Medische gegevens mogen niet zonder meer gebruikt worden in een Elektronisch Patiëntendossier. Patiënten moeten toestemming geven aan een zorgondernemer die het EPD privaat wil voortzetten. Dat is de zienswijze van het College bescherming persoonsgegevens (CBP) aan het Nederlands ICT Instituut in de Zorg (Nictiz). Nictiz is eigenaar van de restanten van het publieke Elektronisch Patiëntendossier (EPD), dat dit voorjaar werd afgekeurd door de Eerste Kamer. Nictiz is in onderhandeling om het EPD in private handen een doorstart te geven. Er is een doorstartplan op papier gezet.
In dat plan wordt gesproken over de oprichting van een nieuwe rechtspersoon, de Vereniging van Zorgaanbieders voor Zorginformatie-uitwisseling (VZZ). Het Nictiz heeft het CBP gevraagd of die vereniging de uitwisseling van die informatie tussen zorgaanbieders mag doen. En dat mag niet, zegt het CBP. Tenzij een patiënt uitdrukkelijk toestemming geeft om zijn of haar medische gegevens uit te wisselen.
Een van de beren die het CBP ziet is dat die VZZ niet als verantwoordelijke kan worden beschouwd in de zin van de Wet bescherming persoonsgegevens (Wpb). En dat is essentieel, zegt het CBP. In de wet staat dat die ‘verantwoordelijke’ een behandelrelatie met de patiënt moet hebben. Dat is niet het geval. Ook wil het CBP voor de VVZ geen uitzonderingspositie creëren.
De VVZ wil de verwerking en uitwisseling van medische gegevens uit de bestaande lokale medische databases uitbesteden aan het eveneens op te richten Servicecentrum Zorg Communicatie (SZC). Dat SZC zal gebruik maken van het landelijke schakelpunt (LSP), dat de spil moet zijn tussen alle bestaande medische databases. De medische gegevens blijven lokaal opgeslagen, dus er komt geen centrale database zoals in de oorspronkelijke plannen stond.
Zorgaanbieders die gebruik willen maken van de diensten van het servicecentrun moeten aangesloten zijn bij de Vereniging van Zorgaanbieders. Maar omdat die niet direct betrokken zijn bij de overdracht van gegevens, ziet het CBP een nieuw bezwaar. Zorgverleners hebben vanuit hun relatie met de patiënt te maken met hun medisch beroepsgeheim. De werknemers van de VVZ en SZC niet. In de wet is juist een belangrijke rol weggelegd voor dat beroepsgeheim, zegt het CBP.
Daarom moet elke patiënt nadrukkelijk toestemming geven. De databases bleken in een eerder onderzoek door Nictiz niet allemaal optimaal beveiligd en Nictiz werkt aan een richtlijn en aanbevelingen om de veiligheid te verbeteren. In de toekomst zal Nictiz een oogje in het zeil houden, ook als gegevens landelijk uitgewisseld worden.
Wat er met het advies van het CBP zal gebeuren, is onbekend. Nictiz heeft minister Edith Schippers van Volksgezondheid geïnformeerd over de uitkomsten van het doorstartplan en de minister zal zelf de Tweede Kamer informeren. Dat gebeurt aankomende maandag. Eigenlijk zou dat al op 11 juli gebeuren, maar de Tweede Kamer protesteerde daartegen. De Kamer was op dat moment met reces en zou niet direct kunnen reageren op de nieuwe plannen.
Het landelijke EPD sneuvelde dit voorjaar vanwege zorgen over de beveiliging van een centrale database met alle medische gegevens van alle Nederlanders. Na het afschieten van het voorstel heeft de minister Nictiz de opdracht gegeven een onderzoek in te stellen naar een mogelijke private voortzetting van het EPD door de zorgsector. Dit om onder meer om de 300 miljoen die al in het landelijke schakelpunt werd geïnvesteerd niet weg te gooien. Dat LSP is de IT-as waarmee alle medische databases in Nederland kunnen worden ontsloten.