overwegingen, invallen, inzichten en uitwerkingen
op persoonlijke titel
januari '97
L.Oberendorff
1.1 Aandacht
1.2 Schema's
1.3 Kwaliteit
1.4 Bevoegdheidsprofielen
1.5 Valkuilen bevoegdheidsprofielen
1.6 Opslag
1.7 Beveiliging
2. Acceptatie
2.1 Toestemming
2.2 Gebruikers
3. Overige aandachtspunten
3.1 Bewaartermijn
3.2 Beperkingen inzagerecht
3.3 Organisatorische indeling
3.4 Functionaris Privacybescherming
3.5 'Oude' gegevens
3.6 Interchange agreement
3.7 Correctierecht
3.8 Verschillende verstrekkingspolitiek
3.9 Standaardisatie
3.10 Ontbreken privacy-standaardisatie en verstrekkingspolitiek
Bijlage
Terminologie
In diverse recente stukken wordt gesproken van het Gemeenschappelijk te gebruiken Elektronisch Patiënten
Dossier (voortaan afgekort als GEPD), in plaats van Regionaal Elektronisch Medisch Dossier. Om verwarring
te voorkomen sluit ik me bij deze terminologie aan.
1. Exclusiviteitswaarborgen
Door middel van autorisatie poogt men de exclusiviteit van informatie te waarborgen.
Met exclusiviteit wordt bedoeld het voorbehouden van gegevens aan een beperkte groep mensen.
Niet alleen inzage in gegevens wordt voorbehouden, maar ook mutatie van gegevens.
Autorisatie kan worden onderverdeeld in:
I
.
het omschrijven van bevoegdheden met betrekking tot bepaalde informatie (ook wel functionele
autorisatie)
II
.
het voorkomen van ontsluiting buiten die bevoegdheden om (hier voortaan 'beveiliging')
1.1 Aandacht
Veel van de aandacht voor privacy gaat uit naar punt II: het beveiligen van systemen tegen ontsluiting buiten
de omschreven bevoegdheden om. Versleuteling (encryptie) en toegangsbeveiliging zijn daarbij hoofdzaak.
Met toegangsbeveiliging probeert men vast te stellen of degene die zich identificeert als een bepaalde
gebruiker ook daadwerkelijk die gebruiker is (authenticatie). Met geavanceerde middelen als biometrische
toegangsbeveiliging en chipcards kan deze identiteit met grote zekerheid worden vastgesteld. Het is het
systeem dan duidelijk door wie het wordt gebruikt. Dan wordt bekeken welke bevoegdheden (punt I.) deze
gebruiker heeft met betrekking tot aanwezige gegevens. En hier knelt de schoen. De daadwerkelijke
exclusiviteitswaarborging is voor een belangrijk deel gebaseerd op de omschrijving van die bevoegdheden. Het
is de vraag 'hoe', en 'hoe nauwkeurig' deze kunnen worden omschreven. Daarbij is ook van belang welke
norm de wet stelt, welke norm medisch verantwoord is en wat praktisch haalbaar is. Verder moeten de
bevoegdheidsomschrijvingen kunnen 'grijpen op' de aanwezige data. Dergelijke vragen behoeven intensief
onderzoek.
Dat de aandacht zich toespitst op het beveiligingsdeel (II) doet vermoeden dat hulpverleners impliciet
genoegen nemen met een relatief grofmazige uitwerking van bevoegdheden ten aanzien van informatie. Het
lijkt erop dat men al in ruime mate tevreden is wanneer de beveiliging ervoor zorg draagt dat alleen
hulpverleners toegang tot aanwezige informatie hebben.
In weze komt dat neer op een bevoegdheidsprofiel met daarin slechts de vraag: "Is degene die zich aanmeldt
hulpverlener?".
Een dergelijke houding kan voortvloeien uit de door Leenen aangehaalde1 wijdverbreide misvatting dat artsen
het beroepsgeheim onderling minder nauw hoeven te nemen.
Verder zou men ook van mening kunnen zijn dat beroepsgeheim binnen de informatiesamenleving gaandeweg
een andere betekenis en inhoud krijgt. Dit kan echter niet zonder heldere, fundamentele discussie2.
Wanneer het slechts blijft bij ontwikkeling van het beveiligingsaspect vindt deze overgang mede onder
technologische druk geruisloos plaats. Het is echter goed te beseffen dat hierin keuzes kunnen worden
gemaakt. De techniek maakt het mogelijk veel gegevens relatief goedkoop vast te leggen voor toekomstige
ontsluiting (bijvoorbeeld in andere instellingen), diezelfde techniek maakt het niettemin ook mogelijk
gegevens gedetailleerd af te schermen. Dat de nadruk slechts op het eerste komt te liggen is een duidelijke
beleidsbeslissing, of zou dat moeten zijn. Immers dan zijn niet alleen de mensen die deze beslissing nemen,
maar ook de buitenwereld van de strekking en de gevolgen doordrongen. De kans dat daarbij de eerder
genoemde fundamentele maatschappelijke discussie ontstaat is niet ondenkbeeldig3.
Voorlopig echter schrijft de wettelijke norm een veel specifieker bevoegdheidsprofiel voor.
Daarbij denk ik dat een uithollende heroriëntatie op de invulling van het beroepsgeheim voor een belangrijk
deel kan worden voorkomen door gebruik te maken van mogelijkheden die ICT biedt voor het specificeren van
bevoegdheden t.o.v. medische data.
"De normen veranderen niet door de komst van ICT, wel de wijze van invullen ervan."4
Wanneer men van mening is dat beroepsgeheim binnen de informatiesamenleving een andere betekenis en
inhoud heeft doet men m.i. het tegenovergestelde. Men sleutelt aan de norm terwijl de aandacht gericht zou
moeten zijn op de wijze waarop de norm met behulp van ICT kan worden ingevuld. Dat komt ondermeer
doordat ICT aanlokkelijke mogelijkheden heeft die men onder druk van privacyoverwegingen moet laten
vallen (zie verderop onder "Inleveren op functionaliteit").
1.2 Schema's
Als hulp voor de gedachtevorming zijn verschillende schema's opgenomen.
Zij schetsen de invloed van een autorisatiestructuur op pogingen tot inzage.
In figuur 1 wordt de huidige papieren situatie geschetst.
Figuur 2 stelt de ideale situatie voor.
Figuur 3 stelt een praktisch haalbare situatie voor. Een GEPD afgeschermd m.b.v. ICT.
Figuur 4 schetst het gevaar wanneer een autorisatiestructuur te veel afschermt.
In elk figuur:
.
Stellen A tm. H verschillende medische dossiers voor. Elk dossier is tot aan de bovenkant van het
schema gevuld met gegevens. Elke zwarte staaf stelt een poging tot inzage in dat dossier voor. Hoe
hoger de staaf, des te meer gegevens uit dat dossier iemand poogt in te zien. De rangschikking van de
gebeurtenissen A tm. H is willekeurig.
.
Geeft de normlijn (rode stippellijn) aan tot hoever inzage wettelijk geoorloofd is5.
De rode lijn en de zwarte staven lopen in elk figuur hetzelfde.
Wat veranderd is de loop van de gele autorisatielijn.
Daardoor verandert ook de omvang en de betekenis van verschillende velden. De betekenis van een veld wordt
aangegeven met een omschrijving en een pijl. Wanneer de betekenis van een veld in een figuur ten opzichte
van het figuur daarvoor veranderd is, dan wordt dat in het blauw aangegeven.
Figuur 1.
In figuur 1 wordt de werkwijze geschetst bij een papieren klinisch dossier binnen een algemeen ziekenhuis.
De autorisatielijn geeft aan in hoeverre inzage wordt geweigerd.
Kenmerkend voor de papieren situatie is dat de autorisatielijn slechts twee extremen kent. Verstrekking van
het gehele klinische dossier -of- totaal géén verstrekking.
Dat resulteert òf in inzagemogelijkheid tot alle gegevens (A tm. F), òf in totaal geen inzage (G+H).
