Minister De Block : “sensibilisering” volstaat, er zijn “genoeg bestaande maatregelen”
Is dat zo ?
“ Rechters moeten standaard Logins opvragen zodat medische expertises eerlijk kunnen verlopen “
“ Databases zoals Nexuzhealth en CoZo verplichten, moet verboden worden want schending GDPR – laat desnoods mensen ZELF kiezen zoals de wet voorziet want ZIJ zijn de eigenaar van hun medische informatie ”
“ Parket, GBA en Orde dienen duidelijk signaal te sturen : zolang men niet bestraft, zegt men eigenlijk ‘doe maar rustig voort met inbreken, je riskeert toch niets’ “
“ Oplossing : meldpunt in GBA voor logins ; bij inbraken dient GBA meteen procureur te verwittigen zoals de wet voorziet ; procureur dient meteen te vervolgen zoals de wet voorziet “
Anke Santens is 1 van de getuigen in het onderzoek van De Morgen over de systematische inbraken in medische dossiers door verzekeringsartsen.
Met verbijstering aanhoorde ze in Villa Politica het discours van Maggie De Block in het parlement deze week (1). “Ik werd misselijk toen ik hoorde hoe De Block deze wanpraktijken misbruikte om reclame te maken voor haar Personal Health Viewer,” zegt Anke Santens. “Personal Health Viewer geeft helemaal geen controle aan de patiënten. Niemand die ik ken, ontdekte de inbraken via Personal Health Viewer. In de praktijk krijgt niemand sinds Panorama
meer de namen van de inbrekers. Noch de Orde, noch de GBA, noch het parket, noch de rechters onderzoeken of bestraffen het inbreken in medische dossiers en het achteraf aanpassen van medische verslagen op maat van verzekeringen. Het is onzin dat de bestaande controlemaatregelen volstaan en dat bijgevolg “sensibiliseren” - de enige maatregel die De Block (opnieuw) voorziet - zou volstaan. De Block sensibiliseert al 5 jaar maar de inbrekers gaan lustig door. Iedereen vergeet de essentie van het debat : dergelijke databases verplichten is gewoonweg illegaal. Ze zouden niet eens mogen bestaan.”
Personal Health Viewer
Dit is net als Cozo een digitaal medisch dossier opgericht door de overheid. “Als patiënt krijg je slechts toegang tot een deel van je medisch dossier. Ikzelf bvb vond
slechts een vijftal medische verslagen in CoZo. Nagaan wie inbrak in je dossier is, in tegenstelling tot wat De Block beweert, niet mogelijk. Geen enkele van de slachtoffers
ontdekte de inbraken “dank zij de personal health viewer”. Ik heb nooit mijn toestemming gegeven om mijn medische gegevens te laten opslaan in deze overheidsdatabases.
Toch bestaat er een dossier over mij. Ik heb hierop meermaals uitdrukkelijk mijn toestemming laten intrekken bij mijn huisarts. Enkele weken later stond er terug automatisch
dat ik toestemming had gegeven,” vertelt Anke Santens. “Geloof je het niet ? Doe zelf de test. Cozo en Personal Health Viewer zijn zo illegaal als maar kan zijn. Ze druisen in
tegen GDPR. In Nederland zijn dergelijke databases verboden omdat ze een schending van de privacy inhouden. Bovendien kan je niet zelf beslissen of je gegevens al dan niet
opgeslagen of gedeeld worden. Dit is waar het debat over dient te gaan : mogen we burgers verplichten – want dat is wat nu gebeurt – om hun medische informatie te delen ?
Het antwoord is manifest nee. Als dergelijke systemen niet zouden bestaan, dan zou het probleem van de inbraken meteen vanzelf opgelost zijn. We moeten niet naïef zijn :
als de overheid investeert in digitale medische databases, dan is dat niet om mensen te helpen, maar om zichzelf te verrijken door de verkoop van deze gegevens aan
farmabedrijven zoals eerder al aan het licht kwam, en aan verzekeraars. Laat ons hierbij niet vergeten dat de overheid (hoofd)aandeelhouder is van een aantal Belgische
verzekeringsmaatschappijen. De overheid heeft er alle baat bij dat er zo weinig mogelijk letselschade vergoed wordt.”
