Inloggen
Laatste nieuws
H.F. Croonen
9 minuten leestijd

Privacy EPD in handen van arts

5 reacties

Techniek kan patiënt niet beschermen tegen onterechte inzage

Als het gaat om de veiligheid van het EPD, krijgen dokters een groot vertrouwen van de wetgever, al is er achteraf controle op misbruik. Dat blijkt uit een reconstructie die Medisch Contact en ICT-nieuwssite Webwereld maakten van de besluitvorming over het EPD.

Het grote gevaar van een landelijk elektronisch patiëntendossier (EPD) is dat persoonlijke informatie in verkeerde handen terechtkomt. De voorzitter van het College Bescherming Persoonsgegevens (CBP), Jacob Kohnstamm, weet het treffend te verwoorden: ‘Medische gegevens die, overdrachtelijk gesproken, in schoenendozen worden bewaard, zijn eenvoudiger toegankelijk dan elektronisch opgeslagen gegevens. Maar als elektronische bestanden eenmaal zijn gekraakt, dan kunnen de gevolgen ernstiger zijn, omdat de schaal zo veel groter is.’

Met de Wet openbaarheid van bestuur (Wob) in de hand heeft journalist Brenno de Winter, specialist op het gebied van informatietechnologie, van het CBP meer dan honderd documenten gekregen over privacy en het EPD. Het betreft nota’s, mails, brieven, memo’s en conceptwetten. De laatste versie van de wet ligt nu bij de Eerste Kamer en wacht op behandeling, op zijn vroegst in april van dit jaar. Medisch Contact en het ICT-nieuwssite Webwereld maakten een analyse op basis van de stapel documenten.

Geen weg terug
Aan het nut van het landelijk EPD maken de ambtenaren in de documenten weinig woorden vuil; dat is evident en er is geen weg terug. Wel komt uit de stukken de worsteling met de privacy naar voren. De verantwoordelijkheid voor en het toezicht op het elektronisch delen van informatie worden als hete aardappels heen en weer geschoven. Het zijn essentiële elementen, want zonder toezicht weet niemand of de informatie daadwerkelijk achter slot en grendel blijft. En zonder verantwoordelijkheid kan de patiënt nergens verhaal halen als zijn gegevens in verkeerde handen komen. Dokters hebben de data ingevoerd in het landelijk schakelpunt (LSP) en kunnen daar net als nu aansprakelijk voor worden gesteld. Voor de duidelijkheid: het landelijk schakelpunt bevat niet de medische gegevens zelf, maar wel gegevens van de zorgverlener en vermelding van het soort gegevens.

Controle achteraf
Een van de bezwaren van het CBP is dat de dokter geen schriftelijke toestemming van de patiënt hoeft te vragen voor toegang tot zijn gegevens via het schakelpunt. De patiënt kan wel achteraf controleren wie zijn gegevens heeft ingezien. In een zogenoemde ‘logging’ worden alle kijkers onherroepelijk vastgelegd, zowel bij het schakelpunt als in het systeem van de arts. Middels een schriftelijke aanvraag met een kopie van het identiteitsbewijs kan de patiënt hiervan een overzicht krijgen, en daarnaast controleert beheerder Nationaal ICT Instituut in de Zorg (Nictiz) continu het verkeer bij het schakelpunt op afwijkingen.

‘Hoewel toezicht achteraf goed is vorm gegeven, is het kwaad dan al geschied’, geeft het ministerie van VWS toe in een toelichting op de wet. ‘Immers, de gegevens zijn al ingezien. Over het algemeen zullen artsen hier integer mee omgaan en heeft de logging een remmende werking.’

De toestemming van de patiënt is daarom ‘stilzwijgend’ en dat is onvoldoende voor bescherming van medische gegevens, schrijft het CBP in een brief van oktober 2005. De uitdrukkelijke toestemming die het college verlangt, zou de zorg vertragen, mailt het ministerie terug. ‘Onterecht inzien is onvermijdelijk. Maar de beheerder kan ingrijpen bij ongebruikelijke inzage in het schakelpunt, de toezichthouder controleert of het wordt nageleefd.’

Het CBP is het met de minister eens dat uitdrukkelijke toestemming van elke patiënt onpraktisch is, maar stelt vanuit de Wet op de Geneeskundige Behandelingsovereenkomst wel een voorwaarde: de gegevensuitwisseling moet noodzakelijk zijn voor de uitvoering van de behandelingsovereenkomst, en mag niet bovenmatig zijn. Concreet: dokter en patiënt moeten een behandelrelatie hebben.

Media-aandacht
Op deze wettelijke voorwaarde wijst de privacywaakhond in oktober 2005. Daarna is het wachten geblazen. Dik een jaar later stuurt het CBP een mailtje met de vraag hoe het nu zit met de controle op behandelrelatie, waarop het antwoord luidt dat het management van het Nictiz is vernieuwd en het onderwerp dus vertraging heeft opgelopen. In maart 2007 krijgt het CBP een wetsvoorstel opgestuurd met de vraag om advies, en daarin staat dat controle op behandelrelatie met de huidige techniek niet mogelijk is. Het CBP reageert in juni: ‘Het is onvoldoende dat achteraf kan worden vastgesteld dat iemand zijn boekje te buiten is gegaan en onbevoegd toegang heeft gekregen tot een medisch dossier, nog daargelaten dat het waarschijnlijk onbegonnen werk is om al die loggegevens daadwerkelijk te controleren.’

