Er zijn nogal wat mensen die toegang krijgen tot het medische dossier. Wie geen bezwaar heeft gemaakt opent zijn of haar dossier voor een lange en brede lijst van mensen in de zorg. Dat omvat de verpleegkundige, doktersassistente, fysiotherapeut, artsen uit het gezondheidscentrum, patholoog, en apotheker.

Jan en alleman heeft toegang

Maar daarnaast ook vakgenoten die om advies wordt gevraagd, co-assistenten, medisch studenten, biochemici, fysici, paramedici, en diëtisten. En tot slot ook spelbegeleiders op een kinderafdeling, secretaressen, functionarissen belast met het feitelijk beheer van het patiëntendossier en functionarissen belast met de financiële afwikkeling, en mensen die rechtstreeks betrokken zijn bij de medische behandeling.

Bovendien zijn er nog de vervangers van al deze mensen en automatiseringsmedewerkers die UZI-passen krijgen. Verder is het mogelijk dat in bijzondere gevallen opsporingsambtenaren of een geheime dienst de gegevens vordert.

Dat wordt duidelijk na het bestuderen van documenten over de privacy van het Elektronisch Patiëntendossier (EPD). De documenten werden opgevraagd bij het College Bescherming Persoonsgegevens (CBP) met een beroep op de Wet openbaarheid van bestuur (Wob). Vervolgens is de informatie geanalyseerd in samenwerking met het tijdschrift Dat wordt duidelijk na het bestuderen van documenten over de privacy van het Elektronisch Patiëntendossier (EPD). De documenten werden opgevraagd bij het College Bescherming Persoonsgegevens (CBP) met een beroep op de Wet openbaarheid van bestuur (Wob). Vervolgens is de informatie geanalyseerd in samenwerking met het tijdschrift Medisch Contact.

Toezicht achteraf onmogelijk

Het liberale toegangsbeleid is bovendien gekoppeld aan een gebrekkig toezichtsysteem. De controle op misbruik wordt achteraf geregeld. Iedere keer dat een dossier wordt bekeken, logt het systeem dit. Ook het Ministerie van Volksgezondheid, Welzijn en Sport erkent dit probleem in een toelichting op de Wet die het EPD regelt. “Hoewel toezicht achteraf goed is vormgegeven, is het 'kwaad' dan al geschied. Immers, de gegevens zijn al ingezien. Over het algemeen zullen artsen hier integer mee omgaan en heeft de logging een remmende werking."

De regels zijn volgens het ministerie wel duidelijk. Er mag alleen dan in het dossier worden gekeken als er sprake is van een behandelrelatie tussen arts en patiënt. Maar in de adviesaanvraag aan het CBP erkent het departement ook meteen dat dit technisch eigenlijk niet te controleren valt. Ook het NICTIZ (Nationaal ICT Instituut in de Zorg) ziet dit probleem na onderzoek.

Expliciete toestemming vaag

Het CBP is niet overtuigd en schrijft: “Het is onvoldoende dat achteraf kan worden vastgesteld dat iemand zijn boekje te buiten is gegaan en onbevoegd toegang heeft gekregen tot een medisch dossier. Nog daargelaten dat het waarschijnlijk onbegonnen werk is om al die loggegevens daadwerkelijk te controleren."

In de conceptwet staat dat geregistreerd moet zijn dat er een behandelrelatie is en anders moet dat expliciet door de zorgverlener verklaard worden. Noch het wetsvoorstel noch de toelichting vertelt hoe dat dan vorm moet krijgen. Technisch afdwingen van toestemming voor het inzien is ook niet geregeld. Het inzetten van een soort pasje met pincode (eNIK) zien de betrokken ambtenaren niet zitten, omdat dergelijke technologie te 'pril' is. In andere Europese landen is een dergelijk systeem echter wel in gebruik.

Niemand wil toezien

Welke instantie of functionaris dan toezicht gaat houden op misbruik van de EPD-informatie is al jaren een onbeantwoorde vraag. Niemand heeft er zin in. Er wordt in 2005 gedacht aan het CBP, maar ook de Inspectie voor de Gezondheidszorg (IGZ), Nictiz, en de Nederlandse Zorgautoriteit (NZa) passeren de revu. Verder wordt er gedacht aan toezicht rond zorginstellingen door weer andere partijen: EPD-auditors, patiënten zelf, functionarissen gegevensbescherming, en regionale en lokale toezichthouders bij de zorginstellingen.

Het probleem is en blijft dat eigenlijk niemand toezicht wil houden. Zo zijn het CBP en IGZ niet voldoende uitgerust zo'n taak op zich te nemen. Financieel dienstverlener Equens (toen nog Interpay) doet op verzoek onderzoek. Het komt tot de conclusie dat dit toch het IGZ moet worden, maar erkent dat die instantie dat niet kan en ook niet het recht heeft om in dossiers te kijken. Ook concluderen de onderzoekers dat er teveel nadruk op privacy wordt gelegd en dat de kwaliteit van gegevens meer aandacht verdient.

Vertrouwensrelatie

Uiteindelijk zal het misbruik worden voorkomen, stelt het ministerie, omdat er een combinatie zal zijn van "de samenhang tussen wetten, beveiliging, toezicht, communicatie en de keten van identificatie, authenticiteit, autorisatie en logging". Het Nictiz moet het daadwerkelijke toezicht regelen, maar hoe het dat gaat doen, wil de organisatie niet uitleggen. Het verwijst door naar het ministerie.

Wie er nou precies verantwoordelijk is als er bijvoorbeeld een datalek optreedt, blijft dus een groot probleem. Veel mensen zullen waarschijnlijk de arts, die de gegevens in het systeem zet, aanspreken. Artsenorganisatie KNMG ziet de bui al hangen en schrijft in een brief aan de Eerste Kamer dat het zich zorgen maakt over de vertrouwensrelatie tussen de arts en de patiënt.