EPD light is vooral een domme versie

Foto: Sargasso achtergrond wereldbol
,

Het Elektronisch Patiënten Dossier (EPD) zal een private doorstart maken, tenminste als het aan een aantal zorgverzekeraars en artsen- en apotheekorganisaties ligt. Veel details zijn nog niet naar buiten gebracht, maar wat er bekend is, stelt al behoorlijk teleur.

Het EPD werd eerder dit jaar unaniem door de Eerste Kamer afgeschoten. Dat was jammer. Het ministerie van VWS had zowaar een paar goede wijzigingen laten doorvoeren in de architectuur van het landelijke systeem. Zo zouden patiënten uitdrukkelijk toestemming moeten geven voordat iemand het dossier mocht inzien. De eerste goede gedachte in het hele ontwikkelingstraject: geef de burger controle over zijn eigen gegevens. Iets wat men bij andere digitale dossiers, zoals het Elektronisch Kind Dossier onbegrijpelijkerwijs, niet heeft gedaan.Het EPD liep toch averij op, omdat a) het vertrouwen weg was dat het ministerie na zoveel gemarchandeer nog een goede voorziening kon afleveren en b) het systeem zo’n complexe verknoping was, dat het eigenlijk niet te beveiligen viel.

Daar ging 300 miljoen euro aan investeringen. Dus moest en zou er een nieuwe poging gedaan worden. Nu ligt er dus een privaat initiatief. En het gaat meteen al mis. De initiatiefnemers willen het goedkoop houden – niet meer dan 10 miljoen euro per jaar mag het kosten – dus is de belangrijkste voorziening eruit gesloopt: toestemming van de patiënt bij inzage. Daarnaast wordt geen nieuw systeem gebouwd, maar wordt een aantal regionale EPD’s (die bestaan al) aan elkaar geknoopt. Tot slot wordt het voor zowel patiënten als zorgverleners niet verplicht om zich op het EPD aan te sluiten.

Mijn conclusie: de belangrijkste veiligheidsklep – controle door de patiënt – is eruit gesloopt. Er komt alsnog een ingewikkeld verknoopt netwerk van verschillende systemen. En de oorspronkelijke doelstelling – levens redden doordat ieders informatie beschikbaar is – kan nooit gehaald worden bij zo’n grote vrijblijvendheid.

Ik heb een suggestie: bouw verder op wat is ontwikkeld, maar stel nu eens de patiënt centraal. Niet de zorgverzekeraars die op de lucratieve gegevens zitten te azen, niet het zorgpersoneel dat op zoek is naar een quick fix, niet de overheid die zijn eigen prestige probeert te redden, maar gewoon u en ik en onze zeer gevoelige medische geheimen.

Reacties (14)

#1 Marie

Vergelijk het met de OV-Chipkaart, die ook is gebouwd voor de vervoerders, de staat, enz., maar vooral niet voor de reiziger. Die kwam pas in beeld als gebruiker toen het systeem er al lag.

Meestal leer je van je fouten, maar dat lijkt hier wederom niet te gebeuren…

  • Volgende discussie
#2 esgigt

Gaat zo niet goedkomen…
Ten eerste is er 300 miljoen geïnvesteerd zonder een groenlicht uit de politiek. Ik vind dat niet door de beugel kunnen. We betalen ons in dit land al wezenloos aan belastingen en dan is het zwaar kwetsend om te zien hoe er met dat geld omgesprongen wordt.

Ten tweede is het EPD afgeknald door de eerste kamer. Doorbouwen op wat er is kan dus niet. Tenzij jij de mening toegedaan bent dat departementen “zomaar” geld uit kunnen geven om tenslotte een produkt door te kunnen drukken dat en “nu toch” is?

Was dit binnen het bedrijfsleven gebeurd (zo’n EPD project), hadden de konten van diverse managers al keihard de straatstenen geraakt (zonder oprot-premie). (gaat mijn partner zo met geld om, dan idem dito!) Maar binnen departementen schijnt het zomaar te kunnen dat mensen vermogens over de balk smijten zonder dat dit consequenties heeft.

