Zonder hun medeweten worden de medische dossiers van miljoenen Nederlanders gekopieerd en ‘ergens’ opgeslagen

Huisartsen Guus Theeuwen en Tejo Janssen uit Beuningen doen het liefst wat alle dokters doen: patiënten helpen. Maar zeven jaar geleden werd hun arbeidsvreugde ruw verstoord door de kleine lettertjes van hun contract met de nieuwe softwareleverancier. Dit kon toch niet waar zijn?

Ze lazen dat de zorgvuldig bewaarde medische dossiers met alle gevoelige gegevens van alle patiënten uit hun praktijk in één keer zouden worden gekopieerd, iedere week opnieuw. Dat zou nodig zijn om informatie te kunnen delen met andere lokale behandelaars, wat de zorg voor chronische patiënten ten goede zou komen.

Was het echt niet mogelijk om de zorg voor die patiënten in de regio anders te organiseren? De softwareleverancier was helder: zo werken wij nu eenmaal. Bovendien, wat is het probleem? Andere artsen in Nederland hebben deze overeenkomst ook getekend.

Onacceptabel, volgens Theeuwen en Janssen. En die slotsom had direct grote consequenties. Beide huisartsen gingen in verzet. „Wij gruwen bij deze gedachte”, mailden ze aan tientallen collega’s uit hun Nijmeegse regio. „Van die patiënten ligt dus bij een commercieel bedrijf een compleet dossier, ergens op een server in Nederland.” Ja, natuurlijk willen we samenwerken met collega’s om goede zorg te bieden, was hun boodschap, „maar zonder de privacy van onze patiënten onnodig in gevaar te brengen.”

Theeuwen (59) is een huisarts met veel affiniteit met IT. Hij vindt het principieel onjuist als gevoelige gegevens te veel rondzwerven. Theeuwen meent, in lijn van de privacywetten, dat je nooit te veel data op één plek moet concentreren, dat je oog moet houden voor de bescherming van medische dossiers en dat ‘dataminimalisatie’ het uitgangspunt moet zijn: meer gegevens met elkaar delen dan strikt noodzakelijk geeft onnodige veiligheidsrisico’s. De gevolgen van een datalek of inbraak worden „anders onaanvaardbaar groot”.

De huisarts moet zelf kunnen bepalen welke medische gegevens van welke patiënten gedeeld mogen worden, vinden Theeuwen en Janssen. Binnen hun eigen praktijk hebben ze dat zelf in de hand. Maar bij de samenwerking in de regio lopen ze ertegenaan dat een gezamenlijk informatiesysteem een vereiste is.

Alle huisartsen in Nederland werken regionaal samen. Met een hardnekkig probleem: hun IT-systemen communiceren matig met elkaar. Juist voor chronische patiënten met bijvoorbeeld diabetes of COPD (een longziekte) is het van belang dat artsen en ook podotherapeuten of diëtisten patiëntinformatie gemakkelijk met elkaar kunnen uitwisselen om de beste, op de patiënt toegesneden zorg te kunnen leveren. Artsen kiezen zelf het softwarepakket voor hun praktijk en die informatiesystemen – er zijn ten minste twaalf verschillende leveranciers – moeten gegevens kunnen uitwisselen met al die andere behandelaars. Daarnaast moet de zorg worden gedeclareerd én is verantwoording nodig aan de zorgverzekeraar.

VIP Live helpt huisartspraktijken met deze kwesties. Met dit systeem wisselen artsen binnen hun regio eenvoudig en automatisch informatie uit met andere behandelaars. Gebruikers zijn tevreden, het systeem kan inmiddels gerust de standaard in de Nederlandse ‘ketenzorg’ worden genoemd. In sneltreinvaart heeft de leverancier een marktaandeel van rond de 80 procent verkregen, zegt het bedrijf zelf. De uiteindelijke eigenaar is een Canadese investeringsmaatschappij.

