Vorige week heb ik deelgenomen aan een rondetafelgesprek in de Tweede Kamer. Daarvoor heb ik dit position paper ingestuurd. De aanleiding voor het rondetafelgesprek was een nieuwe wet die op dit moment in de Tweede Kamer ligt.
In het position paper schrijf ik dat het nieuwe wetsvoorstel geen verbetering is, omdat het een generieke toestemming mogelijk maakt, met daarbovenop gestapeld een soort van verkapt opt-out systeem. Diegenen die dachten dat de opt-out van tafel was na het verwerpen van de Wet op het EPD in 2012, komen bedrogen uit.
Verkapt opt-out systeem
In het wetsvoorstel dat recent is ingediend bij de Tweede Kamer, staat dat patiënten het recht hebben om (categorieëen van) zorgverleners uit te sluiten van toegang. De memorie van toelichting spreekt zelfs expliciet van de mogelijkheid dat patiënten een generieke toestemming wordt gevraagd; zoals ook beschreven in de informatiebrochure van VZVZ, moet de patiënt dus na het geven van een generieke toestemming, zélf actie ondernemen om later (groepen van) zorgverleners alsnog van toegang uit te sluiten. Doet de patiënt dat niet, of weet de patiënt niet hoe hij of zij dat moet doen, dan krijgt straks elke zorgverleners toegang waarvan de VZVZ - de organisatie die het LSP heeft doorgestart - vindt dat deze toegang mag krijgen.
Door deze "achterdeur" in het wetsvoorstel kan, als de wet wordt aangenomen, er dat de facto alsnog een opt-out systeem wettelijk worden ingevoerd, al zit deze verstopt achter een generieke opt-in. Een generieke opt-in met daarbovenop een "uitsluitings" (opt-out) systeem gaat rechtstreeks tegen de wens van de Eerste Kamer en toezeggingen (zie p.5) van minister Schippers aan de Eerste Kamer in. Zo'n opt-out systeem betekent dat patiënten, na eenmaal een (brede) toestemming te hebben gegeven voor deelname aan bijvoorbeeld het LSP, er zélf achteraan moeten om de toegang tot andere zorgverleners te beperken. De huidige wet laat een generieke toestemming zoals gebruikt bij het LSP absoluut niet toe; onder de huidige wet moet toestemming (de opt-in) specifiek en goed geinformeerd zijn, dus voor een specifiek een welomschreven uitwisseling van gegevens. Dat is niet het geval bij een generieke toestemming. Het wetsvoorstel lijkt dus nodig als oplossing om de huidige opt-in systematiek van het LSP te legitimeren. In het beste geval krijgen patiënten straks wel toegang tot ''een portaal'' om toegangsregels in te stellen, maar de meeste patiënten zullen dit niet weten te vinden en ik zie niet hoe dit afdoende bruikbaar kan worden gemaakt.
Een generieke toestemming gecombineerd met het LSP leidt dit ertoe dat patiënten (en zorgverleners) in de praktijk straks weinig of geen directe zeggenschap meer hebben over wie welke gegevens wel en niet mogen inzien. Het beleid over welke groepen zorgverleners toegang krijgen tot de infrastructuur, en op welke schaal deze gebruikt kan worden, ligt immers bij VZVZ, de organisatie die het LSP heeft doorgestart. De gebrekkige controlemogelijkheden (over autorisatie) die het LSP biedt, zullen leiden tot een afname van beveiligingsbewustzijn bij zorgverleners, en tot een afname van transparantie (zichtbaarheid van wat met wie wordt uitgewisseld) voor patiënten in de praktijk. Dat is schadelijk voor het vertrouwen dat patiënten hebben in hun zorgverlener. Misschien komt er wel een Internet portaal waarop door de patiënt wat zaken in te regelen of in te zien zijn, maar zulke portalen staan buiten het zorgproces. Bovendien zullen de meeste mensen daar geen gebruik van maken.
