We zijn nog lang niet klaar voor een Elektronisch Patiënten Dossier

De Elektronisch Patientendossier is op dit moment niet veilig genoeg, vindt Brenno de Winter. Foto: ANP

Nederland heeft nog een lange weg te gaan voor wij klaar zijn om gedurfde technische toepassing als een Elektronisch Patiënten Dossier (EPD) te gaan gebruiken. Voor veel organisaties gaat de digitalisering simpelweg te snel.

Het Groene Hart Ziekenhuis (GHZ) bleek al jaren medische dossiers op een server te hebben staan, waarbij de beveiliging enige ruimte voor verbetering liet, onthulde ik zondag. Mijn zus, zelf arts, vatte het mooi samen: ‘de nachtmerrie van iedere arts: medische dossiers op straat’. Tot overmaat van ramp stond er ook het complete patiëntenbestand tussen en ook nog een lijst om patiënten aan de afdeling te koppelen waar ze worden behandeld.

Natuurlijk had dit nooit, maar dan ook nooit mogen gebeuren. Patiëntgegevens horen goed beveiligd te zijn en niet rond te slingeren op een server. Dat is niet alleen tegen wetgeving in, maar natuurlijk ook moreel verwerpelijk. Maar de realiteit leert dat dit soort fouten een oorzaak heeft in menselijke omissies.

Meer zorginstellingen in de fout
De Raad van de Bestuur reageert terecht geschokt. Want in 2011 was al duidelijk dat de beveiliging tekort schiet. En ik kan u verklappen, ik heb datalekken bij meer zorginstellingen gezien. Maar wat deze Raad van Bestuur siert is de eerlijkheid in hun reactie, waarmee ze het onderliggende probleem blootlegt:

“Het GHZ is een aantal maanden geleden met Fox-IT een traject gestart om het veiligheidsniveau van het ziekenhuisnetwerk op een hoger niveau te brengen. Dit traject is nog gaande, als dit is afgerond is zal een dergelijke situatie in de toekomst niet meer kunnen bestaan.” 

In november 2008 ontvingen alle Nederlanders een brief van toenmalig minister Klink (Volksgezondheid, Welzijn en Sport)om u te informeren over uw rechten omtrent het EPD

GHZ is te laat begonnen: de digitalisering is er al tijden, maar de beveiliging wordt nu pas echt opgepakt. In 2008 stelde het College bescherming persoonsgegevens al problemen met gegevensbeveiliging in de zorg vast. Dit jaar kreeg het ziekenhuis Ruwaard van Putten nog een tik op de vingers. En zo kunnen we wel doorgaan. De zorg is veel te laat begonnen en zal zich na de eerste trajecten pas op een basaal beveiligingsniveau begeven.

Dit soort verhalen horen we ook elders. Vorig jaar legde de inbraak bij Diginotar een reeks van problemen bij de overheid bloot. De Onderzoeksraad voor Veiligheid deed onderzoek en concludeerde onder andere dat de problematiek óf niet in de bestuurskamer leeft óf dat de kennis over ICT ernstig tekort schiet. Bij het Groene Hart Ziekenhuis zal dat waarschijnlijk snel veranderen, maar dit is slechts een druppel op de gloeiende plaat van de zorgsector.

Politici, jullie zijn onderdeel van het probleem
De reacties kunnen we uittekenen: de politiek zal geschokt zijn en uitleg willen. Maar beseffen de heren en dames politici dat ook zij onderdeel zijn van de problematiek? Zo is het een jaarlijkse traditie dat in de week voor kerst nog nieuwe regelgeving voor het nieuwe jaar wordt gemaakt. Of de leveranciers van zorgsystemen dat eventjes willen implementeren.

Er is onder druk gewerkt aan een Elektronisch Patiënten Dossier om medische gegevens uit te wisselen. Vast goed bedoeld, maar de zorginstellingen zijn er – zoals maar weer blijkt – nog lang niet klaar voor.

We moeten eens leren iets geduldiger te zijn en technologie eerst goed toe te passen en dan pas door te hollen naar de volgende mogelijkheid. De huidige situatie is een nachtmerrie voor artsen, bestuurders en, bovenal, voor de patiënt.


