Tim Franssen
Product developer, interaction designer, privacy advocate
2-7-2020
The "Mitzunderstanding" of consent in healthcare
Het "Mitzverstand" van toestemming in de zorg
This article is written in Dutch. Sorry for that.
Dit is niet mijn grapje.
De webinar over Mitz begon deze ochtend met het “uit de wereld helpen van een
Mitzverstand”: Mitz is niet bedoeld om toestemming te verlenen aan een arts,
specialist of verpleegkundige die gegevens van jou wil opvragen. Mitz is bedoeld
om toestemming te geven om de geheimhoudingsplicht te doorbreken aan de
instelling die gegevens over jou heeft. Een subtiel, maar zeer belangrijk
verschil.
Een zucht van verlichting ging vermoedelijk door de digitale livestream. Ik zeg
“vermoedelijk” omdat de webinar enkel en alleen éénrichtingsverkeer was. Vragen
werden niet beantwoord, reacties van andere deelnemers waren niet te zien.
Maar een paar minuten later wordt in dezelfde webinar het volgende voorbeeld
gegeven: Stel, je zit in de spreekkamer bij een arts, en die mag nog geen
gegevens over jou opvragen, dan kan die arts namens jou vastleggen dat
hij wel gegevens mag ophalen bij een andere instelling. Dat noemen we “de
functie ‘zorgmedewerker namens patiënt’”. Wacht even… Dat is toch precies het
scenario dat je zojuist uit de wereld probeerde te helpen..?
Stel je even voor dat je kasteelheer bent, verwikkeld in een jarenlange oorlog
met het Groothertogdom Van Hackenstein. Jij, en de generaties vóór jou, hebben
een vermogen geïnvesteerd in hoge muren, een diepe slotgracht, een ophaalbrug en
een onneembare dikke eikenhouten poort. Alleen mensen met de juiste papieren
mogen je kasteel betreden om te handelen of goederen te komen leveren.
Het wordt daarmee opeens van levensbelang hoe betrouwbaar die papieren zijn,
en wie die papieren uitgeeft. Als kasteelheer doe je er dus verstandig aan
om ervoor te zorgen dat alleen jij, of een vertrouwde secretaris, dat soort
papieren mag uitgeven. En dat er een onfeilbaar echtheidskenmerk is waarmee je
echte papieren van namaak kunt onderscheiden.
De deal die Mitz biedt voor ons kasteel komt feitelijk hierop neer:
Wij beheren de uitgifte van papieren voor jou. Alleen de eigenaar van het
kasteel (de patiënt) kan bepalen wie papieren krijgt. Ohja, en iedereen met een
UZI pas, namens de eigenaar. En er zit geen onafhankelijk te controleren
echtheidskenmerk op de papieren die wij uitgeven, maar je kunt ons vragen of de
papieren echt zijn en dan zeggen wij wel “ja” of “nee”.
Er zijn in Nederland een kleine 80.000 UZI passen in omloop, als ik de juiste
getallen gevonden heb. En wist u dat er ook UZI passen “niet op naam” zijn? Dus
passen die niet terug te herleiden zijn tot een individu?
Er gaan twee dingen gruwelijk miz bij Mitz (ditmaal wel mijn grapje 😉).
1
De zorg die ik ontvang is een aangelegenheid van mijn zorgverlener en mijzelf.
Wij hebben een behandelrelatie, en binnen die relatie deel ik informatie met die
zorgverlener. Dat betekent ook dat die zorgverlener en ik de enige twee mensen
op deze planeet zijn die kunnen inschatten of die informatie relevant is voor
andere personen. En of het delen van die informatie niet schadelijk is voor mij.
Andere personen (gebruikers van een UZI pas, de organisatie achter Mitz) de
macht geven om autonoom die keuze te maken is dus per definitie een slecht idee.
De wetgever is dat ook met ons eens, en staat mijn zorgverlener alleen toe
gegevens te delen in hele specifieke scenario’s of met mijn expliciete
toestemming, en verder niemand.
Door het aantal personen met die macht te vergroten, vergroot je ook het aantal
mogelijkheden dat het Groothertogdom Van Hackenstein krijgt om te proberen je
kasteel binnen te dringen. Er zijn namelijk meer mensen om om te kopen, te
bedreigen of op te lichten. Of gewoon mensen die nieuwsgierig zijn, zoals
in Barbie-gate.