Een (verkapt) opt-out systeem leidt - doordat gegevens in veel gevallen op een grotere schaal en met meer zorgverleners zullen worden gedeeld dan strikt noodzakelijk is - tot inherent grotere risico's qua beveiliging en privacybescherming dan het zorgvuldig gebruik van een opt-in systeem, waarbij patiënten actief toestemming moeten geven voor het ontsluiten van specifieke informatie. Hoe minder zorgverleners toegang krijgen, hoe kleiner het aanvalsvlak. Een fijnmazige toestemming (voor specifieke groepen zorgverleners), gecombineerd met een adequaat autorisatiesysteem zijn essentieel om het aanvalsvlak voor specifieke informatie van specifieke patiënten te beperken. De "oplossing" die dus met de combinatie van VZVZ toestemming en informatiebrochure en het wetsvoorstel is gevonden, kan er echter juist toe leiden dat de schaalgrootte (van toegang) tot het dossier, net als in de oorspronkelijke EPD plannen, zo ongeveer alle zorgverleners in Nederland toegang geeft tot de dossiers. En daarmee hackers ook - zie mijn blog over het Pobelka botnet.
Sturing op grootschalig gebruik en een monopolie voor het LSP
Een brief die ik ooit van het ministerie kreeg als reactie op mijn beveiligingsanalyse en de brief daarbij waarin ik aanbevelingen deed voor een fijnmaziger toestemmingssysteem bij het LSP, gaf al aan dat grootschalig gebruik een doelstelling van het EPD was (zie p.3). Nog steeds stuurt het beleid rond het LSP aan op grootschalig gebruik. Enerzijds gaat dat via het verkapte opt-out systeem dat boven beschreven is, anderzijds door op een een monopoliepositie voor het LSP aan te sturen, zélfs voor situaties waarbij alleen regionale of lokale communicatie nodig is zoals bij (regionaal georganiseerde) jeugd- en ketenzorg. Juist bij grootschalig gebruik van het LSP nemen de risico's toe, zoals ik al vaker heb geschreven. Een monopoliepositie voor het LSP leidt ertoe dat straks onnodig veel zorgverleners op het systeem zijn aangesloten. Zoiets is niet ondenkbeeldig. Bbijvoorbeeld, fysiotherapeuten lijken al klaar te staan om aan te sluiten. Is dat verstandig?
Formeel richt het LSP zich nog vooral op apothekers en huisartsen. Het aansturen richting een monopolie voor het LSP voor die zorgverleners gaat over drie verschillende schijven, maar is volledig beschreven in het businessplan van VZVZ, de organisatie die verantwoordelijk is voor de doorstart van het LSP. Allereerst financieel: zorgverzekeraars willen nog maar voor één systeem (lees het LSP) betalen (p.39 businessplan). Vervolgens technisch: leveranciers willen alleen nog software voor het LSP implementeren, en het oude regionale OZIS systeem gaan uitfaseren. Ten slotte beleidsmatig: onder meer de Inspectie voor de Gezondheidszorg (IGZ) - die onder verantwoordelijkheid van het ministerie van volksgezondheid valt - kan druk gaan zetten op huisartsen (en apothekers) om te zorgen dat gegevens van alle patiënten van een huisarts/apotheek altijd bij bijvoorbeeld de huisartsenpost, resp. dienstwaarnemende apotheek beschikbaar zijn voor dienstwaarneming. Ook de huisartsenpost kan gaan aandringen op aanmelding van patiëntendossiers. Als deze middelen alledrie tegelijkertijd worden toegepast lijkt er geen ontkomen aan: bij gebrek aan financiering en technische ondersteuning voor een regionaal alternatief voor dienstwaarneming, leidt dit tot aansluiting van vrijwel alle zorgverleners op het LSP.
Als een arts eenmaal aangesloten is, gaat bovendien ook nog eens financiële druk op huisartsen in werking om patiënten aan te melden: zij krijgen de kosten voor hun aansluiting alleen maar volledig vergoed als zij een voldoende aantal patiënten aanmelden (het normpercentage is op dit moment gesteld op 50% voor 2015). (NB: de vergoedingen die werden genoemd in bovenstaand artikel zijn bijgesteld, maar nog steeds is volledige vergoeding van de onkosten voor aansluiting op het LSP afhankelijk van het aanmelden van voldoende patiëntendossiers). Wég vrije keuze voor artsen en patiënten dus om alleen van het LSP gebruik te maken wanneer dat nuttig of nodig is vanuit gezondheidsperspectief.
