PVV 10 puntenplan EPD

24
EPD Actieplan In eigen hand

description

De PVV fractie pleit in navolging van Engeland voor een heroriëntatie op de doorstart van het EPD/LSP. Het EPD is in Engeland stilgelegd vanwege ruim 800 data incidenten in de afgelopen 3 jaar waardoor medische patiëntgegevens gelekt zijn. Dit soort incidenten staat ons hier ook te wachten, in feite zijn ze er al. Wij hebben een 10-punten plan opgesteld om het uitwisselen van medische gegevens beter te laten verlopen onder regie van de patiënt. Vandaag vragen we de minister deze punten over te nemen en in wetgeving om te zetten. Pas dan kunnen we verder met de doorstart van het EPD.

Transcript of PVV 10 puntenplan EPD

Page 1: PVV 10 puntenplan EPD

EPD Actieplan

In eigen hand

Page 2: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

2

Page 3: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

3

10 EPD punten

die bijdragen aan

de veiligheid de privacy

en zeggenschap

van de patiënt

Page 4: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

4

2012 COLOFON Karen Gerbrands, Tweede Kamerlid PVV Lisette Ouwehand, stagiaire Zorg Tweede Kamerfractie PVV Addie Wisse, senior beleidsmedewerker Zorg Tweede Kamerfractie PVV

Page 5: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

5

Inhoud

Inleiding 7

1. Wetgeving 9

2. Standaarden 10

3. Regionaal 11

4. Training 12

5. Opt-in 13

6. Patiëntenrechten 14

7. Aansprakelijkheid 15

8. Toezicht 16

9. Zorgverzekeraars 17

10. Zorgpas 18

Conclusies 19

Oproep 21 Contact 23

Page 6: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

6

Page 7: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

7

Inleiding

Het Elektronisch Patiëntendossier (EPD) is een veel besproken onderwerp. Logisch want we leven in een informatiemaatschappij en de mogelijkheden om met data om te gaan zijn enorm toegenomen en fundamenteel veranderd. We kunnen meer data opslaan, meer combineren en meer genereren dan ooit en dit geldt ook voor privacy gevoelige informatie zoals medische patiëntgegevens. De voordelen hiervan zijn evident, maar we moeten beseffen dat met de toename van het gebruik er ook vaker iets mis zal gaan.

Een incidentvrij EPD is een utopie!

Daarom moeten we de mogelijkheden bekijken om de veiligheid te verbeteren en de privacy te bewaken. Het betrekken van de patiënt bij zijn eigen medisch dossier draagt hieraan bij en levert tevens een kwaliteitsimpuls op. De patiënt heeft immers een direct belang bij de kwaliteit en de actualiteit van de gegevens in zijn medisch dossier. Door de patiënt toegang te geven kan hij zijn gegevens controleren, verifiëren en aanvullen. Het zal immers steeds gangbaarder worden dat mensen thuis hun bloeddruk of glucose controleren. Ook verschijnen er steeds meer zelftests voor bijvoorbeeld nierfalen, prostaat- of darmkanker. Het actief gebruik van het eigen medisch dossier stimuleert, geeft zelfstandig inzicht en resulteert uiteindelijk in meer gezondheidswinst.

Geef de patiënt een sleutel!

De 10 EPD punten uit dit actieplan bijdragen aan de veiligheid, de privacy en de zeggenschap van de patiënt. Hiermee wordt het maximale resultaat uit een elektronisch patiënten dossier gehaald wat onze gezondheidszorg zal verbeteren.

Page 8: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

8

Page 9: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

9

1. Wetgeving De minister heeft aangekondigd met wetswijzigingen van bestaande wetten te komen om bepaalde waarborgen te geven nu het EPD door de Eerste Kamer is afgeschoten. Hierop vooruitlopend hebben wij met dit actieplan alvast 10 punten geformuleerd waarvan we graag zien dat deze door de minister en haar ambtenaren meegenomen worden. Voordat er namelijk via het nieuwe doorstartmodel EPD elektronisch medische gegevens uitgewisseld gaan worden, dienen deze punten in wetgeving omgezet te worden. Hiermee wordt voorkomen dat we in dezelfde situatie terechtkomen als met het oorspronkelijke EPD, namelijk dat er in de praktijk al van alles gaande is ten aanzien van het uitwisselen van medische gegevens terwijl de wetgeving nog niet rond is.

Eerst wetgeving – dan uitvoering!

Dit actieplan is daarom een handreiking aan het ministerie van VWS om te kijken hoe en waar de huidige voorschriften van de WGBO, de Wet BIG, de Wbp, de Wcz en de Wbsn-z aangepast moeten worden. Bijvoorbeeld in de Wet cliëntenrechtenzorg: Toevoeging artikel 22: de client heeft er jegens de zorgaanbieder recht op dat deze hem jaarlijks een overzicht wordt verstrekt van alle zorgverleners die toegang hebben tot het dossier en van uitwisseling van zijn of haar dossier.

