De Raad voor de Volksgezondheid en Zorg (RVZ) heeft vorige week een advies over patiënteninformatie gepubliceerd. Dit nieuws is opvallend omdat dit advies een oproep bevat aan VWS om weer een centrale regierol te gaan vervullen.
VWS heeft bewust de centrale regierol niet gekozen bij het invullen van het landelijk epd. Dat epd is inmiddels van tafel. Het advies is nu om iedere patiënt een persoonlijk gezondheidsdossier (pgd) te laten hebben. Dit is een dossier naast dat van je zorgverlener, waarvan je zelf bepaalt wat er in komt te staan.
Waarom er een pgd
Waarom moet er een pgd komen? Eén trigger staat in het advies: de gemeenten krijgen decentraal zorgtaken te doen. Andere redenen laten zich raden: het falen van het landelijk epd, wat ten onder ging aan verkeerde beeldvorming en de weerslag van de publieke opinie daarop, en de opkomst van de sociale media, waardoor het concept van eigen dossierbeheer bij een breed publiek bekend is geworden.
Kan het pgd veilig gemaakt worden? In het advies staat een bevestigend antwoord: gebruik ‘Privacy by Design’. Dit begrip wordt zo veelvuldig gebruikt dat in het rapport de afkorting PbD gebruikt wordt. In die context worden (sterke) authenticatie, toegangsbeveiliging en encryptie genoemd. Dit zijn inderdaad een paar technische maatregelen die hierbij kunnen helpen. Maar daarmee heb je nog geen privacy by design geregeld. Dat vergt een gecoördineerde aanpak volgens een raamwerk, bijvoorbeeld de IEC/ISO 27001&2 standaarden, Cobit of BSIMM. De ‘BSI’ in BSIMM staan nota bene voor ‘building security in’… Het rapport noemt als voorbeeld wel het werk van de Qiy Foundation . Dit had best méér aandacht mogen krijgen dan slechts een tussenzinnetje.
Zorgelijk wordt het wanneer de werking van beveiliging incorrect beschreven wordt in het advies. In het advies staat: ‘De in deze toepassing te gebruiken encryptiesleutels dienen te worden beheerd door middel van een ttp (trusted third party), want voorkomen moet worden, dat als een hacker zich toegang zou kunnen verschaffen tot de computers, dat hij de sleutel op de ‘cliënt’ van de zorgaanbieder zou kunnen ophalen en dan alsnog het systeem zou kunnen binnendringen’ (pagina 57). Het is correct dat de randvoorwaarde voor encryptie goed sleutelbeheer is, maar een ttp beheert geen encryptiesleutels van derden. Een ttp geeft slechts een oordeel over de identiteit behorende bij een (publieke) encryptiesleutel. In het rapport wordt daarnaast ook nog de indruk gegeven dat een ttp onkwetsbaar is. Hierop heb ik een eenvoudige reactie: Diginotar. Op dit onderwerp is nog echt additioneel inzicht nodig om te komen tot een goed advies.
De Raad geeft expliciet niet aan wie het pgd financieren moet en hoe het pgd dan beheerd moet worden. Wie denkt dat de patiënt dit zelf kan, zoals hier en daar blijkt uit enquêtes, zal bedrogen uitkomen. De patiënt kan hooguit functioneel aanwijzingen geven. Het beheer zal, in belang van die zo belangrijke privacy, bij professionele partijen moeten liggen met een zorgvuldig en effectief toezicht.
Problemen
Welke problemen lost het pgd op? Het rapport noemt er een paar, die ik aanvul met mijn reacties:
- De patiënt heeft geen overzicht. Dit wordt inderdaad met een goed pgd wel ingevuld.
- De zorgaanbieder heeft geen overzicht. Dit wordt in mindere mate ingevuld. De aanbieder moet er op vertrouwen dat de patiënt alle relevante gegevens verzameld heeft en deze niet gemanipuleerd heeft.
- Er zijn onvoldoende gegevens beschikbaar voor publieke doeleinden. Het pgd draagt hier alleen indirect aan bij. Doordat het pgd vereist dat dossiers beschikbaar komen in een standaard formaat, is verzameling van gegevens voor dit doel ook mogelijk. Hierbij zijn er zeker nog problemen op te lossen, zoals waarborgen voor de privacy, maar dat vergt verdere invulling. In alle eerlijkheid meld ik dat het rapport dit ook noemt.
- Privacy lijkt een struikelblok te zijn. Dat is het volgens mij nog steeds, ook met een pgd.
- Zorgaanbieders voeren activiteiten dubbel uit. Een mondige patiënt met een goed pgd zal dit kunnen voorkomen, als hij dat wil. Soms vinden patiënten een herhaling van een onderzoek helemaal niet negatief. Er spelen hier verschillende belangen door elkaar.
- Er is onvoldoende interoperabiliteit. Dit wordt met goede standaarden wel ingevuld.
Ik constateer dat de twee problemen die opgelost worden met het pgd, ook opgelost zouden zijn geweest met het landelijk epd. De andere problemen ook in bepaalde mate. Voor het landelijk epd was gebrek aan functionaliteit voor eigen beheer en beheersing door de patiënt een onoverkomelijk struikelblok… Wel redenen voor VWS om weer de regierol te moeten willen oppakken.
