Na een moeizame start met veel twijfels, tegenstand, budgetproblemen en andere inertie lijkt het Elektronisch Patientendossier (EPD) nu toch op stoom te komen. De Tweede Kamer heeft nu net zijn goedkeuring gegeven aan het EPD. Ziekenhuizen, zorgverzekeraars, bejaardentehuizen, huisartsenposten en eenmanspraktijken gaan dus nu echt digitaal op elkaar aansluiten. Wat hierbij allemaal wel niet komt kijken, is al eerder belicht.

Dat de weg naar het EPD nog lang is, blijkt ook uit het recente rapport van de IGZ (Inspectie voor de Gezondheidszorg) en het CBP (College Bescherming Persoonsgegevens). Onderzoek door die twee organisaties heeft aangetoond dat de informatiebeveiliging bij twintig grote ziekenhuizen in Nederland niet op orde is. Webwereld ziet vijf hordes op de weg:

1. Techniek

De horde die als een van de eerste duidelijk werd, maar nog altijd staat. De daadwerkelijke ict van het EPD is geen opgelegd uniform automatiseringsplatform. Verschillende ziekenhuizen en zorginstanties gebruiken verschillende systemen. De plannen voor het EPD voorzien wel in standaarden voor de aansluiting van zorgsystemen én voor de uitwisseling van informatie daartussen.

We hebben het dus nog niet eens over de beveiling, maar over de 'gelijkschakeling'. In theorie kan ict dit juist oplossen, in de praktijk worstelt ict vaak zelf met de verschillen die het mogelijk maakt of zelfs veroorzaakt. In eerste instantie zal er vooral sprake zijn van aansluiting en indexering. In het EPD is dan dus zichtbaar welke informatie zich waar bevindt. Als er eenmaal voldoende zorginstellingen zijn aangesloten, kan er ook echt inhoudelijk worden gekoppeld. De planning daarvoor is echter nog niet gemaakt, valt nu ook niet te maken.

En dan is er nog de beveiliging van de techniek. Minister Ab Klink van Volksgezondheid wil die beveiliging nog eens laten testen door er hackers op los te laten. Het is nog niet bekend hoe dat moet gebeuren en wat voor tests dat dan moeten zijn.

2. Vertrouwen

Ondanks alle voorzorgsmaatregelen is er nog veel twijfel aan het EPD. Het EPD is zowel juridisch als technisch omkleed met beschermende maatregelen. Daar komt nog autorisatie bij voor wie onder welke omstandigheden toegang heeft tot het EPD, en tot welke niveaus van informatie in jouw digitale dossier.

Maar ict is niet onfeilbaar en elk slot kan open. Het kraken van beveiliging is meestal alleen een kwestie van tijd en moeite. Belangrijker echter is het vertrouwen dat mensen wel of niet hebben. Een systeem kan nog zo veilig zijn, als de beoogde gebruikers het niet vertrouwen, is het vechten tegen de bierkaai. En andersom natuurlijk: een systeem kan nog zo onveilig zijn, als mensen het wel vertrouwen, is het moeilijk dat te veranderen. Het is nog de vraag wat het EPD gaat worden: onterecht gewantrouwd of onterecht vertrouwd.

3. Omgang met informatie

Uit recent onderzoek door IGZ en CBP blijkt al dat grote ziekenhuizen niet goed omgaan met informatie en de beveiliging ervan. Expert Peter Westerveld van Sincerus Consultancy is daar niet verbaasd over. Sincerus is gespecialiseerd in informatiebeveiliging en doet daar ook assesments voor. “Met name in de zorgsector en bij de overheid”, vertelt Westerveld. Hij komt zelf oorspronkelijk ook uit de zorg, als radioloog. “De meerwaarde van het EPD zie ik dan ook zeker. En de mogelijke kostenbesparingen.”

Westerveld hamert er echter op dat zorginstanties eerst maar eens hun omgang met informatie, specifiek de beveiliging daarvan, op orde moeten hebben. Dat staat relatief los van het EPD, maar is er wel belangrijk voor. Westerveld pleit niet voor loskoppeling: “ Je moet niet het een doen en het ander laten.”

Hij verwijst concreet naar de NEN7510-norm voor informatiebeveiliging, waar zorgorganisaties officieel al sinds 2006 aan moeten voldoen. Het mankeert volgens hem aan de controle en naleving daarvan. Bovendien kan er niet alleen na een controle nog werk aan de winkel zijn, soms is ook een tweede audit nodig.

De invoering van het EPD is dan wel uitgesteld naar 2010, maar ook dat lijkt niet makkelijk haalbaar.

Consultant Westerveld denkt dat het EPD er wel van komt, maar dan niet volgens de huidige planning. “Ik zie weinig organisaties die nu bezig zijn hun informatiebeveiliging op orde te krijgen.” Hij schat dat er nog een jaar nodig is voor bewustwording en dan nog eens een jaar voor implementaties. De daadwerkelijke invoering van het EPD bovenop zo’n betere informatiebeveiliging neemt daarna volgens hem nog een jaar in beslag.

4. Zorgbelang

Veel zorgverleners zijn vooral bezig met zorg en zien zaken die daarvan afleiden als overbodig. “Met beveiliging maak je geen mensen beter”, vat Westerveld kort samen. Hij ziet dat informatiebeveiliging bij zorginstellingen vaak een sluitpost is. “Als er geld of iemand over is. En dat is in de zorg natuurlijk zelden het geval.”

Ook op de werkvloer speelt de voorrang die het zorgwerk krijgt. Op zich vanzelfsprekend, maar tegelijkertijd ook ondermijnend. Hij noemt als simpel voorbeeld het ‘wegstemmen’ door een specialistenmaatschap van de wachtwoordbeveiliging op de screensaver van ziekenhuis-pc’s.

Op zich hoeft dat niet erg te zijn, argumenteert Westerveld, maar laat mensen dan de deur van de kamer op slot doen. Ook dat gebeurt in de praktijk lang niet altijd. Tegen digitale inbraak helpt dat niet, maar het analoge risico is volgens hem veel groter. Bovendien is volgens hem goede omgang met informatie, goede beveiliging daarvan en vervolgens ook het EPD in het zorgbelang. “Het EPD helpt ook voor mensen. En tegen de kosten.”

5. Link naar burger

Uiteindelijk moet het EPD natuurlijk ook aansluiten op de zorgontvanger zelf. Burgers moeten dus toegang krijgen tot hun eigen dossier. Dit is dan de laatste stap: na ziekenhuizen, verzorginstehuizen, huisartsenposten en eenmanspraktijken. Wanneer is nog onbekend. Uit beveiligingsoverwegingen loopt het EPD-systeem tussen zorginstellingen over een eigen netwerk, vergelijkbaar met GemNet voor Nederlandse gemeenten. De verbinding naar de burger - en vooral diens pc - kan echter een behoorlijke zwakke link zijn.

Consultant Westerveld is daarover opmerkelijk optimistisch en denkt dat de eindgebruiker zich wel bewust is van de waarde van die data en dus voor goede beveiliging zorgt. Juist omdat hij of zij zelf toegang heeft en de informatie ziet. Actuele onderzoekscijfers over pc-security, online-fraude en diefstal van creditcardgegevens doen echter anders denken. Bovendien is digitale diefstal een professionele activiteit geworden met veel geld voor complexe middelen. Er valt immers veel buit te maken.

Hiermee komt ook horde twee, het vertrouwen, weer om de hoek kijken. Veel consumenten hebben wel vertrouwen in e-commerce en de omgang met persoonlijke gegevens. Maar of dat nou komt door goede kennis van technologie of door onwetendheid daarover?