Recht op digitaal consult voor zover passend bij goede zorg
Reactie
Naam
|
Anoniem
|
Plaats
|
Bergen op Zoom
|
Datum
|
22 november 2023
|
Vraag1
U kunt reageren op alle aspecten van het wetsvoorstel.
Het wetsvoorstel zit qua beveiliging niet goed in elkaar, is onvoldoende doordacht. Daarnaast zijn het voorstel en de MvT niet consistent.
Ten aanzien van het aspect beveiliging valt het volgende op te merken:
1. Wellicht is het artikel in het geheel niet nodig. Alle zorgaanbieders dienen immers gebruik te maken van het BSN van de cliënt/patiënt. De wet- en regelgeving inzake het gebruik van BSN in de zorg bepaalt dat de zorgaanbieder moet voldoen aan NEN-7510 Informatiebeveiliging in de zorg. Daarmee dient ook het digitaal consult passend beveiligd te worden.
2. Vraag is echter of een digitaal consult wel voldoende veilig geleverd kan worden. Beveiliging is zo sterk als de zwakste schakel. Ten eerste heeft de zorgaanbieder geen enkele controle over het apparaat (gsm, tablet, PC) waarmee de cliënt/patiënt gebruik maakt van de dienst. Dit apparaat kan gehackt zijn, zodat een derde het consult kan aftappen/meeluisteren (ook bij end-to-end encryptie!). Ten tweede is het anno 2023 nog maar de vraag of de zorgaanbieder wel in voldoende mate de identiteit van de cliënt/patiënt kan controleren: zie toepassingen van AI die leiden tot niet van echt te onderscheiden deep-fake beelden.
3. In de MvT wordt geschetst dat er een groot aantal aanbieder is van digitaal consult. Als de lijst waarnaar in de MvT wordt verwezen wordt geopend, dan blijkt dat velen niet voldoen aan de 'best cyber security practise' anno 2023 dat toegangsbeveiliging minimaal moet bestaan uit twee of meer factor authenticatie (2FA/MFA). In veel gevallen is een wachtwoord voldoende. Dat is niet veilig in een situatie waarin medische gegevens verwerkt worden.
4. Als er dan aanvullende eisen gesteld worden, dan zou o.a. opgenomen moeten worden dat de applicatie voor digitaal consult geïntegreerd zou moeten zijn met het EPD. Hiermee kunnen verschillende soorten fouten worden voorkomen (zoals versturen uitnodiging naar verkeerde patiënt). Ook zou de zorgaanbieder eerst via een risicoanalyse conform NEN-7510 en een DPIA conform AVG moeten kunnen aantonen dat de dienst digitaal consult daadwerkelijk veilig aangeboden kan worden.
Tot slot bevat de MvT nog diverse slordigheden.
Vraag2
Dit voorstel regelt dat een patiënt kan verzoeken om een digitaal consult (videoconsult). De zorgaanbieder wijst dit verzoek toe, of legt uit dat bij een digitaal consult in dat geval geen goede zorg geleverd kan worden. Hoe beoordeelt u deze toepassing van het principe van comply or explain? Zie ook paragraaf 4 van de memorie van toelichting.
De insteek is dat een digitaal consult alleen geweigerd kan worden indien er geen goede zorg geleverd kan worden. Dit is een te enge benadering. Zoals ook blijkt uit mijn reactie op vraag 1 zou het digitaal consult ook geweigerd moeten kunnen worden c.q. afgebroken kunnen worden indien (1) de identiteit van de cliënt/patiënt onvoldoende vastgesteld kan worden en (2) er onvoldoende waarborgen zijn dat de dienst digitaal consult inderdaad veilig aangeboden kan worden (dan wel de zorgaanbieder een vrijwaring krijgt voor gebreken in de beveiliging aan de kant van cliënt/patiënt).
Bijlage