Hoe zou het wel kunnen?
Dit probleem is eigenlijk vrij simpel op te lossen. Ik zit in die spreekkamer
bij die arts, en hij doet een digitaal verzoek tot inzage van mijn gegevens bij
de zorginstelling waarmee ik een behandelrelatie heb. Zowel ik (op mijn
mobieltje) als mijn zorginstelling kunnen dat verzoek goedkeuren of afwijzen.
Daarmee hebben de relevante personen het laatste woord.
In de analogie van het kasteel: er komt een onbekende zonder papieren aan de
poort. In plaats van die onbekende in staat te stellen om zichzelf papieren te
verschaffen, word ik even naar de poort geroepen om zelf te bepalen wat er moet
gebeuren.
2
Mitz zegt: “wij geven die papieren naar eer en geweten uit. Er zit geen zelf te
controleren echtheidskenmerk op, maar wij vertellen je wel of iemand wel of niet
toegang zou moeten krijgen”. Met andere woorden: “vertrouw ons maar”.
Daarmee geef je je soevereiniteit uit handen. Je bent effectief niet langer
kasteelheer over je eigen kasteel. Als de mannen van het Groothertogdom Van
Hackenstein het Mitzerslot weten te overmeesteren, of zelfs maar te infiltreren,
dan liggen alle kastelen voor het oprapen. Je hebt dus een afhankelijkheid
gecreëerd. Een security-hotspot.
Hoe zou het wel kunnen?
Wat je wilt is wat we in onze branche een “chain of trust” noemen. De papieren
waarmee iemand aan de poort verschijnt moeten rechtstreeks terug te herleiden
zijn naar degene die de papieren heeft uitgegeven. Vroeger deed men dat met een
zegelring, tegenwoordig hebben we daar betrouwbaardere cryptografische methoden
voor.
Als ik toestemming geef om mijn medische gegevens te delen, dan moet die
toestemming cryptografisch door mij worden ondertekend, met een sleutel
die alleen ik in mijn bezit heb, en waarvan mijn zorgverleners weten dat
alleen ik die in mijn bezit heb. Met zo’n echtheidskenmerk maakt het niet meer
uit waar die toestemming opgeslagen staat (bij Mitz of bij de zorginstelling
zelf) of wie die toestemming allemaal in handen heeft gehad (Logius of VZVZ of
wie Mitz straks ook beheert, de internetprovider en de ICT leverancier van de
zorginstelling). Er valt immers niet mee te rommelen zonder de toestemming
ongeldig te maken.
Dit is een lastiger probleem om op te lossen dan het vorige probleem, omdat het
vereist dat naast alle zorgverleners ook alle burgers van Nederland een sleutel
hebben en niet kwijtraken. En dat vereist een compleet andere manier van kijken
naar het identificeren van burgers dan vandaag de dag met DigiD mogelijk is.
Maar dat is een onderwerp voor een andere keer.
Er is stiekem nog een derde probleem, namelijk het probleem van meta-informatie
lekken en de correlatie-aanval: het feit dat je een toestemming hebt verleend
aan een instelling zegt al iets over je ziektebeeld. Zowel Mitz als haar
beheerorganisatie (en als ik de screenshots uit de presentatie mag geloven ook
elke aangesloten zorginstelling, zie hierboven) heeft inzage in de toestemmingen
die je hebt verleend. Dat is ten eerste juridisch heel lastig en ten tweede niet
nodig. Maar ook dat is een onderwerp voor een andere keer.
Kortom, het kasteel dat we al generaties lang met hand en tand verdedigen is in
gevaar. En Mitz heeft de beste bedoelingen (“ontzorgen”, “de patiënt het
overzicht geven”), waar ik ook volledig achter sta. Maar zoals ze zeggen: “the
road to hell is paved with good intentions”.
En tenslotte: ik begrijp oprecht niet waarom men vanmorgen denkt een
Mitzverstand uit de wereld te kunnen helpen, dat nog in dezelfde webinar geen
misverstand blijkt te zijn. Misschien is het geen synoniem maar een eufemisme:
een Mitzverstand is iets dat iedereen vreest, waarvan Mitz niet wil dat we het
begrijpen..?
Dit artikel is eerder gepubliceerd op LinkedIn. Bezoek de oorspronkelijke
post
om mee te doen aan de discussie.
