VWS heeft bewust de centrale regierol niet gekozen bij het invullen van het landelijk epd. Dat epd is inmiddels van tafel. Het advies is nu om iedere patiënt een persoonlijk gezondheidsdossier (pgd) te laten hebben. Dit is een dossier naast dat van je zorgverlener, waarvan je zelf bepaalt wat er in komt te staan.
Waarom er een pgd
Waarom moet er een pgd komen? Eén trigger staat in het advies: de gemeenten krijgen decentraal zorgtaken te doen. Andere redenen laten zich raden: het falen van het landelijk epd, wat ten onder ging aan verkeerde beeldvorming en de weerslag van de publieke opinie daarop, en de opkomst van de sociale media, waardoor het concept van eigen dossierbeheer bij een breed publiek bekend is geworden.
Kan het pgd veilig gemaakt worden? In het advies staat een bevestigend antwoord: gebruik 'Privacy by Design'. Dit begrip wordt zo veelvuldig gebruikt dat in het rapport de afkorting PbD gebruikt wordt. In die context worden (sterke) authenticatie, toegangsbeveiliging en encryptie genoemd. Dit zijn inderdaad een paar technische maatregelen die hierbij kunnen helpen. Maar daarmee heb je nog geen privacy by design geregeld. Dat vergt een gecoördineerde aanpak volgens een raamwerk, bijvoorbeeld de IEC/ISO 27001&2 standaarden, Cobit of BSIMM. De 'BSI' in BSIMM staan nota bene voor 'building security in'... Het rapport noemt als voorbeeld wel het werk van de Qiy Foundation . Dit had best méér aandacht mogen krijgen dan slechts een tussenzinnetje.
Zorgelijk wordt het wanneer de werking van beveiliging incorrect beschreven wordt in het advies. In het advies staat: 'De in deze toepassing te gebruiken encryptiesleutels dienen te worden beheerd door middel van een ttp (trusted third party), want voorkomen moet worden, dat als een hacker zich toegang zou kunnen verschaffen tot de computers, dat hij de sleutel op de ‘cliënt’ van de zorgaanbieder zou kunnen ophalen en dan alsnog het systeem zou kunnen binnendringen' (pagina 57). Het is correct dat de randvoorwaarde voor encryptie goed sleutelbeheer is, maar een ttp beheert geen encryptiesleutels van derden. Een ttp geeft slechts een oordeel over de identiteit behorende bij een (publieke) encryptiesleutel. In het rapport wordt daarnaast ook nog de indruk gegeven dat een ttp onkwetsbaar is. Hierop heb ik een eenvoudige reactie: Diginotar. Op dit onderwerp is nog echt additioneel inzicht nodig om te komen tot een goed advies.
De Raad geeft expliciet niet aan wie het pgd financieren moet en hoe het pgd dan beheerd moet worden. Wie denkt dat de patiënt dit zelf kan, zoals hier en daar blijkt uit enquêtes, zal bedrogen uitkomen. De patiënt kan hooguit functioneel aanwijzingen geven. Het beheer zal, in belang van die zo belangrijke privacy, bij professionele partijen moeten liggen met een zorgvuldig en effectief toezicht.
Problemen
Welke problemen lost het pgd op? Het rapport noemt er een paar, die ik aanvul met mijn reacties:
- De patiënt heeft geen overzicht. Dit wordt inderdaad met een goed pgd wel ingevuld.
- De zorgaanbieder heeft geen overzicht. Dit wordt in mindere mate ingevuld. De aanbieder moet er op vertrouwen dat de patiënt alle relevante gegevens verzameld heeft en deze niet gemanipuleerd heeft.
- Er zijn onvoldoende gegevens beschikbaar voor publieke doeleinden. Het pgd draagt hier alleen indirect aan bij. Doordat het pgd vereist dat dossiers beschikbaar komen in een standaard formaat, is verzameling van gegevens voor dit doel ook mogelijk. Hierbij zijn er zeker nog problemen op te lossen, zoals waarborgen voor de privacy, maar dat vergt verdere invulling. In alle eerlijkheid meld ik dat het rapport dit ook noemt.
- Privacy lijkt een struikelblok te zijn. Dat is het volgens mij nog steeds, ook met een pgd.
- Zorgaanbieders voeren activiteiten dubbel uit. Een mondige patiënt met een goed pgd zal dit kunnen voorkomen, als hij dat wil. Soms vinden patiënten een herhaling van een onderzoek helemaal niet negatief. Er spelen hier verschillende belangen door elkaar.
- Er is onvoldoende interoperabiliteit. Dit wordt met goede standaarden wel ingevuld.