De software van het Leidse bedrijf Calculus heeft echter één groot nadeel: hij slurpt alle medische dossiers op van de praktijk. En dan ook echt álles: van labresultaten, medicatie, tot persoonlijke observaties en gespreksverslagen van consulten. Dus ook of mijnheer of mevrouw last heeft van aambeien, met psychische problemen kampt of chlamydia heeft opgelopen omdat een partner vreemdging.

Lees ook: Wie gluren er allemaal in mijn medische dossier?

Huisartsen in verzet

Overal in het land hebben huisartsen zich verenigd in regionale organisaties, zorggroepen van soms een paar honderd dokters. De besturen hiervan sluiten de belangrijkste deals met zorgverzekeraars over vergoedingen. Ze zijn ook leidend bij de keuze voor het systeem waarmee artsen regionaal informatie uitwisselen.

Theeuwen en Janssen ontdekten al snel dat ze hier weinig keus in hebben. Terwijl huisartsen eindverantwoordelijk zijn voor het bijhouden en bewaken van de medische dossiers, blijken ze niet langer bij machte om zelfstandig te beslissen over hun informatiesysteem voor de ‘ketenzorg’.

Ze deden verwoede pogingen collega’s in hun Nijmeegse huisartsengemeenschap te overtuigen van de ernst van de zaak. Maar de meesten willen geen gedoe, zijn al druk genoeg en hebben weinig affiniteit met het thema. Artsen prijzen VIP ook: het maakt allerlei bureaucratische handelingen die nodig zijn om hun zorg vergoed te krijgen makkelijker. En het bedrijf en het bestuur van hun zorggroep verzekeren dat VIP Live veilig is. De werkwijze zou juridisch waterdicht zijn.

De kritische huisartsen vinden technische oplossingen om een volledige kopie van hun patiëntensysteem te voorkomen, maar de leverancier van VIP wijst zulke voorstellen stelselmatig van de hand als onmogelijk.

In de coöperatie geldt uiteindelijk de meerderheid van de stemmen. De vergadering met 78 aangesloten huisartspraktijken in de omgeving Nijmegen koos als compromis om het systeem een jaartje op proef te nemen. Daarnaast zou een interne werkgroep met huisartsen onderzoek gaan doen. Die concludeerde dat de software van concurrenten van VIP weliswaar beter lijkt, maar dat de leden nu al ervaring hebben met het pakket en dat doorgaan met deze software dus voor de hand lag. Bovendien zou VIP de goedkoopste aanbieder zijn.

Theeuwen, Janssen en andere critici waren uitgepraat. Zonder VIP Live konden ze niet meer meedoen met de ketenzorg. Voor huisartsen betekent het dat hun begeleiding van een astmapatiënt of de hulp aan een patiënt met suikerziekte of COPD niet door de verzekeraar wordt betaald. En de patiënt moet dan zijn eigen risico aanspreken om de rekening te betalen. Theeuwen zou het 20 procent van zijn omzet schelen. Om kort te gaan, de systematiek van declaraties duwt huisartsen in het keurslijf van de regionale zorggroep, terwijl hij of zij wél zelf eindverantwoordelijk blijft voor de veiligheid en de bescherming van de medische gegevens.

Lees ook: Medische gegevens van 900.000 mensen gelekt

Drie huisartspraktijken weigeren bij het kruisje te tekenen. Janssen ging met pensioen en twee andere praktijken namen hun toevlucht tot een andere regionale huisartsengroep, Gelders Rivierenland, die in hun ogen een minder invasief informatiesysteem gebruikt.

Brief in de kluis

Niet iedereen durft dat. Een drietal andere huisartsen uit de Nijmeegse zorggroep, met dezelfde fundamentele bezwaren tegen VIP Live, tekenden in het voorjaar van 2019 noodgedwongen het contract met Calculus, de leverancier van het IT-systeem.

