Nederland moet aan het elektronisch patiëntendossier, het EPD. Nu is het nog zo dat als je in een ziekenhuis belandt, de kans erg groot is dat de behandelend arts niet over al je gegevens beschikt. Een deel ervan ligt nog op de afdeling waar je de vorige keer was, of in een ander ziekenhuis. En wat je huisarts, de bedrijfspsycholoog en de bloedbank allemaal over je weten, is zéker niet bekend. Dit kan heel vervelend uitpakken. Je loopt een grotere kans op extra onderzoeken, bijvoorbeeld omdat ze nu nog steeds je bloedgroep niet weten, of je krijgt pillen waar je allergisch voor bent, je been wordt eraf gehaald terwijl je voor een ooglidcorrectie kwam, enfin, dat soort narigheid. Om dat te voorkomen en om de bijbehorende budgetten wat zinniger te kunnen gebruiken zijn een paar knappe koppen op het idee gekomen om een landelijk dekkend patiëntendossier te maken. Nou ja, dat hebben we van het buitenland afgekeken. En passant moet het EPD ook de wachtlijsten oplossen, evenals de effecten van de vergrijzing, het tekort aan zorgverleners en zorgcapaciteit en de onbeheersbare kosten. In 2009 moet het EPD in ons land een feit zijn.

Het EPD vormt de grootste ICT-operatie in de vaderlandse geschiedenis. Alle zorgverleners, van ziekenhuizen tot apothekers, en alle verzekeraars worden gekoppeld aan een systeem dat meta-informatie over alle burgers bevat. Via deze meta-informatie krijgt de gebruiker toegang tot alle brokjes informatie die her en der over een patiënt geregistreerd zijn. De toegang tot het EPD wordt beveiligd met smartcards en het PKI-trucje. Oftewel, de authenticatie is keurig geregeld.

De discussies omtrent privacy bij het EPD worden vaak gesmoord met de mededeling dat het 'slechts een elektronische versie' is van wat er toch al vastgelegd werd. Dit is strikt genomen waar, maar gaat voorbij aan het essentiële verschil met papieren dossiers: toegang. In securitytermen: de autorisatie. Een papieren dossier zal niet zo snel in 50.000 exemplaren bij jan en alleman op het bureau gekwakt worden. Bij een digitaal dossier doe je dat bijna per definitie – behalve als je daar maatregelen tegen treft. Waarbij je moet zorgen dat iemand die de gegevens wél nodig heeft, er zonder vertraging bij kan.

Het risico dat de meeste mensen bij het EPD zien, is dat verzekeraars onoorbare dingen kunnen uithalen met de kennis die in de medische dossiers zit – het klassieke autorisatievraagstuk. Nu is er zeker wat voor te zeggen om het risico van de meest vatbare typjes uit je polissen te kunnen managen – dan kun je de premies tenminste concurrerend houden zonder aan de marges te komen. Dit risico heeft voor de rechtstreeks betrokkenen (zorginstellingen, medici en verzekeraars) niet voldoende aanleiding gevormd om écht strikte beveiligingsmaatregelen te eisen op het gebied van autorisatie voor het EPD. Dergelijk misbruik zou immers gewoon niet voorkomen en bovendien, technisch zal het erg lastig zijn, zeggen de IT-specialisten. Dus er is afgesproken dat volstaan kan worden met procedurele maatregelen, 'geborgd' met controle achteraf. Er is echter meer aan de hand. Niet alleen de cliënten, ook sommige betrokkenen kunnen klappen krijgen - in het bijzonder de artsen.

Op 18 juni 2007 heeft het College Bescherming Persoonsgegevens (CBP) op verzoek van het Ministerie van VWS een advies ingediend over de beveiliging van patiëntgegevens in het EPD. Het CBP is stelt dat alleen zorgverleners die op dat moment bij de behandeling zijn betrokken, toegang mogen krijgen tot het elektronische dossier. Dat is op dit moment niet zo. In de discussies rond het EPD wordt vaak als uitgangspunt genomen dat dit soort behandelingsgebonden - dus dynamische – autorisatie op digitale patiëntgegevens technisch niet haalbaar is. De stand van zaken in ICT is op dit moment dat we al behoorlijk tevreden met onszelf zijn als we de juiste statische autorisaties tot computersystemen kunnen uitdelen - en we gaan al helemaal aan de champagne als we die weer op tijd kunnen intrekken. Aan de granulariteit van dynamische autorisatie op délen van informatie en gegevens binnen applicaties zijn we nog nooit toegekomen.