NexuzHealth – KWS KU Leuven
“Verzekeringsartsen breken vooral in via Nexuzhealth, het private KWS ontwikkeld door KU Leuven. Daarin staan alle medische gegevens, inclusief verpleegnota’s en vertrouwelijke
aantekeningen van de artsen, van alle patiënten in alle aangesloten ziekenhuizen gecentraliseerd. Concreet betekent dat, dat een arts in Oostende zonder enige controle of
sanctie een dossier van een patiënt in Hasselt of Leuven of Antwerpen kan consulteren, kopiëren, emailen, afprinten, noem maar op. Als patiënt heb je er geen toegang toe,
als verzekeringsarts wel. Ook hier geldt dat ik nooit mijn toestemming heb gegeven om mijn medische gegevens hierin op te slaan, laat staan te delen met onbekenden.
Ook hier geldt dat je als patiënt geen keuze hebt. Ook hier geldt dat dit zo onwettelijk is als maar kan zijn. De echte vraag is dus, waarom de overheid dergelijke privé-
systemen überhaupt toelaat ? Ziekenhuizen weigeren om de namen door te geven van de artsen, secretaresses e.a. die inbreken in je dossier. Ze bezorgen onvolledige logins
zodat je niet kan nagaan wie inbrak in je dossier. In plaats van artsen die inbreken te sanctioneren (zoals ze volgens De Block verondersteld zijn te doen), maken
ziekenhuizen het bestraffen van artsen zo onmogelijk. Ik heb lijsten met tientallen meldingen van “overruled”. Een overruled is een ongeoorloofde toegang, een inbraak dus.
Tot op vandaag weigeren AZ Groeninge en KU Leuven om de logins over te maken – zelfs na dagvaarding. De Block verkoopt m.a.w. lucht in het parlement als zij beweert dat
“de controle in handen van de patiënten ligt”,” zegt Anke Santens. “Zelfs advocaten van verzekeringsslachtoffers krijgen de logins niet.”
Geen keuzevrijheid, geen informed consent
“Ik vraag sinds 2016 om mijn medische gegevens te verwijderen uit Nexuzhealth en Cozo en aanverwante. Mijn huisarts heeft een volledige copy van mijn medisch dossier,
voor mij volstaat dat. Ik heb geen levensbedreigende aandoening die het delen van mijn medische informatie zou kunnen rechtvaardigen. Ondergeschikt vraag ik dat de
toegang tot mijn medisch dossier geblokkeerd wordt en dat enkel artsen aan wie ik uitdrukkelijke toestemming geef en met wie ik een behandelrelatie heb, dit zouden
kunnen consulteren. Dat wordt door KU Leuven geweigerd alhoewel dit technisch gezien eenvoudig realiseerbaar is. Ook dit is zo onwettelijk als maar kan zijn, GDPR
verbiedt dergelijke praktijken,” vertelt Anke Santens (2).
Geen onderzoek door de Orde der Artsen
In het parlement verklaarde De Block dat de Orde der Artsen bevoegd zijn om inbraken in medische dossiers te sanctioneren. In de praktijk weigert de Orde ieder onderzoek.
Het bewijs daarvan vindt u in bijlage. Hetzelfde geldt voor het opstellen van valse verslagen door gerechtsexperts. Ook dat wordt nooit onderzocht. Slachtoffers hebben geen
enkele bescherming tegen de verzekeringsmisbruiken die van kwaad naar erger gaan. Al jaren draait De Block rond de pot met hetzelfde verhaal : we gaan de Orde hervormen … (bijlage).
De Orde beschermt corrupte artsen en patiënten hebben in realiteit 0 rechten.
Geen onderzoek door de GBA aka Privacycommissie
Terecht verwees Catherine Fonck (CDH) in het parlementair debat (1) naar het in 2016 beloofde onderzoek naar inbraken door verzekeringsartsen door de privacycommissie (bijlage).