„Hoe heeft u ons eigenlijk gevonden?”, vragen ze als NRC contact opneemt. De huisartsen willen niet met hun naam in de krant. Ze willen „geen gedoe” met hun patiënten en vrezen voor juridische gevolgen. De data-extractie tart iedere week opnieuw hun gemoed. Hadden ze hun patiënten niet moeten informeren over de werking van VIP Live, vragen ze zich nog steeds af. Hadden ze hen niet om toestemming moeten vragen voordat ze de dossiers overdroegen?

Artsen bewegen zich op een complex juridisch terrein: ze zijn verantwoordelijk voor het bijhouden en bewaren van medische persoonsgegevens in dossiers en zijn gebonden aan het beroepsgeheim en behandelrichtlijnen, daarop kunnen ze worden afgerekend in het tuchtrecht. Er gelden gedragscodes voor gegevensuitwisseling en sinds mei 2018 kwam daar de AVG bij, de privacywet. De basisregel is dat veel kan worden gedeeld zolang de arts toestemming van de patiënt heeft. Die kan ook impliciet worden gegeven, via een behandelrelatie. Wanneer de dokter namens een patiënt insuline bestelt, kan de huisarts ervan uitgaan dat de patiënt toestemming geeft voor het delen van de gegevens met de apotheker.

Lang niet alle dossiers van patiënten die VIP Live kopieert, zijn relevant voor andere behandelaars, beseffen de huisartsen die hebben getekend: veel patiënten zijn niet chronisch ziek en behoeven geen ketenzorg. Moeten artsen dan toch niet de patiënten om instemming vragen of hen op zijn minst informeren? „Dat hoeft niet”, leest een antwoord van Calculus op de zorgen van de artsen uit die tijd. „U heeft het recht om de gegevens te (laten) verwerken voor uzelf, bijvoorbeeld voor kwaliteitscontrole, verantwoording en managementdoeleinden.”

De drie huisartsen die anoniem willen blijven, wendden zich uiteindelijk tot de Autoriteit Persoonsgegevens (AP) voor een oordeel over de kopieën die VIP Live van hun patiëntenadministratie maakt. De toezichthouder toonde zich in 2018 geïnteresseerd, vertellen ze, en vroeg stukken op, bij hen, bij de Nijmeegse zorggroep en bij Calculus.

Na een jaar had de toezichthouder nog steeds niet gereageerd. Voorjaar 2019 schrijven de artsen gefrustreerd een brief. „Aangezien wij de Autoriteit Persoonsgegevens al meer dan een jaar geleden op deze situatie hebben gewezen en er geen daadwerkelijke stappen zijn ondernomen om deze onnodige lekkage van medische gegevens te stoppen c.q. voorkomen, achten wij ons in de toekomst dan ook gevrijwaard van een aanwijzing, berisping of boete, mocht de Autoriteit Persoonsgegevens alsnog besluiten dat het delen van gegevens op deze wijze ongewenst mocht zijn. Wij hadden gehoopt dat de Autoriteit Persoonsgegevens het onnodig delen van medische gegevens van circa 4 miljoen Nederlanders, anders dan wel voorspoediger zou hebben aangepakt.”

Op 29 april 2019, een maand na de afgedwongen overstap en ruim een jaar nadat ze de zaak onder de aandacht van de toezichthouder hadden gebracht, kregen de artsen een antwoord. De brief is vier zinnen lang. De AP schrijft een gesprek te hebben gehad met Calculus Software B.V. en de zorggroep. Die informatie „vormt momenteel geen aanleiding om een onderzoek te starten”. De artsen lezen hierin de garantie dat ze nooit in de problemen zullen komen vanwege het op grote schaal delen van alle medische data van hun patiënten. De brief wordt tot op de dag van vandaag bewaard, in een kluis in de praktijk.

Schending beroepsgeheim

De AP, normaliter uiterst terughoudend in het bespreken van individuele gevallen, laat NRC weten dat uit onderzoek bleek dat de gegevens van de huisartsen niet met externen worden gedeeld en dat de data versleuteld worden opgeslagen: alleen de betrokken huisarts kan erbij. Dat de huisartsen lang op antwoord moesten wachten komt doordat de toezichthouder aan „vele andere zaken” werkte „met beperkte capaciteit”. In het schrijven kan overigens geen goedkeuring gelezen worden, want „een stempel van goedkeuring” geeft de AP nooit.

