Minister moet informatievoorziening zorg vlot trekken

19 november 2010

Informatievoorziening is belangrijk voor de zorg. De patiënt komt op veel plaatsen, zoals bij de huisarts of de specialist in het ziekenhuis, en iedere zorgverlener wil weten wat elders is geconstateerd en wat de patiënt slikt. Dat inzicht biedt een geautomatiseerde administratie makkelijker dan een handmatige. En daarom ontstonden vanaf de jaren zeventig de ‘Zissen’ in de ziekenhuizen, in de jaren negentig de regionale informatie-uitwisselingen en vanaf 2009 de proeftuinen voor het landelijk EPD. Die proeftuinen zijn inmiddels met ruim twee miljoen dossiers uitgegroeid tot een van de grootste zorginformatiesystemen in ons land en groeien in rap tempo door.

Schaalvergroting van informatievoorziening verhoogt de eisen van privacybescherming en informatiebeveiliging, maar de aandacht daarvoor schoot enkele jaren geleden nog tekort. Na 2005 zijn meerdere partijen zich over dit probleem gaan buigen (zie kader).

Vijf jaar later, anno 2010, is veel energie in dit onderwerp gestoken maar de resultaten vallen nog tegen. Daarvoor zijn meerdere oorzaken aan te wijzen. Samenvattend is allereerst de huidige regelgeving te globaal waardoor de toezichthouder flink moet interpreteren, met als gevolg onaangename verrassingen voor het zorgveld en risicomijdend gedrag bij initiatieven. Ten tweede: het nadeel van globale regelgeving wordt deels opgevangen bij de ziekenhuizen doordat men zelf maatregelen ontwerpt aan de hand van risicoanalyses. Dat is goed, maar fundamentele verbeteringen worden daarmee niet bereikt. En daarvan zijn er meerdere nodig. Ten derde is men gestart regels te concretiseren met de conceptwet voor het landelijk EPD, die ook belangrijk is voor regionale informatievoorzieningen, maar na vijf jaar is het wetgevingsproces geheel tot stilstand gekomen in de Eerste Kamer. Op elk punt ga ik nu dieper in.

Voor een goed begrip van het eerste punt, de gevolgen van te globale regelgeving, moet men zich realiseren dat juist details het niveau van informatiebeveiliging en privacybescherming kunnen bepalen. De Wet bescherming persoonsgegevens (Wbp) werd door de NRC-journalist Kuitenbrouwer ooit een ‘omnibuswet’ genoemd met algemene, abstracte regels en ingewikkelde afwegingen voor de enorme verscheidenheid aan situaties waarin persoonsgegevens worden verwerkt. Om die wet te handhaven, moet het College Bescherming Persoonsgegevens (CBP) soms vergaand interpreteren, zoals de regionale zorgorganisatie Spitz-MH voor Gouda en omstreken tot haar schrik ondervond.

Spitz-MH startte een proefneming met regionale informatie-uitwisseling en maakte dat bekend met een advertentiecampagne in de lokale bladen. Dat alles nog op kleine schaal met een tiental artsen. Voor het CBP bleek een advertentiecampagne onvoldoende, patiënten moeten persoonlijk worden geïnformeerd. Spitz-MH werd op straffe van een dwangsom opgedragen om iedere patiënt een brief te sturen. Dit stelde de directie van Spitz-MH voor een dilemma, want kort daarvoor was verwarring ontstaan door een brief van de minister van VWS aan alle Nederlanders over het landelijk EPD. Nog een brief zou nog meer verwarring veroorzaken. Aanvechten van de veroordeling bij de rechtbank en de Raad van State was niet kansloos, maar zoiets is leuk voor advocaten die hun naam willen verbinden aan jurisprudentie, zorgverleners hebben meer te doen. De proef werd afgeblazen. De uitspraak van het CBP heeft gevolgen voor de vele waarneemgroepen van huisartsen, de samenwerkingsverbanden van apothekers, en de laboratoria die patiënteninformatie delen. Nog vrijwel niemand heeft persoonlijk aan de patiënt verteld dat zijn informatie met andere zorgverleners wordt gedeeld.

Om tot een uitgewerkt stelsel van privacynormen te komen, is de actie van het CBP een paardenmiddel. Het proces van jurisprudentievorming kost veel tijd en inspanning en beperkt zich tot het voorliggende ene punt, terwijl nog veel ongeregeld blijft, waaronder basale zaken zoals veilig aanloggen via internet en dergelijke. Ook suggereert een publieke veroordeling dat de veroordeelde instelling laakbaar handelt, terwijl het veeleer de overheid zelf is die de regelgeving niet verduidelijkt.