“Ik heb alle stukken 5 jaar geleden overgemaakt aan de Privacycommissie. Zij zijn wettelijk verplicht om de procureur te informeren als ze strafbare feiten vaststellen. Dat is nooit
gebeurd. Mijn dossier is keurig in de doofpot gestopt. Had de privacycommissie haar job gedaan in 2016, dan was mijn dossier al lang correct afgesloten,” zegt Anke Santens.
“Ook nieuwe inbraken heb ik meermaals aan de GBA gemeld. De GBA weigert ieder onderzoek. Dat gebeurt in ALLE dossiers. De GBA gaat zelfs actief ziekenhuizen die weigeren
logins over te maken en artsen die inbreken, beschermen. De GBA is verondersteld boetes te geven aan ziekenhuizen tot 4 % van hun omzet en is verondersteld de strafbare feiten
te melden aan de procureur. Dat gebeurt niet. De bestaande controle-organen van De Block doen m.a.w. hun job niet. De wet is prima, maar hij wordt niet toegepast, zelfs niet door de
overheidsdiensten.” Een voorbeeld in bijlage.
De Block weet perfect dat de GBA weigert inbraken in medische dossiers te onderzoeken. “Reeds in 2018 verklaarde zij in de pers dat er sprake was van fraude in mijn dossier (bijlage – MediQuality).
Aan De Morgen verklaart zij vervolgens “uit de lucht te vallen” ? 2 jaar later kan ik enkel vaststellen dat er nog niets veranderd is. En dat zal ook zo blijven als de media en het parlement
geen daadwerkelijke actie en resultaten eisen. Met een verklaring in de pers of in het parlement dat het “een schande” is, zijn de slachtoffers uiteraard niet geholpen ! En ik ben
lang de enige niet : de inbraken zijn een structureel gegeven in alle zware letselschadedossiers, het is een gewoonte van de verzekeringen,” zegt Anke Santens.
Geen onderzoek door het parket, noch door het parket-generaal
“De eerste inbraken in mijn dossier gaan terug tot maart 2011, maw bijna 9 jaar geleden. Sindsdien zijn er nog tientallen andere inbraken gebeurd in mijn dossier. In april 2015 werd
strafklacht ingediend. Het parket weigerde ieder onderzoek. In 2016 werd het strafdossier overgemaakt aan het parket-generaal te Gent met de vraag het onderzoek te heropenen.
Ook het parket-generaal werkte mee aan de doofpot (bijlage). Art. 550 bis strafwetboek is nochtans duidelijk : wie zich ongeoorloofde toegang verschaft tot een digitale database, begaat een strafbaar feit. Daar staan gevangenisstraffen op – althans, in theorie. Als er bovendien wijzigingen gebeuren in een digitale database, is dat ook strafbaar op basis van art. 550 ter strafwetboek.
Eind 2017 werd hierop strafklacht ingediend met burgerlijke partijstelling. Die kostte 12.000 euro. En raad eens ? De betrokkenen zijn tot op vandaag, 9 jaar na de feiten, niet eens ondervraagd,” zegt Anke Santens. “Het wetgevend kader bestaat dus wel degelijk. De sancties zijn gekend. Alleen geldt ook hier, dat alle overheidsdiensten die deze strafbare feiten moeten onderzoeken, weigeren om dit te doen.”
Oplossingen
(1) Patiënten moeten zelf kunnen kiezen of hun medische gegevens al dan niet opgeslagen en gedeeld worden via digitale medische databases – zoals diverse wetten voorzien.
Nu hebben patiënten deze keuze niet. In principe moeten deze databases verboden worden, zoals in andere Europese landen het geval is. Evenwel kunnen deze nuttig zijn voor mensen met levensbedreigende aandoeningen.
Maar de keuzevrijheid moet er zijn. De Europese wetgeving is zeer duidelijk : de patiënt is en blijft de eigenaar van zijn of haar medische gegevens. Niet de overheid, niet het ziekenhuis, niet de arts, maar de patiënt.
Wat zou u er van vinden als uw emails door iedereen gelezen kunnen worden ? Dat zou u niet fijn vinden. Maar dat uw medische info te grabbel ligt en vrij misbruikt kan worden om mensen te ruïneren en nog zieker te maken, is geen probleem ?