„Ik had eigenlijk geen keuze”, zegt een van de huisartsen. „Ik zou heel veel geld mislopen voor werk dat ik wel doe. Tot op de dag van vandaag verbaast het me dat ik gegevens uitwissel, waar een deel van mijn patiënten nooit de vraag over heeft gekregen of ze dat oké vinden. Het zit me niet lekker, nog steeds niet.” Een andere collega uit de omgeving van Nijmegen baalt nog steeds van de data-extracties: „Het is al zo moeilijk om die gevoelige gegevens te beveiligen, en dan wordt er zo makkelijk over dit soort dingen gedaan.”

De Landelijke Huisartsen Vereniging (LHV) is glashelder over de rolverdeling: de huisarts en de huisarts alleen is eindverantwoordelijk. Die moet kunnen bepalen welke data wel en welke data niet worden gedeeld, laat een jurist van de vereniging aan Theeuwen weten. De LHV zegt zich al jaren in te zetten voor een stevigere positie ten opzichte van de ict-leveranciers. „Nu zijn er voor huisartsenpraktijken te weinig bewegingsvrijheid en transparantie: overstappen is complex, tijdrovend en soms ook duur en er is te weinig helderheid over kosten en wat je daarvoor krijgt.”

Anton Ekker, advocaat gespecialiseerd in grootschalige en complexe gegevensuitwisselingen, verbaast zich over de uitspraken van het ict-bedrijf. „Het is niet aan Calculus om te zeggen wat het doel van de gegevensverwerking is en of daar wel of niet toestemming voor nodig is. De huisarts is daar verantwoordelijk voor. De juridische kern van de zaak is of de data-extractie noodzakelijk en proportioneel is. Daar wordt niks over gezegd.”

Ekker schreef mee aan de Gedragscode Elektronische Gegevensuitwisseling in de Zorg. Wat hem betreft is duidelijk dat de patiënt wél om toestemming gevraagd moet worden. De AP zegt bij de Nijmeegse zorggroep benadrukt te hebben dat de patiënten „op een goede en duidelijke manier” geïnformeerd moeten worden.

„Je ziet het vaker bij IT-systemen in de zorg”, zegt Ekker. „Het is een eilandenrijk waar leveranciers graag een grote machtspositie of zelfs een monopolie hebben binnen een bepaalde markt. Zorgaanbieders hebben vaak niet de kennis om de juridische constructie te beoordelen of durven niet kritisch te zijn, omdat ze afhankelijk zijn van een ict-systeem. Ze voelen zich bovendien beschermd door de massa. De kans dat de AP langskomt, lijkt klein en als dat gebeurt, zit iedereen fout.”

Een nieuwe reus

Dat aantal van vier miljoen Nederlanders waarvoor de Nijmeegse artsen in 2019 waarschuwden, groeide sindsdien gestaag. Calculus is inmiddels onbetwist marktleider in informatiesystemen voor regionale artsensamenwerking. Van de zestigtal zorgregio’s werken zo’n vijftig met VIP Live.

Het betekent dat wekelijks een volledige kopie van de medische dossiers van duizenden huisartsenpraktijken wordt getrokken. Proigia BV, een dochterbedrijfje uit Wageningen, voert de wekelijkse data dump uit. Dit bedrijf regelt dat de medische dossiers van miljoenen Nederlanders, naar schatting al snel driekwart van de inwoners, allemaal op één plek worden opgeslagen. Het gebeurt ergens in een datacentrum van het Amerikaanse Amazon. Waar precies is niet bekend, maar het zal binnen Europa zijn – dat is verplicht.

