Na zwaar weer is het epd alsnog gered. Via een achterdeur is het, na de blokkade van eind vorig jaar door de Eerste Kamer, gewoon weer bij alle Nederlanders naar binnen geloodst. De overheid heeft, wellicht om nog een beetje het gevoel te hebben dat de 350 miljoen in het epd geïnvesteerde euro’s niet waren weggegooid, het volledige epd overgedaan aan een aantal private partijen, waaronder de zorgverzekeraars.
Doelstelling is dat huisartsen, huisartsenposten, apotheken en ziekenhuizen vanaf 1 januari elkaars dossiers van eenzelfde patiënt kunnen inzien. De uitwisseling is dan niet meer per wet geregeld, wat betekent dat de patiënt zelf eerst toestemming moet geven voordat deze zorgverleners de gegevens met elkaar mogen delen.
De patiënt beslist dus zelf of hi/zij ‘ja’ of ‘nee’ zegt… en dat is nog niet zo makkelijk! Het ‘epd nieuwe stijl’ is namelijk bijna iedere dag in het nieuws, waarbij met name de veiligheid van de gegevens het moet ontgelden. Veel mensen, waaronder zorgverleners zélf, vinden het namelijk moeilijk te geloven dat de ruim tweehonderdduizend zorgverleners die straks toegang hebben tot de dossiers daar geheel veilig en verantwoord mee om zullen gaan. Ze veronderstellen dat er allicht eens iemand zijn of haar pas kwijtraakt of, erger nog, met kwade bedoelingen dossiers gaat bekijken waarin hij of zij niets heeft te zoeken.
Wat mij betreft heel terecht dat ze zich zorgen maken, en ik krab me nog wel twee keer op het hoofd voordat ik straks zélf toestemming geef voor het delen van ‘mijn’ epd.
Maar is het epd het enige dossier waarover we ons zorgen moeten maken? Staan er niet overal en nergens gegevens over onze gezondheid in de brede zin des woords? Bedenk maar eens waar jij en je gezinsleden bekend zijn. De tandarts, de fysiotherapeut, de psycholoog die je eens met je kind hebt bezocht, het ziekenhuis – of misschien wel meerdere ziekenhuizen zoals dat in je vorige woonplaats, de dagverzorging van je bejaarde moeder, ga zo maar door.
Zonder dat je je dit realiseert, zijn er veel vertrouwelijke gegevens over jou en je familie die, als iemand even niet oplet, niet door ruim tweehonderdduizend mensen kunnen worden ingezien, maar door bijna 2,5 miljard. Twee-en-een-half miljard? Ja, dit is het aantal mensen dat, volgens de laatste schattingen, toegang heeft tot het internet. Steeds meer zorgverleners staan namelijk te trappelen om jouw gegevens via internet te delen. Niet alleen in noodgevallen, zoals bij het epd, maar gewoon dagelijks, in het kader van je behandeling, nazorg, of gewoon informatie over je volgende afspraak. Natuurlijk vooral met jou, maar daarnaast ook met de andere behandelaars of de huisarts. En, als de beveiliging niet 100 procent op orde is, met nog een veel grotere groep, namelijk alle internetgebruikers wereldwijd. De cliënten- en patiëntenportalen van GGZ-instellingen, verpleeginstellingen en ziekenhuizen schieten namelijk inmiddels als paddenstoelen uit de grond. Vaak zonder wettelijk kader en zonder uitgebreide voorlichting aan patiënten en cliënten.
Weet je eigenlijk welke accounts, zonder dat je het weet, al door zorgverleners voor je zijn aangemaakt? Waar in de ‘cloud’ zwerft informatie die je liever voor jezelf wilt houden eigenlijk allemaal rond? Wie van jouw huisgenoten kan het verslag lezen over je laatste sessie bij de therapeut of misschien zelfs belangrijke gegevens namens jou veranderen?
Bram,
hoe zie jij als identity&accessmanagementprofessional het beste EPD geimplementeerd? 2 factor-authenticatie, tokens, wachtwoorden ( :-)) ?
