Kwaadschiks

COLUMN - Het EPD komt er toch, in private handen. De zorgverzekeraars krijgen al onze persoonlijke gegevens in handen.

Eind maart 2011 schoot de Eerste Kamer het landelijk elektronisch patiëntendossier af. De senaat was zo ongerust over de gebrekkige veiligheid plus de brakke privacybescherming van het EPD, dat ze invoering ervan uiteindelijk afwees. ‘Ach,’ dacht minister Edith Schippers, ‘als de overheid het niet mag doen, doen we het toch privaat?’

In november 2011 riep Schippers de zorgsector per brandbrief op om de handen ineen te slaan, en een maand later gaf ze Zorgverzekeraars Nederland 2,2 miljoen euro om het EPD zelf verder te ontwikkelen.

Zo legde Schippers het beheer van het landelijke EPD in handen van de private sector. Elke parlementaire controle of inspraak voor burgers in de vraag hoe het EPD zich nu ontwikkelt, is nu van tafel: het bedrijfsleven beslist zelfstandig over het EPD. Los van dat principiële democratische probleem, is er nog de kwestie van de kat op het spek binden. Patiëntengegevens onder de solitaire hoede van zorgverzekeraars brengen, is nogal discutabel. Juist verzekeraars willen graag weten welke klanten profijtelijk zijn en welke niet, welke klanten een ingreep of een medicijn ‘verdienen’ en wie mogelijk niet. Verzekeraars willen immers geen zorg bieden, maar winst maken.

Schippers maakte de puinhoop kortom nog duizendmaal erger dan-ie al was.

Critici vreesden voorts dat de zorgverzekeraars huisartsen of ziekenhuizen die niet aan het landelijke EPD wilden meewerken – onder medici lag het percentage mensen dat aangaf zelf niet in het EPD te willen worden opgenomen, bijvoorbeeld schrikbarend hoog – daartoe botweg zouden dwingen. Dat kunnen de zorgverzekeraars makkelijk: dreigen dat ze met zo’n partij geen zorgcontract meer zullen afsluiten, volstaat.

We zijn inmiddels een jaar verder. De zorgverzekeraars hebben meegedeeld dat ze zorgverleners extra gaan betalen voor elke patiënt die in het landelijke EPD wil worden opgenomen, en dat ze overwegen om voortaan geen contracten af te sluiten zorgverleners die hun gegevens niet doorsluizen naar het landelijke EPD.

Het effect? De apotheek van het Sint Anthonius Ziekenhuis in Utrecht maakte vorige week bekend dat patiënten die geen toestemming gaven om hun gegevens in het landelijk EPD te zetten, voortaan geen medicijnen wilden uitleveren. Nadat een storm van protest opstak, verklaarde de apotheek gehaast dat die boodschap op een vergissing berustte.

De duimschroeven worden aangedraaid – en wel bij de patiënt. Wilt u niet in het EPD? Dan kunnen wij u voortaan helaas niet meer helpen. Zoek maar een andere huisarts, een ander ziekenhuis.

Nu het parlement niet meer kan ingrijpen – met dank aan minister Schippers, wier geloof in de vrije markt aan patiënten elke keuzevrijheid over het EPD ontneemt – is de enige optie nog de mededingingsautoriteit, de NMA. Of we kunnen illegalen in de zorg worden. Maar ja, illegaal zijn in mag ook al niet meer in Nederland.

Dit artikel verscheen eerder in Het Parool.

  1. 2

    Tis toch niet verplicht?

    Als maar genoeg mensen weigeren dan zullen de zorgverzekeraars vanzelf hun beleid aanpassen.

    Ik heb er persoonlijk geen enkel probleem mee omdat de zorgverzekeraar er toch wel achter komt als ze declaraties te zien krijgen.

