Het nieuwe landelijke toestemmingssysteem Mitz — bedoeld om het delen van medische gegevens tussen zorgverleners te vereenvoudigen — blijkt volgens onderzoeksprogramma Pointer kwetsbaar voor misbruik. Het online platform, waarbij patiënten via DigiD kunnen aangeven welke zorgverleners hun medische gegevens mogen inzien, maakt heimelijke toegang tot medische dossiers mogelijk, zo stellen privacyorganisaties.

Volgens Privacy First bevat Mitz een centrale index van locaties waar medische gegevens zijn opgeslagen, samen met de toestemmingskeuzes van patiënten. De stichting vergelijkt het systeem met het eerder omstreden Landelijk Elektronisch Patiëntendossier (EPD). Mitz is opnieuw een centraal systeem dat voor iedereen moet werken, zonder dat er een decentraal alternatief wordt overwogen, aldus de organisatie.
Een belangrijk kritiekpunt is de wijze waarop toestemming wordt vastgelegd. Die is volgens Pointer te breed: patiënten kunnen bijvoorbeeld niet instellen dat alleen de eigen huisarts gegevens mag delen met één specifieke apotheek. Een eenmaal gegeven toestemming geldt automatisch voor alle apotheken in Nederland. Ook ontdekte Pointer dat zorgverleners de toestemmingsinstellingen van patiënten eenvoudig zelf kunnen wijzigen.

Geen extra inlogstap of verificatie

Een functie die daarbij risico’s oplevert is de Samen naar MijnMitz-knop. Die is bedoeld voor patiënten die digitaal minder vaardig zijn, zodat een zorgverlener namens hen toestemming kan registreren. De functie laat zorgverleners rechtstreeks vanuit hun informatiesysteem wijzigingen doorvoeren, zonder extra inlogstap of verificatie. Pointer toont aan dat deze functionaliteit kan worden misbruikt, zelfs wanneer een patiënt expliciet géén toestemming wil geven.
Beheerorganisatie VZVZ en het ministerie van Volksgezondheid erkennen dat misbruik mogelijk is. Er is momenteel geen functionaliteit die misbruik van de Samen naar MijnMitz-knop blokkeert, aldus hun reactie. Beide partijen benadrukken dat het systeem verder wordt doorontwikkeld en dat eind volgend jaar meer dan 90 procent van de huisartsen en apotheken Mitz in gebruik moet hebben.
Privacy First waarschuwt dat Mitz door zijn centrale opzet grotere systeemrisico’s met zich meebrengt dan het Landelijk EPD uit 2011. De Autoriteit Persoonsgegevens zegt de invoering van Mitz nauwlettend te volgen.