Digitalisering van gezondheidsdossiers in Nederland

Transcriptie

1 Ro u n d T a bl e Digitalisering van gezondheidsdossiers in Nerland

2 Inleiding Op 26 november 2014 heeft een door RAM Infotechnology georganiseer besloten ron tafel discussie plaatsgevonn rondom het onrwerp zorg en dossiers in combinatie met ICT. Het doel van ron tafel was om antwoorn te vinn op traag verlopen ontwikkelingen die zorgsector momenteel doormaakt op het gebied van digitalisering van zorg en aanpalen functionaliteiten zoals een electronisch zorg of patienten dossier. Vanuit alle ontwikkelingen die hiermee samenhangen op het gebied van certificeringen van belanghebben partijen en verrgaan ontwikkelingen van een Electronisch Patienten Dossier zijn drie kernvragen aan elnemers gesteld: Certificeringen "Zijn certificeringen op het gebied van Informatiebeveiliging in zorg nog wel van ze tijd, voldoen ze qua inhoud gezien huidige ontwikkelingen?" De overheid "Moet Nerlandse overheid zich druk maken over een sterk beveilig Europese Cloud omgeving met betrekking tot zorg of uitsluitend focus op Nerland leggen?" Eigen digitale dossiers "Moeten patiënten/cliënten niet gewoon beschikken over hun eigen digitale zorgdossier en daarover verantwoorlijkheid dragen?"

3 Deelnemen organisaties en personen Maurice van r Wou (gespreksleir) CEO Bplivery Vice voorzitter EuroCloud Nerland Frank Waarsenburg Chief Information Security Officer RAM Infotechnology Joris Smits Manager Operations, Interimmanager Ontwerp en Architectuur vzvz Evert van Zanten Directeur VIA Secure Hossein Nabavi Voorzitter IBGZ Stichting Informatiebeveiliging gezondheidszorg "RAM Infotechnology bedankt elnemen organisaties en personen voor hun waarvolle inzichten en hoge kwaliteit van discussie die geleid hebben tot dit verslag" Karim Laroussi, Marketing Manager RAM Infotechnology DISCLAIMER Deze notitie is eigendom van RAM Infotechnology. Utrecht Alle rechten voorbehoun. Dit document reflecteert meningen van elnemen organisaties en personen. Dit hoeft niet persé overtuiging van RAM Infotechnology te zijn. Het gebruik van teksten uit ze notitie en/of onrlen hiervan, is uitdrukkelijk niet toegestaan zonr voorafgaan schriftelijke goedkeuring van RAM Infotechnology. Hoewel ze notitie met grootst mogelijke zorgvuldigheid is opgesteld, kan RAM Infotechnology niet verantwoorlijk gehoun worn voor eventuele onjuisthen noch onvolledighen in dit document of daaruit voortvloeien negatieve consequenties.

4 Normen, wetten en standaarn Voor zorg kent Nerland uitgebrei adoptiegraad bestaat van reeds aanwezige standaarn en variaties hierop die ook nog eens onrhevig kunnen zijn aan wettelijke bepalingen in het kar van persoons registraties (De Wet Bescherming Persoon gegevens (WBP)) of uitwisseling van digitale gegevens met bijvoorbeeld DigiD, speciale beveiligingscertificaten voor internetverkeer en/of het HL7 protocol. Daarnaast zijn generieke wereldstandaarn ontwikkeld die niet specifiek naar een verticale bedrijfs kolom kijken maar juist horizontaal toepas baar zijn. De meest beken en gebruikte voorbeeln zijn ISO27001 (Informatie beveiligings Management) en ISO 9001 (Kwaliteitsmanagement). schema's en daarbij ontwikkel methodieken, zoals het gebruik van Deming Cycle (Plan Do Check Act) bij ISO De groep is van mening dat je primair een standaard moet neerzetten die een bre basis kan bien. Aanvullend kan dan met "controls" of aanvullen vereisten gewerkt worn die het doel specifieker maken. Het is duilijk dat het niet opportuun is om per branche een certificerings schema te ontwikkelen, zeker niet als er al een grote "Zet primair een standaard neer die een bre basis kan bien"

