Een artikel in Le Soir van woensdag meldde dat Medispring, een coöperatie van meer dan 2.200 artsen, een klacht had ingediend bij de Gegevensbeschermingsautoriteit (GBA) over Helena, een van de belangrijkste toepassingen voor gegevensuitwisseling tussen artsen en patiënten in België.
In een reactie gisterennamiddag willen de Federale Overheidsdienst Pensioenen, het NISSE en Sigedis, de organisaties die verantwoordelijk zijn voor mypension.be, de burgers geruststellen over wat beweerd werd in het artikel.
Stekker uitgetrokken
Medispring bevestigt dat Helena er in 2019 in slaagde in om voor zijn applicatie het beveiligingsniveau te verlagen dat vereist is voor een patiënt om toegang te krijgen tot zijn medisch dossier. Zozeer zelfs dat het volgens de coöperatie mogelijk is om toegang te krijgen tot een medisch dossier zonder iemands identiteit te moeten bewijzen en zonder een therapeutische band met een arts. "Helena's stekker werd er dinsdag uitgetrokken", vóór de publicatie van het onderzoek van Le Soir, merkt de krant op.
Het Helena-platform is goed beveiligd en wordt gecontroleerd om misbruik te voorkomen, beweren de beheerders niettemin. "Bovendien gaat het hier slechts om een miniem deel van de verbindingen naar mypension.be. In juli 2021 betrof 1,66% van de verbindingen via Helena sociale zekerheidsaanvragen."
Het Helena-authenticatiesysteem is door het beheerscomité van de Kruispuntbank van de Sociale Zekerheid goedgekeurd volgens de Europese criteria.
Drie voorwaarden
Het Helena platform heeft een hoog beveiligingsniveau, vervolgen de beheerders. "Om verbinding te kunnen maken via Helena, zijn drie voorwaarden nodig. De behandelend arts verifieert de identiteit van zijn patiënt; de arts geeft een unieke code aan zijn patiënt; en tot slot codeert de arts het e-mailadres of het mobiele telefoonnummer van de patiënt. Een tweede verificatiecode zal langs deze weg naar de patiënt worden gestuurd.
Wat de door Le Soir vastgestelde afsluiting betreft, delen de FOD Pensioenen, het RSVZ en Sigedis mee dat het systeem "tijdelijk buiten werking is gesteld". Helena zal niet beschikbaar zijn voor de tijd van een algemeen veiligheidsonderzoek om alle nodige verificaties uit te voeren".
Maar Bvas contesteert alvast dat patiënten Helena kunnen activeren zonder dat hun identiteit en toestemming formeel en officieel is vastgesteld via eID of Itsme. Het enige dat ze nodig hebben, is een eenvoudige code die per e-mail door een arts is verstuurd (en een bevestiging per SMS).
Medisch geheim
"Voor Bvas is veiligheid een absolute prioriteit bij het uitwisselen van gezondheidsdata, waar niet aan getornd kan worden. Patiëntengegevens in gevaar brengen, is te allen tijde onaanvaardbaar. We blijven aandringen op respect voor de GDPR-wetgeving en het medisch geheim en vragen volledige opheldering zodat we onze inspanningen om het GMD en het EPD verder op te schalen, kunnen voortzetten. Een hoog veiligheidsniveau en het principe van de natrekbare expliciete toestemming van de patiënt, zijn daarbij van cruciaal belang", luidt de reactie.