Kortom, het advies moet gezien worden als een visie, die nog verder uitgewerkt dient te worden door betrokken partijen met gebruikmaking van experts in relevante kennisgebieden.
@Jeroen:
Ik ben er meer een voorstander van om je behandelaars en situaties (b.v. spoedeisende hulp) vooraf te noemen. Wil iemand die niet genoemd is buiten de genoemde situaties toegang, dan moet hij maar eerst vragen. Maar dit zijn wel al detailuitwerkingen, die in grotere kring gewogen uitgewerkt horen te worden.
Lex, mooi betoog.
Ik zit wel met een vraag. Wordt privacy niet overrated? Waar is nu precies die privacy voor?
Er zijn best wat gevallen die ik kan bedenken, maar een veel groter gevaar lijkt mij de zorgverzekeraars en het mogen koppelen van gegevens.
En privacy is iets heel anders dan veiligheid en afschermen van gegevens.
Ook blijft het uitdagend om en een goed systeem te maken en het gebruiksvriendelijk te houden aangezien er een groot niveau verschil zit tussen niveau van patienten *en* zorgverleners.
@Henri
Je beantwoordt je vraag zelf. Privacy betekent in dit geval dat je medische gegevens niet door iedereen kunnen worden ingezien.
Zorgverzekeraars weten natuurlijk door de betaling van verrichtingen wat er met de patient gedaan wordt, maar de resultaten van onderzoekingen zien ze gelukkig nog niet. Die zijn namelijk interessant om risicogroepen uit te sluiten, als voorbeeld een genetische predispositie voor borstkanker.
Dat soort gegevens zijn voor verzekeraars en dus voor hackers veel geld waard.
Jan, je insinueert dat verzekeraars zaken doen met hackers.
Ik geloof niet dat je een goed systeem kunt bouwen dat en functioneert en privacy centraal stelt. Hierop is best een thesis te bouwen dit dit zal bevestigen.
Of het systeem moet geschrapt worden, of er moet dus anders aangekeken worden tegen privacy. Om hierin iets te kunnen bereiken, moet je dus snappen wat privacy is en wat het betekent en voor wie. Je moet scenario’s uit werken die dit helder maken. Door privacy als een kapstok begrip te hanteren kun je nooit verder komen. Je moet de details in voor een zinvolle discussie.
Toestemming vragen aan patiënten en dat soort draconische maatregelen lijken mij niet werkbaar. Wat mij wel haalbaar lijkt is logging, dus controle achteraf wie welke delen van een dossier heeft ingezien, maar ook daar zijn grenzen aan. Als een wetenschappelijk onderzoek (ik zeg big data) een dossier benadert voor onderzoek dan zal deze logging alleen maar vragen oproepen. Zeker als bijvoorbeeld alleen een willekeurige sleutel en de data gebruikt wordt zonder dit aan een persoon te koppelen.
Je moet je ook afvragen of wel wel echt veel verder kunnen komen als we spastisch met data om blijven gaan.
Daarbij geloof ik uiteraard wel in spelregels. En die spelregels moeten te vuur en te zwaard verdedigd worden. Juist hier zit de dreiging en ik zal een voorbeeld geven waarover *ik* mij zorgen maak.
De belastingdienst vraagt massaal parkeerdata op bij grote parkeer garages. Tijden en kentekens van *iedereen* die in een bepaalde periode geparkeerd heeft. Dit wordt dan gebruikt om fraude op te sporen in de bijtelling. Als je niet goed nadenkt zal een gedachte kunnen zijn “en terecht, bijtelling fraudeurs zijn dieven van de burger”, maar we bevinden ons hiermee op een hellend vlak. Er komt een moment waarop een zorgverzekeraar data op gaat vragen bij de supermarkt en mensen die ongezond eten meer premie laat betalen. Dit is even overdreven, maar bevind zich op de schaal van de belastingdienst. Juist dit is wat er met landelijke initiatieven in steen gegriefd moet worden. Het uitsluiten van bepaalde data koppelingen.
En juist deze discussie wordt onderbelicht of valt buiten zicht doordat er teveel gekeken wordt naar privacy.
Onder voorwaarde van mijn eerdere stelling ben ik *voor* centralisering van dossiers en als ik dan ook nog in bepaalde maten kan zien wie mijn gegevens raadpleegt, of dit kan delegeren aan iemand (een dienst?), dan ben ik gewoon voor.
Maar alsjeblieft: Als je het woord privacy in de mond neemt, verdiep je er eens in en vraag je nu echt af wat het betekent en wanneer. Want *voor* privacy zijn is in veel gevallen zinloos.
@Henri:
Ik ben helemaal voor privacy, en ik denk niet dat dat zinloos is. Zoals gezegd is privacy online het gegeven dat ik kan bepalen met wie ik wanneer wat deel. Dus niet de verzekeraars, niet de belastingdienst. Aan de andere kant hebben zij ook rechten, om onderzoek te mogen doen en opsporing van overtredingen. Dit moet in balans zijn. En dus zijn er spelregels nodig, dat ben ik helemaal met je eens.
Eén andere component is ook nodig: vertrouwen in de bewerker. En daar schiet het vaak tekort. Als één bewerker de opdracht krijgt de centrale rol in te vullen, heb je een monopolie zonder concurrentie. Dan is er niets te kiezen bij de consument en hoeft de bewerker ook niet zijn best te doen vertrouwen te winnen. Geen goed idee.