Recentelijk is er een heel sympathieke actie gestart, www.specifieketoestemming.nl. Deze campagne sluit aan op argumentaties uit de beroepsprocedure die wordt gevoerd door huisartsenvereniging VPHuisartsen, en bevat heel wat wat goede argumenten.
De bottom line: toestemming moet specifiek zijn. Dit is een heel logische en basale eis - immers, bij het geven van toestemming moet de reikwijdte daarvan te overzien zijn. Dit wordt in Europese regelgeving zo benoemd, in rechtspraak op het nivo van het europese verdrag van de rechten van de mens (EVRM), en in opinies van bijvoorbeeld de article 29 working group (een groep van alle databeschermingsautoriteiten van Europa). Al deze instanties stellen dat toestemming goed geinformeerd moet zijn - en doelgebonden, en dus specifiek.
Bij het LSP is toestemming niet specifiek. Als je toestemming geeft kunnen in de toekomst veel meer zorgverleners toegang krijgen tot je dossiergegevens dan noodzakelijk - zonder dat iemand je eerst opnieuw toestemming hoeft te vragen. De site van specifieketoestemming legt dit heel helder uit.
Specifieke toestemming kan heel mooi zijn, maar is dit te realiseren? Een te ingewikkeld model van toestemming kan zijn doel voorbij schieten, want dan gebruikt niemand het - zeker in de zorg. Daarom is het relevant om even bij deze vraag stil te staan.
Dit stuk beschrijft een voorbeeld van hoe specifieke toestemming, of eigenlijk specifieke autorisatie in het LSP of in andere systemen zou kunnen werken. De oplossing die ik hieronder beschrijf is heel flexibel. Het kan ook simpeler, bijvoorbeeld door toegangsregels in te stellen in het LSP, maar dan houd je risico's van compromittering van de centrale toegangsregistratie. Dit stuk is vooral bedoeld om aan te geven dat een écht end to end beveiligde oplossing die specifieke toestemming ondersteunt technisch mogelijk is.
Specifieke toestemming kun je regelen, als je in het systeem van een arts autorisaties kunt instellen. Autorisatie (en dus toestemming) heeft twee kanten: 1. welke gegevens deel je, 2. met wie? Welke gegevens is iets dat huisartssystemen al enigzins kunnen regelen - al kan het beter. In huisartssystemen kun je gegevens "maskeren" en er zijn standaardprotocollen waarmee een beperkt uittreksel uit het dossier kunt halen.
De belangrijkere - en lastigere - vraag is: hoe stel je ``wie'' in?
Kan specifieke toestemming werken?
Wat aardig is aan de campagne specifieke toestemming, is dat deze aangeeft dat toestemming logisch kan volgen uit het zorgproces. Als dat zo is, kan autorisatie ook uit het zorgproces volgen.
Het autoriseren van een waarnemer is niet lastig. Een arts sluit een contract af voor het waarnemen van de Avond, Nacht en Weekend (ANW) diensten. Dit is typisch een contract met een huisartsenpost. Dit betekent dus ook dat de arts weet wie de waarnemer is. Een waarnemer mag gegevens inzien van de arts waarvoor deze waarneemt. De huisartsenpost kan aldus direct (specifiek) geautoriseerd worden door de huisarts. Daarmee is al een groot deel van de communicatiebehoefte van huisartsen afgedekt - zelfs is voorstelbaar dat dit "spoedopname" situaties hiermee grotendeels afdekt.
Vaak is beschikbaarheid van gegevens bij spoed niet zo urgent, stellen de huisartsen. Als de spoedarts wel een keer echt informatie nodig heeft, dan kan gewoon de huisarts of diens waarnemer gebeld worden. Als die geautoriseerd is, kan de waarnemer eventuele noodzakelijke gegevens (maar alleen die gegevens) dan telefonisch doorgeven. Mocht de patiënt de volgende dag nog in het ziekenhuis zijn, dan kan dat ziekenhuis de volgende dag alsnog door de huisarts geautoriseerd worden om, op de situatie aangepaste (medicatie)gegevens in te zien. Naast eventueel andere, op de situatie aangepaste gegevens. Dit is ongeveer het pleidooi van VPHuisartsen in hun bodemprocedure tegen het LSP.
Voor planbare zorg is autorisatie ook te doen. Als een patiënt door de arts wordt dooverwezen, kan een autorisatie worden afgegeven voor het ziekenhuis waar de patient naar doorverwezen wordt. Dit sluit aan bij noodzakelijkheids- en minimaliteitscriteria van Europese en Nederlandse databeschermingsregelgeving.