Zolang ongecontroleerde private databases zoals Nexuzhealth bestaan, en zelfs worden zoals vandaag het geval is, zal de deur voor misbruiken blijven openstaan.
(2) De oprichting van een meldpunt binnen de GBA waar verzekeringsslachtoffers aangifte kunnen doen als ziekenhuizen weigeren om volledige logins te bezorgen met de namen
van de artsen die inbreken. Als er inbraken vastgesteld worden door artsen of derden waarmee er geen behandelrelatie bestaat, dan dient de GBA meteen de procureur te verwittigen.
Dat staat trouwens zo in haar taken omschreven ! Dit is de wettelijke procedure, maar ze wordt niet toegepast door de GBA.
Ook dient de GBA de ziekenhuizen de wettelijk voorziene boete op te leggen als ziekenhuizen weigeren om spontaan de volledige logins over te maken, zoals vandaag het geval is.
De ziekenhuizen zijn de eindverantwoordelijke voor de medische database. Het volstaat uiteraard niet te stellen dat er “achteraf” kan vastgesteld worden of er al dan niet is ingebroken !
Tegen dan is het te laat voor de slachtoffers van een ongeval of medische fout.
De procureur dient meteen de vervolging in te stellen van de inbrekers via een speciaal hiervoor ontworpen spoedprocedure (zoals ook voor andere misdrijven bestaat) zodat letselschadedossiers niet eindeloos blijven aanslepen in afwachting van het "onderzoeksresultaat". De wet is duidelijk omtrent deze inbraken : het zijn strafbare feiten.
Na een veroordeling zal het voor de rechters die letselschadedossiers (ongevallen én medische fouten) behandelen, duidelijk zijn wat de “waarde” is van zo’n verzekeringsverslag of expertiseverslag dat gebaseerd is op medische verslagen die bekomen of aangepast werden in de medische databases door verzekeringsartsen.
Deze werkwijze zal bijdragen tot een eerlijker verloop van gerechtelijke medische expertises.
Het is hallucinant dat letselschadeslachtoffers 12.000 euro moeten spenderen om een strafklacht met burgerlijke partijstelling in te dienen omdat de overheidsdiensten hun job niet doen en het is onaanvaardbaar dat nog steeds geen enkele verzekeringsarts is verhoord – laat staan veroordeeld. En dat terwijl de bevoegde ministers (Geens, De Block, Peeters) sinds 2015 “diepgaand onderzoek” en “maatregelen” beloven.
De belofte tot doorlichting van de experts betrokken bij de Panorama dossiers dateert intussen van 2015, hetzij 5 jaar geleden : ze is er nog steeds niet. Geen enkele getuige ontving 5 jaar later een schadevergoeding omdat de overheidsdiensten, justitie en ministers weigeren om hun job te doen :
+++
(1)Villa Politica, vanaf 1 uur 03 minuten : https://www.vrt.be/vrtnws/nl/Journaal-Weer/villa-politica/
(2)Het standpunt van KU Leuven. Het betreft een copy uit hun conclusies in de procedure voor de Kortrijkse rechtbank van Eerste Aanleg. KU Leuven meent m.a.w. dat zij het
recht heeft om alle medische gegevens van alle Belgen te delen met Jan en Alleman zodra die een voet in een ziekenhuis zetten.
Citaat uit conclusies KU Leuven die 4 jaar na dagvaarding (en na tal van inbreuken die blijven voortduren) nog steeds weigert om de volledige loggings te bezorgen en dus het wettelijk recht te respecteren dat iedere patient het recht heeft om te weten wie inzage nam in zijn of haar medisch dossier en maw artsen die strafbare feiten pleegden, bewust indekt :
A) Het overhandigen van de volledige loggings
Zoals reeds hierboven meegedeeld is UZ Leuven bereid loyaal mee te werken aan de bewijsvoering, indien de gevraagde stukken nuttig zijn voor het debat ten gronde, quod certe non.
B) Geen manipulatie mogelijk van de loggings van eisers
De KWS software die UZ Leuven en heel wat andere ziekenhuizen gebruiken streeft na een doelmatige zorgen
dienstverlening te bieden aan patiënten, met respect voor de patiëntenrechten en privacywetgeving.
