RRoouunnddTTaabbllee

Digitalisering vangezondheidsdossiersin Nederland

InleidingOp 26 november 2014 heeft een door RAMInfotechnology georganiseerde besloten ronde tafeldiscussie plaatsgevonden rondom het onderwerp zorg endossiers in combinatie met ICT. Het doel van de rondetafel was om antwoorden te vinden op de traagverlopende ontwikkelingen die de zorgsector momenteeldoormaakt op het gebied van digitalisering van de zorgen aanpalende functionaliteiten zoals een electronischzorg­ of patienten dossier. Vanuit alle ontwikkelingen diehiermee samenhangen op het gebied van certificeringenvan de belanghebbende partijen en de verdergaandeontwikkelingen van een Electronisch Patienten Dossierzijn drie kernvragen aan de deelnemers gesteld:

"Zijn certificeringen op het gebied vanInformatiebeveiliging in de zorg nog wel vandeze tijd, voldoen ze qua inhoud gezien dehuidige ontwikkelingen?"

"Moet de Nederlandse overheid zich drukmaken over een sterk beveiligde EuropeseCloud omgeving met betrekking tot zorg ofuitsluitend de focus op Nederland leggen?"

"Moeten patiënten/cliënten niet gewoonbeschikken over hun eigen digitale zorgdossieren daarover verantwoordelijkheid dragen?"

Certificeringen

De overheid

Eigen digitale dossiers

Deelnemende organisaties en personen

Frank WaarsenburgChief Information Security OfficerRAM Infotechnology

Maurice van der Woude (gespreksleider)CEO BpdeliveryVice voorzitter EuroCloud Nederland

Joris SmitsManager Operations, InterimmanagerOntwerp en Architectuur vZVZ

Evert van ZantenDirecteurVIA Secure

Hossein NabaviVoorzitter IBGZStichting Informatiebeveiliging gezondheidszorg

DISCLAIMER

Deze notitie is eigendom van RAM Infotechnology. Utrecht 2014. Alle rechten voorbehouden. Dit document reflecteert de

meningen van de deelnemende organisaties en personen. Dit hoeft niet persé de overtuiging van RAM Infotechnology te

zijn. Het gebruik van teksten uit deze notitie en/of onderdelen hiervan, is uitdrukkelijk niet toegestaan zonder voorafgaande

schriftelijke goedkeuring van RAM Infotechnology. Hoewel deze notitie met de grootst mogelijke zorgvuldigheid is opgesteld,

kan RAM Infotechnology niet verantwoordelijk gehouden worden voor eventuele onjuistheden noch onvolledigheden in dit

document of daaruit voortvloeiende negatieve consequenties.

"RAM Infotechnology bedankt de deelnemende organisatiesen personen voor hun waardevolle inzichten en de hogekwaliteit van de discussie die geleid hebben tot dit verslag"

­ Karim Laroussi, Marketing Manager RAM Infotechnology

Normen, wettenen standaarden

"Zet primair eenstandaard neer die eenbrede basis kan bieden"

Voor de zorg kent Nederland uitgebreidestandaarden en variaties hierop die ook nogeens onderhevig kunnen zijn aan wettelijkebepalingen in het kader van persoons­registraties (De Wet Bescherming Persoon­gegevens (WBP)) of uitwisseling van digitalegegevens met bijvoorbeeld DigiD, specialebeveiligingscertificaten voor internetverkeeren/of het HL7­protocol. Daarnaast zijngenerieke wereldstandaarden ontwikkeld dieniet specifiek naar een verticale bedrijfs­kolom kijken maar juist horizontaal toepas­baar zijn. De meest bekende ­ en gebruikte­ voorbeelden zijn ISO27001 (Informatie­beveiligings Management) en ISO 9001(Kwaliteitsmanagement).

