Regionale EPD's de mist in volgens CBP

Er was al eens een voorschot op genomen door CBP voorzitter Kohnstamm: “We gaan onderzoeken of het EPD op regionaal niveau veilig is. We hebben sterk de neiging om te denken dat het daar niet goed geregeld is”. En ja hoor, dat schot voor de boeg klopte. Bij de huisartsenpost Gorinchem en het regionale schakelpunt SPITZ Midden Holland constateert het CBP handelen in strijd met de wet op de bescherming persoonsgegevens. Zo is de patiënt niet altijd geïnformeerd over opname in de regionale EPDs en wordt niet gecontroleerd of er sprake is van een behandelrelatie tussen arts en patiënt, hoewel raadplegingen wel worden gelogd. De bevindingen voor SPITZ lijken nog wat ernstiger, doordat in potentie veel meer dan alleen aan de huisartsenpost verbonden medewerkers inzage in gegevens kunnen hebben.

Maar is dit nu heel schokkend nieuws? Voor de meeste ICT-ers in de zorg waarschijnlijk niet. Ik heb jaren terug gewerkt aan een vergelijkbaar project en veel tijd en energie ging toen zitten in maatregelen om patiënten te informeren, het veilig regelen van toegang en het loggen van informatie. Geen makkelijke materie, vooral ook omdat er in de praktijk gewoon consessies gedaan moeten worden, niet in de laatste plaats omdat het gewoon te duur is om het allemaal “netjes” te regelen. Zo is het eenvoudiger en goedkoper iedere huisarts een poster te sturen met daarop de mededeling dat men in een regionaal EPD zit, dan elke patiënt persoonlijk op de hoogte te brengen per brief. Voor patiënten uit voornoemde regio’s is het misschien wel even schrikken.

Betekent dit nu dat we de regionale EPD’s – waar de neezeggers in de EPD discussie opnieuw voor pleiten – op de vuilnisbelt kunnen? Afgezien van het feit dat vele regio’s en vele huisartsen (en de meeste apotheken) al op een dergelijk dossier zijn aangesloten zou ik zeggen: juist niet. Dit onderzoek is alleen maar goed en geeft duidelijk aan waar vooral huisartsenposten en dienstapotheken (toch vaak de spil van wat we nu regionale EPD’s noemen) meer aandacht aan moeten schenken. Het zijn geen tekortkomingen van systemen, architectuur, of het regionale niveau, maar van de organisaties eromheen. Deze zullen maatregelen moeten treffen. Als het landelijk EPD straks in bedrijf is, zullen dezelfde vragen over toegang en (controle op) logging moeten worden gesteld.

Kritiek CBP op beveiliging rondom UZI pas en BSN

Vandaag verscheen een kritisch advies van het CBP (College Bescherming Persoonsgegevens), over een ministeriële regeling die is bedoeld om uitvoering te geven aan de Wet BSN in de zorg. Een samenvatting van www.cbpweb.nl:

De kritiek van het CBP richt zich vooral op drie onderdelen van de regeling. In de eerste plaats heeft het CBP bezwaar tegen de manier waarop het uitgeven aan medewerkers van instellingen van passen die niet op naam zijn geregistreerd wordt geregeld. In verband met de koppeling van de toegang tot het Elektronisch Patiëntendossier aan de behandelrelatie tussen medewerker en cliënt moeten er voldoende waarborgen zijn dat deze passen ook daadwerkelijk aan bepaalde medewerkers worden gekoppeld.
Een tweede punt van kritiek betreft de eis die de regeling stelt dat de gegevensverwerking in verschillende wetten moet voldoen aan de NEN 7510 ‘dan wel aan dezelfde mate van beveiliging als beoogd met de NEN 7510’. Dat laatste zal naar het oordeel van het CBP standaardisatie en samenwerking tussen instellingen bemoeilijken en ook het toezicht op de naleving van deze bepaling lastiger maken. Het CBP adviseert naleving van de NEN 7510 als voorwaarde te stellen.

In de Toelichting bij de regeling staat onder meer dat ter uitvoering van de wettelijke plicht om de gegevensverwerking passend te beveiligen, door de zorgverzekeraars een gedragscode is ontwikkeld. Het CBP wijst er echter op dat de goedkeurende verklaring voor deze code op 5 februari 2008 is vervallen. De bestaande code kan dan ook niet als waarborg worden gezien voor een zorgvuldige verwerking van persoonsgegevens door zorgverzekeraars.

Landelijk Schakelpunt: aangemeld bij CBP?

Misschien is het iets… misschien niets… Maar normaliter is bij het College Bescherming Persoonsgegevens geregistreerd wie verwerker is van bepaalde persoonsinformatie. Dit is verplicht voor allerlei instellingen, waaronder bedrijven, zorginstellingen en natuurlijk de overheid zelf. Via het LSP (Landelijk Schakelpunt) worden nu al gegevens uitgewisseld (medicatie, waarneeminformatie). Dan zou je toch verwachten dat daarvan een vermelding wordt gedaan bij de CBP registers? Zoekacties op NICTIZ, LSP, Landelijk Schakelpunt en CSC (leverancier) leverden echter niks op. Eigenaardig. Misschien is het wel geregeld hoor, via het ministerie van VWS of een functionaris gegevensbescherming. Maar dat zie je niet terug. Jammer voor een systeem dat straks (…) voor alle Nederlanders wordt ingevoerd.

Wie corrigeert me?