In september van dit jaar stemde een unanieme meerderheid van de Tweede Kamer voor een nieuwe wet voor elektronische uitwisseling van patiëntgegevens. De wet moet een einde maken aan de manier waarop sommige zorgaanbieders patiëntgegevens uitwisselen – doorgaans via de fax, cd-roms en usb-sticks. Dit is niet alleen omslachtig, maar ook onveilig. In de nieuwe wet staat dat gegevensuitwisseling in alle zorgdisciplines voor honderd procent gedigitaliseerd moet worden zodat die uitwisseling veiliger en efficiënter wordt.
Met een elektronische uitwisseling van gegevens beschikken de juiste personen over de meest actuele patiëntinformatie. Daarnaast is het ook minder foutgevoelig. Een arts hoeft namelijk geen gegevens meer over te typen of opnieuw in te voeren. Maar bovenal zou deze wet ervoor zorgen dat er veiliger omgegaan wordt met de gevoelige info van de patiënt. Althans, dat is het doel. Want er zitten nog wel wat haken en ogen aan het uitwisselen van patiëntgegevens.
Norm voor gegevensuitwisseling
In de nieuwe wet wordt er een onderscheid gemaakt tussen gestructureerde en ongestructureerde uitwisseling van gegevens. Bij de ongestructureerde gegevensuitwisseling gaat het om een uitwisseling tussen personen via e-mails. De beveiliging van deze uitwisseling is in een norm, namelijk de NTA7516, uitgewerkt. Deze norm schrijft voor hoe zorgmedewerkers patiëntgegevens in een e-mail moeten beveiligen en uitwisselen, maar is nog niet verplicht voor zorgorganisaties. Deze norm geeft invulling aan de nieuwe wet.
De NTA7516 voorziet echter nog niet in alles. Er zijn nog twee zaken die verbeterd kunnen worden: de individuele authenticatie van de ontvanger en ruimere communicatiemogelijkheden.
Authenticatie
Onder de huidige norm kunnen zorgmedewerkers wanneer zij een e-mail ontvangen deze direct openen in hun eigen e-mailomgeving. Het ontvangen gaat altijd op dezelfde manier, onafhankelijk van de beveiliging die de verzender heeft gebruikt, oftewel de interoperabiliteit. Beveiligde e-mails worden geopend door zorgmedewerkers op basis van authenticatie die het ziekenhuis heeft geregeld voor iedereen die bij hen werkt. De authenticatie ligt dus niet meer bij het individu, maar bij de zorgorganisatie. Daarvoor moet de zorgverlener dan wel aan de NTA7516 voldoen. Daarvoor moeten zij een implementatietraject doorlopen, iets waar vaak geen tijd of geld voor beschikbaar is. Met als gevolg dat e-mails niet veilig uitgewisseld worden, omdat bedrijven niet verplicht worden om aan de norm te voldoen.
Beperkte communicatiemogelijkheden
Naast de problemen met de adoptie van de norm binnen zorgorganisaties, zijn er binnen de norm ook een aantal zaken niet geregeld. Uitwisselen van gegevens tussen twee organisaties die aan de norm voldoen is dus voorzien. Maar communicatie met een particulier, communicatie buiten de sector of met het buitenland is niet opgenomen. Hiervoor zullen dus andere maatregelen genomen moeten worden, maar dit blijkt in de praktijk niet altijd te gebeuren. Bovendien is het delen van grote bestanden via e-mail, zoals een mri-scan, niet in de norm opgenomen.
Europese richtlijnen volgen
Met de huidige norm NTA7516 wordt het doel van beveiligd patiëntgegevens delen niet volledig afgedekt. Dat doel kan wel behaald worden door de authenticatie bij de ontvanger te leggen. Wanneer de authenticatie weer op een eenduidige manier bij de ontvanger wordt gelegd, kan de gebruiker alle beveiligde e-mails steeds op dezelfde manier openen.
Dit is te bereiken met bestaande Europese regelgeving: Eidas (Electronic Identities And Trust Services). In deze wetgeving is een tweestapsverificatie op persoonsgegevens voorzien. De gebruiker identificeert zich met een eigen authenticatie, zijn eigen e-id. Een goed voorbeeld daarvan is het DigiD in Nederland. Wanneer alle veilige e-mailoplossingen de authenticatie van de ontvanger op basis van dezelfde e-id doen, kan de ontvanger zichzelf steeds op dezelfde manier identificeren. Ongeacht met welke veilige e-mailoplossing de e-mail verstuurd is.
Regelgeving op de schop
De elektronische uitwisseling van patiëntgegevens heeft een lange geschiedenis. En veiligheid en privacy blijken elke keer weer struikelblokken. Ook in dit geval zal de nieuwe wet niet alle problemen oplossen, maar het is wel een begin daarvan. Het is namelijk zeker een verbetering ten opzichte van de fax, cd-roms of usb-sticks. Maar met de NTA7516 zijn we er nog niet. Hiervoor moeten we onze blik verbreden en een voorbeeld nemen aan de Europese regelgeving op dit gebied. Deze biedt oplossingen voor de gebieden waar de huidige norm nu nog tekortschiet.
(Auteur Lucien Barink is general manager bij Pointsharp.)