Een recent rapport van de Inspectie voor de Volksgezondheid en het College Bescherming Persoonsgegevens laat zien dat er de nodige risico's aan de veiligheidswaarborging rond het Elektronisch Patiënten Dossier (EPD) kleven. Het rapport laat zien dat ziekenhuizen weloverwogen omgaan met het aansluiten van externen, waaronder huisartsen, op het ziekenhuissysteem, maar volgens het rapport ontbreken vaak wettelijk vastgelegde afspraken. Dit is nu precies waar het voor Peter Westerveld finaal mis kan gaan.
Het klinkt als een doemscenario, maar het combineren van it-systemen kan tot problemen gaan leiden. De techniek ontwikkelt zich steeds verder, wat leidt tot het feit dat steeds meer informatie via het internet te vinden zal zijn. Het is naïef om te denken dat alle systemen los van elkaar staan. Zo zou het bijvoorbeeld kunnen gebeuren dat een zorgverzekeraar inzicht krijgt in patiëntgegevens. Voor mensen met een verhoogd gezondheidsrisico kan dit ertoe leiden dat ze een bepaalde zorgverzekering niet langer af kunnen sluiten. Ook bestaat de kans dat mensen zo problemen krijgen met het aanvragen van hypotheken.
Gevolgen overzien
Moeten we het zover laten komen? Het is zaak om nu goed na te denken over eventuele gevolgen die zich de komende jaren kunnen openbaren. Er moeten duidelijke afspraken gemaakt worden over het feit wie wel dan niet toegang krijgt tot het EPD en er moeten sancties opgesteld worden voor het moment wanneer er onrechtmatig gebruik wordt gemaakt van het EPD. Ook moet degene waar het uiteindelijk over gaat, de patiënt, inzicht krijgen in wie zijn gegevens heeft bekeken, bijvoorbeeld door om de zoveel tijd een overzicht te ontvangen. Zo heeft de patiënt ten minste enige controle op het feit of zijn gegevens wel terecht worden ingezien.
Het is de bedoeling dat straks alle patiëntgegevens via het landelijk schakelpunt beschikbaar komen. Om inzage in de gegevens te krijgen, moet er sprake zijn van een zorgrelatie. Maar hoe controleer je dat die relatie er inderdaad is? Daarnaast bestaan er geen richtlijnen voor het gebruik van de opgehaalde patiëntgegevens. Wat nu als een zorgverlener de patiëntgegevens op een usb-stick zet en deze stick verliest? Of wanneer de gegevens op een laptop worden gezet en deze vervolgens gestolen wordt? Confidentiële patiëntgegevens kunnen zo eenvoudig in handen terecht komen waar ze niet voor bestemd zijn.
EPD onkraakbaar?
Het is bovendien niet wettelijk geregeld aan welke beveiligingseisen it-systemen van zorginstellingen moeten voldoen. Hoe uitdagend is het om te proberen het EPD te kraken als Minister Klink verkondigt dat het EPD niet te kraken zou zijn? Als er de wil is om het te kraken, dan is het niet de vraag of het te kraken is, maar slechts wanneer. Staatssecretaris Huizinga, verantwoordelijk voor de veiligheid rond de OV-chipcard, kan hier over mee praten. Je zou wettelijk moeten regelen dat de systemen van zorgverleners aan bepaalde eisen moeten voldoen. De markt kiest vaak niet voor de beste oplossing, maar voor de oplossing die het meest eenvoudig uit te voeren is. Dit kan de veiligheid in gevaar brengen.
Als patiëntgegevens uitlekken, kan dit nare gevolgen hebben. Naast eerdergenoemde hypotheek- en verzekeringsvoorbeelden, kunnen we hierbij ook denken aan publieke personen. Hoe zou het zijn als we precies weten wat een minister mankeert als hij naar het ziekenhuis gaat? En heeft Willem Holleeder wel echt last van zijn hart? Met het EPD leveren sommige mensen meer van hun privacy in dan anderen. Is dat aanvaardbaar voor hen of gelden er andere regels als je bekend bent? De grootste groep Nederlanders die waarschijnlijk protest aantekent tegen het EPD, zijn zij die hun meest intieme persoonszaken voor zich willen houden, bekende Nederlanders voorop. Wellicht dat men daar een extra faciliteit voor inbouwt, omdat we toch niet allemaal even gelijk zijn?
Bureaucratie
Onze huidige maatschappij is er een vol van regels en afspraken. Vaak verzuchten we dat het wel eens wat minder kan met de bureaucratie in het land. Toch moeten we wel goed in ogenschouw blijven houden wanneer het stellen van regels wèl echt nodig is. De stap naar het EPD is en blijft een grote; we ontsluiten alle, zeer persoonlijke, medische gegevens voor algemene doeleinden, maar we stellen hier nog geen duidelijke grenzen en gaan er maar vanuit dat de zorgsector zelf alles gaat regelen. Beleid en regelgeving op beveiligingsgebied rond dit thema zal er moeten komen om problemen voor te zijn. En mocht in de loop der tijd blijken dat het beleid niet voldoende voldoet, dan moet het worden bijgesteld om er zeker van te blijven dat we op een discrete manier met deze kwetsbare gegevens omgaan.
Peter Westerveld, managing partner Sincerus Consultancy
Computable-expert
Peter Westerveld levert als expert op het Computable-topic Security regelmatig bijdragen over bevelingingsaspecten in de ict.
Hier geldt de enige regel: Beter voorkomen dan genezen!
Dus bezwaar indienen tenzij er een noodzaak is om medische gegevens uit te laten wisselen (ingeval levensbedreigende allergie of bij ziekte en combinatie medicatie). Voor het overige is het overbodige informatie daar een dossier aan beroepsgeheim gebonden is.
Vooralsnog nog geen bevestiging van het gemaakte bezwaar ontvangen: voor het gemak verloren misschien… (fraai staaltje bureaucratie!)
@b-ART: Helemaal mee eens en beroepsgeheim, tja…
EPD is in mijn ogen niets anders dan 100 procent inzicht in de gezondheids(risico) te krijgen van de Nederlandse burger. “Big Brother volgende datamining kunstje”
Het laatste beetje privacy – digitaal verkr*cht en opgeslagen in “The EPD Matrix”
met als mogelijke doelen:
– risicoberekening (verzekeraars, werkgevers)
– investeringsobjecten (pharmaceutische industrie)
– discriminatie op basis van je gezondheidsrisico’s (bijv. sollicitaties)
– berekening van maatschappelijke gevaar (door bepaalde geestelijke ziektebeeld vorming)
– makkelijker kunnen oogsten van donor-organen (overheid, geneestkunst)
Het laatste beetje menselijkheid en waardigheid, kompleet weggedigitaliseerd tot een reeks $trings en [getal_1,getal_2,getal_n], die gevoelloos geraadpleegd en gedatamined kunnen gaan worden voor degene die:
– het systeem ontwerpen
– het systeem beheren
– het system weten te hacken
– toegang kunnen kopen tot zijn inhoud
– de inhoud op de zwarte markt gaan doorverkopen.
Gevolgen overzien:
Zoals Murphy’s law aangeeft
“Als iets KAN gebeuren ZAL het ook gebeuren”.
so you bet your ass dat er aan de haal gegaan word met jouw gezondheidsgegevens! Daar kun je op wachten.
Voorbeeld uit de actualiteit:
– Zwitserse USB bank employee die gegevens van buitenlandse spaarders lekt
– Nederlandse Belastingdienst die toegang heeft tot alle betalingsdata van alle hollanders en nu via banken achterstallige belastingschulden MAG,KAN invorderen!.
Als je hier zelf eens bij stil staat en hierover – vrij en ruimdenkend – deze gedachtenlijn voortzet…. wil jij niet weten wat er allemaal KAN gaan gebeuren met jou gedigitaliseerd medisch verleden!
Ik stel voor dat er – bij WET! – de mogelijkheid moet komen om 100 procent inzicht te krijgen als patient in je eigen dossier. Totale openheid in je eigen medische data.
Das ook handig om te achterhalen wie een behandeling van je verkl**t heeft bij een medische misser. Dan heb je als patient metteen een bewijs om zo’n genezer aan te klagen. In die zin werkt het EPD naar twee kanten, maar ik ben benieuwd of het zover komt dat je 100 procent inzage in je eigen EPD_data gaat krijgen???
EPD Onkraakbaar:
Mooie mythe, Minister Klink (wetenschappelijk medewerker, beleidsmedewerker, raadadviseur, beleidsco?rdinator, plaatsvervangend directeur rechtspleging, directeur Wetenschappelijk Instituut CDA). Wat weet u nu inhoudelijk van ict security af?? Trap er niet in nederlandse bevolking! Ook “lijkt” een systeem technisch onkraakbaar (alles is te kraken), kunnen je gegevens toch op straat komen via social hacking. Jouw gezondheids-data kunnen dan gejat worden door een EPD-insider die de data buiten de technische beveiling om, naar buiten smokkelt. Remember, de mens is en blijft de zwakste schakel in ieder security gebeuren.
Uitlekker patientengegevens…
Das jummie voor de “medische terroristen” in de pharmaceutische industrie. Dan hebben ze eindelijk de mogelijkheid om je te spammen met emailings vol met “geneesmiddelen” voor jou specifieke klachten, of je brievenbus loopt vol met folders van prive klinieken en ziekenhuizen die zgn. “gespecialiseerd” zijn in de behandeling van jouw ziekte. Wil je dat?
Bureacratie:
Beleid en regelgeving zijn geen garantie dat er daadwerkelijk ook niet gebeurd! Zoals ik al aangaf met Murphy’s Law.. als ik mogelijk is zal het ook zeker gebeuren, simpelweg omdat het mogelijk is.
EPD is meer een vloek dan een zegen, want zodra jouw gegevens gedigitaliseerd zijn….en ergens opgeslagen in een systeem ben je compleet aan de ratten overgeleverd wanneer deze data in de handen van de verkeerde partijen vallen. Simpelweg omdat jij niet meer de totale controle hebt over jouw data… think about that for a change!