  2. 3

    @bolke: weigeren lukt niet, want dan krijg je geen zorg meer. En je declaraties krijgen ze inderdaad wel te zien, inclusief de declaraties uit het verleden!
    Juist daar zit ‘m de crux en begeven we ons op een hellend vlak. Zoals Karin ook aangeeft, de bv zorgverzekering kan zo exact bepalen welke ‘klanten’ rendabel zijn. Chronisch zieken en mensen met bijvoorbeeld een verleden in de psychiatrie zijn hiervan als eerste de dupe.

    Je zou haast gaan denken dat we peak-humanity hebben bereikt. We kunnen -technisch gezien- steeds betere zorg verlenen, maar doen dat straks aan steeds minder mensen, denk hierbij bijvoorbeeld ook aan de discussie rondom Pompe en Fabry, waar we mensen een beter leven kunnen bieden, maar het niet doen, om puur economische redenen.

  3. 4

    @Paul, als genoeg mensen weigeren dan springt daar gewoon weer een zorgverzekeraar in, van de week op het nieuws, er komt een zorgverzekering waarbij je je eigen risico kan verzekeren, gaat iets van 250 euro per jaar kosten.

  4. 5

    @3 Absoluut. Ook nu al worden zorgverzekeringen heel specifiek gemarket naar bepaalde groepen, en met allerlei secundaire voorwaarden (zoals 1 ziekenhuis per regio, en medicijnen uitsluitend via een online apotheek, nee dat is lekker zorgvuldig) worden de mensen die daadwerkelijk zorg nodig hebben goed buiten de deur gehouden. Kwalijke zaak.

    #4: die verzekering is alweer verdwenen.

  5. 6

    @4: ik mis de relatie tussen een eventuele zorgverzekeraar die mogelijk in dat specifieke gat springt en een betaalbare verzekering.

    Ik voorspel eerder een hele dure aanvullende polis bovenop een uitgekleed basispakket. Het soort van last resort verzekeraar als Rialto is, voor mensen die vaak schade maken met hun auto. Dat een dergelijke verzekering onbetaalbaar is voor iemand met een laag inkomen laat zich raden.

  6. 7

    Hè, dit artikel was toch al eens geplaatst? Ik krijg hier een ernstig gevoel van déjà vu. Dat zal dan wel op parool.nl of spaink.net zijn geweest. Best wel irri eigenlijk, dat doorplaatsen van columns.

    Maar ergerlijker is dat fouten is de eerste versie niet worden gecorrigeerd in de honderden kopieën die er op volgen.

    Dat van dat ziekenhuis dat geen EPD-patiënten zou opnemen was al binnen een paar uur ontkracht nadat het berichtje verscheen. Maar Spaink doet nog steeds alsof het waar was en het ziekenhuis achteraf terugkrabbelde. Pure stemmingmakerij.

    Dat geldt ook voor de aanname dat de zorgmarkt het verder voor het zeggen krijgt bij het EPD alleen maar omdat er een subsidie is gegeven voor de ontwikkeling ervan. De (herstart van) de ontwikkeling is inderdaad nu bij de markt gelegd. Dat had natuurlijk vanaf het begin al gemoeten want de overheid is tamelijk ongeschikt voor het ontwikkelen van IT projecten. Maar dat de privacybescherming of de politieke zeggenschap daarmee ook volkomen bij ‘de markt’ zou liggen is lachwekkend.

    Als dat het geval zou zijn zou een subsidie echt niet nodig zijn geweest om die markt in actie te laten komen. Zeker niet bij de winsten waar Spaink ons voor waarschuwt. Die subsidie is nodig omdat die ontwikkelaars een groot risico nemen. Immers, zelfs als zij een succesvol en veilig concept weten te ontwikkelen, dan nog lopen ze de kans dat het parlement het afschiet. Terecht dat zij dat risico willen inperken.