  • Volgende discussie
  • Vorige discussie
#3 Pieter

@2: sommige projecten, en zeker die in de IT, kosten enorm veel, voordat je uberhaupt kan zeggen of zaken definitief door gaan of niet. Je doet voorstudies, test-implementaties hebt gesprekken met allerlei belanghebbenden etcetera; denk je dat dat niets kost? En dat is nog voordat je alle wet- en regelgeving eromheen gaat vastleggen (je wilt het al helemaal niet omdraaien, dan zit je met wetten en regels die compleet niet aansluiten op de praktijk).

Dat gezegd hebbende; ik heb een aantal jaren terug op een congres waar ik zelf sprak een hoge pief van Getronics gesproken en die was aardig klaar met alle ellende omtrent het EPD; het enige voordeel eraan was dat ze nogal wat geld hadden verdient, maar de stress en ellende en de tanende voortgang waren vele malen frustrerender.

Er zijn wel EPD systemen die volledig uitgaan van de patiënt als spil in het web. Die systemen zijn volledig HIPAA gecertificeerd en worden gemaakt door grote Amerikaanse IT-bedrijven. Google Health was er zo eentje bijvoorbeeld.

Beveiligingstechnisch zitten die zaken prima in elkaar en ik heb meer vertrouwen in een los data-centrum en netwerk beheerd door een partij als Google/Microsoft/IBM/Apple en onafhankelijke audits van de beveiliging van de desbetreffende software dan in megalomane projecten van de overheid.

Notitie: ik heb zelf een aantal jaren terug als consultant met bovenstaande maken gehad — kan er niet te veel over uitweiden in verband met NDA’s.

  • Volgende discussie
  • Vorige discussie
#4 Pieter

Kleine toevoeging; ik zie dat er veel discussie is op web over of die EPD systemen wel of niet HIPAA gecertificeerd zijn. Ook bijvoorbeeld Amazon Web Services heeft wat HIPAA-compliance whitepapers op hun website staan. Mijn directe ervaring is dat ze enorm veel moeite doen om aan de HIPAA-standaarden te voldoen en dat de spelers in deze markt waarmee ik gewerkt heb zich continue een slag in de rondte werken om de veiligheid van de patient zijn data te waarborgen of het nu gaat om transmissie, verwerking of opslag van gegevens.

De HIPAA standaarden komen simpelweg wat te kort voor deze EPD systemen aangezien die standaarden meer gericht zijn op doktoren en ziekenhuizen; de wetgeving loopt in dit geval dus enorm achter (in de VS althans) op de markt.

  • Volgende discussie
  • Vorige discussie
#5 Jelle

De conclusie van dit schrijven vind ik geniaal door zijn eenvoud en dat hij duidelijk voor de hand ligt. Er zijn veel belanghebbenden, vooral financieel zijn de belangen zodanig verdeeld dat het belang van de informatievoorziening voor de cliënt op de achtergrond is geraakt. Mijn voorspelling is dat dit hard gaat falen. Door bezuinigingen zal als eerste de veiligheid een zorgenkind worden.
Neem bijvoorbeeld het private initiatief van Mediq Apotheken, je eigen pillendoos online en je mag van je af scribbelen wat je allemaal hebt waarvoor je die pillen nodig hebt; kortom, klant wordt uitgenodigd om veel informatie over zichzelf online te zetten. Vervolgens echter vonden de ontwikkelaars het ook een leuk plan om de Fun-factor voor de klant in te bouwen, als ware snoepje bij de tandarts. Dus wordt er vanaf een extern domein: YouTube.com videomateriaal ingebouwd waardoor SSL-certificaten falen. Dit is normaal, want een vertrouwde website moet alle informatie van de eigen server leveren. Wordt er dus iets ingevoegd van buiten het domein, dan krijgt de eindgebruiker een nette foutmelding dat het certificaat geldig is, maar dat er externe onderdelen onbeveiligd geladen worden. Gezien het feit de site is opgebouwd om zelfs oma nog aan de digitale pillendoos te helpen, zal oma dan ook snel certificaat-foutmelding-doof worden. Heeft Mediq daar ook een pilletje tegen?
Aanmelden kan hier: https://www.mediq-apotheek.nl/mijnmediq_inloggen.aspx?action=info