In de tekening: -bij verstrekking van het gehele dossier loopt de gele lijn hoog: er wordt geen inzage
geweigerd.
- bij totaal géén verstrekking loopt de lijn laag: de inzageweigering is maximaal.
De loop van de normlijn geeft aan in hoeverre inzage wettelijk geoorloofd is.
De combinatie van normlijn, autorisatielijn en inzagepoging resulteert voor de onderscheiden gevallen6:
-D en E. In deze situatie bestaat toegang tot het gehele dossier. De inzage die plaats vindt is legitiem (veld
"Gerealiseerde normconforme inzage"). Inzage in de rest van het dossier was eveneens legitiem geweest7 (veld
"Potentiële normconforme inzage").
-A en B. In deze situatie bestaat eveneens toegang tot het gehele dossier. De inzage die plaats vindt is
gedeeltelijk legitiem (veld "Gerealiseerde normconforme inzage"), gedeeltelijk ook niet (veld "Gerealiseerde
normovertreding"). Het gedeelte boven de normlijn wordt eigenlijk teveel verstrekt: een te voorkomen8
privacyinbreuk. Er bestond de mogelijkheid nòg meer gegevens zonder noodzaak in te zien9 (veld "Potentiële
normovertreding").
-C. Ook hier bestaat weer toegang tot het gehele dossier. De inzage die plaats vind is legitiem ("veld
Gerealiseerde normconforme inzage"). Verdere inzage was gedeeltelijk legitiem geweest (veld "Potentiële
normconforme inzage") . Daarnaast bestond eveneens de mogelijkheid gegevens zonder noodzaak10 in te zien
(veld "Potentiële normovertreding").
-F. Er bestaat toegang tot het gehele dossier. Van de wet had er echter in het geheel geen inzage mogen
worden verleend. De autorisatiestructuur verhinderd deze inzagepoging echter totaal niet11. Inzage vindt tot het
maximale plaats (veld "Gerealiseerde normovertreding).
-H. Hier wordt géén dossier verstrekt. Dat is terecht, de norm verbiedt welke verstrekking dan ook aan de
aanvrager (veld "Inzage ontzegging: normovertreding voorkomen"). Dit had ook in geval F moeten gebeuren.
-G. Ook hier wordt geen dossier verstrekt. Het inzage verzoek wordt niet gehonoreerd doordat het dossier niet
wordt uitgereikt. Een gedeelte van het dossier had echter mogen worden ingezien (veld "Inzage ontzegging:
verhindering normconforme inzage"). Dit is een gevaarlijke situatie. Inzage kan immers dringend nodig zijn.
Het is dan ook de vraag of dit een in de papieren praktijk vaak voorkomende situatie is. Meestal wordt aan
iemand die bevoegd is een gedeelte van het dossier in te zien immers het gehele dossier uitgereikt. Dat hij
daardoor veel meer gegevens in handen krijgt dan nodig wordt dan voor lief genomen.
Het is echter denkbaar dat mensen die maar een beperkt aantal gegevens nodig hebben toegang wordt ontzegd
omdat men ze (praktisch gezien) slechts het gehele dossier kan meegeven.
Figuur 2.
In figuur 2 wordt de ideale situatie geschetst. Hierbij kunnen hulpverleners inzien wat ze moeten inzien, en
wordt verdere of andere inzage ontzegd. De informatie komt alleen terecht bij mensen die de informatie ook
nodig hebben, waardoor de privacy van de patiënten optimaal wordt gewaarborgd. De gele autorisatielijn loopt
samen met de roodgestippelde normlijn: Daar waar de wet zegt dat verstrekking niet mag plaatsvinden12 wordt
inzage door de autorisatiestructuur ontzegd.
Figuur 3.
Een autorisatiestructuur voor een GEPD kan gebruik maken van diverse mogelijkheden die ICT biedt.
Daardoor kan de autorisatielijn veel dichter bij de normlijn komen te liggen dan bij het papieren dossier het
geval is. Hoe dichter de autorisatielijn de normlijn nadert hoe beter13: richting ideaal (figuur 2). Geheel
aansluiten zal om praktische redenen echter niet lukken14. Daardoor blijven in beperkte mate
normovertredingen mogelijk (-G: veld "Potentiële normovertreding") en worden deze in beperktere mate ook
gerealiseerd (-A veld: "Gerealiseerde normovertreding").
Figuur 4.
Het gevaar van een te strenge autorisatiestructuur is dat deze legitieme inzage kan ontzeggen (-D: veld
"Inzage ontzegging: potentiële verhindering normconforme inzage"). Daar waar een hulpverlener die
informatie ook daadwerkelijk wil inzien (-D: veld "Inzage ontzegging: verhindering normconforme inzage")
kan dit gevolgen hebben. Immers de hulpverlener wordt informatie onthouden die hij nodig heeft voor de
behandeling.
Bij het ontwerpen van een autorisatiestructuur voor een GEPD zal er voor moeten worden gewaakt dat deze
geen normconforme inzage gaat ontzeggen (gele autorisatielijn onder roodgestippelde normconforme lijn).
Daarnaast is niettemin duidelijk dat het autorisatie 'plafond' (gele autorisatielijn) omlaag moet. Wanneer het
gaat om zoveel gevoelige gegevens van zoveel verschillende mensen die op zoveel verschillende plaatsen
opvraagbaar zijn kan men zich niet meer dezelfde vrijheden permitteren als bij het papieren traject.
De uitgebreide autorisatiestructuur stuit op weerstanden van hulpverleners, daarbij wordt vaak het argument
gebruikt dat een hulpverlener niet bij informatie kan die hij nodig heeft (zoals geschetst in figuur 4).
M.i. kan het autorisatie 'plafond' echter in ruime mate omlaag zonder (figuur 3) dat er gevaarlijke situaties
zoals in figuur 4 ontstaan. Dat daarbij door de gebruiker extra handelingen moeten worden verricht is
onvermijdelijk. Een groot deel van de weerstand heeft volgens mij te maken met deze extra werklast.
Gebruikers moeten inzien dat dit een onontkoombaar aspect is van een GEPD (zie verderop onder
"Gebruikers-inleveren op functionaliteit").
1.3 Kwaliteit
Exclusiviteit van gegevens door uitwerking van bevoegdheids-profielen(I) en beveiliging(II) is niet alleen van
waarde voor privacy bescherming in 'enge zin'(confidentiality bij inzage), maar ook voor
kwaliteitsbewaking(integrity bij mutatie). De kwaliteit van de opgeslagen gegevens is van cruciale betekenis
voor de kwaliteit van het systeem en de op deze informatie gebaseerde gezondheidszorg15. Een systeem waarin
een grote mate van gedistribueerde gegevens-be-werking plaatsvindt kan niet zonder een nauwsluitende
veranderingsbevoegdheids-structuur.
Om een voorstelling te maken kunnen we ons de zwarte staven uit de figuren 1 tm. 4 nu als mutatiepoging (in
plaats van een inzagepoging) voorstellen.
De maatregelen die je moet nemen om ervoor te zorgen dat informatie alleen door bevoegden kan worden
veranderd kunnen ook worden gebruikt voor controle op inzage. Met andere woorden de inzage autorisatie kan
deels gebouwd worden op dezelfde 'faciliteiten' als de mutatie autorisatie. Ik zeg met opzet gedeeltelijk. Men
zou kunnen suggereren dat mutatiebevoegdheid met inzagebevoegdheid kan worden gelijkgeschakeld in die
zin dat zonder inzagebevoegdheid in ieder geval geen mutatie kan plaatsvinden. Dat is waar, maar de
uiteindelijke specifiteit van de bevoegdheidsprofielen blijkt echter telkens te worden veroorzaakt door
privacyoverwegingen, zij nopen tot een nog verdere uitwerking van de bevoegdheids-profielen dan de
kwaliteitseisen16. Anders gezegd 'integrity' vereist een minder verstrekkende bevoegdheidsprofielen-structuur
dan 'confidentiality'. Voor wat betreft integrity speelt voornamelijk een rol of en wat voor hulpverlener een
gebruiker is, en of hij met een patiënt een behandelrelatie heeft17.
