Koepelorganisatie VZVZ wil dat Nederlanders een half jaar langer in het elektronische patiëntendossier blijven, omdat op 1 januari 2013 het landelijke schakelpunt (LSP) alleen nog maar EPD's van patiënten die expliciete toestemming geven mogen gebruiken. Dat zijn er nu nog maar 400.000. Via het LSP is er nu toegang tot 8 miljoen dossiers en daarom wordt de termijn voordat deze worden afgesloten met een half jaar opgerekt.

Voorstanders van het EPD gingen de afgelopen weken de discussie over het patiëntendossier aan, maar door het ontbreken van technische details en schimmigheid over de privacygevoeligheid, liep het uit op een complete PR-nachtmerrie.

De afgelopen weken verschenen er berichten over onder meer huisartsen die worden betaald voor het registreren van patiënten, berichten over hoe patiënten die niet deelnemen op minder vergoeding konden rekenen, het gebrekkige autorisatiemodel dat het EPD onveilig zou maken en hoe Amerikanen mogelijk kunnen datagraaien bij patiëntgegevens. Kamervragen werden gesteld, voor- en tegenstanders gingen in de clinch, en plannen werden opgeschort.

Noodzaak veilige patiëntendossiers

Er moet een beter systeem komen om patiëntgegevens te verwerken, omdat momenteel dossiers versplinterd zijn over verschillende behandelaars (bijvoorbeeld ziekenhuizen en apotheken) en veelal in verouderde systemen zijn verwerkt. Een landelijk systeem dat betere veiligheidsvoorwaarden eist, zou ervoor moeten zorgen dat deze houtje-touwtje-systemen op orde worden gemaakt. Patiëntendossiers moeten dus door het EPD juist veiliger worden, stellen de voorstanders.

De plannen voor het EPD stuitten op veel verzet en het voorstel sneuvelde vorig jaar in de Eerste Kamer. De senatoren maakten zich zorgen om de privacy en hadden kritiek op het landelijke schakelpunt. Omdat één landelijke database weerstand opriep, werd een systeem bedacht met regionale schotten waarbij het LSP als een soort verwijsregister fungeert. Hierdoor kunnen behandelaars enkel lokale gegevens oproepen en is er van een centrale database geen sprake meer.

Amerikanen graaien EPD-data

Onder de Foreign Intelligence Surveillance Act (FISA) kan de Amerikaanse overheid onder het breed gedefinieerde mom 'national security' alle gegevens opvragen die een Amerikaans bedrijf bezit. Het landelijk schakelpunt voor het EPD wordt uitgevoerd door het Amerikaanse ict-bedrijf CSC. Hierdoor kan de Amerikaanse overheid mogelijk neuzen in Nederlandse dossiers, meldt de NOS.

Koepelorganisatie van behandelaars VZVZ zegt bij monde van bestuurder Edwin Velzel een verklaring te hebben van CSC dat de organisatie zich zal houden aan de Nederlandse wetgeving. Hoogleraar Internationaal Recht Geert-Jan Knoops liet op het NOS-journaal weten dat de Amerikaanse wetgeving voor een Amerikaans bedrijf voor de Nederlandse wet gaat en dat daarom de belofte zinloos is. Minister Schippers wacht ondertussen de gesprekken af tussen CSC en de VZVZ om te zien welke afspraken er nu precies zijn gemaakt.

Schippers is er overigens niet gerust op en belooft privacywaakhond CBP in te schakelen om de relatie tussen ict-dienstverlener CSC en het LSP uit te zoeken. Het College Bescherming Persoonsgegevens beoordeelt of privacygevoelige informatie niet beschikbaar is voor derden. “Voor mij staat buiten kijf dat niemand, noch een persoon, noch een natie, in het medisch dossier van een patiënt moet kunnen kijken als deze daarvoor geen toestemming heeft gegeven", schreef Schippers deze week naar de Tweede Kamer.

Op de volgende pagina: Nog steeds geen technische toestemming van patiënten.

De informatie die bij deze discussie ontbreekt is: kan de Amerikaanse aannemer überhaupt bij patiëntgegevens? Webwereld heeft hierover al enkele dagen vragen uitstaan bij het Ministerie van Volksgezondheid, Welzijn en Sport. CSC levert software aan om de infrastructuur te beheren, maar het is onduidelijk welke diensten het bedrijf nog meer levert, bijvoorbeeld monitoring van datastromen. En of de dienst beschikking heeft tot encryptiesleutels.

Gebrekkig autorisatiemodel

De inzagekwestie van de Amerikanen is niet het enige probleem dat het LSP parten speelt. Ook het autorisatiemodel roept vragen op. Behandelaars kunnen informatie opvragen van patiënten via het schakelpunt met hun eigen smartcard, de UZI-pas. Een tweede autorisatievorm ontbreekt, bijvoorbeeld wanneer patiënten een tweede pas hebben. De toestemming die patiënten in het huidige model geven, is een juridische waarborg en geen technische autorisatie. Hierdoor blijft misbruik op de loer liggen.

PvdA'er Lea Bouwmeester onderstreept dat de partij alleen voor het EPD is als het systeem veilig is. Bouwmeester maakt zich zorgen over de onduidelijkheden die momenteel bestaan. “De PvdA vindt dat er harde garanties geboden moeten worden aan patiënten over veiligheid en privacywaarborg", schrijft het Kamerlid. “Het lijkt alsof terechte bezwaren van patiënten, ICT experts, mensen uit het veld en de politiek compleet worden overschaduwd door mensen die alleen de voordelen noemen", stelt Bouwmeester.

Bal bij minister

Dat het huidige systeem met losse EPD's aan verbetering toe is, bleek afgelopen week toen het Openbaar Ministerie bekendmaakte de 62-jarige fractievoorzitter van de partij 50Plus te zullen vervolgen wegens het hacken van een regionaal EPD. 50Plus-Kamelid Henk Krol werd gewezen op een zwakte in een Brabant systeem, waardoor de gegevens van andere patiënten waren in te zien. Hij verzamelde hiervan bewijs en stapte naar Omroep Brabant, tot woede van Justitie die heeft besloten het Kamerlid aan te pakken.

De bal ligt nu bij minister Schippers die het CBP onderzoek wil laten doen naar de privacybescherming van het LSP. Ondertussen blijven patiënten verspreid over verschillende patiëntendossiers liggen. De VZVZ stelt dat het LSP veilig is en dat er hackers op los worden gelaten om te testen of het systeem gekraakt kan worden. “Dat is op heden nog niet gelukt", twitterde VZVZ-bestuurder Edwin Velzel vorige week waarin hij hackers uitnodigt om het te proberen. Wat overigens strafbaar is.