Privacyorganisaties: systemen zorgcommunicatie kwetsbaar voor hackers

In dit artikel:

Vijf Nederlandse privacyorganisaties (Platform Burgerrechten, Privacy First, Stichting KDVP, Stichting Decozo en Stichting Spidz) waarschuwen dat systemen die nu worden ingevoerd voor de uitwisseling van medische gegevens — in Nederland vooral het online toestemmingssysteem Mitz, en op EU-niveau de European Health Data Space (EHDS) — onverantwoord kwetsbaar zijn voor cyberaanvallen. Volgens hen vormen deze systemen een enkel toegangspunt waarmee via één inlog tienduizenden tot honderdduizenden dossiers bereikbaar zijn, waardoor één succesvolle hack grote aantallen patiëntgegevens blootlegt. In Mitz leggen mensen via DigiD vast wie hun gegevens mag delen, maar het systeem zou alleen brede, ongerichte toegang toestaan en artsen de mogelijkheid ontnemen om te controleren wie waarvoor inzage vraagt; er zou ook ruimte zijn voor derden om gegeven toestemmingen te overrulen.

Voor de EHDS geldt dat iedere EU-burger automatisch wordt opgenomen en alleen door zelf actie te ondernemen kan worden uitgesloten (opt-out), terwijl lidstaten geen ruimte krijgen voor een opt-in-benadering die volgens de organisaties aansluit bij het medisch beroepsgeheim. De organisaties vinden dat dit in strijd is met de AVG en met beroepsgeheimregels.

Ze roepen de Tweede Kamer op om in te grijpen: ga voor kleinschaligere, beter beveiligde systemen die alleen gericht delen mogelijk maken; wissel gegevens uit alleen op basis van daadwerkelijke, geïnformeerde toestemming binnen een concrete behandelrelatie; zorg voor een absolute opt-out voor de EHDS; en informeer burgers volledig en eerlijk over de risico’s van breed toegankelijke medische dossiers.