Vanavond in Nieuwsuur kwam het Elektronische Patiënten Dossier aan de orde. Twee argumenten kwamen aan de orde waarom we allemaal het EPD zouden moeten omarmen.

Wilma Wind van de Nederlandse Patiënten Consumenten Federatie verwacht dat het systeem honderden doden per jaar zal schelen door het verminderen van toepassen van verkeerde medikatie. Een drogreden. Deze vermindering van slachtoffers kan bereikt worden met betere informatie, maar hiervoor is niet een onveilig landelijk systeem nodig. Want bijna alle behandelingen en medicijnverstrekking vinden plaats in de eigen regio. Ze ziet de voordelen van automatisering, maar gebruikt dat als argument voor een landelijk systeem.

Minister Schippers van Volksgezondheid stelt het EPD beter beveiligd is dan de bestaande regionale systemen. De eerste fout die ze maakt is dat ze zich koncentreert op de technische kant van de beveilling en de organisatorische kant van de beveiling buiten beschouwing laat. Een systeem waar ieder van de 200_000 werknemers in de zorg zonder autorisatie vooraf bij de gegevens kan van elke deelnemende Nederlander is inherent onveilig. Haar tweede fout is dat ze de technische kwaliteit van het systeem presenteert als een uniek kenmerk dat alleen op landelijke schaal gerealiseerd zou kunnen worden. Maar waarom wordt de technologie van het Landelijk Schakelpunt niet gewoon op regionale schaal ingevoerd als het zoveel beter is. Bijvoorbeeld een LSP voor elke provincie: wel de voordelen van de moderne technologie op gebied van gegevensuitwisseling en beveiligingstechnologie, maar zonder de beveiligingsnadelen van een te groot centralistisch systeem. Bovendien, zolang de bestaande regionale systemen nog steeds bestaan, voegt een nieuw landelijk systeem alleen maar nieuwe kwetsbaarheden toe aan het bestaande systeem. Want hoe meer onderdelen een systeem heeft, hoe groter de kwetsbaarheid. Beveiliging is vaak meer gediend met het verwijderen van komponenten dan door het toevoegen van nieuwe komponenten.

Wat zijn vanuit de optiek van de informatiebeveiliging de grootste beveiligingsproblemen van het EPD?

Wanneer het systeem kompleet operationeel is zullen 200_000 zorgverleners toegang hebben tot de medische gegevens van alle Nederlanders. Maar het is niet mogelijk om 200_000 mensen door de AIVD te laten screnen. Er hoeft er maar één korrupt of chantabel te zijn of de druk of verleiding niet kunnen weerstaan en we hebben het eerste lek.

Daarnaast hoe beveilig je 200_000 (exakte aantal niet bekend) computers. In de zorg verlaten mensen soms hun werkplek voor een spoedgeval elders en blijven op de machine aangemeld. Maar ook in minder hektische omgevingen meldt een hele afdeling zich al gauw aan met de UZI-pas ‘van de afdeling’. Voor elke poep en een ziucht opnieuw aan- en afmelden is namelijk zeer onpraktisch. Er ontstaan dus machines waar passanten makkelijk inzage kunnen krijgen in de medische dossiers van de hele bevolking.

Waar 200_000 mensen werken, verliest men ook wel eens een UZI-pas. Hoe wordt dit gekontroleerd en wordt misbruik voorkomen?

Dan roepen mensen die het weten kunnen dat 30% van de Nederlandse computers besmet is met malware. Nu weet mijn huisarts veel van virussen, maar er is geen reden om te veronderstellen dat hij veel meer weet van komputervirussen dan de meeste andere burgers. Dus een groot deel van het machinepark zal bestaan uit komputers die besmet zijn met spyware en key loggers. Wat betreft hacking, is dit de zachte onderbuik van het landelijk EPD.

De Amerikaanse vloot heeft een vlaggeschip met de bijnaam ‘USS Target’. Het schip is namelijk zo geavanceerd dat de oorlog min of meer is afgelopen als dit schip tot zinken is gebracht. Het trekt alle vijandelijk vuur naar zich toe. Die rol zou het EPD ook wel eens kunnen krijgen. De informatie die er in bewaard wordt is zo waardevol voor sommige partijen dat alles geoorloofd is. Een regionaal systeem met de gegevens van enkele tienduizenden patiënten is niet interessant voor een hacker. Maar maak het systeem landelijk en de situatie veranderd dramatisch. Niet alleen is de potentiële buit groter, ook het ‘aanvalsoppervlak’ neemt dramatisch in omvang toe. In plaats van 20 systemen met elk 800_000 patiënten en 10_000 zorgverleners, is er nu een enkel systeem met 20 x zo veel patiënten en 20 x zo veel mensen die korrupt, chantabel of slordig kunnen zijn. En het voorstel om de patiënt via een SMS te laten weten wanneer zijn dossier door iemand bekeken wordt, maakt dat alleen nog maar erger: nu bevat het dossier niet alleen medische gegevens, maar ook telefoonnummers…

Verzekeringsmaatschappijen hebben nu grote haast en willen middels premies huisartsen en apothekers verleiden om hun patiënten te laten opnemen in het EPD. Als alles lukt, zou het EPD dan per 2013.01.01 operationeel moeten worden.

