Een aantal lezers hebben gereageerd op het nieuws van vorige week dat elektronische patiëntendossiers gemakkelijk te hacken zouden zijn. Begin vorige week publiceerde Karin Spaink het boek ‘Medische geheimen’ waarin zij oproep doet om juist vanwege de vermeende beveiligingsproblemen niet zonder meer over te stappen op een elektronisch dossier.
Bij de patiënt zelf
De wet bescherming persoonsgegevens en de veiligheidsnorm NEN 7510 maken beveiligde / gecodeerde opslag tot een plicht. Als binnen de systemen dat al niet goed geregeld is hoe zou dan de uitwisseling van die onbeveiligde gegevens wel veilig kunnen?
Ik ben zelf benieuwd hoe minister Hoogervorst nu nog het Elektronische Medicatie Dossier (emd) medio 2006 ingevoerd krijgt en het Elektronisch Patiënten Dossier (epd) in 2010. Hij heeft hier zijn eigen politieke lot aan verbonden. Ik hoop niet dat de privacy van gegevens van patiënten hier ondergeschikt aan gemaakt worden. Ik ben en blijf van mening dat de patiënt zelf beschikking moet krijgen over zijn / haar eigen (encrypted) dossier dat diegene zelf bij zich kan dragen. De patiënt heeft er zelf alle belang bij dat die gegevens up to date zijn, correct en altijd beschikbaar. Koppelingen met de diverse Huisarts Informatiesystemen, Apothekersystemen en Ziekenhuis Informatie Systemen blijken daarbij geen probleem te zijn.
Serge Willems, Cinsol
Te weinig aandacht
Met alle berichtgeving rond het epd lijkt het erop dat de beveiliging en het eigendom van patiëntengegevens constant weinig tot geen aandacht krijgt. Eerst het bericht dat huisartsen er niet happig op zijn ‘hun’ gegevens te delen met anderen. Van wie zijn die gegevens nu eigenlijk? Wie heeft er het meeste belang bij dat zijn gegevens worden gedeeld? Ik denk dat dit de patiënt is. Hoe vaak komt het niet voor dat de resultaten van een onderzoek in het ene ziekenhuis niet in het andere worden gebruikt omdat de betreffende specialist vindt dat hij het onderzoek nog eens over moet doen? Wie betaalt daarvoor?
Het belang van de patiënt voor zowel delen als afschermen van zijn eigen gegevens lijkt mij duidelijk en de patiënt moet daar zelf inzicht in en controle over hebben. Ik maak mij zorgen over de opslag van mijn gegevens, de beveiliging ervan, de toegang en het gebruik. Welke beslissingen worden door wie genomen op basis van gegevens die ik niet eens ken en waarvan ik niemand ook toestemming heb gegeven die in te zien. Wat gaan de zorgverzekeraars doen met die gegevens die ze – ongetwijfeld – gaan krijgen? Ik hoop dat patiënten daar ook nog eens wat over te zeggen krijgen. Ik heb in ieder geval nog nooit een toestemmingsverklaring moeten tekenen aan enige arts om mijn medische gegevens ter beschikking te stellen aan derden. Nu deze gegevens bijna publiek gedeeld dreigen te gaan worden (was ik 1 van die 1,2 miljoen?) lijkt het me hoog tijd om de wetgeving op medische gegevens aan te scherpen.
Paul Duran
Mogelijkheid versus wenselijkheid
Tot op zekere hoogte deel ik met Paul en Serge de zorg over de wijze waarop patiëntengegevens toegankelijk worden gemaakt. Tijdens een epd-congres enkele maanden geleden werden applicaties van een zestal leveranciers geëvalueerd. In de begeleidende presentaties werd uitgelegd hoe goed deze applicaties aansluiten bij de behoefte van de gebruikers. De gebruikers? Jazeker: allemaal, met uitzondering van de patiënt zelf. Iris van Bennekom (directeur Nederlandse Patiënten Consumenten Federatie, NPCF) liet in haar presentatie dan ook weinig heel van de kwaliteit van deze systemen als het gaat om toegankelijkheid voor de patiënt. Ook in een onlangs verschenen nieuwsbrief sprak ze zich in deze geest uit.
