Managed hosting door True

Klink: Onveilige systemen vertragen EPD

 

De verplichte invoering van het elektronisch patiëntendossier (epd) wordt uitgesteld omdat veel zorginformatiesystemen nog niet voldoen aan de beveiligingseisen. Dat zegt minister Klink tijdens een debat in de Tweede Kamer. Hij wil het epd pas verplichtstellen als zorgverleners de beveiliging op orde hebben. Dat is naar schatting begin 2010.

De invoer van het elektronisch patiëntendossier (epd) is met ongeveer een halfjaar vertraagd omdat de beveiliging van de systemen niet op orde is. Dat zegt minister Klink van Volksgezondheid Welzijn en Sport tijdens een Tweede Kamerdebat. Volgens de minister voldoen de zorginformatiesystemen van ongeveer veertig procent van de zorgverleners niet aan de gestelde beveiligingsnormen.

De bewindsman vindt het daardoor niet verstandig om per september 2009 zorgverleners verplicht te laten deelnemen aan de elektronische uitwisseling van medische informatie over patiënten. Het kabinet had die datum eerder vastgesteld als doelstelling voor de verplichte invoer van het landelijk epd. Het gaat om de eerste fase, waarin de uitwisseling van medicatiegegevens en het waarneemdossier van huisartsen tussen zorgverleners verplicht wordt gesteld.

Volgens Klink kunnen leveranciers de gecertificeerde ict-systemen niet voor de gestelde datum aanleveren. Om te voorkomen dat de beveiliging van de uitwisseling van patiëntgegevens in gevaar komt en privacygevoelige informatie in verkeerde handen komt, heeft de minister de termijn voor de verplichte invoer van het epd uitgesteld.

Beveiliging boven tempo invoer

"Er zijn voldoende beveiligingslagen ingebouwd om tot een veilige uitwisseling van patiëntgegevens te komen", zegt de CDA-minister tijdens het debat. "Maar pas als de beveiliging van alle systemen is gegarandeerd, wordt het epd landelijk ingevoerd. Zorgvuldigheid staat boven het tempo van de invoering. Het epd moet betrouwbaar zijn."

De zorginformatiesystemen van huisartsen, ziekenhuizen en apotheken moeten voldoen aan veiligheidsnormen voor ict-leveranciers. Het Nictiz, kenniscentrum voor ict en innovatie in de zorg, beoordeelt of de beveiliging in orde is. Zorginformatiesystemen moeten voldoen aan de eisen van een 'goed beheerd zorgsysteem' (gbz). Pas daarna mogen zorgverleners aansluiten op het landelijk schakelpunt (lsp) dat de uitwisseling van informatie verzorgt. De aansluiting op het lsp moet worden uitgevoerd door een gekwalificeerde netwerkleverancier, een zogenoemde zorgserviceprovider (zsp).

Beveiligingslagen

Naast de technische beveiliging is er een aantal procedurele beveiligingslagen die het epd veilig moeten maken:

  • Zorgverleners die inloggen op het epd hebben een UZI-pas nodig. Dat is een persoonsgebonden kaart waarmee de gebruiker zich via een kaartlezer identificeert.
  • Zorgverleners moeten ingeschreven staan in het BIG-register. Dat staat voor de  wet Beroepen in de Individuele Gezondheidszorg. Zorgveleners die zonder toestemming patiëntgegevens bekijken of gebruiken worden uit het register gehaald en kunnen hun beroep niet meer uitoefenen.
  • Er moet een behandelrelatie zijn tussen de arts die het elektronisch dossier raadpleegt en de patiënt.  
  • De patiënt moet toestemming geven voor inzage in zijn medische gegevens.
  • Door logregistratie is (achteraf) te achterhalen welke zorgverlener patiëntgegevens heeft ingezien.
Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/2844538). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 

Reacties

Terecht dat dit uitgesteld word.

Maar een dergelijk systeem zoals het epd blijft ergens gevaarlijk in mijn ogen. Beveiligingen worden altijd gekraakt tenzij het gewoonweg niet toegankelijk is (en zelfs dan).

Centraal maken van data maakt het ook intressanter om binnen het systeem te komen.

Gezien het verleden (regering samen met ict) heb ik hier geen vertrouwen in. Zeker niet als ik zie op wat voor soort manier dit doorgedrukt gaat worden(je moet bezwaar maken, geen toestemming).

Ah... geweldig, een typisch overheidsproject. De hoge hotemetoot die politiek gewin heeft bij het doorgaan van het project loopt mijlenver voor de muziek uit en roept dat het op datum X wordt ingevoerd om later door de realiteit te worden teruggefloten. Wanneer leren die lui nu eens dat er eerst een goede inventarisatie dient plaats te vinden, daarna pas geplanned en pas als dat rond is kan je met enig gevoel van zekerheid roepen dat het op een bepaalde datum wordt opgeleverd.

Overigens deel ik het gevoel met anoniem dat de hele loop van omstandigheden alle kenmerken heeft van doordrukken en ook het gebrek aan vertrouwen. De periode waarin je je kon afmelden was ook veel te kort en de procedure rommelig.