Page 10: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

10

2. Standaarden Consensus over standaarden ten aanzien van het uitwisselen van informatie moet een feit zijn voordat er daadwerkelijk uitwisseling plaatsvindt. Ofwel als we man en paard schrijven moet niet iemand anders dit opvatten als man en knol. En volgens onderstaand bericht van de IGZ is het veld nog lang niet zover:

“Uit onderzoek van de Inspectie voor de Gezondheidszorg blijkt dat de risico’s die in de zorg ontstaan door gebrekkige informatie-uitwisseling tussen zorgverleners en instellingen niet automatisch kunnen worden opgelost door de toepassing van ICT. Er moeten eerst duidelijke afspraken zijn over welke informatie relevant is. Om de informatie vervolgens te kunnen delen via ICT-systemen, moeten er daarnaast afspraken komen over het opslaan en delen van de informatie. De inspectie roept het zorgveld op om zo snel mogelijk zorgbrede normen en standaarden te ontwikkelen.”

IGZ, 24 oktober 2011*

Gezien het bovenstaande is het toch onbegrijpelijk dat er momenteel medische gegevens van 8 miljoen burgers worden uitgewisseld via het huidige LSP? Bovendien moet worden voldaan aan hogere normen zoals certificering voor ISO-27001 en NEN-normen. Dit zijn standaarden voor informatiebeveiliging. De ISO norm geldt voor alle typen organisaties en de NEN-norm is speciaal voor de zorgsector ontwikkeld.

Voorkom digitale spraakverwarring!

*http://www.igz.nl/actueel/nieuws/zorgveldmoeteenduidigeafsprakenmakenoveruitwisselingpatintinformatieengebruikvanictdaarbij.aspx

Page 11: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

11

3. Regionaal Het systeem dient regionaal en kleinschalig te zijn om de veiligheid te vergroten en om de betrouwbaarheid te verhogen. De technische beveiliging kan nog zo perfect worden uitgewerkt, het grootste risico ligt bij de gebruiker van het EPD. Dus hoe meer het bereik wordt ingeperkt hoe beter. Door de vele toegangen tot het landelijk systeem is slordigheid of misbruik niet te voorkomen. Ook is het voor hackers veel aantrekkelijker om in te breken in een landelijk EPD dan een regionaal EPD, omdat dan direct de gegevens van heel Nederland bereikbaar zijn. Een schat aan waarde voor diverse bedrijven. Centraal benaderen en zwaar beveiligen betekent dat de infrastructuur heel complex wordt. Hoe complexer, hoe groter de kans op fouten en het risico op beveiligingslekken.

Geen LSP maar een RSP!

Voor patiënten is een landelijk systeem helemaal niet nodig. Patiënten migreren meestal in de regio dus waarom zou er de mogelijkheid moeten zijn om landelijk uit te wisselen? En om alsnog in deze mogelijkheid te voorzien, zouden patiënten een eigen zorgpas moeten hebben, die zij aan iedere zorgverlener in het hele land kunnen geven waarmee die vervolgens alsnog (tijdelijk) toegang heeft tot de medische gegevens.

Page 12: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

12

4. Training Alle gebruikers van het EPD dienen getraind te worden in aspecten die de privacy betreffen. Hiermee verhogen we het risicobewustzijn van de zorgverleners die het soms niet zo nauw nemen met de privacy van medische gegevens. Uit talloze incidenten blijkt het namelijk niet zo moeilijk om medische gegevens van bepaalde patiënten op te vragen. We kunnen wel boetes opleggen indien medewerkers de privacy van patienten schenden (en dat moet ook gebeuren) maar dan moeten medewerkers zich ook bewust zijn van de risico’s. Ze moeten beseffen welke verantwoordelijkheid ze hebben ze ten aanzien van medische gegevens en hoe ze daar vertrouwelijk mee moeten omgaan. Nu met een simpele inlog de gegevens van honderden zo niet duizenden patienten met een muisklik te bereiken zijn, dient training een essentieel onderdeel te worden van iedereen die met het EPD werkt.

Zorg staat of valt bij de omgang met medische gegevens!

Page 13: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

13

5. Opt-in De patiënt dient voor elke zorgverlener vooraf toestemming te verlenen voor de uitwisseling van medische gegevens. Het doorstart model EPD voorziet daarin, maar wat betekent dit voor de 8 miljoen patiënten die al in het EPD zitten? Hoe weten die aan welke zorgverleners ze allemaal toestemming hebben gegeven? Krijgen ze daar een overzicht van en moeten ze dan al die zorgverleners gaan bezoeken om hun toestemming in te trekken? Nee. Begin met een schone lij en wis alle gegevens! Toestemming van de patiënt is een absolute voorwaarde voor het uitwisselen van medische gegevens. Stop daarom ook met de zogenaamde vermeende behandelrelatie waarmee een zorgverlener zonder toestemming inzage heeft in het patiëntendossier. Elke zorgverlener kan zich eenvoudig deze behandelrelatie toebedelen. Een afspraak in een agenda zetten is namelijk al voldoende.

