ANALYSE - Het EPD kent een lange geschiedenis. Voorstanders zeggen dat het absoluut noodzakelijk is het EPD in tevoeren omdat het mensenlevens redt. Tegenstanders wagen dat betwijfelen, en hekelen het IT-sausje dat nu over talloze databases in de geschonken wordt.
Heeft u wel eens ‘De grote beurt‘ gezien? Dit is een auto-programma kloon van MTV’s ‘pimp my ride‘ waar oude auto’s een makeover krijgen om ze weer hip&cool te maken. Probleem bij al het opleuken dat in deze programma’s wordt gedaan is dat onder de nieuwe lak en glimmende velgen het een oude auto blijft die z’n beste tijd gehad heeft. Zo is het ook met het EPD.
Ruim twaalf jaar geleden werd onder leiding van Minister Els Borst het plan opgevat een nationaal elektronisch patiëntendossier te realiseren. Een dergelijk dossier zou medicatie- en andere fouten door informatieachterstand bij zorgverleners voorkomen en zo vele mensenlevens redden. Het waren tenslotte de jaren ’90 en er was niets dat IT niet leek te kunnen oplossen.
In 2002 werd stichting Nictiz opgericht. Deze, door het ministerie van VWS gefinancierde non-profit-zonder-formele-macht, zou het nationaal EPD gaan realiseren. Al vrij snel werd besloten dat er geen echt nationaal EPD zou komen maar een soort zoekmachine die data uit alle systemen brokjes data over een specifieke patiënt trekt. Zo’n zoekmachine-oplossing is veel complexer dan een centraal systeem.
De beschikbaarheid en volledigheid van data is in een dergelijke architectuur niet afhankelijk van één systeem maar van alle aangesloten systemen die relevante data bevatten. En welke dat zijn weet niemand, want als we dat wisten was het EPD op deze wijze niet nodig. Aangezien de informatie uit het EPD gebruikt wordt voor levensreddende handelingen, moet het altijd realtime beschikbaar zijn en volledig correct. Een EPD waar cruciale data aan ontbreekt (omdat een deel-systeem even offline is of omdat de data in dat deel-systeem niet correct zou kunnen zijn) is onbruikbaar voor de trauma-arts die geen seconde meer kan wachten.
Waarom kiezen voor een dergelijke oplossing? Waarom niet een enkel zeer goed beveiligd, redundant uitgevoerde oplossing waar alle zorginstellingen gratis op kunnen aansluiten? Dergelijke systemen zijn weliswaar niet eenvoudig te bouwen, maar het is een oplosbaar probleem en een enkel goed gebouwd en beheerd systeem zal een grotere beschikbaarheid hebben dan een verzameling van honderden of zelfs duizenden legacy systemen van zeer uiteenlopende kwaliteit die allemaal moeten functioneren om tot een werkend geheel te komen.
Het lijkt een bestuurlijke keuze te zijn geweest. Het invoeren van een echt centraal en nationaal systeem voor alle zorginstellingen (waarbij een huisarts ook als ‘instelling’ telt) werd politiek onhaalbaar geacht. Voor invoer van een dergelijk systeem zouden de duizenden automatiserings-eilandjes van de Nederlandse zorg allemaal afgebroken moeten worden en zou de overheid al die instellingen moeten overtuigen (of dwingen) tot het gebruik van een centraal systeem. Geen bestuurder die zich daaraan wilde branden dus werd het probleem bij de techniek gelegd. Men liet decennia aan zorg-IT legacy gewoon in stand en bouwde een laagje software er overheen dat alles aan elkaar zou lijmen. Pimp my EPD.
Onder dat laagje spuit-chroom blijven de oude spullen echter gewoon doorpruttelen. En de oude roest vormt een significant privacy en veiligheidsprobleem dat in alle commotie rond de angst voor meekijkende medici (en verzekeraars) wat aan het ondersneeuwen is.
Ziekenhuizen die zich lieten hacken
In 2005 schreef Karin Spaink in opdracht van XS4all een boek (zie ook de hele boekpresentatie) over het elektronisch patiëntendossier en de privacy-aspecten ervan. Om haar punt dat er van alles mis was met de beveiliging van medische gegevens kracht bij te zetten vond ze twee ziekenhuizen die zich wel eens wilden laten hacken door specialisten van IT-beveiligingsbedrijven. De directies van deze instellingen hadden een groot vertrouwen in hun IT-beveiliging en wilden dat graag laten bevestigen door een aantal tophackers hun tanden te laten stukbijten op hun firewall. Het liep anders.