Kortom, het advies moet gezien worden als een visie, die nog verder uitgewerkt dient te worden door betrokken partijen met gebruikmaking van experts in relevante kennisgebieden.
Reacties
Het is jammer dat journalistiek Nederland, een hele batterij azijnpissers en doemscenario denkers en met name niet realisten het epd hebben afgeschoten. Alsof de huidige situatie nu zo lekker is geregeld. Ik zie nog bakken met papiertjes heen en weer schieten tussen alle zorgaanbieders in de keten. Lokaal zijn er wel initiatieven, maar een compleet centraal beeld is niet te maken. De huidige (fysieke) beveiliging is vergeleken met een elektronische verre van ideaal. Het enige wat de versnippering van informatie bewerkstelligd is dat je nu geen integraal beeld kan krijgen. Dan moet je al die zorgaanbieders een voor een af gaan.
Waar ik me meer zorgen over maakt, is dat bovenop de voor de hand liggende voordelen van een centraal beeld van een patient, juist door de toepassing van ICT en technologie binnen de zorg die aanstaande is, er juist behoefte is aan een centraal punt om de informatie uit die nieuwe technologie vast te leggen. Straks hebben we een lappendeken van point solutions. Dat moeten we echt zien te voorkomen.
Het EPD is afgeschoten door de eerste kamer na een grondige overweging te hebben gemaakt. Daarmee is het een democratische beslissing van gewicht. Dat je het daar niet mee eens zou zijn is gewoon mogelijk.
Dat beeldvorming hier debet aan zou zijn is wel meegenomen in het oordeel van de eerste kamer maar zij heeft ook zeer goed naar de andere onderdelen gekeken en daar ook rake uitspraken over gedaan. Hiermee kan het argument van slechte beeldvorming dan ook het sprookjesbos ingestuurd worden.
En de landen die wel EPD achtige constructies hebben zijn er regelmatig berichten te lezen dat er weer patiëntgegevens zijn gelekt. Dus wat dat betreft is dat hier nu voorkomen. Dat zal niet wegnemen dat er bij zorginstanties onderling dit soort problemen zullen opduiken maar die zijn daar zelf verantwoordelijk voor en kunnen het niet afschuiven op iemand anders.
Wat het PGD betreft zijn er technische zaken die inderdaad aandacht vragen. Maar om nou door te schieten in negativiteit over versleuteling en TTP's zou ook inhouden dat je geen enkel SSL certificaat kan vertrouwen en je weer met je overschrijvingen naar de bank moet omdat het internetbankieren niet meer te vertrouwen zou zijn.
Wat dat betreft valt het me nog mee dat ze niet meteen aan biometrische beveiliging hebben gedacht. Maar dat zal nog wel volgen.
Wat de organisatie van het PGD betreft zijn er nog veel belangrijke zaken open gelaten. Het valt nog te bezien of alle valkuilen gevuld kunnen worden maar de intentie is al stukken beter dan dat van het EPD.
Overigens lijkt het me niet de bedoeling dat een voorziening bedoeld voor de patiënten om informatie met zorginstellingen uit te wisselen gebruikt zou moeten worden voor het magisch Big Data. Daar hoort de automatisering van elke zorginstelling een passend antwoord op te kunnen geven.
De negatieve teneur van dit artikel is jammer en mijns inziens ook onnodig. Ik zou het juist als iets positiefs beschouwen als dit soort zaken door sturing van publieke opinie een breder draagvlak weet te creëren dan dat in zichzelf gekeerde bureaucraten zich proberen te schikken naar de wensen van het bedrijfsleven. Het geeft uitstekend aan dat automatisering ook een menselijke factor heeft waar rekening mee gehouden moet worden.
Een centraal epd is en blijft een slecht idee. Het parlament heeft dat gelukkig herkend. Met het papieren dossier waren (en zijn) al genoeg problemen die alleen maar groter worden als de oplossing in een centraal epd gegoten wordt.
Een pgd ("sociale media" - "het concept van eigen dossierbeheer") is dat de elektronische vertaling van de wachtkamer waar over ieders kwaal gediskuteerd wordt, Een soort facebook voor patienten?
Ik begrijp de goede bedoelingen maar ik vrees dat de werkelijkheid is, dat we nog steeds liever niet willen dat al onze gegevens ergens centraal staan, als 1 aanvalspunt voor hackers die de gegevens graag aan verzekeraars zouden verkopen.
