Begin dit jaar publiceerde Pointer een onderzoek dat flink wat stof deed opwaaien. Het nieuwe landelijke toestemmingssysteem voor medische data, Mitz, blijkt kwetsbaarheden te hebben. Zo kunnen apothekers toestemmingen aanpassen zonder dat de patiënt aanwezig is. Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) zou daarbij onvoldoende maatregelen hebben genomen. De kritiek liet niet lang op zich wachten. Maar is de discussie werkelijk zo zwart-wit?
Victor den Bak, Portfolio Architect bij SureSync en specialist in digitale gegevensuitwisseling in de zorg, kijkt anders naar de kwestie. Met vijftien jaar ervaring in het ontwerp van toestemmings- en machtigingsregisters, waaronder systemen voor de Belastingdienst, MijnOverheid en de gezondheidszorg, plaatst hij de discussie rondom Mitz in een bredere context. Zijn boodschap: de zorgen zijn begrijpelijk, maar de nuance ontbreekt vaak.
Wat is Mitz en waarom bestaat het?
Om de discussie te begrijpen, helpt het om eerst te kijken naar wat Mitz precies is. Het systeem moet een einde maken aan de wirwar van afspraken, systemen en uitzonderingen in het Nederlandse zorglandschap. Mitz brengt dat samen in één centrale voorziening, waarbij burgers zelf kunnen bepalen wie hun medische gegevens mag inzien. Die regie kan op hoofdlijnen worden ingericht, alles toestaan of juist niets, maar ook heel specifiek per zorgaanbieder of type informatie. Het idee is dat patiënten via een app of website zelf hun toestemmingen beheren. Alleen kan niet iedereen dat. En precies daar begint de discussie.
"Je hebt in Nederland miljoenen mensen die niet de digitale middelen hebben om volledig regie te voeren over wat er met hun gegevens gebeurt", zegt Den Bak. "Denk aan ouderen, mensen met een andere achtergrond of mensen voor wie de samenleving sowieso al best lastig is. Dat zijn wel mensen die baat kunnen hebben bij het delen van hun data. Dus daar moet je iets mee."
Daarom kunnen zorgprofessionals namens patiënten toestemming registreren, bijvoorbeeld tijdens een gesprek bij de huisarts of apotheek. Dat is precies de mogelijkheid waar Pointer op wijst. En dat is ook het onderdeel waar de kritiek zich op richt.
Het alcoholslot dat er niet komt
VWS en uitvoerder Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) reageerden op het Pointer-onderzoek door te benadrukken dat misbruik strafbaar is en dat de technische beveiliging op orde is. Hoogleraar Zuiderveen Borgesius pleitte juist voor aanvullende technische maatregelen. De discussie polariseerde snel. Den Bak begrijpt die reactie, maar kijkt anders naar de afweging. Hij gebruikt een metafoor die volgens hem de kern van het dilemma blootlegt.
"Je zou kunnen stellen waarom heeft niet elke auto een alcoholslot? Als iemand wordt platgereden door een dronken automobilist, kan die daarna naar de rechtbank, maar de gedupeerde die zijn benen kwijt is, ja, die schade is al gedaan. Dat is waar. Maar toch willen we niet in elke auto een alcoholslot. Omdat we met elkaar tot een belangenafweging moeten komen van wat zijn de risico's en wat vinden we als samenleving nog werkbaar."
Volgens Den Bak is de risicoanalyse achter Mitz allesbehalve oppervlakkig geweest. Tussen 2019 en 2020 vonden uitgebreide consultaties plaats met maatschappelijke organisaties, waaronder de Patiëntenfederatie, huisartsenverenigingen en apothekersorganisaties.
"Ik vond het een heel mooi project. Er is echt breed gekeken naar de risico's, de belangen en de alternatieven. Dit is niet iets wat puur aan de ICT-ers is overgelaten."
Wat is het werkelijke risico?
Volgens Den Bak draait de discussie om een onderscheid dat in veel berichtgeving onderbelicht blijft: het verschil tussen risico's binnen het zorgsysteem en risico's daarbuiten. Wanneer een zorgprofessional te kwader trouw handelt, kunnen gegevens onterecht worden gedeeld tussen zorgorganisaties. Dat is ernstig. Maar volgens Den Bak is dat een ander risico dan wanneer medische dossiers buiten het zorgsysteem terechtkomen en worden verkocht of verspreid.
"Als een zorgprofessional al te kwader trouw is, dan is het veel grotere risico dat die gewoon het dossier downloadt en dat online doorverkoopt. Dat risico bestaat los van Mitz. Wat Mitz regelt, beweegt zich tussen professionals die allemaal onder toezicht staan, gecertificeerde systemen gebruiken en volledige logging hebben van wie wat heeft gedaan."
