Zowel MediSoft als de artsenfederatie KNMG vinden dat de invoering van het EPD te lang duurt. Het EPD zou al in 2006 worden ingevoerd. Volgens Ellen Havenaar, woordvoerder van het Nationaal Instituut in de Zorg (NICTIZ), wordt de vertraging niet alleen veroorzaakt door technische problemen (bron: Computable). Tijdens de Flash Law & IT Series (FLITS) werd al duidelijk dat het EPD de nodige problemen met zich mee zou brengen en een langdurig project zou worden.
Verslag van Steven Ras (ICTRecht):
Elektronisch patiëntendossier zo lek als een mandje? Over informatiebeveiliging, privacy en hoe nu verder, De Balie, 19 oktober 2005, 17.00-19.00 uur.
Woensdag 19 oktober vond in De Balie te Amsterdam op initiatief van de Nederlandse Vereniging voor Informatietechnologie en Recht de eerste Flash Law & IT Series (FLITS), plaats met als thema “het elektronische patiëntendossier”?. Het elektronische patiëntendossier (EPD) dat vanaf 2006 wordt ingevoerd, moet bewerkstelligen dat artsen over en weer elkaars dossiers over een patiënt kunnen raadplegen. Door gegevens te delen kunnen medicatiefouten worden voorkomen en wordt vermeden dat onderzoek dubbel wordt uitgevoerd. Dat maakt de zorg efficiënter en goedkoper, en voorkomt medische missers.
De FLITS werd geopend door Anro Lodder, afdelingshoofd Informaticarecht aan de VU, waarna hij aan Jan Willem Broekema, tot voor kort plaatsvervangend voorzitter van het College bescherming Persoonsgegevens (CBP), het woord gaf.
Jan Willem Broekema hield een inleidende presentatie over de Wet Bescherming Persoonsgegevens. Tijdens zijn presentatie werd aan de hand van een NIPO onderzoek aangetoond dat mensen zeer veel belang hechten aan medische gegevens. Tevens is het vertrouwen dat mensen hebben in de beveiliging van de medische gegevens erg groot. Een belangrijk aspect wat Broekema naar voren bracht, was het begrip “Privacy by Design”?. Door al bij het ontwikkelen van informatiesystemen de bescherming van persoonsgegevens als uitgangspunt te kiezen, is de kans op succes het grootst. Privacy by Design speelt volgens Broekema dan ook een belangrijke rol bij de ontwikkeling van grote ICT-projecten, zoals de invoering van het EPD.
Het EPD is voor sommigen een oplossing voor veel problemen in de gezondheidszorg. De Nederlandse publiciste Karin Spaink denkt hier anders over. Volgens haar kan het EPD anders en beter. Spaink beweert dat de opeenstapeling van functionaliteit het EPD alleen maar kwetsbaarder maakt. Elk stukje programmatuur wat erbij wordt gemaakt, maakt de programmatuur onoverzichtelijker. Daarnaast wordt met het EDP een link gelegd met de buitenwereld waardoor de systemen waarop de programmatuur draait nog kwetsbaarder wordt voor onbevoegden.
Twee ziekenhuizen hebben hun computersystemen door Spaink laten testen door een aantal beveiligingsbedrijven. De resultaten van deze tests waren schrikbarend te noemen. De computerexperts van de beveiligingsbedrijven wisten al vrij snel toegang te krijgen tot maar liefst 1,2 miljoen patiëntgegevens. Spaink kreeg de mogelijkheid om bloedgroepen te veranderen of lijsten van mensen met besmettelijke ziekten op te vragen. Als deze informatie naar buiten wordt gebracht door kwaadwillenden zijn de gevolgen niet te overzien.
Spaink deelt een soortgelijke mening met Broekema dat al bij de ontwikkelen moet worden gekeken naar de privacy en beveiliging. Beveiliging moet volgens Spaink in het meel zitten waarmee je bakt. Een hoeveelheid data met daar overheen een serie toegangscodes heeft geen nut.
Een ander probleem dat zich voor deed tijdens de tests was het feit dat de ziekenhuizen geen idee hadden dat de systemen door onbevoegden waren bezocht. Er heeft dus geen enkele monitoring plaatsgevonden. De beleidsmakers beweren dat het systeem hierdoor zou worden vertraagd.
Ziekenhuizen kunnen vanwege hun omvang nog een fatsoenlijke IT-afdeling opzetten, maar huisartsen hebben dat niet en moeten zelf over de nodige kennis beschikken. Deze systemen kunnen volgens Spaink nog makkelijker worden gehackt.Tijdens de afsluitende discussie kwam nog een aantal onderwerpen aan de orde.
Broekema kreeg de vraag over de rol van het CBP bij de handhaving van privacy. Het probleem ligt in het feit dat het CBP pas achteraf de systemen kan toetsen. Broekema diende dan ook het verzoek in op het CBP al tijdens de bouw van een systeem het advies van de CBP in te winnen.
Zelf zag ik ook een probleem bij het personeel van de ziekenhuizen. Ik stelde de vraag over de scholing van het personeel om computerbeveiliging in acht nemen. In de meeste gevallen van datadiefstal gaat het immers om diefstal van data door iemand binnen de organisatie. Zowel Broekema als Spaink gaven aan dat dit een ernstig probleem vormt en dat het door de omvang van het EPD alleen maar toe zal nemen.Of het medisch geheim wel bewaard kan blijven in het elektronische tijdperk blijft vooralsnog een vraag waar weinig mensen een antwoord op kunnen geven. Er spelen immers veel factoren een rol. Wat voor de mensen tijdens deze FLITS wel duidelijk werd is het feit dat het beheer van de medische gegevens op dit moment te wensen overlaat. Daarom kan het EPD voorlopig maar beter zo beperkt mogelijk worden gehouden. De eerste FLITS kan een succes worden genoemd. De opkomt was goed en het onderwerp gaf aanleiding tot een aantal discussies.