Daarna stapt het college naar de Volkskrant, die twee alarmerende artikelen publiceert over slechte beveiliging van patiëntgegevens via het LSP. In juli reageert de minister met een korzelige brief: ‘De media-aandacht heeft voor onnodige onduidelijkheid ten aanzien van het EPD gezorgd’.

Te complex
In september 2007 is het zo ver: Nictiz brengt een rapport uit over de haalbaarheid van de controle op behandelrelatie. Conclusie: een behandelrelatie is te complex en dynamisch om daarop te kunnen controleren. Laat een extra pop-up op het scherm verschijnen, adviseert het CBP, dan bedenkt een zorgverlener die onterecht medische gegevens wil inzien zich wel een tweede keer. Dat biedt schijnzekerheid, vindt het ministerie. Een pop-up klik je zo weg.

De laatste versie van de conceptwetgeving noemt de volgende oplossing voor de heikele kwestie: er is een behandelrelatie als een patiënt is geregistreerd bij de zorgverlener. Zo niet, dan moet de arts uitdrukkelijk verklaren dat hij een behandelrelatie heeft met deze patiënt en dat de patiënt ‘expliciete’ toestemming heeft gegeven voor raadpleging van het EPD.

De wet laat in het midden hoe de toestemming is verkregen. Technische controles vooraf op het wel of niet bestaan van de behandelrelatie ontbreken. Er zijn wel geavanceerdere technieken met een elektronische Nederlandse identiteitskaart (eNIK). Daarbij kan de patiënt de dokter met een pincode toegang geven tot gegevens, krijgt hij een sms zodra iemand zijn gegevens inkijkt en kan hij zelf zijn gegevens inzien. Deze technieken zijn echter nog te pril om landelijk in te voeren.

Massale toegang
Het mag dus niet, maar het kan wel: een arts kan straks via het LSP medische gegevens inzien van iedereen, zonder al te veel technische hordes. Achteraf krijgt hij er problemen mee, maar dan is het kwaad al geschied.

De vrees van het CBP voor onterechte inzage is niet ongegrond, kijkend naar het aantal zorgverleners dat inzage heeft in het LSP. Officieel hebben op den duur alle zorgverleners met een behandelrelatie inzage, maar iedereen die rechtstreeks betrokken is bij de behandeling, heeft ook recht op inzage voor zover het nodig is voor de taakuitoefening.

Het Nictiz-rapport over de haalbaarheid van controle op de behandelrelatie heeft een mooie opsomming: verpleegkundige, doktersassistente, fysiotherapeut, artsen uit het gezondheidscentrum, patholoog, apotheker, vakgenoten die om advies wordt gevraagd, coassistenten, studenten, biochemici, fysici, paramedici, diëtisten, spelbegeleiders op een kinderafdeling, secretaressen, functionarissen belast met het feitelijk beheer van het patiëntendossier, functionarissen belast met de financiële afwikkeling. Daarnaast zijn er nog vervangers van al deze mensen en ICT-medewerkers die een UZI-pas (Unieke Zorgverlener Identificatie) krijgen.

De zorgverlener met de behandelrelatie – de dokter – moet ervoor zorgen dat al deze mensen niet onterecht gegevens inkijken en dat ze over de gegevens zwijgen. Dat kan hij regelen met een verklaring omtrent het gedrag, het laten tekenen van een geheimhoudingsplicht en het weigeren van toegang voor tijdelijke medewerkers. Tegelijkertijd is de dokter bij invoering van de wet verplicht om zich aan te sluiten bij het LSP en gegevens van patiënten beschikbaar te stellen. Nu is aansluiting bij het LSP nog vrijwillig. 

Toezicht is de kern
Afgezien van de UZI-pas kan de techniek de patiënt dus niet beschermen tegen onterecht inzien van zijn gegevens. Toezicht is daarom extra belangrijk. Dat erkennen alle partijen, maar over wie het moet doen, verschillen de inzichten. In november 2005 circuleren verschillende kandidaten: CBP, de IGZ, Nictiz, de NZa en op lagere niveaus EPD-auditors, patiënten, functionarissen gegevensbescherming en regionale en lokale toezichthouders bij zorginstellingen.