Calculus is onderdeel van het veel grotere Topicus dat in Nederland meer dan honderd softwarebedrijven bezit en een omzet van bijna 1 miljard euro behaalt. Het concern is in de huisartsenwereld dominant geworden met zijn informatiesystemen. Topicus is op zijn beurt onderdeel van de internationale investeringsmaatschappij Constellation Software Inc uit Canada, die als strategie heeft wereldwijd zoveel mogelijk softwarebedrijven op te kopen die marktleider zijn op hun deelmarkt.

Hoe gevaarlijk is die ontwikkeling? De nadelen van „een niet goed werkende zorg-ict-markt voor patiënten” zijn zo groot dat de toezichthouder op machtsmisbruik, de Autoriteit Consument en Markt (ACM), er vorig jaar onderzoek naar deed.

De ACM waarschuwt ervoor dat artsen te afhankelijk worden van hun ict-leverancier, dat overstappen te duur en te moeilijk wordt en concurrerende IT-bedrijven er nog moeilijk tussen komen. Ook vreest de toezichthouder dat systemen bewust slecht met die van concurrenten communiceren, zodat bedrijven hun marktposities behouden. Individuele bedrijven noemt de waakhond niet. De ACM waarschuwt verder voor slechte contractvoorwaarden en hoge tarieven als vormen van machtsmisbruik.

„De ACM pleit ervoor dat systemen gelijke standaarden hebben. Op die manier kunnen systemen makkelijker gekoppeld worden en ben je minder afhankelijk van één ICT-leverancier. Dit soort maatregelen maakt dat de markt ook beter kan werken. Het ministerie van VWS zet daarvoor de nodige stappen.”

De toezichthouder houdt het bij algemene waarschuwingen. Nog nooit legde hij een boete op, gaf hij een waarschuwing of trad hij anderszins op in de ict-markt voor patiënten.

Calculus

„Het is eigenlijk heel snel gegaan”, zegt directeur Rosa Scherjon van Calculus Software. In een zonnige kamer aan de Zoeterwoudsesingel van Leiden legt ze samen met directeur Hugo Brand op het hoofdkantoor uit wat de laatste jaren in de huisartsenzorg gebeurde: regionale zorggroepen werden razendsnel een onmisbare schakel in de eerstelijnszorg. De samenwerking van artsen begon in 2006 met diabetespatiënten, inmiddels doen ze dat op veel vlakken, van hartritmestoornissen tot aan ouderenzorg.

Voor niemand is het een heel groot probleem als bekend is dat je diabetes hebt

Hugo Brand Calculus-directeur

Het delen van die dossiers gebeurde aanvankelijk door op regionaal niveau een tweede medisch dossier aan te leggen, want de bestaande huisartssystemen waren er slecht op ingericht gegevens buiten de praktijk te delen.

„Wij vonden dat dat niet goed werkte, om op twee plekken aan dossiers te werken, die dan vaak niet dezelfde informatie bevatten”, zegt Scherjon. Te veel gedoe voor de huisarts, te foutgevoelig, zegt ze. En bij iedere kleine wijziging moet je dan op twee plekken gaan sleutelen.

Eén verbeterd huisartsensysteem dat makkelijker data deelt buiten de praktijk zou de meest voor de hand liggende oplossing zijn. Maar het laatste wat huisartsen willen, is om met hun praktijk op een nieuw ict-systeem over te stappen, weet de directeur van Calculus. „Daarom hebben wij een soort schil gebouwd om de bestaande systemen van huisartsen, zodat ze hun eigen systeem konden behouden.”

Door de patiëntendossiers te kopiëren en daarna slim te verwerken ten behoeve van zorgverzekeraars en regionale samenwerking hoeven huisartsen geen dubbele administratie te voeren.

En, inderdaad, erkent Scherjon, dat betekent dat „die data bij ons staan”. Maar, nuanceert ze: „De tijd dat gevoelige persoonlijke medische dossiers alleen in stalen archiefkasten in de kelders van de huisartsenpraktijken lagen, ligt inmiddels ver achter ons. Kijk, die gegevens blijven ook na de kopie gewoon onder verantwoordelijkheid van de huisarts, ze verlaten niet zijn domein. Wij doen dit alleen maar in opdracht van de huisarts, ten behoeve van de huisarts.” De huisarts bepaalt met wie Calculus zijn gegevens allemaal deelt.

