Regionale EPD's de mist in volgens CBP

Er was al eens een voorschot op genomen door CBP voorzitter Kohnstamm: “We gaan onderzoeken of het EPD op regionaal niveau veilig is. We hebben sterk de neiging om te denken dat het daar niet goed geregeld is”. En ja hoor, dat schot voor de boeg klopte. Bij de huisartsenpost Gorinchem en het regionale schakelpunt SPITZ Midden Holland constateert het CBP handelen in strijd met de wet op de bescherming persoonsgegevens. Zo is de patiënt niet altijd geïnformeerd over opname in de regionale EPDs en wordt niet gecontroleerd of er sprake is van een behandelrelatie tussen arts en patiënt, hoewel raadplegingen wel worden gelogd. De bevindingen voor SPITZ lijken nog wat ernstiger, doordat in potentie veel meer dan alleen aan de huisartsenpost verbonden medewerkers inzage in gegevens kunnen hebben.

Maar is dit nu heel schokkend nieuws? Voor de meeste ICT-ers in de zorg waarschijnlijk niet. Ik heb jaren terug gewerkt aan een vergelijkbaar project en veel tijd en energie ging toen zitten in maatregelen om patiënten te informeren, het veilig regelen van toegang en het loggen van informatie. Geen makkelijke materie, vooral ook omdat er in de praktijk gewoon consessies gedaan moeten worden, niet in de laatste plaats omdat het gewoon te duur is om het allemaal “netjes” te regelen. Zo is het eenvoudiger en goedkoper iedere huisarts een poster te sturen met daarop de mededeling dat men in een regionaal EPD zit, dan elke patiënt persoonlijk op de hoogte te brengen per brief. Voor patiënten uit voornoemde regio’s is het misschien wel even schrikken.

Betekent dit nu dat we de regionale EPD’s – waar de neezeggers in de EPD discussie opnieuw voor pleiten – op de vuilnisbelt kunnen? Afgezien van het feit dat vele regio’s en vele huisartsen (en de meeste apotheken) al op een dergelijk dossier zijn aangesloten zou ik zeggen: juist niet. Dit onderzoek is alleen maar goed en geeft duidelijk aan waar vooral huisartsenposten en dienstapotheken (toch vaak de spil van wat we nu regionale EPD’s noemen) meer aandacht aan moeten schenken. Het zijn geen tekortkomingen van systemen, architectuur, of het regionale niveau, maar van de organisaties eromheen. Deze zullen maatregelen moeten treffen. Als het landelijk EPD straks in bedrijf is, zullen dezelfde vragen over toegang en (controle op) logging moeten worden gesteld.

Email this to someoneShare on Facebook0Tweet about this on TwitterShare on Google+0Share on LinkedIn0