  7. 8

    Kalief: ik ben persoonlijk nog steeds niet overtuigd van de oprechtheid van die vergissing. Het bericht heeft namelijk op de pagina van het Antonius-ziekenhuis gestaan. Hoe ontstaat zo’n bericht per ongeluk? Iemand heeft willens en wetens opgeschreven dat patienten geen medicijnen krijgen als ze niet meewerken aan het EPD. Dat was geen typefout, geen per ongeluk wat onhandige formulering of een vergeten woordje, iemand heeft dat inhoudelijk uitgewerkt en gepubliceerd, en daarbij niet bedacht dat dat onaanvaardbaar is. Ik zou niet weten waarom dat met de mantel der liefde bedekt zou moeten worden.

    Achteraf terugkrabbelen lijkt mij dus wel degelijk aan de orde.

  8. 10

    @8 Willens misschien wel, maar wetens zeker niet. De apotheek van het ziekenhuis is voor patiënten handig maar niet essentieel. Die kunnen in Utrecht bij voldoende andere apotheken terecht. Door voor zichzelf een verkoopverbod in te stellen snijdt die (zieken)huisapotheek alleen maar zichzelf in de vingers. Overigens is dat nogal dringende verzoek om toestemming van die apotheek helemaal niet ingetrokken zoals Spaink suggereert. Het is alleen maar zorgvuldiger verwoord.

    Geeft u geen toestemming dan kunnen andere huisartsen en apotheken uw gegevens niet inzien. Ook niet in noodsituaties.

  9. 13

    @kalief
    Dat de overheid regelmatig de mist ingaat met IT projecten is juist. Maar private organisaties gaan bijna net zo vaak in de mist. Dus dat de overheid per definitie ongeschikt is, klopt niet.

    Privacybescherming in Nederland stelt helaas niet zoveel voor omdat de toezichthouder weinig middelen heeft om een partij terug te fluiten. Boetes, aanmaningen etc, maar veel verder dan dat reikt het niet. Vanuit de Overheid heb je in elk geval nog politieke druk en daarmee media druk om privacy beter te borgen. Helaas is ook aan de kant van de Overheid het slecht gesteld met de privacy omdat vooral rechts beleid ertoe heeft geleid dat veel gegevensregistratie wordt geschoven onder zwaarwegend algemeen belang. Door de gebrekkige privacywetgeving in Nederland komen ze daar mee weg. En zo lukt een private organisatie dat ook.

    De politieke zeggenschap ligt maar beperkt nu bij de TK. Het is namelijk nu een privaat initiatief. Zolang die private partijen zich aan de wet houden, kan een TK weinig doen. De kans dat het afgeschoten wordt gaat alleen lukken als TK en EK beslissen dat deze gegevensregistratie is voorbehouden aan de Overheid. Dat leidt meteen tot conflict met Brussel, die daar niet zo gecharmeerd van is. Dus Schippers heeft wel degelijk de kat op het spek gebonden. Door het geven van de opdracht en de subsidie heeft Schippers het bewust buiten de politieke deur gelegd, waarmee het risico voor de ontwikkelaars veel kleiner is. Dat risico zou pas werkelijk bestaan als de private partijen het zouden ontwikkelen terwijl de overheid nog geen beslissing had genomen over wie het ontwikkelt en wie bevoegd is. Laat schippers dat nu precies wel gedaan hebben met haar actie.

  10. 14

    @13 “Maar private organisaties gaan bijna net zo vaak in de mist.”
    Haha, ja daar heb je natuurlijk gelijk in.
    En de kat is ook op het spek gebonden in de zin dat de ontwikkelaars de meeste aandacht zullen besteden aan wat in hun belang is.

    @12 In plaats van een EPD heb ik liever een EZD.
    Een EPD is vanuit het gezichtspunt van de zorgverlener opgezet, die ziet patiënten. Maar een burger geeft zichzelf niet het label patiënt, maar kijkt de nadere kant op, naar de zorgverleners.

    Een Electronisch Zorgverleners Dossier zou alle zorgverleners verplichten in een standaardformaat de gegevens van de burger te presenteren uitsluitend aan die burger zelf, en een onafhankelijk daarvan beheerde applicatie maakt het die burger mogelijk tijdelijk een koppeling te leggen tussen twee deeldossiers waardoor een arts gegevens kan inzien. Ongewenst koppelingen kunnen dan bij voorbaat onmogelijk worden gemaakt.