Ik wil een aantal kanttekeningen maken bij de beveiliging van het EPD. Wellicht dat iemand met meer kennis over het EPD zijn licht hierover kan laten schijnen.

Om te beginnen is de use case van een landelijk EPD mij niet helemaal duidelijk. Natuurlijk is het goed als een arts van buiten de eigen regio indien nodig over mijn gegevens kan beschikken. Maar hoe vaak komt dat eigenlijk voor? Bijna iedereen in Nederland ontvangt zorg en verkrijgt medicijnen in zijn eigen regio. Hiervoor zijn de bestaande regionale EPDen toereikend. In de meeste gevallen dat iemand buiten zijn eigen regio zorg nodig heeft, is dat voor specialistische hulp die weken vantevoren is ingepland. De lange wachttijden in de zorg hebben dus als voordeel dat er alle tijd is om de gegevens over te dragen vanuit de eigen regio naar de behandelaar buiten de eigen regio. Voor dit scenario is er geen behoeft aan een centrale on-line gegevensbank met de medische gegevens van praktisch alle Nederlanders.

Dan het scenario dat iemand dringend medicijnen nodig heeft elders in het land. Dit zou eenvoudig opgelost kunnen worden door de sleutel tot de toegang voor de medicijngegevens ook deels bij de patiënt zelf neer te leggen. Dus hiervoor mogelijk wel een centraal on-line systeem, maar niet opvraagbaar door elke apotheker en zijn assistent.

Blijft over het scenario dat iemand acuut hulp nodig heeft, maar zelf niet meer de mogelijkheid heeft om zijn behandelaren te fiatteren. Dit wordt altijd als voorbeeld genoemd van de voordelen van een EPD, maar dit komt in de praktijk nauwelijks voor! De meeste ongelukken gebeuren nu eenmaal in de eigen omgeving. Maar goed, als het dan toch gebeurt, dan zou het handig zijn als de behandelaar kan beschikken over het medisch dossier. Maar is een centraal on-line systeem waar iedere zorgverlener op eigen gezag toegang toe kan krijgen werkelijk de enige oplossing? Was het niet mogelijk geweest de behandelaar te verplichten kontakt op te nemen met de eigen huisarts van de patiënt en de huisarts te vragen de medische gegevens vrij te geven aan de behandelaar? Een huisarts die optreedt als poortwachter van de medische gegevens van zijn patiënten. Natuurlijk moet de identiteit van de patiënt dan bekend zijn, maar dat geldt ook bij gebruik van het EPD. Ook moeten kontaktgegevens van de huisarts bekend zijn, maar het bewaren en beveiligen van dergelijke informatie is een stuk minder zorgelijk dan het beveiligen van alle medische gegevens van alle Nederlanders.

hoe het ook had gekund

Uitgangspunt zou moeten zijn dat alleen de behandelaren van een patiënt toegang hebben tot de relevante onderdelen van het medisch dossier. Primair zijn dat de eigen huisarts en de eigen apotheker (alleen voorzover het medicijngebruik betreft). Andere medici, verpleegkundigen, elders of in de eigen regio, hebben normaal geen toegang. Bij opname in het ziekenhuis autoriseert de patiënt of, wanneer dat niet mogelijk is, zijn huisarts de behandelaar. Dus bij een opname voor hartklachten wordt de cardioloog, zijn team en de verpleegkundigen op de afdeling geautoriseerd en verder niemand in dat ziekenhuis. Ontstaan er andere klachten, dan kan de cardioloog op zijn beurt andere specialisten bijschakelen en autoriseren. Alle autorisaties komen na zekere tijd na afloop van de behandeling automatische te vervallen. En voor het geval dat iemand met spoed en buiten kennis de operatietafel opgedragen wordt, moet er een noodprocedure zijn, een soort breek-het-glas-in-geval-van-nood. De behandelaar kan dan bij de gegevens, maar niet alleen. Een dergelijke noodprocedure zou door twee of drie behandelaren ingezet moeten worden. Een passant die een onbeheerde computer vindt op de zaal, kan hier dus niets mee. Daarnaast moet deze procedure veel ‘lawaai’ maken en aandacht krijgen van kontrolerende instanties. Dat klinkt bewerkelijk, maar omdat dat niet zo heel veel voorkomt is hiermee een redelijke balans verkregen tussen beveiliging en patiëntveiligheid.