De Raad voor de Volksgezondheid en Zorg (RVZ) heeft vorige week een advies over patiënteninformatie gepubliceerd. Dit nieuws is opvallend omdat dit advies een oproep bevat aan VWS om weer een centrale regierol te gaan vervullen.
VWS heeft bewust de centrale regierol niet gekozen bij het invullen van het landelijk epd. Dat epd is inmiddels van tafel. Het advies is nu om iedere patiënt een persoonlijk gezondheidsdossier (pgd) te laten hebben. Dit is een dossier naast dat van je zorgverlener, waarvan je zelf bepaalt wat er in komt te staan.
Waarom er een pgd
Waarom moet er een pgd komen? Eén trigger staat in het advies: de gemeenten krijgen decentraal zorgtaken te doen. Andere redenen laten zich raden: het falen van het landelijk epd, wat ten onder ging aan verkeerde beeldvorming en de weerslag van de publieke opinie daarop, en de opkomst van de sociale media, waardoor het concept van eigen dossierbeheer bij een breed publiek bekend is geworden.
Kan het pgd veilig gemaakt worden? In het advies staat een bevestigend antwoord: gebruik ‘Privacy by Design’. Dit begrip wordt zo veelvuldig gebruikt dat in het rapport de afkorting PbD gebruikt wordt. In die context worden (sterke) authenticatie, toegangsbeveiliging en encryptie genoemd. Dit zijn inderdaad een paar technische maatregelen die hierbij kunnen helpen. Maar daarmee heb je nog geen privacy by design geregeld. Dat vergt een gecoördineerde aanpak volgens een raamwerk, bijvoorbeeld de IEC/ISO 27001&2 standaarden, Cobit of BSIMM. De ‘BSI’ in BSIMM staan nota bene voor ‘building security in’… Het rapport noemt als voorbeeld wel het werk van de Qiy Foundation . Dit had best méér aandacht mogen krijgen dan slechts een tussenzinnetje.
Zorgelijk wordt het wanneer de werking van beveiliging incorrect beschreven wordt in het advies. In het advies staat: ‘De in deze toepassing te gebruiken encryptiesleutels dienen te worden beheerd door middel van een ttp (trusted third party), want voorkomen moet worden, dat als een hacker zich toegang zou kunnen verschaffen tot de computers, dat hij de sleutel op de ‘cliënt’ van de zorgaanbieder zou kunnen ophalen en dan alsnog het systeem zou kunnen binnendringen’ (pagina 57). Het is correct dat de randvoorwaarde voor encryptie goed sleutelbeheer is, maar een ttp beheert geen encryptiesleutels van derden. Een ttp geeft slechts een oordeel over de identiteit behorende bij een (publieke) encryptiesleutel. In het rapport wordt daarnaast ook nog de indruk gegeven dat een ttp onkwetsbaar is. Hierop heb ik een eenvoudige reactie: Diginotar. Op dit onderwerp is nog echt additioneel inzicht nodig om te komen tot een goed advies.
De Raad geeft expliciet niet aan wie het pgd financieren moet en hoe het pgd dan beheerd moet worden. Wie denkt dat de patiënt dit zelf kan, zoals hier en daar blijkt uit enquêtes, zal bedrogen uitkomen. De patiënt kan hooguit functioneel aanwijzingen geven. Het beheer zal, in belang van die zo belangrijke privacy, bij professionele partijen moeten liggen met een zorgvuldig en effectief toezicht.
Problemen
Welke problemen lost het pgd op? Het rapport noemt er een paar, die ik aanvul met mijn reacties:
- De patiënt heeft geen overzicht. Dit wordt inderdaad met een goed pgd wel ingevuld.
- De zorgaanbieder heeft geen overzicht. Dit wordt in mindere mate ingevuld. De aanbieder moet er op vertrouwen dat de patiënt alle relevante gegevens verzameld heeft en deze niet gemanipuleerd heeft.
- Er zijn onvoldoende gegevens beschikbaar voor publieke doeleinden. Het pgd draagt hier alleen indirect aan bij. Doordat het pgd vereist dat dossiers beschikbaar komen in een standaard formaat, is verzameling van gegevens voor dit doel ook mogelijk. Hierbij zijn er zeker nog problemen op te lossen, zoals waarborgen voor de privacy, maar dat vergt verdere invulling. In alle eerlijkheid meld ik dat het rapport dit ook noemt.
- Privacy lijkt een struikelblok te zijn. Dat is het volgens mij nog steeds, ook met een pgd.
- Zorgaanbieders voeren activiteiten dubbel uit. Een mondige patiënt met een goed pgd zal dit kunnen voorkomen, als hij dat wil. Soms vinden patiënten een herhaling van een onderzoek helemaal niet negatief. Er spelen hier verschillende belangen door elkaar.