  11. 15

    @13, als de toezichthouder consequent zou beboeten zou dat ook al schelen. Maar dat doet men niet ofzo. Je kunt ook niet rechtstreeks melden bij het CBP (althans, ik heb het niet gevonden.) Zodat de overtreders het fijn steevast af kunnen doen als ‘incidenten.’

  12. 17

    Even terzijde: het is wonderbaarlijk met die dossiers. Want waar men enerzijds vindt dat het ontzettend belangrijk is om gegevens uit te wisselen, blijkt die uitwisseling ineens vrijwel onmogelijk als je op dit moment als patient gewoon een kopietje van je dossier wilt. In elk geval rekenen heel wat ziekenhuizen kosten boven het wettelijke maximum, maar het wordt ook op andere manieren ontmoedigd: lange termijnen, extra eisen, doemscenario’s die zeggen dat er een hulpverlener bij moet zijn (waar je dan ook kosten voor maakt) want wie weet wat er anders zou gebeuren…

    En dan lees je bv dit bij het Elizabeth-ziekenhuis (pdf):

    Het Medisch Archief heeft niet altijd elk dossier in zijn bezit. Een dossier kan bijvoorbeeld op een polikliniek zijn of bij het secretariaatvan een specialist. Bovendien is het niet zo dat daags na uw ontslag uit het ziekenhuis erdirect een compleet medisch dossier in het archief hangt met de gegevens van de meest recente opname(s). Na uw ontslag leggen de opnamegegevens namelijk een (administratief) traject af voordat de gegevens naar het archief gaan. Hierdoor kan het soms enige tijd duren (maximaal 4 weken) voordat het archief alle gegevens heeft ontvangen.

    Dan ben ik toch erg benieuwd hoe hulpverleners wel de juiste gegevens zouden kunnen krijgen? Als het nu nog niet mogelijk is om binnen redelijke tijd de lullige actie van ‘dossier -> print’ te doen, dan deugt het systeem niet en valt er ook niks uit te wisselen. Als dit werkelijk zo is dat gegevens pas na een week of 4 terecht komen in je centrale dossier, dan is het EPD volslagen onzinnig.

    Een alternatieve verklaring is natuurlijk dat het systeem het best kan, maar dat ze de patient gewoon niet tegemoet willen komen. Maar moet ik als patient dan vertrouwen hebben in de zorgvuldigheid van ziekenhuizen, als ze zo onwillig zijn in het communiceren met patienten? Wiens belang wordt er dan gediend?

  13. 18

    @17: blijkbaar zitten de meeste ziekenhuizen nog in de papieren fase…
    Overigens lijkt me het al een hele stap vooruit als de informatie van meer dan 4 weken oud makkelijker opvraagbaar wordt. Dat geldt overigens niet alleen voor het EPD, maar zou natuurlijk ook voor de burger mogen (ik bedoel moeten) gelden.

  14. 19

    Ik heb liever dat minister van het ongelimiteerd paffen Schippers en VVD’ers in het algemeen zich níet bemoeien met zaken als het EPD. Je kunt er namelijk op wachten tot er iemand komt uit die hoek die voorstelt het EPD maar automatisch te koppelen aan de bestanden van Fred-sla-inbrekers-maar-dood-Teeven’s Ministerium für Staatssicherheit
    https://sargasso.nl/de-staat-van-de-surveillancestaat/

    Nog beter lijkt het me als VVD’ers bij wet verboden wordt zich überhaupt ergens mee te bemoeien.

  15. 20

    En weer een nieuwe ontwikkeling:
    http://www.nu.nl/binnenland/2970496/schippers-wil-regels-epd-aanscherpen.html

    Met de nieuwe regels zouden patiënten bijvoorbeeld kunnen opvragen wie naar hun gegevens heeft gekeken in het EPD. Ook zouden mensen toestemming moeten geven wie hun gegevens sowieso mogen inzien. De beveiligingseisen voor het systeem worden een stuk hoger.