Het is duidelijk dat het niet opportuun is omper branche een certificerings schema teontwikkelen, zeker niet als er al een grote

adoptiegraad bestaat van reeds aanwezigeschema's en de daarbij ontwikkeldemethodieken, zoals het gebruik van deDeming­Cycle (Plan­Do­Check­Act) bijISO27001. De groep is van mening dat jeprimair een standaard moet neerzetten dieeen brede basis kan bieden. Aanvullend kandan met "controls" of aanvullende vereistengewerkt worden die het doel specifiekermaken.

NEN7510 is een normenkader datsterke overeenkomsten met de ISO27001 (en Annex A) laat zien. HetNEN 7510 normenkader is recentelijkopenbaar geworden waardoor helderis dat er weliswaar aanpassingen aangepleegd zijn, maar het ISMS(Information Security ManagementSystem) is nagenoeg volledig intactgehouden door het NEN. Dit geeft aandat het als algemeen belang wordtgezien dat de zorgsector aan heldere,en openbaar beschikbare, beveili­gingsnormen dient te voldoen welketoetsbaar zijn.

Het advies van de groep is dat iedereonderneming zich vooraf af moet vragenwaarom de organisatie zich tegen eenbepaalde norm wil certificeren. Wat ishet primaire doel van certificering voorde onderneming en wat is detoegevoegde waarde voor diezelfdeonderneming. Vraag je vooral af welkegenerieke norm voor een specifiekebranche het meest toepasselijk is en hoedaarop ontwikkeld kan worden om tezorgen dat juist de aanvulling op een albestaande norm toegevoegde waardevoor de verticale bedrijfskolom (debranche) kan opleveren. Bedrijven lopen

het risico om middel naar doel teverheffen. Kijk naar de kern van debedrijfsvoeringen in het kader vanveiligheid, betrouwbaarheid, processenen dergelijke. Probeer een vertaling temaken van de branche waarbinnen deeigen onderneming zich bevindt en hoedat aansluit bij de verschillendecertificeringen. In de markt geldtISO27001 als een defacto standaardvoor het uitgangspunt van Informatie­beveiliging in de zorg. De groep is heteens met deze stelling maar pleit zekervoor aanvullende kaders die het geheelcompleet maken.

"Welke generieke standaardpast het beste bij het doel"

Nictiz heeft met haar Zorg Service Provider(ZSP) norm ook hoofdzakelijk naar ISO27001gekeken waarbij de ontwikkeling van eenaanvullend ­technisch­ normenkader van VZVZaansluit. Inmiddels is er nagenoeg over­eenstemming dat Nictiz mogelijk de informatie­beveiligingsnorm van ISO2700x gaat hanterenals een primaire vereiste voor aansluiting alsZSP erkende partij bij Nictiz. Aanvullend zaliedere partij aan het technische normenkadervan VZVZ moeten voldoen alvorens aansluitingop het Landelijk Schakelpunt mag plaatsvindenom digitaal dossiers uit te mogen wisselen in dezorg,

VZVZ en Nictiz vereisen (dus) aanvullendespecificaties om te kunnen voldoen aan richt­lijnen om digitale dossiers uit te mogenwisselen. Hiervoor is een vol audit traject op deaanvullingen niet perse noodzakelijk maar kaneen specifieke toets ter acceptatie voldoendezijn.

De vraag is in hoeverre artsen ook aancertificerings kaders moeten gaan voldoen? Zeworden wel aan middelen geholpen maar daarkan het niet bij ophouden.

Er zijn momenteel +/­ 10.000 huisartsen in Ne­derland. Hoe kan je regelen dat de zorgverlenerzich ook aan afspraken houdt. Het primaireaandachtsgebied van een zorgverlener is hetverlenen van zorg en deze professional wil zichniet druk maken over normenkaders.

Wellicht is een financiele stimulans aan tebevelen om certificering te kunnen regelen. Desuggestie wordt geopperd dat er wellicht meerbewustwording gecreëerd zou moeten wordenin de opleiding.

