Met de afwijzing van het Elektronisch Patiëntendossier (EPD) door de Eerste Kamer is het nog niet gedaan met alle online platformen, databases en portalen met medische gegevens. Er zijn er zo’n vijftig bekend, die breed of in kleine kring worden gebruikt, vooral door medici en zorgverleners zelf. Ongeveer de helft daarvan is ook toegankelijk voor de patiënten zelf. En van die 25 zijn er zeker veertien niet adequaat beveiligd.

Het Nationaal ICT Instituut in de Zorg (Nictiz) heeft na het echec met het EPD in de Eerste Kamer de verdere ontwikkeling van de landelijke koppeling en ontsluiting van lokale databases met medische gegevens gekregen van de minister, die er zelf de handen vanaf heeft getrokken. Zo’n 80 procent van de apothekers, huisartsen en ziekenhuizen gebruikt die infrastructuur al.

Inventarisatie medische portalen

Nictiz heeft een inventarisatie gemaakt op welke manier zorgverleners medische gegevens toegankelijk maken voor patiënten en welke andere functionaliteiten zij bieden. Daaruit kwam naar voren dat er bijna vijftig leveranciers van portalen zijn, waarvan er 20 de medische gegevens toegankelijk hebben gemaakt voor patiënten. Op die medische portalen heeft het onderzoek zich verder gericht.

Uit dat onderzoek blijkt dat veertien van die portalen slechts één gebruikersnaam en wachtwoord gebruiken om de gebruiker te identificeren. Het rapport kwalificeert dat niveau van authenticatie als zwak. “Ja, dat vinden we een probleem”, zegt Ellen Havenaar, woordvoerder van Nictiz. “We zijn bezig met de ontwikkeling van een referentiemodel patiëntportalen, met omschreven standaarden, waarmee we hopen dat de betrokken aanbieders die omarmen en daarmee onder meer de veiligheid van de toegang verbeteren.” Zij wijst er wel op dat de aanbieders alle andere veiligheidsmaatregelen mogelijk wel goed hebben geregeld. "Maar wij hebben alleen gekeken naar de manier van toegang verschaffen tot de gegevens."

Zwakke beveiliging

Opvallend is dat aanbieders van dergelijke portalen, zoals Medlook, al in 2001 door de Registratiekamer, de voorloper van het CBP, zijn gewezen op de zwakke beveiliging. Sindsdien is er niets veranderd, maar heeft ook bijvoorbeeld het CBP de aanbieder van de medische database niet meer op de vingers getikt. Nu Medlook de gegevens ook via mobiele telefoons wil aanbieden, heeft Tweede Kamerlid Attje Kuiken (PvdA) daar vragen over gesteld aan minister Schippers van Volksgezondheid. Die zegt dat het aan het CBP is om te beslissen of er een nieuwe beoordeling op privacy-aspecten moet plaatsvinden.

De invoering van een standaardbeveiliging die voldoet aan de Wet bescherming persoonsgegevens (Wbp) moet dergelijke vraagstukken voorkomen. Nictiz wil de standaardbeveiliging brengen naar het zogeheten DigiD-plus, waarmee de gebruiker met zijn DigiD inlogt en vervolgens een sms’je krijgt met een nieuwe code ter authenticatie.

Gezondheid boven privacy

Met het beter beveiligen van de toegang tot de medische gegevens en het koppelen van die gegevens aan de achterkant via het BSN, zou de acceptatie van de opslag van medische gegevens bij het publiek worden vergroot, zo staat in het rapport. Daarin wordt geconstateerd dat veel mensen zich zorgen maken over hun privacy, maar dat een grote groep ook zegt dat gezondheid belangrijker is dan privacy. “Opvallend is dat dit vooral de burgers zijn die daadwerkelijk gebruik maken van de gezondheidszorg en dus direct gebaat zijn bij een goede gegevensuitwisseling.”