1. Wat is het elektronisch patiëntendossier (EPD)?

Via het EPD kunnen zorgverleners snel medische gegevens van patiënten die zij behandelen opvragen en inzien. Het is belangrijk, vinden de initiatiefnemers, dat zorgverleners snel en betrouwbaar medische gegevens met elkaar kunnen delen, zodat de kans op medische fouten kleiner wordt. In veel regio's gebeurt dit trouwens al.

Ter verduidelijking: In het landelijk EPD wordt géén informatie over patiënten zelf opgeslagen. Die gegevens blijven in handen van de zorgverlener. Wel wordt bijgehouden van welke patiëntengegevens beschikbaar zijn en bij welke zorgaanbieders. Daarnaast wordt vastgelegd welke zorgaanbieders gegevens hebben opgevraagd van welke patiënten. Op 1 november hebben alle huishoudens in Nederland per post over het EPD een informatiepakket ontvangen, waarin ook informatie staat over de rechten die de patiënt met betrekking tot het EPD heeft.

2. Is het EPD er eigenlijk al?

Nee, gestart is met de invoering van de eerste twee toepassingen van het landelijk EPD: het uitwisselen van medicatiegegevens en huisartswaarneemgegevens. Pas in september 2009 kunnen alle zorgaanbieders gebruik maken van het landelijk EPD.

3. Hoe veilig zijn mijn gegevens?

Het EPD kent zeer hoge privacy- en beveiligingseisen, althans dat zeggen de initiatiefnemers zelf. Zorgaanbieders die gegevens willen opvragen moeten zich legitimeren met een elektronisch paspoort (UZI-pas of -servercertificaat). Ze mogen ook alleen gegevens inzien van patiënten waarmee een behandelrelatie is en wanneer het relevant is voor de behandeling. Werkgevers, zorgverzekeraars en hun medewerkers hebben geen toegang tot de medische gegevens van patiënten.

Beveiligingsbedrijf Fox-IT uit Delft heeft zo zijn twijfels over de veiligheid van het systeem. Volgens beveiligingsexpert Mark Koek is het mogelijk om via een lek in de computer van bijvoorbeeld een huisarts gegevens op te vragen, maar heeft dit lek tot nu toe niet nader toegelicht. Veel Nederlandse ziekenhuizen gaan sowieso al nonchalant om met de beveiliging van patiëntengegevens en geven gevoelige informatie gemakkelijk weg aan derden, zo bleek deze week.

Er bleek trouwens al meteen een XSS lek te zitten in de voorlichtingswebsite van het EPD, maar dat zegt uiteraard weinig over de beveiliging van het EPD zelf. Overigens moet ziekenhuizen voor 1 februari laten weten hoe ze de veiligheid van patiëntgegevens denken te kunnen garanderen. Dat heeft minister Ab Klink (Volksgezondheid) donderdag geschreven aan de Tweede Kamer onder meer naar aanleiding van opmerkingen van de Nederlandse Patiënten Consumenten Federatie (NPCF).

4. Wat kan er eigenlijk met die uitgelekte informatie gebeuren?

Verzekeraars doen er niks mee, die worden streng gecontroleerd. Maar in de VS dreigden criminelen onlangs gegevens van miljoenen Amerikaanse patiënten openbaar te maken die zij hadden gestolen uit de database van een grote medicijnenmakelaar. Er is dus een criminele business case met het hacken van het EPD. Ook kunnen gegevens van patiënten door derden veranderd worden.

5. Kan ik bezwaar maken tegen de uitwisseling van mijn gegevens?

Ja, dat kan. Wie zijn dossier bij een bepaalde zorgverlener wil afschermen, kan de zorgverlener hierom vragen. Die is zelfs verplicht om hieraan mee te werken. De afgeschermde gegevens in het dossier kunnen dan niet door andere zorgverleners ingezien of opgevraagd worden via het landelijk EPD. Daarnaast kan men ervoor kiezen om alle medische gegevens af te schermen voor alle zorgverleners. Bezwaar maken kan tot 15 december. Het bezwaar weer intrekken kan trouwens ook.