Er is een enorme verwarring gaande over wat de "opt in" nu eigenlijk betekent. Na de afwijzing van de wet-EPD in de eerste kamer dachten we dat het helder was. Deze kamer wilde unaniem geen opt-out systeem: het idee van de wet-EPD dat mensen automatisch mee zouden doen met het EPD/LSP tenzij ze daartegen protesteerden ("opt out") werd niet afdoende geacht. Geëist werd dat de minister toezegde dat mensen uitdrukkelijk toestemming zouden moeten zeggen om aan medische uitwisselingssystemen mee te doen, conform wat geëist wordt uit huidige wetgeving (Wgbo en Wbp): een opt in.
Vervolgens kwam de minister in 2013 met een nieuw wetsvoorstel, 33509, dat onder meer de opt-in goed zou regelen. De minister stelt in recente debatten dat de artikelen over toestemming die in deze wet staan nodig zijn omdat er "nu niets geregeld is" en dat er dus een wet moet komen die de opt-in moet regelen. Dit is niet waar, want Wgbo eist uitdrukkelijke toestemming voor het ontsluiten van medische gegevens als dit niet direct binnen een behandeling plaatsvindt. Kennelijk vindt de minister het niet afdoende, of niet naar wens geregeld. Uit een recente brief blijkt ook weer dat zij de opt-in anders ziet dan de strikte opt-in regels uit Wgbo en Wbp. Daarover later meer.
Na enkele wijzigingen, de jongste naar aanleiding van schriftelijke kamervragen uit januari van dit jaar, ligt er dan nu eindelijk een wetsvoorstel onder de hamer; volgende week moet er gestemd worden. Het kamerdebat over het wetsvoorstel dat op 11 juni j.l. plaatsvond was nogal warrig en het is onduidelijk welke kant de Kamer op wil. Er werden onder meer vragen gesteld over of de toestemming van VZVZ voor het LSP nu generiek of specifiek was; de minister moest een antwoord schuldig blijven en zou schriftelijk reageren. De enige pers-aandacht voor deze belangrijke wet kwam van smarthealth die adequaat vastlegde dat het kamerleden en de minister nogal veel moeite kostten om "elkaar te begrijpen".
De brief die minister Schippers afgelopen week heeft gestuurd helpt hier niet bij. Deze vergroot het begrip over wat de toestemmings-gerelateerde artikelen uit de wet nu inhouden niet. Integendeel. Ze maakt het misschien nog wel erger dan VZVZ, die in een reactie op de website specifieketoestemming.nl" beweert dat de toestemming die nu voor het LSP gebruikt wordt specifiek is. Over verwarrend gesproken: specifieketoestemming.nl en VZVZ staan lijnrecht tegenover elkaar in de interpretatie van wat specifieke toestemming is. Ook VPHuisartsen denkt er overigens anders over dan VZVZ en stelt voor de rechter dat de toestemming van VZVZ generiek is. Deze strijd zal nog wel even doorgaan.
Met de nieuwe wet en de interpretatie die de minister daaraan geeft in haar jongste schrijven, dreigt alles alleen nog maar onduidelijker te worden. Niet alleen creëert de wet twee soorten toestemming (generieke en specifieke), deze betreffen elk ook nog eens drie verschillende momenten waarbij een van deze twee soorten toestemming gevraagd moet worden. Drie? Het waren toch twee momenten? - ja dat dacht ik ook, maar de brief van de minister geeft aan dat de toestemming in feite drie verschillende dingen betreft. In verschillende situaties en bij verschillende systemen en artsen. De verwarring lijkt compleet: VZVZ, specifieketoestemming.nl, VPHuisartsen, parlementsleden, de minister: allemaal interpreteren ze de verschillende vormen van toestemming anders. Wie kan het nog begrijpen? Zorgverleners en patiënten zeker niet.
Hieronder zal ik proberen wat helderheid te scheppen over wat er nu eigenlijk voorgesteld is. Daarna ga ik in op wat de minister schrijft, en op enkele amendementen. Om daarna voor te stellen het enorm te versimpelen en vrijwel alle artikelen omtrent toestemming gewoon te schrappen uit het wetsvoorstel, want het wordt echt allemaal veel te ingewikkeld zo. En daarmee is zo'n wet op voorhand onuitvoerbaar.