Toestemming voor zolang de behandeling duurt!

De toestemming dient ook aan een termijn gebonden te zijn, namelijk de termijn van de behandeling en dient daarna automatisch te verlopen. Zo voorkom je dat na een paar jaar nog steeds talloze zorgverleners toegang hebben tot je gegevens. Waarom zou je fysiotherapeut na afloop van je blessure nog steeds toegang hebben tot je medische gegevens?

Page 14: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

14

6. Patiëntenrechten De patiënt heeft op grond van de Wbp altijd recht op inzage, aanpassing en verwijdering van gegevens uit zijn dossier. Dit moet ook gelden voor zijn elektronische dossier. De patiënt dient tevens inzage te hebben in de uitwisseling van zijn dossier (door wie zijn wanneer en welke gegevens uitgewisseld). Hiertegen moet hij ook bezwaar kunnen maken. Niet via een ingewikkelde procedure maar gewoon door direct een bepaalde zorgverlener te kunnen uitsluiten en een klacht in te dienen. Daarnaast dient de patiënt zijn eigen dossier te kunnen aanvullen. Bijvoorbeeld met diagnostische data doordat hij thuis metingen verricht, zoals bloeddruk- of glucosemetingen. Er komen ook steeds meer betrouwbare zelftests waarvan de patiënt de uitkomsten direct moet kunnen invullen en bijhouden.

Jaarlijks medicatie APK!

Via zijn dossier moet de patiënt jaarlijks een medicatie APK kunnen aanvragen. Dit houdt in dat artsen of apothekers één keer per jaar het medicijngebruik controleren. Zo kan worden bepaald of patiënten bepaalde medicatie nog wel nodig hebben en kan onnodige medicijnverstrekking worden voorkomen.

Page 15: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

15

7. Aansprakelijkheid Het moet duidelijk zijn wie de betrouwbaarheid van het uitwisselingssysteem bewaakt en wie de gegevens controleert op juistheid en actualiteit. Het inrichten van een aansprakelijkheidsstructuur, het uitvoeren van periodieke audits, het toetsen van netwerkconcepten is noodzakelijk. Wie is daarvoor verantwoordelijk en aansprakelijk? Het systeem gaat gefinancierd worden door de zorgverzekeraars. Welke garanties geven zij af ten aanzien van updates, nieuwe ontwikkelingen en toepassingen? Als zij geen financiën beschikbaar stellen voor een security update, wie is dan aansprakelijk als er een datalek optreedt?

Meldpunt klachten voor patiënten!

Communicatiesystemen vallen uit, zie het recente voorbeeld van Vodafone, of de regelmatige storingen bij iDEAL. Waar dien je dan als patiënt een klacht in als je je benadeeld voelt?

Page 16: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

16

8. Toezicht Het toezicht, handhaving en opleggen van sancties bij oneigenlijk gebruik moet wettelijk goed geregeld zijn. Dit toezicht ligt bij voorkeur bij het College Bescherming Persoonsgegevens (CBP). Gezien de recente gebeurtenissen waarbij maar liefst 300.000 medische en privacy gevoelige gegevens op straat zijn komen te liggen, lijkt een meldplicht voor dergelijke medische data incidenten een absolute noodzaak. Er gebeuren namelijk veel meer incidenten die de media meestal niet halen maar die wel van belang zijn voor het in kaart brengen van de veiligheidsaspecten.

Meldplicht medische data incidenten!

Zo gebeurde het in Engeland dat een medewerker thuis verder wilde werken en daarom medische gegevens kopieerde naar een USB-stick. Wat niemand ooit verwacht, gebeurde. Hij verloor de USB-stick en die dook later weer op in de handen van de media. Een simpel voorbeeld wat naast een sanctie in ieder geval 2 consequenties moet hebben: de medewerkers dienen beter getraind te worden in het omgaan met informatie en het incident moet gemeld worden zodat iedereen ervan kan leren.

Page 17: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

17

9. Zorgverzekeraars Zorgverzekeraars vormen een aparte groep in de zorgsector, net als keuringsartsen en arbo-artsen, mogen zij nooit toegang hebben tot persoonlijke medische dossiers. Bij het oorspronkelijke wetsvoorstel EPD zijn hier amendementen voor ingediend en aangenomen in de Tweede Kamer**. Het ligt in de rede dat de minister deze amendementen overneemt in aanvullende wetgeving.