Het EPD komt er, maar hoe het nu geimplementeerd gaat worden is mij nog niet duidelijk.
Cordny,
De authenticatie moet in elk geval niet bestaan uit username/wachtwoord en dus kom je inderdaad al gauw in 2-factor authenticatie. Maar dat is alleen nog maar de voorkant want ook de achterkant zal beveiligd moeten worden en er zal ook controle moeten zijn. Een goede beveiliging bestaat volgens mij namelijk nog steeds uit AAA, authenticatie, autorisatie en audit. En bij medische gegevens kunnen daar ook nog aanvullende eisen zoals bijvoorbeeld non-repudiation bij kunnen komen om zeker te stellen dat mutaties alleen gemaakt worden door geautoriseerde artsen en niet door testers. Medische gegevens moeten ook beter beveiligd zijn dan bankrekeningen omdat bij laatste gedupeerden nog schadeloos gesteld kunnen worden maar doden niet tot leven gewekt. Maar vooral moet bij invoering van EPD er een wederzijds voordeel zijn, patienten (of erfgenamen) moeten dus hun gegevens en zeker de auditlog erop in kunnen zien.
Ewout,
Bedankt voor je heldere uitleg die ik eigenlijk aan Bram vroeg 😉
AAA is uitermate belangrijk, zeker gezien de 3e A Audit, waarbij traceability key is.
Nonrepuduation is zeker belangrijk, ik wil ook geen tester of testdata in mijn EPD zien.
Gezien de vertrouwenskwestie zie ik nog een rol voor een 3e partij weggelegd tussen patiënt en arts, namelijk een geautomatiseerde autorisatiemanager waarbij de patiënt zelf kan bepalen wie zijn data mag inzien naast de behandelend arts.
Kijk maar eens op mijn blog voor user-managed access, wat weleens een protocol is om ook toe te passen bij EPD. Het is alleen gebaseerd op OAuth2 wat volgens 1 van onze collega’s een draak is ;).
Just a thought en zeker geen verkooppraatje.
Ik heb meer vertrouwen in een centraal geregeld en goed beveiligd EPD dan in een opslag lokaal bij een zorgverlener. Daar is vaak de beveiliging maar beperkt geregeld. Het is ook nog zo dat mensen die je kennen toegang hebben! Centraal is de beveiliging zoals in het artikel en de reactie best goed te regelen, maar het zal nooit 100% worden. Mijn voorstel is om elke patiënt van een persoonlijke pas te voorzien. Een zorgverlener heeft dan alleen toegang tot de gegevens als je er zelf bij bent. Ook dit is niet 100% waterdicht, maar is wat mij betreft een eenvoudige maatregel die ook gevoelsmatig meer vertrouwen geeft.
TvDPMA,
Als je de patiënt de sleutel tot zijn gegevens wilt geven, dus geen toegang door zorgverleners zonder fysieke overdracht, dan snap ik niet je voorkeur voor centrale opslag. Je kunt dan als patiënt net zo goed zelf je gegevens bewaren.
De fysieke aanwezigheid van de patient als voorwaarde voor inzage in het medisch dossier levert grote problemen op. Behandelaren kunnen zich niet meer op een consult voorbereiden en kunnen achteraf het dossier niet uitwerken. Ook telefonische consultatie en e-consultatie zouden niet meer mogelijk zijn.
Ewout, als je als patient zelf je gegevens bewaart, kan je ze ook kwijt raken. Dus is centrale opslag gewenst.
EBr, fysieke aanwezigheidscontrole middels een Smartcard werkt prima. Ook zaken als voorbereiding kunnen afgekaart worden door toegangs-requests, dus simpelweg een mailtje naar jou als een arts in je dossier wil. Noodtoegang kan altijd geauthoriseert worden. Grootste voordeel van smartcard-based authenticatie op je dossier is dat je zelf in je dossier kan kijken wie er allemaal in is geweest, en dat het systeem op basis van specialisatie van de bekijker (Arts) kan bepalen welke gegevens zichtbaar zijn. Niet alle artsen hoeven ook alle informatie te zien.
