In een reeks verschillende opiniebijdragen behandel ik de komende tijd verschillende facetten van het EPD (Elektronisch Patiëntendossier). In deze bijdrage ga ik als vervolg op de het vorige artikel over de UZI-passen nu in op een aantal andere aandachtspunten die ik tegenkwam rond beveiliging.
Er zijn verschillende punten aan te wijzen in het Klink-EPD waar extra aandacht aan beveiliging gegeven zal moeten worden, zoals de communicatielijnen, het LSP zelf of het UZI-register. In het vorige artikel schreef ik over de UZI-passen.
Het gebouw waar de centrale processen en centrale gegevensopslag plaatsvinden worden vast en zeker fysiek ook flink beschermd, maar hoe werkt het dicht bij de gebruiker? Er wordt in de huidige politieke discussies als verdediging voor de risico's van het Klink-EPD vaak het argument gebruikt dat in de huidige situatie bij zorgaanbieders (dus zonder Klink-EPD) de informatie slecht beveiligd is en het Klink-EPD dus met de eis van naleving van de NEN7510 een grote vooruitgang voor de informatieveiligheid betekent. Daar heb ik twee problemen mee.
Het eerste probleem: Vereist de bestaande wetgeving dat de zorgaanbieder z'n zaken op order heeft op het gebied van informatieveiligheid? Ja. Dat punt kunnen we vanuit het WGBO en de WBP bevestigen, er worden wat dat betreft al strenge eisen gesteld. Als het probleem dan in de naleving zit is de vraag waar de garantie is dat het met het Klink-EPD beter wordt.
Het tweede probleem: Is de vergelijking tussen een centraal systeem en een lokaal systeem wel gerechtvaardigd? Nee. We zijn appels en peren aan het vergelijken. Er wordt in die vergelijking namelijk van uitgegaan dat de aantrekkingskracht van de huisartsenpraktijk gelijk blijft terwijl de beveiliging toeneemt. Dat is echter verre van correct. Door de invoering van het EPD zal de huisartsenpraktijk zijn applicatie- en databaseserver 24X7 aan moeten laten staan met eenzelfde 24X7-verbinding met het LSP. Daarmee is de gemiddelde huisartsenpraktijk met tweeduizend dossiers die niet via een netwerk benaderbaar zijn buiten werktijd met het EPD opgewaardeerd tot een gateway naar 16 miljoen dossiers met tweederde van de tijd onbemande maar actieve systemen. Er is dus voor alle GBZ's veel betere beveiliging nodig om risicotechnisch ook maar in de buurt te komen van wat het nu is!
Maar hoe kan een zorgaanbieder dat extra risico pareren? Dat is zoals altijd een combinatie van bewustwording, procedures en hulpmiddelen. Bewustwording door de juiste begeleiding, procedures waarbij de behoefte aan bijvoorbeeld het delen van pincodes of passen verdwijnt en hulpmiddelen worden toegepast zoals een goed alarm op de ruimtes waar de toegang tot het netwerk bestaat. Nu hebben we het doorlopend over de bescherming van toegang tot het EPD, maar er zijn nog een paar andere risico's.
Door een geslaagde ‘denial of services ‘(DoS) op het LSP kun je heel Nederland de toegang tot dossiers ontzeggen of een DoS op een groot ziekenhuis brengt ook best wat ellende. Maar vertragingen in het algemeen zorgen ook voor een probleem, want hoe lang wacht je op een deeldossier? Vaak wil je direct de gegevens inzien dus zorgt elke seconde langer wachten voor onvrede. Maar een deeldossier dat al meer dan dertig seconden op zich laat wachten, wat doe je daarmee als drukbezette huisarts? Niet raadplegen, is dat een optie? En hoe wordt jou als arts duidelijk gemaakt of een dossier er wel is maar even niet bereikbaar, niet vindbaar, verwijderd of niet toegankelijk voor jou is? Kortom, dat een dossier incompleet is kan gebeuren, maar je moet dat wel weten en als het even kan ook de reden daarvoor. En wat gebeurt er bij een ramp? Weten we wat het effect is op netwerken? Het is toch bijzonder onprettig als alle hulpverleners dossiers moeten raadplegen terwijl het netwerk plat ligt.
