Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet het redactionele gedachtegoed van Computable.

Markt en overheid aan zet voor het EPD

07-01-2013 09:04 | Door Michiel Steltman | Lees meer artikelen over: EPD | Er zijn 3 reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink
Computable Expert
Michiel Steltman
ing. Michiel Steltman

Directeur DHPA / Zelfstandig adviseur

Expert van Computable voor het topic Cloud Computing

Meer

Er is geen thema in de ict dat zoveel emotie oproept als het epd (elektronisch patiënten dossier). Door angst en twijfel stagneren hoogstnoodzakelijke innovaties en verbeteringen van opslag en overdracht van onze medische informatie. Het wordt tijd voor een andere aanpak door overheid en markt.

Al enkele jaren regeren angst en twijfel de discussie over het epd. Angst voor het in de verkeerde handen vallen van onze medische informatie, en twijfel over het vermogen van de verantwoordelijken om die informatie afdoende te beschermen tegen toegang door onbevoegden. In die discussie wordt niet gesproken over wat het epd precies voorstelt. De hardnekkige misvatting bestaat dat de overheid bezig was- en is - om een centrale database van alle medische gegevens van alle burgers aan te leggen. Door dat beeld worden alle vormen van ontsluiting en transport van medische informatie over één kam geschoren, en zijn de meningen over het epd sterk gepolariseerd. Je bent ervoor, of je bent er tegen. Het resultaat is dat de hoogstnoodzakelijke initiatieven om de opslag en overdracht van persoonlijke medische informatie te verbeteren stagneren.

Bestaande risico's

Er wordt weinig geschreven over de risico’s van de bestaande praktijken van verwerking, opslag en transport van persoonsgebonden medische informatie. Ten eerste is efficiënte en veilige uitwisseling van medische informatie momenteel niet goed mogelijk. Er zijn standaarden ontwikkeld zoals IHE, maar als gevolg van de discussie en onzekerheid zijn nog maar weinig van deze standaards geïmplementeerd. Nood breekt echter wet en dus is de praktijk dat gegevens en foto’s worden gemaild. Al zal de zorgverlener dat in alle toonaarden ontkennen.

Bij het spoedtransport van een patiënt worden gegevens soms noodgedwongen op een cd gezet en aan de brancard getapet. Ronduit schokkend is dat er, als gevolg van de ontoereikende mogelijkheden voor het simpelweg compleet krijgen van informatie over de medicatie van een specifieke patiënt, jaarlijks tot naar schatting meer dan vijftienhonderd doden vallen. Sommige schattingen spreken zelfs van drieduizend onnodige sterfgevallen. Dat is een veelvoud van het aantal slachtoffers in het verkeer.

Ten tweede is de beveiliging van onze medische gegevens slecht geregeld. Dat komt omdat die gegevens overal en nergens zijn opgeslagen, en omdat toezicht op naleving van beveiligingsnormen vrijblijvend is of geheel ontbreekt. De spreiding is voornamelijk het gevolg van het feit dat zorgverleners verplicht zijn om voor elke patiënt een anamnese af te nemen en te bewaren. Pensioen- of arbeidsongeschiktheidsverzekeraars hebben onze medische gegevens nodig om hun risico’s op een uitkering of overlijden in te kunnen schatten.

Als burgers en patiënten zetten we daarvoor ons hele medische hebben en houden op een formulier en geven dat ter beoordeling aan een zorgverlener of een pensioen- of arbeidsongeschiktheid verzekeraar. Die formulieren en informatie worden door de betreffende instanties en zorgverleners gescand en verwerkt, en opgeslagen in evenzovele lokale epd’s.  Ook zorgverzekeraars slaan onze declaraties op, waaruit kan worden afgeleid hoe het er met onze gezondheid voorstaat en wat we voor gebreken hebben gehad.

We vertrouwen die instanties blindelings en onderschatten de risico’s. Waar blijven al die formulieren, en zijn de personen die de informatie in handen krijgen of kunnen krijgen gebonden aan een medisch beroepsgeheim? Ook is het de vraag hoe al die opgeslagen informatie wordt beschermd tegen toegang door onbevoegden, hackers en ander onheil. De grotere zorgverleners en verzekeraars hebben beleid voor informatiebeveiliging. Toch is er, zo hebben we in de afgelopen jaren na incidenten kunnen constateren, ook sprake van amateurisme en onwetendheid.