5 Het advies van groep is dat iere onrneming zich vooraf af moet vragen waarom organisatie zich tegen een bepaal norm wil certificeren. Wat is het primaire doel van certificering voor onrneming en wat is toegevoeg waar voor diezelf onrneming. Vraag je vooral af welke generieke norm voor een specifieke branche het meest toepasselijk is en hoe daarop ontwikkeld kan worn om te zorgen dat juist aanvulling op een al bestaan norm toegevoeg waar voor verticale bedrijfskolom ( branche) kan opleveren. Bedrijven lopen NEN7510 is een normenkar dat sterke overeenkomsten met ISO (en Annex A) laat zien. Het NEN 7510 normenkar is recentelijk openbaar geworn waardoor helr is dat er weliswaar aanpassingen aan gepleegd zijn, maar het ISMS (Information Security Management System) is nagenoeg volledig intact gehoun door het NEN. Dit geeft aan dat het als algemeen belang wordt gezien dat zorgsector aan helre, en openbaar beschikbare, beveili gingsnormen dient te voldoen welke toetsbaar zijn. het risico om midl naar doel te verheffen. Kijk naar kern van bedrijfsvoeringen in het kar van veiligheid, betrouwbaarheid, processen en rgelijke. Probeer een vertaling te maken van branche waarbinnen eigen onrneming zich bevindt en hoe dat aansluit bij verschillen certificeringen. In markt geldt ISO27001 als een facto standaard voor het uitgangspunt van Informatie beveiliging in zorg. De groep is het eens met ze stelling maar pleit zeker voor aanvullen kars die het geheel compleet maken. "Welke generieke standaard past het beste bij het doel"

6 Aansluiten Nictiz heeft met haar Zorg Service Provir (ZSP) norm ook hoofdzakelijk naar ISO27001 gekeken waarbij ontwikkeling van een aanvullend technisch normenkar van VZVZ aansluit. Inmidls is er nagenoeg over eenstemming dat Nictiz mogelijk informatie beveiligingsnorm van ISO2700x gaat hanteren als een primaire vereiste voor aansluiting als ZSP erken partij bij Nictiz. Aanvullend zal iere partij aan het technische normenkar van VZVZ moeten voldoen alvorens aansluiting op het Lanlijk Schakelpunt mag plaatsvinn om digitaal dossiers uit te mogen wisselen in zorg, VZVZ en Nictiz vereisen (dus) aanvullen specificaties om te kunnen voldoen aan richt lijnen om digitale dossiers uit te mogen wisselen. Hiervoor is een vol audit traject op aanvullingen niet perse noodzakelijk maar kan een specifieke toets ter acceptatie voldoen zijn. De vraag is in hoeverre artsen ook aan certificerings kars moeten gaan voldoen? Ze worn wel aan midlen geholpen maar daar kan het niet bij ophoun. Er zijn momenteel +/ huisartsen in Ne rland. Hoe kan je regelen dat zorgverlener zich ook aan afspraken houdt. Het primaire aandachtsgebied van een zorgverlener is het verlenen van zorg en ze professional wil zich niet druk maken over normenkars. Wellicht is een financiele stimulans aan te bevelen om certificering te kunnen regelen. De suggestie wordt geopperd dat er wellicht meer bewustwording gecreëerd zou moeten worn in opleiding.

7 Handhaving is een belangrijk aspect van certificering. Je moet er dicht opzitten en het moet goed aansluiten bij primaire taak van zorgverlener. Er wordt in opleidingen enorm veel gehamerd op persoonlijke hygiëne als er fysiek contact is tussen arts en patienten. Informatiebeveiliging zou hetzelf beschouwd moeten worn als hygiene. De suggestie wordt geopperd om meer eisen te stellen aan huisartsen ten opzichte van activiteiten in het kar van informatie uitwisseling. Deze eisen dienen aanvullend te zijn op wettelijke verplichtingen, die vaak een algemener karakter hebben. Een suggestie is om het Huisarten Informatie Systeem (HIS) hierbij te betrekken. Dit wordt momenteel het meest Een controletaak zou uitgevoerd kunnen worn door Werkgroep Deskundigheid Huisartsen (WDH). Wellicht door het uitlen van studiepunten op basis van elnames aan congressen, studies en rgelijke. Voor Information security officers (CISSP, CISM) geldt al iets rgelijks. Hier kan men ook steekproefsgewijs op auditen. Als overwogen wordt dit te gaan verplichten moet ook het aanbod van seminars, congressen en studies voldoen zijn. gebruikt om informatie uit te wisselen. Het HIS kan kern zijn of worn om awareness te creeren (en mogelijk te kunnen controleren). "Beschouw veiligheid van informatie als hygiëne"

