Het nieuwe landelijke zorgsysteem Mitz, dat het delen van medische gegevens moet vereenvoudigen, ligt onder vuur vanwege onvoldoende beveiligingsmaatregelen. Uit recent onderzoek blijkt dat het ministerie van Volksgezondheid, Welzijn en Sport onvoldoende heeft gedaan om misbruik van het systeem te voorkomen. Daarmee laait de discussie over privacy en informatiebeveiliging in de zorg opnieuw op, vergelijkbaar met de eerdere controverse rond het Landelijk Elektronisch Patiëntendossier.

Mitz is bedoeld om patiënten via DigiD meer regie te geven over wie hun medische gegevens mag delen. Het ministerie wees het systeem in 2023 aan als landelijke standaard voor toestemmingsregistratie. Inmiddels zijn ongeveer 775 zorgaanbieders aangesloten. Volgens privacyorganisatie Privacy First werkt de beloofde regie in de praktijk echter averechts. Zorgverleners zouden relatief eenvoudig namens patiënten toestemmingen kunnen aanpassen, zonder dat de patiënt daar daadwerkelijk bij betrokken is.
Met name de zogeheten Samen-naar-MijnMitz-functionaliteit baart zorgen. Deze knop in apotheeksystemen is bedoeld om minder digitaal vaardige patiënten te helpen, maar maakt het volgens eerder onderzoek van Pointer ook mogelijk om zonder medeweten van de patiënt instellingen te wijzigen. Zelfs expliciete weigeringen om gegevens te delen kunnen daarbij worden aangepast.

Schrijnend geval

De risico’s zijn niet theoretisch, blijkt uit de praktijk. In een schrijnend geval werden medische dossiers onrechtmatig ingezien door een zorgmedewerker, waarna de informatie werd gebruikt voor persoonlijke aanvallen en laster. Het leidde tot grote emotionele schade en uiteindelijk tot ontslag van de betrokken medewerker en strafrechtelijke vervolging. Privacyorganisaties waarschuwen dat Mitz dit soort misbruik op grotere schaal kan faciliteren.
Volgens Privacy First creëert het systeem infrastructuurrisico’s die zelfs groter zijn dan die van het in 2011 weggestemde Elektronisch Patiëntendossier. Samen met andere organisaties roept de stichting het ministerie op om de verdere uitrol van Mitz per direct te stoppen.
Beheerder VZVZ en het ministerie erkennen dat misbruik mogelijk is, maar wijzen erop dat dit strafbaar is en dat er juridische en organisatorische waarborgen bestaan, zoals logging en het vereiste van een behandelrelatie. Deskundigen vinden dit onvoldoende. Hoogleraar ICT en recht Frederik Zuiderveen Borgesius en privacyadvocaat Menno Weij stellen dat juist extra technische beveiliging noodzakelijk is. Zij pleiten onder meer voor verplichte SMS-verificatie bij het aanpassen van toestemmingen.