Job de Haas van ITSX bleek niet alleen in staat door firewalls heen te prikken, maar verbleef langdurig op de netwerken en databases van een groot ziekenhuis alwaar hij volledige toegang had tot vertrouwelijke gegevens van meer dan een miljoen mensen (video). Ook kon hij wijzigingen aanbrengen in de data als hij dat had gewild. Zijn langdurig verblijf werd niet opgemerkt door de systeembeheerders van het ziekenhuis, er was geen inbraakalarm.
Roland Vergeer (video) liep letterlijk door de voordeur naar binnen met een laptop onder de arm en ging een paar dagen kantoor houden in het ziekenhuis. Vele hulpvaardige zorgverleners wezen hem waar de koffie en het kopieerapparaat stond. Wachtwoorden en andere gegevens werden zonder veel problemen verkregen en ook hier waren de gevolgen voor schade aan privacy en veiligheid van patiënten niet te overzien geweest als er kwade bedoelingen waren geweest. Zowel RTL als het NOS-journaal maakte items en een zwetende minister mocht in de Tweede Kamer uitleggen hoe dit nu toch weer kon gebeuren. Invoering van het EPD werd een jaar uitgesteld.
Dood stuk ijzer
Naast het overduidelijke privacyprobleem dat door de hacks scherp werd neergezet, was er nog een ander probleem. Voor het adequaat functioneren van een modern ziekenhuis dienen computersystemen en netwerken goed te werken. Röntgenfoto’s en allerlei andere levensreddende apparatuur is tegenwoordig volledig gedigitaliseerd, waardoor een nuttig medisch instrument in een seconde gereduceerd kan worden tot een dood stuk ijzer als er een virusje in de aansturende computer kruipt.
Dit overkwam het Spaarne ziekenhuis in maart 2005 en diverse ziekenhuizen sindsdien (dergelijke incidenten worden niet altijd gerapporteerd). De pc’s die digitale röntgenapparaat, MRI-scanner en dergelijke aansturen zijn vaak nauwelijks voorzien van beveiliging, maar zijn wel onderdeel van het computernetwerk van een ziekenhuis dat (zo bleek althans in 2005) niet echt waterdicht was. Iemand met kwade bedoelingen kan dus niet alleen de privacy van patiënten schaden, maar ook de patiënt zelf door het ontzeggen van cruciale functies van een moderne zorginstelling.
In 2005 heeft de Minister een plechtige belofte gedaan dat een dergelijk incident zich nooit meer zou voordoen. Alle zorginstellingen moesten de NEN7510 informatiebeveiligingsnorm implementeren en dan zou het helemaal goed komen. Vraag is dan wel wie dat toetst. In 2005 gaf de IGZ (Inspectie voor de Gezondheidszorg) aan dat zij op dat moment niet de kennis, capaciteit hadden om audits uit te voeren op NEN7510 of het mandaat om hard in te grijpen. We weten allemaal hoe het afloopt met normen waar de toezichthouder zich niet mee bezig houdt (kuch – diginotar – kuch).
Wellicht moest de hack van 2005 nog maar eens worden overgedaan bij een stuk of dertig instellingen, om een evenwichtig beeld te krijgen van de huidige stand van zaken. Ik vrees dat de uitkomsten niet fundamenteel anders zullen zijn dan zeven jaar geleden, maar laat me graag door een auditrapportage van de IGZ overtuigen. Waar zijn die auditrapportages trouwens?
Een enorm, acuut probleem
Wat mij altijd heeft bevreemd is de prioriteitsstelling van het EPD. Het Ministerie van VWS roept te pas en te onpas dat het probleem heel groot en acuut is. Er zijn wel 19.000 (of toch 90.000?) onnodige ziekenhuisopnamen per jaar waarvan ongeveer 1700 met dodelijke afloop, mede door het ontbreken van een EPD. Het probleem is dus zo enorm dat we nu echt even geen tijd hebben voor lastige vragen over privacy en dat soort gedoe. Een soort ‘War On Medicatiefouten’ zeg maar.
Laten we (voor de discussie) eens aannemen dat de door VWS en andere partijen al jaren en bij herhaling gebruikte cijfers in orde van grootte kloppen. Dat er in Nederland al jaren (in ieder geval vanaf 2002 en wellicht al veel langer) per jaar 1700 mensen onnodig dood gaan mede doordat de informatievoorziening in de zorg niet goed geregeld is. Dat zijn dus zo’n 17.000 doden. Dat is dus met afstand de grootste nationale ramp sinds de tweede wereld oorlog. Kosten: 1.4 miljard per jaar. Dit is wat VWS zegt dat er aan de hand is als we vragen naar het waarom van het EPD.