8 Bewustwording Los van aanbiers in markt, hebben ook patienten een zekere rol in het gehele proces van uitwisselingen. Hoe moet patient in dit kar beschouwd worn? De patient is kritisch en beinvloedt hiermee operationele processen die gaan zijn tussen zorgverlener(s) en verzekeraars. Dit heeft ongetwijfeld consequenties voor wijze waarop aanbiers met digitale patient/client informatie moeten omgaan. De patient zelf moet midls opt ins aangeven of zij accoord gaat met ontsluiting van medische gegevens via het LSP. Er zijn momenteel 6 miljoen opt ins, (aangemeld dossiers van unieke burgers via opt ins bij het LSP). Bij huisartsen vallen gegevens die ze verwerken in een bepaald klasseniveau waardoor ze al aan bepaal voorwaar n moeten voldoen. De bewustwording van zowel aanbiers als afnemers is hierin van groot belang. De overheid kan in het creëren van die bewustwording een sturen rol spelen en zou die verantwoorlijkheid ook wellicht moeten nemen. "zijn zorgaanbiers zich bewust van hun rol in keten?" "De overheid zou meer bewustwording moeten creëren" VZVZ wordt periodiek gecontroleerd door het CBP. Hierbij is een vraag of patienten wel goed voorgelicht zijn inzake elname aan het EPD (en hun eigen PGD (Persoonlijk Gezondheids Dossier)). VZVZ gaat meer schouwingen doen bij zorgaanbiers die lid worn van VZVZ. Deze schouwingen zullen steekproefs gewijs plaatsvinn. Gezien recentelijke gebeurtenissen in sector die geleid hebben tot onwenselijke ontsluiting van gegevens van een individu, wordt getwijfeld of zorgaanbiers zich bewust zijn van hun rol in keten met betrekking tot Informatiebeveiliging. Het roept ook vraag op of patient, het individu dat zorg verlangt, voldoen op hoogte is van eigen rechten en plichten ten aanzien van het eigen gezondheids dossier en informatie uitwisseling hieromtrent.

9 Eigenaarschap Er is nog steeds discussie gaan wie nu Men beschouwt momenteel behanlend eigenlijk eigenaar is van het medisch dossier dat bij zorgaanbier ligt en gegevens die daarin aangevuld kunnen worn door verschillen zorgaanbiers. Daarbij kan een arts losse aantekeningen toevoegen aan een dossier, zonr dat ze aantekeningen formeel onrel van het dossier (hoeven te) zijn. Momenteel worn gegevens van medische dossiers via het LSP uitgewisseld tussen huisarts en apotheek, waarbij dit een lanlijk karakter heeft. Ziekenhuizen hanteren veelal eigen dossiers, die niet persé uitwisselbaar zijn met anre ziekenhuizen, regionaal of lanlijk. Het waarborgen van veilighen en controles worn door dit feit bemoeilijkt. arts als beheerr van het medisch dossier. Dit laat onverlet discussie wie dan eigenaar is en welke consequenties dat eigenaarschap met zich meebrengt. Men kan hierbij nken aan vraag wie op basis waarvan toegang krijgt (reguliere zorg), wie toegang moet krijgen (crisis zorg) of wie dit kan verlenen als patient in casu niet bij machte is toestemming zelf te kunnen verlenen. Daarnaast is ook discussie gaan welke informatie aan het dossier toegevoegd mag en kan worn en wat houdbaarheid van die informatie is. Iemand die bijvoorbeeld verslaafd is geweest maar al tien jaar "clean" is, draagt wel ze informatie in het dossier. In hoeverre is die informatie nog relevant? Acceptatie De Lanlijke Vereniging van Huisartsen, verenigd in LHV, accepteert het LSP. Sommige artsen binnen Vereniging Praktijkhoun Huisartsen ( VPH) echter hebben een rechtszaak aangespannen omdat ze artsen van mening zijn dat het EPD in strijd is met het beroepsgeheim en er geen mewerking zou zijn om ontsluiting van privacy gevoelige gegevens beter te regelen. Deze rechtszaak heeft VPH verloren. Het EPD is door rechter geacht veilig te zijn en het beroepsgeheim niet aan te tasten. De VPH heeft aangegeven tegen het vonnis in hoger beroep te gaan. Ondanks het feit dat over heid in dit proces geen rol speelt en het LSP privaat gefinancierd wordt, zijn er wel formele organen die VZVZ controleren en worn met regelmaat kamervragen gesteld. Wet en regelgeving binnen Nerland moet voldoen garanties geven aan eis dat electronische patient informatie binnen landsgrenzen blijft. Door gerechtelijke uitspraak lijkt veiligheids discussie van baan.

