E-mailen met de dokter

In een interessant artikel in Medisch Contact stelde gynaecoloog van Aken “Het verbaast ons dat veel artsen nog medische gegevens naar patiënten mailen. Zelfs met toestemming van de patiënt, is het strafbaar”. Ik vroeg me op Twitter af of dat wel zo was. Algemene tendens van de reacties: niet strafbaar, maar zonder extra maatregelen is het op zijn minst zeer onzorgvuldig. E-mail van arts naar patiënt en vice versa kan zonder versleuteling van gegevens en zonder garantie dat de andere partij werkelijk de andere partij is inderdaad onveilig zijn. Neem alleen al de situatie dat er een mail wordt verstuurd naar een algemeen mailadres in een gezin. Dit kan dan door iedereen in huis worden gelezen. Niet handig als het heel gevoelige informatie is.

Vandaag publiceerde Medisch Contact een korte bijdrage over dit onderwerp. Een lezer had gereageerd en het net als ik opvallend gevonden dat e-mail strafbaar zou zijn. Dit blijkt dus inderdaad niet het geval. Van belang hierbij zijn diverse wetten, waar onder meer het College Bescherming Persoonsgegevens praktische richtlijnen bij geeft. In het informatieblad “Uw omgang met medische gegevens” schetst het CBP hoe met e-mail moet worden omgegaan:

Voor het e-mailen van medische gegevens dienen ook voldoende beveiligingsmaatregelen te worden getroffen. Denk hierbij bijvoorbeeld aan het opstellen van een gebruikersrichtlijn en het implementeren van anti-virus- en anti-spamsoftware. Daarnaast moet de opslag van e-mails beveiligd zijn tegen onbevoegde toegang en de medische gegevens dienen versleuteld (via encryptie) verzonden te worden. Tevens is het zinvol loggingfaciliteiten aan te brengen. Hiermee kan achteraf de oorzaak van eventuele calamiteiten worden opgespoord en kunnen maatregelen worden genomen om herhaling te voorkomen.

Ook de KNMG richtlijn online arts-patiënt contact schetst randvoorwaarden waar aan voldaan moet worden. Het kan dus wel. Waarom gebeurt het dan niet op grote schaal? Een e-consult met e-mail als drager van medische informatie wordt nog maar weinig gebruikt, om maar iets te noemen. Het heeft voor een deel te maken met de gebruikers: zowel artsen en patiënten zullen ervoor moeten zorgen dat aan bovenstaande voorwaarden is voldaan. Dat is niet zo eenvoudig. Technisch is het wel mogelijk, zelfs zonder kosten voor software, maar welke arts c.q. patiënt versleutelt zijn mailtjes? Kijk naar je eigen mailbox: hoeveel van je mail wordt versleuteld uitgewisseld?

In managementspeak heeft men het wel eens over “laaghangend fruit”. Dit is daar een voorbeeld van: iets wat niet al te ingewikkeld is, klantvriendelijk, efficiënt en wat met niet al teveel kosten kan worden aangepakt. Wat kunnen we doen om dat fruit te plukken?

http://www.cbpweb.nl/Pages/inf_va_omgang_med_gegevens.aspx

Regionale EPD's de mist in volgens CBP

Er was al eens een voorschot op genomen door CBP voorzitter Kohnstamm: “We gaan onderzoeken of het EPD op regionaal niveau veilig is. We hebben sterk de neiging om te denken dat het daar niet goed geregeld is”. En ja hoor, dat schot voor de boeg klopte. Bij de huisartsenpost Gorinchem en het regionale schakelpunt SPITZ Midden Holland constateert het CBP handelen in strijd met de wet op de bescherming persoonsgegevens. Zo is de patiënt niet altijd geïnformeerd over opname in de regionale EPDs en wordt niet gecontroleerd of er sprake is van een behandelrelatie tussen arts en patiënt, hoewel raadplegingen wel worden gelogd. De bevindingen voor SPITZ lijken nog wat ernstiger, doordat in potentie veel meer dan alleen aan de huisartsenpost verbonden medewerkers inzage in gegevens kunnen hebben.