Al met al zit ik nog steeds te wachten op de wet die het overheidsdienaren en haar opdrachtgevers expliciet verbied in het EPD te kijken, op straffe van 'de kogel'. Maar ja, dat is vast ijdele hoop.

Klein beetje schande dit. De landelijke voorzieningen kunnen de aanvragen voor UZI-middelen niet aan. Dat geeft vertraging bij aansluiting van honderden apotheken en huisartsen. Dat mag ook wel eens in de krant.

@anoniem, op welke projecten doel je dan, als je het hebt over 'regering samen met ict'?

Vroeger had je op individuele basis medische fouten.
Nu kun je starks met het EPD wachten op de eerste programmeerfout, of hack waardoor hele groepen mensen het slachtoffer van dit systeem worden.
Denk bv aan een lijst met geneesmiddelen die verkeerd gekoppeld wordt aan de dossiers, of een programmeeur die een kleine wijziging doorvoert, waardoor getallen anders getoond worden.
Of zoals onlangs in Amerika gebeurd is, dat door een softwarefout de gegevens van persoon x in het EPD van persoon y getoond worden, en de laatste wijzigingen helemaal niet verschijnen.

Dit soort ICT-projecten zou de overheid helemal niet moeten implementeren. En zeker niet zonder een goed fundament ontwikkeld te hebben.

Veiligheid en vertrouwelijkheid moeten voordat een project start al geimplementeerd worden, niet achteraf omdat er iemand gepiept heeft (in dit geval 330.000 personen).

Mooi dat het Nationale EPD uitgesteld wordt.
In mijn ogen is dit typisch afschuiverij van het manco aan het basisprincipe op de uitvoering.
het basisprincipe gaat uit van een logische aaneenschakeling van allerlei databases middels het landelijk schakelpunt. Alle BIG-geregistreerde zorgverleners (meer dan 200.000 in NL) kunnen dan via een UZI-pas de gegevens raadplegen van alle Nederlanders die in dat systeem staan.

Bedenkers van dit systeem menen dat zij goed kunnen reguleren dat alleen geregistreerde zorgverleners toegang nemen tot gegevens die op dat moment ook geautoriseerd zijn (en niet bijvoorbeeld een niet praktiserend arts, bedrijfsarts, verzekeringsarts of een arts die zijn login actief laat terwijl hij fysiek niet aanwezig is) en dat er een actieve behandelrelatie is waarbij de arts alleen maar de gegevens inziet die voor die behandelrelatie noodzakelijk is. In de praktijk zal dit nimmer 100% gegarandeerd kunnen worden. Het ministerie VWS geeft dit zelfs toe door de sancties op misbruik te verhogen. Er valt blijkbaar dus niet te reguleren wie toegang neemt tot bepaalde gegevens.

Daarnaast is er in ICT ??n ijzeren wet en dat is dat elk systeem in de geschiedenis van de ICT te kraken bleek te zijn. Dit systeem dus ook.

Het grootste manco is dat er geen toetsing op recht op inzage vooraf is. mocht je als pati?nt niet willen dat een bepaalde arts iets inziet kun je alleen maar achteraf constateren dat je dat niet gewild had, de schade is inmiddels wel onomkeerbaar geleden. voor een gebroken arm is dat geen probleem maar voor gevoelige ziektes wens je vaak dat alleen de behandelaar weet van de aandoening. Helaas moet de verzekeraar het ook weten i.v.m. de dekking van de kosten maar daartoe moet het zich ook echt beperkt houden. Soms wil je zelfs niet dat je partner of naaste familie ergens van weet. het idee dat die informatie dan ineens in heel Nederland opvraagbaar is, is een angstscenario.
Gevoelige gegevens zijn bijvoorbeeld dodelijke ziektes, seksueel geaarde ziektes, mentale ziektes en besmettelijke ziektes.

De wet is nu dat als een zorgverlener de gegevens van een pati?nt aan een andere zorgverlener wil geven, de pati?nt eerst schriftelijk toestemming moet geven. Dat dat in een huisarts - ziekenhuis - apotheker constructie vaak niet gebeurt is te beargumenteren omdat het hier gaat om een sterk regionaal karakter met een groot direct belang voor de pati?nt en een zeer beperkte set aan uitwisselingspartners. Het risico van ongewilde verspreiding van gegevens is klein en de directe baten voor de pati?nt relatief groot.

het Nationale EPD is ??n van de motoren van de marktwerking in de zorg immers de zorgverlener krijgt tegenwoordig alleen maar betaald als hij (of zij voor de rest van deze reactie) een afgeronde DBC kan declareren bij de zorgverzekeraar. Deze DBC kan hij sneller en effici?nter afronden als hij alle relevante gegevens heeft. VWS wil de zorgverlener dus vooral tegemoetkomen voor de last die de zorgverlener heeft met die DBC's en de marktwerking door een goede informatievoorziening. De pati?nt is daar gewoon de dupe van en krijgt er nagenoeg niks voor terug.

