Artikel: wetgeving loopt achter de feiten aan

Auteurs: Jaap van der Wel en Berend de Vries

De regionale gegevensuitwisseling is nog niet veilig genoeg. EPD-wetgeving zou hier in kunnen voorzien. Echter die laat vooralsnog op zich wachten: de wetgeving loopt achter.

Regionale EDP's, de stand van zaken

Het College Bescherming Persoonsgegevens (CBP) onderzocht twee regionale informatie-uitwisselingen in de zorg en signaleerde medio 2009 ernstige tekortkomingen in de privacybescherming. Waarschijnlijk kunnen meer regio's de toets der kritiek niet doorstaan. Dit is een serieus probleem. Binnen de regio's bestaan vele banden - tussen familie, bekenden, school, werk, sportvereniging - en juist die kunnen aanleiding zijn voor gegevensmisbruik. En dit probleem betreft het grootste deel van alle Nederlandse patiënten want dat is inmiddels het bereik van de gezamenlijke regionale informatiesystemen.

Het CBP onderzocht de beveiliging aan de hand van een toetslijst die werd afgeleid uit de Wet bescherming persoonsgegevens (Wbp) en de bepalingen over de geneeskundige behandelingsovereenkomst, zie kader 1. Eén toetspunt van die lijst, informeren van patiënten over de gegevensuitwisseling, volgde direct uit de wet. Andere punten zijn uitwerkingen, bijvoorbeeld de eis van gestructureerde logging waarbij op 'verdachte situaties' wordt gecontroleerd. Dat laatste is voor het CBP een middel om onbevoegde artsen te weren door achteraf vast te stellen of de behandelrelatie bestaat. Onduidelijk is of men ook denkt aan controle op gegevensverkeer dat wijst op aanvallen van hackers.

Volledig onderzoek?

Er zijn wel meer beveiligingsmaatregelen te bedenken dan die van de toetslijst van het CBP. Zo is voor informatievoorziening over internet belangrijk dat een arts zich identificeert met méér dan alleen een wachtwoord. Bij elektronisch bankieren is al jaren een extra beveiliging in zwang, voor de ING TAN-codes en de voor de Rabobank en de ABNAMRO de chip en pincode van de bankpas, afgelezen door een speciaal leesapparaat. De techniek van de UZI-pas voor het landelijk Patiëntendossier is daarmee vergelijkbaar. Een hacker heeft zo niets aan een afgeluisterd wachtwoord.

Duidelijk is dat de toetspunten van het CBP onvolledig zijn voor de veiligheid van het  patiëntendossier. Een volledige toets zou echter te veel werk zijn geweest. Vragen naar een risicoanalyse informatieveiligheid was in theorie ook mogelijk geweest. Dit zou echter hebben geleid tot veel dubbel werk tussen alle regio-organisaties: kostbaar en vertragend. En het ontbreekt dan nog aan de standaardisatie die nodig is voor de invoering van toegangspassen. Die zijn hard nodig in de eerste lijn want bij tal van internettoepassingen - gelukkig niet alle - volstaat een gebruikersnaam en een wachtwoord om vertrouwelijke patiëntgegevens in te zien.

Bouwnormen via jurisprudentie?

Dat het CBP problemen constateert, is terecht. Maar bij een poging om die op te lossen, berispt het de zorginstanties publiekelijk op basis van regels die ad hoc uit de wet worden afgeleid, in het zorgveld niet vooraf bekend waren en blind zijn voor vele essentiële beveiligingsrisico's. Dit is dweilen met de kraan open, een weinig productieve en voor het zorgveld frustrerende aanpak.

Begin 2009 constateerden de kamerleden Omtzigt (CDA) en Vermeij (PvdA) deze hiaten in de regelgeving ook al. Bij de behandeling van het wetsvoorstel voor het landelijk EPD dienden zij een motie in om het toepassingsgebied van het wetsvoorstel uit te breiden naar alle grootschalige zorginformatiesystemen (kader 2).