- Er is onvoldoende interoperabiliteit. Dit wordt met goede standaarden wel ingevuld.
Ik constateer dat de twee problemen die opgelost worden met het pgd, ook opgelost zouden zijn geweest met het landelijk epd. De andere problemen ook in bepaalde mate. Voor het landelijk epd was gebrek aan functionaliteit voor eigen beheer en beheersing door de patiënt een onoverkomelijk struikelblok… Wel redenen voor VWS om weer de regierol te moeten willen oppakken.
Kortom, het advies moet gezien worden als een visie, die nog verder uitgewerkt dient te worden door betrokken partijen met gebruikmaking van experts in relevante kennisgebieden.
Het is jammer dat journalistiek Nederland, een hele batterij azijnpissers en doemscenario denkers en met name niet realisten het epd hebben afgeschoten. Alsof de huidige situatie nu zo lekker is geregeld. Ik zie nog bakken met papiertjes heen en weer schieten tussen alle zorgaanbieders in de keten. Lokaal zijn er wel initiatieven, maar een compleet centraal beeld is niet te maken. De huidige (fysieke) beveiliging is vergeleken met een elektronische verre van ideaal. Het enige wat de versnippering van informatie bewerkstelligd is dat je nu geen integraal beeld kan krijgen. Dan moet je al die zorgaanbieders een voor een af gaan.
Waar ik me meer zorgen over maakt, is dat bovenop de voor de hand liggende voordelen van een centraal beeld van een patient, juist door de toepassing van ICT en technologie binnen de zorg die aanstaande is, er juist behoefte is aan een centraal punt om de informatie uit die nieuwe technologie vast te leggen. Straks hebben we een lappendeken van point solutions. Dat moeten we echt zien te voorkomen.
Het EPD is afgeschoten door de eerste kamer na een grondige overweging te hebben gemaakt. Daarmee is het een democratische beslissing van gewicht. Dat je het daar niet mee eens zou zijn is gewoon mogelijk.
Dat beeldvorming hier debet aan zou zijn is wel meegenomen in het oordeel van de eerste kamer maar zij heeft ook zeer goed naar de andere onderdelen gekeken en daar ook rake uitspraken over gedaan. Hiermee kan het argument van slechte beeldvorming dan ook het sprookjesbos ingestuurd worden.
En de landen die wel EPD achtige constructies hebben zijn er regelmatig berichten te lezen dat er weer patiëntgegevens zijn gelekt. Dus wat dat betreft is dat hier nu voorkomen. Dat zal niet wegnemen dat er bij zorginstanties onderling dit soort problemen zullen opduiken maar die zijn daar zelf verantwoordelijk voor en kunnen het niet afschuiven op iemand anders.
Wat het PGD betreft zijn er technische zaken die inderdaad aandacht vragen. Maar om nou door te schieten in negativiteit over versleuteling en TTP’s zou ook inhouden dat je geen enkel SSL certificaat kan vertrouwen en je weer met je overschrijvingen naar de bank moet omdat het internetbankieren niet meer te vertrouwen zou zijn.
Wat dat betreft valt het me nog mee dat ze niet meteen aan biometrische beveiliging hebben gedacht. Maar dat zal nog wel volgen.
Wat de organisatie van het PGD betreft zijn er nog veel belangrijke zaken open gelaten. Het valt nog te bezien of alle valkuilen gevuld kunnen worden maar de intentie is al stukken beter dan dat van het EPD.
Overigens lijkt het me niet de bedoeling dat een voorziening bedoeld voor de patiënten om informatie met zorginstellingen uit te wisselen gebruikt zou moeten worden voor het magisch Big Data. Daar hoort de automatisering van elke zorginstelling een passend antwoord op te kunnen geven.
De negatieve teneur van dit artikel is jammer en mijns inziens ook onnodig. Ik zou het juist als iets positiefs beschouwen als dit soort zaken door sturing van publieke opinie een breder draagvlak weet te creëren dan dat in zichzelf gekeerde bureaucraten zich proberen te schikken naar de wensen van het bedrijfsleven. Het geeft uitstekend aan dat automatisering ook een menselijke factor heeft waar rekening mee gehouden moet worden.
Een centraal epd is en blijft een slecht idee. Het parlament heeft dat gelukkig herkend. Met het papieren dossier waren (en zijn) al genoeg problemen die alleen maar groter worden als de oplossing in een centraal epd gegoten wordt.
Een pgd (“sociale media” – “het concept van eigen dossierbeheer”) is dat de elektronische vertaling van de wachtkamer waar over ieders kwaal gediskuteerd wordt, Een soort facebook voor patienten?
