De beveiligingsmaatregelen bij het uitwisselen van patiëntgegevens tussen zorgaanbieders zijn cruciaal voor het slagen van het elektronisch patiëntendossier (EDP). Albert Vlug, manager ontwerp en onderhoud bij het Nationaal ICT Instituut in de Zorg (Nictiz), legt uit wat de belangrijkste beveiligingsmaatregelen zijn.
Hoe is de uitwisseling van patiëntgegevens beveiligd?
Naast de autorisatie van de patiënt en de zorgverlener moeten computersystemen van zorginstellingen voldoen aan de eisen van een goed beheerd zorgsysteem (gbz) die Nictiz heeft opgesteld. Daarnaast moeten zorginformatiesystemen XIS-type gekwalificeerd zijn.
Ook voor de netwerkleveranciers geldt een keuring. Zij moeten zijn gekwalificeerd als zorgserviceprovider (zsp). Maar het gaat niet alleen om technische beveiliging. Voor de beveiliging is het nakomen van afspraken tussen zorgverleners zeker zo belangrijk. Daar wordt de wetgeving op aangepast. Zo worden zorgverleners op termijn verplicht deel te nemen aan het EPD en te voldoen aan de bijbehorende beveiligingsregels.
Dat gebeurt in fases. Eerst worden alleen het medicatiedossier en het waarnemingsdossier van huisartsen aan elkaar gekoppeld en uiteindelijk bepalen de zorgverleners welke gegevens nog meer worden uitgewisseld. De zorgverleners moeten zich ook houden aan belangrijke afspraken over het inzien van gegevens. Zo kan een patiënt een zorgverlener verbieden om bepaalde gegevens in te zien.
De patiëntgegevens van een zorgaanbieder moeten altijd voor collega's toegankelijk zijn via internet. Is een constante internetverbinding niet een te groot beveiligingsrisico?
Hierover bestaan veel misverstanden. Het is niet zo dat een zorgverlener zijn patiëntgegevens met een andere zorgverlener uitwisselt via een normale internetbevinding. De gegevensoverdracht vindt plaats via het landelijk schakelpunt (lsp). Dat lsp zorgt ervoor dat geautoriseerde zorgverleners in een acute situatie veilig en snel informatie kunnen opvragen uit de systemen van andere zorgverleners.
Dat gebeurt via het hart van het EPD, de verwijsindex. Daarin staat precies aangegeven bij welke zorgaanbieder specifieke patiëntgegevens zijn opgeslagen. Het landelijke schakelpunt regelt de verbinding tussen de zorgverleners. Die verloopt via een netwerkverbinding die voldoet aan strenge beveiligingseisen gebaseerd op de NEN7510 standaard.
Het betekent dat voor de uitwisseling van medische gegevens een speciale netwerkverbinding tussen zorgverleners is, die verloopt via het schakelpunt. Een huisarts kan daarnaast een gewone internetverbinding hebben voor bijvoorbeeld zijn e-mailprogramma. Maar de communicatie van patiëntgegevens gaat dus via het schakelpunt en loopt over een zwaarbeveiligde verbinding.
Er worden in dit artikel twee goede vragen gesteld en twee slechte antwoorden gegeven. Het eerste antwoord is helemaal geen antwoord op de vraag, maar een standaard riedeltje dat opgedreund wordt. Het antwoorde op de tweede vraag is inconsistent. Als het LSP alleen een verwijsindex is, dan loopt de communucatie van de beveiligde dossiers niet via de LSP hetgeen stijdig is met het gegeven antwoord. Als het LSP niet alleen een verwijsindex is, dan heeft het LSP alle gegevens om de beveiliging van de dossiers op te heffen en de dossiers in te zien. Ook is er in het antwoord sprake van de beveiliging van de verbinding en niet de gegevens zelf.
Het lijkt me niet al te moeilijk voor iemand met wat automatiseringskennis om een desktop met internetverbinding van een ZSP (thuis of bij de instelling waar hij of zij werkzaam is) als bridge naar LSP te gebruiken om aan gegevens te komen.
Een beveiliging is helaas niet beter dan haar zwakste schakel…
Ik denk dat de titel vooral moet zijn:”EPD is een grote politieke, geldverslindende operatie”. Geen politicus, verzekeraar of ict’er vraagt zich af of het doel de middelen wel heiligt. De aanname dat er dan minder fouten e.d. zullen worden gemaakt berust op niets dan aannames; evenzo de ‘kostenbesparing’.
@Dr.G.K.Mitrasing
Op de link http://www.win.tue.nl/eipsi/Slides/Brown.ppt is een presentatie te vinden over de bevindingen van Prof.Ian Brown bij de invoering van het EPD in de UK. Ian Brown heeft z’n eigen medisch dossier en dat van z’n gezinsleden laten verwijderen uit al deze systemen, zoveel vertrouwen heeft ie in de goede afloop.
Op bijvoorbeeld de link http://www.gpg4win.de/index.html is een gratis programma te downloaden dat direct bruikbaar is voor de praktische uitwisseling van EPD informatie. De Public Keys van alle huisartspraktijken en apotheken kunnen bijvoorbeeld op een centrale website gezet worden, waar alleen bevoegde personen toegang toe hebben. Vergelijk dit bijvoorbeeld met een telefoonboek, echter de mensen zelf kunnen ook hun eigen telefoon nummer invoegen, wijzigen naast dat de “telefoonnummers” van alle collega’s ook opgezocht kunnen worden. Als de dossiers worden bewaard op een standalone PC (bijvoorbeeld een laptop), waar de PGP software ook op is geinstalleerd, dan is deze oplossing goedkoper, sneller, gebruikersvriedelijker maar vooral veel veiliger dan het huidige EPD. In de presentatie van Ian Brown is deze oplossing ook te vinden. Wellicht dat het raadzaam is voor de huisartsen om zich af te vragen waarom het EPD met deze architectuur door de Nederlandse overheid wordt ingevoerd en of dit ook ECHT in het belang is van de huisartsen en patienten. Mogelijk dat het ook interessant is te weten dat Govcert (http://www.govcert.nl) ook gebruiker is van het PGP systeem.
Een van de zwakke schakels is de administratieve controle van het BSN. Ervaring leert dat er tot 36 mensen achter 1 Sofi-nummer schuil kunnen gaan (in de uitzendbranche voorbeelden te over).In de zorg zijn de risico’s echter vele malen groter om te kunnen spreken van een veilige situatie. Nog maar eens goed naar kijken dus!!
Helaas is, volgens mij, het EPD niet vanuit het oogpunt van de patient ontworpen.