  • Theun

    Wat de IGZ bij het Groene Hartziekenhuis constateerde heeft ze bij ongeveer de helft van de ziekenhuizen geconstateerd vorig jaar. De helft! En dan gaat het om de NEN 7510 (of eerder een selectie van de normen daarvan), dus dat betekent dat de beveiligingsorganisatie niet op orde is. Dat de praktijk daar nog verder vanaf staat laat het voorbeeld van het GHZ wel zien, het is namelijk niet voor te stellen dat deze situatie aan het interne beveiligingsbeleid van het GHZ voldeed. Maar zolang ict-afdelingen en -beveiligers door zorginstellingen vooral worden gezien als lastige geld- en tijdverslindende onderdelen van de organisatie zal dat wel zo blijven.

    • Nico

      Misschien kun je aan je zus vragen om de dossierkasten te sluiten wanneer ze het licht uit doet. Laat ze dan ook de Stik-it’s van de monitoren halen waar de inloggegevens op staan (tis zo lastig al die wachtwoorden onthouden).
      Dit is een veel gezien probleem binnen bedrijven in het algemeen en voor een zorginstelling een groot gevaar.
      Een landelijk EPD is niet onveilig te noemen om bovenstaande redenen. De controle op het raadplegen ervan is groot. Men kan exact zien wat er op welkmoment gebeurt met de gegevens en door wie ze wordt geraadpleegd. Het gevaar schuilt meer in de achteraf geplaatste systeempjes waar men jaren geleden eens iets op zette voor het gemak of om uit te testen.
      Daarnaast vormt de gebruiker zelf het grootste gevaar.
      Introduceren van sterke wachtwoorden en het regelmatig vernieuwen ervan wordt gezien als een regelrechte hel voor de gebruiker.
      Vaak zwicht m’n onder de druk van deze specialisten en het gebruik van algemene inlogaccounts oogluikend toe te staan(want het werkt een stuk sneller wanneer de pc open blijft staan;-).

      Patiëntgegevens staan nu eenmaal op een server, daar ontkom je niet meer aan. Het raadplegen van papieren dossiers bestaat nauwelijks meer. En het meenemen van 400.000 plus papieren dossiers is nu eenmaal niet zo eenvoudig als de elektronische tegenhanger even op een USB stick te kopiëren.

  • Hank Rees

    EPD, nee op dit moment. Alhoewel het een goed wapen is om de gezondheid te dienen, heb ik mijn bezwaren. Veel instanties weten heel veel van elk individu. Als het medici betreft, dan moet je eerst diezelfde medici gaan onderverdelen in diverse groepen. Medisch specialisten en de zgn. basis zorgverleners. Bij die laatsten zit het probleem. De huisarts bijv. heeft vaak als nevenbaan, bijbaan vind ik zo’n raar woord in deze context, een adviserende of keurende taak bij diverse instanties als verzekeringsbedrijven, als ARBO arts en als bijv. sport keurings arts. Deze artsen hebben dan ook inzicht in het EPD. Dit zou betekenen dat zij juist voor die tak van keuring informatie kunnen bekomen die zeer nadelig is voor een patiënt/gekeurde. Deze informatie kan dan bijv. ge(mis)bruikt worden om de premie van een verzekering te laten stijgen of om iemand af te keuren voor een bepaalde baan. Een arts in de spreekkamer heeft m.i. een andere moraal dat die op een kantoor van een verzekeringsmaatschappij. Nee, zolang dit nog niet goed is afgegrendeld mag het systeem, hoe zaligmakend het ook mag lijken, niet worden ingevoerd. Dus ik denk dat het er nooit komt, want een kennisgeving afgeven door de keuringsarts, ARBO arts e.d. dat zal er wel nooit van komen.

  • DSV

    Als er éen instantie is die exact weet wat je mankeert, is het wel de zorgverzekeraar. Zij betalen immers je rekeningen. Een EPD-inzienende arts zal hen weinig nieuws kunnen vertellen.

    • Hank Rees

      DSV. Ik heb het hier niet over enkel zorgverzekeraars maar ook de andere verzekeraars kunnen belang hebben bij onze medische gegevens. Wat dacht u van een hypotheek met een levensverzekering? Als je iets mankeert gaat de premie fors omhoog. Een autoverzekering en zo kan ik vele voorbeelden noemen.