Aansluiten

Handhaving is een belangrijk aspect vancertificering. Je moet er dicht opzitten en hetmoet goed aansluiten bij de primaire taak vande zorgverlener. Er wordt in opleidingen enormveel gehamerd op de persoonlijke hygiëne alser fysiek contact is tussen arts en patienten.

Informatiebeveiliging zou hetzelfde beschouwdmoeten worden als hygiene. De suggestiewordt geopperd om meer eisen te stellen aanhuisartsen ten opzichte van activiteiten in hetkader van informatie uitwisseling. Deze eisendienen aanvullend te zijn op de wettelijkeverplichtingen, die vaak een algemenerkarakter hebben. Een suggestie is om hetHuisarten Informatie Systeem (HIS) hierbij tebetrekken. Dit wordt momenteel het meestgebruikt om informatie uit te wisselen. Het HISkan de kern zijn of worden om awareness tecreeren (en mogelijk te kunnen controleren).

Een controletaak zou uitgevoerd kunnenworden door de Werkgroep DeskundigheidHuisartsen (WDH). Wellicht door het uitdelenvan studiepunten op basis van deelnames aancongressen, studies en dergelijke. VoorInformation security officers (CISSP, CISM)geldt al iets dergelijks. Hier kan men ooksteekproefsgewijs op auditen. Als overwogenwordt dit te gaan verplichten moet ook hetaanbod van seminars, congressen en studiesvoldoende zijn.

"Beschouw de veiligheid vaninformatie als hygiëne"

Los van de aanbieders in de markt,hebben ook de patienten een zekere rolin het gehele proces van uitwisselingen.Hoe moet de patient in dit kaderbeschouwd worden? De patient is kritischen beinvloedt hiermee de operationeleprocessen die gaande zijn tussen dezorgverlener(s) en verzekeraars. Ditheeft ongetwijfeld consequenties voor dewijze waarop aanbieders met de digitalepatient/client informatie moeten omgaan.De patient zelf moet middels opt­insaangeven of zij accoord gaat metontsluiting van de medische gegevens viahet LSP. Er zijn momenteel 6 miljoen opt­ins, (aangemeldde dossiers van uniekeburgers via opt­ins bij het LSP). Bijhuisartsen vallen de gegevens die zeverwerken in een bepaald klasseniveauwaardoor ze al aan bepaalde voorwaar­den moeten voldoen. De bewustwordingvan zowel de aanbieders als de afnemersis hierin van groot belang. De overheidkan in het creëren van die bewustwordingeen sturende rol spelen en zou dieverantwoordelijkheid ook wellicht moetennemen.

Bewustwording

VZVZ wordt periodiek gecontroleerd doorhet CBP. Hierbij is een vraag of patientenwel goed voorgelicht zijn inzakedeelname aan het EPD (en hun eigenPGD (Persoonlijk Gezondheids Dossier)).VZVZ gaat meer schouwingen doen bijzorgaanbieders die lid worden van VZVZ.Deze schouwingen zullen steekproefs­gewijs plaatsvinden. Gezien recentelijkegebeurtenissen in de sector die geleidhebben tot onwenselijke ontsluiting vande gegevens van een individu, wordtgetwijfeld of zorgaanbieders zich bewustzijn van hun rol in de keten metbetrekking tot Informatiebeveiliging. Hetroept ook de vraag op of de patient, hetindividu dat zorg verlangt, voldoende opde hoogte is van de eigen rechten enplichten ten aanzien van het eigengezondheids dossier en de informatieuitwisseling hieromtrent.

"zijn zorgaanbiederszich bewust van hunrol in de keten?"