  • Volgende discussie
  • Vorige discussie
#6 Pieter

@5: alleen daarom al denk ik dat alleen 1 van de grote tech-giganten in staat zal zijn om dit voor elkaar te krijgen; qua infrastructuur en qua dat ze genoeg geld via andere kanalen genereren om zeker niet snel op andere inkomsten (advertenties, YouTube video’s etcetera) te hoeven gaan overstappen; daarna een kleine maandelijkse bijdrage van elk medisch professional en elke medische instelling voor algemene toegang (de patiënt besluit zelf welke arts wel of geen toegang krijgt tot zijn EPD, of the legal guardian van die patiënt in geval van wilsonbekwaamheid).

  • Volgende discussie
  • Vorige discussie
#7 Inca

@Jelle, en gelukkig is het heel goed beveiligd:
“Natuurlijk wilt u niet dat iemand anders uw gegevens zomaar kan inzien. Daarom vragen wij u om behalve uw naam en adresgegevens ook uw BurgerServiceNummer (BSN) op te geven.”

Want het BSN is een gegeven dat niemand anders heeft natuurlijk. Behalve… oa de verzekeraars, de banken, mijn werkgever…
Hmmmmm. Goed beveiligd, stelt me echt gerust.

  • Volgende discussie
  • Vorige discussie
#8 Maria

Op 2 juli 2011 schreef Marc Chavannes
Nieuwe idealen zijn geboden – niet alleen voor CDA en PvdA. Daarin meldde hij: ‘In de laatste dagen van het parlementaire jaar doet de Tweede Kamer denken aan de consument die tien minuten gratis winkelen heeft gewonnen. Ieder Kamerlid duwt nog een motie in het karretje om zijn favoriete achterstandsgroep te redden, liefst vóór de zomer.

Echte volksvertegenwoordiging. Ontroerend, even verstandig als in één ruk naar Zuid-Spanje rijden. In die eindroes kan het gebeuren dat een paar Tweede Kamerleden in een tussendoortje de minister van volksgezondheid groen licht geven voor het elektronisch patiëntendossier. Inderdaad, het EPD waar de Eerste Kamer 5 april wegens fundamentele privacy- en andere bezwaren een eind aan maakte. Nu wordt het ‘privaat’, nog steeds met overheidssubsidie, verder ontwikkeld. Met de zelfde systeemgebreken.

Dit soort vakantietrucs zijn niet goed voor het parlement. De wil van de Tweede Kamer is bijna per definitie democratisch, maar de minister en de technocratische epd-lobby laten doorknutselenen zo kort nadat een principieel onderzoek en debat in de Senaat leidde tot afwijzing van het project in de huidige opzet, versterkt het beeld van een Tweede Kamer die liefst wil meebesturen.’

Tot zover Chavannes. Op mij heeft het bijna een verlammende uitwerking. De democratie wordt open en bloot verkracht. Sorry voor deze zware woorden. Ik vraag me zelfs af of Heleen Dupuis geen fractievoorzitter van de vvd in de Eerste Kamer mocht worden vanwege haar inzet om het oude EPD-plan af te schieten.

Het is onbeschaamd dat Schippers en haar vvd en de zorgverzekeraars zo doorgaan. Het is ook onvoorstelbaar dat er nog zo weinig op gereageerd wordt door de burgers.

  • Volgende discussie
  • Vorige discussie
#9 Dimitri Tokmetzis

@Pieter. Eens dat private bedrijven veel goeds kunnen doen. Toch deel ik niet je mening dat de overheid hierin geen rol heeft. Je moet toch een voorziening inbouwen die opvangt wat er gebeurt als een bedrijf failliet gaat of als er een conflict tussen verschillende jurisdicties ontstaat. Dat is geen fantasie: er is een continue strijd gaande tussen de VS en de EU. Overigens ligt HIPAA in de VS vreselijk onder vuur omdat het onwerkbaar is voor zorgpersoneel.

