Dit blijkt uit een onderzoek dat in februari en maart is uitgevoerd door het College Bescherming Persoonsgegevens (CBP). De privacywaakhond heeft onderzoek gedaan bij twee regionale EPD's (elektronische patiëntendossiers) die reeds in gebruik zijn. Het gaat om die van de Centrale Huisartsenpost Gorinchem (CHP) en die van de Stichting Schakelpunt Informatie Transmurale Zorg Midden-Holland (SPITZ-MH). De twee zorginstellingen bedienen in totaal 250.000 patiënten.

Misstanden

Daaruit komen twee grote misstanden naar voren. Mensen die niet opgenomen willen worden in een landelijk EPD, kunnen al wel - zonder het te weten - zijn vastgelegd in een regionaal EPD. "De onderzochte initiatieven informeerden patiënten niet persoonlijk over de opname van hun gegevens in het regionaal elektronisch patiëntendossier", meldt het CBP.

Daarnaast blijkt dat de toegang tot de medische data niet goed is beveiligd. Die privacygevoelige informatie zou alleen toegankelijk moeten zijn voor de behandelend arts, maar dat is niet sluitend geregeld. Ander medisch personeel kan ook toegang hebben tot de medische gegevens. Bovendien wordt daar niet op gecontroleerd. Raadplegingen van het systeem worden wel gelogd, maar er vindt geen structurele controle plaats of dat wel behandelende artsen en hún patiënten betreft.

"Dit is zorgwekkend omdat het de uitwisseling van medische gegevens betreft die per definitie privacygevoelig zijn. Mensen moeten worden geïnformeerd over de opname van hun gegevens in een regionaal EPD en er op kunnen vertrouwen dat alleen de behandelend arts toegang heeft tot hun medische gegevens." Het College zegt dat de nu geconstateerde onrechtmatigheden niet per se van toepassing zijn op andere regionale EPD's, maar dat het wel aanwijzingen heeft dat privacyschendingen ook elders voorkomen.

Meer kritiek

Eerder deze maand hekelde de Consumentenbond het EPD al. De privacy van patiënten is slecht beschermd en de aansprakelijkheid bij datalekkage is onduidelijk. Ook schort het volgens de Consumentenbond aan goede informatievoorziening. Die weten vaak niet wat de consequenties zijn van wel of juist niet instemmen met deelname aan het EPD.

Die onwetendheid is ook al aangestipt door Nederlandse Patiënten Consumenten Federatie (NPCF) die TNS NIPO een onderzoek naar het EPD heeft laten doen. Daaruit blijkt dat Nederlandse burgers wel vertrouwen hebben in het elektronisch patiëntendossier. Dat vertrouwen is gestoeld op relatieve onwetendheid. Webwereld heeft dit alles eerder al op rij gezet.

De TNS NIPO-onderzoekers zien ook beveiligingsproblemen en daarmee het risico van privacylekken. De NPCF is een overkoepelende patëntenvereniging, maar is via het Fonds PGO financieel verbonden aan het ministerie van Volksgezondheid. Dat fonds is een unit van het CIBG wat een uitvoeringsorganisatie is van het ministerie dat het EPD nu doorvoert.

Britse blunders

De privacygevaren van EPD's zijn niet beperkt tot Nederland. In Groot-Brittannië is in de eerste vier maanden van dit jaar al veel informatie 'gelekt' door de nationale gezondheidsdienst NHS. De medische gegevens van tienduizenden Britse burgers zijn bij 140 beveiligingsschendingen naar buiten gekomen. Dat zijn meer 'security-incidenten' dan die van alle andere Britse overheidsinstanties bij elkaar opgeteld, weet dagblad The Independent te melden.

Die krant baseert dit op informatie van de Britse tegenhanger van het CBP. Information Commissioner Richard Thomas van die instantie waarschuwt dat zorgpersoneel te laks omgaat met persoonlijke gegevens. De datalekken kwamen onder meer door het wegdoen van computers met nog dossiers erop, zoals in Nederland Officier van Justitie Joost Tonino al is overkomen. Daarnaast zijn cd's, dvd's of usb-sticks met versleutelde data weggegooid of gestolen waarbij de encryptiesleutel op een notitievelletje eraan vast was geplakt.