Deze blogpost is gebaseerd op een ronde tafel gesprek die ik maandag, samen met Jaap Dijkstra had met de Privacy werkgroep van Groen Links over het Elektronisch Patiënten Dossier (EPD).
Het doel van een ICT systeem bepaalt de functionaliteit, en de functionaliteit bepaald de uiteindelijke architectuur van het systeem. Privacy en security eigenschappen van het systeem zijn afhankelijk van deze architectuur. Bij het invoeren van een landelijk ICT systeem is het daarom belangrijk om transparant te zijn over de doelen, de daaruit voortvloeiende architectuur, en goed te kijken naar de consequenties van deze keuzes. Dit geld dus ook voor het EPD.
Voor het EPD zijn de twee belangrijkste doelen
Minder bekend is dat het EPD ook als doel heeft om als informatiebron te dienen voor allerlei onderzoeken van zorgverzekeraars, ziekenhuizen, en de farmaceutische industrie.
Hoe ziet een veilig en privacyvriendelijk EPD dat aan deze doelen voldoet er uit? Voor efficiëntieverhoging in de zorg is het voldoende om een min of meer standaard systeem op te zetten, dat het zorgverleners mogelijk maakt om direct onderling informatie uit te wisselen. Wel is het van belang dat bij ieder verzoek om informatie de patiënt expliciet toestemming voor deze uitwisseling wordt gevraagd. Dit is een wettelijke eis. Bovendien moet worden vastgesteld welke zorgverlener om de informatie vraagt, en of dat verzoek redelijk is. Dit laatste is de verantwoordelijkheid van de informatie verstrekkende zorgverlener. Dit vereist overigens een veilig systeem van identificatie en authenticatie van patiënten en zorgverleners, bij voorkeur gebaseerd op chipkaarten (of vergelijkbaar). Zo'n landelijke elektronische identiteitsinfrastructuur is op dit moment niet beschikbaar...
Voor directe toegang tot medische gegevens bij noodsituaties, bijvoorbeeld bij een ernstig ongeluk, is het niet redelijk om de (zwaargewonde) patiënt zelf om toestemming te vragen. Het is nog wel steeds essentieel om de identiteit van de patiënt met zekerheid vast te stellen. In die gevallen moet de zorgverlener direct bij de gegevens kunnen. Maar lang niet alle gegevens in het EPD zijn relevant bij noodsituaties. Sterker nog, slechts een beperkte set van gegevens (bloedgroep, allergiën, misschien medicijngebruik) is waarschijnlijk van belang. Bij inzage voor noodsituaties kan de toegang van de zorgverlener dus beperkt worden tot deze set gegevens (die vooraf, na uitvoerige consultatie met medisch specialisten en anderen, is vastgelegd). Daarnaast zal het systeem moeten bijhouden welke zorgverlener een beroep op de noodprocedure heeft gedaan, om misbruik achteraf te kunnen traceren.
Voor het doen van onderzoek gebaseerd op gegevens uit het EPD is het niet duidelijk hoe het systeem er uit zou moeten zien. Rechtstreekse toegang tot gegevens uit het EPD schaadt de privacy. Medische gegevens zijn immers extreem privacy gevoelig. Er bestaan wel technieken om deze gegevens eerst te anonimiseren en vervolgens op geaggregeerd nivo onderzoek te doen naar onderlinge verbanden, maar deze technieken zijn nog experimenteel. Het is daarom niet gewenst om deze functionaliteit toe te voegen.
Tenslotte nog twee andere punten die belangrijk zijn om te noemen. Ten eerste is de term Elektronisch Patiënten Dossier misleidend. Er is niet één dossier per patiënt. In plaats daarvan zijn er meerdere dossiers, die door verschillende zorgverleners gescheiden worden bijgehouden. Dit zal in de toekomst ook zo blijven: de zorgverlener zelf is immers verantwoordelijk voor zijn dossier. Ten tweede is de integriteit van de gegevens in een (deel)dossier waarschijnlijk een nog groter security probleem dan het confidentieel houden van die gegevens. Gegevens zijn immers vaak verouderd, verkeerd bijgehouden, en kunnen na overdracht aan een andere zorgverlener anders (en misschien verkeerd) geïnterpreteerd worden.
