Artsen testen veiliger alternatief elektronisch patiëntendossier

Amsterdamse huisartsen gaan een alternatief voor het elektronisch patiëntendossier testen dat veiliger zou zijn en betere privacybescherming zou bieden. Het systeem, de Whitebox genaamd, is ontwikkeld door een onderzoeker van de UvA.

De Whitebox is een fysiek kastje dat bij artsenpraktijken geïnstalleerd wordt. Het systeem regelt de toegang tot dossiers per patiënt en voorziet in versleutelde verbindingen met andere artsen. De arts kan derde partijen, zoals de apotheek, toegang tot gegevens uit de patiëntendossiers geven, maar de bedoeling is dat dit uitsluitend gebeurt na overleg met de patiënt.

Voordeel van de plaatsing bij de arts zelf zou zijn dat de uitwisseling van gegevens juridisch en technisch beschermd wordt door het beroepsgeheim, stellen de initiatiefnemers. Daarnaast noemt de ontwikkelaar van de Whitebox, UvA-onderzoeker Guido van ‘t Noordende, de eenvoud als voordeel. "Het is kleinschalig en staat dicht bij de manier waarop zorgverleners werken. Patiëntgegevens zijn daardoor beter te beschermen." In het najaar begint een proef met twintig huisartsen in Amsterdam, die patiëntgegevens opvraagbaar maken voor de avond-, nacht- en weekendposten.

De uitwisseling van medische gegevens blijkt al jaren een lastig vraagstuk. Jaren geleden stuurde de overheid aan op de invoering van een systeem voor een elektronisch patiëntendossier, maar dat kwam niet door de Eerste Kamer wegens beveiligingsbezwaren. Uiteindelijk kwam er een vergelijkbaar systeem waar de overheid niet bij betrokken is en waar patiënten toestemming voor moeten geven.

Dit systeem is mede gefinancierd door de zorgverzekeraars. De gegevens lopen hierbij langs een centraal toegangspunt, het Landelijk Schakelpunt, dat door critici als een beveiligingsrisico wordt gezien. Ook waren artsen bang dat de toegang uiteindelijk door de zorgverzekeraars en overheidsinstanties bepaald zou worden en vreesden ze inperking van het beroepsgeheim.

Het project is een initiatief van de Huisartsenkring Amsterdam-Almere en Whitebox Systems, een spin-off van de Universiteit van Amsterdam, opgericht door beveiligingsonderzoeker Guido van ‘t Noordende.

Door Olaf van Miltenburg

Nieuwscoördinator

10-09-2015 • 08:44

148 Linkedin

Submitter: Ozzy

Reacties (148)

148
138
115
7
1
0
Wijzig sortering
Misschien een ontzettend kinderachtig kleine correctie, maar hoort de titel niet tussen aanhalingstekens te staan? Het is namelijk nog niet aangetoond dat dit systeem veilig is, laat staan veiliger.

Zoals hierboven in de comments genoemd kennen we het protocol waarop de encyptie is gebaseerd niet. Daarnaast zit het in een testfase en kunnen er dus nog best fouten in het systeem zitten die (ten dele) de encryptie ondermijnen, er vanuit gaande dat de encryptie sterk is.

Zoals bijvoorbeeld bij de NOS al gemeld heeft het systeem ook mogelijk nadelen. De 'eigenaar' van de data, de behandelend arts, moet namelijk iedere partij autoriseren. Zo wordt opgemerkt dat daardoor in spoedgevallen (bijv.: ziekenhuis opname) data niet beschikbaar kan zijn, doordat de arts bijvoorbeeld geen beschikking heeft over een computer en dus geen toestemming kan geven. Maak je dit wel beschikbaar voor ziekenhuizen? Dan ontstaat er weer een menselijke schakel en potentiële zwakte. Ontstaat er na een tijd desinteresse door een te groot aantal aanvragers? Dan krijg je slordigheden en doe je het systeem teniet.
"In de Whitebox wordt een nieuwe standaard gebruikt, die specifiek is ontwikkeld om directe autorisatie van diverse partijen (ziekenhuizen, artsen, apothekers) in de zorg mogelijk te maken."

En daarmee zijn ze wat mij betreft direct al af. Goede encryptie protocollen maken is extreem lastig en niet 123 over te laten aan een paar studentjes (of professortjes) van de uva. Doorgewinterde researchers op het gebied van security en encryptie maken hierop nog fouten, laat staan dat zij in een keer een juist systeem op kunnen zetten.
Vooral nu de source nog 'dicht' zit, dat review proces had al lang en breed open moeten staan. Lang voordat er ook maar een productiemodel van de band af had kunnen komen.
Nu het (nog?) closed source is, is het inderdaad gissen hoe het in elkaar zit. Alleen betekent "een nieuwe standaard" natuurlijk niet per definitie dat het een totaal nieuw protocol is. Je kunt een bestaand (encryptie)protocol gebruiken en de wijze van implementatie "een nieuwe standaard" noemen. Niet het protocol, maar de werkwijze (workflow) is in dat geval de standaard.

Zeker gezien de vage antwoorden in de FAQ lijkt me het voor de hand liggend dat een marketeer meer invloed heeft gehad in de keuze voor "een nieuwe standaard" als omschrijving dan een ontwikkelaar.

[Reactie gewijzigd door StephanVierkant op 10 september 2015 09:46]

Sterker nog, "nieuw" kan hier zelfs betekenen "niet eerder is gebruikt door de voorgaande elektronische patientendossiers in Nederland".
Uit hun site:
De standaard is zoveel gebaseerd op standaard web technologie, zoals web services, om adoptie door de Zorg-ICT sector eenvoudig mogelijk te maken.
Maar wie zegt dat het closed source is?
Volgens hun website:
[...] de source code is niet open in de zin dat we deze weggeven, maar de code is wel open in de zin dat deze inspecteerbaar is door derden. De beveiliging van ons product moet namelijk onafhankelijk gecontroleerd kunnen worden. We gaan hiervoor een 'published source' model gebruiken. De code is dan wel inzichtelijk, maar niet (commercieel) bruikbaar voor derden.
Publieke inzichtbaar maken kost vaak veel tijd omdat er advocaten enzo er mee moeten bemoeien en alles moeten checken. Als de code geaudit is door een derde onafhankelijke partij (wat vaak met goede security projecten gebeurd) dan is het niet perse noodzakelijk dat de publieke inzicht voor de pilot al helemaal klaar is.
Helemaal eens. En vergeet deze zin niet:
Dit systeem is mede gefinancierd door de zorgverzekeraars. [...] Ook waren artsen bang dat de toegang uiteindelijk door de zorgverzekeraars en overheidsinstanties bepaald zou worden en vreesden ze inperking van het beroepsgeheim.
Een zeer terechte vrees. Zorgverzekeraars doen van alles om meer informatie over patienten te krijgen. Om wat voorbeelden te geven:

1. Informatie wordt opgevraagd bij huisartsen, want dat mag wel -- die overigens ook nog vaak een bonus krijgen als ze minder mensen doorverwijzen.
2. Prijsafspraken bij ziekenhuizen worden zo gemaakt dat de oorspronkelijke behandelingen weer terug te herleiden zijn.

(2) heeft wat toelichting nodig, is best evil. Stel je hebt als prijzen 100,15 en 100,22 op 2 behandelingen. Als je vervolgens 200,37 declareert weet je gewoon dat het een combinatie is van 1x de eerste en 1x de tweede behandeling. Dat gaat goed zolang de getallen niet op elkaar deelbaar zijn. Wordt helemaal 'leuk' als ze copriem zijn zoals dit voorbeeld...

Ik ga mijn akkoord als patient hier niet voor geven.
Ik kan het niet goed uit je reactie halen maar met dit systeem is mede bedoelen ze dus de LSP (Landelijke Schakelpunt) en niet de whitebox. De whitebox is dus niet gefinancierd door zorgverzekeraars zover ik kan zien.
Ik denk dat je gelijk hebt, maar het is wel een beetje onduidelijk gesteld in het artikel.
Dat maakt dus dat we inmiddels 3 elektronische registratie systemen hebben voor patiëntengegevens. Het EPD, het LSP en dit decentrale Whitebox systeem.

In het ergste geval kunnen de gegevens van een Amsterdamse patiënt, die goed van vertrouwen is, zich in drie parallelle registraties bevinden.

Afgezien van enkele conventies die me wel aanspreken (betere regie van patiënt wat aan wie te delen, notificaties aan beheerder gegevens) vind ik het jammer dat we nu de geboorte van de derde systeem moeten zien. Waarom geen doorontwikkeling van wat al bestaat? De fragmentatie die nu op kan treden is ook niet goed.

Het argument
Het is kleinschalig en staat dicht bij de manier waarop zorgverleners werken. Patiëntgegevens zijn daardoor beter te beschermen
klinkt mij niet als rationeel in de oren. Waarom is een decentraal systeem veiliger da een centraal systeem? Voor beiden zijn pro en con argumenten te noemen, maar die zijn vooral kwalitatief.

Ik zie in de encrypted box nog onvoldoende waarborg dat mijn gegevens bij huisarts x veilig zijn, hoe verantwoordelijk deze persoon ook met het beroepsgeheim omspringt. Een stapje vooruit, maar voor mij is dit systeem nog onderweg naar morgen.

[Reactie gewijzigd door teacup op 11 september 2015 07:39]

Dit is vast ook niet perfect; ik weet niet eens hoe het precies werkt. Maar wat vind je dan van het argument dat decentraal opslaan ervoor zorgt dat een boef niet in één keer met een enkele kraak heel veel gegevens kan buitmaken?
Minder data op een plek is een van de pro's die ik in gedachten had inderdaad. Maar dan nog ligt het beheer bij de huisarts en kan alleen via de huisarts een autorisatie worden afgesproken.

In een eerdere EPD discussie heb ik wel geopperd om de gegevens bij de patiënt te leggen, van mijn part in een onderhuidse geheugenbank. Maar hiervan is het de vraag of iedereen met die verantwoordelijkheid kan omgaan. Het is wel de meest extreem doorgevoerde decentralisatie van gegevens. De medische computernetwerken doen dan alleen dienst als tijdelijke interface.
Ik snap je uitleg mbo de prijs niet zo...
Als zorgverleners iets declareren worden gewoon de codes aangegeven wàt ze hebben uitgevoerd samen met je polisnummer...ze weten dus sowieso precies wie welke zorg heeft ontvangen...alleen bij psychologie worden pas sinds kort diagnoses gedeeltelijk verborgen...

Bepaalde informatie heeft een verzekeraar ook wel nodig om te kunnen vergoeden natuurlijk.

Maar ja, met deze informatie kunnen ze theoretisch inderdaad nare dingen doen als ze willen

edit: ik weet echter niet precies hoe dit bijv. bij huisartsen zit, ik werk met name met paramedici

[Reactie gewijzigd door myskylinedrive op 10 september 2015 10:05]

Anoniem: 631029
@M3!10 september 2015 12:26
@M3!
Ik vind dat je ongelijk hebt.
Die personen van de UVA pakken het juist veel beter aan. Whitebox Systems gebruikt opensource technieken.
Dus geen proprietary closed source meuk wat je hedendaags veel ziet in het 'bedrijfsleven' waardoor men in een vendor lockin zit met alle gevolgen van dien. B.v. security through obscurity.

Ik ben er trots op klant te mogen zijn van VUMC UHP ;) (altijd fijn als je netjes een brief thuis krijgt met verzoek tot delen clientgegevens en je ja of nee kan antwoorden)

Keep up the wise development en respect privacy whiteboxsystems.nl.

[Reactie gewijzigd door Anoniem: 631029 op 10 september 2015 21:27]

Waar haal je in vandaan dat ze opensource technieken gebruiken? Het enige wat ik uit de FAQ kan halen is dat ze het inzichtelijk gaan maken en niet of ze wel de juiste opensource technieken hebben gebruikt. Er zijn namelijk zat opensource libraries die volledig lek zijn of crap zijn.
Anoniem: 631029
@Rutix10 september 2015 21:21
Van de website van whitebox systems. Zie de link in vorige posting.

Quote:
'Betrouwbaarheid staat centraal: de Whitebox werkt met open-source technologie zoals Linux, geoptimaliseerd voor de Whitebox. Dit maakt het systeem robuust en veilig.'.

Opensource is open, zodat als je iets ziet wat zoals jij het noemt lek of crap is, je of anderen het aan kan passen, en iedereen die het gebruikt er weer beter van wordt.

[Reactie gewijzigd door Anoniem: 631029 op 10 september 2015 21:31]

Ze zeggen zelf dat ze whitebox niet open source maken dus ik vraag me echt af hoe ze dat gaan fixen met licenties want zo ver ik weet is linux gpl ;)
Anoniem: 631029
@Rutix11 september 2015 13:40
Waar staat dat dan?
Op hun site:
Is het systeem open source?

Nee, de source code is niet open in de zin dat we deze weggeven, maar de code is wel open in de zin dat deze inspecteerbaar is door derden. De beveiliging van ons product moet namelijk onafhankelijk gecontroleerd kunnen worden. We gaan hiervoor een 'published source' model gebruiken. De code is dan wel inzichtelijk, maar niet (commercieel) bruikbaar voor derden.

Met de UvA werken we aan een systeem waarmee gecontroleerd kan worden welke (source) code op een Whitebox draait. Zodra dit systeem af is zullen we de code van de Whitebox via een published source model beschikbaar stellen. Wanneer het zover is zullen we dit aankondigen via onze website.
Anoniem: 631029
@Rutix11 september 2015 21:15
Quote:
maar de code is wel open in de zin dat deze inspecteerbaar is door derden. De beveiliging van ons product moet namelijk onafhankelijk gecontroleerd kunnen worden. We gaan hiervoor een 'published source' model gebruiken. De code is dan wel inzichtelijk, maar niet (commercieel) bruikbaar voor derden

En dat is nou juist goed.
Ja maar niet echt open source want GPL verbiedt bijvoorbeeld niet dat je er niet commercieel gebruik van mag maken. Ik vraag me dus af hoe ze dat gaan doen met de licenties.
Anoniem: 631029
@Rutix11 september 2015 21:37
Goedgenoeg voor het doel wat velen willen. Kunnen controleren of het echt veilig is.
In Nederland hebben we anders wel uitstekende wiskundigen op onze universiteiten zitten. Die zou ik niet direct willen diskwalificeren.
Klopt, hij isIT onderlegd met een specialisme in data beveiliging.
http://www.uva.nl/over-de...g.j.van--t-noordende.html

Hoeveel mensen er nog meer aan gewerkt hebben en hoe breed dit getest is, kan ik nergens terug vinden.
De quote die je aanhaalt staat onder het kopje 'Wat voor communicatiestandaard wordt in de Whitebox gebruikt?'
Het gaat dus over een communicatiestandaard en niet over een encryptie protocol. Zoiets als HL7 (een bestaande communicatiestandaard voor de gezondheidszorg), maar dan moderner.
Daarbovenop kun je dan een beveiligingslaag als SSL gebruiken.

Natuurlijk zijn ze bij de UvA niet zo gek dat ze gaan proberen een eigen encryptie protocol te gaan invoeren.
Die "sutdentjes" (ik vermoed PhD studenten) en "professortjes" zijn nou juist net degene die je later aanhaalt; de "doorgewinterde researchers".
Want iedereen op de Universiteit is een koekenbakker?
Anoniem: 475099
@M3!10 september 2015 11:50
Goede encryptie protocollen maken is extreem lastig en niet 123 over te laten aan een paar studentjes (of professortjes) van de uva. Doorgewinterde researchers op het gebied van security en encryptie maken hierop nog fouten, laat staan dat zij in een keer een juist systeem op kunnen zetten.
Die "studentjes" in dit artikel hebben commerciele belangen. De wetenschappelijke wereld krijgt in het algemeen meer commerciele belangen. Dat zet vraagtekens bij de neutraliteit van de wetenschappelijke belangen.
Even toch een paar vraagtekentjes:

- Hoe worden de gegevens versleuteld in het systeem Whitebox?
- Hoe worden de gegevens verstuurd? (VPN/Versleuteld publiek en plaatselijk?)
Aangezien andere artsen zelf ook een whitebox hebben, echter worden apotheken e.d. dan ook voorzien?
- De bedoeling is met toestemming van de patiënt... hoe wordt dit gecontroleerd en hoe wordt er gewaarborgd dat dit niet ten onrechte wordt gedaan?
- Hoe wordt gegarandeerd dat de gegevens niet eerst langs een centraal punt gaan?

- Hoe wordt de whitebox beveiligd tegen stelen e.d. uit de praktijk

just my two cents...

[Reactie gewijzigd door WimOBL op 10 september 2015 08:51]

De antwoorden zijn allemaal te vinden op https://hka-pilot.nl/faq_technisch/ ;)
Kan uit de faq niet opmaken wat er gebeurd als de unit gestolen wordt. Lees niets over backups van de dossiers. Enkel iets over backups van log files. Dus Whitebox weg, dossier weg?

[Reactie gewijzigd door desert spider op 10 september 2015 09:27]

Voor de ingewijde lezer is het prima duidelijk met de zinssnede "De Whitebox is een hardware module, gekoppeld aan het HIS, waarmee een huisarts heel precies de communicatiestromen van en naar de praktijk kan regelen."
Het is kortom een soort van gateway. De medische data staat dus primair in de HIS. Dit blijkt ook uit het kopje backup wat expliciet gaat over loginfo etc wat bij een gateway functie past.

Als je de achtergrond van het veld met voorheen NICTIZ AORTA, LSP, etc. en de eerdere publicaties van Guido v N. kent dan is wel duidelijk hoe dit is ingestoken. Nu nog iemand die deze oplossing langs zijn eerdere publicaties legt.

Dit heeft alles weg van een soort decentraal EHR met ook decentraal beheer van autorisaties. De grote onderzoeksvraag die m.i. openstaat is hoe medische professionals daarmee in de praktijk om zullen gaan (empirisch onderzoek usable security!) omdat grote aanbieders het meestal niet aandurven. Tevens vraag ik mij af of er een optie inzit om de patient een rol in de autorisaties te geven en de mogelijkheid te geven wie info heeft opgevraagd.

Een probleem wat nog wel speelt waarschijnlijk en waar de auteur eerst ook tegen te hoop liep is de slechte omgang met UZI passen etc waaronder het niet strikt persoonlijk gebruik en delegatie.
Volgens mij doet de Whitebox alleen de encryptie/authorisatie en blijft de data op de PC van de arts staan. Whitebox logs backups worden versleuteld extern opgeslagen. De medische gegevens blijven op de PC van de arts en zullen via de normale backup procedure opgeslagen moeten worden.

Als de unit gestolen wordt, kunnen de gegevens niet meer benaderd worden door derden.
Ik heb een poging gewaagd dat te lezen maar snap er werkelijk de ballen niet van.

Je krijgt dingen als

"Bij het installeren van de Whitebox wordt deze eerst aangemeld bij de Hapbox via een speciaal beveiligd protocol"
en vervolgens
"De HAP dient te beschikken over een Whitebox voor de HAP, de Hapbox."

Lijkt wel een kip-ei debat
Nou ga ik ervan uit dat er geen Hapbox bestaat maar dat ze een grappige naam moesten verzinnen voor het kastje dat bij huisartsen staat en dat ze met installeren bedoelen aanmelden van een Whitebox naar een ander willekeurig Whitebox.

Zoals het hier staat lijkt het meer op een interne kantoor vpn link waarbij er altijd maar 1 hapbox bestaat als centrale unit.
HAP staat voor Huisartsenpost. Het gaat hier volgens mij om de uitwisseling van gegevens tussen huisartsenpraktijk en huisartsenpost. Vrij simpel dus: om gegevens te kunnen uitwisselen, moet zowel de huisartsenpraktijk als de huisartsenpost beschikken over een Whitebox.

