Whitebox alternatief voor LSP
Amsterdamse huisartsen ontwikkelen veilig systeem voor informatie-uitwisseling
1 reactieUit onvrede met het Landelijk Schakelpunt (LSP) ging de Huisartsen Kring Amsterdam op zoek naar een veilig en werkbaar alternatief om onderling gegevens te kunnen uitwisselen. Het resultaat is een wit kastje dat de kritiekpunten op het LSP lijkt te ondervangen.
Voor veel patiënten is het anno 2015 onbegrijpelijk dat op de huisartsenpost of de Spoedeisende Hulp geen inzicht is in het dossier van de eigen huisarts en het medicatieoverzicht van de apotheek. Een andere groep daarentegen maakt zich zorgen over ICT-oplossingen die ten koste gaan van privacy. Het bestuur van de Huisartsen Kring Amsterdam (HKA) ijvert sinds 2008 voor een regionaal systeem waarbij veiligheid en privacybescherming vooropstaan. De HKA stemde in 2013 op de ledenraad van de LHV tegen doorgaan met het Landelijk Schakelpunt (LSP), net als bijna de helft van alle kringen. Uit een peiling van de HKA onder haar leden, begin 2014, bleek meer dan driekwart van de huisartsen – ook huisartsen met een LSP-aansluiting – een voorkeur te hebben voor een regionaal alternatief voor uitwisseling van gegevens met de huisartsenpost. Dit was voor de HKA aanleiding om de mogelijkheden voor een alternatief te onderzoeken.
Controle
Het resultaat is de Whitebox: een wit kastje dat eigendom is van de arts en op de praktijk staat. Het is via het netwerk gekoppeld aan het eigen huisartseninformatiesysteem (HIS). Na eenmalige koppeling met de huisartsenpost kan een huisarts gegevens van patiënten aanmelden. Deze gegevens kan een dienstdoende huisarts met zijn of haar UZI-pas rechtstreeks opvragen bij het HIS, via de Whitebox. De inhoud van de ontsloten gegevens (de professionele samenvatting) kan variëren van minimaal tot uitgebreid (zie kader ‘De Amsterdamse pilot’). Zo kan de huisarts van de patiënt de inhoud van de uitwisseling aanpassen aan de situatie van de patiënt.
De Whitebox geeft zorgverleners een grote mate van controle over de ontsluiting van de gegevens van hun patiënten. Het systeem wil heel transparant zijn: de arts heeft zelf de controle en kan daarom naar de patiënt toe volledig helder maken welke gegevens opvraagbaar gemaakt worden, voor wie en waarom. In de toekomst kan de patiënt zelf ook direct online inzien welke gegevens gedeeld worden – als de patiënt dat wil, kan hij zijn zorgverlener om een account vragen waarmee gegevens (eventueel tijdelijk) zijn in te zien. Indien relevant kan de patiënt langs deze weg ook opmerkingen of aanvullingen en correcties terugsturen naar de arts.
Verschil
De Whitebox werkt met ‘push-autorisatie’. Hierbij krijgt een direct betrokken zorgverlener een autorisatie – die eruitziet als een hyperlink, een URL – waarmee alleen deze zorgverlener gegevens kan ophalen, rechtstreeks bij de Whitebox. Dit gebeurt via een van begin tot eind (end-to-end) beveiligde verbinding – rechtstreeks naar de bron dus. In de toekomst zullen ook andere partijen zoals apothekers, zorgverleners in de ketenzorg of een specialist op deze manier heel gericht geautoriseerd kunnen worden om gegevens op te vragen.
In tegenstelling tot andere systemen kan gegevensuitwisseling ook plaatsvinden met artsen met een ander systeem, binnen maar ook buiten een regio: een URL is overal bruikbaar. Eén van de bijzonderheden van de voor de Whitebox ontwikkelde standaard is dat deze ook autorisatie in ketens mogelijk maakt – op een controleerbare manier. Zo kunnen autorisaties ‘de patiënt’ volgen, zodat gegevens beschikbaar zijn waar dat nodig is, maar nergens anders.
Het verschil met bestaande regionale en landelijke systemen is dat bij zulke systemen vaak een grote groep zorgverleners aangesloten is, waarvan iedereen met een bepaalde ‘rol’ – zoals ‘huisarts’, ‘apotheker’ of ‘gynaecoloog’ – gegevens kan opvragen. Bij dit soort zogeheten ‘pull’-systemen autoriseert de opvragende partij in wezen zichzelf. Hierbij is een toets op het bestaan van een behandelrelatie essentieel; deze relatie – die aan de opvragende kant ligt – is echter niet vast te stellen door het bevraagde systeem. Daardoor is dit systeem makkelijk te misbruiken door hackers of andere kwaadwillenden om onbevoegd toegang te nemen.
Pull-systemen kennen geen gerichte autorisatie van één of enkele specifieke zorgverleners, zoals bij de Whitebox. De grootte van toegang maakt veel uit: hoe groter het aantal rollen en zorgverleners die gegevens kunnen opvragen, des te groter het risico op ongeoorloofde opvragingen of hacks. Bij de Whitebox worden deze risico’s op voorhand zeer beperkt, want alleen specifieke betrokken zorgverleners krijgen toestemming – van de eigen arts of in sommige gevallen van een reeds geautoriseerde partij – om gegevens op te vragen.
