Pimp my EPD

Heeft u wel eens ‘De grote beurt‘ gezien? Dit is een auto-programma kloon van MTV’s ‘pimp my ride‘ waar oude auto’s een makeover krijgen om ze weer hip&cool te maken. Probleem bij al het opleuken dat in deze programma’s wordt gedaan is dat onder de nieuwe lak en glimmende velgen het een oude auto blijft die z’n beste tijd gehad heeft. Zo is het ook met het EPD.

Zo’n 10 jaar geleden werd onder leiding van Minister Els Borst het plan opgevat een nationaal elektronisch patiënten dossier te realiseren. Een dergelijk dossier zou medicatie- en andere fouten door informatieachterstand bij zorgverleners voorkomen en zo vele mensenlevens redden. Het waren tenslotte de jaren ’90 en er was niets dat IT niet leek te kunnen oplossen.

In 2002 werd stichting Nictiz opgericht. Deze, door het ministerie van VWS gefinancierde non-profit-zonder-macht, zou het nationaal EPD gaan realiseren. Al vrij snel werd besloten dat er geen echt nationaal EPD zou komen maar een soort zoekmachine die data uit alle systemen brokjes data over een specifieke patiënt trekt. Zo’n zoekmachine oplossing is veel complexer dan een centraal systeem. De beschikbaarheid en volledigheid van data is in een dergelijke architectuur niet afhankelijk van 1 systeem maar van alle aangesloten systemen die relevante data bevatten. En welke dat zijn weet niemand want als we dat wisten was het EPD op deze wijze niet nodig. Aangezien de informatie uit het EPD gebruikt wordt voor levensreddende handelingen moet het altijd real-time beschikbaar zijn en volledig correct. Een EPD waar cruciale data uit ontbreekt (omdat een deel-systeem even offline is of omdat de data in dat deel-systeem niet correct zou kunnen zijn) is onbruikbaar voor de trauma-arts die geen seconde meer kan wachten.

Waarom kiezen voor een dergelijke oplossing? Waarom niet een enkel zeer goed beveiligd, redundant uitgevoerde oplossing waar alle zorginstellingen gratis op kunnen aansluiten? Dergelijke systemen zijn weliswaar niet eenvoudig te bouwen maar het is een oplosbaar probleem en een enkel goed gebouwd en beheerd systeem zal een grotere beschikbaarheid hebben dan een verzameling van honderden of zelfs duizenden legacy systemen van zeer uiteenlopende kwaliteit die allemaal moeten functioneren om tot een werkend geheel te komen.

Het lijkt een bestuurlijke keuze te zijn geweest. Het invoeren van een echt centraal en nationaal systeem voor alle zorginstellingen (waarbij een huisarts ook als ‘instelling’ telt) werd politiek onhaalbaar geacht. Voor invoer van een dergelijk systeem zouden de duizenden automatiserings eilandjes van de Nederlandse zorg allemaal afgebroken moeten worden en zou de overheid al die instellingen moeten overtuigen (of dwingen) tot het gebruik van een centraal systeem. Geen bestuurder die zich daaraan wilde branden dus werd het probleem bij de techniek gelegd. Men liet decennia aan zorg-IT legacy gewoon in stand en bouwde een laagje software er overheen dat alles aan elkaar zou lijmen. Pimp my EPD.

Onder dat laagje spuit-chroom blijven de oude spullen echter gewoon door pruttelen. En de oude roest vormt een significant privacy en veiligheidsprobleem dat in alle commotie rond de angst voor meekijkende medici (en verzekeraars) wat aan het ondersneeuwen is.

In 2005 schreef Karin Spaink in opdracht van XS4all een boek  (zie de hele boekpresentatie hier) over het elektronisch patiënten dossier en de privacy aspecten ervan. Om haar punt dat er van alles mis was met de beveiliging van medische gegevens kracht bij te zetten vond ze twee ziekenhuizen die zich wel eens wilden laten hacken door specialisten van IT-beveiligings bedrijven. De directies van deze instellingen hadden een groot vertrouwen in hun IT-beveiliging en wilden dat graag laten bevestigen door een aantal top-hackers hun tanden te laten stukbijten op hun firewall. Het liep anders.

Job de Haas van ITSX bleek niet alleen in staat door firewalls heen te prikken maar verbleef langdurig op de netwerken en databases van een groot ziekenhuis alwaar hij volledige toegang had tot vertrouwelijke gegevens van meer dan een miljoen mensen (video). Ook kon hij wijzigingen aanbrengen in de data als hij dat had gewild. Zijn langdurig verbijf werd niet opgemerkt door de systeembeheerders van het ziekenhuis, er was geen inbraakalarm. De specialisten van Fox-IT bewandelden een ander pad (video). Zij liepen letterlijk door de voordeur naar binnen met een laptop onder de arm en gingen een paar dagen kantoor houden in het ziekenhuis. Vele hulpvaardige zorgverleners wezen hun waar de koffie en de fotocopier stond. Wachtwoorden en andere gegevens werden zonder veel problemen verkregen en ook hier waren de gevolgen voor schade aan privacy en veiligheid van patiënten niet te overzien geweest als er kwade bedoelingen waren geweest.

