zondag, 12 november 2017 18:03

Onrechtmatige aanmeldingen in EPD-LSP blijken structureel probleem. Vrijbit weer in actie.

VZVZ faciliteert een landelijk systeem wat aanzet tot het op grote schaal lekken van medische gegevens. Onterecht uw medische gegevens via het EPD-LSP beschikbaar gesteld? Dat kan iedereen overkomen! ook meermalen en ook per direct nadat een ‘fake-toestemming’uit het systeem is  verwijderd.

In theorie alleen aanmelding bij het EPD-LSP met uw toestemming

Toen de wet voor het invoeren van een Elektronisch Patiënten Dossier uitwisselingssysteem sneuvelde, betekende dit het einde van het EPD als opt-out ( ja tenzij) systeem van de overheid. De medische gegevens van mensen zouden nooit mogen kunnen worden uitgewisseld tussen alle zorgverleners waar men geen directe behandelrelatie mee heeft, tenzij de betrokkene daar vooraf, vrijwillig, goedgeïnformeerd en expliciet toestemming voor gaf.

Bij de private doorstart van het EPD-LSP vormde dit toestemmingsvereiste het uitgangspunt voor het beheer van het nieuwe EPD-LSP systeem van beheerder VZVZ.

Iedereen zou er van op aan moeten kunnen dat zijn of haar medische persoonsgegevens zonder toestemming daarvoor gegeven te hebben, zouden kunnen worden opgevraagd door alle zorgverleners en zorginstanties in Nederland die met een Uzi pas op het EPD-LSP systeem kunnen inloggen [ noot 1].

Wie geen toestemming geeft zou gewoon, zoals in de oude situatie het geval was, er op kunnen vertrouwen dat medische gegevens enkel beschikbaar zijn voor die zorgverleners die bij een bepaalde behandeling van iemand zijn betrokken.

In de praktijk ook zonder uw toestemming kans op aanmelding bij het EPD-LSP

Dit voorjaar ontdekten verschillende mensen dat zonder dat zij daar toestemming voor gegeven hadden hun medische gegevens wel degelijk landelijk opvraagbaar waren gesteld door VZVZ. In al die gevallen bleek dat er via een apotheek was doorgegeven dat voor deze persoon de voor iedereen latent aangemaakte aanmelding op het EPD-LSPsysteem moest worden geactiveerd.

Dat gebeurde via het aanvinken van de optie dat men toestemming daarvoor zou hebben gegeven.

VZVZ meent alle verantwoordelijkheid voor deze onterechte onrechtmatige aanmeldingen te kunnen ontlopen hoewel men geen uniforme procedure hanteert  voor het verkrijgen, registreren en loggen van aangemelde toestemmingen.

Wie namens een apotheker of huisarts wordt aanmeld hoeft dat niet zelf te bevestigen en kan zelfs maar moeilijk controleren of men onterecht toch staat aangemeld. Enige beveiliging tegen het meermalen onrechtmatig aangemeld worden is er niet en de mogelijkheid tot vermelding in het systeem dat er sprake is geweest van een onterechte aanmelding wegens geen of ongeldige toestemming ontbreekt.

Op 4  augustus 2017 heeft Burgerrechtenvereniging Vrijbit, naar aanleiding van de geconstateerde onrechtmatige aanmeldingen, de toezichthouder Autoriteit Persoonsgegevens (AP) formeel gevraagd om handhavend op te treden tegen VZVZ. Zie …

Tot op de dag van vandaag laat de AP het afweten om zelfs maar te starten met een vooronderzoek en schuift men het nemen van een ( voor beroep vatbaar) besluit om al dan niet in actie te komen voor zich uit.

                   Het traineren van besluitvorming gebeurt via aanhoudende vragen om extra informatie over de aangeleverde dossiers die allang voldoende bewijs leveren voor ingrijpen. Men verlangt daarbij zelfs van Vrijbit dat we de BSN nummers van mensen terwijl we daar helemaal niet over mogen beschikken.

Aanmeldingen zonder of zonder rechtsgeldige toestemming via apothekers blijkt structureel probleem

Inmiddels heeft onderzoek van Vrijbit uitgewezen dat het men name via de apotheken structureel voorkomt dat de toegang tot hun medische gegevens wordt opengezet voor alle duizenden Uzipashouders waar men geen enkele relatie mee heeft, zonder dat betrokkenen daar toestemming voor gaven en zonder dat men daar weet van heeft.

In veel gevallen gaat het om het doorgeven van zogenaamde toestemmingen aan de hand van toestemmingsformulieren die geen mogelijkheid kunnen bieden voor een rechtsgeldige toestemming.

Hetzij doordat de bijbehorende informatie van het formulier zelf en de achtergrond informatie van de brochures ( die men bij tekenen van het formulier aangeeft tot zich te hebben genomen) niet correct is (derden kúnnen niet bij uw gegevens waar mógen niet dient te staan).