Dit onderscheid maak ik omdat instellingen de neiging hebben meer gewicht toe te kennen aan het
integriteitsbelang dan aan het privacybelang. Terecht, aangezien deze integriteit nog directer ten koste gaat
van de algemene kwaliteit van de zorg. Helaas komt de, door het privacybelang gedicteerde, verdere
uitwerking van de bevoegdheden er dan vaak bekaaid van af.
1.4 Bevoegdheidsprofielen:
In het eindrapport18 wordt aangegeven op welke factoren de bevoegdheidsprofielen moeten zijn toegesneden.
Logischerwijs volgen uit de wettelijke voorschriften:
persoon patiënt
behandelrelatie
persoon hulpverlener
functie hulpverlener
specialisme hulpverlener
rol hulpverlener binnen het behandelteam van de patiënt
soort/aard behandeling
WGBO of BOPZ behandeling
toestemming patiënt (eenmalig gebruik/opslag/hergebruik19)
toestemming anderen
expliciet toevertrouwd
anderen
organisatie
Op grond hiervan kunnen de volgende bevoegdheden worden toegekend:
wijzigen(=aanvullen20), inzien, verwijderen en printen
Deze deelaspecten spelen vaak tegelijkertijd en grijpen in- en op elkaar.
Zo kan een ander informatie over de patiënt geven waarbij hij verdere verstrekking aan derden voorbehoudt.
Verder grijpen een aantal aspecten 'meer op het gegevensinhoudelijke' dan andere.
Zo geeft het aspect 'behandelrelatie' aan of een bepaalde hulpverlener überhaupt wel een behandelrelatie heeft
met een patiënt. Die vraag is makkelijker te beantwoorden dan tot welke informatie, op grond van de 'aard
van de behandeling', toegang wordt gegeven.
Het antwoord op de laatste vraag vergt medische kennis.
Een stap in de richting kan zijn het splitsen van gegevens in archief en werkgegevens. Daarnaast kan bij het
archiveren ook een kerndossier worden gecreëerd:
Wanneer een patiënt voor de eerste maal wordt opgenomen worden gegevens opgeslagen als werkgegevens.
Tijdens deze eerste behandeling werkt men met die werkgegevens-set. Aan het eind van de behandeling wordt
bezien welke gegevens daarvan in de toekomst van belang kunnen zijn. Een gedeelte van de werkgegevens
wordt weggegooid en de rest vormt het kerndossier21 dat wordt gearchiveerd. Bij de samenstelling van dat
kerndossier houdt de daarvoor verantwoordelijke (waarschijnlijk de hoofdbehandelaar) de vraag voor ogen:
"Welke gegevens zijn mogelijkerwijs noodzakelijk voor de door hulpverleners bij een nieuwe behandeling te
verrichten werkzaamheden.". Wanneer de nieuwe behandeling zich aandient is duidelijker welke gegevens
voor die behandeling noodzakelijk zijn. De werkset voor die behandeling is dus een selectie uit de
gearchiveerde gegevens. Zo wordt de informatie beschikbaar gesteld op grond van de 'aard van de
behandeling'.
1.5 Valkuilen bevoegdheidsprofielen
Noodzakelijk pas achteraf.
De hulpverlener is degene die de zeer vertrouwelijke gegevens in eerste instantie worden toevertrouwd. Hij is
dan ook degene die, met inachtneming van zijn beroepsgeheim, na toestemming van de patiënt, bepaalt in
hoeverre ze aan anderen in het kader van de behandeling worden verstrekt. Hij is degene die anderen m.b.t.
bepaald informatie autoriseert/bevoegdheden geeft. Met name aan de hoofdbehandelaar wordt hieromtrent, ook
in het eindrapport, een grote verantwoordelijkheid toebedeeld. Hij heeft een initiërende functie. Dat betekent
dat deze in principe toegang heeft tot haast alle vastgelegde archief-gegevens van haast alle patiënten. Het is
de vraag hoe het best kan worden gecontroleerd of hij geen misbruik maakt van die macht, met andere
woorden of degene waarvan hij informatie opvraagt ook een patiënt is waarmee hij op dat moment een
behandelrelatie heeft, of mogelijkerwijs gaat krijgen. Een oplossing zou kunnen liggen in het splitsen van
bevoegdheden: een administratieve kracht die geen toegang heeft op gegevens inhoudelijk niveau initieert de
behandelrelatie. Daarna kan de hoofdbehandelaar die slechts gegevensinhoudelijk toegang heeft (en dus geen
'behandelrelatie' kan initiëren in de zin van zichzelf toegang verschaffen tot alle opgeslagen gegevens), die
gegevens uit het medisch verleden van de patiënt selecteren die hij voor de huidige behandeling noodzakelijk
acht.
Verder moet de hulpverlener bepalen welke gegevens noodzakelijk zijn voor zijn werkzaamheden. Dat
impliceert toegang tot meer gegevens (zie noot 7). Hij zal gegevens zelf op belang willen selecteren. In
bepaalde mate zal hij dat ook moeten kunnen. De hoofdbehandelaar doet dat uit de grotere groep: medisch
verleden (de opgeslagen kerndossiers: het archief). Een andere hulpverlener zal uit zijn doorsnede22 van de
door deze hoofdbehandelaar gecreëerde 'werkset' gaan selecteren.
Administratieve functies
Voor hulpverleners kan de bevoegdheid worden toegesneden op behandelrelatie. Dat geldt ook voor die
administratieve krachten die de hulpverlener direct ondersteunen. Zo kunnen de bevoegdheden van een
secretaresse23 van een arts, worden gekoppeld aan de behandelrelaties van die arts. De secretaresse kan dan de
gegevens van die patiënten die de arts niet behandeld überhaupt niet in zien24.
Voor andere meer algemene administratieve functies kan de autorisatie niet gebaseerd worden op zorgrelatie.
Die is er namelijk niet. Er moet voor worden gewaakt dat de administratie hierdoor ongelimiteerd toegang
kan krijgen tot gegevens. Het systeem zou dan voor een hulpverlener 'mooi dicht' zitten, terwijl de
administratie 'overal' bij kan. De overige bevoegdheden die dergelijke medewerkers t.o.v. informatie hebben
moeten daarom worden beperkt. De taak die bijvoorbeeld de Medische Administratie heeft legitimeert geen
'totale toegang'. In het huidige papieren traject controleren zij onder andere of een hulpverlener het dossier
volledig heeft ingevuld. Programmatuur zou een zelfde signalerende functie kunnen herbergen. De invoering
van een GEPD kan dus voor verschillende instellingsonderdelen een heroriëntatie op hun functie met zich
meebrengen25.
Wat ook kan meehelpen aan betere waarborgen is het splitsen van bevoegdheden in meerdere categorieën.
Bevoegdheden die betrekking hebben op gegevensinhoud (gegevensbeheer) naast bevoegdheden die
betrekking hebben op het uitdelen van bevoegdheden (sleutelbeheer) aan anderen. Het uiteentrekken van deze
bevoegdheden en ze vervolgens toekennen aan verschillende personen verkleint de kans op mis- of
wangebruik. Een dergelijke uiteentrekking is niet voor elke gebruiker te realiseren, sommige gebruikers
moeten over beide soorten bevoegdheden beschikken. Toch heeft deze werkwijze op belangrijke punten een
grote waarde (zie hiervoor "Noodzakelijk pas achteraf").
Praktisch
Het gevaar bestaat dat aan de hulpverlener toegekend sleutelbeheer en/of gegevensbeheer wordt overgedragen
aan administratieve krachten. Hulpverleners zitten vaak niet op deze extra werkdruk te wachten. Wanneer
sleutelbeheer onder verantwoordelijkheid van de hulpverlener door een administratief medewerker wordt
uitgevoerd brengt dat minder gevaar met zich mee dan wanneer diezelfde medewerker gegevensinhoudelijke
bevoegdheden voor de hulpverlener gaat uitvoeren. Het behoort in eerste instantie de hulpverlener te zijn die
informatie bijvoorbeeld als uitermate vertrouwelijk classificeert.