Ik denk dat we -heel vooruitstrevend- ook eens kunnen gaan nadenken aan een P2P architectuur. Waarbij een redelijk complex netwerk opgezet wordt om data uit te wisselen, maar de data altijd decentraal is opgeslagen. Om te beginnen zou het “gewoon thuis op mijn PC” kunnen staan. Naast mijn belastingadministratie en de foto’s van mijn katten. Maar de eigenaar (ik) kan ook kiezen het elders op te slaan, bij leveranciers van “EPD-hosting-diensten”, met bijvoorbeeld web-based frontends en dergelijke erbij.
Het EPD (epd.dat) van Anna is opgeslagen op de PC van Anna. Anna vertrouwt niemand behalve zichzelf. Het EPD van Bert is opgeslagen bij de “online EPD dienst” van zijn verzekeraar. Bert vertrouwt zijn verzekeraar.
Wanneer de huisarts, Henry, van Anna haar EPD wil inzien, stuurt Henry een read-request naar Anna. Anna kan deze goed- of afkeuren. Henry moet een key meesturen om te bewijzen dat hij Henry is. Huisarts Henry kan ook Update (willekeurige wijzigingen in het EPD), of Append (nieuwe records toevoegen) requests sturen.
Wanneer onderzoeker Otto een read-request stuurt, kan Anna dat eenvoudigweg negeren, weigeren of blokkeren. Of toestaan tot een deel van de data (zie verderop).
Voor Bert gaan diezelfde requests niet naar zijn thuisgeïnstalleerde client, maar naar een speciale, grote, “bulk” client gehost bij de verzekeraar. Deze grant, blocked of denied de requests voor Bert.
Een EPD kent “views”. Views, zijn door de eigenaar ingestelde toegangsprofielen. Zou zou ieder EPD standaard een “public” view kunnen hebben. Deze data is voor jan-en-alleman beschikbaar. Zal vooral dienst doen voor “discovery”, ofwel: waar kunnen we een specifiek EPD nu weer vinden.
Maar ook een view “emergency”, die heel beperkte informatie vrijgeeft over bloedgroepen, belangrijke waarschuwingen (diabeet, allergie etc).
En views die bijvoorbeeld zeer beperkte toegang geven tot bepaalde data; stel dat Bert wel wil deelnemen aan een onderzoek naar eiwitallergiën, dan geeft hij enkel zijn allergiedossier “view” aan de onderzoeker.
Bijgaand kan Anna de “grant” permissie (rechten om anderen rechten te geven) ook doorgeven aan derden. Bijvoorbeeld zou zij Henry, haar huisarts grant-permissies geven op haar “emergency”.
Een onderliggende technologie hiervoor zou bijvoorbeeld couchDB kunnen zijn.
Uiteraard ontbreekt hier nog veel (zoals GUIs, backups, beveiliging etceteras). Maar in elk geval zie ik veel kansen in een platte, distributed set-up. Waarin we allemaal volledige eigenaar blijven over onze data (en dus ook kunnen kiezen(!) deze data bij derden onder te brengen). Dit als tegenhanger van de standaard-denkwijze dat dit soort projecten altijd centraal en hiërarchisch opgezet moeten worden.
“Minder bekend is dat het EPD ook als doel heeft om als informatiebron te dienen voor allerlei onderzoeken van zorgverzekeraars, ziekenhuizen, en de farmaceutische industrie.”
Beste Jaap-Henk, kun je aangeven wat je bron is voor deze zin? In het afgewezen wetsvoorstel EPD stond dat het verboden is voor anderen dan de behandelaar(s) om toegang te krijgen tot medische informatie (zorgverzekeraars worden expliciet genoemd in artikel 13ha van de wet). http://www.eerstekamer.nl/wetsvoorstel/31466_elektronisch
Dit doel werd genoemd tijdens de ronde tafel discussie. Dit is misschien geen expliciet geformuleerd doel, maar wel een achterliggende motivatie voor zorgverzekeraars, ziekenhuizen, en de farmaceutische industrie om te streven naar een EPD.