27 mei 2009

Twee regionale EPD's blijken de Wet bescherming persoonsgegevens (WBP) te schenden. De toegang is niet goed afgeschermd en patiënten zijn niet geïnformeerd. Dit blijkt uit een onderzoek dat in februari en maart is uitgevoerd door het College Bescherming Persoonsgegevens (CBP). De privacywaakhond heeft onderzoek gedaan bij twee regionale EPD's, die reeds in gebruik zijn. Het gaat om die van de Centrale Huisartsenpost Gorinchem (CHP) en die van de Stichting Schakelpunt Informatie Transmurale Zorg Midden-Holland (SPITZ-MH). De twee zorginstellingen bedienen in totaal 250.000 patiënten. Daaruit komen twee grote problemen naar voren. Mensen die niet opgenomen willen worden in een landelijk EPD, kunnen al wel – zonder het te weten – zijn vastgelegd in een regionaal EPD. 'De onderzochte initiatieven informeerden patiënten niet persoonlijk over de opname van hun gegevens in het regionaal elektronisch patiëntendossier', zo schrijft het CBP. Daarnaast blijkt dat de toegang tot de medische data niet goed is beveiligd. Die informatie zou alleen toegankelijk moeten zijn voor de behandelend arts, maar dat is niet sluitend geregeld. Ander medisch personeel kan ook toegang hebben tot de medische gegevens. Bovendien wordt daar niet op gecontroleerd. Raadplegingen van het systeem worden wel gelogd, maar er vindt geen structurele controle plaats of dat wel behandelende artsen en hún patiënten betreft.

'Dit is zorgwekkend omdat het de uitwisseling van medische gegevens betreft die per definitie privacygevoelig zijn. Mensen moeten worden geïnformeerd over de opname van hun gegevens in een regionaal EPD en er op kunnen vertrouwen dat alleen de behandelend arts toegang heeft tot hun medische gegevens', zo stelt opnieuw het onderzoeksrapport. Het College zegt dat de nu geconstateerde onrechtmatigheden niet per se van toepassing zijn op andere regionale EPD's, maar dat het wel aanwijzingen heeft dat privacyschendingen ook elders voorkomen. Eerder deze maand hekelde de Consumentenbond het EPD al. De privacy van patiënten is slecht beschermd en de aansprakelijkheid bij data-lekkage is onduidelijk. Ook schort het volgens de Consumentenbond aan goede informatievoorziening. Die onwetendheid is ook al aangestipt door Nederlandse Patiënten Consumenten Federatie (NPCF) die TNS NIPO een onderzoek naar het EPD heeft laten doen. Daaruit blijkt dat Nederlandse burgers wel vertrouwen hebben in het elektronisch patiëntendossier. Dat vertrouwen is gestoeld op relatieve onwetendheid. De TNS NIPO-onderzoekers zien ook beveiligingsproblemen en daarmee het risico van privacylekken. De NPCF is een overkoepelende patëntenvereniging, maar is via het Fonds PGO financieel verbonden aan het ministerie van Volksgezondheid. De privacygevaren van EPD's zijn niet beperkt tot Nederland. In Groot-Brittannië is in de eerste vier maanden van dit jaar al veel informatie 'gelekt' door de nationale gezondheidsdienst NHS. De medische gegevens van tienduizenden Britse burgers zijn bij 140 beveiligingsschendingen naar buiten gekomen. Dat zijn meer 'security-incidenten' dan die van alle andere Britse overheidsinstanties bij elkaar opgeteld, weet dagblad The Independent te melden. Die krant baseert dit op informatie van de Britse tegenhanger van het CBP. Information Commissioner Richard Thomas van die instantie waarschuwt dat zorgpersoneel te laks omgaat met persoonlijke gegevens.