Systeembeheer
Het systeembeheer heeft nu meestal toegang tot alle informatie. Op grond van de hoeveelheid gevoelige
gegevens van zoveel verschillende mensen moet worden bekeken in hoeverre deze mogelijk kan worden
beperkt. Het is de vraag in hoeverre systeembeheerders inzage en mutatiebevoegdheden moeten hebben t.a.v.
medisch informatie (heroriëntatie functie). Wellicht kan toegang door systeembeheer worden voorkomen door
bijvoorbeeld versleutelde opslag.
Over het overdragen van rechten
Een systeem dat bij functionele autorisatie vaak wordt gebruikt is het overdragen van rechten. Is de ontvanger
van die rechten op zijn beurt weer in staat die rechten door te geven? Kan de doorgever de overdracht
intrekken? Wat gebeurt er dan met de door de eerste ontvanger doorgegeven rechten? Wordt de doorgifte
gelogd? Is er sprake van zuivere overdracht of behoudt de 'doorgever' zijn rechten?
Bij een dergelijk systeem is hoofdregel dat iemand in ieder geval nooit meer bevoegdheden kan doorgeven dan
hij zelf heeft. Dat is geen bezwaar wanneer het om gelijksoortige bevoegdheden gaat. Hierboven werd echter
duidelijk (uiteen trekken bevoegdheden) dat het geven van soorten bevoegdheden die men zelf niet mag
uitoefenen niet per definitie bezwaarlijk hoeft te zijn. Zo werkte het geven van gegevensinhoudelijke toegang
aan een hoofdbehandelaar door iemand van de administratie (die zelf deze gegevensinhoudelijke toegang nooit
kan uitoefenen) privacy beschermend.
Koppeling naam/functie
Er moet worden uitgekeken met de veronderstelling dat een persoon bij één functie hoort. Het blijkt dat één
persoon in verschillende hoedanigheden kan optreden. Ook kan het zijn dat een en dezelfde hulpverlener later
in een andere hoedanigheid optreed t.o.v. een patiënt. Heeft hij dan de bevoegdheden t.o.v. een patiënt op
grond van beide hoedanigheden?
Hoe zit dat met uitzend/oproepkrachten? En andere 'zwevende' hulpverleners?
Crisis scherm
Er bestaat de behoefte aan een crisisscherm binnen de programmatuur voor een GEPD. Van de opgenomen
patiënten kan dan een aantal gegevens worden ingezien zonder dat een behandelrelatie behoeft te worden
ingesteld (voor veel handelingen ontbreekt de tijd a.g.v. een noodsituatie).
Het verdient aanbeveling bij het gebruik van het crisisscherm een tekstveld voor verantwoording van het
gebruik van die functie te reserveren. Daarnaast is het de vraag of alle beveiliging mag worden doorbroken in
een noodsituatie. Is dat inclusief de afscherming van gegevens waarbij anderen voorbehoud hebben gemaakt?
En inclusief uitdrukkelijk toevertrouwde informatie?
Informatiebehoeften
Bij het ontwerpen van functionele autorisaties merken instellingen dat men vaak geen idee heeft wie, wanneer,
welke gegevens nodig heeft voor een behandeling. Dat komt omdat in het papieren traject vaak toegang
bestond tot het gehele dossier (zie figuur 1). Het in kaart brengen van de informatiestromen binnen de
instellingen die een GEPD gaan gebruiken is een logische eerste stap. Op grond van dergelijke behoeften
kunnen software-producteisen worden opgesteld en later ook de functionele autorisaties worden ingedeeld.
'Grijpen' op informatie
Om de functionele autorisaties te laten grijpen op de aanwezige informatie is de manier waarop deze wordt
gestructureerd en opgeslagen van belang. Ze moeten op een 'kleine korrel' kunnen werken.
Het is de vraag of beveiliging op veldniveau toereikend is. In het eindrapport wordt eigenlijk
bevoegdheidsspecificatie op gegevens niveau aanbevolen. Het is niet duidelijk of dat ook technisch en
praktisch haalbaar is. Het gaat er echter in wezen niet om hoe de vereiste bescherming wordt verwezenlijkt
maar òf die wordt verwezenlijkt. Wellicht kan met het gebruik van speciale velden (bijvoorbeeld: "uitdruk
kelijk toevertrouwd" en "anderen-uitdrukkelijk toevertrouwd") eenzelfde bescherming worden geboden. Of een
dergelijke oplossing te grofmazig is zal uit nader onderzoek moeten blijken.
1.6 Opslag
Historische database
De logging van mutatie van gegevens verdient speciale aandacht. Een dergelijke functie is onontbeerlijk. Er
zal moeten kunnen worden nagezocht wie wat veranderde, maar ook wat er daarvoor stond. Zo kan er bij
eventuele schade en controle worden nagezocht wie wanneer wat opschreef. Deze gegevens mogen niet door
mutatie kunnen verdwijnen.
Anderen
In medische dossiers en vooral in psychiatrische dossiers komt ook veel informatie m.b.t. anderen dan de
patiënt26 voor. Informatie door anderen gegeven over de patiënt, zichzelf of andere personen, of door de
patiënt gegeven informatie over anderen. Deze anderen zouden bijvoorbeeld kunnen zijn: de ouders, voogd of
leerkracht van de patiënt. Dient deze informatie in het dossier te worden opgeslagen en steeds te worden
verstrekt? Het systeem moet voorzien in mogelijkheden om restricties t.a.v. dergelijke gegevens aan te geven.
Dat betekent ook dat aanwezige data m.b.t. anderen als zodanig moet zijn te herkennen.
Het niet merken van informatie als zijnde informatie van anderen heeft tot gevolg dat wanneer die informatie
in het (kern)dossier wordt opgenomen deze door het systeem niet meer als zodanig te herkennen is. Ze kan
dan ook nooit meer als zodanig gefilterd worden. Dat kan tot consequentie hebben dat men gegevens niet aan
derden kan verstrekken. Dat zou immers een onevenredig grote inbreuk op de privacy van die ander kunnen
zijn.27 Het ligt dan ook in de rede informatie m.b.t. anderen altijd als zodanig te merken.
1.7 Beveiliging
De exclusiviteit van informatie hing naast de definitie van bevoegdheden ook af van de beveiliging tegen
toegang buiten deze bevoegdheden om28:
Logboek
Het logboek is een repressief middel (waarvan eveneens een preventieve 'afschrikkende' werking uitgaat):
controle achteraf op de rechtmatigheid van gegevensverwerking. Deze informatie is niet alleen van belang
i.v.m. de privacybescherming maar ook met aansprakelijkheid29 en kwaliteitsbewaking.
Wettelijk voorgeschreven opslag van gegevens30 Zie blz.28 eindrapport. 31Zie verderop onder "Correctierecht".32 in een logboek en de aanbevolen opslag van gegevens33
resulteert in enorme log bestanden. Actieve controle op grond van de gegevens in het bestand wordt daardoor
moeilijk, het verdient daarom aanbeveling de log gegevens die mogelijkerwijs met misbruik te maken hebben
te scheiden van de reguliere login gegevens door middel van bijvoorbeeld een apart log-bestand of door ze
makkelijk opspoorbaar te maken. Zo zijn verstrekkingen die gedaan zijn via de achterdeur 'noodtoestand' altijd
verdacht en er zal standaard verantwoording voor moeten worden afgelegd (zo mogelijk binnen de GEPD
programmatuur zelf). Op een dergelijke manier wordt een efficiënte en effectieve controle met behulp van de
log bestanden mogelijk.
Identificatie & Authenticatie
Om slechts volgens de bevoegdheidsprofielen te ontsluiten moet eerst aan het systeem kenbaar zijn wie
informatie opvraagt (identificatie), daarna moet gecontroleerd worden of degene die
zich als een hulpverlener
kenbaar maakt ook inderdaad die hulpverlener is (authenticatie). Normaliter wordt voor de identificatie de
naam of login gebruikt, en voor authenticatie een bijbehorend wachtwoord.