    Niet voldoende. Zoals hierboven al een paar keer langs kwam moeten mensen ook kunnen zien naar welke gegevens dan wel is gekeken, oftewel voortdurend inzicht in het eigen dossier, en niet alleen op aanvraag.

    De vraag is eigenlijk: wie is eigenaar van een patiëntendossier: de arts die het aanlegt of de burger die er in beschreven wordt.

  16. 21

    Automatisering in ziekenhuizen is een bende, wel of geen EPD gestuurde it. Versnippering , slechte compatibiliteit, en daarnaast zijn de gebruikers regelrechte computer-nitwits. Privacy rond het bed van de patient is wel redelijk geregeld, van het bed af moet je niet verbaasd zijn wanneer er patientengegevens letterlijk rondzwerven door het ziekenhuis. Op papier, maar ook digitaal.
    Er wordt niet of nauwelijks uitgelogd, wachtwoorden zijn per definitie erg zwak, en er zijn teveel permissies bij teveel verschillende disciplines …

  17. 23

    @21 de privacy is rond het bed misschien wel goed geregeld, maar de automatisering niet. Dus niet aan de administratieve kant maar ook niet aan de medische kant. Omdat de IT aan de medische mensenlevens kan kosten, is het software versie beheer zeer stringent, oftewel ze kunnen niet zomaar een software update doen op hartbewakingsapparatuur. Het gevolg is dat er dus ook geen security-updates op los worden gelaten. Als gevolg daarvan moet je niet vreemd opkijken als diezelfde hartbewakingapparatuur draait op windows NT met servicepack 1 uit 1994 en vatbaar is voor alle virussen die sinds die tijd.

    zie ook http://www.uproxx.com/technology/2012/10/oh-this-is-good-medical-computers-riddled-with-viruses-no-the-digital-kind/

  18. 25

    @23, het is natuurlijk geen enkel probleem dat hartbewakingsmachines op NT draaien. Maar de idioot die denkt dat je dat soort apparaten uberhaupt aan een netwerk moet hangen…

    Dat soort apparatuur mag gewoon niet benaderbaar zijn voor aanpassingen van de software zonder een hele reeks van fysieke en digitale sloten en controle. Je biedt hooguit een output poort die de gegevens doorstuurt die door een andere machine kunnen worden gelezen en geinterpreteerd. Maar dus geen netwerkkabels, bluetooth-ontvangers of usbpoorten. Duh, lijkt me.
    Dan is het ook geen enkel probleem om een of andere prehistorische versie te draaien.

  19. 26

    Ik heb gewoon de meeste recente link in m’n reactie geplemt. Maar de standaard fabrikant reaktie ‘U kunt rustig gaan slapen’ moet je met een korreltje zout nemen want het probleem bestaat al jaren, is ook al jaren bekend, en zal nog een heeeele lange tijd voor problemen zorgen. Zie dit uit 2009: http://news.cnet.com/8301-1009_3-10232284-83.html?tag=mncol

    En en zijn ook goede redenen om medische apparatuur aan het interweps te hangen, zie bijvoorbeeld http://www.economist.com/blogs/babbage/2012/05/medical-devices

  20. 27

    Hier een white paper uit 2003: http://www.medicalimaging.org/wp-content/uploads/2011/02/medical-defending.pdf
    Hier een fantastische uitvinding uit 2004 die het probleem gaat oplossen: http://www.thefreelibrary.com/Omnicell+9000+ST+Anti-Virus+Capabilities+Showcased+at+ASHP+Midyear.-a0132631718
    Hier de Chairman van de National Committee on Vital and Health Statistics die in 2005 zenuwachtig wordt: http://www.ncvhs.hhs.gov/050304lt.htm

    Of als je liever de far-fetched film versie ziet uit 1993: http://www.imdb.com/title/tt0629490/

    Dit probleem is niet zomaar opgelost.