Maar is dit nu heel schokkend nieuws? Voor de meeste ICT-ers in de zorg waarschijnlijk niet. Ik heb jaren terug gewerkt aan een vergelijkbaar project en veel tijd en energie ging toen zitten in maatregelen om patiënten te informeren, het veilig regelen van toegang en het loggen van informatie. Geen makkelijke materie, vooral ook omdat er in de praktijk gewoon consessies gedaan moeten worden, niet in de laatste plaats omdat het gewoon te duur is om het allemaal “netjes” te regelen. Zo is het eenvoudiger en goedkoper iedere huisarts een poster te sturen met daarop de mededeling dat men in een regionaal EPD zit, dan elke patiënt persoonlijk op de hoogte te brengen per brief. Voor patiënten uit voornoemde regio’s is het misschien wel even schrikken.

Betekent dit nu dat we de regionale EPD’s – waar de neezeggers in de EPD discussie opnieuw voor pleiten – op de vuilnisbelt kunnen? Afgezien van het feit dat vele regio’s en vele huisartsen (en de meeste apotheken) al op een dergelijk dossier zijn aangesloten zou ik zeggen: juist niet. Dit onderzoek is alleen maar goed en geeft duidelijk aan waar vooral huisartsenposten en dienstapotheken (toch vaak de spil van wat we nu regionale EPD’s noemen) meer aandacht aan moeten schenken. Het zijn geen tekortkomingen van systemen, architectuur, of het regionale niveau, maar van de organisaties eromheen. Deze zullen maatregelen moeten treffen. Als het landelijk EPD straks in bedrijf is, zullen dezelfde vragen over toegang en (controle op) logging moeten worden gesteld.

Pizza privacy

Dit filmpje en het bijbehorende script (man belt pizzeria die meer van hem weet dan hij denkt) kwam ik vandaag tegen. Ik laat even in het midden hoe realistisch het allemaal is, maar wel knap gedaan. En passant komt het EPD ook nog even langs. Een NL variant circuleert overigens ook op het web.

Gevangen door Lilliputters

gulliver1Hoogleraar Sterrenkunde Vincent Icke was gisteren te gast bij DWDD en trok een interessante parallel. Hij vergeleek de dossiervormende overheid (EPD, EKD, OV chipkaart, etc etc) met de bewoners van het eiland Lilliput uit het beroemde verhaal Gulliver’s Reizen. De bewoners leggen Gulliver – in hun ogen een reus – vast in een wirwar van kleine draadjes. Een enkel draadje (het EKD bijvoorbeeld) legt de reus nog niet vast, maar vele draadjes later heb je uiteindelijk een “web dat zichzelf spint”. Icke trekt, aangespoord door Mathijs van Nieuwkerk, de lijn nog even verder door. In de toekomst moet je niet raar staan te kijken als, op basis van een risicoprofiel en data uit al die dossiers, zomaar je kind uit huis wordt geplaatst. Tja… soms is kort door de bocht redeneren best leuk.

"Hippocrates zou zich schamen"

Aldus NRC Handelsblad, waarin dit keer een bijdrage van juristen Jaap Dijkstra en Marie-José Bonthuis. Zij geven vooral aandacht aan de geheimhoudingsplicht van artsen. Die wordt, zo stellen ze, met de huidige opzet van het EPD uitgehold. Want hoe kun je je geheimhouding omhoog houden als je niet zelf bepaald wie toegang heeft?

Als het EPD er in de voorgestelde vorm komt, zullen wij onze huisarts vragen om onze dossiers uitsluitend op papier te voeren.

Ik voorspel volgende week alweer een reactie in de Computable of andere media: “Juristen hebben geen idee” of iets in die richting. Maar Bonthuis weet heel goed waar ze het over heeft: eerder dit jaar nog won ze een scriptieprijs met haar onderzoek naar privacy en het EPD en werd er al op ICTZorg.com over gepubliceerd.