EPD, korte geschiedenis van een nationale ramp

<Webwereld column>

Heeft u wel eens 'De grote beurt' gezien? Dit is een auto-programma kloon van MTV's 'pimp my ride' waar oude auto's een makeover krijgen om ze weer hip&cool te maken. Probleem bij al het opleuken dat in deze programma's wordt gedaan is dat onder de nieuwe lak en glimmende velgen het een oude auto blijft die z'n beste tijd gehad heeft. Zo is het ook met het EPD.

Ruim 12 jaar geleden werd onder leiding van Minister Els Borst het plan opgevat een nationaal elektronisch patiënten dossier te realiseren. Een dergelijk dossier zou medicatie- en andere fouten door informatieachterstand bij zorgverleners voorkomen en zo vele mensenlevens redden. Het waren tenslotte de jaren '90 en er was niets dat IT niet leek te kunnen oplossen.

In 2002 werd stichting Nictiz opgericht. Deze, door het ministerie van VWS gefinancierde non-profit-zonder-formele-macht, zou het nationaal EPD gaan realiseren. Al vrij snel werd besloten dat er geen echt nationaal EPD zou komen maar een soort zoekmachine die data uit alle systemen brokjes data over een specifieke patiënt trekt. Zo'n zoekmachine-oplossing is veel complexer dan een centraal systeem.

De beschikbaarheid en volledigheid van data is in een dergelijke architectuur niet afhankelijk van één systeem maar van alle aangesloten systemen die relevante data bevatten. En welke dat zijn weet niemand, want als we dat wisten was het EPD op deze wijze niet nodig. Aangezien de informatie uit het EPD gebruikt wordt voor levensreddende handelingen, moet het altijd realtime beschikbaar zijn en volledig correct. Een EPD waar cruciale data aan ontbreekt (omdat een deel-systeem even offline is of omdat de data in dat deel-systeem niet correct zou kunnen zijn) is onbruikbaar voor de trauma-arts die geen seconde meer kan wachten.

Waarom kiezen voor een dergelijke oplossing? Waarom niet een enkel zeer goed beveiligd, redundant uitgevoerde oplossing waar alle zorginstellingen gratis op kunnen aansluiten? Dergelijke systemen zijn weliswaar niet eenvoudig te bouwen, maar het is een oplosbaar probleem en een enkel goed gebouwd en beheerd systeem zal een grotere beschikbaarheid hebben dan een verzameling van honderden of zelfs duizenden legacy systemen van zeer uiteenlopende kwaliteit die allemaal moeten functioneren om tot een werkend geheel te komen.

Het lijkt een bestuurlijke keuze te zijn geweest. Het invoeren van een echt centraal en nationaal systeem voor alle zorginstellingen (waarbij een huisarts ook als 'instelling' telt) werd politiek onhaalbaar geacht. Voor invoer van een dergelijk systeem zouden de duizenden automatiserings-eilandjes van de Nederlandse zorg allemaal afgebroken moeten worden en zou de overheid al die instellingen moeten overtuigen (of dwingen) tot het gebruik van een centraal systeem. Geen bestuurder die zich daaraan wilde branden dus werd het probleem bij de techniek gelegd. Men liet decennia aan zorg-IT legacy gewoon in stand en bouwde een laagje software er overheen dat alles aan elkaar zou lijmen. Pimp my EPD.

Onder dat laagje spuit-chroom blijven de oude spullen echter gewoon doorpruttelen. En de oude roest vormt een significant privacy en veiligheidsprobleem dat in alle commotie rond de angst voor meekijkende medici (en verzekeraars) wat aan het ondersneeuwen is.

In 2005 schreef Karin Spaink in opdracht van XS4all een boek (zie ook de hele boekpresentatie) over het elektronisch patiëntendossier en de privacy-aspecten ervan. Om haar punt dat er van alles mis was met de beveiliging van medische gegevens kracht bij te zetten vond ze twee ziekenhuizen die zich wel eens wilden laten hacken door specialisten van IT-beveiligings bedrijven. De directies van deze instellingen hadden een groot vertrouwen in hun IT-beveiliging en wilden dat graag laten bevestigen door een aantal tophackers hun tanden te laten stukbijten op hun firewall. Het liep anders.

Job de Haas van ITSX bleek niet alleen in staat door firewalls heen te prikken, maar verbleef langdurig op de netwerken en databases van een groot ziekenhuis alwaar hij volledige toegang had tot vertrouwelijke gegevens van meer dan een miljoen mensen (video). Ook kon hij wijzigingen aanbrengen in de data als hij dat had gewild. Zijn langdurig verblijf werd niet opgemerkt door de systeembeheerders van het ziekenhuis, er was geen inbraakalarm.

Roland Vergeer (video) liep letterlijk door de voordeur naar binnen met een laptop onder de arm en ging een paar dagen kantoor houden in het ziekenhuis. Vele hulpvaardige zorgverleners wezen hem waar de koffie en de fotocopier stond. Wachtwoorden en andere gegevens werden zonder veel problemen verkregen en ook hier waren de gevolgen voor schade aan privacy en veiligheid van patiënten niet te overzien geweest als er kwade bedoelingen waren geweest. Zowel RTL als het NOS journaal maakte items en een zwetende minister mocht in de Tweede Kamer uitleggen hoe dit nu toch weer kon gebeuren. Invoering van het EPD werd een jaar uitgesteld.

Naast het overduidelijke privacyprobleem dat door de hacks scherp werd neergezet, was er nog een ander probleem. Voor het adequaat functioneren van een modern ziekenhuis dienen computersystemen en netwerken goed te werken. Röntgenfoto's en allerlei andere levensreddende apparatuur is tegenwoordig volledig gedigitaliseerd, waardoor een nuttig medisch instrument in een seconde gereduceerd kan worden tot een dood stuk ijzer als er een virusje in de aansturende computer kruipt.