Anderszijds: hoe is de toegang tot patiëntgegevens nu geregeld? Welke patiënt weet nu wanneer een medicus of andere zorgverlener gevoelige informatie doorgeeft aan een collega? En zou die patiënt zo’n uitwisseling hebben geblokkeerd indien men op de hoogte zou zijn geweest? Welke patiënt heeft nu al toegang tot zijn/haar gegevens? En hoeveel patiënten zouden die toegang nu al willen hebben?
Het lijkt erop dat de toegenomen mogelijkheid om patiëntgegevens in te zien opeens de discussie opwakkert van de wenselijkheid van inzage. Mijns inziens twee verschillende zaken, die ook separaat moeten worden behandeld. De wenselijkheid lijkt me een onderwerp voor een brede maatschappelijke discussie. De mogelijkheid is daarentegen heel duidelijk een onderwerp voor onze groep, de service managers. Is nu de medicus persoonlijk verantwoordelijk voor een goede inbraakbeveiliging van werkruimte en papieren archief, bij elektronische vastlegging verschuift die verantwoordelijkheid voor een belangrijk deel naar de ict-manager. Natuurlijk is nu al op veel plaatsen patiëntendata elektronisch vastgelegd, maar ontsluiting via een landelijk netwerk stelt toch andere, hogere, eisen aan die beveiliging. In dat kader zijn de Nictiz-richtlijnen voor een Goed Beheerd Zorginformatie-systeem (GBZ) van belang. Het lijkt mij een goede zaak indien ITSMF-NL vanuit haar expertise deze richtlijnen eens onder de loep neemt en beoordeelt of deze voldoende waarborgen bieden voor een goed gecontroleerde toegankelijkheid.
Eelco Lolkema
Medische invalshoek
Het valt mij op dat in de hier gevoerde discussie voornamelijk gepraat wordt over de technische invalshoek. Komende uit de medische wereld vraag ik mij dan ook af in welke mate er ook naar de medische invalshoek gekeken wordt en de wet- en regelgeving op dat vlak. Er bestaat immers al geruime tijd een Wet op de Geneeskundige Behandelingsovereenkomst (WGBO). In deze wet is naast de vraag van het eigendom van medische gegevens onder andere ook het inzagerecht door anderen, maar ook de patiënt zelf geregeld. Hierin staat ook wel degelijk de verplichting om toestemming te vragen aan de patiënt voordat medische gegevens worden uitgewisseld. Ik weet dat zorgverleners hierbij nog wel eens in de fout gaan.
Door één en ander elektronisch te laten verlopen is er veel meer inzicht te creëren dan nu in het papieren tijdperk.
Kees de Vries
Hierbij stuur ik u een arbeidssituatie.
Een viertal gedupeerden staat nog net voor de kerst op straat. Zij krijgen een schuld in de schoenen geschoven, die bij de directie hoort. De mond wordt hen gesnoerd en krijgen de deksel van de doofpot op de kop.
Onderwerp:
Gebruik Electronisch Patienten Dossier door organisatie voor geestelijke gezondheidszorg.
Iedere big-geregistreerde verpleegkundige werkzaam bij bovenstaande organisatie is geautoriseerd om inzage te krijgen in het zogenaamde EPD-systeem met een persoonlijk wachtwoord.
Dit heeft onlangs tot een 4-tal ontslagen (hiermee wordt alles geprobeerd in de doofpot te stoppen) geleid omdat een verpleegkundige uit bezorgdheid een persoonlijk dossier heeft opgevraagd van een directe collega, die ook als patiente in behandeling is binnen deze organisatie. De autorisatie heeft een organisatiebrede reikwijdte.
Deze autorisatie is heel vreemd als je op de website van deze organisatie leest, ik citeer:
Wie heeft inzage in uw gegevens?
Worden mijn gegevens zonder dat ik het weet aan anderen gegeven?
Antwoord:
Alleen direct bij de behandeling betrokken personen en mensen die zorgen voor de administratieve afhandeling van dossiers kunnen gegevens inzien. Zij krijgen de gegevens te zien die zij nodig hebben om hun werk goed te doen en zijn wettelijk verplicht de gegevens geheim te houden. Als iemand anders uw gegevens wil bekijken, kan dat alleen als u vooraf toestemming heeft gegeven.