De nieuwe wet omvat drie artikelen die over toestemming gaan: Artikel 15a, 15b en 15c
Dit artikel stelt regels vast via welke een zorgverlener gegevens ter beschikking kan stellen aan andere zorgverleners via een elektronisch uitwisselingssysteem zoals het LSP. Dit regelt dus de klassieke "opt in" zoals die ook in Wgbo en Wbp worden geregeld: voor het ontsluiten van medische gegevens in situaties waarbij niet op voorhand duidelijk is dat de ontvangende/opvragende partij direct bij de behandeling van de patiënt betrokken is, moet uitdrukkelijke toestemming worden gevraagd aan de patiënt.
De huidige versie van wetsvoorstel 33509 bevat voor het vragen van toestemming twee opties, naar keuze van de patiënt: algemene (generieke) toestemming voor het ontsluiten van medische gegevens voor alle op het elektronisch uitwisselingssysteem aangesloten zorgverleners, of specifieke toestemming voor het ontsluiten van (categorieën) van gegevens voor specifieke (categorieën) van zorgverleners.
Dit artikel regelt dat zorgverleners ook toestemming moeten vragen voordat gegevens opgevraagd mogen worden. In haar recente schrijven stelt de minister dat cliënten ook hierbij specifiek of generiek toestemming kunnen geven. Dit is heel verwarrend want het is volstrekt onduidelijk hoe je procedureel of technisch zou moeten realiseren dat de cliënt bij het opvragen van gegevens kan zeggen "ja hoor dat is goed, maar alleen de gegevens over mijn schimmelteen". Systemen kunnen alleen opvragen wat er is klaargezet. Het is onmogelijk om vooraf aan het opvragen van de gegevens, aan de opvragende kant, nog een beperking in de opgevraagde gegevens aan te brengen.
Het vragen van toestemming bij opvragen van gegevens is nieuw ten opzichte van bestaande regelgeving. Het speelt een grote rol in de argumentatie van de minister dat de wet de privacyrechten van cliënten goed waarborgt; echter, artsenorganisaties zoals KNMG hebben al eerder tegen deze toestemming geprotesteerd - het is onduidelijk wat de toegevoegde waarde van deze toestemming is boven de toestemming voor het ontsluiten van gegevens die op dit moment al vereist wordt.
Dit artikel regelt informatievoorziening aan de patiënt over de reikwijdte van de toestemming - de cliënt moet kunnen overzien waar deze toestemming voor geeft - en over hoe die zijn/haar rechten kan uitoefenen. Ook regelt dit artikel dat de zorgverlener een registratie vastlegt van de verleende algemene of specifieke toestemmingen, en dat deze registratie aan andere zorgverleners ter beschikking kan worden gesteld via het elektronisch uitwisselingssysteem. Dit laatste is van belang in het licht van opmerkingen van de minister in haar recente brief.
Er zijn dus al diverse manieren om toestemming te geven zichtbaar: generiek of specifiek voor de ontsluiting van gegevens, en een toestemming voor het opvragen van gegevens. De discussie in de Tweede Kamer leek vooral over het eerste te gaan: wat is de reikwijdte van toestemming bij het ontsluiten van medische gegevens?
Middels een amendement dat vrij grote steun van de Kamer lijkt te hebben, wil Hanke Bruins Slot (CDA) de twee soorten toestemming uit artikel 15a samenvoegen tot één, zodat geregeld wordt dat toestemming altijd specifiek moet zijn, maar waarbij deze specifieke toestemming wel vrij breed kan zijn: "de betrokkene geeft gespecificeerde toestemming voor het beschikbaar stellen van alle of bepaalde gegevens aan bepaalde door de cliënt aan te duiden zorgaanbieders of categorieën van zorgaanbieders". Een vraag daarbij is nog wel of de patiënt wel echt zelf kan beslissen voor welke categorieën van zorgverleners een dossier open gezet kan worden, of dat dat vooraf bepaald wordt waarna de patiënt een kruisje moet zetten, maar als het amendement wordt aangenomen wordt algemene/generieke toestemming in elk geval verwijderd uit het wetsvoorstel.
