In de mediadrukte over de vrije artsenkeuze en de dienstreizen van NzA bestuurders verdween de regelgeving rond het elektronische patiëntendossier uit zicht. De landelijke media vonden de vergunningsperikelen rond de Griekse villa van onze koning vorige week veel interessanter dan het kamerdebat over de medische gegevens van Nederlandse burgers. Maar volgende week stemt de Tweede Kamer, zoals het er nu uitziet, eindelijk over een wet die inmiddels als een molensteen om de nek van minister Schippers moet hangen.
Edith Schippers erfde het dossier over de toegang en beveiliging van elektronische patientendossiers van haar voorgangers Hans Hoogervorst en Ab Klink. Zij beten hun tanden stuk op een landelijk in te voeren systeem voor elektronische communicatie in de zorg. Hoogervorst en Klink beten hun tanden stuk op het EPD Dat werd in 2011 door de Eerste Kamer afgeserveerd, maar het spook van het EPD duikt nog voortdurend op in de discussie, ook vorige week in het plenaire debat in het parlement.
Toen in 2011 duidelijk werd dat de overheid geen landelijk communicatiesysteem voor de uitwisseling van medische gegevens zou gaan bouwen (maar dit aan de markt zou overlaten), was ook direct evident dat er nog steeds een wettelijk kader moest komen als aanvulling op bestaande wetten als de WGBO (Wet op de geneeskundige behandelingsovereenkomst) en de Wet bescherming persoonsgegevens.
Een wet die de toestemming van de burger regelt
Minister Schippers liet een juridische analyse uitvoeren om te bekijken of bestaande wetten moesten worden aangepast, en wat er in een nieuwe wet geregeld zou moeten worden. Het resultaat was wetsvoorstel 33 509, ingediend in 2012 en meestal aangeduid als Wet cliëntenrechten bij elektronische verwerking van gegevens. Pas met het aannemen van die wet is het EPD-dossier politiek zo goed en zo kwaad als het kan afgesloten."Toestemming nu niet goed geregeld" Eén van de hoofdpunten van de wet is het regelen van de manier waarop de patiënt toestemming geeft (of onthoudt) aan zorgaanbieders wanneer deze diens medische gegevens willen delen met andere zorgaanbieders. Dat is volgens de minister nu helemaal niet of niet goed geregeld. Het voorstel bevat ook regelgeving rond de inzage van patiënten in het eigen dossier. Bovendien stelt de wet functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling. Die technische eisen staan trouwens niet in de wet zelf, maar in een zogeheten Algemene maatregel van Bestuur. Dat maakt het volgens de minister gemakkelijker om die eisen aan te passen aan de snelle ontwikkelingen op ICT-gebied.
“In dit debat zijn er heel veel misverstanden."
Het is een taaie wet, zo bleek vorige week ook weer in de Tweede Kamer. Met name de artikelen die vastleggen hoe de patiënt toestemming kan geven en kan intrekken blijken zelfs na de ruime voorbereidingstijd van de wet ook nu nog tot verschillende interpretaties te leiden. De zorgwoordvoerders van de diverse fracties haalden dan er dan ook telkens denkbeeldige apothekers, gynaecologen, psychiaters en verloskundigen bij om te checken of ze de minister nu echt goed begrepen."Volgens mij proberen wij elkaar te begrijpen" Met name de interpretatie van de manier waarop de patiënt goedkeuring geeft of intrekt leverde verwarring op. “De minister doet goed haar best om het uit te leggen, maar ik begrijp het niet”, zei Lea Bouwmeester (PvdA) halverwege het debat. En haar collega Renske Leijten (SP) verzuchtte: “Het is een ingewikkeld wetsvoorstel. Volgens mij proberen wij elkaar te begrijpen.” Ook de minister stelde vast: “In dit debat zijn er heel veel misverstanden. Dat was vorige keer al zo en het is mij opgevallen dat het deze keer ook zo is.”
Generieke of specifieke toestemming, wat is het verschil?