Vraag is of een systeem dat valt in een categorie uit het beveiligingsrapport34 van de Registratiekamer die de
zwaarste vorm van beveiliging behoeft35, kan volstaan met een dergelijke eenvoudige procedure.
"The nature of communications networks today makes the continued reliance on traditional, reusable
passwords for user authentication totally unacceptable."
- Computer Security Institute, San Francisco, California
"As you look at different (security) solutions, be realistic.... Sooner or later, your weakest link is someone who
works for you, not the hardware and software."
- Marcus Ranum, DEC SEAL Internet Firewall Architect
Vandaar dat in het rapport de mogelijkheid van een fysiek hulpmiddel (token) wordt aangegeven. Bij het gebruik van een "token" kan men bijvoorbeeld denken aan een chipkaart die de hulpverlener identificeert en
authenticeert36 en eveneens de sleutel bevat voor het ontcijferen van de gecodeerde gegevens 'aan de terminal'.
Deze zou de hulpverlener dan naast een wisselend password kunnen gebruiken. Gegevens blijven slechts
leesbaar op de terminal wanneer de kaart is ingevoerd.
Een dergelijke kaart zou een zeer belangrijke bijdrage aan de privacybescherming leveren, praktisch gezien
vormt ze een ideale combinatie tussen gebruiksgemak en bescherming.
Waarborgen exclusiviteit
In hetzelfde rapport beschrijft de Registratiekamer duidelijk welke gevolgen de inschaling in deze catatonie
heeft. Hierbij noemt zij niet slechts aspecten die te maken hebben met beveiliging pur sang maar richt haar
aandacht op het meer algemene: waarborgen van exclusiviteit.
Ik wil er hier enkele uitgebreid noemen.
Allereerst t.a.v. de beveiliging:
I. De toegangscontrole:
- Er moet een beperking worden gesteld aan het aantal keren dat onbevoegd wordt geprobeerd toegang
te krijgen tot een registratie. Afwijkingen moeten worden gesignaleerd en onderzocht (=>logboek).
- Bij het verkrijgen van toegang dient de fysieke plaats van de gebruiker zo nauwkeurig mogelijk
geïdentificeerd en gecontroleerd te worden.
- De toegang tot lokaties waar toegang tot de persoonsregistratie kan worden verkregen moet worden
gecontroleerd en worden beperkt tot personen die bevoegd zijn.
- Het bevoegd gebruik is afhankelijk van meer dan alleen user-id en wachtwoord; maar ook van het
tijdstip, de plaats van handelen en de technische omgeving. Hiernaast dient een additionele identifi
catie en authentificatie procedure plaats te vinden. De procedure voor het eenduidig vaststellen van de
authenticiteit van de gebruiker kan het gebruik van fysieke middelen (tokens) vereisen.
- Een registratie van verleende toegang dient te waarborgen dat de verantwoordelijkheid van de gebrui
ker voor de uitgevoerde handelingen achteraf eenduidig vastgesteld kan worden (=>logboek).
II. Het vastleggen van handelingen van de gebruikers:
- De toegang tot een persoonsregistratie dient te worden vastgelegd, evenals het vastleggen van een
aanduiding van de gegevens die zijn bevraagd of bewerkt. De vastgelegde gegevens dienen
regelmatig met de toegekende bevoegdheidsprofielen te worden vergeleken (=>logboek).
III. Het gebruik van randapparatuur en beeldschermen:
- Er mag alleen worden gewerkt met randapparatuur die onder direct toezicht van de betreffende
medewerker staat.
- Alleen op beeldschermen die daarvoor expliciet zijn aangewezen mogen persoonsgegevens
opgevraagd worden.
- De gegevens mogen niet langdurig op het beeldscherm zichtbaar zijn.
IV. De in- en uitvoer van gegevens en de datacommunicatie:
- Gegevens dienen zodanig te worden getransporteerd en beschikbaar te worden gesteld, dat uitsluitend
de gerechtigde ontvanger de uitvoer kan interpreteren: gegevens dienen versleuteld te worden verzon
den. De gebruikte encryptie-technieken mogen geen risico's inhouden voor onbevoegde ontsluiering.
- De juiste identiteit van de betrokken zend- en ontvangstpunten bij het opzetten van een verbinding
met de centrale databank dient verzekerd te zijn (terugbelsystemen, terminal identificatie).
- Gegevens over wie wat in bezit heeft of heeft gehad moeten worden vastgelegd (=>logboek).
En als laatst t.a.v. het bevoegdheidsprofiel:
V.
- De houder dient een procedure vast te leggen voor het verstrekken, uitvoeren en controleren van de
toegang tot, en het gebruik van, de persoonsregistratie. Gewaarborgd dient te zijn, zowel in de
organisatie als in de geautomatiseerde voorzieningen, dat de toegekende bevoegdheid volledig en juist
in de toegangscontrole is geïmplementeerd. De houder moet vast kunnen stellen of de vereiste toe
gangscontrole effectief functioneert.
- Een bevoegdheidsprofiel dient zo nauwkeurig mogelijk te worden samengesteld en op een minimale
verzameling van bevoegdheden betrekking hebben. Bij ontslag, vertrek, wijziging van functie of bij
verlies van bevoegdheid om andere redenen moeten de bevoegdheden aan de functionaris met
onmiddellijke ingang worden ontnomen.
- Van personeel van derden dient voor het definiëren van bevoegdheden dezelfde procedure als voor het
eigen personeel te worden toegepast.
- Alle toegekende bevoegdheidsprofielen dienen per persoon schriftelijk te zijn vastgelegd.
- Iedere werknemer die een bevoegdheidsprofiel krijgt toegewezen dient een aparte
geheimhoudingsverklaring te ondertekenen. Disciplinaire maatregelen dienen te worden opgesteld
voor nalatigheid en schending van de geheimhoudingsplicht. Voor personeel van derden dient de
geheimhouding contractueel te worden vastgelegd.
- Een bevoegdheidsprofiel is slechts geldig voor een van tevoren vastgestelde periode. Vervolgens kan,
indien nodig, opnieuw een bevoegdheidsprofiel worden toegekend. Op basis van het
bevoegdheidsprofiel en de vastlegging van het gebruik kan de betreffende persoon achteraf
verantwoordelijk worden gesteld voor het gebruik dat is gemaakt van het bevoegdheidsprofiel
(=>logboek).
Daar wil ik zelf aan toevoegen:
Ad. III. -Domme terminals
Met 'domme' terminals37 zonder diskettestation is de kans op lekken (en virussen) aanzienlijk kleiner
dan bij pc's met harddisk, knip en plakfuncties, en diskettestation (zie verder "Gebruikers - Inleveren
op functionaliteit")
-Het Printen van gegevens
De mogelijkheid tot uitprinten van gegevens moet worden beperkt. Het mag niet zo zijn dat hierdoor
een oncontroleerbaar aantal kopieën ontstaat. Er kan gedacht worden aan het beperken van de
mogelijkheid tot bepaalde personen of functies, en aan een beperkt aantal kopieën welke na een
bepaalde tijd moeten worden vernietigd38. Wanneer door wie welke uitdraai is gemaakt kan worden
vastgelegd in een logboek. Ook kan de naam van de gebruiker die de printopdracht gaf worden
afgedrukt op elke uitdraai.
Ad. IV. Alhoewel de Privacy Enhancing Technologies (PET), die gericht zijn op het zoveel mogelijk
ontkoppelen van de identiteit van de geregistreerde van de rest van de aanwezige gegevens, voor de
direct bij de behandeling betrokkenen van ondergeschikte betekenis zijn39, kunnen zij voor
'tussenliggende trajecten' wel van betekenis zijn. Bij een aantal algemene administratieve
handelingen is deze ontkoppeling eveneens goed mogelijk.