Hoe dan ook zijn er in de nieuwe wet twee toestemmingsmomenten: een specifieke en mogelijk een generieke toestemming voor het ontsluiten van gegevens, en een toestemming bij het opvragen van gegevens. De minister claimt dat de laatste toestemming heel belangrijk is en uitdrukkelijk moet zijn, maar zoals gezegd is het lastig om op het moment van opvragen - voordat je gegevens opgevraagd hebt - te bepalen wat dan opgevraagd mag worden. Is dit duidelijk? Nee, niet echt. Er zijn nu twee 'uitdrukkelijke' toestemmingsmomenten, waarbij de tweede eigenlijk niets meer is dan een vraag of het OK is om de gegevens die al klaar staan op te vragen - beinvloeding van wat opgevraagd kan worden is dan niet meer nodig - en de eerste toestemming kan generiek of specifiek zijn of van alles er tussenin.
In wet 33509 is niet helder of toestemming nu specifiek-smal, specifiek-breed of generiek moet zijn, want alles is mogelijk "naar keuze van de cliënt". Hoe moet je dat dan, als zorgverlener, praktisch invullen? En, de minister zegt in haar brief dingen over toestemming waardoor zelfs deze keuzes niet meer helder zijn. Wanneer moet je nu wat vragen?
De brief bevat een op eerste gezicht algemeen verhaal over de twee toestemmingsmomenten die hierboven benoemd zijn, en met name over Artikel 15a, waarin in de cliënt "naar keuze" algemene of generieke toestemming kan geven. Wat betekent dit dan? De minister stelt terecht, in navolging van EVRM, Wbp en Wgbo, dat het altijd moet het gaan om uitdrukkelijke, goed geinformeerde toestemming. Een vraag daarbij is echter of dit wel samen kan gaan met generieke toestemming: met generieke toestemming wordt normaliter bedoeld dat de toestemming niet op voorhand duidelijk ingeperkt is - je weet dan dus niet precies waar je toestemming voor geeft. Daarom wordt er veelal vanuit gegaan dat generieke toestemming niet mag volgens Europese regelgeving.
Vervolgens stelt de minister dat als een cliënt gegevens beschikbaar stelt, de cliënt ervoor kan kiezen (generieke) toestemming te geven: in dat geval mogen de zorgaanbieders met wie de cliënt een behandelrelatie heeft de gegevens van de cliënt beschikbaar stellen voor inzage via het elektronisch uitwisselingssysteem waar zij op zijn aangesloten. Wat??? . Hier staat iets waar niemand het tijdens de kamerdebatten ooit over had. De zorgaanbieders met wie de cliënt een behandelrelatie heeft, kunnen de huisarts, de apotheek een specialist in het ziekenhuis, kortom een heel scala aan zorgverleners zijn die een dossier bijhouden van de patiënt. Mogen deze dan hun gegevens op basis van de (generieke) toestemming beschikbaar stellen aan andere zorgverleners, ook als die toestemming elders is gegeven? Dus er is nu 1. toestemming voor het ontsluiten van bepaalde of alle gegevens, 2. toestemming voor het mogen opvragen van gegevens, en 3. toestemming voor andere zorgverleners om hun gegevens ook te mogen ontsluiten.
Dit lijkt inderdaad, bij nadere lezing, in het wetsvoorstel te staan. De wet bevat de volgende regels: 15a: "De zorgaanbieder stelt gegevens van de cliënt slechts beschikbaar via een elektronisch uitwisselingssysteem, voorzover de zorgaanbieder heeft vastgesteld dat de cliënt daartoe uitdrukkelijk toestemming heeft gegeven" en onder 15c lid 2: "De zorgaanbieder houdt een registratie bij van de op grond van artikel 15a, tweede lid, door cliënten verleende algemene of gespecificeerde toestemming waarbij wordt aangetekend vanaf welk tijdstip de toestemming van kracht is geworden. Een zorgaanbieder kan deze registratie beschikbaar stellen via het elektronisch uitwisselingssysteem .
