Gepubliceerd: Woensdag 21 januari 2009
De Tweede Kamer ziet snelle landelijke invoering van het elektronisch patiëntendossier (EPD) niet zitten. De datum van 1 september lijkt zelfs de PvdA te vroeg.
Toon volledig artikel
Het middel heiligt de doelen. Eerst wordt bedacht dat er een EPD moet komen, daarna pas waarom en hoe. Het plan is onvolledig, slecht doordacht en slecht uitgevoerd. Het is niet eens duidelijk waar je precies bezwaar tegen aantekent. Je maakt bezwaar tegen een plan dat nog niet eens volledig behandeld is in de tweede kamer.
Typische de politiek. Geen flauw benul van ICT en de complexiteit van dit soort projecten. Het is juist politiek die ICT projecten doet mislukken.
Hoog tijd voor meer schapen met 5 poten... adviseurs aan de politiek die zowel thuis zijn in beleidsadvisering als IT-ontwikkeling. Aangezien die schapen doorgaans niet van nature geboren worden, moet je aan het DNA sleutelen. M.a.w. schop eens een paar Rijkstrainees en jonge wetgevingsjuristen naar Leiden of Eindhoven voor een college informatie-analyse, schop ze daarna naar Tilburg voor een college informatierecht en laat ze vervolgens in een pool frequent rouleren tussen e-overheidprojecten. Dan komt het over 5 tot 10 jaar allemaal wel goed.
Veiligheid, beveiliging en privacy lijken niet van meet af aan in het ontwerp te zijn meegenomen als randvoorwaarden en/of eisen. Zoals zo vaak te zien is in projecten, zijn dat elementen van een sausje dat er later overheen gegoten wordt.
Zo ... nu voldoen we aan de eisen.
Vandaar dat er nadien zoveel lekken gevonden worden
De GroenLinks-fractie opperde 'hackers' los te laten op de EPD-systemen om zo een beter beeld te krijgen van de beveiligingsrisico's.
Nu weet ik nooit precies wat "hackers" zijn, dat schijnt altijd iets met hardware en software te maken te hebben.
Maar zou het niet ook een logische optie zijn om in ieder geval ook boven tafel te krijgen welke beveiligingsrisico's de talloze medewerkers (fulltime, partime, intern, extern et cetera) in de gezondheidsketen vormen.
Vooraf graag - en niet pas als een boze ex-stagiair*) door een USB stick met allerhand spannende medische info van bobo's de persaandacht heeft.
*) disclaimer: ik heb uiteraard niets tegen stagelopers (m/v)
In juni 2008 heb ik als hacker (lees: universitair student System and Network Engineering) onderzoek gedaan naar het Landelijk Schakelpunt (LSP), de verwijsindex die centraal staat binnen het EPD.
Technisch gezien zit het best aardig in elkaar. Sommige dingen hadden beter gekund (end-to-end encryption i.p.v. het LSP als intermediair bij het doorsturen van medische gegevens), maar aan de oppervlakte ziet het er goed uit: de ontwerpers van het systeem waren niet twee prutsers op een zolderkamertje.
Maar techniek is het probleem niet. Het systeem en alles daaromheen opzich is onwenselijk. Medische gegevens worden al jaren digitaal opgeslagen, onveiliger dan nu vereist wordt. Maar in de centrale toegang zit de onwenselijkheid. Een lek in de infrastructuur kan enorme impact hebben. Miljoenen dossiers kunnen door één lek gecompromiteerd raken. En reken maar dat er lekken zijn, want zelfs in openBSD en Debian GNU/Linux zitten regelmatig lekken.
Je moet niet zoveel gevoelige informatie ontsluiten via één systeem. Dat gaat geheid een keer fout.
Ik begrijp uit eerdere berichten dat de EPD interface web-based zou zijn. Dit lijkt mij uiterst risico vol. Een dedicated applicatie, evt in enkele uitvoeringen, afhankelijk van wie er mee werkt (arts of droogist bv) welke via encrypted data over het internet de gegevens uitwisseld. Dan moet een kwaad willende al over de juiste applicatie beschikken als mede inlog gegevens.
Verder kan je in zo'n applicatie ook zorgen dat de data niet, of iedergeval gecontroleerdt, afgedrukt kan worden. als mede dat de data het programma niet uitkan dmv opslaan of copy-paste.