Kan iemand mij dan uitleggen waarom dit probleem jarenlang in handen is gegeven van een stichting (Nictiz) zonder formele macht, op grote afstand van de minister en met een jaarbudget van slechts 10-15 miljoen euro? Waarom was/is dit niet het allerbelangrijkste onderwerp van VWS, met de top van het Ministerie dagelijks met de hand aan het stuur, met wekelijkse updates aan het kabinet en parlement? Als de veelgebruikte cijfers niet kloppen, worden wij (en ons parlement) al jaren ‘verkeerd geïnformeerd’ zoals dat netjes heet (dat zou politieke consequenties moeten hebben!). Als de cijfers wel kloppen is er iemand ergens wel extreem nalatig geweest in het oplossen van een nationale ramp met behulp van opgewarmde, met fake-chroom overgespoten, IT-legacy (dat zou politieke consequenties moeten hebben!).
Nog erger dan de OV-chipkaart
Sinds de hack-demonstratie in 2005 zijn er (volgens de cijfers Nictiz/VWS) ongeveer 10.000 mensen om het leven gekomen door falende informatisering in de zorg. Een met publiek geld en volgens een door politiek gemotiveerd ontwerp gebouwd systeem wordt nu in geprivatiseerde vorm toch ingevoerd (ondanks de unanieme afwijzing ervan door de Eerste Kamer). De Minister geeft weer aan dat zij hulpeloos en machteloos is en vergeet voor het gemak dat zij de (mede-)veroorzaker is van de situatie waar ze geen macht over zegt te hebben. De Tweede Kamer is weliswaar verontwaardigd over de honderden miljoenen die uitgegeven zijn, maar stelt de bovenstaande, zeer evidente, vraag niet aan die Minister.
Het hele dossier lijkt een nog groter en zieker (no pun intended) dossier te worden dan de OV-chipkaart. Maar die gaat dus ook gewoon door. Vorig jaar was uitschrijven van het EPD nog een optie, die weg is door privatisering nu ook afgesloten. Dan maar zelf je dossier bewaren en versleutelen? Dan wel dubbelplus-crypten en een van de sleutels aan iemand anders in bewaring geven, want sleutels kunnen in de toekomst opgeëist worden op straffe van vrijheidsberoving. Vreemde situatie dat je het recht op medische privacy alleen kan behouden door de randen van de wet op te zoeken.
Hier de boekpresentatie van ‘Medische Geheimen’ (Karin Spaink) in september 2005. Paneldiscussie met mijn bijdragen op 27m35s. Ne plus ce change…
Update: vlak na plaatsing van de Webwereld column verscheen het bericht dat de maker van de software van het centrale gedeelte van het EPD (het Landelijk SchakelPunt – LSP) mogelijk de Amerikaanse overheid toegang moet verlenen onder de US Patriot Act.
Deze column verscheen eerder op Webwereld.
Reacties (14)
“Waarom niet een enkel zeer goed beveiligd, redundant uitgevoerde oplossing waar alle zorginstellingen op kunnen aansluiten? Dergelijke systemen zijn weliswaar niet eenvoudig te bouwen, maar het is een oplosbaar probleem .. ”
– Mooi voorbeeld van het middel dat erger is dan de kwaal en natuurlijk wordt “kunnen aansluiten” moeten aansluiten.
– Zo’n groots, meeslepend, breed toepasbaar systeem is vaker geprobeerd met meestal aanzienlijke vertraging, snel oplopende kosten en toenemende beperkingen. Als het al gaat werken dan vaak met “het systeem zegt nu eenmaal ..”.
“De beschikbaarheid en volledigheid van data is .. afhankelijk van alle aangesloten systemen die relevante data bevatten”
– Waarom “volledig”, hoe minder onvolledig hoe beter, alle beetjes helpen. Het meest kwetbare is de wijze van data opslag, ook in EEN groots systeem kan dat mis gaan en daarmee de “volledigheid”.
(E)lektronisch (P)olitieke (D)ebiliteit ;-)
follow the money….wie profiteert van dit alles? ik denk de IT bedrijven die lustig facturen kunnen schrijven in dit circus. Ben erg benieuwd of er vanuit de IT branche een grote lobby gaande is?
gewoon een smartcard met daarop alle gegevens die de patient zelf bij zich moet dragen, klaar.
Jawel er zijn overeenkomsten tussen Sargasso en extreem-rechtse websites:
http://www.artikel7.nu/overheid-bestuur/elektronisch-patientendossier-wel-of-niet.html
@4: sja je weet hoe computers werken, na het moment van lezen (kopieren) heb je geen controle meer over de data, smart card lost dat ook niet op.