Behalve dat de toegang (‘push-autorisatie’) van de Whitebox anders is dan bij andere systemen, is het niet aan één leverancier gebonden en volstrekt schaalbaar. Hoewel het systeem nu nog alleen met TetraHIS en Call Manager werkt, is het ontworpen om te kunnen communiceren met elk systeem.
Het systeem biedt ook juridisch optimale bescherming
Optimale bescherming
Veel systemen, inclusief het LSP, opereren letterlijk buiten de praktijk. Hierbij heeft de individuele zorgverlener die gegevens ontsluit, feitelijk niets meer te zeggen over wie toegang krijgt tot de gegevens van de patiënt. Toch is de zorgverlener verantwoordelijk voor niet alleen de kwaliteit van het dossier, maar ook voor de ontsluiting én voor de geheimhouding van het dossier. Bovendien moet de patiënt een afweging kunnen maken tussen beschikbaarheid van gegevens en de bescherming daarvan. De huisarts kan helpen bij deze afweging, maar daarvoor moet hij wel de instrumenten in handen hebben. De Whitebox is zo’n instrument.
Gegevens kunnen worden uitgewisseld zonder afhankelijkheid van een extern systeem, en met volledige controle door de dossierhouder. Zowel de autorisatie als het opvragen van gegevens gaat rechtstreeks van zorgverlener naar zorgverlener. Doordat de arts volledige zeggenschap heeft over wie toegang tot welke gegevens krijgt, biedt het systeem ook juridisch een optimale bescherming. Doordat de schaal van toegang beperkt blijft, bestaat er bovendien minder risico dat bij een inbraak heel veel gegevens inééns kwetsbaar raken.
Tot nu toe was er geen alternatief voor het LSP en is het daarom begrijpelijk dat veel huisartsen en apothekers daarvoor hebben gekozen. De HKA is ervan overtuigd dat de Whitebox de kritiekpunten op het LSP ondervangt en dat het goede mogelijkheden biedt voor communicatie in de zorg, zónder dat daarbij de privacy van patiënten in gevaar komt.
De Amsterdamse pilot
Zo’n twintig huisartsen in Amsterdam (die TetraHIS gebruiken) hebben nu een Whitebox om te communiceren met de huisartsenpost Amsterdam. Dit najaar wordt in een pilot de techniek getest en onderzoek gedaan naar de mening van patiënten en artsen over het systeem. Voor de pilot is een nieuw soort ‘professionele samenvatting (PS)’ ontwikkeld. Deze ‘minimale PS’ bevat veel minder gegevens dan de standaard-PS van het LSP, die minimaal vier maanden werkbladregels bevat. De kans dat daar zaken in staan die niet relevant zijn voor het consult op de huisartsenpost en wel privacygevoelig zijn, is aanzienlijk. De minimale PS bevat veel minder werkbladregels en alleen de met een attentiewaarde gemarkeerde episodes. Deze PS vermindert ook het risico van ‘informatieoverload’ en zal tijdens de pilot worden onderzocht. Ook een meer uitgebreide PS dan de standaard-PS is mogelijk, als de situatie daarom vraagt.
Meer informatie: hka-pilot.nl
De Whitebox in vijf stappen
1 De Whitebox wordt geleverd per post of met een installatieservice, en wordt direct in het netwerk van de arts geplugd. Vervolgens kan de huisarts het huisartssysteem aan zijn Whitebox koppelen.
2 De huisarts stuurt, via de Whitebox, een registratieverzoek naar de huisartsenpost. Na goedkeuring stuurt de hap een autorisatiecode naar de huisarts, per post. Na invoeren van de code is de koppeling met de hap gereed.
3 De huisarts kan patiënten via een snelmenu in TetraHIS bij de hap aanmelden.
4 Toegang gebeurt normaal gesproken met UZI-passen. Logging van toegang vindt plaats op de hap én op de Whitebox bij de huisarts.
5 De huisarts kan de aangemelde samenvattingen zelf ook inzien, via zijn Whitebox.
Hein Thiel
huisarts, bestuurslid Huisartsen Kring Amsterdam
Stella Zonneveld
huisarts, voorzitter Huisartsen Kring Amsterdam
Guido van ’t Noordende
onderzoeker informatica, Universiteit van Amsterdam en oprichter Whitebox Systems
Guido van 't Noordende werkt al jaren als onderzoeker aan de Universiteit van Amsterdam op het gebied van beveiliging van gedistribueerde systemen, waaronder het epd/LSP. Hij is oprichter van de start-up die de Whitebox ontwikkelt.
contact: bestuur@huisartsenkringamsterdam.nl ; cc: redactie@medischcontact.nl
Geen belangenverstrengeling gemeld
Lees ook
- Interactief dossier geeft patiënt de regie (4 juni 2015)
- Huisartsen maken app voor inzage dossier (4 sept 2014)
- Een alternatief voor het LSP (13 maart 2014)
- Online inzage in eigen dossier werkt (21 nov 2013)
W. van der Pol
ziekenhuisapotheker en counselor, Delft
Het zou wat zijn, zeg, wanneer het sceptische en de weerwil van huisartsen met dit witte kastje tot het verleden gaat behoren. Hoe lang hebben zij niet gewerkt met het excuus-kastje van de privacy. De gegevens van patienten waren bij de huisartsen no...oit volledig. De patienten werd nooit wat gevraagd, terwijl ondertussen Nictiz en talloze softwarehuizen kapitalen opslokten. Gaat het nu echt goed komen? De patiënt kan nu eindelijk gaan kiezen. Ik wil zeker een dokter met een wit kastje (altijd nog beter dan de witte jas, bedenk ik me).