2. Acceptatie
2.1 Toestemming
Patiënt
Slechts acceptatie van het systeem door de geregistreerden zal resulteren in de voor het gebruik van de
gegevens in het GEDP benodigde toestemming40. Het verdient aanbeveling elke toestemming, evenals die voor
de behandelingsovereenkomst, steeds expliciet schriftelijk vast te leggen. De instelling kan de toestemming
van de patiënt dan zo nodig aantonen.
Toestemming voor het gebruik van gegevens kan worden gesplitst41 in:
.
toestemming voor de opslag van nieuwe gegevens in het GEPD voor gebruik tijdens de huidige
behandeling
- toestemming voor de opslag van gegevens in het (archief van het) GEPD voor gebruik tijdens een
mogelijke volgende behandeling
.
toestemming voor het gebruik van, tijdens een eerdere behandeling vastgelegde, gegevens uit het
(archief van het) GEPD tijdens de huidige behandeling
Om zo veel mogelijk voorwaarden voor een vrije keus te creëren moet de toestemming voor het gebruik van
gegevens losgekoppeld worden van de rest van de behandelovereenkomst. M.a.w. geen algemene voorwaarde
daarvan vormen.
Overleg met patiëntenorganisaties in de ontwerpfase leidt waarschijnlijk tot een snellere acceptatie. Ook de
Registratiekamer hecht veel waarde aan een dergelijk overleg.
Toestemming kan slechts worden verkregen na uitgebreide voorlichting. Transparantie van het systeem is
noodzakelijk voor de rechtsgeldigheid van de toestemming. Er kan gedacht worden aan een folder waarin ook
het reglement is opgenomen. Het is echter zaak dat de informatie op een voor de patiënt begrijpelijke wijze
wordt gepresenteerd. In de folder kan eveneens het contact adres van de houder, de adressen van de
deelnemende instellingen, de 'privacyfunctionaris'(zie verderop) e.d. worden aangegeven.
Mocht de patiënt desondanks toestemming weigeren dan zal er een alternatief traject, bijvoorbeeld het oude
papieren traject, moeten worden gevolgd. Geen toestemming mag niet betekenen niet behandelen, zelfs als de
patiënt wil dat zijn gegevens in het geheel niet worden vastgelegd of direct weer worden vernietigd zal deze
wens moeten worden gerespecteerd.
Anderen
Wanneer informatie door anderen zelf wordt gegeven verdient het aanbeveling:
- Deze ander duidelijk te maken hoe deze informatie zal worden gebruikt (bijvoorbeeld mogelijkerwijs
bij een nieuwe behandeling).
- Ook deze ander schriftelijk om toestemming te vragen.
2.2 Gebruikers
Inleveren op functionaliteit
Ook al biedt de technologie talloze aanlokkende mogelijkheden, onder druk van privacy zal aan
gebruiksgemak moeten worden ingeleverd. Knippen & plakken en integratie van verschillende toepassingen42
zodat ze kunnen werken 'op' dezelfde informatie zijn wellicht heel handig, toch brengen deze mogelijkheden
grote risico's met zich mee. Jammer genoeg zijn dergelijke voorzieningen vaak een essentieel onderdeel van de
implementatiestrategie. Hiermee worden 'twijfelende' hulpverleners over de streep getrokken.
Ook is het privacybelang hier strijdig met het efficiency doel. Het privacybelang verhindert immers een
mogelijkheid om sneller te werken.
Gevolgen systeem zonder waarborgen exclusiviteit
Wanneer privacy beschermende maatregelen dergelijk functionaliteitsverlies veroorzaken of op een andere
manier moeilijk te verwezenlijken zijn, is het altijd goed voor ogen te houden wat de consequenties zouden zijn
wanneer het systeem zonder deze maatregelen in gebruik zou worden genomen. Zo zouden bijvoorbeeld knip
& plak functies gegevens makkelijk kunnen onttrekken aan de zorgvuldig ontworpen autorisatiestructuur. De
gegevens kunnen dan zonder limiet worden geprint en verstrekt43. Het toekennen van 'behandelinitiatie'
bevoegdheid aan iemand die ook grote gegevensinhoudelijke bevoegdheden heeft (hoofdbehandelaar) leidt tot
toegang tot vrijwel alle (in het GEPD archief) aanwezige informatie van alle (ex) GGz patiënten. Het blijven
gebruiken van statische zelfverzonnen wachtwoorden brengt het gevaar met zich mee dat iemand anders zich
relatief eenvoudig voor de in de vorige zin bedoelde persoon kan uitgeven. Het niet afhankelijk maken van
bevoegdheden van behandelrelatie resulteert in toegang tot alle (aanwezige) patiënten. Enzovoort.
Privacybewustzijn
Ook al worden er verschillende privacy beschermende mogelijkheden in het systeem geïmplementeerd, de
daadwerkelijke bescherming staat of valt met de houding van de gebruikers. Zij zullen immers gebruik maken
van het systeem en zullen deze mogelijkheden moeten benutten. Iedereen die werkt met het GEDP moet een
uitgebreide toelichting op de maatregelen voor beveiliging hebben gehad. Slechts personen die kennis hebben
van de maatregelen voor beveiliging zijn bevoegd bewerkingen uit te voeren. De toelichting kan het belang
van de afschermingsmaatregelen benadrukken44 en daarmee acceptatie stimuleren.
Bij de acceptatie van het systeem door de betrokken hulpverleners kan het volgende worden opgemerkt:
Elke hulpverlener heeft een individuele actieve zorgplicht t.a.v. de geheimhouding van de aan hem, in het
kader van een behandeling, toevertrouwde gegevens. Wanneer de hulpverlener het systeem wat dat betreft niet
vertrouwd mag hij dergelijke gegevens er niet aan blootstellen. Een dergelijke pat stelling kan slechts worden
doorbroken door het vertrouwen van de hulpverlener in die bescherming te winnen. Hierbij zal hij voor ogen
moeten houden dat hij een afweging zal moeten maken tussen het systeem, en het papieren traject zoals dat
zou moeten zijn. Het papieren traject valt onder de nieuwe wet bescherming persoonsgegevens maar ook, nu al,
onder de WPR45. Informatie technologie biedt verdergaande mogelijkheden om gegevens af te grendelen.
Wanneer hij informatie met andere hulpverleners wil delen zal hij dat slechts via het papieren traject mogen
doen wanneer dat voldoende waarborgen biedt. Vast staat dat de huidige papieren werkwijze en bijvoorbeeld
de fax in dat opzicht ook niet voldoen. Wat dat betreft is het papieren traject zoals dat zou moeten zijn niet te
vergelijken met het huidige papieren traject.
3. Overige aandachtspunten
3.1 Bewaartermijn
Aansluitend op de kwaliteit van de gegevens en het logboek kan over het bewaren van gegevens worden
opgemerkt dat
- de WGBO voorschrijft dat medische gegevens in den regel46 slechts bewaard worden gedurende een
periode van tien jaren te rekenen vanaf het tijdstip waarop ze zijn vervaardigd.
- het besluit patiëntendossier BOPZ voorschrijft dat "de bescheiden bedoeld in het eerste en tweede
lid"47 in den regel48 worden bewaard gedurende vijf jaren te rekenenen vanaf het tijdstip waarop de
BOPZ behandeling is beëindigd.
Er zijn dus in principe twee verschillen:
I. Termijn: WGBO gegevens worden in den regel 10 jaar bewaard, BOPZ gegevens in ieder
geval 5 jaar.
II. Ingang termijn: bij WGBO gegevens begint de termijn wanneer ze zijn vervaardigd, bij BOPZ gege
vens wanneer de BOPZ behandeling is beëindigd.
Om praktische redenen is besloten voor de ingang van de termijn van WGBO-gegevens eveneens het tijdstip
waarop de behandeling wordt beëindigd te gebruiken.
Voor het systeem zal dus van elk gegeven duidelijk moeten zijn of het in het kader van BOPZ of van WGBO is
verzameld. Zodat een 'opschoningsmechanisme' hier rekening mee kan houden.