Ik denk dat je al een stuk opschiet als je patienten een sleutel geeft die de informatie ontsluit. Zonder die sleutel, krijg je niets. Niemand dus. Dan zijn de eisen aan de architectuur ook al een stuk kleiner (of zit ik daar vreselijk naast?).

Volgens mij doen ze het in Frankrijk al zo. Dat zou ook goed werken voor bijv. het EKD. Wil je als politie bijv. informatie over iemand hebben? Dat kan, maar dan meot je met een verdenking naar een rechter commissaris en niet zomaar grasduinen in de zeer gevoelige gegevens – iets wat de grote steden nu wel mogelijk maken.

  • Volgende discussie
  • Vorige discussie
#10 Harold van Garderen

OK, dus er komt een EPD systeem, maar zonder mijn gegevens erin want ik geef geen toestemming. Dat is pas LIGHT, een leeg systeem. Lekker goedkoop ook. Nu nog ff kijken hoelang die private partijen dat lege systeem in de lucht gaan houden. Want als klant ga ik natuurlijk een niet-partner partij zoeken die dat geld er niet in steekt. Ik blijf dus graag op de hoogte.

  • Volgende discussie
  • Vorige discussie
#11 Pieter

@9: Oh, ik ben wel van mening dat de overheid hier een rol in moet hebben; alleen ik zou graag zien dat het proces begint uitgaande van de bestaande systemen die er zijn, gebouwd door de tech-giganten (Microsoft HealthVault, Google Health). Deze systemen werken al, ze schalen al en je hebt een enorm competente ingenieurs-schare bij die bedrijven zitten, van wereldklasse zelfs, die zo’n project technisch in goede banen kunnen leiden. De overheid pakt een systeem als dat als uitgangspunt en zegt: ‘we willen deze veranderingen zus en zo’ of ‘de data mag alleen in een Nederlandse Google-cloud opgeslagen worden’ of iets dergelijks. Zodra de overheid begint met het specificeren van zo’n project op een paar A4tjes groeit het uit tot een monster voordat er daadwerklijk technisch iets aan gedaan kan worden.

Ik heb een aantal jaren terug dat boekje van Spaink over het EPD gelezen en ik kreeg er als IT’er zijnde bijna nachtmerries van; *blergh*.

Qua sleutels voor de patiënt: zo werkt Microsoft HealthVault dus ook. Een patiënt logt in; ziet een authorisatie-verzoek van een dokter/instelling en kan dan besluiten om zijn gehele dossier open te stellen. De patiënt kan ook besluiten om alleen de informatie relevant voor de desbetreffende arts (zeg: een fysiotherapeut) te delen; alleen de röntgen-foto van de rug en niet de geschiedenis met betrekking tot zijn chlamydia-verleden ofzo

Dat werkt erg goed; probleem is alleen dat veel patienten het lastig vinden om een complex authorizatie-process te doorlopen en als resultaat alles maar open zetten; hoe je dat op moet lossen met UX technieken weet ik ook niet precies. Maar het concept van health care guardians (dus bv de lokale huisarts) die de toegang tot zo’n dossier bewaakt voor bijvoorbeeld een bejaarde zonder familie zou een optie kunnen zijn.

  • Volgende discussie
  • Vorige discussie
#12 high

@9 hoe maken de grote steden nu directe toegang voor justitie tot medische data uit het DD-JGZ mogelijk ?

@11 ik had al voorspelt dat de democratie zoveel zand in de eigen motor zou strooien dat uiteindelijk er bedrijven met een business case een EPD voor patienten gaan maken (die voor dokters bestaan al). Toch is Google Health net gestopt. De business case klopte niet. Vind dat de overheid in deze dan ook vooral de voorwaarden moet stellen en moet controleren. Het liefst met iets meer tanden dan een ombudsman.

  • Volgende discussie
  • Vorige discussie
#13 DSV
  • Volgende discussie
  • Vorige discussie