Versleuteld

Dat gebeurt allemaal veilig, verzekert haar collega Hugo Brand. Net als bij de huisartsen worden de gegevens beschermd door zware cryptografie, strenge beveiligingseisen in de vorm van NEN-normen, ISO-certificeringen en ingewikkelde juridische constructen (‘gegevensverwerker’ of ’gegevensverantwoordelijke’) en contracten. De geëxtraheerde gegevens worden onmiddellijk versleuteld en daarna is toegang voorbehouden aan de arts. Calculus en de zorggroep krijgen het wachtwoord niet.

Calculus werkt voor de huisartsen, zegt Scherjon: „De zorg staat enorm onder druk en moet veranderen. Huisartsen moeten meegaan met de tijd om zorg op een hoog niveau te blijven leveren. Wij – als IT-leveranciers – de zorgverzekeraars en de regio-organisaties doen dat allemaal om de huisartsenzorg in Nederland op peil te houden.”

VIP Live is om die reden een prachtig systeem, zegt Robert Verheij, bijzonder hoogleraar transparantie in de zorg aan Tilburg University. Het verzet van de huisartsen is volgens hem een symptoom van de onduidelijke wetgeving in Nederland: „Dit is een van de vele voorbeelden van zorgverleners die niet precies weten wat er wel en niet mag met de gegevens die ze vastleggen. Maar van belang is ook te erkennen dat we veel kunnen leren van die gegevens. Gebrek aan vertrouwen bij burgers en zorgverleners is daarbij een knelpunt. De wetgeving is op het gebied van hergebruik van data onduidelijk en dat is een van de pijlers waarop dat vertrouwen rust.”

Calculus-directeur Brand: „Ik denk dat niemand heel grote problemen zou hebben als ergens bekend wordt dat je diabetes hebt. Daar zit het probleem niet.” Het is ingewikkelde materie, zegt Scherjon. Tegen een ongemakkelijk gevoel bij huisartsen kan Calculus „niet vechten”.

‘Heet hangijzer’

De verklaringen van Calculus en de reactie van de privacytoezichthouder kent Theeuwen onderhand wel. „Via een achterdeur hebben zij gewoon de patiëntgegevens van alle Nederlanders gekregen. Dat blijft voor mij het heikele punt, terwijl de wetgeving volgens mij vraagt om het verwerken van zo min mogelijk gegevens. Maar die keuze krijgen wij niet: de markt dwingt ons die privacygevoelige medische gegevens wél te delen.”

Voor Theeuwen is het inmiddels een herhaling van zetten: de zorggroep waar hij in 2019 zijn toevlucht zocht, is sinds kort op zoek gegaan naar een nieuw zorginformatiesysteem. De reden: Philips heeft de stekker uit VitalHealth getrokken, een concurrerend systeem voor ketenzorg dat door dubbele dossiervoering veel minder data uit de huisartsenpraktijk overhevelt.

Zijn nieuwe zorggroep uit Ochten constateerde afgelopen mei dat de markt de laatste paar jaar „sterk verschoven” is naar marktleider VIP Live. Nog steeds trekt de software alle data uit de praktijk, „een heet hangijzer in de vorige selectieronde” erkent het bestuur in een mail aan de leden. De systemen van nieuwe concurrenten zouden echter met kinderziektes kampen. Op regioniveau is de keuze voor Calculus reeds genomen. Theeuwen heeft zijn nieuwe contract met Calculus al ontvangen: tekenen bij het kruisje.

Zo’n acht op de tien Nederlanders moeten zich realiseren dat hun patiëntendossier bij Calculus staat, zegt Theeuwen. „Inhoudelijk is dit lang niet altijd nodig, maar helaas wel een feit.”