De systeembeheerder weet straks alles van de patiënt

De brief van minister Klink over het Elektronisch Patiënten Dossier is onverantwoord. Schending van het medisch geheim is straks gemakkelijk, meent Frank Kuitenbrouwer.

Vorig jaar deze tijd was Groot-Brittannië in rep en roer omdat een paar schijfjes met kinderbijslaggegevens van 27 miljoen burgers (inclusief sofinummers) zomaar zoekgeraakt waren. De regering gelastte een algemeen vervolgonderzoek. Daarbij bleken bij negen regionale ziekenhuisbesturen de gegevens van 160.000 patiënten zoekgeraakt te zijn. Intussen gaat de Britse regering doodleuk door met een enorm automatiseringsproject voor centrale ontsluiting van medische dossiers.

Dat is een recept voor problemen, waarschuwde Ross Anderson, hoogleraar computerbeveiliging. Lokale systemen zijn volgens hem veel veiliger. Ook bij de huisarts kunnen patiëntengegevens gevaar lopen, maar de schade blijft beperkt. „Je kunt veiligheid hebben of functionaliteit of grootschaligheid – maar je kunt niet alle drie tegelijk hebben.”

Maar deze boodschap blijkt niet besteed aan minister Klink (Volksgezondheid, CDA). Hij stuurde alle Nederlanders een brief over het landelijke Elektronisch Patiënten Dossier (EPD) dat hij volgend jaar wil doordrukken. Al is de vereiste wetgeving er nog niet. Geen woord over de risico’s.

De geplande wet heeft een open einde, met alle ruimte voor steeds meer toeters en bellen die het EPD steeds kwetsbaarder maken: van medicatie tot behandelingshistorie tot declaraties en kwaliteitszorg. Het medisch geheim wordt bovendien steeds dunner uitgesmeerd over de benodigde hulpkrachten, van administratief personeel tot systeembeheerders. Schending kan tegenwoordig bij honderdduizenden tegelijk.

En dan gaat het nog alleen om de veiligheid van het EPD, de bescherming tegen calamiteiten, computerinbraken en lekken. Iedereen zal het er over eens zijn dat niet-bedoeld gebruik voorkomen moet worden. De minister zoekt dat in speciale toegangspasjes voor de gebruikers. Echte beveiliging moet echter ín het systeem zitten. „Een hoeveelheid data met daarover een serie toegangscodes, als slagroom op een taart, heeft geen nut”, waarschuwde Karin Spaink in een instructief boekje Medische geheimen (2005). Een extra risico is dat geen zorgaanbieder zich meer echt verantwoordelijk voelt. Elektronisch ontsloten gegevens hebben toch al de neiging een eigen leven te gaan leiden. De stap van de computer van de huisarts naar een ‘landelijk schakelpunt’ moet niet worden onderschat.

Zelfs de beste beveiliging laat een minstens zo belangrijke kwestie open: waarvoor is het EPD wél bedoeld? Het medisch geheim staat onder enorme druk, niet alleen van hackers maar ook van volstrekt legale buitenstaanders, zoals banken, werkgevers en verzekeraars. De politie sluit nu al deals met ziekenhuizen om binnen te komen.

Iedere patiënt kan (delen van) zijn EPD tegenhouden, sust de minister. Deze verzekering doet denken aan het omstreden plan van een ‘digitaal kluisje’ voor iedere burger in de bevolkingsboekhouding. De betrokkene zou zelf mogen weten wat er naast de basisgegevens in gaat en aan wie hij wat wil verstrekken. De overheid heeft uiteraard een eigen sleutel. En de vrije zeggenschap? Die zal eerder een drukmiddel worden voor derde partijen: „Kom op met die gegevens, we weten dat je ze hebt.”

De kluisjesformule is terecht een stille dood gestorven. De les: er is geen reden veel te verwachten van de mogelijkheden voor de individuele patiënt om zijn of haar gegevens langs elektronische weg te doseren. De patiënt wordt overigens niets gevraagd. Klink gaat bij het EPD uit van ‘wie zwijgt, stemt toe’. Dat doet geen recht aan de wettelijke status van medische informatie als ‘gevoelige’ en dus extra beschermwaardige categorie.

Er dreigt nog een tweede gevaar, namelijk dat de gezondheidszorg wordt misbruikt als wegbereider voor een elektronische identiteitskaart (eNik) voor alle burgers. Er zijn onvoldoende diensten waarvoor elektronische identificatie nodig is, dus dan kan het EPD mooi als trekker dienen. Daar is gezondheidszorg niet voor.

Het grote argument vóór het EPD is dat het medicatie- en overdrachtsfouten voorkomt. Die leiden tot 19.000 ziekenhuisopnames per jaar en meer dan duizend sterfgevallen. Dat zegt echter nog niet dat het EPD de oplossing is. Zelfs met een elektronisch medicatiedossier blijken zorgverleners niet precies te weten welke medicijnen een patiënt gebruikt, meldde Karin Spaink. In Amerika zijn verkeerde computergegevens inmiddels in rang de vierde oorzaak van medicatiefouten. Is het werkelijk nodig iemands volledige dossier beschikbaar te stellen of volstaan enkele kernzaken? Een beperkt EPD – een ‘landelijk nooddossier’ – is al een hele stap, voor wie dat zelf, behoorlijk voorgelicht, kiest en niet opgedrongen krijgt.

Frank Kuitenbrouwer is medewerker van NRC Handelsblad.

Meer over het EPD: huisarts Norbert Schilder pleit voor een regionale regeling voor informatie-uitwisseling. Zijn collega David de Boer en advocaat Saskia Reuling noemen de brief van Klink „ondemocratisch”. Ook onderzoeker Paulus de Jong somt bezwaren tegen het EPD op. Lees verder op nrc.nl/opinie.