Net zoiets kan geregeld worden voor apothekers: als de patiënt vaak bepaalde apotheken bezoekt, kunnen deze apothekers elkaar autoriseren voor toegang tot elkaars dossier, op verzoek van de patient. De eigen huisarts en de dienstapotheek, op dezelfde manier als de huisartsenpost, kunnen ook geautoriseerd worden. En op het moment dat een (elektronisch of papieren) recept gestuurd wordt kan direct een autorisatie meegestuurd of ingesteld worden.
Het zorgproces volgen
Expliciete autorisaties lijken prima te kunen, en ze passen - inderdaad - goed bij de zorg. Een patiënt komt namelijk meestal niet zomaar ergens aan, zorgprocessen zijn veelal voorspelbaar en, in de situaties waarbij toegang tot het dossier er toe doet, zoals ziekenhuisopnames, planbaar. Met de toename van sturing door zorgverzekeraars over welke patienten waar behandeld worden, neemt deze planbaarheid alleen maar toe. Daar kan specifieke toestemming dus ook. Denkt u dat er in uw geval veel situaties zijn waar zorg niet planbaar is, en niet af te dekken zal zijn met bovengenoemde regelingen rond huisartsenpost en expliciete autorisatie?
Er zullen altijd wel situaties zijn waar dit niet werkt, maar dat lijken er niet veel te zijn. Daarom lijkt "zorgvolgende autorisatie en toestemming" een zinvolle aanpak die de meeste zorgsituaties aankan -- een "sensible default" dus.
Het voordeel van specifieke toestemming is dat toegang (autorisatie) beperkt wordt tot waar deze nodig is. Andere partijen krijgen geen toegang. Dit is heel anders dan bij het LSP waar, in combinatie met generieke toestemming, sluipenderwijs steeds meer mensen toegang krijgen. Risico's voor hacks, en andere vormen van misbruik van toegangspasjes, computers van zorgverleners of andere componenten van het systeem nemen navenant toe.
Met specifieke toestemming krijgt iemand die niet bij uw zorg betrokken is helemaal geen autorisatie. Dat is het mooie ervan.
Hoe regel je specifieke autorisatie technisch?
De campagne zegt niet hoe je autorisaties precies moet regelen. Dat is maar goed ook, want er zijn natuurlijk veel manieren om dit te doen. Maar op zich is het niet ingewikkeld. Zelfs in het LSP.
Een voorbeeld van hoe het geregeld kan worden, ook in het LSP, is door autorisatie statements te gebruiken. Dit zijn een soort certificaten als digitaal ondertekend bewijs van autorisatie, die aangeven dat een bepaalde arts geautoriseerd is om gegevens van een patiënt in te zien. Patiënten zouden zulke autorisatie statements zelf kunnen ondertekenen met een eigen autorisatiepas om zelf zorgverleners teh kunnen autoriseren. Dit is het idee achter de 'digitale sleutel' die in 2011 door de Eerste Kamer werd voorgesteld. Maar behalve door autorisatiepassen kunnen autorisatie statements ook worden ondertekend door dossierhouders. Dit is de arts die het dossier van de patiënt beheert, en die het dossier zo gericht kan openzetten voor inzage.
Een voorbeeld: een huisarts X ondertekent een autorisatie statement voor specialist Y, waarin het BSN van de patiënt staat. De huisarts kan dit statement naar de geautoriseerde arts Y sturen. Ats Y kan dit statement vervolgens gebruiken om gegevens op te vragen. Niemand anders kan dit statement gebruiken. Aldus is arts Y specifiek geautoriseerd om gegevens op te vragen. Zoiets kan ook met een afdeling natuurlijk, of zelfs een heel ziekenhuis - voor specifieke gegevens.. Zelfs een ziekenhuis autoriseren is altijd nog veel minder dan de mate waarin het LSP nu (ongericht) toegang tot dossiers geeft.
Het kan in het LSP ook simpeler natuurlijk - je kunt "gewoon" een toegangsregel instellen in het LSP, waarbij het LSP de toegang regelt. Echter, in dit geval moet je wel het LSP vertrouwen - een aanname die onnodig is. Het aardige van het gebruik van autorisatie statements is namelijk dat, als het ondertekende verzoek om informatie samen met een autorisatie statement meegestuurd wordt naar het brondossier waar het geverifieerd kan worden, dit verzoek end-to-end geauthenticeerd en geautoriseerd is. Immers, alleen diegene met een sleutel (UZI pas) passend bij het autorisatie statement kan het gebruiken. Dit gecombineerd met end to end beveiliging. maakt het onnodig om het LSP te vertrouwen in de mate waarin dat nu nodig is - volledig.
Verantwoording: voor de zorg-inhoudelijke aspecten rondom bijvoorbeeld spoed en doorverwijzing heb ik geput uit de argumentatie van VPHuisartsen in de bodemprocedure tegen VZVZ, en uit persoonlijke gesprekken met zorgverleners.