Regionale EPD’s de mist in volgens CBP

Er was al eens een voorschot op genomen door CBP voorzitter Kohnstamm: “We gaan onderzoeken of het EPD op regionaal niveau veilig is. We hebben sterk de neiging om te denken dat het daar niet goed geregeld is”. En ja hoor, dat schot voor de boeg klopte. Bij de huisartsenpost Gorinchem en het regionale schakelpunt SPITZ Midden Holland constateert het CBP handelen in strijd met de wet op de bescherming persoonsgegevens. Zo is de patiënt niet altijd geïnformeerd over opname in de regionale EPDs en wordt niet gecontroleerd of er sprake is van een behandelrelatie tussen arts en patiënt, hoewel raadplegingen wel worden gelogd. De bevindingen voor SPITZ lijken nog wat ernstiger, doordat in potentie veel meer dan alleen aan de huisartsenpost verbonden medewerkers inzage in gegevens kunnen hebben.

Maar is dit nu heel schokkend nieuws? Voor de meeste ICT-ers in de zorg waarschijnlijk niet. Ik heb jaren terug gewerkt aan een vergelijkbaar project en veel tijd en energie ging toen zitten in maatregelen om patiënten te informeren, het veilig regelen van toegang en het loggen van informatie. Geen makkelijke materie, vooral ook omdat er in de praktijk gewoon consessies gedaan moeten worden, niet in de laatste plaats omdat het gewoon te duur is om het allemaal “netjes” te regelen. Zo is het eenvoudiger en goedkoper iedere huisarts een poster te sturen met daarop de mededeling dat men in een regionaal EPD zit, dan elke patiënt persoonlijk op de hoogte te brengen per brief. Voor patiënten uit voornoemde regio’s is het misschien wel even schrikken.

Betekent dit nu dat we de regionale EPD’s – waar de neezeggers in de EPD discussie opnieuw voor pleiten – op de vuilnisbelt kunnen? Afgezien van het feit dat vele regio’s en vele huisartsen (en de meeste apotheken) al op een dergelijk dossier zijn aangesloten zou ik zeggen: juist niet. Dit onderzoek is alleen maar goed en geeft duidelijk aan waar vooral huisartsenposten en dienstapotheken (toch vaak de spil van wat we nu regionale EPD’s noemen) meer aandacht aan moeten schenken. Het zijn geen tekortkomingen van systemen, architectuur, of het regionale niveau, maar van de organisaties eromheen. Deze zullen maatregelen moeten treffen. Als het landelijk EPD straks in bedrijf is, zullen dezelfde vragen over toegang en (controle op) logging moeten worden gesteld.

Pizza privacy

Dit filmpje en het bijbehorende script (man belt pizzeria die meer van hem weet dan hij denkt) kwam ik vandaag tegen. Ik laat even in het midden hoe realistisch het allemaal is, maar wel knap gedaan. En passant komt het EPD ook nog even langs. Een NL variant circuleert overigens ook op het web.

Gevangen door Lilliputters

Hoogleraar Sterrenkunde Vincent Icke was gisteren te gast bij DWDD en trok een interessante parallel. Hij vergeleek de dossiervormende overheid (EPD, EKD, OV chipkaart, etc etc) met de bewoners van het eiland Lilliput uit het beroemde verhaal Gulliver’s Reizen. De bewoners leggen Gulliver – in hun ogen een reus – vast in een wirwar van kleine draadjes. Een enkel draadje (het EKD bijvoorbeeld) legt de reus nog niet vast, maar vele draadjes later heb je uiteindelijk een “web dat zichzelf spint”. Icke trekt, aangespoord door Mathijs van Nieuwkerk, de lijn nog even verder door. In de toekomst moet je niet raar staan te kijken als, op basis van een risicoprofiel en data uit al die dossiers, zomaar je kind uit huis wordt geplaatst. Tja… soms is kort door de bocht redeneren best leuk.

“Hippocrates zou zich schamen”

Aldus NRC Handelsblad, waarin dit keer een bijdrage van juristen Jaap Dijkstra en Marie-José Bonthuis. Zij geven vooral aandacht aan de geheimhoudingsplicht van artsen. Die wordt, zo stellen ze, met de huidige opzet van het EPD uitgehold. Want hoe kun je je geheimhouding omhoog houden als je niet zelf bepaald wie toegang heeft?

Als het EPD er in de voorgestelde vorm komt, zullen wij onze huisarts vragen om onze dossiers uitsluitend op papier te voeren.

Ik voorspel volgende week alweer een reactie in de Computable of andere media: “Juristen hebben geen idee” of iets in die richting. Maar Bonthuis weet heel goed waar ze het over heeft: eerder dit jaar nog won ze een scriptieprijs met haar onderzoek naar privacy en het EPD en werd er al op ICTZorg.com over gepubliceerd.

EPD spelregels “aangescherpt”

Volgens nu.nl heeft minister Klink de regels voor toegang tot het elektronisch patiëntendossier verder aangescherpt. De regels komen mij niet als heel nieuw voor: alleen toegang als er een behandelrelatie bestaat, patiënt mag een bezwaar hebben, behalve in acute situaties, etc. etc. Het artikeltje op nu.nl legt fijntjes de vertraging van het EPD bij de leveranciers.

Niet alle ICT-leveranciers stonden meteen te springen om hun systemen te gaan aanpassen, maar Klink verwacht dat dit volgend jaar wel goed komt.

Ik ga eens even de originele stukken nalezen, kijken wat daar eigenlijk staat.

Update: Kijk je op de site van de 2e kamer, Parlando, of bij VWS zelf, dan vind ik helemaal niets. Vreemd. Hopelijk is nu.nl niet zo slordig en wordt er geen oud nieuws herkauwd. Wat wel aardig is, is de discussie die op nujij.nl ontstaat n.a.v. dit item. Misschien wel leuker dan de discussies op fora voor insiders.

Update 2: Maandagochtend en alle redacties zijn ook weer wakker. Medisch Contact, Huisarts Vandaag en diverse andere media berichtten over de strenge regels van Klink. Maar waar baseren ze dit nou op? Waar is die brief van Klink aan de kamer? Ik zocht op Parlando op de termen EPD, toestemming, CBP, maar niksnakkesnada… Zitten we nu allemaal berichtjes over te nemen van andere sites zonder de feiten te checken?

Google Health onveilig?

Medisch Contact bericht na de lancering van Google Health over de mening van Internet deskundige Henk van Ess, onder meer bekend van de zoekmachine-website www.voelspriet.nl. De oplossing van Google – en van Microsoft – is niet veilig te noemen. Enkele interessante citaten:

Wat met mensenhanden is gemaakt, kan met
mensenhanden worden afgebroken. Alles is vroeg of laat te ‘kraken’ of
kan door menselijke fouten op straat komen te liggen. Dit geldt
overigens ook voor de huidige papieren patiëntendossiers. Herhaaldelijk
laten kranten zien dat iemand zomaar een ziekenhuis kan binnenlopen en
de dossiers kan inzien, al dan niet na enige social engineering.

En verderop:

Google Health is een commercieel initiatief
en heeft geen overheidsbescherming. Dat zegt nog niets over de mate van
beveiliging, maar wel over de mate van rekenschap. In geval van
datadiefstal hoeft Google dit niet openbaar te maken.

Het hele artikel is te lezen op de site van Medisch Contact.