Als er geen gedetailleerde regels beschikbaar zijn, is een risicoanalyse een goede aanpak, want dan kan een zorginstelling aan de hand van geconstateerde risico’s zelf nagaan welke maatregelen nodig zijn. Het is dan ook begrijpelijk dat de Inspectie voor de Gezondheidszorg (IGZ) en het CBP risicoanalyses verplicht hebben gesteld voor ziekenhuizen. Een probleem van risicoanalyses is echter dat de aandacht vaak noodgedwongen uitgaat naar bestaande beveiligingsprocedures. Voor tal van procedures geldt dat pas met het inslaan van nieuwe wegen een tevredenstellend beveiligingsniveau wordt bereikt. Zo zijn in veel zorgomgevingen gebruikersnamen en wachtwoorden eigenlijk onwerkbaar door de vele applicaties met ieder een eigen wachtwoord. Eén sterk authenticatiemiddel zoals de UZI-pas voor alle applicaties is een betere oplossing, maar dit soort verbeteringen kan een individuele zorginstelling niet realiseren omdat daarvoor aanpassingen in vele applicaties nodig zijn, danwel fors geïnvesteerd moet worden in speciale programmatuur. De leveranciers van zorgsoftware maken helaas geen aanstalten om die aan te passen, met uitzondering van een klein aantal leveranciers dat software geschikt maakt voor de proeftuinen van het landelijk EPD.

Een ander voorbeeld is e-mail. In een risicoanalyse kan men constateren dat het versturen van patiëntgegevens via gewone e-mail onveilig is. Oplossingen zijn het verbieden van e-mail met patiëntgegevens of het invoeren van beveiligde e-mail voor de zorgomgeving rond het ziekenhuis. Het verbieden van e-mail met patiëntgegevens is onwerkbaar: buiten de zorg kan niemand meer e-mail missen en binnen de zorg is dat niet anders. Vanuit het ziekenhuis invoeren van beveiligde e-mail leidt tot wildgroei aan niet op elkaar aansluitende standaards voor beveiligde e-mail.

Centrale regelgeving en centraal vastgestelde standaards zijn zeer geschikt om te komen tot fundamenteel betere informatiebeveiliging. Bijvoorbeeld het wetsvoorstel voor het landelijk EPD geeft de minister mogelijkheden om de UZI-pas verplicht te stellen voor andere zorgsystemen dan het landelijke EPD. Helaas worden de regels voor het landelijk EPD controversieel geacht waardoor na jaren het wetgevingsproces tot stilstand is gekomen. Na vele maanden gedetailleerde bespreking, wil de Eerste Kamer extra beveiligingsmaatregelen van de minister. Een toezegging vereist analyse en planning, met verdere vertraging als gevolg. Op het moment van schrijven is een nieuwe minister van VWS aangetreden, wat extra tijd kan kosten, zeker als zij de conceptwet wil herschrijven. Om leemtes in de regelgeving op te vullen, wordt nu vanuit het zorgveld gewerkt aan gedragscodes voor zorgtoepassingen en handreikingen om uitspraken van het CBP te hanteren. Dergelijke initiatieven zijn lovenswaardig maar missen de regie en het vermogen om met stevige aanpassingen te komen, zoals wel verwacht kan worden van een ministerie in samenspel met de politiek.

De aarzelende houding van de Eerste Kamer is begrijpelijk. Een landelijk dossier voor alleen de medicatie is acceptabel, maar een landelijk elektronisch patiëntendossier is voor velen een brug te ver. Voor een elektronisch patiëntendossier zijn uitgebreidere beperkingen van toegang technisch goed uitvoerbaar: door bijvoorbeeld alleen toegang te geven aan de zorgverleners die betrokken zijn bij de behandeling, eventueel na verwijzing, maar het Landelijk Schakelpunt voorziet niet in die oplossing.

De tegenvallende ontwikkeling van informatiebeveiliging en privacybescherming hindert de ontwikkeling van informatievoorziening in de zorg. Dit is een vraagstuk van groot maatschappelijk belang omdat de kwaliteit en efficiëntie van de zorg hiermee grote stappen kunnen maken. Een stevige landelijke regie is de oplossing en de nieuwe minister van VWS staat voor de uitdaging om het proces van regelgeving weer vlot te trekken.

Jaap van der Wel is directeur van Comfort-IA.

Initiatieven

Voorbeelden van activiteiten voor betere informatiebeveiliging in de zorg: ▪ Het Nederlands Normalisatie-instituut (2005): publiceert de eerste versie van de norm voor informatiebeveiliging in de zorg, NEN7510.▪ De Inspectie voor de Gezondheidszorg (2007): inventariseert problemen met informatiebeveiliging en verplicht de ziekenhuizen om een risicoanalyse uit te voeren op hun informatievoorziening.▪ Het College Bescherming Persoonsgegevens (2008): constateert privacyproblemen met onder andere regionale EPD’s en legt dwangsommen op.▪ De Eerste Kamer (2009, 2010): houdt de wetgeving voor het landelijk EPD aan totdat de minister meer doet aan privacybescherming. Hoe dit wordt vervolgd, is op het moment van schrijven onduidelijk.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!