Met zijn allen meekijken in de medische kaartenbak

Blijft er nog iets over van onze privacy? Trouw besteedt in een aantal artikelen aandacht aan deze vraag. Vandaag deel 3: Bijna 80.000 mensen in de zorgsector hebben direct toegang tot de adres- en polisgegevens van alle Nederlanders.

Vecozo is de afkorting voor Veilige Communicatie in de Zorg. Het systeem bundelt de cliëntenbestanden van een groot aantal zorgverzekeraars, waaronder VGZ, Geové, Amicon, Agis, IZA, Univé, CZ en De Amersfoortse. Met Vecozo kunnen zorgverleners snel nagaan bij welke verzekeraar ze een behandeling, dienst of hulpmiddel van een bepaalde cliënt kunnen declareren.

Maar de gegevensbank is uitgebreider. Naast het verzekeringsnummer van patiënten en hun burgerservicenummer zijn ook hun leeftijd en adres te raadplegen, evenals een precieze weergave van hun persoonlijke verzekeringspakket.

Een rechtmatig bij Vecozo gecertificeerde zorgverlener is niet te beroerd om de privacygevoeligheid te demonstreren. Ze overtreedt daarmee de regels. Daarom blijft haar naam in dit artikel onvermeld.

„Noem maar een bekende Nederlander”, zegt ze monter. We noemen tv-persoonlijkheid B. Met een zoekmachine op internet heeft ze binnen een minuut zijn geboortedatum. Na die te hebben ingevoerd in Vecozo tovert ze zijn huisadres, verzekeraar en verzekeringspakket uit de computer. Aan de hand van de omschrijving van zijn pakket weten we nu precies voor welk soort zorg hij zich heeft bijverzekerd en hoeveel premie hij betaalt. Hij is wel duur verzekerd, trouwens. Wie we vervolgens ook invoeren – politici, criminelen, familieleden – ze hebben nog nauwelijks geheimen voor ons. Want hoewel het juridisch nog altijd gekoesterde ’medisch geheim’ strikt genomen in tact is gebleven, zijn we de aantasting van dat geheim dicht genaderd.

Bart Jacobs, hoogleraar computerbeveiliging in Nijmegen en Eindhoven, vraagt zich af waarom al die gegevens beschikbaar worden gesteld. „Een arts die een verzekering wil checken heeft genoeg aan het feit waar de patiënt is verzekerd en eventueel wat zijn verzekeringsnummer is. Waarom moet iedereen weten waar iemand woont? Ik zie niet in waarom je ook nog iemands polis en aanvullende polis moet kunnen zien.”

De zorgverleners krijgen toegang tot het systeem op grond van een overeenkomst met de zorgverzekeraars. Die geeft ze het recht op een zogenoemd certificaat, met een lange code die hen identificeert als gebruiker, en een kortere code om op de gegevensbank in te loggen.

Deze certificaten zijn hoogstpersoonlijk. In de woorden van Vecozo-woordvoerder Ron Verschuren: „Als een apotheek vijftien mensen in dienst heeft, en de apotheker wil dat al die mensen het systeem gebruiken, dan moet elk van hen zijn eigen certificaat hebben. Zo’n certificaat werkt bovendien slechts een jaar.”

Een beveiliging met behulp van een certificaat dat als een cookie op een pc kan staan (en dus niet telkens hoeft te worden ingevoerd) en een wachtwoord van vier tekens, is volgens Jacobs onvoldoende. „Als het wachtwoord inderdaad slechts uit vier tekens bestaat, verbaast me dat. Dat is niet veel. En als 79.000 mensen toegang hebben, heeft iedere Nederlander dus wel iemand in zijn kennissenkring die erin kan!”

Bij de Nederlandse patiënten- en consumentenfederatie (NPCF) is echter nooit een klacht over aantasting van de privacy binnengekomen en de apothekersorganisatie KNMP heeft evenmin met het bijltje gehakt. Bij de Landelijke Huisartsenvereniging (LHV) kwam Vecozo alleen ter sprake in 2006, toen artsen praktische problemen ondervonden bij het declareren. Volgens de LHV-woordvoerder zijn er geen redenen tot zorg.