Dit overkwam het Spaarne ziekenhuis in maart 2005 en diverse ziekenhuizen sindsdien (dergelijke incidenten worden niet altijd gerapporteerd). De pc's die digitale röntgenapparaat, MRI-scanner en dergelijke aansturen zijn vaak nauwelijks voorzien van beveiliging, maar zijn wel onderdeel van het computernetwerk van een ziekenhuis dat (zo bleek althans in 2005) niet echt waterdicht was. Iemand met kwade bedoelingen kan dus niet alleen de privacy van patiënten schaden, maar ook de patiënt zelf door het ontzeggen van cruciale functies van een moderne zorginstelling.

In 2005 heeft de Minister een plechtige belofte gedaan dat een dergelijk incident zich nooit meer zou voordoen. Alle zorginstellingen moesten de NEN7510 informatiebeveiligingsnorm implementeren en dan zou het helemaal goed komen. Vraag is dan wel wie dat toetst. in 2005 gaf de IGZ (Inspectie voor de Gezondheidszorg) aan dat zij op dat moment niet de kennis, capaciteit hadden om audits uit te voeren op NEN7510 of het mandaat om hard in te grijpen. We weten allemaal hoe het afloopt met normen waar de toezichthouder zich niet mee bezig houdt (kuch - diginotar - kuch).

Wellicht moest de hack van 2005 nog maar eens worden overgedaan bij een stuk of dertig instellingen, om een evenwichtig beeld te krijgen van de huidige stand van zaken. Ik vrees dat de uitkomsten niet fundamenteel anders zullen zijn dan zeven jaar geleden, maar laat me graag door een auditrapportage van de IGZ overtuigen. Waar zijn die auditrapportages trouwens?

Wat mij altijd heeft bevreemd is de prioriteitsstelling van het EPD. Het Ministerie van VWS roept te pas en te onpas dat het probleem heel groot en acuut is. Er zijn wel 19.000 (of toch 90.000?) onnodige ziekenhuisopnamen per jaar waarvan ongeveer 1700 met dodelijke afloop, mede door het ontbreken van een EPD. Het probleem is dus zo enorm dat we nu echt even geen tijd hebben voor lastige vragen over privacy en dat soort gedoe. Een soort 'War On Medicatiefouten' zeg maar.

Laten we (voor de discussie) eens aannemen dat de door VWS en andere partijen al jaren en bij herhaling gebruikte cijfers in orde van grootte kloppen. Dat er in Nederland al jaren (in ieder geval vanaf 2002 en wellicht al veel langer) per jaar 1700 mensen onnodig dood gaan mede doordat de informatievoorziening in de zorg niet goed geregeld is. Dat zijn dus zo'n 17.000 doden. Dat is dus met afstand de grootste nationale ramp sinds de tweede wereld oorlog. Kosten: 1.4 miljard per jaar. Dit is wat VWS zegt dat er aan de hand is als we vragen naar het waarom van het EPD.

Kan iemand mij dan uitleggen waarom dit probleem jarenlang in handen is gegeven van een stichting (Nictiz) zonder formele macht, op grote afstand van de minister en met een jaarbudget van slechts 10-15 miljoen euro? Waarom was/is dit niet het allerbelangrijkste onderwerp van VWS, met de top van het Ministerie dagelijks met de hand aan het stuur, met wekelijkse updates aan het kabinet en parlement? Als de veelgebruikte cijfers niet kloppen, worden wij (en ons parlement) al jaren 'verkeerd geïnformeerd' zoals dat netjes heet (dat zou politieke consequenties moeten hebben!). Als de cijfers wel kloppen is er iemand ergens wel extreem nalatig geweest in het oplossen van een nationale ramp met behulp van opgewarmde, met fake-chroom overgespoten, IT-legacy (dat zou politieke consequenties moeten hebben!).

Sinds de hack-demonstratie in 2005 zijn er (volgens de cijfers Nictiz/VWS) ongeveer 10.000 mensen om het leven gekomen door falende informatisering in de zorg. Een met publiek geld en volgens een door politiek gemotiveerd ontwerp gebouwd systeem wordt nu in geprivatiseerde vorm toch ingevoerd (ondanks de unanieme afwijzing ervan door de Eerste Kamer). De Minister geeft weer aan dat zij hulpeloos en machteloos is en vergeet voor het gemak dat zij de (mede-)veroorzaker is van de situatie waar ze geen macht over zegt te hebben. De Tweede Kamer is weliswaar verontwaardigd over de honderden miljoenen die uitgegeven zijn, maar stelt de bovenstaande, zeer evidente, vraag niet aan die Minister.

Het hele dossier lijkt een nog groter en zieker (no pun intended) dossier te worden dan de OV-chip kaart. Maar die gaat dus ook gewoon door. Vorig jaar was uitschrijven van het EPD nog een optie, die weg is door privatisering nu ook afgesloten. Dan maar zelf je dossier bewaren en versleutelen? Dan wel dubbelplus-crypten en een van de sleutels aan iemand anders in bewaring geven, want sleutels kunnen in de toekomst opgeëist worden op straffe van vrijheidsberoving. Vreemde situatie dat je het recht op medische privacy alleen kan behouden door de randen van de wet op te zoeken.

Hierboven de boekpresentatie van 'Medische Geheimen' (Karin Spaink) in september 2005. Paneldiscussie met mijn bijdragen op 27m35s. Ne plus ce change...

Update: vlak na plaatsing van de Webwereld column verscheen het bericht dat de maker van de software van het centrale gendeelte van het EPD (het Landelijk SchakelPunt - LSP) mogelijk de Amerikaanse overheid toegang moet verlenen onder de US Patriot Act.

.