Voor de toegangs passwoorden zijn ook apps welke zorgen dat dmv eisen en pass verloop geregeld nieuwe wachtwoorden moeten worden ingevoerd door de gebruiker, en dat hetsysteem ook een back log aanhoud en controleerdt of deze wachtwoorden niet herhaald worden en/of te veel op elkaar lijken. anderzijds kan je ook met een token systeem als bv het systeem dat de Rabobank hanteerdt gebruiken. Ook netjes met 2 of meer login niveaus: regulier inloggen tbv inzien, verhoogd niveau tbv data wijzigen, nog een niveau tbv afdrukken, ..., ... .Naast zo'n login geld ook voor de zorgverlener een biometrie inlog zodat je niet (stikum) met de login gegevens van een coleaga inlogen kan.
Als de overheid wil dat wij de burger ook ons eigen dosier in kunnen zien kunnen ze in ziekenhuizen en gemeentehuizen wel enkele systemen plaatsen waar je dmv o.a. biometrie kan inloggen.
Deze biometrie dient eigenlijk ook gebrukt te worden om een zorgverlener toegang te verschavven tot je data. Staat er gelijk geregistreedt wie je behandeld, hun weten gelijk met wie ze te doen hebben (EHBO) en er is een koppeling tussen die verzorger/arts waardor hij/zij bij jouw gegevens kan, tot de casus gesloten is. dus niemand anders dan de behandelend artsen, drogist e.d. kan dan uberhaubt je gegevens opvragen, aan passen enz..
En voor de data opslag.. er zijn huidig al document beheer systemen welke een revisie verleden bijhouden. Zo kan je dus evt. ook, op speciaal verzoek, oudere versies kunnen inzien en vergelijken en terugzetten als om e.o.a. rede de meest recente versie fout/corrupt blijkt te zijn.
En wanneer een arts zijn pc laat aan staan, waarbij het EPD scherm nog actief is.
of zit daar een timeout op van 10 min? Als een kwaadwillende daar inbreekt ( meeste huisartsen praktijken zijn niet zwaar beveiligd. ), of wanneer een arts zijn username paswoord op een stick it papiertje schrijft en op zijn beeldscherm heeft geplakt ?
dan ligt ook alle informatie voor het oprapen.
Het systeem kan nog zo goed softwarematig beveiligd zijn, hoe zit het met de beveiliging
van de fysieke systemen zelf, uit persoonlijke ervaring weet ik dat het vrij makkelijk is om een datacentrum met een smoes binnen te komen en eenmaal binnen is er alle vrijheid om eens op de systemen te rommelen en achterdeurtjes te plaatsen of om administrator toegang te creeeren.
vragen vragen vragen.
Je onderschrijft precies mijn twijfels bij het EPD.
Als ik de informatie goed heb begrepen dan heeft iedere zorgverlener met een zorgpas (100000+) toegang tot alle medische gegevens van iedereen. Als een zorgverlener gegevens opvraagt dan wordt dit geregistreerd, maar op dit punt geldt er nog geen beperking welke gegevens de zorgverlener kan zien. Pas achteraf wordt geconstateerd of er sprake is van misbruik en worden er eventueel disciplinaire maatregelen genomen.
Dus iedere zorgpas en/of PC van zorgverlener in Nederland is een potentieel beveiligingsrisico voor het gehele EPD. Het is leuk dat je achteraf kun constateren dat de PC van zorgverlener X is gekraakt of dat zijn zorgpas is gekopieerd.
Dit soort gevallen kun je nog terug herleiden naar een specifiek persoon, maar doe je dit op afdelingen in ziekenhuizen waar een PC gedeeld wordt door de hele afdeling?
Zie mijn reaktie enkele reakies hier boven...
Toegang tot iemands gegevens:
enkelt als er een zorgverlener-patient relatie is.
Alleen zolang als dat de behandeling niet is afgerond.
De apotheek/drogist krijgt toegang tot je gegevens als de arts een recept voor je afgeeft en naar die drogist stuurt, dan wel als jij bij de drogist je recept komt afhalen (biometrie werkt hier niet altijd om dat bv je partner/ouder/kind de medicijnen afhaald). Dan kunnen ze mbv de info controleren of er conflicten zijn met andere medicijnen e.d.
toegang tot het systeem:
relatie vast leggen dmv (o.a.) biometrie van de patient.
