Elektronische informatie: de angst regeert

Elektronische gegevensuitwisseling in de zorg kan altijd veiliger. Een 'meldplicht datalekken' en 'ethische hackers' zijn het verkennen waard. Laat intussen niet de angst regeren.

Sjaak Nouwt, beleidsadviseur gezondheidsrecht bij de KNMG

24 oktober 2011 - Column van mr.dr. Sjaak Nouwt, adviseur gezondheidsrecht KNMG.

Vertrouwen komt te voet en gaat te paard. Intussen regeert de angst. De scheidslijn tussen angst en vertrouwen is erg dun. Ik geef u enkele waar gebeurde voorbeelden.

In de trein zit een man met een (rubberen) zwaard. Tien jaar geleden zou de controlerende conducteur de man hebben gevraagd wat dat is. Vervolgens blijkt het iets geheel onschuldigs te zijn. Anno 2011 vraagt de conducteur niets maar belt 1-1-2. De trein stopt, de politie arriveert en pas na een uur kunnen alle passagiers hun reis voortzetten.

Een ander voorbeeld. Een tas wordt onbeheerd op een NS station aangetroffen. Tien jaar geleden zouden we de tas openen en zoeken naar gegevens over de eigenaar. Vervolgens zouden we de tas naar de afdeling Gevonden Voorwerpen brengen. Anno nu wordt het station volledig ontruimd en de Explosieven Opruimings Dienst ingeschakeld die vervolgens vaststelt dat de tas geen explosieven bevat.

Geldverspilling

Ook in de Tweede Kamer lijkt de angst te regeren. Niet alleen voor het onbekende (vreemdelingen), maar ook voor techniek. In 2009 nam de Tweede Kamer de Wet op het EPD aan. Twee jaar later lijkt de Tweede Kamer ineens niets meer te willen weten van die veilige(r)e en betrouwbare informatie infrastructuur waarvan men eerst voorstander was. De SP ziet zelfs liever de geïnvesteerde 300 miljoen Euro 'down the drain' verdwijnen, dan dat zorgverleners er nog langer gebruik van maken. Alsof de overheid voor 300 miljoen een autosnelweg heeft aangelegd waar automobilisten vervolgens niet over mogen rijden. 

Meldplicht datalekken

Natuurlijk kan de beveiliging van informatie altijd beter. Informatiebeveiliging is nooit voor 100% absoluut. Maar we kunnen daar op een manier mee omgaan die de angst vermindert en het vertrouwen vergroot. Zo voel ik wel iets voor de invoering van een ‘meldplicht datalekken’ in de zorg. Staatssecretaris Teeven kondigde op 29 april 2011 in een brief aan de Kamer aan dat hij in de Wet bescherming persoonsgegevens "een meldplicht voor doorbrekingen van de beveiligingsmaatregelen voor persoonsgegevens" wil invoeren. Ik denk dat DigiNotar niet failliet was gegaan als het bedrijf niet zo lang had verzwegen dat er was ingebroken in hun systemen. Bedrijven die soortgelijke diensten aanbieden en hetzelfde is overkomen, gaven wel meteen openheid van zaken. Zij bieden hun diensten nog steeds aan.

"Zo voel ik wel iets voor de invoering van een ‘meldplicht datalekken’ in de zorg."

Etische hackers

Voorts lijkt het mij een goed idee om, ter optimalisering van de informatiebeveiliging in de zorg, zogeheten 'ethische hackers' in te schakelen. Nodig deze hackers uit om de zwakke plekken in de informatiesystemen bloot te leggen. Daarvoor hoef je niet al je vertrouwelijke en strategische bedrijfsgegevens openbaar te maken. Je stelt je wel kwetsbaar op, maar dan heb je ook wat.

België 

Overigens heeft België al sinds 2008 een landelijk schakelpunt, aldaar heel fraai 'verwijzingsrepertorium' geheten. De beveiliging bestaat onder andere uit het gebruik van dubbele geëncrypteerde sleutels die slechts gedurende één sessie geldig blijven. Ook hanteert men tijdelijke autorisaties voor zorgverleners die kunnen bewijzen dat zij een 'therapeutische relatie' hebben met een patiënt. Wie in een ziekenhuis zo’n therapeutische relatie heeft, krijgt maximaal drie maanden recht op toegang. Ook huisartsen krijgen slechts tijdelijk recht op toegang. De Belgen zijn dan weliswaar al een tijd regeringloos en naar het EK-voetbal mogen ze ook al niet, maar een landelijke infrastructuur (eHealth-platform geheten) hebben zij wel.

Angst is een slechte raadgever. Vertrouwen moet je verdienen. Of het landelijk schakelpunt nu wel of niet wordt doorgestart door de zorgaanbieders: het kan altijd veiliger, maar laten we het kind niet met het badwater weggooien. 

Mr. dr. Sjaak Nouwt, beleidsadviseur gezondheidsrecht KNMG

Zie ook:

  • Dossier EPD
  • Dossier omgaan met medische gegevens

Hieronder ziet u de reacties op dit bericht. Plaats ook uw reactie! Ziet u geen reactieformulier? (2)

"Er wordt al veel langer gepleit voor het regionaal op orde krijgen van het EPD; de gezondheidsinspecteur stelde onlangs simpelweg dat dit voor 2013 voor elkaar moet zijn.
Dit lijkt mij momenteel het belangrijkste: de HISsen en OZISsen mogen elkaar mischien nog niet direct kunnen lezen, maar als de huisartsen hun patienten episode lijsten en hun medicatie niet in orde hebben dan heeft het inzien in elkaars HIS weinig zin: je vind alleen wat onvolledige informatie."

R Harting, Veenendaal - 25-10-2011 13:17

"Alles goed en wel, waar het de technische integriteit van de data betreft.

Over de betrouwbaarheid van de dmv het EPD gedeelde gegevens echter, maak ik me ernstige zorgen. Het 'rondzingen' van niet-correcte data gaat enorm toenemen. Kijk bijvoorbeeld hier:

medischcontact.artsennet.nl/Tijdschriftartikel/104099/IGZ-Medicatiedossiers-onbetrouwbaar.htm

Volgens de oorspronkelijke planning zou het medicatie-gedeelte van EPD nu al jarenlang in bedrijf zijn, en nog steeds is de betrouwbaarheid van medicatiegegevens beroerd.

Wat gaat daar aan gedaan worden?

Een eerste stap zou toch zijn om patienten zelf de mogelijkheid te geven om hun eigen gegevens via internet te controleren en te annoteren.

Natuurlijk is dat niet voldoende, maar een flink aantal - en wellicht juist de chronische zieke - mensen zou hier graag gebruik van maken.

Start een pilot, met een beperkt aantal patienten, tegelijk met de ingebruikname van het LSP voor medicatiegegevens.

Op deze manier kan ervaring opgedaan worden met een dergelijke wijze van terugkoppeling, en wellicht kan ook beter achterhaald worden waarom de (medicatie)gegevens aan de bron al vaak niet kloppen."

FJK van der Sar - 24-10-2011 14:44

U kunt ook reageren door een e-mail te sturen naar communicatie@fed.knmg.nl

Uw reactie mag maximaal 4000 tekens (incl. spaties) bevatten.


De columns op de KNMG-site zijn geschreven op persoonlijke titel.

Deelnemende sites

Voor deze site(s) bent u ingelogd