Op 11 februari berichtte Pointer dat het Ministerie van VWS onvoldoende maatregelen zou hebben genomen om het nieuwe landelijke toestemmingssysteem Mitz te beveiligen. Volgens het onderzoek bevat het systeem kwetsbaarheden die misbruik mogelijk maken, met name rond de zogeheten ‘Samen naar MijnMitz’-knop. Privacyorganisaties spreken van systeemrisico’s die doen denken aan het Landelijk Elektronisch Patiëntendossier dat in 2011 strandde in de Eerste Kamer.
De boodschap is duidelijk: opnieuw dreigt een landelijke infrastructuur voor medische gegevensdeling ingevoerd te worden zonder dat privacy en technische waarborgen volledig op orde zijn. Dat verdient serieuze aandacht. Maar het verdient ook nuance.
Mitz is bedoeld als landelijke standaard voor het vastleggen en raadplegen van toestemmingen voor gegevensuitwisseling in de zorg. Inmiddels zijn zo’n 775 zorgaanbieders aangesloten en kiezen regio’s (zoals Rijnmond) voor gezamenlijke implementatie. Het systeem moet voorkomen dat toestemmingen versnipperd per instelling worden geregistreerd.
De kern van de kritiek zit in de mogelijkheid dat zorgverleners via ‘Samen naar MijnMitz’ namens patiënten toestemming kunnen instellen of wijzigen, ook wanneer de patiënt niet fysiek aanwezig is. Volgens critici opent dit de deur naar heimelijke inzage of ongewenste toestemming. Formeel klopt dat: wanneer een systeem toestaat dat een professional handelingen verricht namens een patiënt, bestaat er altijd een risico op misbruik. Maar hier ontstaat een belangrijke vraag: moeten we systemen ontwerpen vanuit het uitgangspunt dat zorgprofessionals primair potentiële daders zijn? Of vanuit het uitgangspunt dat zij handelen in het belang van hun patiënt?
De zorg is één van de weinige sectoren waar professionals structureel het hoogste vertrouwen genieten onder burgers. De behandelrelatie is geen administratieve formaliteit; het is een juridisch én ethisch kader waarin vertrouwelijkheid, proportionaliteit en doelbinding centraal staan. Dat betekent niet dat misbruik onmogelijk is. Maar het betekent wél dat systemen moeten aansluiten op de realiteit van zorgprocessen.
In de praktijk blijkt dat digitale toestemmingsregistratie voor veel patiënten complex is. Niet iedereen is digitaal vaardig. Niet iedereen begrijpt de implicaties van “opt-in” of “opt-out”. Juist daarom is de mogelijkheid toegevoegd om samen met de zorgverlener toestemming te regelen. Niet om controle weg te nemen, maar om drempels te verlagen. Vooral burgers die minder digitaal vaardig zijn, of het lastig vinden om te begrijpen wat wél of geen toestemming geven als gevolg heeft, zijn erbij gebaat om in overleg met de zorgprofessional hun toestemming vast te leggen.
De vraag is dus niet alleen: kan dit misbruikt worden? De vraag is ook: wat gebeurt er als we deze mogelijkheid weghalen? Dan verschuiven we de administratieve last volledig naar de patiënt. In spoedsituaties of bij kwetsbare groepen leidt dat mogelijk tot minder gegevensdeling, met directe impact op kwaliteit en veiligheid van zorg.
De vergelijking met het voormalige Landelijk Elektronisch Patiëntendossier is snel gemaakt. Ook toen draaide het debat om centrale infrastructuur, privacy en systeemrisico’s.
Maar de context van 2026 is niet die van 2011, want:
Dat betekent niet dat kritiek ongegrond is, maar het betekent wel dat het debat complexer is dan “centrale infrastructuur = onveilig”.
VWS en beheerder VZVZ erkennen dat misbruik theoretisch mogelijk is, maar wijzen op strafbaarheid, logging en controle op behandelrelaties. Privacyjuristen vinden dat onvoldoende en pleiten voor extra technische waarborgen, zoals verplichte sms-verificatie bij het wijzigen van toestemmingen. Dat is een legitieme discussie, maar hier raken we een fundamentele ontwerpkeuze: bouwen we vertrouwen primair juridisch (via aansprakelijkheid en toezicht) of technisch (via extra verificatiestappen)?
Meer technische waarborgen vergroten de veiligheid, maar ook de complexiteit. Elke extra verificatiestap betekent meer handelingen, meer frictie en mogelijk meer fouten of uitstel in de praktijk. De uitdaging is dan ook niet óf we extra beveiliging willen. De uitdaging is hoe we proportionaliteit bewaken.
Terwijl het landelijke debat oplaait, kiezen regio’s zoals Rijnmond juist voor gezamenlijke implementatie via Mitz. Ziekenhuizen, huisartsen en apotheken willen voorkomen dat toestemmingen versnipperd per instelling worden vastgelegd. Het Erasmus MC is al overgestapt. Andere instellingen volgen.
In eerdere implementaties bleek dat werkprocessen aangepast moesten worden, bijvoorbeeld bij spoedraadpleging of laboratoriumgegevens. Dat laat zien dat techniek nooit losstaat van organisatie en gedrag. De realiteit is: Mitz is geen theoretisch beleidsinstrument meer. Het wordt geïntegreerd in bestaande zorgketens. Een volledige terugdraaiing zou daarom niet alleen een technische correctie zijn, maar een ingrijpende organisatorische stap.
Er zijn grofweg twee extreme reacties mogelijk:
Beide posities doen geen recht aan de complexiteit. Ja, misbruik moet zo moeilijk mogelijk worden gemaakt. En ja, technische waarborgen verdienen serieuze aandacht. Maar nee, het uitgangspunt kan niet zijn dat we zorgprocessen ontwerpen vanuit structureel wantrouwen jegens de professional.
De kernvraag is: hoe creëren we een infrastructuur die veilig is, proportioneel én werkbaar? Oftewel biedt het enerzijds de waarborgen die wij als samenleving vereisen, terwijl tegelijkertijd de data optimaal stroomt tussen zorgverleners waar dit gewenst is?
Het debat over Mitz gaat uiteindelijk niet alleen over één knop of één verificatiestap. Het gaat over iets groters:
Digitale zorg zonder risico bestaat niet. Geen enkel systeem is volledig immuun voor misbruik. De keuze is dus niet tussen perfect veilig of volledig onveilig. De keuze is hoe we risico’s beheersen zonder innovatie te blokkeren. Misschien is de meest constructieve uitkomst daarom niet het stilleggen van de uitrol, maar het versneld versterken van technische waarborgen in samenspraak met zorgprofessionals, juristen én patiëntenorganisaties.
De discussie rond Mitz verdient geen paniekreflex, maar ook geen wegwuiven van zorgen. Wat nodig is, is een volwassen debat waarin veiligheid, vertrouwen en werkbaarheid samen worden gewogen. Want uiteindelijk draait het niet om een knop in een systeem. Het draait om de vraag hoe we in Nederland veilige, toegankelijke en toekomstbestendige gegevensuitwisseling organiseren, met respect voor privacy en voor de realiteit van de zorgpraktijk.
En dát is een gesprek dat we niet uit de weg moeten gaan.