Er zijn eisen dat nieuwe informatiesoorten binnen vijftien minuten centraal aangemeld dienen te zijn. Maar hoe zit het met de oude dossiers, zijn die straks allemaal gedigitaliseerd en opgeladen? Uit interviews kreeg ik de indruk dat er veel huisartsen zijn die zo'n berg werk niet zo maar even kunnen verstouwen. Maar als het EPD de enige manier wordt om dossiers te raadplegen, dan is het een voorwaarde dat alles er in zit. Ook een vraagteken wat mij betreft.
Binnen de eisen wordt ook als wens genoemd om bepaalde patiëntgegevens te kunnen verwijderen. De gedachte is dat door encryptie te laten gebeuren met een identificatiemiddel van de patiënt. Hoe dat vorm moet gaan krijgen is nu nog niet duidelijk. Definitieve vernietiging kan ook, maar gearchiveerde gegevens vallen daarbuiten. Dus ook het log? Het programma van eisen zwijgt over automatische vernietiging bij het terughalen (daar zijn archieven voor tenslotte) van gearchiveerde gegevens. Fouten of een zwarte bladzijde uit verleden gewist maar niet als we het terughalen.
De indruk dat patiëntgegevens op één plek zijn vastgelegd is onjuist. De zorgverlener kan na opvraging van de gegevens van een persoon deze gegevens lokaal vastleggen, die mogelijkheid is zelfs een eis die aan een XIS wordt gesteld. Hoe zit het dan met de bewaartermijn van het origineel en de kopie? Wordt de kopie automatisch vernietigd als het origineel wordt vernietigd? Daar lijkt geen voorziening voor te zijn.
Zover ik kon vinden kan er redelijk ongelimiteerd informatie worden opgevraagd. Is een ‘full drain' mogelijk? Dat zou toch een goed werkgebied kunnen zijn voor enige intelligente analyses die signaleren dat er een full drain wordt gedaan of andersoortige onwenselijke opvragingen. Daar heb ik nog niets over gelezen.
Mandateringen (arts geeft rechten aan een pas-niet-op-naam) kunnen nog een interessante uitdaging worden. Het lijkt alsof de praktijk niet is weerspiegeld in de huidige eisen. Bijvoorbeeld de eis dat mandateringen alleen kunnen worden gewijzigd en verwijderd door de persoon die de mandatering heeft ingevoerd. Dat is wel mooi, maar kan praktisch wel eens lastig worden als de persoon niet aanwezig is. Mede daardoor lijkt mij dat mandateringen vrij snel te ruim worden gemaakt. ‘Alle assistentes mogen alles' lijkt mij bijvoorbeeld erg praktisch.
Dat zijn zo maar een aantal zaken die mij opvielen bij het doorlopen van programma's van eisen en de architectuur. We hebben het nog niet eens gehad over de toekomstige toegang van 16 miljoen burgers. Het mag duidelijk zijn dat niet alleen de bescherming van de confidentialiteit aandacht behoeft, maar ook de bescherming van beschikbaarheid en integriteit. In het volgende artikel gaan we in op de impact op de organisatie van de zorgaanbieder.
Serie EPD
In een serie van negen delen behandelt Computable-expert Bernhard van der Feen van Microsoft verschillende facetten van het Elektronisch Patiëntendossier (EPD). Dit deel behandelt de discussie rond de veiligheid van het EPD. Eerder verschenen delen:
1 – De keerzijde van de EPD-brochure
2 – Inleiding van het Klink-EPD
3 – De architectuur van het Nederlands EPD
4 – Het Landelijk Schakelpunt, knooppunt of knelpunt?
5 – Vervolg: het Landelijk Schakelpunt, knooppunt of knelpunt?
6 – De UZI-pas, wondermiddel of schijnveiligheid?
Hierna volgen nog:
8 – De volgende patiënt, het GBZ (verschijning 16 mrt. ‘09)
9 – Alternatieve benadering van het EPD (verschijning 19 mrt. ‘09)
Relevante links
– Ministerie van VWS, onderwerp EPD
– http://www.infoepd.nl/ (informatiepunt BSN in zorg en landelijk EPD)
– http://www.nictiz.nl/ (kenniscentrum ICT in de zorg)
– Heel veel downloads
– Verslag van NOVA (15 januari 2009)
– Bezorgde uitingen over het EPD
– Bezorgde huisartsen
– Brochure EPD
– Informatiesysteemarchitectuur Aorta
– Abonnee van het UZI-register, en dan?