„Het systeem wordt lang niet bij alle patiënten geraadpleegd”, zegt de woordvoerder van de LHV. „De meesten hebben namelijk een zorgpas met alle benodigde informatie. Twijfelt de zorgverlener, dan kan hij eventueel vragen om een identiteitsbewijs. En twijfelt hij dan nog, wat weinig voorkomt, dan kan hij inloggen op Vecozo, maar dat is extra werk. Trouwens, ik maak mij sterk dat als een huisarts informatie misbruikt voor andere doelen dan zijn medische praktijk, hij voor de tuchtrechter een groot probleem heeft.”

Ook volgens Vecozo is de kans op misbruik kleiner dan gedacht. „Wij houden het gebruik nauwkeurig bij. Als een zorgverlener voortdurend snuffelt in de informatie van bijvoorbeeld bekende Nederlanders, dan zien wij dat en starten we een onderzoek”, zegt Ron Verschuren van Vecozo. „Blijkt dat de zorgverlener het systeem misbruikt, dan kan dat inderdaad een tuchtzaak worden.”

Er zijn echter wel degelijk zorgverleners die er problemen mee hebben. „Vroeger had ik een kaartenbak waarin alleen de mensen bij mijn eigen praktijk stonden en die door anderen niet kon worden geraadpleegd”, vertelt een arts. „Daarmee wist ik alles wat ik moest weten: wie is die persoon, en is hij bij het ziekenfonds of particulier verzekerd? Zo kon ik declareren. Maar nu kan ik deze informatie van alle Nederlanders raadplegen, en kunnen anderen bovendien míjn patiënten natrekken.”

Vooral het laatste ligt deze arts dwars, en onlangs bleek daar een goede reden voor te zijn. „Ik behandelde een vrouw die systematisch was mishandeld door haar man en die uiteindelijk hun woning had verruild voor een geheim adres. Even haar naam en geboortedatum intikken, en dat adres staat op mijn scherm. Zo loopt ze direct gevaar.”

Vecozo heeft een Privacy Policy met allerhande beveiligingsmaatregelen. Zo hebben alle betrokken zorgverleners getekend voor de regel dat ze het systeem uitsluitend gebruiken waarvoor het bedoeld is: declareren.

„Maar dat is erg algemeen”, aldus Jacobs. „Dat zegt niets over die 79.000 gebruikers.” Het aantal gecertificeerden is immers gevarieerd. In principe is Vecozo er voor iedereen die declarabele zorg verleent. Dat zijn ook onder anderen diëtisten, laboratoria, kraamcentra, verzorgingstehuizen, kinderdagverblijven, alternatieve genezers, leveranciers van hulpmiddelen en taxivervoerders.

Het probleem is, meent Jacobs, „dat we in Nederland alles graag centraal willen opslaan en beheren. Maar juist dat levert zoveel risico’s op.” Eerder dit jaar pleitte de hoogleraar in zijn studie ’De Menselijke Maat in ICT’ al voor lokale, kleinschalige opslag, met toegang voor een zeer beperkte groep.

„In de politiek zijn het verzamelen en koppelen van gegevensbanken echter al jaren een soort mantra als het om persoonlijke informatie gaat. De trend is heel erg dat alles gedeeld moet worden. Bij de aanslagen van ’9/11’ wordt dan gezegd: we hadden ze kunnen pakken als we gegevens hadden kunnen koppelen, en bij incidenten in de jeugdzorg werd dat ook weer gesteld. Maar in beide gevallen was adequaat optreden voldoende geweest.”

Vecozo is volgens de wet slechts een ’bewerker’ van informatie en daarmee niet verantwoordelijk voor de inhoud. De verzekeraars zijn wél te controleren door het College bescherming persoonsgegevens (CBP), de overheidsinstantie die toeziet op de naleving van de Wet bescherming persoonsgegevens (Wbp).

Het resultaat is een constructie waarin de verzekeraars en Vecozo naar elkaar kunnen wijzen als het misgaat. De verzekeraars kunnen zich verschuilen achter de hiaten in Vecozo, bijvoorbeeld dat onbevoegden iemands pincode kunnen ’lenen’. Vecozo hoeft geen verantwoording af te leggen over de inhoud.

„Als een verzekeraar niet wil dat bepaalde informatie wordt vrijgegeven, moet hij er zelf voor zorgen dat het er niet in staat”, zegt Verschuren van Vecozo. „Dat is niet onze verantwoordelijkheid.”