Zoals meer mensen ben ik wat bewuster afstand aan het nemen van alle Big Tech firma’s die onze data bewaren, profielen opstellen, via advertenties producten aansmeren en waar een steeds minder vriendelijk land zomaar de stekker uit kan trekken. Geïnspireerd door een artikel van Marloes de Koning in de NRC heb ik al langer lopende traject weer een stap verder gebracht. Wat heb ik veranderd – en hoe bevalt dat?

Mail en agenda

GMail en Google Calendar heb ik vervangen door het Europese alternatief Proton mail en Proton Calendar. Een van de vele Europese alternatieven. De producten leven in een Zwitserse cloud, zijn onderhevig aan Zwitserse wetgeving en van end-to-end encryptie voorzien. De migratie op zich ging redelijk probleemloos, en de apps (Android, Apple, Windows, Linux, web) werken prima. De overstap wordt makkelijk gemaakt met migratietools. Alleen is het overzetten van je mail en agenda pas stap één. Vrienden informeren gaat nog wel, maar ik sta op nogal wat nieuwsbrieven ingeschreven en heb accounts bij theaters en dergelijke: dat is meer een stap-voor-stap overgang geworden. Eerst de belangrijkste overzetten, en dan maar kijken wat er nog op Gmail binnenkomt. Bij dit klusje viel me trouwens op hoe weinig belangrijk email nog is: met vrienden communiceer je meestal via apps, bedrijven sturen zelden nog privacy-gevoelige gegevens via mail, hooguit “er staat een bericht voor je klaar”. Niet allen trouwens: parkeerapp Yellowbrick stuurt facturen met tijden en locaties van parkeren gewoon als attachment aan een mail. En ik maak me ook niet teveel illusies over mails aan vrienden: velen zullen wel een account bij een van de grote web firma’s hebben, dus dan komt mijn mail alsnog daar. Maar goed, het doel is niet 100% alles buiten Big Tech te houden maar stappen te zetten voor mezelf.

De agenda is wat dat betreft belangrijker, dat is een (te) goed spoor van afspraken die ik maak. Dat houd ik graag privé. Proton Calendar werkt – net als de mail – prima op al mijn devices. Over het adresboek van Proton ben ik nog wat minder tevreden: het is er wel, maar erg gericht op email, dus bijvoorbeeld alleen via de mail-app te benaderen, wat voor bellen onhandig is. Proton is niet gratis, maar Google natuurlijk ook niet – dat lijkt maar zo, je data zijn de valuta. Er zijn ook veel (Europese) alternatieven. Ik betaal trouwens graag voor goede en privacy-vriendelijke software.

Een andere vervanging is die van Microsofts Onenote en Google Keep door Joplin. Ik gebruikte beide redelijk veel, maar wel voor eenvoudige notities. Joplin is een prima Frans alternatief, ook weer voor Android, Apple, Windows, Linux. Geen web interface deze keer, wel met de optie van end-to-end encryptie. Syncen kan via Dropbox, Onedrive of Google Drive, maar ik heb gekozen voor een betaalde optie in Joplin Cloud, in Frankrijk staande servers. Erg tevreden over Joplin, biedt precies wat ik nodig heb en werkt goed. Er zijn ook hier weer veel alternatieven.

Browsen

Al langer nam ik een paar voor de hand liggende keuzes: Firefox als browser, Duckduckgo als zoekmachine. Duckduckgo werkt meestal prima, maar soms zijn de resultaten van Google net wat beter. Dan is het in Firefox heel eenvoudig even via Google te zoeken met een klein knopje naast de zoekbalk. Helemaal afscheid nemen hoeft dus niet, het is een keuze. Een andere keuze: ik zoek regelmatig iets op waarbij ik op Wikipedia uitkom. Dus ik heb de Wikipedia app op mijn mobiel, en wel net voor de browser. Zo denk je automatisch iedere keer aan die mogelijkheid. Hetzelfde met Signal: die staat nu voor Whatsapp. Met de laatste twee heb ik hetzelfde als bijna iedereen die naar Signal gaat: er zijn teveel (voor mij belangrijke) mensen die alleen Whatsapp hebben, en ik ben geen prediker van een nieuwe religie. Ik maak keuzes voor mezelf, schrijf daarover, maar ga mensen in mijn omgeving niet lopen bekeren. Uiteraard zijn hier ook veel opties met nog veel meer privacy mogelijk, een Tor-browser et cetera maar daar heb ik geen behoefte aan. Ik hoef niet compleet onzichtbaar en anoniem te zijn, maar de hoeveelheid Big Tech kan wel omlaag. En van sommige zaken neem ik nog even geen afscheid, zoals LinkedIn en een paar andere sociale netwerken.

