EPD: uithuilen en opnieuw beginnen

Wat mij betreft gaat de laatste week van november de geschiedenis in als de week waarin het failliet van het EPD (Elektronische Patiëntendossier) duidelijk werd. De arts op de Eerste Hulp mag bij een crisis namelijk niet bij uw gegevens, terwijl de Amerikaanse overheid dat wél mag. Omgaan met medische gevoelige informatie in optima forma.

Het klonk ooit zo mooi: we gaan een elektronisch patiëntendossier invoeren, zodat iedere arts de juiste informatie op exact de juiste plek heeft als het nodig is. Dus als een Amsterdammer in Groningen op de Eerste Hulp aankomt dan volstaat een burgerservicenummer (BSN). Hierdoor voorkomen we fouten en redden we levens. Wie kan daar niet op tegen zijn?

Geen Eerste Hulp
Maar juist als het spannend wordt op de Eerste Hulp is uw data niet beschikbaar. Blijft over: een karige uitwisseling tussen arts en apotheek om medicatiefouten te voorkomen. In een aantal regio’s werken arts en apotheker al jaren zo samen. Een landelijk EPD zou pas op termijn voordelen krijgen.

Dan moet je je afvragen of het opgedrongen EPD dan überhaupt nog meerwaarde biedt. De apotheker houdt ook nu al namelijk uw medicijngebruik bij. Dus een riskante combinatie van medicijnen is al te ontdekken.

Onbevoegde toegang
Ondertussen bleek een Amerikaans bedrijf de ontwikkeling van het EPD-systeem ter hand te hebben genomen. Een bizarre keuze, want het is al jaren bekend dat de Patriot Act de Amerikaanse overheid bedrijven kan dwingen de informatie uit systemen te verstrekken.

Wat de kans is dat mijn gegevens op die manier over de plas gaan, valt totaal niet in te schatten. Maar gelet op de toenemende wens van ook Nederlandse opsporingsinstanties om in onze gegevens mogen te graven, durf ik het ook niet als onrealistisch ter zijde te schuiven. Onder de term ‘big data’ wordt steeds meer informatie uit grote hoeveelheden gehaald.

Het bedrijf CSC, aan het begin van mijn carrière een jaar lang mijn werkgever, werd recentelijk in verband gebracht met de vluchten van terreurverdachten naar het oostelijk deel van Europa. Daarvoor zou een bedrijfsvliegtuig zijn gebruikt.

Waar of niet: het bedrijf speelt eigenlijk geen rol. Want als de Amerikanen data willen hebben dan moet CSC het leveren. Of ze dat nu willen of niet, iets anders hebben beloofd of de autoriteiten plechtig aangeven geen interesse in dossiers te hebben, een geheime order moet gewoon worden uitgevoerd. En met een beetje pech komen we er nooit achter als er misbruik van onze gegevens wordt gemaakt.

Opnieuw beginnen
En dan zijn de eerdere bezwaren nog niet weggenomen. Zo schort het aan de beveiliging. Misschien nog niet zozeer bij de uitwisseling zelf. Er zijn redelijke beveiligingsmaatregelen, waarschijnlijk nog onvoldoende, maar oké. Het zijn de zorgverleners met slechte systemen. Alleen dit jaar zijn er al meer dan een miljoen burgers gegevens gelekt bij zorginstellingen.

Dat de minister nu belooft de beveiliging op te schroeven is een mooie gedachte, maar nog steeds niet voldoende. Zoiets moet je van het eerste moment in het ontwerp hebben geregeld. Waar je voor de trein een suppletie kunt kopen van tweede naar eerste klas kun je een systeem niet zomaar upgraden. Fundamentele zwakheden los je nauwelijks op. Van artscomputer tot artscomputer moet alles kloppen. Hippocrates zei het al: Waar pus is evacueren. Dus is het geen kwestie van ‘verbeteren’, maar gewoon uithuilen en opnieuw beginnen.