Is een ‘man in the middle’ de oplossing voor de EPD-discussie?

No comments »
AUTHOR:
CTO Dell EMC Nederland
CATEGORIES:

De afgelopen weken stond het Elektronisch Patiënten Dossier (EPD) weer volop in de belangstelling.  De Eerste Kamer kwam na lang beraad tot de conclusie dat het voorstel zoals dat er nu lag, niet alle ingrediënten bevat om aan de gewenste eisen van privacy en geheimhouding te kunnen voldoen.  Integriteit van dusdanig persoonlijke gegevens is een groot goed.  Het is vanzelfsprekend dat wetgeving op dit gebied van groot belang is.

Een voorbeeld is de gegevensbank van EuroNed, die als hostingpartij in het cybercenter Oude Meer van KPN het grootste zorgnetwerk van Nederland, E-Zorg, laat draaien.  E-Zorg is een uitgebreid informatiesysteem waar alle informatie van apotheken en huisartsen veilig staat opgeslagen op EMC-opslagsystemen.  EMC-partner Openline uit Maastricht heeft de de back-up oplossing  van dit systeem geleverd.  Er zijn maar liefst vierhonderd apotheken en zeshonderd huisartsenpraktijken op dit systeem aangesloten die onder andere  worden ondersteund  met elektronisch receptenverkeer en de extramurale zorg van huisartsen, apothekers en ziekenhuizen.

De keerzijde van de medaille
Techniek heeft de vervelende eigenschap dat het zowel ten gunste van de mens kan worden gebruikt, maar ook ten nadele.  Die grens is soms akelig smal en grijs.  Dit geldt ook voor de persoonlijke gegevens in de medische zorg.  Enerzijds kan het ontbreken van die informatie op een cruciaal moment het verschil tussen leven en dood betekenen, anderzijds kan die informatie in handen van onbedoelde derden leiden tot zeer vervelende morele en financiële consequenties.  De grote aandacht en discussie over voldoende veiligheid en privacy op dit gebied is dus ook absoluut niet onzinnig.

Maar de tijd gaat verder en de techniek ook.  Steeds meer informatie is elektronisch en digitaal beschikbaar.  Cloud computing ontwikkeld zich sterk, onder meer  voor de gemeenschappelijke opslag van allerlei informatie.  Daarnaast worden medische gegevens steeds vaker digitaal gecreëerd en verwerkt.  Niet alleen in de bekende medische omgevingen zoals ziekenhuizen, artsenpraktijken en verzorgingshuizen, maar ook daarbuiten.  Centralisatie zorgt voor kostenbesparing,  continuïteit en beschikbaarheid.  Bovendien wordt het eenvoudiger  informatie te koppelen met andere systemen; Datawarehousing en Information Analytics kunnen steeds grotere hoeveelheden gegevens in samenhang brengen en trends en verbanden analyseren.  En nog steeds zit er zowel een positieve als negatieve kant aan dit verhaal.

Medische gegevens in eigen beheer?
De vraag is of we ooit uit de discussie zullen raken.  Of wellicht moeten we de patiënt zelf zijn eigen informatie laten beheren en ter beschikking laten stellen.   In Finland is (trouwens ook met een EMC-oplossing) een landelijk patiëntendossier ontwikkeld waar de digitale identiteitskaart de sleutel is om tot die informatie te komen.  De identiteitskaart heeft een chip waarop enerzijds een beperkte hoeveelheid medische informatie staat in geval van nood.  Denk aan allergieën, medicijngebruik, ziektes etc.   Maar daarnaast is het mogelijk om via die kaart te linken naar alle medische dossiers in Finland, als dat nodig is.

De patiënt heeft dus zelf zijn eigen (beperkte) informatie bij zich en de sleutel om tot het uitgebreide bestand te komen.  Een soortgelijke situatie als bij de Priviumkaart van Schiphol voor automatische grenscontrole.  Op die kaart staan beide irissen van de kaarteigenaar digitaal in de chip, samen met de geldige paspoortgegevens.  Als de detector bij de douane constateert dat het betreffende oog correspondeert met een van de twee irissen, worden de paspoortgegevens getoond zodat je vervolgens toestemming wordt verleend het land te verlaten c.q. binnen te komen.  De zeer persoonlijke iris-informatie wordt niet gekopieerd of ingelezen en blijft persoonlijk eigendom van de kaarthouder.  Deze oplossing heeft internationaal zelfs privacy-prijzen gewonnen.

In case of emergency
Blijft de vraag wat te doen als je als patiënt bij een ongeluk buiten bewustzijn bent geraakt.  Dan zul je toch als individu moeten bepalen welke medische informatie je wel en niet in noodgevallen beschikbaar wil stellen voor geautoriseerde medewerkers zoals ambulancepersoneel, artsen en eerste hulpverleners.  Welke persoonlijke informatie wil jij op een bepaald moment openbaar laten zijn?  En eventueel ook later weer terugnemen met de garantie dat er niets achterblijft in de betreffende informatiesystemen.  Hoe willen wij in de toekomst met onze persoonlijke informatie omgaan ?

‘Man in the  middle’
Personal Information, afgekort PI, is een onderwerp dat volop in de aandacht staat en, onder andere in Nederland, enkele interessante initiatieven kent.  Hoe kun je je eigen persoonlijke informatie in schillen van diepgang wel of niet, eenmalig, kortstondig of voor langere tijd beschikbaar stellen?  Zonder dat je bij elke digitale relatie verplicht bent vooraf veel persoonlijke informatie te verstrekken, niet weet wat de ander er mee gaat doen en hoe lang hij die data bewaart. Het is dus zaak om een soort ‘man in the middle’ te creëren die vertrouwelijk met jouw informatie handelingen mag en kan verrichten, waarbij de andere partij die informatie niet of nauwelijks krijgt als dat niet relevant is voor de handeling of activiteit.  Een ‘man in the middle’ met een wettelijk ambtsgeheim zoals een arts of notaris, die als informatiemakelaar diensten linkt waarbij privacy gewaarborgd is.

Informatietechniek maakt veel mogelijk, maar soms ook te veel.  Sommige zaken rond privacy moeten en kunnen zeker beter geregeld worden dan ze momenteel zijn.  Dezelfde informatietechniek kan daar weer bij helpen.  Maar dan moeten wetgever en op dit gebied gecertificeerde diensten dat mogelijk maken en die garanties kunnen bieden.  In een van mijn volgende blogs zal ik dieper ingaan op het onderwerp PI, Personal Information.  Er gebeuren mooie dingen op dat gebied.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.