10 Europa Op Europees niveau zijn initiatieven gaan om worn. Uitwisseling is bij het LSP momenteel grensoverschrijn electronische intiteiten te faciliteren tussen lidstaten. Dit Initiatief, Secure InTity AcrOss BoRrs LinKed 2.0, kortweg STORK 2.0 genoemd, bevindt zich momenteel in onrzoeksfase en is in hoofdzaak bedoeld om Europese burgers te voorzien van een eid ten behoeve van Europese Electronische Intificatie en Authenticatie voor verschillen doeleinn. Het verkrijgen of verlenen van toegang tot medische informatie zou hier een onrel van kunnen zijn. zodanig ingericht dat data in Nerland blijft. De groep is echter wel van mening dat dit uitgebreid zou moeten worn op Europees niveau. Hierbij moet wel voldaan worn aan strikte veiligheidseisen op het gebied van uit wisseling. De uitvoering is echter een langzaam proces. De vraag is of overhen zich hard moeten maken voor het promoten van STORK norm. STORK is echter nog niet uit ontwikkeld en nog lang niet gemeengoed in alle Europese lidstaten van Unie. Voorwaar aan een enkele Europese norm is hoe gegevens Europees uitgewisseld kunnen Uitwisselingen via cloud op Europees niveau brengt ook juridische aspecten met zich mee. Die zijn nog niet beslecht omdat ier land nog haar eigen wetgeving op privacy heeft, waar bij verschillen helaas nog steeds bijzonr groot kunnen zijn.

11 Informatiebronnen Er is twijfel of informatie altijd bij bron moet blijven (zie kenhuis en individuele zorg verleners). Hoe zorg je dat die losse gegevens uit ver schillen bronnen bij elkaar kunnen komen en uitwissel baar zijn. Daarnaast moet Infor matie relevant zijn en relevant blijven om patient/client op het juiste moment van juiste zorg te kunnen voorzien. Dit doet vraag opdoemen hoe en welke informatie uit verschillen zorgdossiers sa mengebracht moet worn. Mogelijk door te zorgen dat informatie uit verschillen bronnen gehaald kan worn op basis van een enkel inti ficerend gegeven zoals met ontwikkeling van STORK be oogd wordt. Informatie uit ziekenhuizen wordt momen teel (nog) niet standaard uitgewisseld met huisartsen. Sterker nog Soms wordt informatie tussen regionale ziekenhuizen niet standaard uitgewisseld. Wat dat betreft heeft zorgmarkt nog veel vrijheid om eigen systemen te blijven gebruiken, waarbij au dits op veiligheid van die systemen niet perse uitge voerd worn. Hoe dat proces momenteel in haar werk gaat en welke kwaliteitseisen daar aan gesteld worn kan per ziekenhuis verschillen. Zolang maar aan wet wordt vol daan. Binnen Huisarts Informatie Systemen (HIS) kan een "P" voorkomen. Hierbij worn belangrijke items aangeduid waar specifiek aandacht aan moet worn gegeven. Hoe, en op basis waarvan, dit momenteel geclassificeerd wordt is niet altijd even duilijk. Informatie stan daarn worn per beroeps groep vastgesteld. Het NHG bepaalt wie bij welke han ling recht heeft op in formatie. Je moet volgens NHG tabellen geautoriseerd zijn om gegevens te mogen zien.

