Karin Spaink, auteur van het boek 'Medische Geheimen' pleit voor extra beveiligingsmaatregelen van het elektronische patiëntendossier (EPD).
Deze dossiers zijn makkelijk te hacken, blijkt uit de 1,2 miljoen patiëntgegevens die na een 'proefhack' van twee Nederlandse ziekenhuizen vrijkwamen. Spaink voorziet bij de invoering van het EPD per 1 januari 2006 grootschalige diefstal van deze gegevens als gevolg van systeemlekken en computervirussen.
Het boek 'Medische Geheimen' wordt vandaag gepresenteerd en bevat voor- en tegenargumenten voor het EPD. De auteur roept op tot herbezinning rond de overhaaste invoering van het elektronisch patiëntendossier. Spaink erkent de completere en snellere gegevensuitwisseling door middel van het dossier, maar waarschuwt voor een gehaaste en geforceerde invoering. Naast systeembeveiliging moet eerst de veilige opslag van patiëntgegevens binnen ziekenhuizen en huisartsenpraktijken goed geregeld worden.
De wet bescherming persoonsgegevens en de veiligheidsnorm NEN 7510 maken beveiligde / gecodeerde opslag tot een plicht. Als binnen de systemen dat al niet goed geregeld is hoe zou dan de uitwisseling van die onbeveiligde gegevens wel veilig kunnen?
Ik ben zelf benieuwd hoe minister Hoogervorst nu nog het Elektronische Medicatie Dossier medio 2006 ingevoerd krijgt en het Elektronisch Patiënten Dossier in 2010. Hij heeft hier zijn eigen politieke lot aan verbonden. Ik hoop niet dat de privacy van gegevens van patiënten hier ondergeschikt aan gemaakt worden.
Ik ben en blijf van mening dat de patiënt zelf beschikking moet krijgen over zijn / haar eigen (encrypted) dossier dat diegene zelf bij zich kan dragen. De patiënt heeft er zelf alle belang bij dat die gegevens up to date zijn, correct en altijd beschikbaar.
Koppelingen met de diverse Huisarts Informatiesystemen, Apothekersystemen en Ziekenhuis Informatie Systemen blijken daarbij geen probleem te zijn.
Met alle berichtgeving rond het EPD lijkt het erop dat de beveiliging en het eigendom van patientengegevens constant weinig tot geen aandacht krijgt. Eerst het bericht dat huisartsen er niet happig op zijn ‘hun’ gegevens te delen met anderen. Van wie zijn die gegevens nu eigenlijk? Wie heeft er het meeste belang bij dat zijn gegevens worden gedeeld? Ik denk dat dit de patient is. Hoe vaak komt het niet voor dat de resultaten van een onderzoek in het ene ziekenhuis niet in het andere worden gebruikt omdat de betreffende specialist vindt dat hij het onderzoek nog eens over moet doen? Wie betaalt daarvoor?
Het belang van de patient voor zowel delen als afschermen van zijn eigen gegevens lijkt mij duidelijk en de patient moet daar zelf inzicht in en controle over hebben.
Ik maak mij zorgen over de opslag van mijn gegevens, de beveiliging ervan, de toegang en het gebruik. Welke beslissingen worden door wie genomen op basis van gegevens die ik niet eens ken en waarvan ik niemand ook toestemming heb gegeven die in te zien. Wat gaan de zorgverzekeraars doen met die gegevens die ze -ongetwijfeld- gaan krijgen? Ik hoop dat patienten daar ook nog eens wat over te zeggen krijgen. Ik heb in ieder geval nog nooit een toestemmingsverklaring moeten tekenen aan enige arts om mijn medische gegevens ter beschikking te stellen aan derden. Nu deze gegevens bijna publiek gedeeld dreigen te gaan worden (was ik 1 van die 1,2 miljoen?) lijkt het me hoog tijd om de wetgeving op medische gegevens aan te scherpen.
Tot op zekere hoogte deel ik met Paul en Serge de zorg over de wijze waarop patientengegevens toegankelijk worden gemaakt. Tijdens een EPD-congres enkele maanden geleden werden applicaties van een zestal leveranciers geëvalueerd. In de begeleidende presentaties werd uitgelegd hoe goed deze applicaties aansluiten bij de behoefte van de gebruikers. De gebruikers ? Jazeker: allemaal, met uitzondering van de patiënt zelf. Iris van Bennekom (directeur Nederlandse Patiënten Consumenten Federatie, NPCF) liet in haar presentatie dan ook weinig heel van de kwaliteit van deze systemen als het gaat om toegankelijkheid voor de patiënt. Ook in een onlangs verschenen nieuwsbrief sprak ze zich in deze geest uit.
Anderszijds: hoe is de toegang tot patiëntgegevens nu geregeld ? Welke patiënt weet nu wanneer een medicus of andere zorgverlener gevoelige informatie doorgeeft aan een collega ? En zou die patiënt zo’n uitwisseling hebben geblokkeerd indien men op de hoogte zou zijn geweest ? Welke patiënt heeft nu al toegang tot zijn/haar gegevens ? En hoeveel patiënten zouden die toegang nu al willen hebben?
Het lijkt erop dat de toegenomen MOGELIJKHEID om patientgegevens in te zien opeens de discussie opwakkert van de WENSELIJKHEID van inzage. Mijns inziens twee verschillende zaken, die ook separaat moeten worden behandeld. De wenselijkheid lijkt me een onderwerp voor een brede maatschappelijke discussie. De mogelijkheid is daarentegen heel duidelijk een onderwerp voor onze groep, de service managers. Is nu de medicus persoonlijk verantwoordelijk voor een goede inbraakbeveiliging van werkruimte en papieren archief, bij elektronische vastlegging verschuift die verantwoordelijkheid voor een belangrijk deel naar de ICT-manager. Natuurlijk is nu al op veel plaatsen patiëntendata elektronisch vastgelegd, maar ontsluiting via een landelijk netwerk stelt toch andere, hogere, eisen aan die beveiliging. In dat kader zijn de Nictiz-richtlijnen voor een Goed Beheerd Zorginformatie-systeem (GBZ) van belang. Het lijkt mij een goede zaak indien ITSMF-NL vanuit haar expertise deze richtlijnen eens onder de loep neemt en beoordeelt of deze voldoende waarborgen bieden voor een goed gecontroleerde toegankelijkheid.
Het valt mij op dat in de hier gevoerde discussie voornamelijk gepraat over de technische invalshoek. Komende uit de medische wereld vraag ik mij dan ook af in welke mate er ook naar de medische invalshoek gekeken wordt en de wet- en regelgeving op dat vlak. Er bestaat immers al geruime tijd een Wet op de Geneeskundige Behandelingsovereenkomst (WGBO). In deze wet is naast de vraag van het eigendom van medische gegevens onder andere ook het inzagerecht door anderen, maar ook de patiënt zelf geregeld. Hierin staat ook wel degelijk de verplichting om toestemming te vragen aan de patient voordat medische gegevens worden uitgewisseld. Ik weet dat zorgverleners hierbij nog wel eens in de fout gaan.
Door één en ander elektronisch te laten verlopen is er veel meer inzicht te creëren dan nu in het papieren tijdperk.