4min Security

Het persoonlijk gezondheidsdossier, het nieuwe EPD?

Het persoonlijk gezondheidsdossier, het nieuwe EPD?

De Raad voor de Volksgezondheid en Zorg (RVZ) publiceerde vorige week een advies over patiënteninformatie. Dit advies is opvallend omdat het een oproep bevat aan VWS om weer een centrale regierol te gaan vervullen. Dat is een rol die VWS bewust niet gekozen heeft bij het invullen van het landelijk EPD, dat inmiddels van tafel is. Het advies is nu om iedere patiënt een persoonlijk gezondheidsdossier (PGD) te laten hebben. Dit is een dossier naast dat van je zorgverlener, waarvan je zelf bepaalt wat er in komt te staan.

Waarom moet er een PGD komen? Eén trigger staat in het advies: de gemeenten krijgen decentraal zorgtaken te doen. Andere redenen laten zich raden: het falen van het landelijk EPD (dat ten onder ging aan verkeerde beeldvorming en de weerslag van de publieke opinie daarop) en de opkomst van de sociale media, waardoor het concept van eigen dossierbeheer bij een breed publiek bekend is geworden.

Kan het PGD veilig gemaakt worden? In het advies staat een bevestigend antwoord: gebruik ‘Privacy by Design’. Dit begrip wordt zo veelvuldig gebruikt dat in het rapport de afkorting PbD gebruikt wordt. In die context worden (sterke) authenticatie, toegangsbeveiliging en encryptie genoemd. Dit zijn inderdaad een paar technische maatregelen die hierbij kunnen helpen, maar daarmee heb je nog geen privacy by design geregeld. Dat vergt een gecoördineerde aanpak volgens een raamwerk, bijvoorbeeld de IEC/ISO 27001&2-standaarden, Cobit of BSIMM. De ‘BSI’ in BSIMM staan nota bene voor ‘building security in’… Het rapport noemt als voorbeeld wel het werk van de Qiy Foundation op p.34 (zie www.qiy.nl). Dit had best méér aandacht mogen krijgen dan slechts een tussenzinnetje.

Zorgelijk wordt het wanneer de werking van beveiliging incorrect beschreven wordt in het advies. In het advies staat: ‘De in deze toepassing te gebruiken encryptiesleutels dienen te worden beheerd door middel van een TTP (trusted third party), want voorkomen moet worden, dat als een hacker zich toegang zou kunnen verschaffen tot de computers, dat hij de sleutel op de ‘cliënt’ van de zorgaanbieder zou kunnen ophalen en dan alsnog het systeem zou kunnen binnendringen’ (p.57). Het is correct dat de randvoorwaarde voor encryptie goed sleutelbeheer is, maar een TTP beheert geen encryptiesleutels van derden. Een TTP geeft slechts een oordeel over de identiteit behorende bij een (publieke) encryptiesleutel. In het rapport wordt daarnaast ook nog de indruk gegeven dat een TTP onkwetsbaar is. Hierop heb ik een eenvoudige reactie: Diginotar. Op dit onderwerp is nog echt additioneel inzicht nodig om te komen tot een goed advies.

De Raad geeft expliciet niet aan wie het PGD moet financieren en hoe het PGD moet worden beheerd. Wie denkt dat de patiënt dit zelf kan, zoals hier en daar blijkt uit enquêtes, zal bedrogen uitkomen. De patiënt kan hooguit functioneel aanwijzingen geven. Het beheer zal, in het belang van die zo belangrijke privacy, bij professionele partijen moeten liggen met een zorgvuldig en effectief toezicht.

Welke problemen lost het PGD op? Het rapport noemt er een paar, die ik aanvul met mijn reacties:

  • De patiënt heeft geen overzicht – Dit wordt inderdaad met een goed PGD wel ingevuld.
  • De zorgaanbieder heeft geen overzicht – Dit wordt in mindere mate ingevuld. De aanbieder moet er op vertrouwen dat de patiënt alle relevante gegevens heeft verzameld en deze niet gemanipuleerd heeft.
  • Er zijn onvoldoende gegevens beschikbaar voor publieke doeleinden – Het PGD draagt hieraan alleen indirect bij. Doordat het PGD vereist dat dossiers beschikbaar komen in een standaard formaat, is verzameling van gegevens voor dit doel ook mogelijk. Hierbij zijn er zeker nog problemen op te lossen, zoals waarborgen voor de privacy, maar dat vergt verdere invulling. In alle eerlijkheid meld ik dat het rapport dit ook noemt.
  • Privacy lijkt een struikelblok te zijn – Dat is het volgens mij nog steeds, ook met een PGD.
  • Zorgaanbieders voeren activiteiten dubbel uit – Een mondige patiënt met een goed PGD zal dit kunnen voorkomen als hij dat wil. Soms vinden patiënten een herhaling van een onderzoek helemaal niet negatief. Er spelen hier verschillende belangen door elkaar.
  • Er is onvoldoende interoperabiliteit – Dit wordt met goede standaarden wel ingevuld.

Ik constateer dat de twee problemen die opgelost worden met het PGD, ook opgelost zouden zijn geweest met het landelijk EPD. De andere problemen ook in bepaalde mate. Voor het landelijk EPD was gebrek aan functionaliteit voor eigen beheer en beheersing door de patiënt een onoverkomelijk struikelblok… Wel redenen voor VWS om weer de regierol te moeten willen oppakken.

Kortom, het advies moet gezien worden als een visie die nog verder uitgewerkt dient te worden door betrokken partijen, met gebruikmaking van experts in relevante kennisgebieden.

Lex Borger is hoofdredacteur van het PvIB blad ‘Informatiebeveiliging’ en security consultant bij i-to-i.