Minister Schippers laat LSP van CSC met rust

Bewindsvrouw ziet geen aanleiding om epd-doorstart te blokkeren

Dit artikel delen:

Minister Edith Schippers van Volksgezondheid, Welzijn & Sport (VWS) laat niet onderzoeken of het scenario dat de Verenigde Staten Nederlandse elektronische patiëntendossiers kan inzien, realistisch is. Zij wacht liever de uitkomsten af van het overleg tussen de vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) en de Amerikaanse automatiseerder CSC, bouwer en beheerder van het Landelijk Schakelpunt (lsp). De VZVZ heeft een verklaring geëist van CSC, waarin staat dat het risico is uitgesloten dat de inhoud van medische dossiers kan worden verstrekt aan Amerika.

Dit blijkt uit de antwoorden van de bewindsvrouw op vragen van het Kamerlid Reinette Klever (PVV) over berichten in de media dat de Amerikaanse overheid CSC met een beroep op de Patriot Act of de FISA Amendment Act kan dwingen gegevens af te staan.

Behalve dat zij eerst op de verklaring van CSC wacht wijst minister Schippers er op dat Nederland met de Verenigde Staten een bilateraal rechtshulpverdrag heeft dat, als het gaat om het uitwisseling van (digitale) gegevens, tot op EU-niveau is 'geagendeerd'.

Bovendien heeft CSC bij het aannemen van de opdracht om een lsp te bouwen voor de uitwisseling van gegevens de voorwaarde aanvaard te voldoen aan de Nederlandse privacywetgeving, waaronder de Wet bescherming persoonsgegevens (Wbp). CSC won in 2005 samen met de Amerikaanse databasesoftwareleverancier Intersystems de Europese aanbesteding onder verantwoordelijkheid van Nictiz, destijds beheerder van het lsp.

Kritiek op doorstart

Na het mislukken van het landelijk epd is er een doorstart met een regionaal karakter. De vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ), de organisatie achter de doorstart, wil het lsp van CSC hiervoor blijven gebruiken. Minister Schippers stelt dat het de rol van de toezichthouders, de Inspectie voor de gezondheidszorg en het CBP (College Bescherming Persoonsgegevens), is om toezicht te houden op de inrichting van de informatiesystemen en het beheer daarvan.

Ook de doorstart van het epd in regionale vorm roept veel kritiek op, onder andere over privacy en veiligheid. Op een vraag van PVV-kamerlid Klever of zij de doorstart van het epd gaat beëindigen, schrijft Schippers: 'Ik zie daarvoor geen aanleiding. Ook op grond van de huidige wet- en regelgeving kan ik de doorstart van het epd niet beëindigen. Als zou blijken dat de VZVZ, die verantwoordelijk is voor de zorginfrastructuur, zich niet houdt aan de geldende wet- en regelgeving is het aan het CBP hierop actie te ondernemen.'

De bewindsvrouw bereidt wel een wetsvoorstel voor waarin zij de belangrijkste randvoorwaarden, zoals toestemming, inzage en sancties bij misbruik, voor uitwisseling van patiëntengegevens wettelijk gaat regelen. Momenteel maken de regio’s Twente en Nijmegen al gebruik maken van het lsp. Vanaf het eerste kwartaal 2013 volgen ook andere regio’s.

Privacy

Dat het CBP de ontwikkelingen rond het nieuwe epd nauwgezet volgt bleek uit een recente reactie op het probleem dat er nog steeds persoonsgegevens in het lsp staan waar betrokkenen geen toestemming voor hadden gegeven. Dat is nog een erfenis van het stopzetten van het landelijk epd.

Het CBP stelt dat opname zonder toestemming van de betrokkenen in strijd is met de wet. Het college heeft VZVZ, de verantwoordelijke voor het lsp laten weten dat het handhavingsinstrumenten zal inzetten indien dit vanaf 1 januari 2013 nog steeds voorkomt. VZVZ heeft naar aanleiding hiervan bevestigd dat de gegevens van mensen van wie geen toestemming is verkregen voor de uitwisseling van hun medische gegevens, per 1 januari 2013 uit het systeem zullen worden verwijderd. Eerder wilde VZVZ nog een overgangsperiode tot juli 2013.

De VZVZ is eind 2011 opgericht op initiatief van de koepels van huisartsen (LHV), huisartsenposten (VHN), apotheken (KNMP), ziekenhuizen (NVZ) in samenwerking met Nictiz en met steun van de patiëntenfederatie NPCF.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Quote "Privacy Dat het CBP de ontwikkelingen rond het nieuwe epd nauwgezet volgt bleek uit een recente reactie op het probleem dat er nog steeds persoonsgegevens in het lsp staan waar betrokkenen geen toestemming voor hadden gegeven. Dat is nog een erfenis van het stopzetten van het landelijk epd"

De opzet van het EPD zal onverlaten ruimte bieden om ook data van Nee zeggers te benaderen omdat de data bij de hulpverlener op dezelfde systemen staat als de data van mensen die Ja zeggen.
Dit alternatief EPD zal dus al snel onderuit gaan omdat op geen enkele manier de toegang tot de data van nee zeggers gegarandeert ongedaan gemaakt kan worden zonder enorme investeringen aan de kant van de hulpverlener.

Het "verplichte" EPD was een gedrocht dat al werd gehackt voordat het live ging. Het nieuwe EPD zal ook gehackt worden en dan hebben we er met zijn allen weer ettelijke miljoenen inzitten.


Niet verrassend, de minister kijkt alleen naar kosten en is niet geïnteresseerd in de bescherming van persoonsgegevens.

Aangezien CSC een Amerikaans bedrijf is, en aldus gebonden is aan Amerikaanse wetgeving, zal CSC nooit een verklaring af kunnen geven dat zij nooit data aan de VS Regering zal afstaan. Dit omdat zij met haar systemen de data beheert. Als de data beheerder, ongeacht waar deze data staat, een oproep krijgt deze data af te staan kunnen ze hooguit eisen de betreffende gegevens nader te specificeren, maar de Patriot Act geeft de VS regering de macht deze data op te vragen. CSC kan daar geen keihard Nee tegen zeggen.

Ik wil hier graag even reageren op enkele reacties aangaande de privacy.

1 - CSC is een Nederlands bedrijf. Gewoon als BV ingeschreven in Nederland en gehouden aan de Nederlandse regels.
2 - LSP is een verbindingssysteem dat alleen zorgt dat gegevens van partij A door partij B opgevraagd kunnen worden op de systemen van partij B. Het LSP weet dus zelf niets van de patient waar het over gaat.
3 - Het gehele systeem is ISO 27002 gecertificeerd door een bekende Nederlandse auditor.

Samengevat: Het LSP is niets anders dan elk ander middleware systeem dat zorgt dat partijen elkaar kunnen vinden en daarna onderling gegevens kunnen uitwisselen. De uitwisseling van medische gegevens is hierbij overigens via HL7 en is versleuteld zodat de patientgegevens door de man in the middle 'het LSP' niet eens gelezen KUNNEN worden.

Interessant, de minister lijkt afstand te nemen.

De Patriot-regelgeving heeft geen boodschap aan contractuele afspraken volgens Nederlands recht tussen VZVZ en CSC.
De rol van de toezichthouders, de Inspectie voor de gezondheidszorg en het CBP wordt door de minsiter wel erg ruim geïnterpreteerd.
En als de minister nú nog met wetgeving moet komen om de patientprivacy te regelen geeft zij dus impliciet aan dat de huidige regelgeving op dat punt te kort schiet.

Beste Jan H.,

1. "Nederlandse" dochter van een Amerikaans bedrijf. Trek je conclusies.
3. Systemen kunnen niet 27002 gecertificeerd worden. Hooguit daaraan getoetst worden. De organisatie kan daarentegen wel 27001 gecertificeerd worden.

Het besluit is dom en kortzichtig, maar het zal ongetwijfeld de meest lucratieve optie zijn. Bah.

Lijkt me niet zo gek om eerst de verklaring van CSC af te wachten.
Maar dat moet dan wel bloed kritisch worden bekeken.
Als CSC zich beroept op een save harbour regeling moeten we dat niet serieus nemen in het kader van de patriot act. Het College Bescherming persoonsgegevens heeft reeds gewaarschuwd dat dat niet helpt tegen de patriot act. Zie b.v. http://webwereld.nl/nieuws/111737/cbp--bedrijven-mogen-niet-vertrouwen-op-safe-harbor.html
Zie ook het verhelderende artikel van o.a. een jurist van het ministerie van VenJ (Ruud Leether): http://www.van-doorne.com/Global/Publicaties/2012/AG%20-%20USA%20Patriot%20Act%20Haaks%20op%20privacywetgeving%20EU_24%20mei%202012.PDF
Ook Microsoft heeft erkent dat zij gebruikers net kunnen vrijwaren tegen de patriot act: http://www.zdnet.com/blog/igeneration/microsoft-admits-patriot-act-can-access-eu-based-cloud-data/11225.
Doorslaggevend argument moet dus zijn dat CSC verklaart niet bij de data zelf te kunnen. Dat is b.v. het geval als zij uitsluitend de bewerkings-software of hosting leveren.

Als het hoofdkantoor van CSC in de US staat dan moet CSC meewerken aan verstrekken van gegevens aan US overheid indien die daarom vraagt. Een verklaring van CSC aan NL overheid, of welke andere garantie dan ook, heeft nul waarde omdat ze dan tegen de US wetgeving ingaan. Ik kan ook alles verklaren en garanderen, maar ik daarvoor niet gemachtigd ben is het dus onzin. Ook als CSC die garantie afgeeft en de US overheid eist de gegevens op dan moet CSC dat geven. De NL overheid zegt dan foei, deelt een dikke boete uit (goed voor de schatkiat), maar onze (mijn) gegevens zijn wel de grote plas over. Het zijn MIJN gegevens en alleen diegene die direkt er iets mee moeten mogen het gebruiken, de rest niet! Het lijkt allemaal wel een app voor een telefoon die meteen toestemming vraagt voor alles, met garantie die niet eens tot aan de deur komt. Ofwel je hebt geen nul idee of controle wat er met jouw gegevens gebeurt.

Jan Mendrik, het lijkt mij duidelijk dat als het CSC de data niet kan ontsleutelen ze strafbaar gesteld zullen worden door de Amerikaanse overheid. 'dat Nederland met de Verenigde Staten een bilateraal rechtshulpverdrag heeft dat, als het gaat om het uitwisseling van (digitale) gegevens, tot op EU-niveau is 'geagendeerd'.' Dit kan ook alleen maar eenduidig worden uitgelegd: ze gaat geen stroobreed in de weg liggen en alle burgers zijn criminelen, tot het tegendeel bewezen is.. Dit is ook de reden dat ik vanaf dag 1 erop tegen ben tegen het EPD, omdat ik niet geloof dat er in Nederland er de politieke wil is om privacy bescherming van de burger serieus te nemen.. Zulks in tegenstelling met bijv. landen als Duitsland.. En dat opsteller van de wet zich verschuilt achter de handhaver (CBP), is op z'n minst opmerkelijk te noemen..

Een verklaring als door de VZVZ naar eigen zeggen gevraagd van CSC kan dat bedrijf eenvoudig niet afgeven. Doet zij dat toch dan is die verklaring van nul en generlei waarde. Juist is wel dat Nederland en de VS een rechtshulp verdrag hebben gesloten op grond waarvan informatie als de onderhavige mogelijk ook kan worden verstrekt. Verschil is evenwel dat daartoe dan wel een officieel verzoek aan de Nederland moet worden gericht terwijl acties o.b.v. de Patriot Act zich volledig aan het zicht van de Staat onttrekken. Overigens doet ook het bouwen van een eigen ISP voor de uitwisseling van medische gegevens niets af aan de o.b.v. de PA en de VS constitutie (de laatste waar het gaat om VS jurisdictie) bestaande mogelijkheden.

Een paar opmerkingen.
- staar je niet dood op juridische zaken.
- Kijk naar ICT
* terecht wijst eerste reactie op dat toegang tot enkele gegevens lokaal ook andere kwetsbaar maakt
* is een systeem met meer dan 100.000 sleutels te vertrouwen (want dat is minimale aantal gebrukers)
* wat wordt de waarde van (alle) de opgeslagen gegevens? Dat bepaalt criminele belangstelling.
* zijn er geen slimmere oplossingen (eerder genoemd zijn chipkaart, dubbele sleutel etc)??

@Ruud : feitelijk niet relevant, maar laat dan de minister even haar verantwoordelijkheid nemen en verklaren dat het EPD-verstrekkingenregime zodanig is dat in het kader van bilaterale rechtshulp EPD-gegevens verstrekt kunnen worden. En dan hoor ik daarover ook graag nog even het CPB, dat door de minister zo nadrukkelijk naar voren geschoven wordt.

Onze overheid is na jaren van mislukte ict-projecten en andere beveiligingsprojecten (vb. fraudevrije paspoort) nog steeds niet wakker geworden.
Beveiligen via elektronica, wachtwoorden, enz. is nog nooit echt gelukt, zie de geregelde successen van hackers.

MIJN CONCLUSIE:
werkelijk belangrijke informatie mag nooit via internet beschikbaar kunnen komen!
Echter het gros van de mensen kijkt helaas alleen naar gemak, wat niet alleen geldt voor hen, MAAR ook voor de CRIMINEEL!

Wie kan mij antwoord geven op de volgende vraag: voor zover ik het heb begrepen kan men via LSP alleen dossiergegevens raadplegen zoals die bij de huisarts staan geregistreerd. Dat raadplegen is een momentopname. Als de huisartsenpost nu inkijkt, zien ze bijv. alleen gegevens van de laatste 4 maanden en een actuele episode/probleemlijst. Bij het huidige LSP wordt er toch buiten de huisarts om géén dossier vastgelegd? Of heb ik iets gemist? (in dat geval valt er door CSC niets vrij te geven aan de USA, mind you - ik zit NIET te wachten op een extern dossier in handen van een semi-Amerikaans bedrijf).

Even de feiten.
- Bestaande fouten zijn niet opgelost.
- Onduidelijke vraagstelling. Denk hierbij aan het te bereiken doel en alle rand-(voorwaarden).
- We dus weer van start (met gemeenschapsgeld) met een project wat nu al volledig is gebasseerd op aannames en/of afspraken waar geen duidelijke sancties tegenover staan.
- De uiteindelijke eigenaar wordt niet of nauwelijks geraadpleegd en eventuele afwegingen bij besluitvorming lijken althans niet relevant.
- Onze oosterburen zijn inmiddels veel verder met implementatie, wet en regelgeving. Ook daar trekken besluitvormers zich nog immer niets van aan en leveren ons straks voor veel geld opnieuw uitgevonden (vierkante) wielen.
- Wat zijn de gevolgen en de burgerrechten, mochten dossiers straks toch op straat liggen, hetzij in NL, Europa of op een andere willekeurig plek op deze aardkloot. Met of zonder gebruik van publieke infrastructuur, dit gaat onherroepelijk fout.
- Er is nog steeds niets geregeld vwb. de volgende casus: "Stel door een foutje heb ik volgens het EPD blinde darm meer. Wordt ik dan toch even snel en efficient geholpen bij een acute blinde darm onsteking. Of gaan de onderzoekers op zoek naar een andere oorzaak of wordt het een administratief drama.". "Stel ik weet dit van te voren, had ik het dan binnen afzienbare tijd uit het EPD kunnen verwijderen." Antwoorden zijn nog immer volmondig NEEN.
- Stel een werkgever of verzekering heeft op welke wijze ook inzicht gekregen tot mijn EPD, en ik lijdt hier schade door, op wie kan ik schade verhalen (binnen Nederland uiteraard).

DRAMA'S als gevolg van ambtelijke naïviteit en falen zullen wederom ten deel vallen aan velen, helaas.

@Jan H.- Ik neem aan dat u geen vermogensrekening had bij Lehman Brothers, die zouden goed op de centjes passen. Verder weten wij niet en worden deels in onwetendheid gehouden over wat er inmiddels allemaal al is gehacked en waar open deuren zijn gevonden. "HL7 ??" Nou en. "e.detifier2 ???" Nou en.. Dat laatste gaat toch ook mis. Wel een gehoord van Spyware op het werkstation van de gebruiker. Corruptie etc. etc. en dan???
En nu komt als antwoord, ja maar het ligt nu toch ook al vast. Inderdaad, maar het is niet via 1 systeem toegankelijk.

Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2012-12-27T00:19:00.000Z Rik Sanders
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.