"De overheid zou meerbewustwording moetencreëren"

Eigenaarschap

Er is nog steeds discussie gaande wie nueigenlijk de eigenaar is van het medischdossier dat bij de zorgaanbieder ligt en degegevens die daarin aangevuld kunnen wordendoor verschillende zorgaanbieders. Daarbij kaneen arts losse aantekeningen toevoegen aaneen dossier, zonder dat deze aantekeningenformeel onderdeel van het dossier (hoeven te)zijn. Momenteel worden gegevens vanmedische dossiers via het LSP uitgewisseldtussen huisarts en apotheek, waarbij dit eenlandelijk karakter heeft. Ziekenhuizen hanterenveelal eigen dossiers, die niet perséuitwisselbaar zijn met andere ziekenhuizen,regionaal of landelijk. Het waarborgen vanveiligheden en de controles worden door dit feitbemoeilijkt.

Men beschouwt momenteel de behandelendarts als beheerder van het medisch dossier. Ditlaat onverlet de discussie wie dan eigenaar isen welke consequenties dat eigenaarschap metzich meebrengt. Men kan hierbij denken aan devraag wie op basis waarvan toegang krijgt(reguliere zorg), wie toegang moet krijgen(crisis zorg) of wie dit kan verlenen als depatient in casu niet bij machte is detoestemming zelf te kunnen verlenen.Daarnaast is ook discussie gaande welkeinformatie aan het dossier toegevoegd mag enkan worden en wat de houdbaarheid van dieinformatie is. Iemand die bijvoorbeeldverslaafd is geweest maar al tien jaar "clean"is, draagt wel deze informatie in het dossier. Inhoeverre is die informatie nog relevant?

De Landelijke Vereniging van Huisartsen,verenigd in de LHV, accepteert het LSP.Sommige artsen binnen de VerenigingPraktijkhoudende Huisartsen (de VPH) echterhebben een rechtszaak aangespannen omdatdeze artsen van mening zijn dat het EPD instrijd is met het beroepsgeheim en er geenmedewerking zou zijn om de ontsluiting van deprivacy gevoelige gegevens beter te regelen.Deze rechtszaak heeft de VPH verloren. HetEPD is door de rechter geacht veilig te zijn enhet beroepsgeheim niet aan te tasten. De VPHheeft aangegeven tegen het vonnis in hogerberoep te gaan. Ondanks het feit dat de over­heid in dit proces geen rol speelt en het LSPprivaat gefinancierd wordt, zijn er wel formeleorganen die VZVZ controleren en worden met

regelmaat kamervragen gesteld. Wet­ enregelgeving binnen Nederland moet voldoendegaranties geven aan de eis dat electronischepatient informatie binnen de landsgrenzenblijft. Door de gerechtelijke uitspraak lijkt deveiligheids discussie van de baan.

Acceptatie

Europa

Op Europees niveau zijn initiatieven gaande omgrensoverschrijdende electronische identiteitente faciliteren tussen de lidstaten. Dit Initiatief,Secure IdenTity AcrOss BoRders LinKed 2.0,kortweg STORK 2.0 genoemd, bevindt zichmomenteel in onderzoeksfase en is inhoofdzaak bedoeld om Europese burgers tevoorzien van een eID ten behoeve vanEuropese Electronische Identificatie enAuthenticatie voor verschillende doeleinden.Het verkrijgen of verlenen van toegang totmedische informatie zou hier een onderdeelvan kunnen zijn.

De uitvoering is echter een langzaam proces.De vraag is of overheden zich hard moetenmaken voor het promoten van de STORK norm.STORK is echter nog niet uit ontwikkeld en noglang niet gemeengoed in alle Europeselidstaten van de Unie.

Voorwaarde aan een enkele Europese norm ishoe gegevens Europees uitgewisseld kunnen

worden. Uitwisseling is bij het LSP momenteelzodanig ingericht dat de data in Nederlandblijft. De groep is echter wel van mening datdit uitgebreid zou moeten worden op Europeesniveau. Hierbij moet wel voldaan worden aanstrikte veiligheidseisen op het gebied van uit­wisseling.

