De politieke bezwaren van Eerste Kamerleden tegen het landelijk schakelpunt voor EPD’s spitsen zich toe op de kwaliteit van de beveiliging van de gegevens, privacyrisico’s voor patiënten en de mogelijkheden voor patiënten om zelf de regie te voeren over hun gegevens in de EPD-systemen van hun zorgverleners. Het op landelijke schaal toegankelijk maken van de digitale patiëntendossiers vergroot volgens enkele Eerste Kamerleden de kans op fouten en misbruik door het ‘leger van zorgprofessionals’ dat toegang tot de gegevens zou krijgen.

Heleen Dupuis, senator voor de VVD, zei tegen het einde van het debat dat er hoop is, maar niet voor dit wetsvoorstel, ‘dat te weinig doordacht is en te vroeg een landelijk EPD verplicht stelt’. “Wij vinden de Nederlandse overheid te weinig precies, te overmoedig, te onbescheiden en te weinig respectvol jegens de privacy van de burger.”

Waslijst van vragen en antwoordenHet debat van 15 maart krijgt op verzoek van minister Schippers aanstaande dinsdag zijn vervolg. Dan is het erop of eronder voor de wettelijke basis onder, en de verplichte deelneming aan het landelijk schakelpunt. Eerste Kamerleden gaven de minister een waslijst vragen over het LSP en EPD mee. Afgelopen dinsdag schreef de minister de Eerste Kamer een brief van zestien kantjes, waarin ze veel van de vragen beantwoordde.

Over de beveiliging van de EPD-gegevens schrijft de minister dat systematisch wordt gecontroleerd of de betreffende burger bezwaar heeft tegen het opnemen van zijn gegevens in een EPD. Ook wordt gecheckt of er sprake is van een behandelrelatie tussen opvrager en patiënt en moet een (waarnemend) arts zijn patiënt toestemming vragen voor raadpleging van diens gegevens in zijn EPD dat bij zijn eigen huisarts ligt opgeslagen. Een UZI-pas in combinatie met een zescijferige pincode en een autorisatiemechanisme geeft huisartsen toegang tot een set huisartswaarneemgegevens, een uittreksel van het lokaal opgeslagen EPD. Apothekers, huisartsen en specialisten krijgen met de UZI-pas slechts toegang tot iemands medicatiegegevens. Om misbruik van gegevens tegen te gaan, kan toegang alleen verkregen worden vanuit het computersysteem van de eigen instelling.

In de brief schrijft de minister over het bezwaar van PvdA-fractielid Ing You Tan, dat de landelijke schaalvergroting een leger van zorgprofessionals toegang geeft tot de patiëntengegevens met navenante risico’s van misbruik, het volgende: “Opvragingen zijn tot op medewerkerniveau herleidbaar en controleerbaar. Misbruik van het EPD wordt door een strafrechter of tuchtrechter bestraft. EPD’s blijven lokaal bij zorgverleners opgeslagen en niet centraal bewaard. Het opvragen is beveiligd en het opvraaggedrag wordt permanent bewaakt. Loggegevens binnen het LSP worden continu automatisch geanalyseerd om afwijkingen en misbruik te detecteren. Het LSP is zo ontworpen dat beheerders geen medische gegevens kunnen opvragen.”

Openstaande vragenNa het lezen van de brief van de minister blijven er nog vragen over. Hoe veilig is de autorisatieprocedure met de UZI-pas? Kan een bezitter van een UZI-pas zonder beroepsmatige aanleiding de medische gegevens van een bekende Nederlander als Gordon opvragen? Volgens Bart Jacobs, hoogleraar Computerbeveiliging van de Radboud Universiteit Nijmegen, is de beveiliging van het LSP met de UZI-pas ‘technisch adequaat’. Hij zegt zich eerder zorgen te maken over de organisatorische aspecten van het LSP dan de technische beveiliging. “Een huisartsassistent met UZI-pas die ongeoorloofd gegevens van Gordon wil opvragen, kan dat vanwege de beperkte rechten niet met zijn eigen pas. Daar is de huisartspas in de praktijk voor nodig. Wil dat lukken, dan moet die huisarts onzorgvuldig met zijn pincode omgaan. Dat is dan een grove inbreuk van het arts-patiëntvertrouwen. Opvragingen via het LSP worden bovendien gelogd en gecontroleerd. Als Gordon de automatische sms-notificatie heeft geactiveerd, krijgt hij elke keer als zijn EPD wordt opgevraagd, daarover bericht. Zonder het LSP is het momenteel veel makkelijker om in een ziekenhuis iemands dossier ongeoorloofd in te zien, bijvoorbeeld via een openstaande terminal.”