Die herleidbaarheid vormt volgens hem een belangrijk onderdeel van het systeem. Wie iets vastlegt in Mitz laat een digitaal spoor achter. Patiënten kunnen bovendien zelf controleren welke toestemmingen zijn geregistreerd. Het systeem kent beperkingen, maar volgens Den Bak ontbreekt in veel berichtgeving de context waarin die keuzes zijn gemaakt.
Centraal of federatief?
Een ander onderwerp dat Den Bak aansnijdt, is de keuze voor een centrale voorziening. Mitz is één landelijke infrastructuur, vergelijkbaar met DigiD. Dat biedt voordelen. Toezicht is eenvoudiger, communicatie naar burgers kan uniform worden ingericht en ondersteuning voor mensen met beperkte digitale vaardigheden wordt overzichtelijker georganiseerd.
Tegelijkertijd kent een centraal systeem ook risico's. Den Bak wijst op een periode waarin volgens hem statelijke actoren nadrukkelijk actief waren op Nederlandse digitale infrastructuur. Daarnaast laten grote datalekken zien hoe groot de impact kan zijn wanneer een centrale voorziening wordt geraakt. Het grote datalek rondom Odido, waarbij gegevens van miljoenen klanten op straat kwamen te liggen, noemt hij als voorbeeld van die kwetsbaarheid.
"Alle eieren in één mandje", noemt Den Bak het. "Een centraal systeem is een interessanter doelwit voor aanvallen. Als het uitvalt, staat heel Nederland stil. Bij een federatief systeem, met meerdere leveranciers en meerdere technologieën, is de impact van een verstoring veel kleiner. Als twintig procent even niet beschikbaar is, werkt tachtig procent nog gewoon."
Toch pleit hij niet voor het afschaffen van Mitz. Hij ziet het eerder als een tussenstap. Europa werkt aan digitale identiteitswallets waarmee burgers in de toekomst meer controle kunnen krijgen over hun eigen gegevens. Naarmate die oplossingen breder worden gebruikt, kan volgens Den Bak de balans verschuiven naar een meer federatief model, waarbij burgers die dat willen meer autonomie krijgen, terwijl anderen kunnen blijven rekenen op centrale ondersteuning.
Wie heeft het stuur in handen?
De discussie raakt aan een breder thema: hoe Nederland omgaat met de digitalisering van gevoelige maatschappelijke systemen. Wie bepaalt de spelregels? En wie bewaakt of die regels nog aansluiten op de praktijk?
"We kijken soms iets te snel naar de politiek als er iets misgaat", zegt Den Bak. "Maar ik denk dat het veel meer een maatschappelijk vraagstuk is. De journalistiek, de patiëntenverenigingen, de beroepsorganisaties, die hebben allemaal een rol. Niet alleen om te zeggen wat er niet klopt, maar ook om bij te sturen op een manier die werkbaar blijft."
Hij vergelijkt het opnieuw met autorijden. We hebben rijbewijzen, gordels en snelheidslimieten. Niet omdat auto's per definitie gevaarlijk zijn, maar omdat de samenleving grenzen heeft afgesproken voor wat aanvaardbaar is.
"Digitaal hebben we dat ook nodig. En ik denk dat we soms te bang zijn om die afweging te maken. Maar je kan altijd bijstellen, als je nieuwe inzichten hebt. Het is geen eindoordeel."
Meer dan een technisch vraagstuk
De discussie rond Mitz raakt aan veel grotere vragen dan één zorgsysteem. Het gaat over inclusiviteit, databeschikbaarheid, privacy en de manier waarop Nederland digitale infrastructuur bouwt voor publieke voorzieningen. Den Bak spreekt daarbij niet als buitenstaander. SureSync levert zelf oplossingen voor veilige gegevensuitwisseling. Juist daarom is het relevant om zijn argumenten naast de kritiek op Mitz te leggen.
De discussie raakt bovendien aan vraagstukken die ook buiten de zorg spelen. Organisaties die werken met klantdata, onderzoekspanels of digitale dienstverlening lopen tegen vergelijkbare afwegingen aan. Hoe maak je systemen veilig zonder ze ontoegankelijk te maken voor een deel van de bevolking? En hoeveel risico accepteer je om maatschappelijke voordelen mogelijk te maken? De vraag is uiteindelijk niet alleen of Mitz veilig genoeg is. De vraag is ook hoeveel risico een samenleving accepteert wanneer toegankelijkheid, privacy en databeschikbaarheid met elkaar botsen. Dat gesprek staat nog maar aan het begin.
Victor den Bak is Portfolio Architect bij SureSync en gespecialiseerd in veilige gegevensuitwisseling en digitale infrastructuur binnen de publieke sector.