Een groot deel van het debat ging over het verschil tussen de generieke en de specifieke opt-in. Die opt-in is de toestemming die de patiënt geeft om medische gegevens te delen. Het wetsvoorstel bevat twee opties. Bij een generieke opt-in geeft de patiënt toestemming om gegevens te delen met alle mogelijke zorgaanbieders die in de toekomst delen van diens dossier nodig zouden kunnen hebben. Verschillende kamerleden en een groot aantal privacy-deskundigen vinden de generieke opt-in geen goed idee. "Generieke toestemming is geen goed idee"Zij stellen dat patiënten niet kunnen overzien wie in de toekomst mogelijk toegang zal hebben tot (delen van) diens medisch dossier. De minister zegt dat het wetsvoorstel ook een optie bevat voor een specifieke opt-in. Daarmee krijgt de patiënt het recht om bepaalde groepen zorgaanbieders expliciet uit te sluiten. Het wetsvoorstel kan ook anders worden geïnterpreteerd: specifieke opt-in betekent dat je bij naam en toenaam vastlegt met welke zorgaanbieder je gegevens wilt delen, en met welke niet. CDA-kamerlid Hanke Bruins Slot diende een amendement in waarbij de generieke opt-in gaat verdwijnen, en de wet alleen specifieke toestemming voorschrijft. De minister stelt zich op het standpunt dat de wet dit scenario al biedt.
Ook toestemming voor opvragen nodig
Schippers herhaalde enkele malen dat voor het opvragen van die informatie altijd nog een aparte toestemming nodig is van de patiënt, en dat dit alleen maar toegestaan is wanneer er een behandelrelatie is. “Als ik door mijn huisarts word doorverwezen naar het ziekenhuis, belt hij dat er een patiënt aankomt of krijg ik een verwijsbrief mee. Dan kom ik in dat ziekenhuis bij de medisch specialist, die vraagt: mag ik uw gegevens inzien? En dan zeg ik ja of nee.”
De nieuwe wet geeft expliciet aan dat het raadplegen van gegevens die beschikbaar zijn gesteld via een elektronisch uitwisselingssysteem alleen is toegestaan indien de cliënt binnen een behandelrelatie daartoe uitdrukkelijke toestemming heeft gegeven. Deze toestemming wordt in de huidige beroepspraktijk overigens lang niet altijd gevraagd.
Bestaande systemen voldoen zeker niet aan de nieuwe wet
In welke vorm de wet ook door de Tweede Kamer wordt aangenomen, op dit moment voldoet geen enkel bestaand systeem voor de uitwisseling van medische gegevens aan de nieuwe regelgeving. Systemen als het Landelijk Schakelpunt (LSP) voorzien inmiddels wel in het vastleggen van een algemene toestemming, maar zijn nog niet gereed voor het uitsluiten van individuele of groepen zorgverleners. Dat geldt ook de informatiesystemen die in ziekenhuizen en door huisartsen worden gebruikt. Ook de optie om de goedkeuring van de patiënt voor het opvragen (dus niet het delen) van gegevens vast te leggen in het informatiesysteem ontbreekt in veel systemen. Softwareontwikkelaars zullen dus nog een flinke slag moeten maken om ervoor te zorgen dat zorgaanbieders, die verantwoordelijk zijn voor de uitvoering van de wetgeving, de nieuwe regels kunnen naleven. ICT-systemen zijn nog niet gereed voor uitsluiten van individuele of groepen zorgverleners
In het debat werd duidelijk dat het ministerie geen inzicht heeft in de mate waarin zorgsystemen zijn voorbereid op deze wet. Er zal sprake moeten zijn van een overgangsregeling, stelt de minister. Het CDA zou graag zien dat er een nulmeting komt om te zien hoe ‘het veld’ ervoor staat en wat de status is van gebruikte ICT-systemen. Schippers wil de zorgaanbieders niet van de ene op de andere dag aan de wet laten voldoen, maar vindt dat er een moment zal komen waarop het verantwoord is om de hand te gaan houden aan de nieuwe regels, nadat de partijen de tijd hebben gehad om zich op de wet voor te bereiden.