Encryptie

Dropbox is wat lastiger. Over Proton Drive heb ik minder goede berichten gelezen, dus daar wacht ik mee tot er een stabielere versie is. Hier gekozen voor Cryptomator: een app die je gegevens versleutelt. Het blijft dan gewoon – versleuteld – in Dropbox maar op laptop en smartphone open je je bestanden met Cryptomator.

Johannes Landin, CC BY-SA 3.0 https://creativecommons.org/licenses/by-sa/3.0, via Wikimedia Commons

Op laptop is het gratis, de Android app niet. Niet alles uit Dropbox heb ik versleuteld: gegevens over financiën, gezondheid en dergelijke privacygevoelige zaken wel, maar bijvoorbeeld eerdere versies van artikelen die ik zelf op het internet zet, of achtergrondmateriaal daarbij boeit me minder. Voor foto’s zoek ik nog een goede oplossing. Cryptomator heeft geen thumbnails (vanwege de encryptie, dat is bij bestanden geen probleem maar met foto’s lastig. Misschien moet ik me ook minder zorgen maken over die foto’s. Mijn (volwassen) kinderen hebben pas een mooi fysiek album gehad met een usb-stick met alles uit die tijd. Ik heb al heel lang de gewoonte foto’s goed op te schonen en alleen te bewaren wat de moeite waard is. (Omdat een map met duizenden foto’s, rijp en groen, dubbel, scherp en onscherp door elkaar precies nul waarde heeft, en een mapje van een vakantie met 20, 30 of 40 foto’s wel: daar kijk je nog eens naar.) Dus misschien foto’s maar offline houden. En als bijvangst het maken van periodieke backups naar een externe schijf ook maar geregeld.

Encryptie met een hulpmiddel als Cryptomator is natuurlijk ook een optie voor alle overheidsbedrijven die nu zeggen niet van Big Tech af te kunnen. Nog steeds data in de cloud, maar alleen leesbaar voor individuen, teams of het bedrijf zelf. Net deze week meldde de NOS weer hoeveel publieke Nederlandse instellingen de Amerikaanse cloud gebruiken. Publieke Nederlandse instellingen: dat kan beter!

Afscheid van Windows en MS Office

Een keuze die voor veel mensen misschien een stap te ver is: op mijn privé laptop ben ik van Windows naar Linux Mint gegaan (mijn werk bepaalt wat er gebeurt op mijn werk laptop, dat is nog steeds Windows). Iets wat ik al veel langer wilde, maar lastig was omdat veel werk toch Windows- of Office-gerelateerd was. Deze overstap bevalt heel goed. Mint is sneller, alles werkt prima. Over opensource-besturingssytemen schrijft Marloes de Koning: “…vrijwel zonder uitzondering bebaarde mannen die in afkortingen spreken en moeten lachen op onverwachte momenten…” Dat is inderdaad het cliché, en daar voel ik me niet bij thuis. Ik heb (ooit) leren programmeren op VAX/VMS, waarbij je alles in een terminal met ingetypte commando’s deed. Rond Linux hangt nog steeds een zweem van die cultuur, waarbij omstandig uitgelegd wordt hoe goed en makkelijk dat is, maar ik heb destijds graag afscheid genomen van de command prompt en de grafische user interface omarmd, en ik wil echt niet terug naar een ‘do it yourself’ OS. Mint is een instapmodel voor Windows-gebruikers en een prima optie, ook als je geen hardcore nerd bent.

Windows zelf is misschien niet het grootste probleem voor privacy, meer alles wat op Windows draait. Van MS Office heb ik met wat meer spijt afscheid genomen: van Word en Powerpoint was ik nooit een grote fan, maar met Excel kon ik lezen en schrijven. Maar toch: naar Libre Office, en ook hier tevreden – wel met de kanttekening dat het wennen is, in Calc zit alles toch net op een andere plek dan in Excel. Maar mijn grootste probleem met MS Office was niet zozeer Office zelf, maar de steeds verdere integratie van AI, waarbij steeds vager wordt welke gegevens nu wel en niet gedeeld worden en dat in de gaten houden een dagtaak wordt.

Het zijn eerste stappen, als de telefoon aan vervanging toe is (nu een Samsung Galaxy) ga ik daar eens naar kijken. Zoals gezegd: 100% is het doel niet, en stapje verder wel.