Ik begrijp de goede bedoelingen maar ik vrees dat de werkelijkheid is, dat we nog steeds liever niet willen dat al onze gegevens ergens centraal staan, als 1 aanvalspunt voor hackers die de gegevens graag aan verzekeraars zouden verkopen.
Goed verhaal, Lex. Maar ook aan de voorkant is er twijfel over de veiligheid. Wie kunnen er allemaal in om te lezen wat iemands medische achtergronden zijn. (Artsen, verpleegsters, assistenten, apothekers, ambulance, brandweer, hulpverlenende bedrijven, de gemeente, de gemeenschap……… .) en dan heb je daarbinnen ook nog vaste en tijdelijke krachten. Een oplossing is dat er een melding naar een ‘ patient’ gaat als iemand de file opent. In geval van ongewenste toegang moet de patient zelf razendsnel de file dicht kunnen zetten.
@Jeroen
dan is de patient altijd te laat . . . .
@ Jan, Met een appje kan het in deze tijd toch snel lukken?
@Johan:
Jammer dat je de opinie negatief ervaart. Ik ben vóór verantwoord beschikbaar maken van medische dossiers. Er is inderdaad maatschappelijke discussie nodig om de vorm(en) hiervan te bepalen. Ik hoop met mijn opinie juist anderen aan te sporen hier vooral zorgvuldig door te gaan. In mijn ogen is het niet EPD óf PGD, maar eerder EPD én PGD.
Mijn ‘beeldvorming’ over het landelijk EPD is vrij compleet. Zo was ik gecharmeerd van het feit dat het slechts een verwijsindex was, niet een grote centrale database – dus eigenlijk helemaal geen EPD, maar een verbinder van EPDs. Een verwijsindex kan zelf geen medische gegevens lekken, wel opvragingen monitoren. Ook de geïntegreerde sterke authenticatie vond ik waardevol. Het gebrek aan integratiemogelijkheden voor grote zorginstellingen en het gebrek aan mogelijkheden voor inzage door patiënten waren verbeterpunten.
Juist omdat de eerdere Nederlandse oplossing al geen centrale database was, verbaast het mij dat in dit rapport aangespoord wordt te kijken naar Europese landen met een centrale oplossing. Voor alle duidelijkheid: Ik sta wel achter dit soort beschouwingen, leer vooral van je omgeving.
In de discussie net als in het artikel mis ik 1 aspekt, namelijk de mens als zwakste schakel in deze keten.
Mogelijkheden tot manipulatie en misbruik door artsen, patienten en/of verzekeraars worden zelden genoemd. Dat is toch ook de reden waarom zo veel aan authenticatie gedaan wordt?
Je mag bij dit soort systemen/gegevens niet uit gaan van “het goede in de mens”.
Ik ben al vele jaren betrokken bij dossier uitwisseling in de eerstelijns zorg, maar ik mis bij de landelijke EPD projecten stelselmatig een heldere probleemstelling (met draagvlak bij de betrokken (patiënten en ook zorgverleners) en een oplossing die dat probleem oplost.
Het gevolg is niemand meer weet wat een Landelijk Epd is en iedereen daar maar van alles over roept. Leveranciers bouwen (vanuit ICT perspectief) mooie systemen en noemen dat EPD en vergroten daarmee de chaos. Ook heeft iedereen zijn eigen beeldvorming over wat de 1e kamer heeft geroepen.
Laten we met z’n allen eerst proberen te komen tot een breed erkende zorg-probleemstelling en daarna zoeken naar een oplossing.
Een oplossingsrichting kan zijn om onderscheid te maken tussen trauma gerelateerde zorg (enkele essentiële gegevens moeten 24×7 snel beschikbaar zijn) en planbare zorg en verzorging (veel info moet beschikbaar zijn voor een klein groepje zorgverleners).
Volgens mij zijn we nog lang niet toe aan specifieke beveiligingstechnieken en andere ICT-technische hoogstandjes.
Fokko Douma
@Jan:
Ik pleit voor uitwerking. Hierbij hoort een risicoanalyse van alle aspecten: de mens, het proces en de techniek. Ik weet niet hoe je bepaalt dat de mens de zwakste schakel is, als de meeste incidenten voortkomen uit malware en hacking van techniek (Verizon DBR). Je moet als beveiliger alle opties overwegen.
Ik weet dat menselijke fouten en social engineering ook belangrijke bronnen zijn. Ik vond het alleen niet interessant dat specifiek aan te stippen in deze opinie en discussie. Als security expert leer je wel af uit te gaan van het goede in de mens, ik zoek naar een gezonde balans tussen vertrouwen en controleren.