Op dit moment ligt er een wetsvoorstel bij de Raad van State voor het EPD. Het lijkt er op dat maatregelen om 'need to know' en daarmee patiëntvertrouwelijkheid te waarborgen, niet afgedwongen zullen worden en het advies van het CBP zal worden genegeerd. Nu kun je natuurlijk beweren dat medici gewend zijn de privacy van patiënten te respecteren en dat is voor het overgrote deel ook zo. Al was het alleen maar omdat de aandoening van een patiënt alle aandacht (en tijd) trekt en het privéleven van de patiënt niet. Je bent niet mijnheer van Baalen, maar 'die dubbele botbreuk met complicaties', zeg maar. Maar het kan ook anders gaan. Bijvoorbeeld wanneer de patiënt een bekende Nederlander is. Dan slaat de nieuwsgierigheid tóch toe, zoals bij de politie gebeurde toen voetballer Robin van Persie beschuldigd werd. Het dossier bleek voor veel medewerkers van de politie toch té interessant om met rust te laten. De bijbehorende publiciteit was erg vervelend voor de politie. Maar goed, burgers kunnen niet zelf een ander politiekorps kiezen. De bedoeling van marktwerking in de zorg is dat burgers echter wél een ander ziekenhuis kunnen kiezen.

Het CBP heeft het ministerie al in een eerder stadium de suggestie gedaan de technische uitvoerbaarheid van dynamische, behandelingsgebonden autorisatie te laten onderzoeken. Het ministerie is echter (nog) niet overgegaan tot het laten uitvoeren van een dergelijk onderzoek, en gegeven dat de wet al door het kabinet goedgekeurd is en bij de Raad van State ligt, zal dit ook wel niet meer gebeuren. Dit is een gemiste kans, want voor een dergelijke voorziening zijn de meeste informatie-bouwstenen met het Burgerservicenummer BSN, het UZI register van medici en de diagnose-behandelcombinatie (DBC) al lang voorhanden. Alleen is er geen kant-en-klaar product beschikbaar. De technologie bestaat vooral niet omdat er geen vraag naar is geweest, waarschijnlijk omdat het op dat moment niet bestond. Typisch een kip en ei verhaal. Het lijkt mij echter bepaald niet onmogelijk iets dergelijks te bouwen met een workflowaanpak en ik vermoed dat de politie na de zaak Van Persie ook wel geïnteresseerd is in een dergelijke oplossing. Het VIR-BI schrijft immers ook het Need To Know beginsel voor, wat blijkbaar nog niet overal ingevoerd is. En de ultieme kandidaat is het Elektronisch Kind Dossier, dat blijkbaar straks voor deze en gene in jeugdzorg en onderwijs zonder Need To Know toegankelijk is. Dit dossier bevat nog veel gevoeliger informatie dan het gemiddelde EPD. Nu is er al geklaagd dat er alleen medische informatie in zou staan – blijkbaar is geloofsovertuiging of het wonen aan open water een ziekte. Sla de basisset er maar op na.

Maar goed, terug naar het EPD. Het niet voorschrijven in de wet van de dynamische autorisatie tot patiëntgegevens lost het échte probleem niet op: artsen zijn als vrije beroepsbeoefenaars in hoge mate aansprakelijk voor fouten. Op dit moment laat minister Klink van VWS een onderzoek uitvoeren naar de aansprakelijkheid bij medische missers. Volgens Klink kunnen artsen die het elektronische dossier van hun patiënten niet goed bijhouden, boetes krijgen, maar ook uit hun ambt worden gezet. Een interessante stelling, want wat is goed? Gegeven dat het EPD ook 'clinical notes', oftewel kladjes en geheugensteuntjes zal moeten bevatten, is het stellen van een dergelijke kwaliteitseis dapper te noemen. Bedenk je dat als je diagnostische kladjes of observaties tijdens behandelingen de toets der kritiek moeten kunnen doorstaan – en je je carrière kunnen kosten, je ze heel wat minder snel en gedetailleerd zult maken. En zéker niet op een plek zult opslaan waar iedereen bij kan.