Uitwisselingen via de cloud op Europees niveaubrengt ook juridische aspecten met zich mee.Die zijn nog niet beslecht omdat ieder land noghaar eigen wetgeving op privacy heeft, waar­bij de verschillen helaas nog steeds bijzondergroot kunnen zijn.

Er is twijfel of informatie altijdbij de bron moet blijven (zie­kenhuis en individuele zorg­verleners). Hoe zorg je datdie losse gegevens uit ver­schillende bronnen bij elkaarkunnen komen en uitwissel­baar zijn. Daarnaast moet deInfor­matie relevant zijn enrelevant blijven om depatient/client op het juistemoment van de juiste zorg tekunnen voorzien.

Dit doet de vraag opdoemenhoe en welke informatie uitverschillende zorgdossiers sa­mengebracht moet worden.Mogelijk door te zorgen datinformatie uit verschillendebronnen gehaald kan wordenop basis van een enkel identi­ficerend gegeven zoals met deontwikkeling van STORK be­

oogd wordt. Informatie uitziekenhuizen wordt momen­teel (nog) niet standaarduitgewisseld met huisartsen.Sterker nog; Soms wordt deinformatie tussen regionaleziekenhuizen niet standaarduitgewisseld. Wat dat betreftheeft de zorgmarkt nog veelvrijheid om eigen systemen teblijven gebruiken, waarbij au­dits op de veiligheid van diesystemen niet perse uitge­voerd worden. Hoe dat procesmomenteel in haar werk gaaten welke kwaliteitseisen daar­aan gesteld worden kan perziekenhuis verschillen. Zolangmaar aan de wet wordt vol­daan.

Binnen Huisarts InformatieSystemen (HIS) kan een "P"voorkomen. Hierbij worden

belangrijke items aangeduidwaar specifiek aandacht aanmoet worden gegeven. Hoe,en op basis waarvan, ditmomenteel geclassificeerdwordt is niet altijd evenduidelijk. Informatie stan­daarden worden per beroeps­groep vastgesteld. Het NHGbepaalt wie bij welke hande­ling recht heeft op de in­formatie. Je moet volgensNHG tabellen geautoriseerdzijn om gegevens te mogenzien.

Informatiebronnen

De WGBO

VZVZ maakt onderscheid tussen verkeers­gegevens en het inhoudelijk beschikbaar stel­len van gegevens. Dit laatste kan VZVZ nietdoen. Via patientportalen kan men zien wat detoestand is. De patient kan binnen dat portaalzelf aanbieders faciliteren en toegang geven.De patient staat hiermee duidelijk aan het roeren kan bepalen wie de gegevens in mag zien.Het transport van die gegevens is dangeregeld.

vZVZ

De Wet op de geneeskundige behandelings­overeenkomst (WGBO) beschrijft de rechten enplichten van cliënten in de zorg. De WGBO isvan belang voor iedereen die met medischezorg te maken krijgt. De wet is bedoeld om depositie te versterken van patiënten diemedische zorg nodig hebben.

De WGBO regelt dat de klant het recht heeftom zijn eigen dossier op te vragen.Eigenaarschap van het dossier blijft echter eenopenstaand punt. Het is niet gelijk aaneigendomsrecht. Je kan ook niet zomaardingen weglaten uit je dossier. Het openstellenen transparantie bieden aan de klant is binnenhet Landelijk Schakel Punt (LSP) aloperationeel. Dit wordt nog niet breedgecommuniceerd. Dit zou een rol moeten zijnvan de zorgverlener maar geconstateerd wordtdat hier nog meer in moet gebeuren. Wellichtdat de landelijke overheid middels campagneshet publiek breder moet informeren over derechten, en waarschijnlijk ook de plichten, diemen heeft inzake het eigen PGD.

Moet de Nederlandse regering zich druk makenover goede en juiste voorlichting op het gebiedvan veiligheid inzake de eigen gezondheidsgegevens. De algehele opvatting is van wel. Deverpakking van de boodschap vanuit deoverheid en zorgverleners wordt gezien alswenselijk. De boodschap naar de overheid iservoor te zorgen dat de boodschap behapbaarwordt. Deel eerst kleine beetjes met elkaar enlaat het dan doorrollen. Zorg voor meerinteractie tussen klant en aanbieder "one stepat the time".

Conclusies & AanbevelingenDe discussie leidde tot een aantal con­clusies die hieronder wordenweergegeven. Deze conclusies hebbeneen intern gericht karakter dieantwoord kan geven op de vraag watorganisaties, consumenten, zorgverle­ners en politiek zouden kunnen doenom zélf verantwoordelijkheid te dragen

maar ook generieknaar alle betrokkenpartijen wat wij vanelkaar zouden mogenverwachten.

Certificeringen

Certificeren tegen normenkaders,generiek of specifiek, is een middel,nooit een doel. Organisatiesmoeten zich afvragen welke certi­ficeringsnorm(en) het beste passenbij de activiteiten die zij onder­nemen. Dit geldt tevens voor prak­tijken van zorgverleners. Wellicht iseen financiele stimulans vanuit deoverheid wenselijk om certificering­en ook voor zorgpraktijken te gaanrealiseren en derhalve verplicht testellen. Hierbij dienen ook controlemechanismen ingesteld te worden.

De zorgverleners moeten zich meerbewust worden van gegevens diezij vertrouwelijk moeten behande­len en hoe zij daarmee het besteom kunnen gaan. Daarnaast heeftdezelfde zorgverlener ook eeninformatieplicht naar de patienten/of client om aan te geven hoe ermet de informatie in het medischdossier wordt omgegaan en wie enhoe inzage kan krijgen in degegevens.

Het certificeren tegen al bestaandegenerieke normen is prima, er zalechter beter gekeken moetenworden welke aanvullende nor­menkaders nodig zijn om specifiekebranches beter te kunnen bedienenen wie deze dan gaat ontwikkelen.

De overheid

Ten aanzien van de Europeseopen grenzen voorziet de groepdat een Europese uitwisselingsstructuur op het gebied vanmedische dossiers wenselijk is.De overheid dient zich sterk temaken om hier niet alleengoede normenkaders voor teontwikkelen maar ook dehuidige juridische belemmering­en te slechten. Met name op hetgebied van privacybeschermingzijn de verschillen tussenEuropese lidstaten onderlingnog te groot.

De overheid wordt geadviseerdeen leidende rol op zich tenemen op het gebied van infor­matievoorziening in het kadervan veiligheid, privacy en rech­ten en plichten van eenieder diebij electronische dossiers, waar­binnen privacy gevoelige in­formatie opgeslagen wordt,betrokken is. Dit geldt voorzowel de consumenten, de(zorg)aanbieders en faciliteren­de organisaties.

Eigen digitale Dossiers

Het eigenaarschap van medi­sche informatie in dossiers isnog een open vraagstuk datjuridisch opgelost dient teworden. De overheid zal hierbetere en duidelijker richt­lijnen, en misschien wel wet,voor moeten opstellen.

Iedere partij is gehouden aande wet. Hoe met die wettenrondom informatiebeveiligingomgegaan wordt, wordt nogteveel overgelaten aan demarkt zelf met beperktecontrole van overheidswege.

Markante uitspraken

Gedurende de discussie werden een aantalmarkante uitspraken gedaan. Deze wilden wij uniet onthouden en zijn hieronder weergegeven:

"Informatiebeveiligingdient hetzelfde beschouwdte worden als hygiene.Laten we "Informatie­hygiëne" als begrip in­troduceren"

"Zeg wat je doet, doewat je zegt en zorgdat je dit kanaantonen"

"Ik vertrouw erop datmijn arts mijn gegevenszorgvuldig behandelt, mijnverzekeraar vertrouw ikniet mijn gegevens toe"