Privacyregels zijn niet om te lachen

In The Washington Post (24 juni) beschrijft Douglas McMillan hoe in Amerika gegevens te koop zijn over mensen met dementie, borstkanker en impotentie. Een van de handelaren, Amerilist, meldt op zijn website dat het beschikt over de gegevens van 125 miljoen mensen. De leveranciers van die gegevens kunnen hackers zijn, maar ook Google of Facebook.

In Europa zijn dit soort wildwestpraktijken voorkomen met privacyregels, maar het is zorgelijk dat uitgerekend in de Nederlandse zorg die regels als onwerkbaar worden gezien. Probleem zijn echter niet de regels zelf, maar de achterblijvende infrastructuur, zoals voor beveiligde e-mail, en de juridische wetsuitleg waarin risico’s mijden het wint van praktische toepasbaarheid. Al in 2004 noemde de NEN 7510, Norm voor Informatiebeveiliging in de Zorg, het belang van e-mailbeveiliging. Anno 2019 ontbreekt het Nederland nog steeds aan een landelijk dekkende infrastructuur voor gebruikersvriendelijke beveiligde e-mail. Meerdere partijen bieden dit aan, maar het werkt alleen goed binnen de eigen zorgorganisatie en met de vaste patiëntenkring.

Hannesen met beveiliging

In grotere werkverbanden zijn er vaak meerdere aanbieders die door gebrek aan standaarden deze e-mails niet altijd kunnen uitwisselen. Zorgverleners moeten dan zelf met beveiliging in gewone e-mail hannesen, wat ‘hogere’ ICT-handigheid vereist. De Nederlandse overheid ziet dit nu ook in en is bezig om standaarden te ontwikkelen voor een landelijke infrastructuur. Maar al met al zal het nog wel even duren voordat beveiligd e-mailverkeer breed beschikbaar is in de zorg.

Overigens hebben sommige zorgverleners geen oog voor de risico’s van gratis e-mail of WhatsApp voor communicatie met de patiënt. Googelen op huisarts of verloskundige in combinatie met @gmail.com of WhatsApp levert een flink aantal op. Zij geven Google en Facebook, de eigenaar van WhatsApp, inzicht wie bij hen patiënt is. Google en Facebook kunnen deze gegevens doorverkopen aan bedrijven als Amerilist – zie hun algemene voorwaarden. Daarmee akkoord gaan is in strijd met het medisch beroepsgeheim, maar de zorgverleners hebben het vinkje aangezet.

Toestemming van de patiënt

Ook risicomijdende uitleg van privacywetten staat een vlotte acceptatie van regels in de weg. Neem de uitleg van het begrip ‘behandelteam’ in de Wet geneeskundige behandelingsovereenkomst. Een arts kan binnen het behandelteam overleg voeren zonder toestemming van de patiënt. Wie tot dat behandelteam behoren, vereist juridische uitleg. Gewoonlijk komt het erop neer dat buiten een vast werkverband toestemming vereist is van de patiënt. Maar op tijd diens fiat verkrijgen is meestal praktisch niet haalbaar. Een soepeler uitleg met meer oog voor de werkbaarheid is goed verdedigbaar, maar juristen hebben te vaak weinig oog voor zo’n praktische insteek.

Strikte wetstoepassing levert echter geen privacywinst op, maar weerstand. Privacywinst is wél te behalen met een betere ICT-infrastructuur voor zorgorganisaties en met betere kennis bij hun medewerkers om gebruik van Gmail, WhatsApp en dergelijke te voorkomen. Privacyregels zijn niet om te lachen, gebrek aan draagvlak, kennis en infrastructuur nog minder.

Lees ook: 

Waarom krijgt niemand de slappe lach van al die privacyregels?

Over de nieuwe privacywetgeving weet ik eigenlijk niets, behalve dat iedereen zegt dat het een even lastig als zinloos pakket maatregelen is. Ik heb geen idee of ik me er aan houd, maar ik leer veel van collega’s die dat wel doen, of menen te doen.

Met het patiëntgeheim alleen is de privacy nog niet gewaarborgd

Voor de bescherming van digitale, persoonlijke gegevens over ziekte en gezondheid is de invoering van het patiëntgeheim een belangrijke stap maar er zijn aanvullende maatregelen nodig, zeggen Maartje Niezen en Petra Verhoef, onderzoekers bij het Rathenau Instituut.

Hoe voorkom je dat in het ziekenhuis iedereen meekijkt in je medisch dossier?

Wilt u zeker weten dat in het ziekenhuis niemand onnodig meekijkt in uw dossier? Kies dan voor de VIP-box in de patiëntenadministratie.