3 februari 2010

Er zijn veel mensen die toegang krijgen tot het medische dossier. Wie geen bezwaar heeft gemaakt, opent het dossier voor veel mensen in de zorg. Maar ook vakgenoten, die om advies wordt gevraagd, co-assistenten, medisch studenten, biochemici, fysici, paramedici, diëtisten, spelbegeleiders, secretaressen, functionarissen belast met het feitelijk beheer van het patiëntendossier, functionarissen belast met de financiële afwikkeling en mensen die rechtstreeks betrokken zijn bij de medische behandeling. En daar bovenop nog de vervangers van al deze mensen en automatiseringsmedewerkers die UZI-passen krijgen. En laten we niet vergeten dat ook in bijzondere gevallen opsporingsambtenaren of een geheime dienst de gegevens vordert. Dat wordt duidelijk na het bestuderen van documenten over de privacy van het Elektronisch Patiëntendossier (EPD).

Het toegangsbeleid is gekoppeld aan een zeer gebrekkig toezichtsysteem. De controle op misbruik wordt achteraf geregeld. Iedere keer dat een dossier wordt bekeken, logt het systeem dit. Ook het Ministerie van Volksgezondheid, Welzijn en Sport erkent dit probleem in een toelichting op de Wet die het EPD regelt. ‘Hoewel toezicht achteraf goed is vormgegeven, is het 'kwaad' dan al geschied. Immers, de gegevens zijn al ingezien. Over het algemeen zullen artsen hier integer mee omgaan en heeft de logging een remmende werking’. De regels zijn volgens het ministerie wel duidelijk. Er mag alleen dan in het dossier worden gekeken als er sprake is van een behandelrelatie tussen arts en patiënt. Maar in de adviesaanvraag aan het CBP erkent het departement ook dat dit technisch eigenlijk niet te controleren valt. Ook het NICTIZ (Nationaal ICT Instituut in de Zorg) ziet dit probleem na onderzoek. Het CBP is niet overtuigd en schrijft: ‘Het is onvoldoende dat achteraf kan worden vastgesteld dat iemand zijn boekje te buiten is gegaan en onbevoegd toegang heeft gekregen tot een medisch dossier. Nog daargelaten dat het waarschijnlijk onbegonnen werk is om al die loggegevens daadwerkelijk te controleren’. In de conceptwet staat dat geregistreerd moet zijn dat er een behandelrelatie is en anders moet dat expliciet door de zorgverlener verklaard worden. Noch het wetsvoorstel noch de toelichting vertelt hoe dat dan vorm moet krijgen. Technisch afdwingen van toestemming voor het inzien is niet geregeld. Het inzetten van een soort pasje met pincode (eNIK) zien de betrokken ambtenaren niet zitten, omdat dergelijke technologie te 'pril' is. In andere Europese landen is een dergelijk systeem echter wel in gebruik. Welke instantie of functionaris dan toezicht gaat houden op misbruik van de EPD-informatie is onbeantwoord. Niemand heeft er zin in. Het probleem is en blijft dat eigenlijk niemand toezicht wil houden. Zo zijn het CBP en IGZ niet voldoende uitgerust zo'n taak op zich te nemen. Uiteindelijk zal het misbruik worden voorkomen, stelt het ministerie, omdat er een combinatie zal zijn van ‘de samenhang tussen wetten, beveiliging, toezicht, communicatie en de keten van identificatie, authenticiteit, autorisatie en logging’. Wie er nou precies verantwoordelijk is als er bijvoorbeeld een datalek optreedt, blijft een probleem. Veel mensen zullen de arts, die de gegevens in het systeem zet, aanspreken. Artsenorganisatie KNMG ziet de bui al hangen en schrijft in een brief aan de Eerste Kamer dat het zich zorgen maakt over de vertrouwensrelatie tussen de arts en de patiënt. Terecht. Gezien alle andere problemen die het EPD heeft, kan er dit nog wel bij. Het is nu wel zo ongeveer duidelijk dat we met een dossier worden opgezadeld, dat zo lek is als een mandje en waarvoor niemand verantwoordelijk wil zijn. Als vervolgens de kwaliteit van de data ook nog achterblijft, zijn de gevolgen helemaal niet te overzien.