The Dutch Electronic Patient Record System

Update over het rapport van de IGZ, 24 oktober.
Een eis in een recent rapport van de IGZ om voor 1 januari 2013 te komen tot technische standaarden voor het uitwisselen van gegevens zet het proces rond de doorstart onder druk. Als er al een kans was dat de doorstart zou leiden tot verbetering van de beveiliging en een betere privacybescherming, zorgt de tijdsdruk ervoor dat deze kans nu echt minimaal is. Behoud van de landelijke infrastructuur in huidige vorm lijkt de enig mogelijke prioriteit voor de doorstart-organisatie. Terwijl dat niet nodig is. Voor meer details, zie de update en lees de rest van deze FAQ.

Vandaag publiceerde de IGZ een rapport, geheten "Staat van de Gezondheidszorg." De IGZ stelt in dit rapport dat de veldpartijen (lees: koepels) per 1 januari 2013 "technische standaarden moeten vaststellen die elektronisch uitwisselen van gegevens mogelijk maken." (p.21). De IGZ doet zelfs een aanbeveling om een taskforce met doorzettingsmacht op te zetten om hierop toe te zien. Ongetwijfeld lezen de koepels (en mogelijk ook zorgverleners en leveranciers) hierin een aansporing om door te gaan met de doorstart van het EPD in huidige vorm. Echter, deze eis gaat voorbij aan het feit dat de Eerste Kamer en anderen stelden dat de beveiliging en privacy-bescherming van het EPD onvoldoende gewaarborgd waren en zijn. Bovendien is het curieus dat de druk hiermee op het zorgveld, indirect de zorgverlener wordt gezet, terwijl Nictiz zware funding krijgt om standaarden te ontwikkelen maar in het rapport buiten schot blijft. Het doel is duidelijk: zorgverleners teken voor de doorstart, en koepels maak haast. Dit is precies het soort druk waarvan een WRR-rapport (met een bijlage met de toepasselijke naam "Staat van Informatie") stelt dat dit leidt tot overhaaste besluitvorming en ondermaatse privacy-bescherming.

Belangrijk om in te zien is dat de landelijke infrastructuur (het LSP) niet nodig is om tot landelijke standaarden te komen. Ook is het LSP niet nodig om te voldoen aan de richtlijn medicatieoverdracht. Deze zaken kunnen ook geregeld worden op basis van kleinschalige regionale systemen aangevuld met veilige email, bijvoorbeeld. (Zie onder). De uitspraak van IGZ is echter wel een signaal. De druk zal volgend jaar toenemen om te voldoen aan de eis van IGZ. Hierdoor zal het alleen maar moeilijker worden om het EPD alsnog om te vormen naar een privacy-vriendelijk systeem. De tijdsdruk biedt simpelweg niet genoeg tijd voor een omvorming van het EPD naar veiliger regionale systemen, als de wil er al was. Nu is er dus nog een reden om niet naïef te zijn over de doorstart, en om nu een duidelijke (principiële) keuze te maken.

Alleen zonder de doorstart wordt het mogelijk om de bezwaren van de Eerste Kamer te gebruiken om alternatieve technieken te ontwikkelen die echt privacy-beschermend zijn. Dit kan vanuit de "boedel" van het EPD, te beginnen met een echt regionaal gebruik (liefst open source) van LSP-techniek, maar dan wel onder directe regie en verantwoordelijkheid van de regio's. Alleen als we dit doen kunnen we op termijn echt voorop lopen in de wereld, in plaats van haastig over alle bezwaren heen te stappen en een systeem dat bijna niemand wil door te drukken.

Een aantal koepels (waaronder LHV, KNMP) willen de infrastructuur van het EPD, het LSP behouden. Dit geldt niet voor alle koepels van zorgverleners: NAPCO (ca. 35% van de apothekers), en VPHuisartsen zijn bijvoorbeeld tegen een doorstart, om uiteenlopende redenen.

Het voorstel voor de doorstart gaat uit van behoud van de landelijke infrastructuur. De landelijke infrastructuur is opgebouwd rond een Landelijk Schakelpunt (LSP) via welke gegevens van patiënten opgevraagd kunnen worden. Dit gebeurt volgens een zogeheten 'pull' model: zorgverleners 'trekken' via het landelijke schakelpunt medische gegevens uit de systemen van andere zorgverleners. Deze infrastructuur is hetzelfde systeem dat averij opliep in de Eerste Kamer.

De keuze en de verantwoordelijkheid voor of het EPD wordt doorgestart ligt nu feitelijk bij de zorgverleners die moeten tekenen. Daarom is goede informatie over het landelijke systeem noodzakelijk. Dit document probeert wat zaken op een rijtje te zetten.

Het LSP mag in private vorm gebruikt worden zolang de patiënt toestemming geeft (opt-in). Juridisch is gebruik van het LSP toegestaan, zolang de patiënt maar toestemming geeft. Een belangrijke vraag bij een opt-in is echter: heeft de patiënt echt een keuze, en wat is het alternatief?

De ICT-leveranciers willen het belangrijkste regionale alternatief, OZIS, uitfaseren. Daarmee neemt de keuzemogelijkheid voor zorgverleners én patiënt af tot één systeem, het landelijke. Gezien de maatschappelijke discussie over dit landelijke systeem, is het de vraag of deze beslissing terecht is. Het is dus wel de vraag of het uitfaseren van OZIS wel zomaar kan. Al is er natuurlijk best wat voor te zeggen om de interne standaarden van OZIS aan te passen. Dat kan echter ook met behoud van de huidige regio's en regionale infrastructuur.

Een fundamenteel probleem van het LSP is dat artsen en medewerkers zichzelf kunnen autoriseren, technisch gezien. Dit betekent dat artsen en medewerkers zichzelf toegang kunnen geven. Hierdoor is misbruik van een gestolen pas erg eenvoudig. De LSP infrastructuur moet jaren en jaren landelijk beschikbaar zijn. Het EPD bestaat uit duizenden systemen en tienduizenden, straks misschien wel honderdduizenden passen voor artsen en medewerkers. Op landelijke schaal is elk 'gaatje' in de infrastructuur aantrekkelijk en ook meteen erg effectief voor aanvallers. In het landelijke systeem is namelijk elk dossier van waar dan ook in Nederland op te vragen.

Een pull systeem is inherent erg moeilijk veilig te krijgen, zeker op landelijke schaal [1]. Als artsen of hun medewerkers eenvoudig gegevens uit het systeem kunnen trekken, kunnen aanvallers dat ook. Dit kan bijvoorbeeld met een gestolen smartcard (de pas waarmee artsen en medewerkers kunnen 'inloggen' in het systeem). Ook een virus of kwaadaardige software op de PC van een arts of apotheek kan leiden tot het opvragen van gegevens van de verkeerde patiënt. De arts is hiervoor wel aansprakelijk.

Een probleem is verder dat bij het LSP alle gegevensstromen door het LSP lopen. Dat dit mis kan gaan bleek recent toen diensten van Blackberry (een qua beveiliging en betrouwbaarheid hoog aangeschreven bedrijf) dagenlang uitvielen. Dit werd veroorzaakt door serverstoringen, en door het feit dat deze diensten via centrale servers communiceerden.

Al deze risico's zijn met onafhankelijke regionale systemen veel kleiner. Met een inbraak in één regionaal schakelpunt zijn geen willekeurige gegevens uit heel Nederland op te vragen, wat bij een inbraak in het LSP wel kan. Ook leidt een regionale storing niet tot problemen met de informatievoorziening in het hele land. Op landeljike schaal is een pull techniek daarom mijns inziens veel onveiliger te gebruiken dan op regionale schaal.

Soms worden vreemde redenen aangevoerd om de doorstart te motiveren. Bijvoorbeeld, dat het landelijke systeem nodig is om tot standaardisering te komen. Dit klopt niet. Standaarden kunnen los van de infrastructuur ontwikkeld worden. Sterker nog, de Eerste Kamer heeft de minister expliciet opgeroepen om landelijke standaarden voor regionale uitwisseling te ontwikkelen. Het is jammer dat de termen 'landelijke standaard' en 'landelijke infrastructuur' door elkaar worden gebruikt.

Ik ben niet tegen een verbetering van standaarden voor regionale systemen. Ik ben tegen het gebruik van “pull technologie” op landelijke schaal. Dit is zeker zonder patiëntenpassen te onveilig, en bovendien waarschijnlijk onnodig. Voor dienstwaarneming (door bijv. huisartsenpost) volstaat een hard afgeperkte regionale oplossing prima. Voor die situatie is geen landelijke infrastructuur nodig. En voor bovenregionale communicatie kunnen en moeten andere, beter controleerbare oplossingen gebruikt worden.

Naar mijn mening kan de gecentraliseerde aanpak van het LSP leiden tot een onnodig grootschalig, kwetsbaar, inflexibel en risicovol systeem. Bovendien leidt het tot onduidelijk dossierhouderschap. Wie voelt zich verantwoordelijk, en wie is aanspreekbaar op de kwaliteit van het dossier en de ontsluiting daarvan?

Ik pleit voor een sterker dossierhouderschap, waarbij de (vertrouwde) huisarts en apotheek zowel de inhoudelijke kwaliteit als de ontsluiting van het dossier bewaken. Dit is niet mogelijk bij het LSP zolang de dossiers door het hele land verspreid liggen en de toegang geregeld wordt door het centrale schakelpunt. Uitgaande van een duidelijk dossierhouderschap, kunnen controleerbare en privacy-vriendelijke systemen voor gegevensuitwisseling worden ontwikkeld. Bij voorkeur meer decentrale systemen, maar in elk geval met meer decentrale controle (bij ats en/of patient zelf).

De kosten van een landelijke aanpak zijn ook onduidelijk. Juist de kosten waren recentelijk in het Verenigd Koninkrijk een reden om af te zien van de top-down regie, ten behoeve van de ontwikkeling vanuit de regio's.

Om al deze redenen ben ik een voorstander van het behoud van regionale netwerken zoals ze nu zijn, totdat veiliger en minder kwetsbare oplossingen zijn ontwikkeld. Wellicht is een goed begin hiervoor het open-source maken van de LSP broncode.

Kiezen voor gebruik van het LSP als uitstel van de keuze tot volgend jaar helpt niet. Als genoeg mensen tekenen wordt dit gezien als instemming met de landelijke koers, dus met behoud van de landelijke infrastructuur. Ervaring met het politieke proces tot nu toe heeft laten zien dat inviduele zorgverleners, experts, burgers, en zelfs het parlement weinig invloed op de koers kunnen uitoefenen. Alleen bij stopzetten van het LSP zal vermoedelijk echt de ruimte ontstaan om de koers te veranderen en de ontwikkelde technologie op een veiliger manier te (her)gebruiken.

Sinds ik begin 2010 mijn onderzoek naar de beveiliging van het EPD ([1]) publiceerde, krijg ik veel vragen over mijn onderzoek. Ook word mij vaak de vraag gesteld hoe ik de Zorg-ICT op lange termijn voor me zie. Door de vele gesprekken, zowel met voorstanders als tegenstanders van het EPD, zijn mijn opvattingen veranderd. In eerste instantie ging ik ervanuit dat het systeem verbeterbaar was. Inmiddels ben ik tot de conclusie gekomen dat het systeem in huidige vorm fundamenteel te risicovol is, en vooral dat het lopen van zulke risico's helemaal niet nodig is. De risico's van het landelijke systeem betreffen allerlei aspecten, van betrouwbaarheid tot kwaliteit/kwaliteitsbewaking, en natuurlijk de beveiliging en privacybescherming.

Dit is een politieke keuze. LSP en OZIS gebruiken een andere berichtenstandaard om medische gegevens te coderen. De meeste HISsen en AISsen ondersteunen beide standaarden. Er is wel (dubbel) onderhoud nodig voor ondersteuning van beide standaarden.

OZIS draait nog op heel veel plekken naar redelijke tevredenheid. Zolang zorgverleners OZIS gebruiken lijkt het mij niet verantwoord wanneer leveranciers geen onderhoud meer doen, bijvoorbeeld om te zorgen dat de juiste velden worden ingevuld voor medicatie-overdracht. Dit zou namelijk ten koste gaan van de patiëntveiligheid.

Zolang er geen redelijk regionaal alternatief is, lijkt mij dat zorgverleners niet gedwongen kunnen worden tot het gebruik van het LSP. Pas als er een gelijkwaardig regionaal alternatief wordt geboden (bijvoorbeeld een regionaal schakelpunt) dat OZIS één op één kan vervangen, bestaat er een reële mogelijkheid voor de leveranciers om de OZIS standaarden uit te faseren.

De Eerste Kamer had zeer grote zorgen juist over het landelijke karakter, de schaal, en de centralisatie van het LSP. De noodzaak van de landelijke aanpak werd bestreden (zie de beraadslagingen van de Eerste Kamer, met name de twee expertmeetings die over het EPD werden gehouden). Dit is niet anders bij het doorgestarte LSP. Mijns inziens kan het LSP daarom nu niet als gelijkwaardig alternatief voor OZIS worden beschouwd. Het uitfaseren van OZIS lijkt mij daarom voorlopig niet aan de orde.

Dat is de vraag. Het voordeel van de OZIS-infrastructuur is dat deze regionaal begrensd is. OZIS werkt met regionale "ringen", dat zijn gesloten netwerken. Dit is soms wat onhandig, maar dit is wel heel veilig zolang de ringen niet te groot zijn. Het beeld van OZIS als een vreselijk onveilig systeem is dan ook veel te zwart/wit en onterecht.

Het LSP lijkt qua techniek wel veiliger dan OZIS, door onder meer het gebruik van UZI passen (smartcards voor artsen) in plaats van paswoorden, maar dit voordeel wordt tenietgedaan door de schaal van het systeem. In zekere zin bieden UZI passen bovendien slechts schijnveiligheid - immers ze worden gebruikt op verder niet goed te beveiligen systemen.

Het komt erop neer dat je bij zulke grote verschillen in schaalgrootte geen vergelijking kunt maken tussen de beveiliging van het ene systeem ten opzichte van het andere. Het risicoprofiel verschilt enorm, en daarom mag je juist bij een landelijk systeem geen riscio lopen. Nonchalance of haastige spoed passen daar niet. Daarvoor is medische privacy, of eigenlijk het vertrouwen dat patiënten hebben in het medisch beroepsgeheim, te belangrijk.

Er wordt overigens wel eens gezegd dat het CBP geconcludeerd heeft dat regionale systemen onveilig waren. Dit is niet zo. Het CBP heeft zich vooral uitgesproken over organisatorische tekortkomingen in enkele regio's, zoals rond het vragen van toestemming aan de patiënt.

De onveiligheid van het LSP wordt vooral veroorzaakt door de combinatie van grootschaligheid en het 'pull' concept, met een gebrekkige regie (autorisatie) door patiënten. Artsen (of medewerkers) die aangeven een behandelrelatie te hebben kunnen direct gegevens opvragen, zonder bewijsbare autorisatie door de patiënt. Diefstal van een pas en/of een inbraak of virus op een PC van één enkele zorgverlener kan hierdoor leiden tot het opvragen van willekeurige gegevens via het LSP. Dit geeft op grote schaal een inherent beveiligingsrisico.

Ook kunnen er beschikbaarheidsproblemen ontstaan die heel Nederland raken. En er zijn hoe dan ook privacy-risico's verbonden aan een landelijk systeem met een centrale verwijsindex. Eenmaal in het landelijke schakelpunt binnen, kan een aanvaller de gegevens van willekeurige aangemelde patiënten in Nederland zonder belemmering opvragen. “Regionale afpaling” werkt niet, zoals ik onder zal aangeven.

Het ministerie (en Nictiz) stellen dat het LSP goed beveiligd is en dat niemand erin kan inbreken. Dat is echter niet aantoonbaar, ook niet door hackers. Een ongeluk zit in een klein hoekje. De “onafhankelijke audits” en hackerstesten waarmee het ministerie schermt om de beveiliging 'aan te tonen' geven geen garanties. We hebben de waarde van toezicht (door o.a. Opta) en audits trouwens kunnen zien bij de DigiNotar affaire. Fouten zitten in een klein hoekje; het bewustzijn van beveiligingsrisico's lijkt bij de doorstart-organisatie minimaal te zijn. Ik schreef hier dit over: http://www.science.uva.nl/~noordend/epd/news4.html .

Dat lijkt mij niet. Ik heb in 2010 een rapport geschreven met aanbevelingen voor verbeteringen die de risico's bij een aanval iets verminderen (zie http://www.science.uva.nl/~noordend/epd/alles-op-een-rijtje/ ). Hier is nog vrijwel niets mee gebeurd. Maar ook als de aanbevelingen worden overgenomen, wordt het LSP niet heel veilig; het blijft door de schaal een inherent heel risicovol systeem.

De beste aanbeveling die ik kan doen is om het model fundamenteel aan te passen. Bijvoorbeeld door het gebruik meerdere decentrale systemen, zoals regionale schakelpunten die niet aan elkaar gekoppeld zijn.

Dit is de grootste drogreden tot dusver. Een landelijk schakelpunt is (zoals de naam al zegt) landelijk, niet regionaal. Ik heb niets tegen een echt regionale uitrol van de LSP techniek, op de schaal van de OZIS ringen. Maar dan moeten die regionale systemen wel echt hard zijn afgeschermd. Dat is niet het geval in het LSP. Ten hoogste kun je daar wat logische “regionale schotten” inzetten, maar dat gaat niet werken Die schotten verdwijnen in no-time weer uit het systeem. Ook instelbare toegangsregels gaan nooit werken. Wie stelt ooit toegangsregels in? Waar moet je die instellen, en wie krijgt wel en niet toegang? Het resultaat is dat (in tegenstelling tot bij OZIS, waar de grenzen van de ringen echt keihard zijn) deze software oplossingen zo weer uit het systeem verdwenen zullen zijn.

De agenda voor de doorstart wordt uiteindelijk door de koepels bepaald, in samenspraak met leveranciers en Nictiz. Tot nog toe opereren de koepels redelijk ondemocratisch. Van een ledenraadpleging over de doorstart door de koepels was bij mijn weten geen sprake. Experts noch burgers hebben inspraak gehad voordat de doorstart werd gepresenteerd. Ook de de leveranciers tonen, bij monde van Stichting OZIS, weinig democratisch besef door eenzijdig te besluiten om OZIS uit te faseren. Veranderingen zijn dan ook duur, en de doorstart moet met minimaal budget.

Overigens, eerlijk: mocht u echt inspraak krijgen en druk kunnen uitoefenen op de koepels om het model te veranderen, zou u dat dan doen? Dit is een belangrijk punt. Als kosten de belangrijkste overweging zijn, is de landelijke weg waarschijnlijk niet de beste weg. Als grote veranderingen op landelijke schaal moeten worden gecoördineerd, is dit kostbaar. In het Verenigd Koninkrijk is men recentelijk vanuit kosten-overwegingen afgestapt van de centrale regie over de Zorg-ICT, ten behoeve van aansturing vanuit de regio. Het is niet waarschijnlijk dat de doorstart van een centraal systeem zal leiden tot minder top-down aansturing.

In Trouw stond op 9 september 2011 in een artikel dat het EPD in een simpeler variant wordt doorgestart: "Gegevens worden niet centraal opgeslagen, maar kunnen indien nodig door de deelnemers worden opgehaald." Dit is hetzelfde verhaal dat al jaren wordt afgedraaid. Die opslag is helemaal niet het punt. De dossiers zijn via een centraal landelijk schakelpunt toegankelijk. Dat maakt het systeem kwetsbaar.

Dit moet inmiddels wel bekend zijn: in 2010 schreef ik al een reactie op een stuk van de voorzitter van KNMG, Arie Kruseman, waarin ik ook al aangaf dat het LSP veel meer was dan “slechts een wegennet” (zie http://www.science.uva.nl/~noordend/epd/kruseman.html ). Ik heb al begin 2010 de bevindingen van mijn beveiligingsonderzoek bij Nictiz en VWS onder de aandacht gebracht. Tot nog toe is hier vrijwel niets mee gebeurd. De ene oplossing die wél is overgenomen (die heeft met mandatering van medewerkers te maken), is op een manier doorgevoerd die alsnog kwetsbaar is voor misbruik.

Als het echt moet, dan is het huidige LSP misschien veilig genoeg te krijgen door er passen voor patiënten aan toe te voegen. Dit lost het probleem van 'zelf-autorisatie' op. Met zulke passen kunnen patiënten een arts autoriseren, voor toegang tot het dossier. Dit geeft de patiënt enige 'regie.' Echter, dan moeten er wel een paslezer op elk buro komen.

Passen zijn echter niet voor alle patiënten geschikt en zijn kostbaar. Dus misschien moet je zo'n pas alleen als keuzemogelijkheid aanbieden. Maar dat betekent weer dat patiënten zonder zo'n pas nog steeds risico lopen. En ook met passen zijn alle privacy en veiligheidsrisico's de wereld niet uit. Zonder grote aanpassingen kunnen er ook nu nog aanvallen vanuit het LSP plaatsvinden. De digitale handtekening van arts én patiënt moeten bij het bronsysteem gecontroleerd worden; dat is nu niet het geval. Bovendien blijven verwijzingen en logfiles in het LSP gevoelig, en blijft het centrale systeem kwetsbaar voor aanvallen en uitval. Beschikbaarheid blijft altijd een punt bij een centraal systeem.

Met patiëntenpassen kan het dus beter worden. Maar ook dan wordt de LSP-aanpak niet zonder risico's. En het is kostbaar. Gegeven het gerommel over de kosten en de koers tot nu toe, zie ik passen voor de patiënt er voorlopig nog niet komen.

Ik zie wel talloze flexibelere en betere oplossingen als het LSP niet doorgestart wordt. Ik zie een belangrijke rol voor een duidelijk dossierhouderschap door de door de patiënt vertrouwde zorgverlener. Daar ga ik later op in.

Voor waarneming via een pull-systeem (zoals voor dienstwaarneming door de huisartsenpost) volstaat een regionale grens. Op kleine schaal in een regio kun je OZIS prima gebruiken, of een LSP-achtige opzet maar dan opgezet als een Regionaal Schakelpunt (RSP). Voor een RSP moet de infrastructuur op regionale schaal uitgerold worden, dus met een harde grens zoals bij OZIS, en niet als landelijk schakelpunt zoals nu de bedoeling is. Bovenregionaal moeten andere oplossingen gevonden worden, niet landelijk 'pull'.

Voor bovenregionale communicatie bestaan al oplossingen. Email (zoals zorgmail van e.Novation) en gericht berichtenverkeer ondersteunt communciatie tussen huisarts of apotheek en de specialist veilig, gericht, en direct. Daarmee kunnen gestandaardiseerde berichten landelijk uitgewisseld worden. Dit is gerichte communicatie van een arts naar een specifieke andere arts, en daarom erg veilig. Bovendien mag dit soort communicatie binnen WBP (en WGBO) plaatsvinden zonder toestemming, ook wanneer de patiënt geen toestemming voor de verwerking van gegevens via een schakelpunt geeft. Dit mag omdat de ontvanger van de informatie bij email en berichtenverkeer vantevoren vaststaat. Dit lijkt mij belangrijk.

De eenvoudigste en meest vertrouwde manier om controle te behouden, zowel vanuit de arts als de patiënt gezien, is wanneer het dossier op één plek ligt. Dan weet de patiënt waar het dossier ligt, en dus ook wie verantwoordelijk is voor en aanspreekbaar op zowel de inhoud als op de ontsluiting van dat dossier.

Het LSP gaat echter uit van een heel ander model. Het idee van het LSP is dat 'het' dossier overal staat, verspreid door het hele land. Het landelijke schakelpunt neemt de rol van toegangsbewaker over. Inhoudelijk wordt het dossier samengesteld uit informatie die door verschillende zorgverleners is genoteerd. De controle over ontsluiting van het dossier ligt nu niet meer bij de zorgverlener of de patiënt, maar bij het LSP. De vraag is of dit verstandig is. Wie zal zich in dit model verantwoordelijk voelen voor de bewaking van het dossier als geheel, voor zowel de inhoud als de ontsluiting daarvan?

Dossierhouderschap biedt een alternatief. Als uit te vinden is welke huisarts en apotheek door een patiënt zijn uitgekozen als vertrouwde huisarts en apotheek, dan kunnen die twee partijen de kwaliteit van het dossier bewaken. Om het dossier compleet te houden moeten ziekenhuizen en andere zorgverleners relevante gegevens naar de huisarts en apotheek sturen. Een goede informatievoorziening richting eigen huisarts en de 'medicatiebewakende apotheek' is hiervoor nodig. Dit kan veilig per email of gericht berichtenverkeer. Dit past binnen het zorgproces.

Huisarts en apotheek kunnen op deze manier zowel patiëntveiligheid als het delen van gegevens bewaken. Dit is een natuurlijke rol voor deze partijen als vertouwenspersoon van de patiënt. Deze partijen hebben zo ook een directe verantwoordelijkheid richting de patiënt, wat de kwaliteit van de zorg én de privacy ten goede komt.

Afhankelijk van de behoefte van de patiënt kunnen afspraken gemaakt worden over welke gegevens ontsloten worden en welke niet. Soms kan de ontsluiting via een regionaal schakelpunt, maar alternatieven zijn ook mogellijk, zoals via een kopie van het dossier onder beheer van de patiënt. Uiteindelijk is dit de keuze van de patiënt. Dit is opnieuw een argument voor meer diversiteit in de technologie van uitwisseling van gegevens.

Er zitten meerdere technieken in het LSP die nuttig zijn, van de afhandeling van de EMD en WDH berichten, tot aan het omgaan met digitale hantekeningen en UZI passen. Veel hiervan is herbruikbaar in andere systemen, ook op regionale schaal.

Ik zie veel in een open-source model. In een open-source model wordt de LSP broncode (die is ontwikkeld met belastinggeld) gratis vrijgegeven. Vervolgens kan iedereen (hackers, bedrijven) het systeem bestuderen en doorontwikkelen. De open-source broncode van het LSP kan op termijn mogelijk ook een basis vormen voor regionale schakelpunten (RSPs).

Voor regionale of decentrale oplossingen zijn een grote ontwikkel- of beheersorganisatie niet nodig. Als de leveranciers het EMD met WDH echt zo belangrijk vinden als ze zeggen, dan kunnen zij snel genoeg een open source RSP oplossing regionaal gaan toepassen, ter vervanging van OZIS. Dan kan OZIS uiteindelijk echt uitgefaseerd worden, en dan kan iedereen alsnog “de balans opmaken” over hoe het systeem werkt. Dit zal ook niet gratis zijn, en dit zal uiteindelijk ook door zorgverleners moeten worden betaald. Maar de zorgverlener heeft dan wel een keuze, en het systeem draait dan wel op echt regionale schaal, beheersbaarder en veiliger dan het LSP.

Het voordeel van een RSP-aanpak voor de leveranciers is dat zij veel van de software die zij geschreven hebben voor het LSP direct kunnen hergebruiken. De aansluiting van een RSP is identiek aan die van het LSP. Het huidige LSP is overigens niet zomaar geschikt om als regionaal schakelpunt te functioneren. Ook regionaal kan een centraal schakelpunt kwetsbaar zijn. Er moeten daarom technische verbeteringen plaatsvinden, zoals ik in 2010 ook al aanraadde voor het landelijke systeem. Mijns inziens kunnen technische verbeteringen wel meer geleidelijk en eenvoudiger worden doorgevoerd in een regionaal systeem dan op landelijke schaal. Een reden daarvoor is dat niet elke regio in dezelfde tijd 'over moet'.

Ten slotte bestaat bij regionale systemen een meer directe invloed van gebruikers op functionaliteit, schaalgrootte en gebruik, in samenspraak met de leveranciers. De regie (beslissingen over aanschaf, sturing op functionaliteit e.d.) ligt regionaal.

Kleinschaliger maken en difersiëren van systemen en infrastructuren is juist goed. We moeten weg van de afhankelijkheid van één of enkele centrale componenten in grootschalige systemen. Het 'vertrouwensmodel' dat ten grondslag ligt aan het EPD-ontwerp is inadequaat. Als er in het LSP bij één schakel van het systeem iets mis gaat, centraal of decentraal, dan kan dat een mogelijkheid geven om medische gegevens op te vragen, van waar dan ook in het land. Dit maakt het ontwerp van het EPD niet adequaat, en niet veilig genoeg.

Het wordt geen zooitje na het stoppen van het LSP. Regionale systemen kunnen straks – zonder dat de zorgverlener er veel van merkt – net zo goed gebaseerd worden op landelijke standaarden als het landelijke systeem. Nederland is qua standaardisering van medische gegevens de puinhoop ver voorbij. Bovendien blijft het deel van Nictiz dat over standaardisering gaat gewoon bestaan, financieel stevig ondersteund door de overheid. Het gaat hier om circa 75 FTE per jaar!

Het is belangrijk om na te denken over privacy-beschermende oplossingen voor de uitwisseling van medische gegevens. Deze kunnen juist in regionaal verband goed worden uitgeprobeerd. De beste technieken zullen zo vanzelf naar boven komen, en uiteindelijk mogelijk landelijk worden toegepast. Dit biedt de zorgverlener en de patiënt keuzevrijheid en hopelijk op termijn een écht privacy-beschermend alternatief. Zeker als het dossierhouderschap goed geregeld is, lijkt mij het werken vanuit de regio een veelbelovende, en de meest veilige en meest kosten-efficiënte manier van werken.

Dit is onjuist. De richtlijn medicatieoverdracht is een zelf opgelegde richtlijn, en handhaving zal zich aan de realiteit aanpassen. Bovendien spreekt de richtlijn over een termijn van 24 uur waarbinnen een voorschrijver over actuele informatie rond medicatie van een patient moet beschikken. Dit geeft voldoende tijd om gegevens bij een huisarts of apotheek (of diens waarnemer) op te vragen.

De KNMP werkt verder aan een PDF-formaat om medicatiegegevens op een standaard manier te kunnen uitdraaien uit een AIS of HIS; dit overzicht kan als PDF per veilige email naar de voorschrijver worden gestuurd, of gewoon meegegeven worden aan de patiënt, op papier of op een USB stick. Dit is werkbaar, ook zonder landelijke koppeling van alle systemen.

Eventueel kunnen gegevens opgevraagd worden via een waarnemer, die via een regionaal afgeschermd systeem (eventueel OZIS) toegang heeft tot het HIS of AIS. De gegevens kunnen dan bijvoorbeeld via veilige email gericht naar de huidige behandelaar worden opgestuurd. Maar in de regel zal dit niet nodig zijn, zeker niet bij geplande (bovenregionale) zorg.

Kortom, er zijn heel veel manieren denkbaar om zowel de kwaliteit van de gegevens te bewaken, als om tijdig de benodigde gegevens op te kunnen vragen of vooruit te sturen, en zo te voldoen aan de richtlijn medicatieoverdracht. Dit kan zonder het LSP, zeker met een duidelijk dossierhouderschap, goed samengaan met een goede privacybescherming.

Het mag duidelijk zijn dat ik mijn geld niet zet op het LSP. Voor mijn gevoel is dat doormodderen in een politiek proces dat veel geld kost en maar weinig verbetering oplevert. En de beveiliging zal niet op orde komen, laat staan dat het beter wordt. Afsluitend vraag ik me af hoe dit naar de patient te verantwoorden is. “De Eerste Kamer vond het systeem te onveilig, maar we gebruiken het toch – en eigenlijk heeft u geen keuze want een ander systeem hebben wij niet”? Is dat wat wordt bedoeld met een op-in voor het verbeteren van de 'regie' of de zeggenschap van de patiënt? Een keuze is namelijk helemaal geen keuze als er geen andere keuze is.

Samenvattend: de ontwikkeling moet mijns inziens terug naar de basis, naar de regio's waar direct samengewerkt wordt. Buiten die regio moet je niet met 'pull' systemen werken, maar met een meer directe en veiliger manier van gegevensoverdracht. Bijvoorbeeld via 'push' gegevensverkeer, te beginnen met een duidelijk dossierhouderschap.

Frequently Asked Questions

Feit en fictie over de EPD doorstart