In Mitz kunnen patiënten via DigiD vastleggen welke zorgverleners hun medische gegevens mogen delen met andere zorgverleners. VWS maakte in 2023 bekend dat Mitz de nieuwe landelijke standaard moet worden voor toestemming voor medische gegevensdeling, en wordt op dit moment breed uitgerold in de zorg. Inmiddels zijn ongeveer 775 zorgaanbieders aangesloten.

Volgens het ministerie moet Mitz patiënten meer regie geven over hun medische data. Volgens stichting Privacy First werkt dit in de praktijk anders. “Patiënten krijgen ironisch genoeg juist minder regie”, zegt Marc Smits van de stichting, mede omdat zorgverleners gemakkelijk misbruik kunnen maken van Mitz.

Zo hebben apothekers die aangesloten zijn op Mitz, een knop in hun apothekers-systeem waarmee ze, namens mensen die niet digitaal vaardig zijn, toestemming voor hen kunnen instellen. Maar uit onderzoek van Pointer bleek eerder dat deze zogeheten Samen-naar-MijnMitz-knop ook kan worden misbruikt: een zorgverlener kan iemands toestemming aanpassen zonder dat de patiënt aanwezig is, zelfs als iemand expliciet heeft aangegeven geen gegevens te willen delen.

Een heuze lastercampagne

Shanice weet als geen ander hoe het is als mensen ongevraagd in medische dossiers kijken. Een lid van haar schoonfamilie, werkzaam in een ziekenhuis, heeft haar medisch dossier en dat van haar zoontje en haar vriend Tom ingezien. “Ik dacht dat de dossiers gewoon veilig bij het ziekenhuis lagen, want iedereen heeft daar een beroepsgeheim. Maar over die grens is dus wel flink heen gegaan”, vertelt Shanice.

De medische gegevens zijn vervolgens gebruikt voor een heuse lastercampagne. “Ik heb een anonieme brief gekregen waarin stond dat ik vreemd zou gaan en dat Tom bij mij weg moest gaan.” Het blijft niet bij de brief, want het gezin krijgt nog veel meer roddels en aanvallen over zich heen. “Dit heeft er wel voor gezorgd dat Tom en ik een tijdje uit elkaar zijn geweest.” Inmiddels is het familielid ontslagen bij het ziekenhuis en is vervolging door justitie ingezet.

Risico’s vergelijkbaar met het EPD

Privacyorganisaties waarschuwen voor risico’s die lijken op de situatie van Shanice. Onder meer vanwege de Samen-naar-MijnMitz-knop ontstaat er volgens stichting Privacy First “een infrastructuur met systeemrisico’s die vele malen groter zijn dan het Landelijk Elektronisch Patiëntendossier uit 2011”. Dit soortgelijke systeem werd in dat jaar unaniem door de Eerste Kamer weggestemd vanwege privacyrisico’s.

Privacy First eist daarom dat VWS direct de uitrol van het Mitz terugdraait. Deze eis wordt ondersteund door het Platform Burgerrechten en stichting KDVP.

Reactie VZVZ en VWS

De Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ), beheerder van Mitz, en het ministerie van VWS erkennen in een gezamenlijke reactie dat misbruik mogelijk is, maar benadrukken dat dit strafbaar is. “Dat de mogelijkheid er is, betekent niet dat dat mag. Je kunt bijvoorbeeld ook 100 kilometer per uur door de bebouwde kom rijden. Dat kan, maar is strafbaar.”

Ook is volgens hen Mitz zowel juridisch als technisch geborgd. Zo moet de identiteit van de patiënt worden gecontroleerd, moet er een actieve behandelrelatie zijn en wordt er via logging bijgehouden wie wanneer bepaalde toestemmingen heeft aangepast.

Mitz voldoet niet aan privacywetgeving

Volgens hoogleraar ICT en recht Frederik Zuiderveen Borgesius verbonden aan de Radboud Universiteit, zijn dit geen voldoende waarborgen, ook omdat het hier om gevoelige persoonsgegevens gaat: “De AVG eist voor het beveiligen van gegevens organisatorische maatregelen, zoals beroepseed, logging en technische beveiliging. Juist die technische maatregelen kunnen in dit geval beter.”

Privacyadvocaat Menno Weij, werkzaam bij The Data Lawyers, deelt de lezing dat er te weinig maatregelen tegen misbruik zijn ingebouwd. Het is volgens hem “te makkelijk” om op deze manier in het systeem in te breken. Beiden pleiten daarom voor SMS-verificatie. Daarbij kan een apotheker alleen toestemmingen aanpassen met een SMS-code die de patiënt krijgt. Dit zou misbruik aanzienlijk moeilijker maken.

Lees hier de volledige reactie van het ministerie van VWS en VZVZ.