-Anonimiseren van gegevens
3.2 Beperkingen inzagerecht
NB. Het anonimiseren van gegevens is lastiger dan het verwijderen van naam en adres. Gegevens mogen
redelijkerwijs niet meer tot een persoon herleidbaar zijn. Het onherleidbaar zijn van een gegeven wordt niet
licht aangenomen.
Werkaantekeningen
Dit aspect is eveneens van belang wanneer het gaat om het inzagerecht van de patiënt. Dat strekt zich namelijk niet uit tot de werkaantekeningen van de hulpverlener. Mocht GEPD-programmatuur een werkaantekeningen-voorziening behelzen dan dient deze desgewenst van inzage door de patiënt te kunnen worden afgeschermd. Naar hun aard mogen die werkaantekeningen alleen door de auteur worden ingezien. Opgemerkt dient wel te worden dat de wetgever bij werkaantekeningen eerder een notitieblok voor ogen had dan een aan het dossier gekoppelde, in een databank vastgelegde file. De verleiding zou kunnen bestaan
aantekeningen in dat 'veld' te gaan onderbrengen die er niet thuishoren. Dat is iets om bij stil te staan wanneer
wordt overwogen een dergelijke functie te implementeren. Aan de andere kant behoudt een hulpverlener
natuurlijk zijn eigen verantwoordelijkheid.
Wersch, P.J.M. van, Inzagerecht en bewaartermijnen. Medisch contact, nummer 43, 25 oktober 1991, blz
1291-1292: "De persoonlijke werkaantekeningen van de hulpverlener maken geen deel uit van het
patiëntendossier, waarover het inzagerecht zich uitstrekt. Maar wat zijn nu precies 'persoonlijke wer
kaantekeningen'? Door sommigen wordt dit begrip zo ruim uitgelegd dat een groot deel van het dossier als
persoonlijke werkaantekeningen wordt beschouwd. Dat is in elk geval niet de bedoeling. In het Memorie van
Toelichting wordt dit begrip als volgt omschreven: 'In de praktijk plegen hulpverleners, naast de voor een
goede hulpverlening noodzakelijke aantekeningen van de geneeskundige gegevens omtrent de patiënt,
werkaantekeningen te maken welke dienen als geheugensteun voor de eigen gedachtevorming. Bij deze
zogenoemde persoonlijke werkaantekeningen gaat het niet om het aantekenen van gegevens, maar van
indrukken, vermoedens, of vragen die bij de hulpverlener leven.' Of met deze omschrijving alle verwarring is
opgelost valt te betwijfelen. In sommige rechterlijke uitspraken, waarin ook over de rijkwijdte van dit begrip
wordt gestreden, zijn persoonlijke werkaantekeningen gelijkgesteld met strikt subjectieve meningen van de
hulpverlener. Het criterium 'al of niet subjectief' lijkt mij niet juist en evenmin is naar mijn mening beslissend
of het gaat om 'indrukken, vermoedens of vragen die bij de hulpverlener leven'. Beslissend lijkt mij of de
werkaantekeningen inderdaad uitsluitend voor persoonlijk gebruik zijn bestemd, dat wil zeggen niet bedoeld
om onder ogen van derden te komen. Zodra de hulpverlener die aantekeningen ter inzage geeft aan anderen of
de inhoud daarvan mondeling mededeelt, bijvoorbeeld in een teambespreking, gaat het niet langer om
persoonlijke werkaantekeningen."
Dat er een spanning bestaat tussen het inzagerecht en werkaantekeningen, en dat daardoor de aard van de
werkaantekeningen van belang wordt blijkt uit het volgende: Vencken, L.M., Werkaantekeningen en de
WGBO. Een tegenstrijdigheid in de wet. Medisch Contact, nummer 46, 18 november 1994: "De hulpverlener
heeft de plicht de patiënt te informeren over wat hij als behandelaar van plan is en waarom hij dat zo wil doen.
Dus moet hij de patiënt ook inlichten over de diagnose en wat daarmee samenhangt. Werkaantekeningen
kunnen daarbij van groot belang zijn: ze horen bij wat de patiënt volgens de wet 'redelijkerwijs' dient te
weten".
Privacy van een ander
Een andere uitzondering op het inzagerecht is de privacy van derden. Dat is de belangrijkste49 beperking op
het inzagerecht. Inzage mag immers niet worden verleend 'voor zover dit noodzakelijk is in het belang van de
bescherming van de persoonlijke levenssfeer van een ander'. "Hier kan sprake zijn van een botsing van het
recht op privacy van de patiënt met hetzelfde recht van een ander. Wiens recht gaat dan voor? In de Memorie
van Toelichting wordt hierover opgemerkt: 'Indien kan worden voorzien dat verstrekking van inzage of af
schrift van bepaalde gegevens aan de patiënt de persoonlijke levenssfeer van een ander zou schaden, en diens
belang een overwegend karakter heeft, dient de hulpverlener de verstrekking achterwege te laten'. Dus het feit,
dat sommige in het dossier vermelde gegevens over de patiënt afkomstig zijn van derden of dat het dossier ook
informatie over derden bevat, is op zichzelf niet voldoende om inzage te weigeren. De persoonlijke levenssfeer
van die derde moet daardoor worden geschaad en het belang van die derde bij de bescherming van zijn privacy
moet een overwegend karakter hebben, dat wil zeggen zwaarder wegen. Het zal voor een hulpverlener in de
praktijk niet altijd eenvoudig zijn deze belangenafweging te maken."50
3.3 Organisatorische indeling
Voor de WPR, de WGBO en een aantal kwaliteitswetten op het gebied van de Gezondheidszorg is eveneens de
organisatorische indeling van belang. Zijn de deelnemende instellingen gefuseerd of blijven zij autonoom 'los
van elkaar' bestaan. Zo is bij de WPR van belang of een instelling houder is, maar ook of zij wellicht voor een
andere instelling bewerker wordt. Een instelling die bewerker is voor een andere instelling mag bijvoorbeeld
niet enkel en alleen op grond hiervan inhoudelijke toegang tot deze gegevens hebben.
De programmatuur voor een GEPD zal met deze verschillende organisatorische indelingen overweg moeten
kunnen. Deze indeling kan duidelijk haar weerslag hebben op de bevoegdheidsprofielen en andere
autorisatieaspecten.
3.4 Functionaris Privacybescherming
Het is te overwegen in elke instelling een onafhankelijk persoon51 aan te stellen die in de dagelijkse praktijk
toezicht houdt op de naleving van de privacyvoorschriften. Wellicht kan hij daarvoor onder meer gebruik
maken van zojuist genoemd logboek. Het is van belang dat het een voor geregistreerden laagdrempelige
voorziening is. Deze functionaris zou deze taak krijgen náást de verantwoordelijkheid die eenieder t.a.v. de
privacy heeft en degenen die op grond van hun bevoegdheden normaliter een toezichthoudende functie hebben.
3.5 'Oude' gegevens
Het verdient aanbeveling oude gegevens52 pas na expliciete toestemming van de patiënt, bij voorkeur pas
wanneer sprake is van een nieuwe behandelovereenkomst, op te nemen in het (archief van het) GEDP.
3.6 Interchange agreement
Er moeten afspraken worden gemaakt over onder welke voorwaarden gegevens aan elkaar worden verstrekt.
R. van Esch heeft de karakteristieke elementen van dergelijke afspraken in de (handels) EDI sfeer onderzocht
en beschreven in: "Interchange Agreements. The EDI Law Review 1. Kluwer, 1941, pp. 3-41." Voor het
GEDP zullen een groot aantal gelijksoortige afspraken gemaakt moeten worden.
Zeker bij de decentrale variant uit het eindrapport bestaan die afspraken in de vorm van een 'Uitwisselings
overeenkomst', gevormd door een contract en appendices (met daarin technische specifiteiten) als integraal
onderdeel van de overeenkomst.
Basisafspraak moet zijn dat elk (evt.autonoom) systeem bij iedere deelnemende instelling voldoet aan de
voorschriften uit WGBO en WPR. Een secundaire voorwaarde moet o.a. zijn dat bij het overzetten van
gegevens naar een ander systeem het oorspronkelijke beschermingsniveau gehandhaafd blijft. Ook zal een
verstrekkende partij contractueel gebonden moeten worden rectificaties door te geven. Verder onderscheidt
van Esch in de overeenkomst o.a.:
* technische aspecten
-type/standaard berichten (i.c. verstrekkingen)
-hardware
-software
-communicatie protocollen
-communicatie netwerken
-value added services
* beveiligings aspecten53
-bescherming van het systeem
o.a. er zou kunnen worden bepaald dat de beveiligingsaspecten van het systeem regelmatig
door een derde partij zou kunnen worden gecontroleerd
-bescherming van het bericht
-maatregelen om de afkomst van een bericht (ook een verzoek) vast te stellen
-maatregelen om de integriteit van een bericht vast te stellen
-maatregelen om het verloren gaan van een bericht vast te stellen
-maatregelen om het 'afdwalen' van een bericht vast te stellen
-bescherming van de uitwisselingsprocedure
* juridische aspecten
-verantwoordelijkheid van de zender
-ontvangstbevestiging
-bewijs
-aansprakelijkheid
-aansprakelijkheid voor fouten in de overdracht
-risicoverdeling
3.7 Correctierecht
De geregistreerde moet het hem in de WPR54 toegekende correctierecht kunnen uitoefenen. Al eerder werd
aangegeven dat het logboek daarom moest bijhouden aan welke derden gegevens zijn verstrekt. Deze moeten
daarvan op de hoogte worden gesteld55. Bij de manier waarop gegevens worden opgeslagen en mogelijkerwijs
worden hergebruikt zal hier rekening mee moeten houden. Correctie kan worden onderscheiden van verschil
van inzicht (tussen bijvoorbeeld arts en patiënt, hiervan kan een aantekening worden toegevoegd) of van
veranderd inzicht (een arts denkt later wat anders). Correctie van gegevens gaat in eerste instantie om het
verbeteren van feitelijk onjuiste gegevens.
De correctie moet op alle plaatsen worden doorgevoerd. Het mag niet zo zijn dat de foute gegevens later weer
'als zijnde waar' opduiken. Daarbij kan het best worden aangegeven dat deze informatie op grond van het
correctierecht is gewijzigd, later kan men zo, hierdoor geattendeerd, met behulp van het historisch archief nog
nagaan dat en welke informatie op dat tijdstip voorhanden was (bijv. i.v.m. aansprakelijkheid).
3.8 Verschillende verstrekkingspolitiek
De verschillende typen van het REMD genoemd in het eindrapport zijn niet alleen verschillend in de manier
waarop ze worden ingericht (centraal en decentraal), maar ook qua verstrekkingspolitiek. Bij de centrale
variant is het aantal verstrekkingen aan deelnemende instellingen waarschijnlijk vele malen groter dan bij de
decentrale variant. Bij de centrale variant werken de instellingen functioneel gezien met dezelfde databank
(gedistribueerde databank). Elk gebruik van het EMD betekend automatisch het gebruik van het R-EMD.
Bij de decentrale variant gebruiken de instellingen hun eigen EMD, slechts om gegevens uit andere
instellingen op te vragen maakt men gebruik van de regionale infrastructuur. De aard van de verstrekking is
afhankelijk van de opvrager (functie/hoedanigheid enz.).
3.9 Standaardisatie
Met de ontwikkeling van GEPD's worden "standaardisatie" en "open infrastructuur" vaak in een adem
genoemd. Privacymarkeringen zullen ook bij standaardisatie moeten worden betrokken. Het mag niet zo zijn
dat gegevens, prima beschermd binnen het ene EPD, door verstrekking aan een ander EPD opeens aan
bescherming verliezen. Dat risico is wel aanwezig: ze worden immers buiten de eerste autorisatiestructuur
gebracht.
3.10 Ontbreken privacy-standaardisatie en verstrekkingspolitiek
Bij het ontbreken van dergelijke privacy standaardisatie zal de keus die wordt gemaakt tussen een centraal of
een decentraal opgezet GEPD, naast de manier van inrichten andere gevolgen met zich mee brengen.
Wanneer men kiest voor een decentraal opgezet GEPD kiest men eveneens voor het buiten de oorspronkelijke
autorisatiestructuur brengen van informatie. Als gevolg hiervan kan men slechts zeer gericht verstrekken56,
men kan niet meer gegevens 'alvast voor mogelijk toekomstige ontsluiting' mee verstrekken zoals dat bij een
centraal opgezet GEPD gebeurt. Immers bevoegdheden ten opzichte van die informatie zouden weer helemaal
opnieuw moeten worden gedefinieerd.
Bijlage
Figuur 1.
-D en E.
In de tekening: -wordt dat gevisualiseerd doordat de zwarte inzage staaf zowel onder de roodgestippelde
normlijn blijft, als onder gele autorisatielijn. Verder lopen de normlijn en de autorisatielijn
gelijk.
Voorbeeld: Bij situatie D zou een opererend chirurg kunnen passen die het dossier inziet van een patiënt
die voor het eerst in het ziekenhuis wordt opgenomen op de dagbehandeling. Mogelijkheid
tot kennisname van de gehele dossierinhoud was noodzakelijk voor de door hem te
verrichten werkzaamheden in het kader van die behandelovereenkomst. De daadwerkelijke
inzage strekte zich echter niet uit tot het gehele dossier.
-A en B.
In de tekening: de zwarte inzage staaf wordt doorsneden door de roodgestippelde normlijn.. De inzage wordt
echter totaal niet 'afgesneden' door de autorisatielijn.
Voorbeeld: In situatie A leest een nachtverpleegkundige, benieuwd naar de enkele jaren geleden
aangebrachte cosmetische aanpassingen van een patiënt, verder dan noodzakelijk voor de
door haar te verrichten werkzaamheden; ze had het klinisch dossier toch bij de hand voor het
maken van een uittreksel t.b.v. het verpleegkundig dossier. Alhoewel ze best nog verder had
willen lezen voor welke complicaties de lekkende prothesen zorgden, leest ze niet verder
omdat ze wordt opgeroepen.
-C.
In de tekening: de zwarte inzage staaf loopt onder de roodgestippelde normlijn. De inzage wordt niet
'afgesneden' door de autorisatielijn. Normlijn en autorisatielijn lopen echter niet gelijk: de
normlijn ligt onder de autorisatielijn.
Voorbeeld: Bij situatie C ziet een anesthesist het klinisch dossier in van iemand die al meerdere malen
met zeer uiteenlopende klachten is opgenomen in het ziekenhuis en nu door hem wordt
bewaakt tijdens de operatie. Hoewel hij voor zijn behandeling meer had mogen zien beperkt
hij zich tot hetgeen hij op dat moment nodig acht. Wanneer hij had gewild had hij het gehele
dossier kunnen inzien.
-F.
In de tekening: de roodgestippelde normlijn doorsnijdt de zwarte inzagepoging bij de wortel. De gele
autorisatielijn echter blijft boven deze zwarte inzage staaf.
Voorbeeld: Een man ziet na het bezoekuur in een kar op de gang het dossier van zijn huisarts.
Nieuwsgierig naar de ernst van zijn ziekte kan hij het niet nalaten het dossier door te
bladeren.
-H.
In de tekening: de gele autorisatielijn loop samen met de rode normlijn. Ze snijden de inzage poging bij de
wortel af.
Voorbeeld: Situatie H zou de poging van een bezoeker kunnen schetsen om in de onbewaakte avonduren
een dossier van zijn ex-vriendin te bemachtigen. Doordat de deur van het centraal archief op
slot zit strand deze poging. De norm verbood elke inzage. De geboden
autorisatiebescherming was dit maal adequaat.
-G.
In de tekening: de gele autorisatielijn ligt onder de rode normlijn.