  21. 29

    De Vereniging van Zorgaanbieder voor Zorgcommunicatie (VZVZ) eist een verklaring van CSC waarin staat dat het bedrijf niet onder de Patriot Act valt die in de VS van kracht is.

    Wat heeft zo’n verklaring van een Amerikaans bedrijf voor zin als de Amerikaanse overheid of rechter er uiteindelijk anders over denkt? Het zou beter zijn om bedrijven die mogelijk onder die Patriot Act zouden kunnen vallen uit te sluiten van overheidsopdrachten. Naar analogie van wat er onlangs in de VS met BP is gebeurd.

  22. 30

    @20
    “De vraag is eigenlijk: wie is eigenaar van een patiëntendossier: de arts die het aanlegt of de burger die er in beschreven wordt.”

    In het geval van een papieren versie is dat de zorgverlener. Voor een EPD is het niet geheel duidelijk waar het eigendomsrecht ligt. Eigendom beperkt zich immers tot materiële zaken zoals bijv. gegevensdragers. Een gedecentraliseerde EPD maakt deze vraag waarschijnlijk moeilijk te beantwoorden.

  23. 31

    Toch ergens wel grappig: Als de zorgverzekeraars toegang hebben tot het EPD is dat maar voor een enkeling een probleem, maar als de CIA (die in tegenstelling tot de zorgverzekeraars totaal niet geïnteresseerd is in 99,9% van de EPD’s) dan is het ineens paniek in de tent.

  24. 33

    Eerder suggereerde ik al dat het een kwestie van tijd is eer één of andere rechtse idioot gaat voorstellen dat het EPD meteen maar aan de bestanden moet worden gekoppeld van Fred-sla-inbrekers-maar-dood-Teeven zijn Ministerium für Staatssicherheit. En wat schetst mijn in haast tomeloze woede omslaande verbazing? Dit:http://nos.nl/artikel/446339-amerika-kan-mogelijk-in-epd-kijken.html
    En gelooft u Edith-we-steken-er-nog-maar-eentje-op-Schippers maar niet teveel. Haar ‘ruggegraat’ is ongeveer gelijk aan dat van een uitgetrapte peuk in de goot.

  25. 34

    En het feestje gaat vrolijk door! JA, je data wordt zowieso gejat,

    “Amerikaanse patiëntendossiers worden op grote schaal meegenomen door partijen die daar geen toegang toe zouden moeten hebben. In een derde van de gevallen is datadiefstal het gevolg van een directe aanval van cybercriminelen. Maar in de meeste gevallen komen gegevens op straat te liggen door onzorgvuldig handelen van behandelaars.”

    http://webwereld.nl/nieuws/112710/amerikaanse-epd-s-massaal-gestolen.html

    en JA het gebruik wordt gewoon door de strot geduwd door de verzekeraars!

    “Het ministerie heeft in de prestatiecontracten ook opgenomen dat een huisarts moet voldoen aan de kwaliteitseisen, die jaarlijks worden vastgesteld. Voor volgend jaar is een van de kwaliteitseisen dat huisartsen daadwerkelijk aan de digitalisering van hun dossiers moeten meewerken. Van die medewerking hangt een deel van hun variabele beloning af.'”

    “…in de zorgcontracten voor 2013 zou expliciet zijn vermeld dat er sprake is van een inspanningsverplichting. Bestuurslid Herman Suichies van de VPHuisartsen zei onlangs tegen Webwereld dat de contracten aangepast moeten worden om de inspanningsverplichting eraf te halen. “Zorg komt nu in private handen en daarom staat het beroepsgeheim op het spel” ”

    http://webwereld.nl/nieuws/112708/huisartsen-naar-rechter-om-epd-verplichting.html

    @27: Het is nog maar de vraag of het probleem echt op te lossen is.