Jaap-Henk Hoepman – on security, privacy and…

Deze blogpost is gebaseerd op een ronde tafel gesprek die ik maandag, samen met Jaap Dijkstra had met de Privacy werkgroep van Groen Links over het Elektronisch Patiënten Dossier (EPD).

Het doel van een ICT systeem bepaalt de functionaliteit, en de functionaliteit bepaald de uiteindelijke architectuur van het systeem. Privacy en security eigenschappen van het systeem zijn afhankelijk van deze architectuur. Bij het invoeren van een landelijk ICT systeem is het daarom belangrijk om transparant te zijn over de doelen, de daaruit voortvloeiende architectuur, en goed te kijken naar de consequenties van deze keuzes. Dit geld dus ook voor het EPD.

Voor het EPD zijn de twee belangrijkste doelen

• efficiëntieverhoging in de zorg, en
• directe toegang tot medische gegevens bij noodsituaties.

Minder bekend is dat het EPD ook als doel heeft om als informatiebron te dienen voor allerlei onderzoeken van zorgverzekeraars, ziekenhuizen, en de farmaceutische industrie.

Hoe ziet een veilig en privacyvriendelijk EPD dat aan deze doelen voldoet er uit? Voor efficiëntieverhoging in de zorg is het voldoende om een min of meer standaard systeem op te zetten, dat het zorgverleners mogelijk maakt om direct onderling informatie uit te wisselen. Wel is het van belang dat bij ieder verzoek om informatie de patiënt expliciet toestemming voor deze uitwisseling wordt gevraagd. Dit is een wettelijke eis. Bovendien moet worden vastgesteld welke zorgverlener om de informatie vraagt, en of dat verzoek redelijk is. Dit laatste is de verantwoordelijkheid van de informatie verstrekkende zorgverlener. Dit vereist overigens een veilig systeem van identificatie en authenticatie van patiënten en zorgverleners, bij voorkeur gebaseerd op chipkaarten (of vergelijkbaar). Zo’n landelijke elektronische identiteitsinfrastructuur is op dit moment niet beschikbaar…

Voor directe toegang tot medische gegevens bij noodsituaties, bijvoorbeeld bij een ernstig ongeluk, is het niet redelijk om de (zwaargewonde) patiënt zelf om toestemming te vragen. Het is nog wel steeds essentieel om de identiteit van de patiënt met zekerheid vast te stellen. In die gevallen moet de zorgverlener direct bij de gegevens kunnen. Maar lang niet alle gegevens in het EPD zijn relevant bij noodsituaties. Sterker nog, slechts een beperkte set van gegevens (bloedgroep, allergiën, misschien medicijngebruik) is waarschijnlijk van belang. Bij inzage voor noodsituaties kan de toegang van de zorgverlener dus beperkt worden tot deze set gegevens (die vooraf, na uitvoerige consultatie met medisch specialisten en anderen, is vastgelegd). Daarnaast zal het systeem moeten bijhouden welke zorgverlener een beroep op de noodprocedure heeft gedaan, om misbruik achteraf te kunnen traceren.

Voor het doen van onderzoek gebaseerd op gegevens uit het EPD is het niet duidelijk hoe het systeem er uit zou moeten zien. Rechtstreekse toegang tot gegevens uit het EPD schaadt de privacy. Medische gegevens zijn immers extreem privacy gevoelig. Er bestaan wel technieken om deze gegevens eerst te anonimiseren en vervolgens op geaggregeerd nivo onderzoek te doen naar onderlinge verbanden, maar deze technieken zijn nog experimenteel. Het is daarom niet gewenst om deze functionaliteit toe te voegen.

Tenslotte nog twee andere punten die belangrijk zijn om te noemen. Ten eerste is de term Elektronisch Patiënten Dossier misleidend. Er is niet één dossier per patiënt. In plaats daarvan zijn er meerdere dossiers, die door verschillende zorgverleners gescheiden worden bijgehouden. Dit zal in de toekomst ook zo blijven: de zorgverlener zelf is immers verantwoordelijk voor zijn dossier. Ten tweede is de integriteit van de gegevens in een (deel)dossier waarschijnlijk een nog groter security probleem dan het confidentieel houden van die gegevens. Gegevens zijn immers vaak verouderd, verkeerd bijgehouden, en kunnen na overdracht aan een andere zorgverlener anders (en misschien verkeerd) geïnterpreteerd worden.