De zorg verlener kan dus maar bij een beperkt aantal mensen hun gegevens.
zorg verlener krijgt toegang middels eigen biometrie en een token systeem.
standallone applicatie (multi platform) welke met full encryptie via internet op de server terecht komt.
zelf inkijken: op lokatie in het ziekenhuis, gemeentehuis, huisarts of apotheek, dmv o.a. biometrie.
Hiermee wordt het probleem met bv inbraak bij een huisarts omzeep geholpen omdat er dus geen biometrie vd arst is, als ook de chipcard/token niet welke niet op kantoor mag achterblijven.
Ook oop afdelingen in ziekenhuizen kan de biometrie beveiligig toegepast wordne. evt met bv en webcam in de gaten houden wie er achter het systeem zit. mbv van herkennings systemen kan het systeem herkennen als de gebruiker bij het systeem wegloopt zonder uitloggen, waardoor er automatisch wordt uitgelogt, met behoud van status. je sesie wordt dus zeg maar in suspend gezet waardoor je niet perse gegevens kwijtraakt.
Al deze systemen zijn al in gebruik. alleen de juiste instanties/bedrijven licentie geld geven en samenvoegen tot een gebruiks klare implementatie.
Voor wat betreft data mineing. Via weer een applicatie kan je zorgen dat alleen anonieme gegevens beschikbaar zijn. Die applicatie kan dus niet bij persoons velden als sofi, naam en telefoon nummers. maar bv wel bij regio informatie (postcode bv) zodat kan worden gekeken of bepaalde aandoeningen in bepaalde regio's veel voorkomen, of juist niet.
Misschien moeten ze eens projectmatig gaan werken bij de overheid?
- Je bedenkt dat je iets wilt doen.
- Vervolgens stel je een projectleider aan die alles in kaart brengt
- Vervolgens laat je door een externe partij alles controleren (risico analyse)
- En dan maak je een plan van aanpak, en concludeer je een invoermoment.
Dus niet gaan roepen, ik wil plan X, en het moet gisteren klaar zijn.
Overigens kan het EPD best in september klaar zijn, zolang er maar geen jaartal bij gezegd wordt ;-)
Er is onvoldoende draagvlak vanuit de hoek van de huisartsen. Het is vervolgens zeer verleidelijk en makkelijk om in te spelen op gevoelens van angst voor lekken van persoonlijke informatie. iets afbreken/afkraken is makkelijker dan iets bouwen. Bel; de krant bericht wordt direct geplaatst en Den Haag pikt het op.
Het politieke klimaat in Nederland is er momenteel ook naar dat ad hoc bestuurd en nagedacht wordt. Wat zullen we vandaag ook alweer doen...even in de krant lezen...ahhh Obama 100 miljard EPD, laten we nog eens naar ons EPD verhaal kijken.
Wat zou een kabinet en parlement een verademing zijn als ze paaltjes durven te slaan en die dan ook koste wat kost proberen vast te houden. Nu besluiten ze iets, daar worden middelen voor vrijgemaakt en vervolgens wordt na het lezen van de krant achteraf het paaltje los gelaten...dit kost ons domweg als maatschappij teveel belastinggeld:
- OV chip (NS zit nog op een pot van 500 miljoen maar doet niets)
- EPD (miljoenen geinvesteerd om vervolgens alles weer op losse schroeven te zetten)
- trajectcontrole/tolheffing autoweg
- etc etc..
NL is een adhocratie aan het worden....een parlement die verantwoording aflegt aan de krant en niet aan de burgers.
Los van: opt-out, ICT veiligheid, kosten, nieuwschierige zorgverzekeraars, infrastructuur, privacy aspecten en andere hekele punten blijft de hamvraag:
"Waarom een landelijk EPD?"
Volgens het ministerie van VWS om (medicatie)fouten te voorkomen.
Let wel: er zijn geen prospectieve studies bekend die het vermijden van fouten door een EPD beschrijven. Enkel retrospectieve studies waarin het aantal vermijdbare fouten wordt geschat. Vrijwel alle studies hameren ergens in de aanbeveleingen op adequate communicatie tussen zorgverleners, maar in de gebruikte algoritmes om vermijdbare fouten te schatten is communicatie meestal maar 1 radartje in het geheel aan ketenzorg. Sterker nog: de meeste studies betrekken hun data uit reeds bestaande ELEKTRONISCHE dossiers.