Het KWS registreert zo gedetailleerd mogelijk wie inlogt en wat precies gedaan werd. In de wet
patiëntenrechten staat immers dat de patiënt recht heeft op een veilig bewaard dossier. “Veilig bewaard” in
de wet patiëntenrechten wil zeggen dat het dossier beschermd moet zijn ofwel tegen onbevoegden die het
patiëntendossier willen inzien, er een kopie van willen nemen, het willen ontvreemden of saboteren, ofwel
tegen calamiteiten zoals brand of overstromingen. Indien dossiers elektronisch worden bewaard, moeten er
bepaalde maatregelen genomen worden zoals identificatiesysteem om in te loggen, een degelijk
antivirusprogramma, een back-up, een firewall, het bijhouden van loggings, …10
De gedragslijnen van het UZ Leuven schrijven voor dat van eenieder wordt verwacht dat hij uitsluitend
informatie opzoekt om gevestigde professionele redenen. De toegang tot het KWS is daarom geregeld via
afgebakende gebruikerstoegangen. Het KWS bepaalt, op basis van een set van vooraf gedefinieerde regels,
of een medewerker van UZ Leuven technisch de mogelijkheid heeft om het dossier of een deel van het
dossier van een patiënt in te kijken (toegangscontrole). Het KWS bepaalt dat via het consulteren van andere
informatiebronnen (functie van de medewerker, de plaats van de patiënt in het ziekenhuis, …). Zo kan het
KWS afleiden dat iemand een zorgrelatie heeft met de patiënt of een andere functie uitoefent (vb. medische
administratie) die toegang tot het dossier nodig maakt. In dat geval zal het KWS de medewerker toegang
geven tot het dossier zonder dat die dat expliciet moet verantwoorden. Daarnaast is het mogelijk dat het
KWS iemand geen standaard toegang geeft en dat het KWS aan de medewerker vraagt om een motivering
in te geven waarom hij een dossier of een deel van een dossier wil inkijken, terwijl er wel een goede reden
kan zijn om dat dossier in te kijken. Dat is de zogenaamde 'overrule'. Ongeacht of iemand standaard
toegang heeft dan wel moet ‘overrulen’ om in een dossier te kunnen, wordt elke toegang tot het KWS en
elke ‘beweging’ in een patiëntendossier automatisch door het systeem gelogd en wordt voor elk dossier een
volledige log bijgehouden (full audit trail). Manipulatie van de gelogde informatie is uitgesloten.
10 Zie advies Federale Commissie Rechten van de Patiënt van 21 november 2017
C) Een veilig bewaard patiëntendossier
In UZ Leuven is er een privacyreglement van kracht dat een samenvatting is van het beleid dat sinds jaar en
dag wordt toegepast. Via dat Privacy reglement wenst UZ Leuven haar patiënten te informeren over de wijze
waarop binnen het ziekenhuis wordt omgegaan met de persoonsgegevens die zij over hen verzamelt en
verwerkt. Dit reglement dat de nodige waarborgen instelt, is te raadplegen via het internet. (stuk 14)
Door UZ Leuven zijn ook verscheidene interne (Algemene Regeling artsen, Arbeidsreglement cao-personeel)
en externe (Strafwetboek) reglementen voorzien die kunnen toegepast worden bij inbreuken op de
discretieplicht. UZ Leuven neemt ook de nodige stappen bij inbreuken op de discretieplicht door personen
die zich in het kader van hun beroepsuitoefening binnen het UZ Leuven bewegen. (stuk 14)
De nodige waarborgen zijn aldus aanwezig om de privacy van de patiënten en het patiëntendossier te
beschermen. De stemmingsmakende verwijten van eiseres zijn dan ook allerminst terecht. De loutere
bewering van eiseres doen hieraan niet de minste afbreuk. (zie supra, pg. 15, b)
In een uiterste poging om haar eisen te gronden verwijst eiseres naar de verordening 2016/679 van het
Europees Parlement en de Raad van 27.04.2016.