Privacy en zorg: het is al jaren een moeizame relatie. Kwam de overheid een paar jaar geleden met een plan om de controle over toegang tot medische gegevens bij de patiënt te leggen, onlangs meldde de minister dat deze “Gespecificeerde Toestemming Structureel” (GTS) niet doorgaat. De uitwerking van de wet die eraan ten grondslag ligt leidde tot een totaal van 160 keuzemogelijkheden voor patiënten. Een simpeler oplossing met 28 keuzes is nog steeds te complex, en het is maar de vraag of dit wel conform de wet is. Onwerkbaar, volgens het Adviescollege Toetsing Regeldruk. GTS van de baan dus.

Tijd om te kijken naar alternatieven: kluisjes bij de huisarts of patiënt, tot EPD-toegang en “just-in-time” toestemming.

Wat is het probleem?

Maar eerst: wat is het probleem precies? De minister schrijft in de kamerbrief:

“Deze gespecificeerde toestemming geldt nadrukkelijk alleen voor die situaties waarin gegevens beschikbaar worden gesteld voor nog onbekend later gebruik … Terwijl het zorgproces daar helemaal niet om vraagt. In vrijwel alle gevallen gaat het immers om een behandelrelatie waarbinnen gegevens gewoon mogen worden uitgewisseld.”

Dat laatste klopt: de Wet op de Geneeskundige Behandelovereenkomst stelt dat een arts geen medische gegevens mag verstrekken zonder toestemming van de patiënt. Die toestemming kan expliciet zijn (dat wilde GTS regelen) of impliciet: als een huisarts een patiënt doorverwijst naar b.v. een cardioloog, mag de huisarts uitgaan van toestemming van de patiënt. Als de patiënt dat niet wil, moet deze dat zelf aangeven.

De minister wil uitgaan van impliciete toestemming: “…de meeste zorg (is) geplande zorg is. Bij geplande zorg kunnen zorgverleners bewust kiezen welke gegevens ze moeten delen, en met wie.”

Er zijn wel uitzonderingen. Ten eerste ongeplande zorg, zoals een spoedopname. Daarvoor komt de minister met een oplossing. Ten tweede kan een arts bijvoorbeeld oudere beelden in willen zien: als de longarts ziet een vlekje ziet, is het van belang om te weten of dat vlekje er al langer zit. Zat er een jaar geleden niets, dan levert dat een andere beoordeling op dan wanneer precies datzelfde vlekje er een jaar geleden ook zat, en niet veranderd is.

Zulke oudere beelden kunnen bij een heel ander ziekenhuis liggen. Opvragen mag dan alleen met (gespecificeerde) toestemming van de patiënt. Een algemene toestemming (“iedere arts mag alles opvragen”) voldoet niet aan de wet. Wat staat de minister voor ogen:

” (ik) vind dat er andere infrastructurele keuzes moeten worden gemaakt. Namelijk voor systemen die niet werken met beschikbaarstelling vooraf, maar met het uitwisselen in de behandelrelatie zelf.”

Hopeloos optimistisch

De visie van de minister lijkt hopeloos optimistisch. De meeste medische gegevens kúnnen helemaal niet gedeeld worden in een behandelrelatie die in geplande zorg ontstaat, omdat die gegevens dan simpelweg niet voorhanden zijn. Oudere beelden zijn maar één voorbeeld.

Laboratoriumuitslagen liggen bij het laboratorium. De huisarts heeft wel een kopie, maar met eigen (NHG) coderingen, niet de originele uitslagen zoals het lab die heeft. En alleen voor onderzoeken die de huisarts zelf heeft aangevraagd. Bij laboratoriumuitslagen speelt precies hetzelfde issue als bij beelden: bij een afwijkende bloedwaarde is het relevant te weten of die recent is of langer bestaat. Niet alle patiënten zijn gelijk. Sommigen hebben probleemloos jarenlang vrij hoge waarden voor een specifieke test. Bij anderen is er een plotselinge piek: dat is een ander beeld, en relevant voor de beoordeling.

Medicatie ligt bij de apotheek. Ook hier heeft een huisarts wel voorschriften, maar de originele bron van de verstrekkingen is de huisarts niet.

Bij een zwangerschap liggen de gegevens van de voorgaande zwangerschappen vaak bij een andere verloskundige of gynaecoloog dan de huidige. Kortom: dat medische gegevens buiten de huidige geplande zorg liggen is geen uitzondering. Het is de regel. Hopen dat het probleem weggaat bij geplande zorg is wensdenken.