Enige dat helpt is pluriformiteit en opdelen van macht, en ja, dat is niet efficient of makkelijk.
@5: Beide sites hebben moeite met het vervoegen van werkwoorden?
Verder: Mijn buurman is net Hitler, want die hield ook van honden.
Je hebt geen humor Bismarck. En de vergelijking slaat nergens op.
Ik denk eerder aan een hoefijzer.
at de maker van de software van het centrale gedeelte van het EPD (het Landelijk SchakelPunt – LSP) mogelijk de Amerikaanse overheid toegang moet verlenen onder de US Patriot Act
en
De Patriot Act en de FISA Amendment Act maken het mogelijk dat een Amerikaans bedrijf wordt gedwongen om gegevens die zij beheren af te staan.
Toegang tot wat, en welke gegevens beheren zij.
Het schakelpunt bevat geen data, hooguit toegangscodes (logins). Er worden accountgegevens beheerd, geen medische gegevens. Amerikaanse bemoeienis kan dus wel een beveiligingsrisico opleveren maar niet direct gegevensuitwisseling.
Het lijkt me overigens wel nuttig om het EPD onbereikbaar te maken voor netwerken buiten Nederland.
NEN 7512 – vertrouwensbasis voor gegevensuitwisseling, een aanvulling op NEN 7510. Deze norm geeft een benadering voor classificeren van communicatieprocessen naar het risico dat zij in zich hebben. De norm geldt dus als de onderste basis voor het vertrouwen. Je zou ook kunnen redeneren dat er gesteld wordt; wij voldoen aan de norm, dus vertrouw ons maar, want wij weten bij benadering hoe we de communicatieprocessen kunnen classificeren. Norm is opgesteld o.a. door een lange lijst van medewerkers van diverse B.V.’s die een belang hebben bij de uitrol van het betwiste systeem.
@9: Meer dan accountgegevens heb je toch niet nodig? Je mag aannemen dat men af en toe bij specifieke personen wil kunnen kijken. Het kan interessant zijn om iemands dossier te wijzigen. Maar goed, ik heb te veel films gekeken.
@4: Wordt technisch denk ik lastig. Medisch apparaten zit vaak op de cutting edge van IT-techniek, inclusief de hoeveelheid data die verwerkt en opgeslagen kan worden. Dat is soms zelfs een bottleneck: scan van een paar minuten, is de computer vervolgens een paar dagen bezig met de data verwerken. Een paar keer een scan in het nieuwste apparaat en de rook komt uit de smartcard.
@4 en @12.
Behalve de hoeveelheid data zijn er wel meer bezwaren tegen alle opslag op een smart card of desnoods USB stick bij de gebruiker.
Wat te doen als deze persoonlijke opslag kapot of kwijt is? Is dan de hele medische geschiedenis van iemand verdwenen?
Wat als iemand een ongeluk heeft gehad? Hoe wordt dan de data op zijn smart card ontsloten? Ik neem aan dat het normaal gesproken geblokkeerd/gecodeerd is want anders is bij verlies iemands volledige medische dossier in te zien.
Banken bv. slaan al jaren onze gegevens centraal op. Hoe vaak worden die gegevens ingezien door onbevoegden?
@9. SWIFT is ook een “schakelpunt” tussen financiele instellingen maar de autoriteiten in de VS zijn wel degelijk in staat om het verkeer van een bericht in het verleden op te vragen.
De vraag is dus op wat voor niveau dat EPD schakelpunt opereert. Als er geen berichten worden opgeslagen / gevalideerd waarom is er dan een bedrijf als CSC nodig om als schakelpunt te dienen.
Als er alleen maar berichten worden getransporteerd dan hadden bedrijven als KPN of Verizon business dit toch ook kunnen doen?
Je stelt
“Het lijkt me overigens wel nuttig om het EPD onbereikbaar te maken voor netwerken buiten Nederland.”
Minister Schippers wil dat patienten moeten kunnen zien wie er inzage hebben gehad in hun gegevens. Dat betekent dat elke patient in Nederland toegang moet hebben tot de gegevens.
Dat kan niet in een afgesloten netwerk tenzij je een apart netwerk voor medische gegevens in Nederland aanlegt. Dat is ondoenlijk/onbetaalbaar. Die beveiliging moet op een ander niveau. Niet op netwerkniveau.
Dit is eigenlijk wel voldoende:
http://www.sostalisman.nl/uitvoeringen.html
Zijn volgens mij niet bestendig tegen een stoomwals, maar dan hebben ze ook geen medicijn e.d. gegevens meer nodig ;-)