Is het zo dat, wanneer iemand toestemming heeft gegeven voor het ontsluiten van gegevens bij zorgverlener A, deze toestemming via de registratie van zorgverlener A gedeeld kan worden met andere zorgverleners B, C, D enzovoorts, die op basis daarvan kunnen vaststellen dat "uitdrukkelijk" toestemming is verleend voor het beschikbaar stellen van gegevens via een elektronisch uitwisselingssysteem? Dit had ik nooit eerder begrepen, en anderen vast ook niet.
Deze vorm van toestemming gaat lijnrecht in tegen toestemming in de betekenis van Wgbo; hier moet toestemming gevraagd worden uitgaande van het idee dat het beroepsgeheim niet zomaar doorbroken mag worden. Daarom moet bij elke zorgverlener apart toestemming gevraagd worden. Ik weet dat er op veel plekken in Nederland nagedacht wordt over manieren om de patiënt in één keer toestemming te laten geven voor huisarts en apothekers tegelijkertijd. Ideëen van verschillende kleuren formulieren circuleren al. Echter: dit kan nooit geinformeerde, specifieke toestemming zijn. Immers, de apotheker kan niet aan de patiënt zeggen welke gegevens uit het huisartsendossier wel en niet ontsloten of geblokkeerd kunnen worden, aangezien de apotheker dat dossier niet beheert. De website van VZVZ "ikgeeftoestemming.nl" is ook een voorbeeld van een manier waarop de patiënt zelf aan meerdere zorgverleners toestemming kan geven -- maar dat doet de patiënt tenminste nog écht zelf.
De minister stelt nu voor om patiënten voor ontsluiting van gegevens door meerdere zorgverleners tegelijkertijd toestemming te laten vragen door één zorgverlener, die de toestemming vervolgens aan de anderen door kan geven op elektronische weg. Artikel 15c lid 2 laatste zin lijkt er specifiek voor bedoeld om dit gemakkelijk elektronisch te kunnen doen. Het lijkt er dus op dat de minister werkelijk wil bewerkstelligen dat je eenmalig toestemming voor alles kunt geven. Dat is volledig contra de belofte die ze eerder aan de eerste kamer deed: "Het gaat om expliciete toestemming voor specifieke situaties. Er kan dus niet één keer toestemming worden gegeven voor alles en iedereen. Ik ben het met mevrouw Dupuis eens dat de WGBO en de WBP de leidende wetten zijn." Als WGBO en WBP de leidende wetten zijn, zou voor het delen van een toestemmingsregistratie via een elektronisch uitwisselingssysteem, zeker als dit de implicatie heeft dat andere zorgverleners op basis daarvan hun dossier openzetten voor bevraging door anderen, minimaal eerst toestemming moeten worden gevraagd.
Was dit niet genoeg? Ik moet al heel diep zoeken naar alle mogelijke toestemmings-opties die de wet biedt (deze wet lijkt echt alles wat onder de noemer "opt in" valt mogelijk te willen maken) en de implicaties daarvan. Het is zeer de vraag of de patiënt of zorgverlener de implicaties hiervan kunnen overzien. Maar er is nog meer inderdaad. Een paar puntjes uit de brief:
"Mits de cliënt de juiste informatie ontvang en goed geinformeerd wordt over de reikwijdte van zijn toestemming, kan bij zowel generieke als bij specifieke toestemming aan het EVRM, de Wbp en WGBO worden voldaan." Uit voorgaande bleek al dat bij generieke toestemming, bij definitie, de reikwijdte nauwelijks te overzien kan zijn. De implicatie dat elke zorgverlener op basis van een eenmalige toestemming bij een andere zorgverlener zijn dossier kan openzetten was mij tot nog toe zeker niet duidelijk -- en ik volg dit dossier al wat jaren. Ik betwijfel of iemand deze 'reikwijdte' kan overzien. Sterker nog, degene die toestemming vraagt weet niet wie deze toestemming straks kan inzien, laat staan welke gegevens als gevolg daarvan precies beschikbaar zullen kunnen worden gesteld. Het is daarmee inherent onmogelijk om afdoende geinformeerde toestemming te vragen.
Om de toestemming te overzien te maken, moet mijns inziens tenminste de laatste zin van artikel 15c lid 2 worden weggehaald.