Wordt de client misleid met valse toezeggingen over privacy?
ik vind het van onbehoorlijk gedrag getuigen dat ik nu gedwongen wordt toe te stemmen dat mijn medische gegevens via het internet worden uitgewisseld tussen de diverse zorginstellingen. voor mij en mijn gezin (8 pers.) betekent het dat ik rond de 80 euro uit moet geven aan geboorteuitreksels als ik bezwaar maak. om kosten te besparen moet ik dus maar toestemmen? ik vind het ook gek dat ik maar 1 formulier krijg om bezwaar aan te tekenen, nu moet ik meer formulieren aanvragen of zelf kopieren. dus nu mag ik ineens een ‘formeel’ formulier zelf kopieren? ik vind het een hele rare gang van zaken en het wordt mij als gezin financieel moeilijk gemaakt om bezwaar in te dienen. als het moet maak ik die kosten wel! maar ik ben het er niet mee eens. Hoe kan dit nu ineens wel? bij de donor registratie kon (mocht) het toch ook niet?
Goede dag,
Door de ministerie van volksgezondheid worden we geconfronteerd met de Elektronische Patienten Dossier, de EPD. De informatievoorziening over EPD is zeer mager en minimaal. Ik ben een IT-deskundige en ik weet hoe moeilijk en kwetsbaar het is om informatie op een adequate wijze te beveiligen en privacybescherming te borgen. Ik wil graag bijvoorbeeld weten:
? Welke gegevens van mij voor welke mensen toegankelijk zullen zijn?
? Op welke wijze zullen de bevoegden in moeten loggen om mijn gegevens te bekijken? Wordt uitsluitend gebruik gemaakt van de zogeheten ?Zwakke authenticatie? (inloggen met username en wachtwoord) of past men ?Sterke authenticatie? (inloggen met DigiPas) toe?
? Hoe lang blijft een inlogsessie intact? Wat als de apotheker even gaat pauze houden? Wordt de computer aldaar automatisch gelockt? Kan de apotheker ook vanaf thuis ook deze informatie raadplegen? Wat als hij een uur later bezoek krijgt?
? Welke mensen kunnen welke delen van mijn gegevens muteren?
? Kunnen bijvoorbeeld de stagiaires van een apotheek mijn gegevens raadplegen?
Mijn zoektocht naar meer informatie en antwoorden op zulk soort vragen mislukt helaas. Het informatiefoldertje dat meegestuurd is, bevat uitsluitend vage informatie. De EPD website (www.infoepd.nl) is nagenoeg leeg. De call-center (0900-232 4342 ?0.10 p.m.) kan geen waardevolle informatie geven en/of mijn vragen beantwoorden.
Ik ken een apotheker persoonlijk en hij laat mij weten dat EPD momenteel erg in de kinderschoenen staat. Men doet er proeven mee en voert pilots uit maar enthousiast is hij er niet over. Hij is er niet van overtuigd dat dit systeem op korte termijn gaat werken. Hij praat over een jaar of langer totdat het systeem iets te bieden heeft.
Ik heb ernstige twijfels over dit fenomeen en wil mij, en mijn gezin daarom door middel van het bezwaarschriftformulier afmelden. Ik kom erachter dat ik voor mijn minderjarig kind, een recent uittreksel uit het gemeentelijke register moet meesturen. Een uittreksel uit het geboorteregister kost bij gemeente Groningen ?10,80. Ik vind het onacceptabel dat ik aan de overheid geld moet betalen om mijn minderjarig kind af te melden van een actie van de overheid. Door deze actie van de overheid, geniet de overheid van de onterechte omzet voor dit soort papiertjes. Ik heb immers niet om de EPD gevraagd. De overheid wil dit. Ik zou graag willen dat de overheid deze kosten voor het afmelden/bezwaarschrift vergoedt.
ik ben absoluut niet tegen een epd, maar ik wil dit net als mijn id graag bij me dragen. Dit is toch ook een oplossing, en geen uitverkoop via het www.