Goed verhaal, Lex. Maar ook aan de voorkant is er twijfel over de veiligheid. Wie kunnen er allemaal in om te lezen wat iemands medische achtergronden zijn. (Artsen, verpleegsters, assistenten, apothekers, ambulance, brandweer, hulpverlenende bedrijven, de gemeente, de gemeenschap......... .) en dan heb je daarbinnen ook nog vaste en tijdelijke krachten. Een oplossing is dat er een melding naar een ' patient' gaat als iemand de file opent. In geval van ongewenste toegang moet de patient zelf razendsnel de file dicht kunnen zetten.
@Jeroen
dan is de patient altijd te laat . . . .
@ Jan, Met een appje kan het in deze tijd toch snel lukken?
@Johan:
Jammer dat je de opinie negatief ervaart. Ik ben vóór verantwoord beschikbaar maken van medische dossiers. Er is inderdaad maatschappelijke discussie nodig om de vorm(en) hiervan te bepalen. Ik hoop met mijn opinie juist anderen aan te sporen hier vooral zorgvuldig door te gaan. In mijn ogen is het niet EPD óf PGD, maar eerder EPD én PGD.
Mijn 'beeldvorming' over het landelijk EPD is vrij compleet. Zo was ik gecharmeerd van het feit dat het slechts een verwijsindex was, niet een grote centrale database - dus eigenlijk helemaal geen EPD, maar een verbinder van EPDs. Een verwijsindex kan zelf geen medische gegevens lekken, wel opvragingen monitoren. Ook de geïntegreerde sterke authenticatie vond ik waardevol. Het gebrek aan integratiemogelijkheden voor grote zorginstellingen en het gebrek aan mogelijkheden voor inzage door patiënten waren verbeterpunten.
Juist omdat de eerdere Nederlandse oplossing al geen centrale database was, verbaast het mij dat in dit rapport aangespoord wordt te kijken naar Europese landen met een centrale oplossing. Voor alle duidelijkheid: Ik sta wel achter dit soort beschouwingen, leer vooral van je omgeving.
In de discussie net als in het artikel mis ik 1 aspekt, namelijk de mens als zwakste schakel in deze keten.
Mogelijkheden tot manipulatie en misbruik door artsen, patienten en/of verzekeraars worden zelden genoemd. Dat is toch ook de reden waarom zo veel aan authenticatie gedaan wordt?
Je mag bij dit soort systemen/gegevens niet uit gaan van "het goede in de mens".
Ik ben al vele jaren betrokken bij dossier uitwisseling in de eerstelijns zorg, maar ik mis bij de landelijke EPD projecten stelselmatig een heldere probleemstelling (met draagvlak bij de betrokken (patiënten en ook zorgverleners) en een oplossing die dat probleem oplost.
Het gevolg is niemand meer weet wat een Landelijk Epd is en iedereen daar maar van alles over roept. Leveranciers bouwen (vanuit ICT perspectief) mooie systemen en noemen dat EPD en vergroten daarmee de chaos. Ook heeft iedereen zijn eigen beeldvorming over wat de 1e kamer heeft geroepen.
Laten we met z'n allen eerst proberen te komen tot een breed erkende zorg-probleemstelling en daarna zoeken naar een oplossing.
Een oplossingsrichting kan zijn om onderscheid te maken tussen trauma gerelateerde zorg (enkele essentiële gegevens moeten 24x7 snel beschikbaar zijn) en planbare zorg en verzorging (veel info moet beschikbaar zijn voor een klein groepje zorgverleners).
Volgens mij zijn we nog lang niet toe aan specifieke beveiligingstechnieken en andere ICT-technische hoogstandjes.
Fokko Douma
@Jan:
Ik pleit voor uitwerking. Hierbij hoort een risicoanalyse van alle aspecten: de mens, het proces en de techniek. Ik weet niet hoe je bepaalt dat de mens de zwakste schakel is, als de meeste incidenten voortkomen uit malware en hacking van techniek (Verizon DBR). Je moet als beveiliger alle opties overwegen.
Ik weet dat menselijke fouten en social engineering ook belangrijke bronnen zijn. Ik vond het alleen niet interessant dat specifiek aan te stippen in deze opinie en discussie. Als security expert leer je wel af uit te gaan van het goede in de mens, ik zoek naar een gezonde balans tussen vertrouwen en controleren.
@Jeroen:
Ik ben er meer een voorstander van om je behandelaars en situaties (b.v. spoedeisende hulp) vooraf te noemen. Wil iemand die niet genoemd is buiten de genoemde situaties toegang, dan moet hij maar eerst vragen. Maar dit zijn wel al detailuitwerkingen, die in grotere kring gewogen uitgewerkt horen te worden.
Lex, mooi betoog.
Ik zit wel met een vraag. Wordt privacy niet overrated? Waar is nu precies die privacy voor?
Er zijn best wat gevallen die ik kan bedenken, maar een veel groter gevaar lijkt mij de zorgverzekeraars en het mogen koppelen van gegevens.