Een rapport van Interpay, tegenwoordig Equens geheten, uit oktober 2006 geeft uiteindelijk de doorslag. Het bedrijf dat de betalingsgegevens uitwisselt – ook privacygevoelig –
maakt een ronde langs de Inspectie voor de Gezondheidszorg (IGZ), koepelorganisaties, zorgverleners en de architecten van het EPD voor zijn advies. Toezicht en certificatie vormen de kern van vertrouwen van de patiënt, aldus Interpay. De nadruk ligt volgens het bedrijf te veel op privacy, terwijl de betrouwbaarheid van de gegevens belangrijker is. En de IGZ is de aangewezen toezichthouder; die gaat nu ook al over de kwaliteit van zorg. De inspectie is echter niet toegerust voor deze taak, zegt Interpay er meteen bij. Ze mist bijvoorbeeld recht op inzage in medische gegevens, en dus ook in het LSP, al gaan er geluiden op om dat tegelijk met de nieuwe wetgeving te veranderen.

Het CBP is niet blij met het Interpay-rapport. De privacy delft opnieuw het onderspit en misschien nog wel belangrijker: Interpay heeft het college over het hoofd gezien bij het opstellen van het rapport.

Te weinig menskracht
De minister probeert de zaak te sussen in een brief uit maart 2007, door te ontkennen dat privacy onbelangrijker zou zijn dan betrouwbaarheid. Het CBP krijgt samen met het IGZ de taak om toezicht te houden. Met pen schrijft CBP-voorzitter Jacob Kohnstamm op de brief: ‘Wat mij betreft over en uit! Aannemen, geen verdere actie, oké?’

Het CBP is met drie leden en ongeveer 85 fte veel kleiner dan de IGZ, die zich al niet toegerust voelt voor deze zware taak. ‘Voor het specifiek toezicht op het EPD zal het CBP meer menskracht nodig hebben’, aldus een e-mail in mei 2007. En in vette letters: ‘Er mag dus niets worden gezegd over toezicht op het EPD door het CBP zonder dat we zekerheid hebben over middelen/capaciteit!’ De minster doet deze toezegging niet, en tot op de dag van vandaag vraagt het CBP om de extra middelen voor de toezichtstaak. Wel is er een samenwerkingsovereenkomst getekend met de IGZ, maar die is inmiddels alweer verjaard en concrete toezichtacties ontbreken.

Gelukkig helpt de minister een handje bij het toezicht. Het Nictiz wordt volgens de laatste conceptwet namelijk officieel beheerder van het LSP, en daarmee ook van de beveiliging van de gedeelde gegevens en de voorwaarden voor aansluiting van nieuwe zorgverleners. Het ministerie houdt toezicht op het Nictiz.

Vertrouwensmodel
De conceptwet voor het EPD, feitelijk een uitbreiding van Wet Burgerservicenummer in de zorg, ligt nog zeker tot april 2010 te wachten bij de Eerste Kamer. De senatoren kijken dan naar nieuwe inbreng van experts. Uit de documenten blijkt in elk geval dat het toezicht nog niet goed is uitgewerkt en dat de politiek daarvoor te weinig geld uittrekt. Belangrijke elementen uit het ‘vertrouwensmodel’ voor het EPD ontbreken hierdoor. Het vertrouwensmodel is ‘de samenhang tussen wetten, beveiliging, toezicht, communicatie en de keten van identificatie, authenticiteit, autorisatie en logging’.

Als medische gegevens in verkeerde handen komen, zal de patiënt met zijn claim ergens aan willen kloppen. Als niet helemaal duidelijk is waar het lek zich bevond, zal de patiënt snel naar de dokter terugkeren, die de gegevens immers in het LSP heeft neergezet. Hij was daartoe bij wet verplicht.

De KNMG vreest hierdoor voor de vertrouwensrelatie tussen arts en patiënt met het huidige voorstel voor het EPD, zo lieten ze de Eerste Kamer in een brief weten. De federatie vindt dat het toezicht nog niet goed is geregeld en voor de patiënt onduidelijk is. En dat geldt ook voor de aansprakelijkheid.

Heleen Croonen

Samenvatting

  • Door het ontbreken van technische barrières kunnen artsen straks via het landelijk schakelpunt (LSP) in alle medische dossiers kijken.
  • College Bescherming Persoonsgegevens (CBP) en Inspectie voor de
    Gezondheidszorg (IGZ) gaan samen toezicht houden. Ze zullen achteraf controleren op misbruik, en daar staan sancties op.
  • Het toezicht is in de huidige conceptwet nog niet goed uitgewerkt en er is te weinig geld voor.
  • Artsen genieten een groot vertrouwen, en lopen ook het risico om aansprakelijk te worden gesteld bij het lekken van gegevens.

Alle in het artikel genoemde documenten zijn te vinden via:

http://www.bigwobber.nl/2010/02/03/de-privacy-van-het-epd/

Via het Dossier EPD blijft u op de hoogte over dit onderwerp

Lees ook:


Klik op het plaatje voor een groter kader
Klik op het plaatje voor een groter kader
<strong>PDF van dit artikel</strong>
Op dit artikel reageren inloggen
Reacties
  • Er zijn nog geen reacties
 

Cookies op Medisch Contact

Medisch Contact vraagt u om cookies te accepteren voor optimale werking van de site, kwaliteitsverbetering door geanonimiseerde analyse van het gebruik van de site en het tonen van relevante advertenties, video’s en andere multimediale inhoud. Meer informatie vindt u in onze privacy- en cookieverklaring.