Waar een verplichte aansluiting via de wet-EPD (die in 2011 verworpen werd) niet lukt, gebeurt het nu dus op een andere manier.
Het is al sinds het uitkomen van het businessplan van VZVZ (zie pagina 39) helder dat de VZVZ en de zorgverleners maar één systeem willen, het LSP, en ook alleen dit systeem willen financieren. De overheid wil, blijkens de verkapte opt-out in het wetsvoorstel, kennelijk ook nog steeds het liefst dat zoveel mogelijk gegevens worden aangemeld en uitgewisseld via het LSP, met zoveel mogelijk partijen. Wat is daarvan het nut? Het probleem is wel helder: de schaalgrootte neemt toe, en daarmee het aanvalsvlak voor hackers, het aantal ingangen tot de informatie. Bovendien creeert een monopoliepositie voor het LSP een strukturele afhankelijkheid van het LSP voor alle zorgverleners in Nederland. Dat maakt het systeem van zorgverlening érg kwetsbaar. Wat gebeurt er bij een grootschalige DDoS aanval die het LSP plat legt?
Het LSP als centraal schakelpunt is inherent kwetsbaar. Het beleid rond toegangscontrole wordt straks bepaald door VZVZ, waar koepelorganisaties deel van uitmaken die vooral belang hebben bij snelle toegang tot gegevens. Hier bestaan andere technieken voor dan het LSP, maar die zullen straks niet meer worden betaald. Met de verkeerde 'incentives' komt het nooit tot privacy-innovatie in de zorg. Er moeten - in plaats van of naast het LSP - altijd andere systemen bestaan om gegevens te communiceren, op een veilige en efficiënte manier (zie bijvoorbeeld direct project in de VS) -- overigens juist ook voor patienten die niet aan het LSP willen meedoen omdat ze zich (terecht) zorgen maken om de veiligheid en privacy van hun gegevens. Bij een monopolie voor het LSP ontkomen zelfs die patienten er uiteindelijk niet meer aan om zich aan te melden bij het LSP - en dat moet voorkomen worden.
Ik ben van mening dat leveranciers - die systemen leveren voor zorgverleners - veel meer moeten doen om de beveiliging van patiëntgegevens beter te regelen. De leveranciers zijn - samen met hun afnemers, de zorgverleners - in staat om te zorgen dat er naast of in aanvulling op het LSP, systemen komen te bestaan waarmee zorgverleners gecontroleerd, waar mogelijk op kleine schaal, gegevens kunnen uitwisselen. Bijvoorbeeld tussen huisarts en huisartsenpost, maar net zo goed van huisarts naar ziekenhuis na een doorverwijzing, of van een verloskundige naar een gynaecoloog. Of van huisarts en apotheek naar ketenzorgpartners (bijvoorbeeld, diabetesverpleegkundige). De leveranciers kunnen dit ook - het probleem is een gebrek aan incentive en middelen. En zo komen we weer terug bij beleid.
De noodzaak voor privacy-innovatie om te voorkomen dat patiëntgegevens aan onnodig risico's blootgesteld worden, is de reden dat ik pleit voor tenminste een deel vrije financieringsruimte voor zorgverleners, om (nieuwe en nog te ontwikkelen) communicatiesystemen mee te kunnen ontwikkelen. De leveranciers kunnen dan weer veel meer gaan doen dan nu aan het ontwikkelen van technieken voor communicatie waarmee het beroepsgeheim van hun klanten - de zorgverleners - kan worden beschermd. Dit is noodzakelijk. Innovatie ten behoeve van privacy en het vermijden van risicovolle systeemafhankelijkheid, gaat inherent niet lukken als alleen 'innovatie' via het LSP gestimuleerd wordt. DIt moet juist gebeuren door te zorgen dat er naast of in plaats van het LSP andere systemen komen - of blijven bestaan en doorontwikkeld worden.
Natuurlijk kost dit geld, maar het is ook ons aller maatschappelijke verantwoordelijkheid om te voorkomen dat gegevens in verkeerde handen komen. Het LSP (alleen) biedt hiertoe onvoldoende waarborgen.
Guido van 't Noordende - last modified march 18, 2013
Terug naar EPD overzichtspagina: terug