Hiermee wordt het medisch beroepsgeheim ernstig aangetast, zeggen experts tegen het radioprogramma Pointer. Stichting Privacy First eist dat het verantwoordelijke ministerie van VWS direct de uitrol van het platform Mitz terugdraait. Deze eis wordt ondersteund door het Platform Burgerrechten en stichting KDVP.

“Er zijn alternatieven voor goede gegevensdeling in de zorg”, zegt Marc Smits van Privacy First. “Maar deze worden door het ministerie stelselmatig genegeerd.”

Minder regie op medische gegevens

VWS maakte in 2023 bekend dat Mitz de nieuwe landelijke standaard moet worden voor toestemming voor medische gegevensdeling. Inmiddels zijn er ongeveer 500 zorgaanbieders aangesloten.

In Mitz kunnen patiënten via DigiD vastleggen welke zorgverleners hun medische gegevens mogen delen met andere zorgverleners. Volgens het ministerie geeft dat patiënten meer regie. Maar volgens Privacy First werkt dit in de praktijk anders. “Patiënten krijgen ironisch genoeg juist minder regie,” zegt Smits.

Een belangrijk kritiekpunt is dat toestemming in Mitz zeer breed wordt vastgelegd. Patiënten kunnen bijvoorbeeld niet instellen dat de eigen huisarts alleen gegevens met de eigen apotheek mag delen - het is alles of niets: toestemming geldt automatisch voor álle apotheken in Nederland.

Toestemming aanpassen zonder patiënt

Daarnaast ontdekte Pointer tijdens tests in Mitz dat het voor zorgverleners eenvoudig is om de toestemming van patiënten zelf aan te passen. Apothekers krijgen een knop in hun systeem waarmee ze, namens mensen die niet digitaal vaardig zijn, toestemming kunnen instellen. Maar uit onderzoek van Pointer blijkt dat deze functie ook kan worden misbruikt: een zorgverlener kan iemands toestemming aanpassen zonder dat de patiënt aanwezig is, zelfs als iemand expliciet heeft aangegeven geen gegevens te willen delen.

Patiëntenfederatie Nederland meldde eerder dit jaar zelfs dat 28 procent van hun achterban een deel van hun medische gegevens niet wil delen. Juist deze groep kan door het ontwerp van Mitz extra kwetsbaar zijn voor ongewenste inzage.

Reactie VZVZ en VWS

De Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ), beheerder van Mitz, en het ministerie van VWS erkennen in een gezamenlijke reactie dat misbruik mogelijk is. VZVZ benadrukte eerder dat dit strafbaar is.

Ook legde Pointer de bevindingen voor aan de Autoriteit Persoonsgegevens (AP), maar de privacywaakhond liet weten niet op tijd te kunnen reageren.

‘Risico’s groter dan bij afgewezen EPD’

Stichting Privacy First trok eerder dit jaar meerdere malen aan de bel bij de Autoriteit Persoonsgegevens. In documenten die de organisatie naar de AP stuurde, die Pointer heeft ingezien, schrijft Privacy First dat er “een infrastructuur ontstaat met systeemrisico’s die vele malen groter zijn dan het Landelijk Elektronisch Patiëntendossier uit 2011”. Dit soortgelijke systeem werd in dat jaar unaniem door de Eerste Kamer weggestemd.

Volgens Smits heeft de AP tot nu toe geen actie ondernomen naar aanleiding van hun waarschuwingen. Op vragen van Pointer aan de AP hierover kwam vrijdagmiddag wel een reactie: “Privacy First heeft hun zorgen bij de AP geuit en de AP heeft die ook serieus genomen. We zijn met verschillende betrokken partijen hierover het gesprek aangegaan. De AP blijft de invoering en verdere ontwikkeling van MITZ in de gaten houden. Wij zien vooralsnog dat de partijen die bij de ontwikkeling van MITZ zijn betrokken zich zeer bewust zijn van mogelijke privacyrisico’s.”

Luister Pointer 'De terugkeer van het Elektronisch Patiëntendossier' op NPO Radio 1 op zaterdag 29 november om 14:00 uur.

Lees hier de volledige reactie van het ministerie van VWS en VZVZ.