En privacy is iets heel anders dan veiligheid en afschermen van gegevens.
Ook blijft het uitdagend om en een goed systeem te maken en het gebruiksvriendelijk te houden aangezien er een groot niveau verschil zit tussen niveau van patienten *en* zorgverleners.
@Henri
Je beantwoordt je vraag zelf. Privacy betekent in dit geval dat je medische gegevens niet door iedereen kunnen worden ingezien.
Zorgverzekeraars weten natuurlijk door de betaling van verrichtingen wat er met de patient gedaan wordt, maar de resultaten van onderzoekingen zien ze gelukkig nog niet. Die zijn namelijk interessant om risicogroepen uit te sluiten, als voorbeeld een genetische predispositie voor borstkanker.
Dat soort gegevens zijn voor verzekeraars en dus voor hackers veel geld waard.
Jan, je insinueert dat verzekeraars zaken doen met hackers.
Ik geloof niet dat je een goed systeem kunt bouwen dat en functioneert en privacy centraal stelt. Hierop is best een thesis te bouwen dit dit zal bevestigen.
Of het systeem moet geschrapt worden, of er moet dus anders aangekeken worden tegen privacy. Om hierin iets te kunnen bereiken, moet je dus snappen wat privacy is en wat het betekent en voor wie. Je moet scenario's uit werken die dit helder maken. Door privacy als een kapstok begrip te hanteren kun je nooit verder komen. Je moet de details in voor een zinvolle discussie.
Toestemming vragen aan patiënten en dat soort draconische maatregelen lijken mij niet werkbaar. Wat mij wel haalbaar lijkt is logging, dus controle achteraf wie welke delen van een dossier heeft ingezien, maar ook daar zijn grenzen aan. Als een wetenschappelijk onderzoek (ik zeg big data) een dossier benadert voor onderzoek dan zal deze logging alleen maar vragen oproepen. Zeker als bijvoorbeeld alleen een willekeurige sleutel en de data gebruikt wordt zonder dit aan een persoon te koppelen.
Je moet je ook afvragen of wel wel echt veel verder kunnen komen als we spastisch met data om blijven gaan.
Daarbij geloof ik uiteraard wel in spelregels. En die spelregels moeten te vuur en te zwaard verdedigd worden. Juist hier zit de dreiging en ik zal een voorbeeld geven waarover *ik* mij zorgen maak.
De belastingdienst vraagt massaal parkeerdata op bij grote parkeer garages. Tijden en kentekens van *iedereen* die in een bepaalde periode geparkeerd heeft. Dit wordt dan gebruikt om fraude op te sporen in de bijtelling. Als je niet goed nadenkt zal een gedachte kunnen zijn "en terecht, bijtelling fraudeurs zijn dieven van de burger", maar we bevinden ons hiermee op een hellend vlak. Er komt een moment waarop een zorgverzekeraar data op gaat vragen bij de supermarkt en mensen die ongezond eten meer premie laat betalen. Dit is even overdreven, maar bevind zich op de schaal van de belastingdienst. Juist dit is wat er met landelijke initiatieven in steen gegriefd moet worden. Het uitsluiten van bepaalde data koppelingen.
En juist deze discussie wordt onderbelicht of valt buiten zicht doordat er teveel gekeken wordt naar privacy.
Onder voorwaarde van mijn eerdere stelling ben ik *voor* centralisering van dossiers en als ik dan ook nog in bepaalde maten kan zien wie mijn gegevens raadpleegt, of dit kan delegeren aan iemand (een dienst?), dan ben ik gewoon voor.
Maar alsjeblieft: Als je het woord privacy in de mond neemt, verdiep je er eens in en vraag je nu echt af wat het betekent en wanneer. Want *voor* privacy zijn is in veel gevallen zinloos.
@Henri:
Ik ben helemaal voor privacy, en ik denk niet dat dat zinloos is. Zoals gezegd is privacy online het gegeven dat ik kan bepalen met wie ik wanneer wat deel. Dus niet de verzekeraars, niet de belastingdienst. Aan de andere kant hebben zij ook rechten, om onderzoek te mogen doen en opsporing van overtredingen. Dit moet in balans zijn. En dus zijn er spelregels nodig, dat ben ik helemaal met je eens.
Eén andere component is ook nodig: vertrouwen in de bewerker. En daar schiet het vaak tekort. Als één bewerker de opdracht krijgt de centrale rol in te vullen, heb je een monopolie zonder concurrentie. Dan is er niets te kiezen bij de consument en hoeft de bewerker ook niet zijn best te doen vertrouwen te winnen. Geen goed idee.