Bezwaren tegen het LSP. In gesprek met Gerard Freriks

GerardFriksWJ

Op 4 maart 2016 publiceerde het NRC-Handelsblad op de opiniepagina een artikel, geschreven door de arts Gerard Freriks en mij. Het ging over het door de huisarts kunnen handhaven van de afgelegde eed van Hippocrates in het huidige ICT-tijdperk. We leven in een tijd dat niet alleen hackers pogingen doen medische data te vergaren, maar ook overheidsinstellingen bij wet het recht tot hacken proberen te verwerven. Gerard Freriks is actief in de ICT sinds 1972 en is 20 jaar huisarts geweest. Vanaf 1996 is hij actief betrokken bij het maken van Internationale standaarden voor de zorg ICT en stond daarbij aan de wieg van elektronische medische datacommunicatie. Enkele van deze standaarden zijn:

  • NEN 7510 Informatie Beveiliging in de Zorg
  • ISO 13606 EPD Communicatie
  • ISO 12934 System of Concepts for Continuity of CareIn Nederland is overigens door VWS en NICTIZ niet gekozen voor het gebruik van die Europese/Internationale EPD norm, maar is gekozen voor HL7 (Health Level 7) als basis voor berichtenverkeer in de zorg. In de USA wordt deze HL7 berichtenstandaard langzaam vervangen door een nieuwe ontwikkeling (FHIR) die beter past bij de ISO 13606 EPD norm.
  • Bij de voorbereiding voor het artikel sprak ik Gerard uitgebreid. Daarbij kwam ook het Landelijk SchakelPunt (LSP) ook ter sprake. Door zijn werk en kennis van achtergronden van het LSP is hij bij uitstek iemand die met een kritische blik naar het LSP kijkt.

Principiële bezwaren

Hij geeft aan van het begin principiële bezwaren te hebben tegen het huidige LSP-gebruik. Een ontwerpfout die er vanaf het begin in heeft gezeten heeft tot deze bezwaren geleid. Te veel is gelet op het mogelijke maken van uitwisseling van gegevens. Informatie beveiliging heeft bij het architectuurontwerp geen grote rol gespeeld.  Het is zijn mening dat de informatie beveiliging moet voldoen aan een aantal eisen:

  1. elke zorgverlener, als auteur, is altijd aansprakelijk voor hetgeen hij documenteert in zijn eigen Elektronisch Patiënt Dossier(EPD). De keten van vertrouwen begint bij de auteur;
  2. iedere auteur moet aansprakelijkheid gehouden kunnen worden dat de gegevens patiëntveilig, en de privacy bewakend, verwerkt worden;
  3. iedere auteur is tevens aansprakelijk te houden voor het verwerken van gegevens namens de auteur door derden zoals zijn EPD-leverancier, en andere diensten leveranciers, etc.;
  4. iedere auteur bepaalt samen met de patiënt welke zorgverlener welke informatie nodig heeft; (proportionaliteit);
  5. gegevens in het systeem van iedere auteur kunnen worden gedeeld in het kader van de waarneming. Hierbij worden alle beschikbare gegevens aan de waarnemer ter beschikking gesteld;
  6. gegevens in het systeem van iedere auteur kunnen met anderen gedeeld worden indien de patiënt wordt verwezen; in dit geval worden slechts specifieke en noodzakelijke gegevens ter beschikking gesteld (proportionaliteit)
  7. alle transacties in een EPD dienen in een audit log vast gelegd te worden
  8. indien in noodgevallen toegang van een derde noodzakelijk is en wanneer die derde niet als persoon expliciet toegang gekregen heeft, dan dient onverwijld de auteur en, als het kan, de patiënt verwittigd te worden.
  9. toegang wordt verleend gebruikmakend van een rol (bv verpleegkundige, internist, behandelend internist, etc.). Sommige functionarissen handelen namens een andere zorgverlener zoals dat het geval is bij praktijk assistentes. Dit houdt in dat de toegestane rollen ook die van de gemachtigde / vertegenwoordigende geregeld moet zijn.

Kritiek

Met de blik op het LSP maakt Gerard Freriks de volgende opmerkingen:

    • het LSP heeft niet expliciet de auteur als hoofdaansprakelijke aangewezen. (zie punt 1)
    • het LSP heeft het Goed Beheerde Zorgsysteem benoemd. We weten allen dat deze systemen niet goed beheerd worden. Het probleem met GBZ’s is dat de zorgaanbieder zelf verklaart dat zijn/haar informatiesysteem voldoet aan de eisen van een Goed Beheerd Zorgsysteem bij de aansluiten op het LSP. Of de zorgaanbieder alle eisen voldoet is maar de vraag, laat staan dat die kan overzien waarvoor getekend wordt. De Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) als beheerder van het LSP, zegt het met steekproeven te controleren en te handhaven, maar geeft desgevraagd geen informatie daarover.(zie punt 2)
    • het LSP lijkt zich op te stellen als aansprakelijke voor de verwerking van de gegevens, het delen van de gegevens, zonder dat de auteur een directe invloed heeft. (zie punten 2, 3)
    • het LSP is zodanig ingericht dat aanmelding ervoor zorgt dat een set van gegevens wordt aangemeld voor inzien door anderen. Fijnmazig vaststellen wie welke data nodig heeft en mag inzien, is bij het LSP een alles of niets fenomeen. Met het begrip proportionaliteit wordt geen rekening gehouden. (zie punt 4)
    • het LSP maakt het niet mogelijk om te differentiëren tussen derden die inzage krijgen in de gegevens. Iedereen met een zorgpas heeft in principe toegang tot alle beschikbaar gestelde gegevens. (zie punt 4)
    • het LSP maakt geen onderscheid tussen gegevens noodzakelijk voor waarnemen en voor verwijzing of samenwerking. (zie punten 4, 5, 6)
    • het LSP heeft te weinig soorten rollen gedefinieerd. (Zie punt 4)
    • In de nieuwe versie van de gebruiksovereenkomst van VZVZ met een zorgaanbieder is de notificatie aan de auteur verwijderd. (Zie punt 9)
    • het EPD registreert niet wie, wanneer, welke data ingezien heeft. (Zie punt 7)
    • het LSP maakt gebruik van een ingewikkelde en inmiddels bijna verlaten starre en lastig te implementeren berichtenstandaard (HL7v3).

 

Alternatief

Er bestaat een inmiddels een goed alternatief dat in Amsterdam getest wordt. Dit alternatief (Whitebox) voldoet aan de uitgangspunten die door Freriks verwoord zijn. De zorgverlener/auteur en daarmee ook de patiënt heeft een volledige controle over wie welke gegevens in kan zien. Het moge duidelijk zijn dat naar zijn oordeel er in de opzet en uitvoering van het LSP-gebruik grote onvolkomenheden zitten. Het zijn bezwaren die andere critici zoals de Vereniging Praktijkhoudende Huisartsen en schrijver dezes met hem delen.

W.J. Jongejan

2 antwoorden
  1. Bert Verhees
    Bert Verhees zegt:

    Inmiddels komt vanuit de EU het GDPR initiatief, dat in mei 2018 geimplementeerd moet zijn. Dit pakt de privacy gerelateerde zwakheden van de huidige zorgsystemen aan, met de GDPR in de hand kunnen organisaties krachtige systemen van de leveranciers afdwingen.

    Organizations can be fined up to 4% of annual global turnover for breaching GDPR or €20 Million. This is the maximum fine that can be imposed for the most serious infringements e.g.not having sufficient customer consent to process data or violating the core of Privacy by Design concepts.

    https://www.eugdpr.org/gdpr-faqs.html

  2. Bert Verhees
    Bert Verhees zegt:

    Het maakt voor de problemen van het LSP niet uit welke standaard er is gebruikt voor uitwisseling. Zelfs een Medeur bericht kan voldoen, mits onder de goede voorwaarden ingezet.

    De problemen van gebrekkige autorisatie zijn een gevolg van organisatorisch problemen. De autorisatie-schema’s kunnen volgens de Nederlandse wet worden gedefinieerd en geïmplementeerd, daarbij dient de patiënt een rol hierin te hebben. Waarom “men” er niet in slaagt om dit op te lossen weet ik niet, maar het omschakelen naar een andere berichten-standaard zou dit probleem niet oplossen.

    Het probleem van het mogelijk onvolledig medicatie-overzicht is een probleem dat inherent gekoppeld is aan het huidige opt-in systeem.

    Bij een opt-in systeem, zoals het nu werkt, is geen enkele apotheek gerechtigd om een medisch dossier te delen met het LSP, behalve als deze expliciet toestemming heeft van de patiënt. Dat betekent dat er honderden apotheken (waarvan 99% geen data heeft) geen data mogen leveren, en dit feit wordt daardoor dan nietszeggend, waardoor een huisarts nooit kan weten of een medicatie-overzicht compleet is.
    De andere reden heeft dhr Jongejan ook goed uitgelegd, dat is dat niet alle ziekenhuizen medicatie-gegevens uitwisselen met het LSP.

    Er zijn twee oplossingen om de tekortkomingen van het opt-in systeem op te heffen:
    1) Bij een opt-out systeem zou iedere apotheek automatisch data-leverancier van een patiënt zijn, en als een patiënt dat aan een apotheek zou verbieden zou er een alert kunnen zijn dat de patiënt geblokkeerd heeft dat er een apotheek data levert. De huisarts die naar een medicatie-overzicht kijkt, zou dan weten dat het mogelijkerwijze niet volledig is.

    2) Privacy dient het uitgangspunt te zijn, en de patiënt dient zijn dossier open te stellen voor behandelaars. De patiënt moet hiertoe middelen krijgen, waardoor dit makkelijk wordt. (In het geval van noodgevallen moet er inderdaad zoals dhr Freriks schrijft een manier komen om dit te overrulen.)

    Een behandelaar moet er zeker van zijn dat wanneer een patiënt zijn systeem voor hem open heeft gesteld, dat de patiënt de verantwoordelijkheid heeft, dat dit het gehele relevante dossier betreft (default waarde). Deze verantwoordelijkheid moet wettelijk worden geregeld.

    Oplossing 2 heeft mijn voorkeur. Dit is omdat 90% van de Nederlanders geen relevante data heeft om te delen met behandelaars. Het is onzinnig om ook van deze mensen data beschikbaar te hebben via een LSP (wat het geval zou zijn bij een opt-out)

Reacties zijn gesloten.