Privacy De Elektronisch Patientendossier is op dit moment niet veilig genoeg, vindt Brenno de Winter. Foto: ANP
200 seconden leestijd

We zijn nog lang niet klaar voor een Elektronisch Patiënten Dossier

Nederland heeft nog een lange weg te gaan voor wij klaar zijn om gedurfde technische toepassing als een Elektronisch Patiënten Dossier (EPD) te gaan gebruiken. Voor veel organisaties gaat de digitalisering simpelweg te snel.

Het Groene Hart Ziekenhuis (GHZ) bleek al jaren medische dossiers op een server te hebben staan, waarbij de beveiliging enige ruimte voor verbetering liet, onthulde ik zondag. Mijn zus, zelf arts, vatte het mooi samen: ‘de nachtmerrie van iedere arts: medische dossiers op straat’. Tot overmaat van ramp stond er ook het complete patiëntenbestand tussen en ook nog een lijst om patiënten aan de afdeling te koppelen waar ze worden behandeld.

Natuurlijk had dit nooit, maar dan ook nooit mogen gebeuren. Patiëntgegevens horen goed beveiligd te zijn en niet rond te slingeren op een server. Dat is niet alleen tegen wetgeving in, maar natuurlijk ook moreel verwerpelijk. Maar de realiteit leert dat dit soort fouten een oorzaak heeft in menselijke omissies.

Meer zorginstellingen in de fout
De Raad van de Bestuur reageert terecht geschokt. Want in 2011 was al duidelijk dat de beveiliging tekort schiet. En ik kan u verklappen, ik heb datalekken bij meer zorginstellingen gezien. Maar wat deze Raad van Bestuur siert is de eerlijkheid in hun reactie, waarmee ze het onderliggende probleem blootlegt:

“Het GHZ is een aantal maanden geleden met Fox-IT een traject gestart om het veiligheidsniveau van het ziekenhuisnetwerk op een hoger niveau te brengen. Dit traject is nog gaande, als dit is afgerond is zal een dergelijke situatie in de toekomst niet meer kunnen bestaan.” 

In november 2008 ontvingen alle Nederlanders een brief van toenmalig minister Klink (Volksgezondheid, Welzijn en Sport)om u te informeren over uw rechten omtrent het EPD

GHZ is te laat begonnen: de digitalisering is er al tijden, maar de beveiliging wordt nu pas echt opgepakt. In 2008 stelde het College bescherming persoonsgegevens al problemen met gegevensbeveiliging in de zorg vast. Dit jaar kreeg het ziekenhuis Ruwaard van Putten nog een tik op de vingers. En zo kunnen we wel doorgaan. De zorg is veel te laat begonnen en zal zich na de eerste trajecten pas op een basaal beveiligingsniveau begeven.

Dit soort verhalen horen we ook elders. Vorig jaar legde de inbraak bij Diginotar een reeks van problemen bij de overheid bloot. De Onderzoeksraad voor Veiligheid deed onderzoek en concludeerde onder andere dat de problematiek óf niet in de bestuurskamer leeft óf dat de kennis over ICT ernstig tekort schiet. Bij het Groene Hart Ziekenhuis zal dat waarschijnlijk snel veranderen, maar dit is slechts een druppel op de gloeiende plaat van de zorgsector.

Politici, jullie zijn onderdeel van het probleem
De reacties kunnen we uittekenen: de politiek zal geschokt zijn en uitleg willen. Maar beseffen de heren en dames politici dat ook zij onderdeel zijn van de problematiek? Zo is het een jaarlijkse traditie dat in de week voor kerst nog nieuwe regelgeving voor het nieuwe jaar wordt gemaakt. Of de leveranciers van zorgsystemen dat eventjes willen implementeren.

Er is onder druk gewerkt aan een Elektronisch Patiënten Dossier om medische gegevens uit te wisselen. Vast goed bedoeld, maar de zorginstellingen zijn er – zoals maar weer blijkt – nog lang niet klaar voor.

We moeten eens leren iets geduldiger te zijn en technologie eerst goed toe te passen en dan pas door te hollen naar de volgende mogelijkheid. De huidige situatie is een nachtmerrie voor artsen, bestuurders en, bovenal, voor de patiënt.


Brenno de Winter

Brenno de Winter is onderzoeksjournalist met een specialisatie in IT-beveiliging en privacy. In 2011 werd Brenno verkozen tot Journalist van het jaar.

Lees ook
Meer artikelen