De chip in de UZI-pas is afkomstig van NXP. Een vorige versie werd in 2009 gekraakt en is toen vervangen. De UZI-pas zorgt voor authenticatie en autorisatie en biedt de mogelijkheid een elektronische handtekening te zetten. Toegang tot het LSP vereist een daarvoor geschikte gepersonaliseerde UZI-pas, die ook nog eens vanaf een vastgesteld IP-adres werkt.

Volgens Hans van de Looy, directeur en principal security consultant bij beveiliger Madison Gurkha, lijkt de beveiliging van de UZI-pas heel behoorlijk. De UZI-pas is met diverse methodieken en certificaten beveiligd. Bovendien is extra software nodig om te kunnen communiceren met het LSP, en een servercertificaat. “Een zorgverlener zou wel het geheel kunnen kopiëren en op een ander systeem zetten”, zegt Van de Looy. Hij acht de kans dat dat ook werkelijk gebeurt in de medische wereld klein.

Ook de beveiliging rond het LSP lijkt redelijk op orde. De gegevens die het LSP transporteert, zijn tijdens dat transport versleuteld. “Maar die uitwisseling is maar een klein radertje in het systeem”, zegt Van de Looy. Hij vreest vooral de zwakke schakels aan het einde: de gebruikers. Wil het EPD-systeem werkelijk veilig zijn, dan moeten huisartsen, apotheken en ziekenhuizen hun systemen ook goed beveiligen. “En om het maar voorzichtig te zeggen: gemiddeld heeft de huisarts op de hoek echt minder aandacht voor de beveiliging van zijn pc dan de organisaties achter het LSP en de UZI-pas. Mijn EPD ligt al bij mijn huisarts. Maar is het daar ook veilig? Dat weet ik echt niet. Kijk naar je eigen huisarts, je apotheek en het ziekenhuis en trek dan je conclusies over de veiligheid van het EPD.”

Ook staat in het programma van eisen dat Nictiz heeft opgesteld voor de systemen die gekoppeld worden aan het LSP, niets vermeld over een versleuteling van opgeslagen gegevens. En precies daar zijn de medische gegevens van de patiënten. Dat maakt deze schakels wel heel erg zwak.

Aansluiting op het landelijk schakelpunt door zorgverleners gebeurt tot nu toe op vrijwillige basis. Volgens cijfers van Nictiz zijn op dit moment ongeveer 84 procent van de apotheken en 86 procent van de huisartsenposten in Nederland aangesloten op het LSP. Onder huisartsen ligt het percentage met 25 procent aanzienlijk lager. Van de 91 ziekenhuizen is 17,5 procent aangesloten. Als de Eerste Kamer net als de Tweede Kamer de wet aanneemt, worden de tot nu toe weigerachtige huisartsen gedwongen zich aan te sluiten op het LSP voor EPD’s.

Bart Jacobs doet minister Schippers voor het debat van dinsdag een tactische suggestie aan de hand: “Als de Eerste Kamer een regionaal systeem wil, kan de minister dat eenvoudig leveren door op de infrastructuur van het LSP, een serie virtuele regionale schakelpunten te realiseren. Beheerder Nictiz moet dan de uitwisseling regionaal beperken. Ik wil wedden dat de zorgverleners binnen een halfjaar massaal vragen om een landelijk schakelpunt voor EPD’s.”