Het weze vooreerst opgemerkt dat deze verordening een zeer ruime interpretatie geeft aan het begrip
‘gegevensverwerking’.
Ten tweede, krachtens deze verordening kan het om redenen van algemeen belang op het gebied van de
volksgezondheid nodig zijn om bijzondere categorieën van persoonsgegevens zonder toestemming van de
betrokkene te verwerken. Die verwerking moet worden onderworpen aan passende en specifieke
maatregelen ter bescherming van de rechten en vrijheden van natuurlijke personen. In dit verband dient
„volksgezondheid” overeenkomstig de definitie van Verordening (EG) nr. 1338/2008 van het Europees
Parlement en de Raad (11) te worden uitgelegd als alle elementen in verband met de gezondheid, namelijk
gezondheidstoestand, inclusief morbiditeit en beperkingen, de determinanten die een effect hebben op die
gezondheidstoestand, de behoeften aan gezondheidszorg, middelen ten behoeve van de gezondheidszorg,
de verstrekking van en de universele toegang tot gezondheidszorg, alsmede de uitgaven voor en de
financiering van de gezondheidszorg, en de doodsoorzaken. Dergelijke verwerking van persoonsgegevens
over gezondheid om redenen van algemeen belang is aldus toegelaten.
Ten derde, UZ Leuven verwerkt enkel persoonsgegevens die noodzakelijk zijn voor haar taken van algemeen
belang. Deze persoonsgegevens worden niet langer bewaard dan nodig is. Alleen in een beperkt aantal
gevallen kan de wissing van de persoonsgegevens geraagd worden:
- als de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij verwerkt worden
- als de toestemming voor de verwerking van de gegevens ingetrokken wordt en er geen andere
rechtsgrond is voor verwerking.
- als er bezwaar tegen de gegevensverwerking wordt ingediend en er geen dwingende redenene zijn
om de gegevens toch te blijven verwerken.
- als de gegevens gewist moeten worden om te voldoen aan de verplichting tot wissing opgenomen in
Europese, nationale en Vlaamse wetgeving.
Dit recht is echter geen absoluut recht. UZ Leuven kan zich beroepen op artikel 17, lid 3, b) Verordening
2016/679 dat bepaalt dat het recht op wissing niet geldt indien de gegevensverwerking nodig is voor het
nakomen van een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting.
In ziekenhuizen geldt de wettelijke verplichting om het medisch dossier van iedere patiënt minstens 30 jaar
bij te houden. Om die reden kan geen wissing van persoonsgegevens gevraagd worden.
Zowel in rechte als in feite mist het betoog van eiseres dus elke grond. UZ Leuven heeft immers gehandeld
met inachtneming van de rechten en plichten vervat in de verordening 2016/679. Daarenboven, dat UZ
Leuven een digitale kopie, alsmede alle loggings sinds de opstart van KWS tot heden zou dienen over te
maken aan eiseres, slaat kant noch wal! Niet alleen zijn deze eisen volstrekt onredelijk, maar ook legt de
verordening geen enkele verplichting in die zin op. Het loutere gegeven dat eiseres graag deze gegevens in
bezit wilt hebben doet hieraan geen afbreuk.
D) Weigering tot blokkeren van toegang voor bepaalde zorgverleners tot het dossier van
mevrouw Santens
Eiseres eist in haar conclusie dat de patiënt de mogelijkheid moet hebben om zelf zijn of haar dossier geheel
of gedeeltelijk, tijdelijk of definitief ontoegankelijk te maken voor de zorgverleners van zijn of haar keuze.
Omwille van de continuïteit van de zorg is het volstrekt onwenselijk om patiënt zelf de mogelijkheid te geven
vooraf een of meerdere zorgverleners de toegang tot het dossier te weigeren. Efficiënte gezondheidszorg
vereist immers het werken met multidisciplinaire teams en met groepen artsen en zorgverleners die in
shiften en wachten functioneren in een ziekenhuiscontext. Het uitsluiten van bepaalde zorgverleners zou
potentiële risico’s met zich meebrengen en een vlotte en efficiënte zorgverlening belemmeren.
