Van toestemmingsregister naar landelijke toegangspoort

Sinds de invoering van Mitz, het landelijk toestemmingsregister voor medische gegevensuitwisseling, groeit het systeem uit tot een structureel onderdeel van de nationale zorginfrastructuur. Steeds meer zorgaanbieders en digitale ketens zijn erop aangesloten, waardoor Mitz’ functioneren begint als een feitelijke toegangspoort tot medische informatie.

Die verschuiving roept vragen op, omdat de gekozen systematiek opnieuw elementen bevat die eerder bij het Landelijk Elektronisch Patiëntendossier tot grote zorgen leidden.

Brede toegangsrechten vergroten het risico op ongewenste inzage

Een van de belangrijkste aandachtspunten is de beperkte fijnmazigheid van de huidige toestemmingen. Toestemming geldt vaak voor hele beroepsgroepen of ketens, niet voor specifieke zorgverleners. Dat betekent dat een bredere groep professionals toegang kan krijgen dan een patiënt beoogt.

Wanneer een systeem op deze manier werkt, ontstaat een risico op:

• onbedoelde inzage door zorgverleners die niet direct betrokken zijn bij de behandeling,
• vergissingen, doordat de reikwijdte van de toestemming te ruim is,
• misverstanden omdat patiënten denken dat hun toestemming specifieker is dan hij in werkelijkheid is.

Voor een gegevenscategorie die tot de meest gevoelige behoort—medische informatie—kan zo’n ruime toegang directe gevolgen hebben voor privacy en vertrouwelijkheid.

‘Namens-toestemming’ maakt misbruik en fouten moeilijk traceerbaar

Mitz biedt zorgverleners de mogelijkheid om namens een patiënt toestemming te registreren, bijvoorbeeld wanneer iemand niet digitaal vaardig is. Deze functionaliteit is praktisch, maar kent een zwakke controlemechaniek.

Daarmee ontstaan duidelijke risico’s:

• Toestemming kan worden vastgelegd zonder dat de patiënt aanwezig is, wat het risico op misinterpretatie vergroot.
• Onjuiste of te ruime toestemming is achteraf moeilijk te detecteren, omdat verificatie stap voor stap ontbreekt.
• Afhankelijkheidsrelaties kunnen de betrouwbaarheid van het proces beïnvloeden, zeker wanneer een patiënt weinig mogelijkheden heeft om te controleren wat er namens hem of haar wordt vastgelegd.

Voor een landelijk systeem betekent dit dat fouten of misbruik zich snel breed kunnen verspreiden.

Kwetsbare groepen lopen disproportioneel gevaar

Ouderen, mensen in langdurige zorgtrajecten en burgers met beperkte digitale vaardigheden zijn extra gevoelig voor fouten in het toestemmingsproces. Zij kunnen vaak niet zelf controleren welke toestemming is vastgelegd en wie toegang heeft gekregen.

Hierdoor ontstaat het risico dat:

• onbedoelde toegang lange tijd onopgemerkt blijft,
• voorkeuren niet correct worden vastgelegd,
• patiënten geen reëel zicht hebben op de verspreiding van hun gegevens.

Juist bij deze groepen wordt de vertrouwelijkheid van medische informatie afhankelijk van de correctheid van de registratie door derden.

Centrale infrastructuur vergroot impact van datalekken en systeemfouten

Naarmate Mitz uitgroeit tot een nationaal knooppunt, neemt ook de impact van mogelijke beveiligingsincidenten toe. Een centrale toegangspoort zorgt voor:

• een groter aanvalsoppervlak voor cybercriminaliteit,
• een hogere concentratie van toegangsrechten,
• een hogere kans dat fouten systemisch doorwerken, bijvoorbeeld wanneer een toestemming onjuist is geregistreerd maar overal wordt toegepast.

Zelfs wanneer individuele systemen goed beveiligd zijn, kan de centrale koppeling een zwakke plek vormen.

Gebrek aan gedetailleerde transparantie belemmert controle

Hoewel patiënten inzage kunnen krijgen in hun toestemmingsinstellingen, is het voor hen in de praktijk vaak lastig te begrijpen:

• wie precies toegang heeft,
• op basis van welke grondslag,
• en wat de technische reikwijdte van hun toestemming is.

Deze beperkte transparantie maakt het moeilijk om ongewenste toegang op te merken of om fouten tijdig te corrigeren, en vergroot daarmee het risico op stilzwijgende doorsijpeling van medische gegevens binnen het zorgnetwerk.