Diagnostische- en behandelnotities zijn geen objectieve informatie; het is ontstaan in een context en moet geïnterpreteerd worden. In het denken over het EPD wordt medische informatie echter gezien als absoluut bewijsbare informatie die eenduidig is en niet interpretatiegevoelig. Nu is dit een selffulfilling prophecy: artsen zullen het risico mijden door alleen de 'objectieve werkelijkheid', dus het minimum aan informatie, vast te gaan leggen in het EPD. De dossierplicht voor hulpverleners (Artikel 7:454 BW, wet op de geneeskundige behandelingen) schrijft immers niet in detail voor wat er vastgelegd moeten worden. De kans is dan ook groot dat veel relevante informatie niet in het EPD terecht zal komen maar in andere registers, die voor eigen gebruik worden gehouden. Of in het geheel niet vastgelegd worden. Waardoor de beoogde kwaliteitsverbetering van de zorg door de invoering van het EPD wel eens behoorlijk tegen zal kunnen vallen. Voor de geïnteresseerden in deze materie geeft de oratie van de Leidse hoogleraar klinische informatiekunde Zwetsloot fascinerende stof tot nadenken.

Bij het EPD zijn medische missers niet het enige risico dat artsen lopen. Bedenk je dat, zolang niet traceerbaar is wie er allemaal toegang tot de dossiers kan krijgen of – belangrijker nog - gekregen heeft, het verantwoordelijk stellen van de arts een wassen neus is. Hoe kan deze ooit aantonen dat de dossiers goed bijgehouden zijn als weet ik wie er allemaal in kunnen krassen en poetsen? Daarom moeten de medici aandringen op een wettelijke borging van de bescherming van patiëntgegevens in het EPD op de manier zoals het CBP dit adviseert.

Dit is niet de zaak van zorgverzekeraars of de IT-afdelingen van zorginstellingen, de clubs die een mildere vorm van regulering voorstaan. Zij draaien hooguit op voor de kosten van herstel van de fouten in de informatie, zolang ze zich tenminste aan de regels hebben gehouden. Artsen lopen buitenproportionele risico's; uit het ambt gezet worden is als sanctie even wat anders dan een negatieve beoordeling door de Inspectie voor de Volksgezondheid. Ja maar, zo’n oordeel kan zelfs op het Internet gepubliceerd worden. Nou, nou, dat komt aan. Zelfs al zou de instelling moeten opdraaien voor de kosten van extra behandelingen en het smartengeld moeten betalen, valt dit in het niet bij wat een medicus kwijt kan raken, zeker een jongere arts. Daarbij is geld van je baas kwijtraken van nogal andere ordegrootte dan uit eigen zak betalen. De kosten van het uitgebreid inspectiecircus zoals dat nodig is in de huidige opzet, zullen ook niet meevallen. Dit soort ‘borgende kwaliteitsinstrumenten’ leidt in de regel tot een bureaucratie en een starheid waar de oude sovjets jaloers op zouden zijn.

Vergelijk het 'verliezen' van patiëntgegevens met een beleidsambtenaar die ontslagen wordt omdat hij onbedoeld wat staatsgeheimen gelekt heeft. Deze laatste wordt misschien ook ontslagen (en zijn screening kwijtraken), maar hij zal zijn vaardigheden elders kunnen inzetten. Medici zijn technisch specialisten; zij kunnen weinig anders dan waar ze voor opgeleid zijn. Zij zullen een ander vak moeten kiezen, of emigreren. Gezien deze sanctie zijn patiëntgegevens categorisch geheimer dan de identiteit van onze spionnen. Of dit allemaal wel zo reëel is, mag je je wel even afvragen.

Gelukkig kan het management rond de zorg nog wel wat slimme mensen absorberen, dus in de bijstand zullen de uit het ambt ontzette artsen niet snel komen. Maar het gaat in ieder geval niet bijdragen tot het verhelpen van het tekort aan artsen.

Een alternatief voor de arts is van de zorginstelling een verzekering te eisen tegen de schade uit een dergelijk scenario - zoiets als de gangbare verzekeringen voor de bestuurders tegen claims van wanbestuur. Dan kan een andere verzekeraar vervolgens de ICT afdeling en het bestuur weer verzekeren tegen claims van de eerste verzekeraar.

De mega-operatie om het EPD in te voeren is zonder deze losse eindjes uit beveiligings- en informatieland al zeer ambitieus. Al zou het op tijd lukken, dan hebben we op deze manier hooguit een systeem met zeer beperkte voordelen, tegen torenhoge kosten.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter