Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 114 reacties
Submitter: !null

De organisatie die het Elektronisch PatiŽntendossier coŲrdineert, wil dat de bouwer en beheerder van het systeem een verklaring afgeeft dat de Amerikaanse overheid niet mee kan kijken. Dat gevaar bestaat, omdat het bedrijf CSC van origine Amerikaans is.

De Vereniging van Zorgaanbieders voor Zorgcommunicatie, die de uitrol van het private Elektronisch Patiëntendossier onder haar hoede heeft genomen, gaat het Amerikaanse bedrijf CSC vragen om te verklaren dat het niet onder de Patriot Act valt. Dat meldt de NOS. Kan het bedrijf een dergelijke verklaring niet afgeven, dan wordt de samenwerking met CSC beëindigd.

Het is onduidelijk waarom nu pas vraagtekens worden gezet bij de Amerikaanse roots van CSC: het bedrijf is al jarenlang betrokken bij de uitrol van het EPD. Bovendien is al enige tijd duidelijk dat de Amerikaanse overheid via de Patriot Act zichzelf het recht heeft toegeëigend om gegevens te bemachtigen die worden beheerd door Amerikaanse bedrijven, ook al bevinden die gegevens zich niet fysiek in de Verenigde Staten en gaat het om buitenlandse moederbedrijven.

In 2011 wees de Eerste Kamer het Elektronisch Patiëntendossier van de hand; de Kamer achtte de invoering van het EPD niet veilig genoeg. Daarop besloten de zorgaanbieders op eigen initiatief een dergelijk systeem op te zetten. Patiënten moeten toestemming geven om in het systeem opgenomen te worden. Het voordeel van het EPD is dat artsen een completer beeld van patiënten krijgen, doordat ze kunnen zien welke medicijnen en behandelingen een patiënt heeft gehad. Er is echter veel kritiek op de beveiliging van het systeem en de privacybezwaren die met uitwisseling van patiëntgegevens gemoeid zijn.

Reacties (114)

Reactiefilter:-11140111+195+216+30
Moderatie-faq Wijzig weergave
Daar gaan we weer....
Het EPD is GEEN landelijke database met patientgegevens. Het is enkel een netwerk en index (soort telfoongids) dat het mogelijk maakt om informatie uit systemen die eigendom zijn van zorgverleners op te vragen. Alleen deze telefoongids is mogelijkerwijs eigendom van CSC.

Daarbij is het misschien wel interessant om te weten dat er al genoeg ziekenhuizen in zee zijn gegaan met bedrijven als SAP en EPIC, die ook onder deze fantastische wet vallen...

edit: daarbij betwijfel ik het trouwens of deze gegevens wel "in beheer" zijn van de genoemde bedrijven. Aangezien zij enkel de implementatie begeleiden en software verkopen. Het beheer ligt vervolgens bij de klant.

[Reactie gewijzigd door casparz op 30 november 2012 15:03]

SAP word veelal in klanten hun eigen datacenters geÔmplementeerd, dus de data komt nooit (lang) in handen van dit bedrijf. SAP is trouwens ook nog eens van oorsprong Duits, in hoeverre het hebben van een Amerikaanse beursnotering / aanwezigheid invloed heeft op de toepassing van de Patriot Act is mij ook niet 100% helder.
Epic ken ik niet maar SAP is een Duits bedrijf lijkt me stug dat die onder de patriot wet valt.
Bovendien is al enige tijd duidelijk dat de Amerikaanse overheid via de Patriot Act zichzelf het recht heeft toegeŽigend om gegevens te bemachtigen die worden beheerd door Amerikaanse bedrijven, ook al bevinden die gegevens zich niet fysiek in de Verenigde Staten en gaat het om buitenlandse moederbedrijven.
Ik denk dat SAP wel in de VS opereert...
Als die gegevens via het systeem ingezien kunnen worden en/of het systeem verantwoordelijk is voor de authorisatie, dan maakt het geen klap uit of de data fysiek in het systeem staat of niet.
ik wil er wat onder verwedden dat zal blijken dat het EPD niet onder de partiot act valt. Althans dat zal gezegd worden.
Na een paar jaar EPD zal dan blijken dat het toch wel zo is. De canadezen hebben schijnbaar zelf al zulke ervaringen met een geluiksoortig systeem.
houd er rekening mee dat Amerikanen alleen dingen doen in eigen belang en eigen voordeel. Liegen hoort daar ook bij.
Die verklaring is geen knip voor de neus waard stelletje incompetente figuren ook weer bij de overheid! De VS bepaalt zelf op basis van bepaalde gronden bij wie ze wel en geen kijkje gaan nemen. Verklaringen tussen bedrijven onderling of particulieren en bedrijven doen niets af aan deze opsporingsbevoegdheid. Onze gegevens zijn straks gewoon in te zien door de Amerikanen en ieder ander omdat de beveiliging vast weer zo lek als een mandje is!
Als ik het artikel lees krijg ik de indruk dat dit een initiatief uit de privť is? (na het doorklikken van de link is het zeker geen initiatief van de overheid)

(...)In 2011 wees de Eerste Kamer het Elektronisch PatiŽntendossier van de hand; de Kamer achtte de invoering van het EPD niet veilig genoeg. Daarop besloten de zorgaanbieders op eigen initiatief een dergelijk systeem op te zetten(...)

En daarbovenop lijkt dit hele verhaal met een sisser af te lopen, want de gevraagde garantie kan niet geleverd worden.

Je gegevens blijven voorlopig veilig. Alhoewel ik een EPD-database beheerd door privťziekteverzekering(en) sowieso verdacht vind. Je geeft de zorgverzekeraars toegang tot een soort steekproef van ziektebeelden in nederland.
Die verklaring is in zoverre iets waard dat wanneer CSC haar afgeeft, ze volgens het Amerikaanse rechtssysteem aansprakelijk zijn voor eventuele schade die ontstaat wanneer de Amerikaanse overheid met een beroep op de Patriot Act zich data toeeigent. Of je privacy-inbreuk in geld kunt uitdrukken? Ik weet het niet, maar in Amerika vinden ze vast van wel en daar zijn rechters in zulke gevallen niet mals. Dus ik denk dat CSC die verklaring helemaal niet gaat afgeven.
De USA koopt alle informatie op die te koop is digitaal - er komt niks voor terug, wel wat kleingeld.

Orde grootte paar miljoen dollar per jaar voor bijvoorbeeld alle academische papers die gepubliceerd worden in de EU.

EPD zal voor iets meer gaan.

Er zijn altijd consultants met toegang in de databases die verkopen willen - dat is supersimpel.
Verklaar je nader aub.

Acedemische papers.... daar heb je gelijk in. The Library of Congress heeft abonnementen op elk scientific journal van elke uitgeverij. Dat is hun goed recht. Er zijn veel organisaties wereldwijd die veel abonnementen hebben.
Ik weet bijvoorbeeld dat de Cambridge University Library abonnementen heeft op alle scientific journals van alle Amerikaanse uitgeverijen, alle amerikaans kranten en tijdschriften en bovendien elk boek koopt dat in de US uitgegeven wordt. DIt is dus de normale gang van zaken.
Maar dat gaat over publieke uitgaven, niet over persoonsinformatie zoals het EPD. Waarom vergelijk je dan het EPD met deze journals? Als de database beheerder van het EPD informatie uit die database verkoopt, dan is dat een ernstig strafbaar feit. Personen die toegang hebben tot de data zullen uitvoerig gescreend worden.
Hoe kom je er bij dat een dergelijke persoon uitvoerig gescreend wordt? Je bent dokter en je staat ingeschreven bij het big.
Vervolgens is het aan het systeem in hoeverre de arts toegang heeft. Als je lukraak met een naam en geboortedatum alle gegevens kunt opvragen dan is het natuurlijk niets waard. En in mijn optiek is die manier van toegang het meest logische. Als je eerst de huisarts toestemming dan heeft het weinig toegevoegde waarde aangezien je de behandeling pas begint nadat je inkijk hebt gehad in de gegevens.

Alle toezeggingen ten spijt, maar dat het een rotsysteem zal worden met weinig toegevoegde waarde staat bij voorhand al vast. Echter dat beleidsmakers dat nog niet doorhebben is te danken aan de mensen die ze om zich heen hebben.
Het Amerikaanse bedrijf zal het product in Nederland opleveren, met servers die niet vanuit het buitenland toegankelijk zijn en fysiek in Nederland staat.
Als er wordt gezorgd dat CSC geen (remote) toegang heeft tot die omgeving, kan CSC toch nooit de gegevens aan Amerika overhandigen?
Of hoe moet ik zien hoe zo'n procedure te werk gaat?

Momenteel hebben denk ik bijna alle grote enterprise omgevingen iets van Active Directory (Amerikaans bedrijf Microsoft).
Dat is toch te vergelijken met bovenstaande?
Je koopt AD van MS en installeert het zelf. Bij EPD wordt (waarschijnlijk) de data gehost en beheerd door CSC.
Onder de patriot act kan de US government CSC dwingen deze data inzichtelijk te maken. Bij AD in jouw voorbeeld kan dat dus niet, MS heeft immers die data niet, ze leveren alleen het product dat de data beheerd. De staat kan natuurlijk wel vragen aan MS om de backdoors open te zetten voor de CIA, NSA en zo, wat MS waarschijnlijk al gedaan heeft....
Er zal geen data bij CSC staan, dit bedrijf implementeert en verkoopt waarschijnlijk enkel een stukje software.
Als Amerika de wet wijzigt hebben ze alsnog toegang. Er is maar 1 oplossing, annuleren en niet betalen
De regering moet bedrijven die mogelijkerwijs onder die Patriot Act zouden kunnen vallen gewoon uitsluiten van overheidsopdrachten. Andersom kon dat in de VS ook met BP.
Hoeft niet eens direct. Gewoon torenhoge boetes en strafvervolging van het complete management in het vooruitzicht stellen als er toegang wordt gegeven tot gegevens buiten de EU regels om.
Daarmee is het probleem niet ongedaan gemaakt.
Dat niet alleen dit project had prima door een Nederlands bedrijf kunnen worden uitgevoerd.
Dit had nooit uitbesteed mogen worden naar een ander land.
Het is niet alleen vreemd dat men de bouw van een dergelijk systeem aan een Amerikaans bedrijf uitbesteed vanwege privacy redenen. Ik vind het raar dat men met een dergelijke opdracht aan een buitenlandse partner gunt i.p.v. een Nederlands bedrijf, met name vanwege economische redenen. We hebben in Nederland de kennis in huis om een dergelijke opdracht zelfstandig uit te voeren. Het is stimulerend voor de Nederlandse economie als we dit soort aanbestedingen alleen uitzetten bij Nederlandse bedrijven. Dat is niet erg vreemd om te doen, want de Amerikanen zijn ook zwaar protectionistisch t.o.v. hun eigen markt.
Helaas (in dit geval) vallen wij onder de EU en overheden zijn verplicht tenminste Europees zaken aan te besteden... helaas, maar wat denk je... kijk eens naar een verzekeraar als AEGON. Dit is een Nederlands bedrijf, maar al de automatisering (datacenter) is sinds een paar jaar ondergebracht in de UK (Schotland), een groot deel van het beheer wordt door AEGON US gedaan. Hier in Nederland wordt steeds minder gedaan zeker op het gebied van het standaard beheer en dataopslag. Dit zal bij meer bedrijven gebeuren... je denkt dat ze Nederlands zijn, maar veel wordt vanuit de US tak opgelegd.
Patriot Act is van toepassing op ELKE organisatie met een vestiging in de US. CSC kan dus nooit aan de gevraagde verklaring voldoen, maar ook veel europese organisaties met een aanwezigheid in de US niet. Echter, aangezien de data dus niet in handen is van CSC is het de vraag of er echt sprake van een risico is.
De Patriot Act is tot leven gekomen in 2001 onder Bush. Toen was al af te leiden dat dit gevaar zeer reeel was. Dit is weer een bewijs dat het EPD niet tot de bodem is uitgezocht. De coordinator trekt daarbij wel een beetje laat aan de bel.

Tegenwoordig leveren wij al speciale diensten aan Amerikaanse bedrijven waardoor zij niets meer te vrezen hebben van deze Partriot Act.

Wat ik hiermee wil zeggen is dat de overheid hetzelfde kan gaan doen bij CSC. En indien de boel bij CSC failliet dreigt te gaan, dan blijft de overheid eigenaar en beheerder van het EPD.

Pas geleden had ik Alexander Klopping nog een tweet gestuurd:

"@AlexanderNL Is er nog sprake van een "medisch geheim" indien de gevens van het #EPD centraal worden opgeslagen bij een derde partij? "

Ik heb van hem nog geen reactie ontvangen, maar misschien dat hier knappen koppen zijn die dit kunnen toelichten.
Het CBP heeft geoordeeld dat de data op het Landelijk Schakelpunt geen medische gegevens zijn. En dat is logisch; er staat een verwijsindex, niet meer niet minder. Een matrix, met o.a. een kolom met BSN, en een kolom met een nummer. Dat nummer verwijst naar een systeem waarop een bepaald type medische informatie is opgeslagen.

Een verwijsindex is volkomen nutteloos als je op zoek bent naar medische data. Zoals minister Schippers gisteren al zei: het gevaar zit in de huidige systemen. Die zijn verouderd, onveilig, en het CBP heeft al twee regionale systemen afgekeurd op basis van WBP2.
Zoveel Nederlandse ICT bedrijven en experts, gaat al niet goed met de economie en dan gaan we een Amerikaanse club inhuren om het EPD op te zetten? Gek he die werkloosheid....

Wat mis ik hier?

[Reactie gewijzigd door Fairy op 30 november 2012 15:07]

Er is een ontwerp gemaakt door Nictiz die dit soort dingen doet voor de overheid. Dit is aanbesteed en de goedkoopste was kennelijk CSC. In de specs ( kan je even opzoeken bij Nictiz) staat dat CSC niet in de payload zelf mag kijken. Of ze dat ook echt niet kunnen lijkt me twijfelachtig, maar daar is dus een jaar of 7 geleden wel over nagedacht.

Let wel, dit is hier ook al vaker aangegeven dat de centrale DB alleen een index is. Dus als je aangeeft niet mee te willen doen worden je gegevens door je huisarts of apotheek niet in die index geplaatst. De huisarts moet deze gegevens bij een vraag opleveren, en kan dus ook inzien wie wat opvraagt. Als dat de VS is, zouden ze dat moeten faken of zoiets, maar desgevraagd kan de huisarts dan navraag doen wie deze persoon is ( dan zijn de gegevens uiteraard al wel over de lijn gegaan). Technisch zou je zelfs in het locale systeem alleen bepaalde artsen etc toe kunnen laten. Helpt het systeem wel een beetje overhoop omdat je dan op de SEH nu weer net niet bij de gegevens kan.

CSC zou eventueel wel een tap kunnen zetten, op alles of specifiek, maar daarvoor dienen dan de gezochte gegevens toevallig langs te komen en dat zou het contract schenden.
Maar is het gewoon niet zo dat veel databases MS-SQL zijn, dus de VS kan die ook allemaal inzien, dat is natuurlijk ook niet zo. Dus CSC levert de software op welke in beheer is van een nederlandse stichting of iets en hebben daarna geen toegang meer tot de db of het netwerk.
Ik vermoed dat je het niet mist, maar het zegt wel wat over de belangen die met deze data gemoeid zijn. Daarnaast is er iets wat in dit soort zaken goed moet blijven beseffen is dat de Amerikaanse overheid gretig gebruik maakt van private bedrijven om hun (al dan niet smerige-) zaakjes te regelen, Blackwater is een hele bekende maar die strategie hebben ze "gewoon" doorgezet.

In dat licht vind ik het dan ook een no-go om dit soort zaken aan Amerikanen uit te besteden. Een ding weet je zeker: dit wordt niet in ons belang gedaan, hier spelen hele andere belangen en geld zal er waarschijnlijk een grote in zijn.
Het is zo wie zo een no go.
Degene die dit plan hebben bedacht en uitbesteed mogen ook wel eens aan hun tand gevoeld worden.

De Nederlandse overheid heeft een plicht zijn burgers en privacy te beschermen en mogen zich niet laten beÔnvloeden door economische of andere instanties/overheden die niks met het Nederlandse volk te maken heeft.

Willens en wetend heeft de overheid het toch aan deze partij uitbesteed en dus hun eigen volk gewoon voor de gek gehouden. Het lijkt me toch noodzakelijk dat de overheid eens goed moet gaan inzien dat het voor ons de burgers werkt en niet andersom.

Er worden gewoon miljarden euro's verspild en de burger mag er uiteindelijk weer voor opdraaien. De overheid moet doorhebben waar ze staan. Het volk mag ze dan wel gekozen hebben maar het volk kan ze ook weer laten vallen.
Tjonge kerel. Als je je zo verveelt dan is wellicht een cursusje Nederlands welbesteed.
Ik snap nog steeds niet waarom er niet gewoon een gedecentraliseerd pasjes systeem wordt ingevoerd? Waarom al dit risico lopen met centrale opslag?
…ťn:

Lezen; Het is gťťn centrale opslag

Twťť: Wat nu als je je in het zuiden van het land woont, en op stap gaat in Groningen. Stel; je bent allergisch voor penicilline en krijgt dit toegediend door een arts in Groningen, omdat hij dit niet wist?

DrŪť: Hoe denk je dat het systeem NU werkt? Kan dat vele malen veiliger?
- Het kon veiliger door het niet aan een bedrijf in het buitenland uit te besteden;

- Het kon veiliger door het volk beter voor te lichten en ook het volk in te lichten waar men zijn gegevens kan beheren;

- Ook de code van de ontwikkeling door meerdere professionals van verschillende bedrijven te laten controleren;

- Men kan ook nog eens het systeem zo ontwerpen zodra iemand bij de gegevens heeft gekeken dat de patiŽnt automatisch een email/sms ontvangt met de gegevens van wie bij de gegevens heeft gezeten en op welk tijdstip, welke locatie;

- Het systeem niet windows afhankelijk maken zoals nu, er zijn veel huis artsen die op een Mac werkten, dit had men op zijn minst ook moeten ondersteunen;

Er zijn teveel punten en vraagtekens.
En als men dit door wil voeren dan vind ik dat er een referendum hoort te komen en alle aspecten aan de orde komen, kortom er mag niks voor de burger verzwegen worden.

Tevens vraag ik mij af hoe het zit met de webservice en encryptie, hoe wat en waar.
Bovendien, als je allergisch bent tov penicilline en je bent niet aanspreekbaar, veel succes dan met het vertrouwen op een EPD in de cloud. Als het goed is heeft de dokter on Groningen geen behandelsrelatie met je en kan hij niet bij je gegevens. Had ik toch liever een pasje bij me gedragen.
Post 1 "hoe het nu werkt", zonder HIS-sen te noemen:
- Een landelijk overkoepelend Client / Server systeem
- Een landelijk overkopelend webbased systeem
- Verbind niemand (buiten eigen HIS) met elkaar (wat nu juist mijn issue is)

Post 2 "voorbeeld" antwoord (kort, ik weet het, maar je ging zelf ook in op een hypotetisch voorbeeld... ):
- BSN natuurlijk...


Buiten dat, wil ik je vragen wat er op het pasje zou moeten staan... En hoeveel informatie kun je kwijt op een pasje? Wat nu als je mťťr ruimte nodig hebt dan een paar regels? Medische informatie, zoals episoden of journaalregels passen ťcht niet op een pasje - en die zijn wel benodigd voor goede kwaliteit zorg.


Buiten dit alles wil ik je ook wijzen op de stijgende kosten in de zorg. Ik zeg niet dat een centraal systeem direct kosten kan drukken, maar het werkt wel toe naar een efficienter zorgstelsel. Iets wat we absoluut nodig hebben. Als dit pakket in (en door) Nederland ontwikkelt wordt, levert dit direct werkgelegenheid en breidt het onze kenniseconomie uit; we kunnen de door onze gebruikte technieken natuurlijk toepassen op het buitenland en dit levert geld en werkgelegenheid op lange termijn op.


Sorry voor de snelle reactie; stap zo de deur uit

[Reactie gewijzigd door TheNymf op 30 november 2012 16:57]

Buiten dat, wil ik je vragen wat er op het pasje zou moeten staan... En hoeveel informatie kun je kwijt op een pasje? Wat nu als je mťťr ruimte nodig hebt dan een paar regels? Medische informatie, zoals episoden of journaalregels passen ťcht niet op een pasje - en die zijn wel benodigd voor goede kwaliteit zorg.
Ruimtegebrek? Laten we zoeken naar een oplossing! Wat jij doet is de geboden oplossing proberen te passen in de problemen die we hebben in dit land, dat is andersom redeneren.
Buiten dit alles wil ik je ook wijzen op de stijgende kosten in de zorg. Ik zeg niet dat een centraal systeem direct kosten kan drukken, maar het werkt wel toe naar een efficienter zorgstelsel. Iets wat we absoluut nodig hebben. Als dit pakket in (en door) Nederland ontwikkelt wordt, levert dit direct werkgelegenheid en breidt het onze kenniseconomie uit; we kunnen de door onze gebruikte technieken natuurlijk toepassen op het buitenland en dit levert geld en werkgelegenheid op lange termijn op.
Daar ga je weer, er zijn problemen met onze zorgkosten, okť... Dus dan moeten we maar accepteren dat er een vanuit het bedrijfsleven opgedrongen oplossing komt?

De totale blindheid waarmee jij dit big brother systeem goedkeurd is waarom politici zich denken gedekt te voelen door het volk.
En hoeveel informatie kun je kwijt op een pasje?
Gigabytes als het moet.
Om even idee te krijgen:
De Nederlandstalige Wikipedia (een van de grootste wikis) telt op dit moment 1.132.138 artikelen, en heeft een omvang van ruim twee gigabytes.
Wikipedia past dus gewoon heel vaak op een USB stick, of op een memory card.
;)
Als je alergisch ben voor peneciline, dan zou het verstandig zijn om een kaartje met die informatie in je portemonaille te dragen.

Maar over ruimtegebrek: als ik zie hoeveel informatie je tegenwoordig kwijt kan op een SDHC kaartje (64GB ofzo?), dan kan het wat dat betreft niet moeilijk zijn om een digitaal pasje te ontwikkelen dat ruim voldoende capaciteit heeft...
Denk je echt dat op een moment dat seconden tellen, een verpleegkundige of arts eerst vijf minuten met een pasje en een pincode gaat knoeien? Als jij noemenswaardige allergieŽn hebt of medicijnen gebruikt doe je er goed aan dat direct herkenbaar op je lichaam te dragen en niet weggestopt ergens op het internet.
Hoe het nu werkt? Ik neem aan een systeem wat de lokale databases van alle hulpverleners op gestandaardiseerde wijze met elkaar verbind. Dit betekent toegankelijke data, waarbij "centraal" misschien niet het juiste technische woord is, en zou misschien "melagomaan" moeten heten. Je kan mij niet vertellen dat een pasjessysteem met info op het pasje het niet voor heel veel mensen betrouwbaarder maakt. Verantwoordelijkheid bij de burger, wat betreft meenemen etc. Nierpatienten zullen dat heus wel doen als ze naar Groningen gaan.

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 Edge Apple Watch Project CARS Nest Learning Thermostat Games

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True