De test-hacks zetten het probleem flink op de agenda. Zowel RTL als het NOS journaal maakte items en een zwetende minister mocht in de Tweede Kamer uitleggen hoe dit nu toch weer kon gebeuren. Invoering van het EPD werd een jaar uitgesteld.

Naast het overduidelijke privacyprobleem dat door de hacks scherp werd neergezet was er nog een ander probleem. Voor het adequaat functioneren van een modern ziekenhuis dienen computersystemen en netwerken goed te werken. Röntgenfoto’s en allerlei andere levensreddende apparatuur is tegenwoordig volledig gedigitaliseerd waardoor een nuttig medisch instrument in een seconde gereduceerd kan worden tot een dood stuk ijzer als er een virusje in de aansturende computer kruipt. Dit overkwam het Spaarne ziekenhuis in maart 2005 en diverse ziekenhuizen sindsdien (dergelijke incidenten worden niet altijd gerapporteerd). De Pc’s die digitale röntgenapparaat, MRI-scanner en dergelijke aansturen zijn vaak nauwelijks voorzien van beveiliging maar zijn wel onderdeel van het computernetwerk van een ziekenhuis dat (zo bleek althans in 2005) niet echt waterdicht was. Iemand met kwade bedoelingen kan dus niet alleen de privacy van patiënten schaden maar ook de patiënt zelf door het ontzeggen van cruciale functies van een moderne zorginstelling.

In 2005 heeft de Minister een plechtige belofte gedaan dat een dergelijk incident zich nooit meer zou voordoen. Alle zorginstellingen moesten de NEN7510 informatiebeveiligingsnorm implementeren en dan zou het helemaal goed komen. Vraag is dan wel wie dat toetst. in 2005 gaf de IGZ (Inspectie voor de Gezondheidszorg) aan dat zij op dat moment niet de kennis, capaciteit hadden om audits uit te voeren op NEN7510 of het mandaat om hard in te grijpen. We weten allemaal hoe het afloopt met normen waar de toezichthouder zich niet mee bezig houdt. Wellicht moest de hack van 2005 nog maar eens worden overgedaan bij een stuk of dertig instellingen, om een evenwichtig beeld te krijgen van de huidige stand van zaken. Ik vrees dat de uitkomsten niet fundamenteel anders zullen zijn dan drie jaar geleden maar laat me graag door een auditrapportage van de IGZ overtuigen. Waar zijn die auditrapportagens trouwens?

Wat mij altijd heeft bevreemd is de prioriteitsstelling van het EPD. Het Ministerie van VWS roept te pas en te onpas dat het probleem heel groot en acuut is. Er zijn wel 19.000 (of toch 90.000?) onnodige ziekenhuis opnamen per jaar waarvan 1900 met dodelijke afloop mede door het ontbreken van een EPD. Het probleem is dus zo enorm dat we nu echt even geen tijd hebben voor lastige vragen over privacy en dat soort gedoe. Een soort ‘War On Medicatiefouten’ zeg maar.

Laten we (voor de discussie) eens aannemen dat de door VWS en andere partijen al jaren en bij herhaling gebruikte cijfers in orde van grootte kloppen. Dat er in Nederland al jaren (in ieder geval vanaf 2002 en wellicht al veel langer) per jaar 1900 mensen onnodig dood gaan mede doordat de informatievoorziening in de zorg niet goed geregeld is. Dat zijn dus zo’n 20.000 doden. In Nederland. Onnodig. Dat is dus met afstand de grootste nationale ramp sinds de tweede wereld oorlog. Elke 13 maanden een watersnoodramp, elke 18 maanden een elf september. Kosten: 1.4 miljard per jaar. Dit is wat VWS zegt dat er aan de hand is als we vragen naar het waarom van het EPD.

Kan iemand mij dan uitleggen waarom dit probleem in handen is gegeven van een stichting (Nictiz) zonder formele macht, op grote afstand van de minister en met een jaarbudget van slechts 10 miljoen euro?

Waarom is dit niet het allerbelangrijkste onderwerp van VWS, met de top van het Ministerie dagelijks met de hand aan het stuur, met wekelijkse updates aan het kabinet en parlement? Als de veel gebruikte cijfers niet kloppen worden wij (en ons parlement) al jaren ‘verkeerd geïnformeerd’ zoal dat netjes heet. Als de cijfers wel kloppen is er iemand ergens wel extreem nalatig geweest in het oplossen van een nationale ramp met behulp van opgewarmde, met fake-chroom overgespoten, IT-legacy.


Andere artikelen & interviews over IT en de gezondheidszorg: