Afgelopen week stond er een artikel op Nu.nl. waaruit blijkt dat gezondheidszorg organisaties nog steeds niet doorhebben hoe het nu precies zit met het Elektronisch Patiënten Dossier. Dit artikel beschrijft dat de CG-Raad, de belangenorganisatie van gehandicapten en chronisch zieken, hackers wil inschakelen om het elektronisch patiëntendossier te kraken. Nu ligt het hele plan stil, omdat er geen garantie gegeven kan worden dat de dossiers goed genoegd beveiligd zijn tegen kwaadwillenden. Volgens Nu.nl: “De CG-raad wil de impasse doorbreken. Als de hackers het systeem niet kunnen kraken, kan het vertrouwen in het elektronisch patiëntendossier weer groeien, hoopt de organisatie.”
Dit is een grote onzin-actie. Mogelijke hackers zijn niet het gevaar voor het Elektronisch Patenten Dossier (EPD). Artsen en medewerkers die gebruik maken van het EPD zijn het gevaar! Het EPD is bedoeld voor het faciliteren van de elektronische uitwisseling van zorginformatie tussen hulpverleners voor zover dat voor de behandeling of verzorging van de patiënt aangewezen is. Wat is nu het probleem?
Ten eerste: patiënten worden niet op de hoogte gesteld dat hun gegevens in een EPD staan. Daar moet men eerst toestemming voor geven. Dit allemaal volgens artikel 7:457** van het burgerlijk wetboek (ook artikel 13 Wet Bescherming Persoonsgegevens) waar de privacyregeling omschreven staat. *)
Ten tweede is geconstateerd dat het mogelijk is voor EPD-aangesloten medici dat zij gegevens op kunnen vragen van patiënten die niet door hen behandeld worden, en hun actie dus in strijd is met artikel 457 uit het burgerlijk wetboek! (zie hieronder)
Ten derde (en dat is echt niet nodig!) moeten alle raadplegingen worden 'gelogd'. Echter, met deze log gegevens wordt onvoldoende of helemaal geen controles uitgevoerd. De logging dient op zodanige wijze plaats te vinden, dat op elk willekeurig moment met terugwerkende kracht kan worden nagegaan welke persoon toegang heeft gehad tot de gegevens van een patiënt. Daarnaast dient de logging regelmatig te worden gecontroleerd op onbevoegde raadplegingen. (zie artikel 13 WbP)
Oftewel, het gevaar of het ‘lek’’ waar iedereen zo bang voor is, zit hem vooralsnog niet in mogelijkheid tot het verkrijgen van toegang tot het systeem, het ‘lek’ ontstaat door de organisaties of artsen zelf die een EPD gebruiken en niet gecontroleerd worden hoe zij met patiëntengegevens omgaan. Het lijkt me verstandig als alle gezondheidszorgorganisaties eerst daar heel veel aandacht aan gaan besteden.
Enigszins vergelijkbaar is de Identity Management oplossing "Red Spider" voor MBO en VO scholen die we op dit moment bouwen en implementeren. Inmiddels meer dan 100.000 studenten, medewerkers, parttimers, ouders en verzorgers allemaal aangesloten op een Elektronisch informatie systeem waarmee de juiste informatie voor de juiste doelgroep op het juiste moment in het juiste formaat beschikbaar is. De methode is recht-door-zee: alle relevante informatie uit alle mogelijke 'voedende' systemen (zoals Oracle, Peoplesoft, etc.) wordt verzameld in één grote opslag.
En nu komt het: op grond van ‘de rol’ die een persoon heeft, wordt geregeld welke informatie beschikbaar is. Er wordt dus veel tijd besteed aan het vastleggen van regels, condities, voorwaarden, rechten en plichten die bij een bepaalde rol horen. Op grond van deze rol-gebaseerde verzameling van regels wordt de beveiliging ingericht. Zo kan de informatie beschikbaar worden gesteld aan de zogenaamde 'afnemende' systemen, zoals een E-learning omgeving, een informatie 'portal', een E-mail account, toegang tot een eigen 'home-directory' etc. Voorbeeld: leerlingen kunnen toegang krijgen tot hun webportal, waar al hun persoonlijke informatie staat, maar dit lukt niet als zij toegang willen verkrijgen vanuit de docentenkamer. Want: leerlingen worden niet geacht rond te lopen in de docentenkamer, en veel belangrijker, docenten worden niet geacht in te loggen op de persoonlijke webportal van hun leerlingen.
Het is dus niet alleen een kwestie van veilig inloggen, het is vooral zaak om van te voren de rollen te definiëren. Pas als dit voor elkaar is werkt beveiliging van persoonsgegevens pas echt.
*Artikel 13 WbP:
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
**Artikel 457 Burgerlijk wetboek 7
Afdeling 5. De overeenkomst inzake geneeskundige behandeling
Artikel 457
1. Onverminderd het in artikel 448 lid 3, tweede volzin , bepaalde draagt de hulpverlener zorg, dat aan anderen dan de patiënt geen inlichtingen over de patiënt dan wel inzage in of afschrift van de bescheiden, bedoeld in artikel 454 , worden verstrekt dan met toestemming van de patiënt. Indien verstrekking plaatsvindt, geschiedt deze slechts voor zover daardoor de persoonlijke levenssfeer van een ander niet wordt geschaad. De verstrekking kan geschieden zonder inachtneming van de beperkingen, bedoeld in de voorgaande volzinnen, indien het bij of krachtens de wet bepaalde daartoe verplicht.
2. Onder anderen dan de patiënt zijn niet begrepen degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst en degene die optreedt als vervanger van de hulpverlener, voor zover de verstrekking noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden.
3. Daaronder zijn evenmin begrepen degenen wier toestemming ter zake van de uitvoering van de behandelingsovereenkomst op grond van de artikelen 450 en 465 is vereist. Indien de hulpverlener door inlichtingen over de patiënt dan wel inzage in of afschrift van de bescheiden te verstrekken niet geacht kan worden de zorg van een goed hulpverlener in acht te nemen, laat hij zulks achterwege.
