Er is geen thema in de ict dat zoveel emotie oproept als het epd (elektronisch patiënten dossier). Door angst en twijfel stagneren hoogstnoodzakelijke innovaties en verbeteringen van opslag en overdracht van onze medische informatie. Het wordt tijd voor een andere aanpak door overheid en markt.
Al enkele jaren regeren angst en twijfel de discussie over het epd. Angst voor het in de verkeerde handen vallen van onze medische informatie, en twijfel over het vermogen van de verantwoordelijken om die informatie afdoende te beschermen tegen toegang door onbevoegden. In die discussie wordt niet gesproken over wat het epd precies voorstelt. De hardnekkige misvatting bestaat dat de overheid bezig was- en is – om een centrale database van alle medische gegevens van alle burgers aan te leggen. Door dat beeld worden alle vormen van ontsluiting en transport van medische informatie over één kam geschoren, en zijn de meningen over het epd sterk gepolariseerd. Je bent ervoor, of je bent er tegen. Het resultaat is dat de hoogstnoodzakelijke initiatieven om de opslag en overdracht van persoonlijke medische informatie te verbeteren stagneren.
Bestaande risico’s
Er wordt weinig geschreven over de risico’s van de bestaande praktijken van verwerking, opslag en transport van persoonsgebonden medische informatie. Ten eerste is efficiënte en veilige uitwisseling van medische informatie momenteel niet goed mogelijk. Er zijn standaarden ontwikkeld zoals IHE, maar als gevolg van de discussie en onzekerheid zijn nog maar weinig van deze standaards geïmplementeerd. Nood breekt echter wet en dus is de praktijk dat gegevens en foto’s worden gemaild. Al zal de zorgverlener dat in alle toonaarden ontkennen.
Bij het spoedtransport van een patiënt worden gegevens soms noodgedwongen op een cd gezet en aan de brancard getapet. Ronduit schokkend is dat er, als gevolg van de ontoereikende mogelijkheden voor het simpelweg compleet krijgen van informatie over de medicatie van een specifieke patiënt, jaarlijks tot naar schatting meer dan vijftienhonderd doden vallen. Sommige schattingen spreken zelfs van drieduizend onnodige sterfgevallen. Dat is een veelvoud van het aantal slachtoffers in het verkeer.
Ten tweede is de beveiliging van onze medische gegevens slecht geregeld. Dat komt omdat die gegevens overal en nergens zijn opgeslagen, en omdat toezicht op naleving van beveiligingsnormen vrijblijvend is of geheel ontbreekt. De spreiding is voornamelijk het gevolg van het feit dat zorgverleners verplicht zijn om voor elke patiënt een anamnese af te nemen en te bewaren. Pensioen- of arbeidsongeschiktheidsverzekeraars hebben onze medische gegevens nodig om hun risico’s op een uitkering of overlijden in te kunnen schatten.
Als burgers en patiënten zetten we daarvoor ons hele medische hebben en houden op een formulier en geven dat ter beoordeling aan een zorgverlener of een pensioen- of arbeidsongeschiktheid verzekeraar. Die formulieren en informatie worden door de betreffende instanties en zorgverleners gescand en verwerkt, en opgeslagen in evenzovele lokale epd’s. Ook zorgverzekeraars slaan onze declaraties op, waaruit kan worden afgeleid hoe het er met onze gezondheid voorstaat en wat we voor gebreken hebben gehad.
We vertrouwen die instanties blindelings en onderschatten de risico’s. Waar blijven al die formulieren, en zijn de personen die de informatie in handen krijgen of kunnen krijgen gebonden aan een medisch beroepsgeheim? Ook is het de vraag hoe al die opgeslagen informatie wordt beschermd tegen toegang door onbevoegden, hackers en ander onheil. De grotere zorgverleners en verzekeraars hebben beleid voor informatiebeveiliging. Toch is er, zo hebben we in de afgelopen jaren na incidenten kunnen constateren, ook sprake van amateurisme en onwetendheid.
Onbegonnen werk
Informatiebeveiliging is zo complex dat het voor een kleine praktijk of zorgverlener al snel onbegonnen werk is. Het vereist een professionele aanpak die alleen organisaties met enige schaal kunnen realiseren. Als we alleen al denken aan de vele pc’s en laptops die jaarlijks uit kleine praktijken verdwijnen, is het alternatief van centrale, goed beveiligde en gereguleerde centrale opslag in een datacenter een aantrekkelijker idee.
Blijkbaar is er afstand tussen ons gevoel van (on)veiligheid en de werkelijke situaties. Er is veel te doen over de risico’s van een systeem dat nog niet bestaat. Security specialist Bruce Schneier heeft de onderliggende mechanismen onderzocht en die uiteengezet in onder andere zijn TedX talk in oktober 2010. De angst voor het onbekende laat ons de ogen sluiten voor de risico’s van de bestaande situatie. Dat is jammer want dat blokkeert rationeel denken en staat effectieve en goede oplossingen in de weg.
We moeten naar mijn mening een aanpak kiezen zoals die we de facto hebben gekozen voor beheer van ons geld. Daarvoor hebben we het bedrijfsleven als uitvoerder en toezicht door de overheid. We vertrouwen gereguleerde bedrijven, de banken, ondanks de incidenten, nog steeds voldoende om er ons vermogen te stallen. In het algemeen zal een bedrijf, dat voor haar bestaan afhankelijk is van een goede reputatie en aansprakelijk is voor schade meer doen aan het borgen van informatiebeveiliging en privacy dan een overheid – die niet zo makkelijk aansprakelijk kan worden gesteld. Er is daarom voldoende reden om aan te nemen dat een commercieel bedrijf, mits onderworpen aan strikte regels, onze medische informatie goed kan bewaren en beschermen tegen toegang door onbevoegden.
Regels en toezicht
De overheid heeft hierbij een belangrijke rol. Niet bij het zelf ontwikkelen of laten ontwikkelen van it-systemen, maar door het organiseren van regels en toezicht. De huidige regels voor bescherming van privacy zijn ontoereikend. De Wet Bescherming Persoonsgegevens (WBP), schrijft over de opslag slechts dat er ‘passende technische en organisatorische maatregelen moeten worden getroffen, voor een passend beveiligingsniveau’. Er is geen noodzaak of verplichting op controle, en het is dus aan de verantwoordelijke om te bepalen wat ‘passend’ is. Dat kan en moet beter. De gebruikelijke richtlijnen zoals de ISO27001 en NEN7510 zijn algemeen van aard en behoeven concretere invulling. Recente inhoudelijke ontwikkelingen zoals Zeker Online en de NCSC richtlijnen voor beveiliging van web applicaties geven een goede richting aan. Daarbij moet er een verplichting zijn om toezicht op de naleving, maar ook op de effectiviteit van die regels aan te tonen door middel van een verplichte jaarlijkse audit.
Pas als er consensus ontstaat over dat begrip ‘passende beveiliging’, kan er een cultuur ontstaan waarin een goede informatiebeveiliging bij alle verantwoordelijke partijen kan gedijen. En door de verplichting op naleving kan het vertrouwen bij het publiek worden hersteld. Vanuit dat gegeven moeten er door de markt veilige en efficiënte oplossingen worden ontwikkeld en aangeboden. Oplossingen die onze informatie gedegen beschermt tegen onbevoegden, het eindeloos dupliceren van gegevens gaan voorkomen, uniforme uitwisseling bevorderen en transparant zijn over de wijze waarop onze informatie beschikbaar is voor slechts selecte bevoegden. Oplossingen die bovendien veel kosten gaan besparen, de kwaliteit van de zorg en onze gezondheid zullen verbeteren.
Met name het zinnetje ‘Pensioen- of arbeidsongeschiktheidsverzekeraars hebben onze medische gegevens nodig om hun risico’s op een uitkering of overlijden in te kunnen schatten.’ is een gevaar. Ze hebben dat helemaal niet nodig want ze krijgen voldoende informatie vanuit declaraties. Als ze individueel willen kunnen schatten kunnen ze ook indivudueel weigeren en premie aanpassen, waarmee het idee van een verplicht collectieve risicoverzekering feitelijk verdwijnt.
Een aantal vragen en opmerkingen. Allereerst krijg ik bij deze discussie een sterk rekeningrijden gevoel. De lobby van (technische) belangengroepen is groter dan die van de patiënt.
Een aantal basale vragen zijn nooit beantwoord in deze discussie.
1 wie is de eigenaar van de medische gegevens? Ik, de arts of het ziekenhuis. Zolang deze vraag niet is beantwoord zal niemand de verantwoording nemen.
2 wie heeft toegang tot deze gegevens. Behalve artsen die een eed hebben afgelegd hebben ook beheerders toegang. Hier wordt nooit over gesproken.
3 wat is er gedaan aan de vervuiling van het BSN nummer. Professor Jan Grijping heeft hier uitgebreid onderzoek naar gedaan in het kader van de kosteninflatie.
4 wie is verantwoordelijk voor het beheer van de gegevens.
Essentiële vragen die eerst moeten worden beantwoord.
Optie: zie het als je geld. Jij bent de eigenaar en geeft het in beheer bij een bank. Zij dienen er op toe te zien dat het veilig en goed beheerd wordt.
@Ben:
Over het eigendom van de informatie is de wet klip en klaar.
De WBP (Wet bescherming persoonsgegevens) spreekt over een betrokkene, verantwoordelijke en bewerker. In europa (Eu) is en blijft de betrokkene, dit is de natuurlijke persoon op wie de gegevens betrekking hebben, altijd de eigenaar. In de Vs is dat anders, daar kan een andere rechtspersoon eigenaar worden
2. Degene aan wiens zorg de gegevens zijn toevertrouwd , in dit geval de instantie die de gegevens inzamelt (zoals een zorgverlener), is verantwoordelijk voor de opslag, beveiliging en verwerking. En kan bepalen wie er nog meer, als bewerker, toegang heeft of krijgt. Daar moet echter wel een bewerkersovereenkomst tussen verantwoordelijke en bewerker aan ten grondslag liggen.
3. de wet schrijft ook precies voor wie er gebruik mag maken van het BSN. Dat zijn zorgverleners, de overheid, notarissen en nog enkelen. De term vervuiling begrijp ik daarom niet zo goed.
4. ad 2. de verantwoordelijke en eventuele bewerkers dienen te zorgen voor passende beveiliging. Dat houdt dus in dat niemand anders dan degenen die binnen de juridische scope van de verantwoordelijke, toegang heeft.
Dat de medische wereld hier wat anders tegenaan kijkt en zich, zoals dat in het tijdperk Voor de WBP was, soms als eigenaar beschouwt, doet hier niets aan af.
Kortom: de WBP regelt dit prima. Nu nog de inrichting van IT, processen en praktijk conform deze wet…