Zorgaanbieders moeten beveiliging verbeteren
Het kunnen voldoen aan de nieuwe regels rond de toestemming van de patiënt is overigens niet het enige probleem voor zorgaanbieders. Wanneer de wet en de bijbehorende Algemene maatregel van Bestuur van kracht gaan worden, zullen alle zorgaanbieders die onderling patiëntgegevens uitwisselen nog dwingender moeten voldoen aan normen voor de beveiliging van hun ICT-systemen. IGZ en CBP: veel mis met beveiliging De bijlage bij de wet geeft hiervoor specifieke normenkaders, met name de diverse NEN normen.
In hoeverre zorgaanbieders daar aan kunnen voldoen is nog een grote vraag. Immers: het kost ze nu al de grootste moeite om patiëntgegevens in hun interne systemen afdoende te beveiligen. Een recent onderzoek van het College Bescherming Persoonsgegevens concludeerde na inspectie bij negen zorginstellingen dat deze instellingen vooralsnog niet voorzien in voldoende maatregelen om de toegang tot gedigitaliseerde patiëntendossiers te beperken, nadat de IGZ in de Staat van de Gezondheidszorg 2011 al had geconstateerd dat er veel mis is bij informatie-uitwisseling. Zorgaanbieders die patiëntgegevens uitwisselen zijn overigens ook nu al verplicht om afdoende beveiligingsmaatregelen te nemen.
To LSP or not to LSP?
De nieuwe wetgeving gaat gelden voor alle systemen waarmee patiëntgegevens elektronisch worden uitgewisseld, of dat nu per e-mail, per fax of via netwerken als het LSP en regionale netwerken verloopt. In de optiek van de minister is het aan de zorgaanbieders zelf om gezamenlijk vast te stellen welke communicatiesystemen voldoende kwaliteit hebben om aan de wet te voldoen. Het is maar de vraag welke van die tientallen systemen aan de nieuwe eisen kunnen gaan voldoen. Het Landelijke Schakelpunt (LSP), dat na het afhaken van de overheid nu door de gezamenlijke verzekeraars wordt gefinancierd, lijkt vooralsnog het meest praktische alternatief wanneer zorgaanbieders landelijk gegevens willen uitwisselen, omdat een groot deel van alle huisartsen en apotheken inmiddels een aansluiting heeft.
Critici wijzen erop dat er ook alternatieven mogelijk zijn, zoals een beveiligde directe communicatie tussen twee zorgaanbieders zonder een centraal schakelpunt. Een bijkomend voordeel daarvan zou kunnen zijn dat medische gegevens waarschijnlijk moeilijker zijn in te zien voor buitenlandse veiligheidsdiensten. Maar zo’n alternatieve oplossing kan alleen maar voldoende schaalgrootte krijgen wanneer de beroepsgroep én de zorgverzekeraars hun schouders eronder zetten, en die lijken voorlopig meer te zien in de aanpak van het reeds uitgerolde en in de praktijk deels beproefde LSP. Daarmee wordt eigenlijk de praktische vraag: hoe snel zal het LSP kunnen voldoen aan de nieuwe wetgeving die de rechten van patiënten beter moet regelen? Want dat die nieuwe wet er uiteindelijk komt staat voor de meeste betrokkenen wel vast.
Lees ook:
De Rechtbank Midden Nederland zal vlgs planning eind juli uitspraak doen in de bodemprocedure die de beroepsorganisatie VPHuisartsen tegen VZVZ (verantwoordelijk beheerder LSP) in 2013 is gestart over de (on)rechtmatigheid van het LSP. Aanname van de wet en de uitspraak kunnen uiteraard conflicteren. Bij aanname wet en LSP-positieve uitspraak blijft de vraag wat het draagvlak is onder de bevolking. Doordat huisartsen met zilverlingen het LSP zijn ingetrokken zegt hun 'deelname' cq aansluiting op het LSP niet zoveel over hun bereidheid tot actieve deelname.
Het is het zoveelste ICT-project waaraan de overheid tot nu toe zijn dure vingers brandde.
Hans Nobel, secr. VPHuisartsen