8 september 2010

Slechts 15 procent van de zorgaanbieders is aangesloten op het EPD. Vooral huisartsen en ziekenhuizen doen het slecht. Veel leveranciers kunnen hun systemen niet koppelen. Dat blijkt uit de voortgangsrapportage, die minister Ab Klink naar de Tweede Kamer stuurt. Van alle 6509 zorgaanbieders zijn er slechts 980 aangesloten (zo’n 15 procent). Vooral de huisartsenpraktijken laten het afweten. Welk informatiesysteem ze ook gebruiken, ze kunnen hun dossiers altijd aansluiten op het Landelijk Schakelpunt (LSP). Toch hebben slechts 369 van de 4337 dat gedaan (zo’n negen procent). Het grootste probleem vormen ziekenhuisinformatiesystemen. Bijna veertig procent van alle systemen zitten nog niet in het goedkeuringstraject om aangesloten te worden op het EPD, terwijl alle andere systemen al gecertificeerd zijn. Dat werkt direct door in het gebruik van het EPD. Niet meer dan 13 van de 95 ziekenhuizen is landelijk aangesloten. Het ministerie meldt niet welke leveranciers het laten afweten.

Uit de rapportage blijkt dat er zich nog andere problemen aandienen. Zo is bijvoorbeeld niet voorzien in de internationale toegankelijkheid van zijn of haar medisch dossier. Dat komt doordat landen allemaal opnieuw het wiel uitvinden en over gegevensuitwisseling niet hebben nagedacht. Van een uitwisselingsstandaard is geen sprake. ‘Terwijl veel Europese landen werken aan het implementeren van een nationale infrastructuur, is er in de meeste gevallen nog geen rekening gehouden met de interoperabiliteit tussen de verschillende nationale systemen’, schrijft Klink. Verwonderlijk, want van het begin af aan is op die uitwisseling gewezen. In 2011 start er een Europees project om die uitwisseling uiteindelijk toch mogelijk te maken. Hoe dat vorm gaat krijgen is nog niet duidelijk. Het heet het paard achter de wagen spannen, want het kan niet anders of dat zal tot wijzigingen in systemen geen leiden. Met nieuwe kosten, terwijl het Nederlandse EPD al een bijzonder hoog prijskaartje heeft. Het project heeft de belastingbetaler tot nu toe zo’n 85 miljoen euro gekost, stelt Klink. Een ander probleem met het EPD is nog belangrijker. Burgers krijgen namelijk voorlopig geen toegang via internet tot hun EPD. De methodiek van aanmelden blijkt een te groot beveiligingsrisico. Ondertussen is een goed alternatief nog niet voor handen. Voor het aanmelden was het plan om gebruik te maken van een combinatie van DigiD en SMS en dat blijkt geen haalbare kaart. De versleuteling van SMS is door beveiligingsonderzoekers gekraakt en is dus niet meer te gebruiken voor het toegankelijk maken van gevoelige medische gegevens. Om patiënten toegang tot hun medische gegevens te geven zijn er drie eisen opgesteld. Zo moeten mensen zich aanmelden met hun BurgerServiceNummer (BSN), moet er sprake zijn van sterke authenticatie en worden er hoge eisen gesteld aan de hulpmiddelen voor het aanmelden. De oplossing voor het EPD lag in het gebruik van het DigiD samen met SMS-berichten via de GSM. Juist die SMS-berichten vormen nu het probleem, omdat de gsm-encryptie is gekraakt. Het risico dat het publiek vertrouwen verliest in dit dossier vinden de onderzoekers hoog. Voor minister Klink is dit reden om burgers voorlopig geen digitale toegang tot hun EPD te geven. ‘Totdat er meer duidelijkheid bestaat over mogelijke mitigerende maatregelen, wordt vooralsnog een pas op de plaats gemaakt met de ontwikkeling van die onderdelen van het Klantenloket die van de beveiligingskwetsbaarheid in SMS afhankelijk zijn, waaronder een patiëntenportaal’, schrijft de demissionair-bewindvoerder. ‘Immers, voorop staat dat een zo optimaal mogelijk niveau van privacybescherming een absolute voorwaarde is voor het op verantwoorde wijze verschaffen van elektronische toegang tot patiëntgegevens’. Maar een oplossing blijkt niet eenvoudig. Een betere vorm van encryptie voor de GSM zal niet op alle toestellen werken, het gebruik van TAN-codes stuit op het risico van kopiëren zonder dat de burger het merkt en ook andere oplossingen hebben grote nadelen. De onderzoekers zien één optie: alle burgers een coderingslijst te sturen en vervolgens de tijdelijke code gecodeerd te versturen, maar dat is veel gedoe en moet ook nader worden onderzocht. Dus wordt voorlopig de toegang voor burgers tot het EPD in de ijskast gezet. En dat kan dan nog lang duren, want een volstrekt veilige encryptietechnologie bestaat niet en zal ook nooit bestaan. Vaarwel dus, toegang tot het EPD ?