid) en de integere omgang met data die anderen beschikbaar stellen (vertrouwen in elkaar).”
- “Regie borgt dit vertrouwen met bindende afspraken.”
In de brede Europese discussie die tot de EHDS heeft geleid, zijn deze NVS-fundamenten diepgaand aan de orde geweest. In essentie beoogt de EHDS de machtsverhoudingen tussen EPD-leveranciers, zorgaanbieders en patiënten in het zorgdatalandschap te herstellen. Nu is de macht van EPD-leveranciers in dat landschap onevenredig groot, en de macht van patiënten juist heel klein.
Opt-out in EHDS
Door de EHDS kunnen Europese landen wettelijk en via nationale toezichthouders en uitvoerders de publieke regie gaan voeren op het gebied van databeschikbaarheid in de zorg. Regie die niet alleen data beschikbaar maakt voor zorg, kwaliteit, onderzoek en innovatie, maar die ook voorkomt dat data worden misbruikt of ten nadele van burgers worden gebruikt. EHDS regelt dat patiënten (of liever burgers) informatie, controle en zeggenschap krijgen over hun data.
De Autoriteit Persoonsgegevens heeft in januari jl. verklaard dat het gerechtvaardigd is dat EHDS kiest voor het opt-out-model in plaats van toestemming (opt-in)5. Dit vanwege het publieke belang en aangezien in de EHDS voorzien wordt in goede waarborgen voor bescherming van persoonsgegevens, zodat (privacy)risico’s voldoende kunnen worden ondervangen. Die waarborgen moeten dan wel goed worden vormgegeven in Nederland.
Erfenis uit 2011
Nederland kent nu het principe van opt-in: geen databeschikbaarheid tenzij met expliciete toestemming (of veronderstelde toestemming vanwege behandelrelatie) van de patiënt. Dit model volgde op een besluit uit 2011 door de Eerste Kamer, het resultaat van grote en in de maatschappij breed ervaren zorgen over privacy in de realisatie van het Landelijk Schakelpunt (LSP) als landelijke infrastructuur voor de zorg.
Maar waar kwamen die zorgen vandaan? Bijzonder is dat er in 2011 feitelijk geen directe aanleiding was voor grote privacy-zorgen over het LSP. LSP was (en is) ontwikkeld vanuit privacy by design (data blijven bv. bij de bron). Er was in 2011 geen groot datalek geweest of iets dergelijks. Technisch functioneerde het netwerk in 2011 en huisartsenposten konden via het LSP de data van patiënten opvragen in avonduren en weekends. De gedachte was dat behandelaren die data konden opvragen via het model van ‘veronderstelde toestemming’, wat in de zorg gangbaar was (en is) bij bijvoorbeeld een verwijzing en consultatie.
Verbod op datadeling
Deze aanname bleek niet terecht. De Wet geneeskundige behandelingsovereenkomst (WGBO) vereist namelijk wél specifieke toestemming van individuele patiënten om opgenomen te worden in de LSP-verwijsindex. Die index, waarin staat waar de informatie van individuele patiënten staat, is namelijk ook door niet-behandelaars in te zien. Vervolgens werd in wetgeving vastgelegd dat patiënten heel specifiek toestemming zouden moeten kunnen geven voor het gebruik van zorgdata. Een uitwerking die later niet werkbaar bleek in de praktijk.
Het ABD-rapport noemt dit ‘debacle van 2011’ als één van de oorzaken van de achterstand die Nederland nu heeft op het gebied van databeschikbaarheid. Het besluit had niet alleen tot gevolg dat alle overheidsregie gedurende meer dan 10 jaar op het thema is gestopt, maar VZVZ – dat het LSP in 2012 van Nictiz overnam – moest alle patiënten uit de LSP-verwijsindex verwijderen. Vervolgens moesten ze de verwijsindex weer vanaf scratch opbouwen op basis van individueel gespecificeerde toestemming van patiënten. Datadeling tussen regio’s werd verboden en databeschikbaarheid in de zorg werd dus radicaal verminderd.
Een gevolg was ook dat in 2016, bij de implementatie van de AVG (die toestemming als grondslag benoemt), in Nederland geen andere grondslagen dan ‘toestemming’ zijn geregeld voor primair en secundair gebruik van zorgdata. ABD constateert dat veel andere landen dat wel hebben gedaan – de Europese AVG staat dergelijke uitzonderingen toe in het publieke belang.
Nieuwe balans
Op 7 april jl. heeft minister Agema van VWS een brief aan de Kamer gestuurd waarin ze de ethische, juridische, technische en praktische problemen schetst de bij implementatie van opt-out volgens EHDS6. Het is een brief van 13 pagina’s waarin ze uitlegt dat ze werkt aan een nieuwe balans tussen privacy en efficiënt gegevensgebruik. Volgens de EHDS-planning is implementatie van opt-out vereist tussen 2027 en 2029.
We hopen echter dat in de politieke discussie rond opt-out niet de essentie uit beeld raakt: de burger meer in control én databeschikbaarheid. Databeschikbaarheid publiek organiseren met respect voor veiligheid en privacy kan, zo blijkt uit het Belgische model. In België heeft de politiek jaren geleden vanuit een strategische visie (principieel hergebruik van geregistreerde data) de inrichting van uitvoering, checks and balances én budget wettelijk verankerd. Besluitvorming over technische en functionele invulling zijn belegd op enige afstand van de politiek.
Zo heeft België het vertrouwensmodel wettelijk verankerd in een Informatieveiligheidscomité7. Binnen deze wettelijke kaders kon jarenlang gestaag technische invulling worden gegeven aan de uitvoering. Inmiddels loopt België jaren voor op Nederland, en vervult het wat ons betreft een inspirerende voorbeeldrol.