de Landelijke Huisarts Vereniging is ook niet voor het EPD maar wil dit als ruilhandel eventueel wel ondersteunen. Als de minister de bezuiniging op de herhaalrecepten terugdraait (de huisarts mocht ?4,50 per herhaalrecept declareren en nu nog maar ?2,50, scheelt de huisartsen in totaal ?60.mln) of compenseert wil de LHV wel weer verder praten over steun aan het EPD. Wat een reactie, de LHV zou inhoudelijk een stelling moeten nemen, willen zij poortwachter en regisseur in de gezondheidszorg blijven of willen zij hun intellectueel eigendom publiekelijk maken zodat de persoonlijke band tussen pati?nt en de huisarts vervalt en ik bij iedere huisarts mijn consult kan doen?

het NPCF ten slotte, d? organisatie die voor de belangen van de pati?nt op zou moeten komen wordt betaald door het ministerie van VWS en deels door het NICTIZ, allebei organisaties die ongeschreven als voorwaarde stellen dat het NPCF de steun aan het EPD moet geven anders lopen zij het risico een deel van hun subsidie kwijt te raken. Nauwelijks een objectief en onafhankelijk standpunt.....

Een nationaal EPD is trouwens in geen enkel land in de wereld operationeel zoals het hier in Nederland al 17 jaar geleden door mevrouw Els Borst ge?nitieerd is. Dat het in geen enkel land werkt moet een indicatie zijn dat het of niet haalbaar is of dat het gewoon geen goed idee is. In Nederland wordt al jaren tientallen miljoenen euro?s per jaar subsidie gegeven voor de implementatie, versnellingsregio?s (IZIT in Twente) en onderzoek. Dat heeft geresulteerd is meer dan 200 miljoen euro waar nog helemaal niets concreets uit is gekomen, weggegooid geld.
Nog veel kwalijker is dat gedurende de afgelopen 17 jaar alle instanties in Nederland zitten te wachten op een systeem dat andere vooruitgang blokkeert. Logisch dat b.v. een groot ziekenhuis niet een eigen EPD gaat ontwikkelen of dat samen met een regio of partners doet omdat iedereen denkt, ?Dat nationale EPD komt er toch binnenkort aan?. Van een grote voorsprong in de gezondheidszorg loopt Nederland tegenwoordig in de middenmoot. Landen in het voormalige Oostblok en vooral de Baltische staten hebben ons al riant ingehaald als het gaat om ICT in de zorg.

Voor de echte noodsituaties zijn slechts een paar gegevens van belang voor de stabilisatie van de pati?nt: bloedgroep, medicatie, allergie?n, huidige gezondheidsklachten en eventueel enkele details over deze gezondheidsklachten. Dat is een resum? dat bijna altijd op ??n a4-tje past. Als het EPD zich nou zou focussen op enkel die gegevens zou men er misschien nog wel voor warmlopen. Voor nu hoop ik dat het EPD vooral gewoon afgesteld wordt, van mij hoeft het niet meer.

Om niet alleen commentaar maar ook een oplossing te geven stel ik voor om vooral de markt zijn werk te laten doen. Faciliteer een beperkt nationaal EPD waarbij de individuele pati?nt zich kan aansluiten maar ook weer kan afmelden wanneer hij / zij dat wilt. En maak daarnaast gebruik van de verschillende particuliere, commerci?le initiatieven die uitgaan van de maximale autorisatie door de pati?nt zelf (die bijvoorbeeld moeten voldoen aan een bepaald keurmerk). Regionaal is de informatie-uitwisseling vaak al redelijk tot goed geregeld, het gaat vooral om die uitwisseling tussen de verschillende regio?s.

linkje naar (ict)projecten binnen de overheid.

http://www.intermediair.nl/artikel.jsp?id=1118952

er is hier al genoeg over gescheven dacht ik zo.

Er wordt terecht veel aandacht besteed aan beveiliging, maar nu weten we helemaal niet wie welke papieren dossiers inziet.
Uiteraard zal toegang geregistreerd en gecontroleerd moeten worden, maar mede door de registratie van gebruikers is opvoeding van zorgverleners in gebruik en inzage van dossiers tegen redelijke kosten mogelijk.
O.a. het Electronisch Kind Dossier laat zien dat dit best mogelijk is.Laten we van een mug geen olifant maken.

Naar mijn mening verdient deze techniek een kans en zal hopelijk tot betere en goedkopere zorg leiden.

Er is alleen een probleem met het geven van een kans. Het is over het algemeen niet meer terug te draaien. Dus uiteindelijk kunnen we dan ook niet spreken van een kans.

Zie het als de Betuwelijn.

Beste Geert,

zonder inhoudelijk op je reactie in te gaan refereer je naar het mogelijk tweedst grote hoofdpijndossier van deze regering en zeker het grootste hoofdpijndossier van de minister van gezinszaken, de ontwikkeling van het elektronisch kinddossier is helemaal nooit van de grond gekomen en voor onbepaalde tijd in de koelkast gezet.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×