Het door het ICT platform in de Zorg gelanceerde zorgnummer zou een uniek en eenduidig nummer zijn, waarmee gegevens zijn te ontsluiten. J. Oudman vraagt zich echter af of een uniek nummer altijd eenduidig gekoppeld is aan de beoogde persoon en of dat kan worden gewaarborgd? Wederom is de privacy van de patiënt in het geding.
In het artikel ‘Zorgsector ontwaakt uit coma’ (Computable, 15 december) over het elektronisch medisch dossier concludeert Cok de Zwart terecht dat er een noodzaak is voor het opzetten en het toegankelijk maken van patiëntendossiers.Hij besteedt echter geen aandacht aan de privacy en de daaraan gerelateerde zorgvuldigheidseis voor het identificeren van personen. Het in september door het ICT platform in de Zorg (IPZorg) gelanceerde zorgnummer wordt aangehaald als een uniek en eenduidig nummer waarmee gegevens kunnen worden ontsloten. De vraag is echter of een uniek nummer altijd eenduidig gekoppeld is aan de beoogde persoon en of dat kan worden gewaarborgd?
Standaards
De intentie van IPZorg is het ontwikkelen van technische en inhoudelijke standaards om de koppeling van elektronisch medische dossiers daadwerkelijk te realiseren. Men benadrukt dat daarbij privacy niet in het geding is en dat de patiënt zelf uit kan maken welke gegevens mogen worden gebruikt. Het waarborgen van de betrouwbaarheid en privacy van gegevenskoppeling op basis van het zorgnummer is echter geen sinecure. Zeker wanneer wordt gematcht op basis van exacte gelijkheid van betekenisloze nummers.
Een juiste identificatie van personen maakt persoonsgebonden gegevens uitwisselbaar. Het lijkt logisch dat wanneer een unieke nummering beschikbaar is, bestanden eenvoudig kunnen worden gekoppeld. Sinds het vorige decennium is het koppelen van bestanden van financiële dienstverleners en overheid met behulp van het sofinummer aan de orde geweest. De problematiek van nu is vergelijkbaar; personen moeten correct worden geïdentificeerd. Er werd gekoppeld door gegevens exact te vergelijken en dat is zeer moeilijk wanneer voorlettergebruik, schrijfwijze en naamgeving niet eenduidig zijn. De betrokken bewindslieden en ambtenaren waren ervan overtuigd dat het sofinummersysteem waterdicht was. Het tegendeel bleek waar te zijn. Zie bijvoorbeeld de brief die W. Vermeend aan de Tweede Kamer heeft gestuurd op 6 april 1995. Mensen zijn ten onrechte benadeeld door verwisseling van sofi-nummers. De in dit artikel aangehaalde reactie van minister Borst verraadt dat dit ook in de zorg het geval zal zijn.
Meestal zal de relatie tussen zorgnummer en persoon juist zijn. Als er (spoedeisende) zorg moet worden verleend is het nummer echter niet altijd beschikbaar en vrijwel niemand zal het uit het hoofd kennen. Er moet echter toch een nummer in de administratie worden opgevoerd, dus wordt er misschien een nummer verzonnen, want de zorg moet worden verleend. Dat heeft echter wel verstrekkende gevolgen voor de privacy, om maar te zwijgen over het moedwillig verkeerd gebruiken van een nummer.
Naam-nummer-controle
Mensen identificeren zich niet met een nummer, maar met hun naam en adres. Hierin schuilt de oplossing voor het vraagstuk. Wanneer een persoon wordt ingevoerd in een systeem met zijn of haar zorgnummer moet niet alleen gekeken worden of het zorgnummer geldig is, maar vooral of dat nummer wel bij die persoon hoort. Achter de schermen kan worden vastgesteld of de gegevens in voldoende mate overeenkomen met de persoonsgegevens zoals ze oorspronkelijk bij het nummer zijn vastgelegd. Pas dan mag een dossier ter inzage worden vrijgegeven. Bij het vergelijken moet voldoende fouttolerantie worden ingebouwd om typefouten en notatieverschillen te compenseren. Deze zogenaamde naam-nummer-controle zou een vast onderdeel moeten worden van de identificatie. Onder meer de Belastingdienst en enkele financiële instellingen maken reeds gebruik van deze techniek.
Binnen de zorg bestaat een grote en zeer diverse hoeveelheid gegevens, verdeeld over vele bestanden, verzameld over een grote tijdspanne. Een persoon heeft er recht op dat zijn gegevens niet (per abuis) kunnen worden verwisseld. De zorg heeft de plicht dit te garanderen en de technieken zijn beschikbaar om dergelijke controles te waarborgen. Intelligente identificatiemethoden bij zoeken en koppelen van persoonsgegevens zijn belangrijk voor een waterdichte privacybescherming van patiëntgegevens. Het ICT Platform Zorg zou moeten aandringen op toepassing van dergelijke methoden. Iedere patiënt kan er dan gerust op zijn dat zijn of haar gegevens niet worden verwisseld met die van een ander, en� dat zijn invloed op de beschikbaarheid van gegevens – met andere woorden zijn privacy – daadwerkelijk gewaarborgd is.
J. Oudman Consultant Bij Human Inference