Maar wat doen we dan wel? Ik schets hier zes alternatieven. Sommige wild, andere niet realiseerbaar. Ik sta er zelf misschien niet eens achter. Maar op dit moment is het beter buiten de doos te denken dan op een dood spoor verder rijden.

Alle gegevens bij de huisarts

Een manier om bij de geplande zorg van de minister aan te sluiten, is zorgen dat alle gegevens wél aanwezig zijn in dat traject. Dat kan wanneer we alle gegevens in een kluisje stoppen bij een preferentiële zorgverlener, zoals de huisarts (het kan natuurlijk ook een andere arts zijn, bijvoorbeeld bij patiënten in een verpleeghuis of instelling voor langdurige zorg). Daar moet dan alles in zitten: oude beelden, alle laboratoriumuitslagen, medicatie, zwangerschappen et cetera. De beherende arts kan dan de benodigde informatie uit het kluisje delen met volgende partijen in de geplande zorg, die het zo nodig weer verder kunnen delen (bijvoorbeeld bij doorverwijzing naar een academisch ziekenhuis).

De huisarts ligt voor de hand omdat veel gegevens relevant zijn voor de huisarts. Desalniettemin: misschien wil een patiënt niet dat een huisarts verslagen van de psychiater kan zien. Daarnaast is nodig dat de patiënt aangeeft wie de zorgverlener is die de gegevens mag beheren. Al met al is dit een model dat aansluit bij het idee van geplande zorg, maar ook haken en ogen kent.

Power to the Patient!

Een verdere stap: stop alle gegevens in een kluisje bij de patiënt. Die regelt dan dat zorgverleners die geplande zorg verlenen bij de gegevens kunnen. Bij bijvoorbeeld een verwijzing naar een KNO-arts bij een ziekenhuis kan de KNO-afdeling bij het maken van een afspraak de patiënt een verzoek tot toegang kunnen sturen. De patiënt logt dan in bij de eigen kluis, ziet een verzoek van de inmiddels bekende KNO-afdeling, en verleent toestemming. Met het programma MedMij is veel van de nodige infrastructuur al aanwezig. PGO’s zijn nu niet bedoeld voor zorg-naar-zorg uitwisseling, maar dat kan uiteraard veranderen.

Een nadeel is dat niet alle patiënten even digitaal vaardig zijn: de populatie patiënten bestaat voor een groot deel uit ouderen, maar ook voor andere patiënten kan zoiets een uitdaging zijn. Een valkuil in dit soort trajecten is altijd dat we een oplossing bedenken die prima bij onszelf, digitaal vaardige burgers, past maar anderen in de kou laat staan.

Uiteraard sluiten deze opties elkaar niet uit: een kluisje beheerd door de patiënt wanneer die dat wil, en uitbesteed aan de huisarts voor patiënten die dat liever zien. Voor spoedeisende hulp zou de patiënt zelf aan kunnen geven of SEH-artsen en huisartsenposten er wel of niet bij mogen.

De oplossingen met één centraal kluisje per patiënt waar alle informatie in zit, lossen het probleem van vooraf beschikbaar stellen op. Daarbij moet wel gezegd worden dat het deels een schijnoplossing is: is er nu zo’n groot verschil tussen een ziekenhuis dat via een uitwisselsysteem toegang geeft, mits er toestemming is, en een kluisje ergens dat ook toegankelijk is, mits er toestemming is? In beide gevallen ben je afhankelijk van een veilige implementatie en controle op toestemming.

Kijk in elkaars EPD

De Federatie Medisch Specialisten kwam onlangs met een ander idee: laat artsen in elkaars EPD kijken. Gewoon door ze een inlog te geven. In ieder geval voorlopig, tot het beter geregeld is. Er gaan immers mensen dood omdat gegevens niet beschikbaar zijn. De minister gaat erover denken maar verwacht wel “haren in de soep qua privacy”.

Nu zitten er aan het idee van de FMS natuurlijk twee uitersten. Alle specialisten toegang geven tot alle EPD’s is een no-go. Maar dat bij verwijzing van een oncoloog uit de regio naar een oncoloog in een academisch ziekenhuis die tweede toegang heeft tot de relevante gegevens van de eerste, is minder vreemd. Ook bij spoedopname in een regio is inzage binnen die regio misschien wenselijk.