Verreweg de meeste patienten bezoeken een huisartsenpost of ziekenhuis in hun eigen regio, en op normale kantoortijden. Het is erg eenvoudig om een apotheek op te bellen en te vragen of bijvoorbeeld de actuele lijst met medicatie kan worden gefaxed naar het ziekenhuis (ja, de fax bestaat nog).
Dat de meeste beleidsmedewerkers zonder inhoudelijke kennis maar wat roepen blijkt zeer treffend uit het voorbeeld uit de EPD folder van het ministerie:
Een patient krijgt geen penicilline-antibioticum voorschreven door een waarnemend huisarts omdat het EPD een penicilline allergie beschrijft. Helaas is het de dagelijkse praktijk dat penicilline allergie door de eigen huisarts/specialist nooit worden geobjectiveerd m.b.v. een allergie-onderzoek. Gevolg: 80-90% van de patienten die zegt een pennicilline overgevoeligheid te hebben, heeft dat niet, en wordt vervolgens voor altijd uitgesloten van het gebruik van meer dan de helft van de beschikbare antibiotica. Daardoor neemt het gebruik van reserve-middelen toe en stijgt de resistentie van bacterien tegen deze reserve-antibiotica (JAMA. 2001;285(19):2498-2505). Een niet zo prettige bijwerking van het landelijke EPD.
Naar mijn verwachting zal het aantal vermijdbare fouten door het gebruik van een landelijk EPD niet dramatisch dalen. Als de fouten niet dalen schiet het EPD zijn doel voorbij, maar betalen we wel een hoge prijs in privacy en kosten.
Mijn kopje thee uiteraard....
Volgens het ministerie van VWS om (medicatie)fouten te voorkomen
En nu blijk dat eind vorig jaar door een software-update het Amerikaanse EPD de informatie van verkeerde patienten toonde, en de laatste opgeslagen gegevens niet toonde.
Dat kan heel nuttig zijn als je bij de eerste hulp binnengebracht wordt.
En wie wordt dan uiteindelijk verantwoordelijk gehouden: de arts, de verpleger, of de programmeur (die geen medicus zal zijn)?
Vroeger had je individuele fouten.
Nu kun je met een EPD hele bevolkingsgroepen treffen, b.v. doordat er een klein foutje ontstaat bij het laden van een tabel met medicijn-gegevens, met als gevolg dat het dossier naar een verkeerde set gegevens verwijst.
Vandaar de leus:
Zeg NEE tegen het EPD
Bij ons in de regio heb ik voor elk ding een andere huisarts (ze hebben allemaal een eigen specialiteit, of op vakantie, of ziek, of...).
In het weekend is er een aparte huisartsenpost die niets weet van mijn eigen huisartsenpost.
In mijn apotheek heb ik de zaken geregistreerd, die ik voor mijn verhuizing binnen de stad ook bij mijn vorige apotheek al geregistreerd had. Maar in het weekend kom ik bij de speciale weekendapotheek, en die weten niets van mijn apotheek af, en mijn apotheek kan dan ook niet faxen want is gesloten.
Ik kom in het ziekenhuis, en die maken rontgenfoto's en ik wordt op een bepaald moment doorgestuurd naar een ander ziekenhuis, en die beginnen weer met het maken van nieuwe rontgenfoto's.
Een EPD is een goed ding op zich, maar de toegang moet controleerbaar zijn. En ik als eigenaar van mijn dossier moet dat kunnen regelen door het verstrekken en intrekken van een machtiging.
In het weekend is er een aparte huisartsenpost die niets weet van mijn eigen huisartsenpost
Dus moet er een landelijk(!) dossier komen? Lijkt mij verstandiger dat huisartsen een beter overdracht systeem maken binnen hun regio
Maar in het weekend kom ik bij de speciale weekendapotheek
Dus moet er een landelijk(!) dossier komen? Lijkt mij verstandiger dat apothekers een beter overdracht systeem maken binnen hun regio.
Ik kom in het ziekenhuis, en die maken rontgenfoto's (...) nieuwe rontgenfoto's.