Door gebruik van formulieren die helemaal niet vermelden dat het om het EPD-LSP gaat t/m formulieren die aangeven dat er bij het invullen van geen toestemming helemaal geen medische gegevens kunnen worden uitgewisseld dus ook niet tussen eigen huisarts en behandelend specialist e.d.

Hetzij door de sturende wijze waarop mensen onder druk worden gezet om niet voor de NEE optie te kiezen ( in noodgevallen is het uw eigen schuld als u geen adequate hulp krijgt).

Ook bleek het voor te komen dat een apotheek uit Haarlem mensen op 22 mei jongsleden een brief stuurde dat zij aangemeld zouden worden als zij daar niet voor 24 juni bezwaar tegen zouden maken. Een actie die regelrecht strafbaar is en hoe dan ook tot gevolg heeft dat alle aanmeldingen via deze apotheek vanaf 24-6-2017 als onrechtmatig moeten worden verwijderd uit het systeem.

Naar aanleiding van dit onderzoek heeft Vrijbit een tweede handhavingsverzoek aan AP gestuurd om ervoor te zorgen dat

Handhaafverzoek II van Burgerrechtenvereniging Vrijbit aan AP d.d. 3-11-2017

Vandaar dat wij AP op grond van bovenstaande informatie verzoeken om handhavend op te treden tegen:

  • Het structureel onjuist en verwijtbaar onzorgvuldig handelen van apothekers bij het verkrijgen en doorgeven van ‘toestemming’ van personen die niet op de vereiste wijze (in vrijheid en juist en afdoende geïnformeerd) geldige toestemming hebben verleend voor uitwisseling van medische persoonsgegevens via het EPD-LSP.
  • Het ontbreken van effectieve, verantwoorde, uniforme  procedures voor het verkrijgen, valideren, registreren en doorgeven (voor vermelding in verwijsindex) van geldige toestemming voor het opvragen van medische persoonsgegevens via het EPD/LSP. Wil sprake kunnen zijn van een geborgde verwijsindex dan dient systematisch logging plaats te vinden van deze procedures.
  • Het structureel ontbreken van procedures voor het opvragen van informatie over verleende toestemmingen, over inzage van gegevens via het EPD-LSP en voor het eventueel effectief doen schrappen van eerder verleende toestemmingen. Deze procedures moeten voor elke burger toegankelijk zijn, moeten door elke burger gebruikt kunnen worden.

Download Handhaafverzoek I pdf

Download Handhaafverzoek II pdf

Nominatie VZVZ voor Big Brother Award 2017

Op 11 december 2017 worden de grootste privacyschenders van 2016 in de schijnwerpers gezet bij de uitreiking van de Nederlandse Big Brother Awards door Bits of Freedom.

Vrijbit heeft daarvoor dit jaar de beheerder van het EPD-LSP de Vereniging van Zorgaanbieders Voor Zorgcommunicatie (VZVZ) genomineerd. Vanwege:

1- Het feit dat deze private partij voor hun bedrijfsactiviteiten illegaal gebruik maakt van ieders BSN ( wat voor aanmelding van een persoon enkel aangevinkt hoeft te worden om geactiveerd te worden).

2- Het feit dat mensen, zonder dat zij daarvoor de vereiste toestemming gaven, toch in het systeem blijken te staan aangemeld waardoor  hun medische gegevens kunnen worden ingezien door zorgverleners waar zij geen enkele relatie mee hebben.

3- Het structureel ontbreken van uniforme procedures voor verkrijging, registratie en logging van verleende toestemming, zodat geen effectieve,  systematische controle en verantwoording mogelijk is over de wijze waarop toestemming wordt verkregen.

4- Het onjuiste en intimiderende voorlichtingsmateriaal

5- De dwang die op zorgverleners wordt uitgeoefend om deze tot aansluiting te dwingen

[ noot 1]Toelichting toegang tot EPD-LSP via UZipas

Het Unieke Zorgverlener Identificatienummer (UZI) is een in 2006 geïntroduceerd nummer dat in Nederland gebruikt wordt om een bij het zorgproces betrokken persoon te identificeren. Het nummer is gekoppeld aan het gebruik van de UZI-pas, een chipkaart waarmee men kan inloggen op de elektronische uitwissing van patiëntgegevens. Het BIG-register (Beroepen in de Individuele Gezondheidszorg) is een Nederlands register waarin het basisberoep is opgenomen van individuen werkzaam in aantal beroepsgroepen in de gezondheidszorg. In het BIG-register zijn artsen, apothekers, fysiotherapeuten, gezondheidszorgpsychologen, psychotherapeuten, tandartsen, verloskundigen en verpleegkundigen opgenomen.  Alle in het BIG-register opgenomen zorgverleners kunnen bij het CIBG een of meerdere UZI-passen aanvragen

Gelezen 719 keer