"Bij gebruik van een elektronisch uitwisselingssysteem waaraan alleen huisartsen en apothekers zullen deelnemen die alleen medicatie- en waarneemgegevens uitwisselen, ligt het vragen om generieke toestemming [meer] voor de hand. Uiteraard geldt ook dan: mits de cliënt goed is geinformeerd over de deelnemers en het soort gegevens dat wordt uitgewisseld."
Hè? Uit deze zin blijkt overduidelijk dat het doel en de betekenis van (generieke) toestemming bij de minister een geheel andere is dan de betekenis die er meestal aan gegeven wordt. Specifieke toestemming heeft een helder doel: het legt de reikwijdte van de toestemming vast, en voorkomt dat gegevens voor doelen gebruikt (mogen) worden die niet benoemd waren bij het geven van toestemming. Dit strekt dus tot bescherming van degene die toestemming geeft en biedt een juridische bescherming tegen gebruik van gevens voor andere doeleinden dan waarvoor toestemming was gegeven. Als je dus een systeem hebt zoals door de minister beschreven, dat voor een 'beperkt' doel gebruikt wordt (waarneemgegevens uitwisselen tussen huisartsen en apothekers kan al een flink ruim doel zijn, want deze kunnen allerlei gegevens uit het huisartsendossier omvatten) dan is dat bij uitstek het soort systeem waar je specifiek toestemming voor kunt en wilt vragen. Hier ligt specifieke toestemming dus juist voor de hand. Want wat als dit systeem uitgebreid wordt met nieuwe toepassingen, of "vastgeknoopt" wordt aan andere uitwisselingssystemen?
Met generieke toestemming is dit niet op voorhand ingeperkt - met specifieke toestemming wel. Het probleem van generieke toestemming is nu juist dat dit geen bescherming naar de toekomst biedt en allerlei uitbreidingen mogelijk maakt ... Juist in een situatie waarin het doel duidelijk is, zou ik dus verwachten dat specifieke toestemming juist gegeven moet worden.
De zin verderop in de brief: "De opt-in vraag gaat dus over het beschikbaar stellen van gegevens in een uitwisselingssysteem zodat andere zorgaanbieders deze gegevens via het elektronisch uitwiselingssysteem kunnen inzien." Deze zin zou gecompleteerd moeten worden met de woorden en beschikbaar stellen.
Overigens gaat de brief nergens in op de vraag van de Kamer of de toestemming van VZVZ nu specifiek of generiek is. Kennelijk wil de minister zich niet branden aan een uitspraak hierover.
Ten slotte staat er een verhaal over toestemming bij opvragen. Hier staat onder meer dat de toestemming tot raadpleging zich alleen uitstrekt tot gegevens die noodzakelijk zijn voor de behandeling, ter professionele beoordeling van de zorgaanbieder. Laat duidelijk zijn: op het moment van opvragen is, anders dan op heel grofmazige wijze afhankelijk van de 'rol' van de opvragende partij (huisarts, apotheek, specialist) niet mogelijk om nog in te grijpen in wat er opgevraagd gaat worden. Het beperken van wat opvraagbaar is kan technisch alleen plaatsvinden "aan de bron". Daarom is toestemming bij ontsluiten van gegevens conform Wgbo-toestemming ook zo belangrijk: dan kan aan de bron, in samenspraak met de patiënt, bepaald worden wat wel en niet, en met wie en voor hoe lang ontsloten mag worden. Juist dat moet dus zorgvuldig geregeld worden.
Ik denk dat de brief van de minister vooral duidelijk maakt dat, in tegenstelling tot Wgbo en Wbp, de betekenis van toestemming onder de nieuwe wet volledig ongrijpbaar is geworden. Ik zou zeggen dat de zin over het delen van toestemmingsregistraties via een uitwisselingssysteem uit artikel 15a lid 2 het minste is dat uit de wet geschrapt moet worden, maar misschien moeten artikelen 15a, b en c maar gewoon volledig geschrapt worden.
Laten we de vertrouwde en eenduidige regels van Wgbo en Wbp gewoon in stand houden.
Terug naar overzicht