Huisartsen leveren overdag zorg vanuit hun eigen huisartsenpraktijk. 's Avonds en 's Nachts werken ze samen en leveren zorg vanuit de huisartsenpost. Deze is vaak gevestigd op het ziekenhuisterrein, in de buurt van de Spoedeisende Hulp (SEH). Zo wordt voorkomen dat mensen 's avonds en 's nachts onnodig gebruik maken van de dure SEH. En huisartsen hoeven hierdoor niet 24 uur per dag zorg te leveren, zodat ze ook eens een avondje vrij hebben.
Ik snap ook wel waar HAP voor staat. Het gaat om het technische plaatje.
Alleen een verbinding tussen het praktijk en een post is niet echt logisch ook niet als eerste uitrol plan.
Je kan dat gewoon met een VPN van de post naar de praktijk in een standaard beveiligde omgeving doen.
Dit Whitebox is dus bedoeld om een verbinding tussen huisartsen, apothekers en ziekenhuizen te maken.
Het moet waarschijnlijk een soort van P2P web structuur krijgen met authenticatie wat loopt via UZI profielen.
Het is al ingewikkeld genoeg mbt het technische gedeelte laat staan dat je rare namen gaat bedenken voor het apparatuur aan de hand van het locatie het zich in bevindt.
Als je op elke locatie een identieke "Whitebox" installeert moet je niet aankomen met namen als Hapbox, Atbox, Zhbox of zelfs benaming gaan maken mbt bepaalde specialisme afdelingen.
OK, duidelijk. Dan had ik je niet goed begrepen. Ik kan me alleen wel voorstellen dat niet iedereen op Tweakers bekend is met het zorgjargon. Vandaar. :)
De antwoorden zijn allemaal te vinden op https://hka-pilot.nl/faq_technisch/ ;)
Leuk en aardig allemaal, maar ik ken daarop niet lezen wat er gebeurt als de box defect raakt voordat de laatste backup is opgeslagen. Wordt die backup automatisch opgeslagen elke minuut? Kan de arts een nieuwe whitebox kopen en binnen 24 uur weer patienten bedienen? Moet de huisarts zijn praktijk sluiten in de tijd dat zijn whitebox defect is? Hoe moet de huisarts data opvragen als zijn whitebox defect is? Wat te doen bij brand: wordt er ook een whitebox geplaatst op een externe locatie als backup?
We weten allemaal uit ervaring dat als je een leek het beheer geeft over zo'n whitebox, dat die denkt "hey, de whitebox werkt goed. Dus instellingen zoals backupfrequentie of uberhaupt backups maken hoeft niet meer want ik heb die whitebox reeds aan de praat gekregen".

Voorbeeld ter onderbouwing van het laatste: in het verleden zijn er veel WiFi-hotspots geweest zonder beveiliging. Mensen verdiepten zich niet in de beveiliging van hun WiFi-netwerk want het werkt toch al? Zo gaat het ook met backups en andere dingen die je pas nodig hebt in een noodsituatie.
Moet de huisarts zijn praktijk sluiten in de tijd dat zijn whitebox defect is? Hoe moet de huisarts data opvragen als zijn whitebox defect is?
Ik mag hopen dat die whitbox alleen nodig is voor toegang door derden. En dat de huisarts gewoon kan werken op zijn eigen systeem. Zoals nu ook gebeurt.
De antwoorden zijn zelfs voor deze niet techneut nogal algemeen. Een schematisch overzichtje van de architectuur en de gebruikte standaarden zou leuk zijn.

Zeker omdat ik de indruk krijg dat het een Single Point Of Failure kan zijn. Confidentiality en integrity zijn geweldig maar zonder availability van weinig waarde als je bewusteloos op de eerste hulp terecht komt.
Het toepassen van standaarden is een ding, het goed toepassen een ander.
Het ook dat kan fout gaan: SSL2 is een standaard, SSL3 ook het is (was) beveiligd.
En als de sleutels beperkt worden tot de voor Export goedgekeurde varianten (56 bit key etc) dan is het zelfs met de nieuwere TLS varianten bal...

