Minister moet informatievoorziening zorg vlot trekken

Automatisering Gids
nov 2010

door: Jaap van der Wel  

Proces wetgeving voor landelijk EPD stagneert

AG-plaatje

Schaalvergroting van informatievoorziening zorg stelt hoge eisen aan de privacybescherming en informatiebeveiliging. Er wordt veel energie in dit onderwerp gestoken, zegt Jaap van der Wel, maar de resultaten vallen tegen. De regelgeving is te globaal, risicoanalyses leiden niet automatisch tot fundamentele verbeteringen en het wetgevingsproces rond het landelijk EPD is stil komen te liggen.

Belang van beveiliging neemt toe met belang informatievoorziening

Informatievoorziening is belangrijk voor de zorg. De patiënt komt op veel plaatsen, zoals bij de huisarts of de specialist in het ziekenhuis, en iedere zorgverlener wil weten wat elders is geconstateerd en wat de patiënt slikt. Dat inzicht biedt een geautomatiseerde administratie makkelijker dan een handmatige. En daarom ontstonden vanaf de jaren zeventig de ‘Zissen’ in de ziekenhuizen, in de jaren negentig de regionale informatie-uitwisselingen en vanaf 2009 de proeftuinen voor het landelijk EPD. Die proeftuinen zijn inmiddels met ruim twee miljoen dossiers uitgegroeid tot een van de grootste zorginformatiesystemen in ons land en groeien in rap tempo door.

Schaalvergroting van informatievoorziening verhoogt de eisen van privacybescherming en informatiebeveiliging, maar de aandacht daarvoor schoot enkele jaren geleden nog tekort. Na 2005 zijn meerdere partijen zich over dit probleem gaan buigen (zie kader).

Resultaat van informatiebeveiliging valt tegen

Vijf jaar later, anno 2010, is veel energie in dit onderwerp gestoken maar de resultaten vallen nog tegen. Daarvoor zijn meerdere oorzaken aan te wijzen. Samenvattend is allereerst de huidige regelgeving te globaal waardoor de toezichthouder flink moet interpreteren, met als gevolg onaangename verrassingen voor het zorgveld en risicomijdend gedrag bij initiatieven. Ten tweede: het nadeel van globale regelgeving wordt deels opgevangen bij de ziekenhuizen doordat men zelf maatregelen ontwerpt aan de hand van risicoanalyses. Dat is goed, maar fundamentele verbeteringen worden daarmee niet bereikt. En daarvan zijn er meerdere nodig. Ten derde is men gestart regels te concretiseren met de conceptwet voor het landelijk EPD, die ook belangrijk is voor regionale informatievoorzieningen, maar na vijf jaar is het wetgevingsproces geheel tot stilstand gekomen in de Eerste Kamer. Op elk punt ga ik nu dieper in.

Oorzaak: te globale regelgeving

Voor een goed begrip van het eerste punt, de gevolgen van te globale regelgeving, moet men zich realiseren dat juist details het niveau van informatiebeveiliging en privacybescherming kunnen bepalen. De Wet bescherming persoonsgegevens (Wbp) werd door de NRC-journalist Kuitenbrouwer ooit een ‘omnibuswet’ genoemd met algemene, abstracte regels en ingewikkelde afwegingen voor de enorme verscheidenheid aan situaties waarin persoonsgegevens worden verwerkt. Om die wet te handhaven, moet het College Bescherming Persoonsgegevens (CBP) soms vergaand interpreteren, zoals de regionale zorgorganisatie Spitz-MH voor Gouda en omstreken tot haar schrik ondervond.