De drie partijen reageren met de motie op het gegeven dat de medische sector onvoldoende interesse heeft in private voortzetting van de infrastructuur van het EPD. Huisartsen, ziekenhuizen en apothekers hadden tot vorige week de kans hun bereidheid uit te spreken om de kosten te dragen van een eigen landelijke netwerk om zo’n 50 lokale medische databases aan elkaar te knopen.

Het EPD, waar jaren aan is gesleuteld, heeft al een lijdensweg doorlopen. Na de afwijzing ervan in de Eerste Kamer besloot minister Schippers de handen van het EPD af te trekken en gaf Nictiz de opdracht te onderzoeken of een private doorstart door de zorgsector tot de mogelijkheden behoorde. Dat bleek dus niet het geval.

Nictiz trekt per 1 januari de stekker uit het hele project. Het duurste en belangrijkste onderdeel dat dan verdwijnt is het zogeheten Landelijke Schakelpunt. Dat LSP is de ict-infrastructuur waarmee de patiëntengegevens uit de lokale medische databases landelijk konden worden uitgewisseld.

Niets van de infrastructuur van het EPD is te hergebruiken. Dat zegt Nictiz-directeur Gert-Jan van Boven. Het ontmantelen van de infrastructuur van het EPD is onomkeerbaar. ‘Er is niets dat we op Marktplaats.nl zouden kunnen aanbieden.’ De infrastructuur die op 31 december 2011 wordt uitgezet omvat het zogeheten landelijk schakelpunt, de verwijsindex waarin voor patiënten die daartoe toestemming gaven staat geadministreerd waar hun gegevens zijn op te vragen.

Het systeem logt ook de aanvragen van informatie en bewaart die gegevens vijftien jaar, zodat eventueel misbruik van medische gegevens kan worden aangepakt. Het regelt ook de authenticatie en autorisatie van de gebruikers. Aan de hand van hun rol in de zorgverlening krijgen gebruikers meer of minder informatie over een patiënt te zien. Ook bevat het ‘t zogeheten opt out-systeem, het register van burgers die hebben aangegeven dat zij niet willen dat hun medische gegevens via het systeem kunnen worden uitgewisseld. ‘In het bijhouden en beheren daarvan zat een groot deel van onze kosten’ , zegt Van Boven.

Feitelijk gaat het om enkele servers, redundant uitgevoerd, opgesteld in twee datacenters. Niets van deze apparatuur kan in de toekomst worden hergebruikt, zegt Van Boven. Het enige dat van het landelijke EPD overblijft zijn de door Nictiz ontwikkelde standaarden. Die zijn de afgelopen jaren door alle leveranciers van software voor de zorg overgenomen. ‘Maar nu de noodzaak wegvalt allemaal hetzelfde systeem te gebruiken, zullen fabrikanten weer gaan divergeren en hun eigen systemen gaan kiezen’. Dat zou zomaar kunnen. Dat apparatuur niet hergebruikt kan worden is natuurlijk onzin: daar gaat het helemaal niet om. Het gaat om de software en de data en die zijn altijd herbruikbaar. Tenzij uiteraard, deze op 1 januari ook allemaal wordt vernietigd. Voor de data is dat vanwege privacy-overwegingen begrijpelijk, voor de software niet.

Volgens PvdA, CDA en VVD wordt een ‘ongewenste stap achteruit’ gedaan, ‘die de zorgsector terugvoert naar het papieren tijdperk’. Wat eveneens onzin is, want de regionale EPD’s blijven bestaan. Het aanleggen van koppelingen tussen deze systemen is een wellicht wat realistischer weg.
Verschillende organisaties hebben een brief gestuurd naar de Tweede Kamer waarin zij protesteren tegen voortzetting van het EPD. Volgens Privacy First en de stichting KDVP, een organisatie van vrijgevestigde zorgverleners die waakt over de privacybelangen van patiënten, gaat de motie lijnrecht in tegen de wens van de Eerste Kamer. Privacy First pleit voor hergebruik van de LSP-technieken zonder dat die landelijk moeten worden gebruikt. Vervolgens moeten patiënten zelf de keuze hebben daarin mee te doen.

De stichting KDVP vindt dat ‘beschikbare alternatieven niet serieus en grondig zijn onderzocht’ en zegt dat centrale toegang tot medische persoonsgegevens ‘niet te beveiligen’ valt. ‘Pleiten voor een doorstart van een dergelijk onveilig systeem kan niet anders worden getypeerd dan als een blijk van onvermogen’, schrijft de stichting aan de Tweede Kamer. Ook dat lijkt overdreven. Een centrale database is heus wel te beveiligen, maar dan zal men daarvoor wel voldoende middelen moeten inzetten.

En och, (afgezien van het onwenselijke verschijnsel deze data in buitenlandse infrastructuren op te slaan), misschien zijn Google Health en Microsoft Health Vault lichtende voorbeelden van hoe het op een praktische, realistische wijze kan worden ingericht ?