Het idee van de FMS gaat er wel van uit dat iedere specialist in ieder EPD zomaar de weg weet te vinden. Dat is niet altijd een uitgemaakte zaak. Wellicht kan het voorstel van de FMS in specifieke situaties een oplossing bieden. Wanneer ziekenhuizen fuseren, wat regelmatig gebeurt, is het qua privacy natuurlijk van de ene op de andere dag geregeld. Stellen dat het nooit kan is dan wat vreemd.

Just-in-time toestemming

Het hele idee van vóóraf toestemming specificeren is natuurlijk vreemd. Dat leidt tot vragen als: verwacht ik eerder kanker te krijgen of dement te worden? En als ik kanker krijg, wat moet die oncoloog dan zien? Medicatie, oké, maar arbeidsconflicten, een burn-out, seksuele problematiek? Nee, dat niet. Hoewel: als het nu kanker aan de geslachtsorganen is… Afijn, dit voorleggen aan een gezonde patiënt vereist nogal wat mentale gymnastiek.

Kunnen we niet in plaats van alles vooraf te regelen, dat pas doen wanneer het nodig is? Als ik een specifieke klacht heb, en een specifieke arts verzoekt om gegevens, is dat een eenvoudige vraag. Toestemming wordt dan niet vooraf geregeld, maar bij het maken van een afspraak voor geplande zorg. Er gaat dan een (veilig) bericht naar de patiënt die op dat moment een specifieke toestemming verleent.

Dit veronderstelt uiteraard nog steeds dat de gegevens vooraf beschikbaar gesteld worden voor artsen die toestemming hebben, maar het hele probleem van de 160 keuzemogelijkheden wordt omzeild. Ook een uitzondering voor spoedeisende hulp past bij deze uitwerking. Bij een presentatie over Mitz, een nieuwe dienst voor toestemmingen, werd ook langs deze lijnen gedacht.

Volg de behandelrelatie

We kunnen ook de behandelrelatie volgen. Bij een verwijzing kan de huisarts dan toestemming geven aan een KNO-afdeling. Een specifieke afdeling, of regio wanneer de patiënt zelf een ziekenhuis uit wil zoeken (er is immers nog steeds het recht op vrije artsenkeuze). Daarbij kan de huisarts die toestemming bij de verwijzing registreren in een centraal register. Dat toestemmingenregister moet uiteraard geen antwoord geven op de vraag: wie heeft een behandelrelatie met patiënt Jansen? Dat is te privacygevoelig. Maar de vraag beantwoorden: heeft arts X of instelling Y toegang tot deze gegevens, waarbij die arts of instelling geauthenticeerd is, en het antwoord een simpel ja of nee is, lijkt me haalbaar.

De KNO-afdeling kan dan bij doorverwijzing weer verder toestemming geven: de KNO-arts heeft dan immers zelf een behandelrelatie. Wanneer advies van een MDL-arts nodig is, kan de toestemming doorgegeven worden om gegevens in te zien. Ook hier worden gegevens wel vooraf beschikbaar gesteld, maar zijn ze alleen toegankelijk na toestemming.

Sex and drugs and rock ‘n roll

Je kunt je ook afvragen wélke gegevens privacygevoelig zijn. Alle medische gegevens uiteraard, maar niet in gelijke mate. Informatie over seksuele geaardheid of aandoening, over psychiatrie, over middelengebruik, over arbeidsgerelateerde aandoeningen is veel vertrouwelijker dan dat gebroken been van die skivakantie, of het amandelen knippen toen je zes was. Toestemming kan gekoppeld worden aan het privacy-aspect van een gegeven. GTS gaat bijvoorbeeld uit van een hele categorie gegevens, zoals medicatie. Maar ibuprofen is niet hetzelfde als PrEP, methadon of de morning-after pil.

Toestemming per vertrouwelijkheidscategorie zal beter aansluiten bij de behoefte van de meeste burgers.

Hoe vooruit?

De minister heeft al aangegeven met een nieuw voorstel te komen. Voor de zomer. Feitelijk is dit de situatie waar we al jaren in zitten: wachten op een oplossing. Ik heb hier een aantal scenario’s geschetst. Ik denk dat deze oplossingen redelijk in lijn zijn met de wetgeving zoals WGBO en AVG (en de delen van de Wabvpz die doorgaan). Al geldt hier zeker: the devil is in the details. Feit is wel dat dit een moment is om breed na te denken. We kunnen niet blijven wachten op een goede oplossing voor dit urgente probleem.