Dus moet er een landelijk(!) dossier komen? Er is echt geen indicatie om een rontgenfoto te maken omdat die niet voorhanden is in het 2e ziekenhuis. Doen ze dat wel, dan wordt u nodeloos blootgesteld aan rontgenstraling. Meestal is er een medische indicatie om opnieuw een foto te maken (bijvoorbeeld om progressie vast te stellen).
Mijn stelling blijft dus: een landelijk EPD draagt niet bij aan de afname van het aantal vermijdbare (medicatie)fouten.
Even het aangehaalde NRC artikel gelezen, waarvan hier het laatste stuk:
...... Willen we dat verzekeraars nog beter zicht krijgen op risicoprofielen om daarmee premies te kunnen verhogen? Hier liggen nog voetangels en klemmen, waarvan we ons nog niet bewust zijn. Na anderhalf jaar onderzoek kan ik ze niet overzien. Ik zou tegen de Kamerleden willen zeggen: stem niet in met het elektronisch patiëntendossier, zolang deze witte vlekken nog bestaan.”
Dus, eerst denken dan doen en niet omgekeerd.
Artikel Mensink in het NRC
BIOEFFECTS: Opnieuw onveilige Internet Burgers-Patiëntendossiers!
Beste @Medemens,
Wubby Luyendijk, ‘Poli op internet bij Erasmus MC’, nrc.nl, 12 januari 2009, < http://www.nrc.nl/binnenland/article2118341.ece/Poli_op_internet_bij_Erasmus_MC
Quote: < … > Door in te loggen op de website kunnen de patiënten hun behandeling digitaal volgen, chatten met lotgenoten en de laatste foto’s en uitslagen opvragen van hun longfunctie, bloedonderzoek en sputumkweken. Binnen een half jaar kunnen alle omstreeks 1.000 patiënten met deze aandoeningen op de virtuele poli terecht. Tegelijkertijd is het de bedoeling dat specialisten elektronisch medicijnen gaan voorschrijven en op den duur met huisartsen en apothekers via het portaal diagnoses, uitslagen, behandelplannen en ontslagbrieven uitwisselen. < … >.
Read full article
http://www.nrc.nl/binnenland/article2118341.ece/Poli_op_internet_bij_Erasmus_MC
---- ----
Hier nog wat meer over de Invasion of Privacy:
Mindcon, ‘Glazen huis … glazen lichaam … glazen brein … ?!’, volksopstand2008.nl, < http://www.volksopstand2008.nl/forum.html?func=view&catid=18&id=1472 >.
Hoogachtend.
Nou, ik ben er ook op tegen. Waarom niet iedereen een pasje geven met zijn medische historie? Als je dan ergens bij een arts of ziekenhuis komt etc. duw je die pas in de kaartlezer en kan de arts alles bekijken en eventueel updaten. Er kan in de pas desgewenst biometrie toegepast worden. Opslag in een centrale database is nergens voor nodig.
Een van de grootste voorstanders van het EPD zullen de zorgverzekeraars wel zijn die er ongetwijfeld ook toegang tot krijgen en je een 'op maat gemaakte' verzekering aanbieden.
Zoiets als een 'ZV' (Zorg Verzekering) kaart met vergelijkbare technieken en consequenties als met de OV kaart..?
Ooit was er privacy, later enkel nog tot achter de voordeur, met het EPD licht men je schedel, mag men je hersenfunctie scannen en 'publiceert' men de uitkomsten hiervan in een 'elektronisch' dossier.
(de uitkomsten van deze conclusie zijn niet gebonden aan feiten, hopelijk zullen de uitkomsten van deze conclusie nimmer een feit worden)
Het is nu als 'strafbaar' indien men geen ID kan tonen, de rest laat ik aan uw verbeelding over...
Plof...
zo'n pasje is niet up2date... terwijl je onder behandeling ben heb je je pasje toch gewoon bij je. de artsen e.d. passen ondertussen je dosier aan met bv lab onderzoek e.d. maar die data staat niet op je kaart bij geschreven, want die hebben ze niet. Daarom is een landelijk (internationaal) toegankelijk systeem wel zo handig. Je zou kunnen overwegen om de data decentraal bij de diverse bedrijven te laten en met een indexing service bijhouden wat waar te vinden is. Maar dat heeft als nadeel dat overal computers aan moetten blijven 24-7 om bij die data te komen. Dan is 1 goed opgezette data vault wel zo effectief qua snelheid en energie verbruik.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