Ter voorkoming van gegevenslekkage kunnen de gegevens ook gefragmenteerd opgeslagen worden, en real-time op moment van opvragen tot complete records worden samengevoegd. Lekkage van data van een enkele opslaglocatie leidt dan niet tot lekkage van een volledig dossier, zeker als alle fragmenten ook nog eens versleuteld opgeslagen worden.
100% waterdicht is een utopie. ZO moeilijk mogelijk om in te breken is mogelijk. Dat laatste zal zeker een stuk beter zijn dan de wildgroei aan systemen die er nu staat, en waarvan de aanbieder zelden tot nooit inzage in de beveiligingsmethodiek wil geven.
Erwin,
Heb je mijn eerste reactie gelezen of opinie Zelfhulp en kameradenhulp?
Ik wijs niet per definitie (de)centrale opslag van medische gegevens af maar wil er als patiënt wel eigenaar van blijven en dus er controle op kunnen houden. Een oplossing dus op basis van de ‘privacy by design principles’ waar alle stakeholders belang bij hebben.
Dank voor alle reacties en ideeen!!
De beveiliging van ‘het’ EPD is een immense klus. Met alleen kennis van de technische IT-aspecten kom je er niet. Naast de techniek spelen processen en vooral mensen een hele grote rol. En zo lang we die aspecten vanuit onze positie als leverancier en specialist niet 100% kunnen beheersen, kan ik geen afdoende opinie formuleren over de beveiliging!
In mijn bovenstaande blog wil ik nog iets anders duidelijk maken, namelijk dat onze patiënten- en cliëntendossiers niet alleen via het EPD ‘gevaar’ lopen! Heel veel zorginstellingen bieden al toegang tot onze zorggegevens via internet of staan op het punt dat te doen. Mijn mening daarover is dat je als zorginstelling verplicht bent alle middelen aan te wenden die momenteel tot je beschikking staan om deze dossiers maximaal te beveiligen. Zo moet je minimaal ‘’dual authentication’’ aanbieden én in het proces inbakken dat je zo zeker mogelijk kunt zijn van de identiteit van de gebruiker.
Wij zelf bieden op dit gebied diverse mogelijkheden waaronder authenticatie via DigiD maar ook, voor wie om wat voor reden dan ook DigiD er liever buiten houdt – een sms-authenticatie. Een ‘live’ koppeling met de applicatie waarin de actuele cliëntengegevens zijn opgeslagen is daarbij natuurlijk een logisch ‘must’ om zeker te weten dat we met een cliënt te maken hebben.
Maar, we voegen daarnaast nog iets belangrijks toe, namelijk de beveiliging tegen ongewenste toegang buitenaf in de vorm van permanente logging en monitoring van alle toegang.
Privacy-gevoelige gegevens 100% beveiligen tegen ongewenste toegang en alle aspecten van menselijk gedag is een grote uitdaging. Het is dan ook niet zozeer de vraag of dit 100% lukt maar wel of je als zorginstelling en als ‘’autoriteit’’ er alles aan gedaan hebt om de risico’s te erkennen en te herkennen en problemen te voorkomen!
De beveiliging van het EPD is natuurlijk interessant, maar of nu 2,5 miljard ongeauthoriseerd of 200.000 mij onbekende individuen geauthoriseerd toegang hebben tot het EPD maakt voor mij eigenlijk geen verschil. – effectief is het systeem in beide gevallen zo lek als een mandje.
Dan heb ik zelfs liever dat de informatie door de zorgveleners zelf wordt bewaard. Dat mag dan wel onveiliger zijn, maar heeft het voordeel dat het versnipperd is. Om mijn gegevens te achterhalen moet op diverse plaatsen worden ingebroken en de gegevens met elkaar worden gecorreleerd. Het EPD maakt die complicatie overbodig, ook voor de inbrekers of 199.9980 zorgverleners die niets met mijn gegevens te maken hebben en er probleemloos bij kunnen.