Onbegonnen werk

Informatiebeveiliging is zo complex dat het voor een kleine praktijk of zorgverlener al snel onbegonnen werk is. Het vereist een professionele aanpak die alleen organisaties met enige schaal kunnen realiseren. Als we alleen al denken aan de vele pc’s en laptops die jaarlijks uit kleine praktijken verdwijnen, is het alternatief van centrale, goed beveiligde en gereguleerde centrale opslag in een datacenter een aantrekkelijker idee.

Blijkbaar is er afstand tussen ons gevoel van (on)veiligheid en de werkelijke situaties. Er is veel te doen over de risico’s van een systeem dat nog niet bestaat. Security specialist Bruce Schneier heeft de onderliggende mechanismen onderzocht en die uiteengezet in onder andere zijn TedX talk in oktober 2010. De angst voor het onbekende laat ons de ogen sluiten voor de risico’s van de bestaande situatie. Dat is jammer want dat blokkeert rationeel denken en staat effectieve en goede oplossingen in de weg.

We moeten naar mijn mening een aanpak kiezen zoals die we de facto hebben gekozen voor beheer van ons geld. Daarvoor hebben we het bedrijfsleven als uitvoerder en toezicht door de overheid. We vertrouwen gereguleerde bedrijven, de banken, ondanks de incidenten, nog steeds voldoende om er ons vermogen te stallen. In het algemeen zal een bedrijf, dat voor haar bestaan afhankelijk is van een goede reputatie en aansprakelijk is voor schade meer doen aan het borgen van informatiebeveiliging en privacy dan een overheid - die niet zo makkelijk aansprakelijk kan worden gesteld. Er is daarom voldoende reden om aan te nemen dat een commercieel bedrijf, mits onderworpen aan strikte regels, onze medische informatie goed kan bewaren en beschermen tegen toegang door onbevoegden.

Regels en toezicht

De overheid heeft hierbij een belangrijke rol. Niet bij het zelf ontwikkelen of laten ontwikkelen van it-systemen, maar door het organiseren van regels en toezicht.  De huidige regels voor bescherming van privacy zijn ontoereikend. De Wet Bescherming Persoonsgegevens (WBP), schrijft over de opslag slechts dat er 'passende technische en organisatorische maatregelen moeten worden getroffen, voor een passend beveiligingsniveau'. Er is geen noodzaak of verplichting op controle, en het is dus aan de verantwoordelijke om te bepalen wat 'passend' is. Dat kan en moet beter. De gebruikelijke richtlijnen zoals de ISO27001 en NEN7510 zijn algemeen van aard en behoeven concretere invulling.  Recente inhoudelijke ontwikkelingen zoals Zeker Online en de NCSC richtlijnen voor beveiliging van web applicaties geven een goede richting aan. Daarbij moet er een verplichting zijn om toezicht op de naleving, maar ook op de effectiviteit van die regels aan te tonen door middel van een verplichte jaarlijkse audit.

Pas als er consensus ontstaat over dat begrip 'passende beveiliging', kan er een cultuur ontstaan waarin een goede informatiebeveiliging bij alle verantwoordelijke partijen kan gedijen. En door de verplichting op naleving kan het vertrouwen bij het publiek worden hersteld. Vanuit dat gegeven moeten er door de markt veilige en efficiënte oplossingen worden ontwikkeld en aangeboden. Oplossingen die onze informatie gedegen beschermt tegen onbevoegden, het eindeloos dupliceren van gegevens gaan voorkomen, uniforme uitwisseling bevorderen en transparant zijn over de wijze waarop onze informatie beschikbaar is voor slechts selecte bevoegden. Oplossingen die bovendien veel kosten gaan besparen, de kwaliteit van de zorg en onze gezondheid zullen verbeteren.

Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

15 vacatures
Medior ICT Consultant

Hands On , Weesp

Senior Systeembeheerder

IMCD Group B.V. , Rotterdam

Systeem-/Netwerkbeheerder

Teeuwissen Products BV , Katwijk NB

Functioneel Beheerder

Woonbedrijf ieder1 , Deventer

Systeem-en applicatiebeheerder NAV

MySolution , Houten

Top 10 reagerende bezoekers
      Aantal
reacties
Gemiddelde
waardering
Klik voor meer info 1 2035 6.81
Klik voor meer info 2 1523 6.70
Klik voor meer info 3 1236 6.70
Klik voor meer info 4 1144 6.65
Klik voor meer info 5 890 6.56
Klik voor meer info 6 609 6.33
Klik voor meer info 7 433 6.32
Klik voor meer info 8 1095 6.11
Klik voor meer info 9 722 6.08
Klik voor meer info 10 462 6.06