12 De WGBO De Wet op geneeskundige behanlings Moet Nerlandse regering zich druk maken overeenkomst (WGBO) beschrijft rechten en plichten van cliënten in zorg. De WGBO is van belang voor iereen die met medische zorg te maken krijgt. De wet is bedoeld om positie te versterken van patiënten die medische zorg nodig hebben. over goe en juiste voorlichting op het gebied van veiligheid inzake eigen gezondheids gegevens. De algehele opvatting is van wel. De verpakking van boodschap vanuit overheid en zorgverleners wordt gezien als wenselijk. De boodschap naar overheid is ervoor te zorgen dat boodschap behapbaar wordt. Deel eerst kleine beetjes met elkaar en laat het dan doorrollen. Zorg voor meer interactie tussen klant en aanbier "one step at the time". De WGBO regelt dat klant het recht heeft om zijn eigen dossier op te vragen. Eigenaarschap van het dossier blijft echter een openstaand punt. Het is niet gelijk aan eigendomsrecht. Je kan ook niet zomaar dingen weglaten uit je dossier. Het openstellen en transparantie bien aan klant is binnen het Lanlijk Schakel Punt (LSP) al operationeel. Dit wordt nog niet breed gecommuniceerd. Dit zou een rol moeten zijn van zorgverlener maar geconstateerd wordt dat hier nog meer in moet gebeuren. Wellicht dat lanlijke overheid midls campagnes het publiek brer moet informeren over rechten, en waarschijnlijk ook plichten, die men heeft inzake het eigen PGD. vzvz VZVZ maakt onrscheid tussen verkeers gegevens en het inhoulijk beschikbaar stel len van gegevens. Dit laatste kan VZVZ niet doen. Via patientportalen kan men zien wat toestand is. De patient kan binnen dat portaal zelf aanbiers faciliteren en toegang geven. De patient staat hiermee duilijk aan het roer en kan bepalen wie gegevens in mag zien. Het transport van die gegevens is dan geregeld.

13 Conclusies & Aanbevelingen De discussie leid tot een aantal con Certificeringen Certificeren tegen normenkars, generiek of specifiek, is een midl, nooit een doel. Organisaties moeten zich afvragen welke certi ficeringsnorm(en) het beste passen bij activiteiten die zij onr nemen. Dit geldt tevens voor prak tijken van zorgverleners. Wellicht is een financiele stimulans vanuit overheid wenselijk om certificering en ook voor zorgpraktijken te gaan realiseren en rhalve verplicht te stellen. Hierbij dienen ook controle mechanismen ingesteld te worn. De zorgverleners moeten zich meer bewust worn van gegevens die zij vertrouwelijk moeten behan len en hoe zij daarmee het beste om kunnen gaan. Daarnaast heeft zelf zorgverlener ook een informatieplicht naar patient en/of client om aan te geven hoe er met informatie in het medisch dossier wordt omgegaan en wie en hoe inzage kan krijgen in gegevens. Het certificeren tegen al bestaan generieke normen is prima, er zal echter beter gekeken moeten worn welke aanvullen nor menkars nodig zijn om specifieke branches beter te kunnen bedienen en wie ze dan gaat ontwikkelen. clusies die hieronr worn weergegeven. Deze conclusies hebben een intern gericht karakter die antwoord kan geven op vraag wat organisaties, consumenten, zorgverle ners en politiek zoun kunnen doen om zélf verantwoorlijkheid te dragen maar ook generiek naar alle betrokken De overheid partijen wat wij van elkaar zoun mogen Ten aanzien van Europese verwachten. open grenzen voorziet groep dat een Europese uitwisselings structuur op het gebied van medische dossiers wenselijk is. De overheid dient zich sterk te maken om hier niet alleen goe normenkars voor te ontwikkelen maar ook huidige juridische belemmering en te slechten. Met name op het Eigen digitale Dossiers gebied van privacybescherming zijn verschillen tussen Europese lidstaten onrling nog te groot. De overheid wordt geadviseerd een lein rol op zich te nemen op het gebied van infor matievoorziening in het kar van veiligheid, privacy en rech ten en plichten van eenier die bij electronische dossiers, waar binnen privacy gevoelige in formatie opgeslagen wordt, betrokken is. Dit geldt voor zowel consumenten, (zorg)aanbiers en faciliteren organisaties. Het eigenaarschap van medi sche informatie in dossiers is nog een open vraagstuk dat juridisch opgelost dient te worn. De overheid zal hier betere en duilijker richt lijnen, en misschien wel wet, voor moeten opstellen. Iere partij is gehoun aan wet. Hoe met die wetten rondom informatiebeveiliging omgegaan wordt, wordt nog teveel overgelaten aan markt zelf met beperkte controle van overheidswege.

14 Markante uitspraken Geduren discussie wern een aantal markante uitspraken gedaan. Deze wiln wij u niet onthoun en zijn hieronr weergegeven: "Informatiebeveiliging dient hetzelf beschouwd te worn als hygiene. Laten we "Informatie hygiëne" als begrip in troduceren" "Zeg wat je doet, doe wat je zegt en zorg dat je dit kan aantonen" "Ik vertrouw erop dat mijn arts mijn gegevens zorgvuldig behanlt, mijn verzekeraar vertrouw ik niet mijn gegevens toe"