Geen toegang zorgverzekeraars tot EPD!

Ook mogen zorgverzekeraars nooit het EPD verplicht stellen of het EPD expliciet als eis opnemen in hun contracten met zorgaanbieders. Elektronisch uitwisselen dient eerst als kwaliteitseis door de beroepsgroepen vastgesteld te worden***. Maar dan nog mag dit zich nooit toespitsen op 1 systeem omdat dit innovatie van nieuwe betere en veiligere systemen van elektronisch uitwisselen in de weg staat.

Geen verplichting tot aansluiting EPD!

In aanvulling hierop willen we wellicht ten overvloede erop wijzen dat patiënten evenmin nooit gedwongen kunnen worden tot deelname aan het EPD. Niet financieel via lagere premies of lager eigen risico, noch via beperking of toegankelijkheid tot zorg.

**Kamerstuk 31466, 46,47,49

***TK 20112012-2164

Page 18: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

18

10. Zorgpas Wij zijn voorstander van een persoonlijke zorgpas. Niet een USB-stick waar je hele medische dossier op staat, maar een zorgpas die dient als authenticatie middel. Een sleutel die toegang geeft tot je dossier. Een soort UZI-pas maar dan voor de patiënt in plaats van voor de zorgverlener. Alleen door het scannen van deze pas kan een zorgverlener bij je medische gegevens. Dit beperkt drastisch de toegang en bevordert daarmee de veiligheid en de privacy van je medisch dossier. Want er zijn honderdduizenden UZI-passen uitgegeven aan zorgverleners. Waarom zouden die allemaal toegang hebben? Je geeft de sleutel van je voordeur toch ook niet aan politie, brandweer of GGD? Nee die geef je alleen aan mensen die je vertrouwt. Het is logisch dat je aan je huisarts, de huisartsenpost en je apotheker toestemming geeft voor toegang tot je medische gegevens, maar verder bepaal jezelf met je zorgpas wie toegang krijgt.

Elke patiënt een zorgpas!

Page 19: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

19

Conclusies Als het elektronisch patienten dossier voldoet aan de genoemde 10 punten dan bereiken we het volgende: Veiligheid: Het EPD wordt regionaal en kleinschalig De veiligheid en privacy van de medische gegevens zijn gebaat bij kleinschaligheid en zo weinig mogelijk toegangen. Regionaal en niet landelijk, is daarom de enige logische keuze voor de veilige opzet van een EPD. Privacy: Het EPD krijgt beperkte toegang De patiënt kan via de opt-in binnen zijn regio de 1elijn zorgaanbieders zoals de huisarts, de huisartsenpost, en de apotheker toestemming geven om zijn gegevens uit te wisselen. Buiten zijn regio of voor zorgaanbieders in de 2e lijn (ziekenhuizen, specialisten) kan hij zijn zorgpas afgeven aan zorgverleners van zijn keuze die daarmee tijdelijk (zolang de behandeling duurt) toegang hebben tot zijn gegevens. Dit is de beste waarborg dat er zorgvuldig met de privacy van de gegevens wordt omgegaan. Medezeggenschap: De regie van het EPD ligt bij de patiënt De patiënt, en dat geldt zeker voor de chronische patiënt, is zelf het beste op de hoogte van de zorg die hij afneemt, de medicijnen die hij slikt en de bezoeken die hij aflegt aan de zorgverleners. Actieve betrokkenheid en regie over het eigen medisch dossier hoort daarom bij de patiënt te liggen.

Page 20: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

20

Page 21: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

21

Oproep Actieve participatie van de patiënt bij zijn eigen medische gegevens past in het beleid waarbij hij meer verantwoordelijk wordt gemaakt voor zijn eigen gezondheid. Kleinschaligheid en beperkte toegang past in het veiligheidsbeleid en de privacy bewaking bij elektronische communicatie.

Daarom willen wij de minster oproepen om de genoemde 10 EPD actiepunten over te nemen en om te zetten in wetgeving voordat het moratorium op nieuwe aanmeldingen wordt opgeheven.

Deze oproep geldt niet alleen voor de minister maar voor alle partijen hier in de Kamer, zodat de veiligheid van het EPD, de privacy en de zeggenschap van de patiënt ten aanzien van het EPD voldoende gewaarborgd worden.

Page 22: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

22

Page 23: PVV 10 puntenplan EPD

EPD Actieplan PVV 2012 | In eigen hand

23

Contact CONTACTPERSOON Addie Wisse Tel: 070 – 3185303 [email protected] POSTADRES Tweede Kamerfractie Partij voor de Vrijheid Commissie Sociaal/Zorg Postbus 20018 2500 EA Den Haag

Page 24: PVV 10 puntenplan EPD