Consumentenbond over EPD: ‘Rechten consument slecht geregeld’

De conclusies van de Consumentenbond naar aanleiding van een analyse van het EPD zijn niet mals. De rechten van consumenten over privé-gegevens zijn slecht geregeld bij EPD, bij misbruik van privé-gegevens staan consumenten vrijwel machteloos.

Alhoewel de patiënt voldoende zeggenschap heeft over het eigen dossier, is er een slechte controle op de kopieën van de medische dossiers. Daarnaast bleek de informatiecampagne van VWS over het EPD maar weinig informatief.

10 rechten
De Consumentenbond heeft een analyse gemaakt van het EPD op basis van ‘10 rechten voor digitale omgang’. Die rechten zijn als aftrap van de campagne privé-gegevens gepresenteerd: anonimiteit, zeggenschap, informatie, gericht gebruik, toestemming, risicoaansprakelijkheid, kwaliteit, geschilbeslechting, educatie en tot slot toezicht en handhaving. De Consumentenbond pleit ervoor dat consumenten controle kunnen houden over hun privé-gegevens. Consumenten zijn in beginsel zelf verantwoordelijk voor het verstrekken van hun privé-gegevens en moeten zelf regie kunnen hebben over het gebruik ervan.

De Consumentenbond heeft op basis van deze rechten gekeken hoe het Elektronisch Patiëntendossier (EPD) omgaat met de privé-gegevens van consumenten. Uit de analyse is naar voren gekomen dat het met de rechten van consumenten over hun privé-gegevens niet zo best is gesteld. De bond constateert dat het misgaat bij het recht op informatie, gericht gebruik, risico aansprakelijkheid, geschilbeslechting en het recht op kwaliteit. VWS heeft de consument niet goed geïnformeerd over de consequenties van de keuzes voor deelname en afzien van deelname aan het EPD.

Onbeperkt kopiëren
Behandelend artsen kunnen daarnaast onbeperkt kopieën maken van (delen van) medische dossiers, waardoor gegevens gemakkelijk verspreid worden en het principe van doelbinding wordt ondermijnd. Bovendien, een consument zal als hij deze informatie wil verwijderen moeilijk kunnen nagaan waar zijn gegevens allemaal terecht zijn gekomen.

Aansprakelijkheid?
Verder blijkt dat het voor consumenten niet duidelijk is wie aansprakelijk is in geval van misbruik van privé-gegevens; meerdere partijen kunnen aansprakelijk zijn en dit kan per situatie ook nog eens verschillen. Daarbij komt nog dat er vooralsnog geen meldplicht voor de verantwoordelijke organisatie(s) bestaat om (betrokken) consumenten in geval van misbruik te informeren. Daarnaast is er geen laagdrempelige vorm van geschilbeslechting geregeld waar consumenten gebruik van kunnen maken bij klachten.

Identiteit verificatie
Tot slot blijkt dat zorgaanbieders niet verplicht zijn de identiteit van consumenten te verifiëren in het geval aanbieders 'heel zeker zijn over de identiteit van hun consumenten'. Deze zogenoemde 'vergewisplicht' is ingesteld door de Tweede Kamer en ondermijnt de kwaliteit van de informatie van het EPD. Hierdoor kan een door consumenten opgegeven valse identiteit onontdekt blijven, met alle mogelijke gevolgen van dien.

Zaken die wel goed geregeld zijn
Opvallend is dat in het EPD het recht op zeggenschap wel goed is geregeld. Er is in beginsel veel nagedacht over de privé-gegevens en de beveiliging tijdens het ontwerp van het EPD. Het eigenhandig kunnen inloggen door consumenten om hun dossier te kunnen inzien is bovendien een voorwaarde voor het verplicht landelijk uitrollen van het EPD.

Ook qua beveiliging heeft VWS veel geregeld. Zo heeft men NEN normen in acht genomen voor de beveiliging van het EPD en is een UZI-pas ingesteld waar zorgaanbieders gebruik van maken om in te kunnen loggen op het EPD. De chip op de UZI-pas is overigens onlangs gekraakt. De minister zoekt naar een nieuwe veilige techniek voor de pas, zodat de UZI-pas alsnog veilig kan worden ingevoerd.

De website infoepd.nl biedt veel informatie. Het is daarbij wel de vraag hoe bekend deze website is bij het grote publiek. Daarnaast is het de vraag hoe snel en eenvoudig consumenten de benodigde informatie op deze website kunnen vinden. (ICTzorg – Hein Bosman)
 

Terug naar vorige pagina  »