Ik verwacht minimaal IPSEC als carrier bescherming met minimaal 2K Public key als startpunt, en minimaal AES-128 als data encryptie.

Daarnaast staat er data op deze doos? (opslag?) is die encrypted opgeslagen, of de PC van de huisarts, staat het daar encrypted of is een eenvoudige PC/Whitebox diefstal een goudmijn.
Als de data er niet op staat dan staat er een ander systeem achter en is dit een luxe layer 6 message router... In dat geval hoe is de beveiliging op het systeem erachter...
Is de data op de Doos versleuteld? of volstaat het stelen van de kast om sleutels te bemachtigen (kast openbreken en flash rom dan wel disk uitlezen.

Kortom een hoop vragen.. Juist over technische details die het verschil maken.
Ah de beveiligingsonderzoeker heeft zo te zien niet gedacht aan beveiliging. /s
Valt mee:
Doen jullie updates aan de systemen van artsen?
Ja. We zorgen er uiteraard voor dat de implementatie van de Whitebox zo goed mogelijk beveiligd is en blijft. Dat betekent dat we regelmatig beveiligingsupdates uitvoeren. Automatische updates van het intern gebruikte Linux systeem en van de Whitebox-toepassingen zijn bij de licentie van het systeem inbegrepen. Op termijn willen we overigens alle updates op source-code nivo verifieerbaar maken. Zie het volgende blokje.

Is het systeem open source?
Nee, de source code is niet open in de zin dat we deze weggeven, maar de code is wel open in de zin dat deze inspecteerbaar is door derden. De beveiliging van ons product moet namelijk onafhankelijk gecontroleerd kunnen worden. We gaan hiervoor een 'published source' model gebruiken. De code is dan wel inzichtelijk, maar niet (commercieel) bruikbaar voor derden.

Met de UvA werken we aan een systeem waarmee gecontroleerd kan worden welke (source) code op een Whitebox draait. Zodra dit systeem af is zullen we de code van de Whitebox via een published source model beschikbaar stellen. Wanneer het zover is zullen we dit aankondigen via onze website.
TL;DR Updates gaan automatisch gedownload & geïnstalleerd worden en de source wordt inzichtelijk
Allereerst bedankt voor het sarcasme... Relief ;)

Het ging mij mede om de volgende zinssnede:


"Bij uw huisarts kunt u inzicht krijgen in uw gehele medisch dossier en hiervan een uitdraai vragen. Tevens kunt u via uw huisarts inzicht krijgen in de informatie die via de Whitebox wordt uitgewisseld. Dit is een professionele samenvatting, de beknopte samenvatting van uw medish dossier. Er wordt gewerkt aan een mogelijkheid om uw gegevens via een account te kunnen inzien, bijvoorbeeld vanaf uw computer thuis. Zo'n account moet u bij uw huisarts vragen."

Ondanks dat ik het zelf dus aanvraag (let op id diefstal) is het in de toekomst mogelijk om een samenvatting in te zien zonder in het bezit te zijn van ofwel de whitebox ofwel één van de passen...

Hiernaast de vraag, een beveiligingsonderzoeker is deze opgeleid om beveiliging te schrijven, te onderzoeken of te breken?
Alle drie deze zaken zijn verschillende mindsets, waarbij ik niet uitsluit dat één en dezelfde persoon meerdere zaken kan doen tot in de puntjes.
Echter dit is zeer verschillend.

[Reactie gewijzigd door WimOBL op 10 september 2015 09:37]

Het is juist de samenvatting (medicijn gebruik, allergien etc) die uitgewisseld wordt, verder niets. Het is niet zo dat deze samenvatting makkelijk beschikbaar is.
En hierin zit direct het gevaar. De meeste artsen gaan niet heel secuur met hun computersysteem om waardorr juist zaken als medicijnen en allergien incorrect/incompleet zijn. Dit is overigens de zwakte van elk systeem. Je hebt alle zorgverleners nodig voor een compleet dossier. Huisarts, apotheek, specialist en anderen. Zolang de huisarts zichzelf als dossierhouder ziet gaan er ongelukken gebeuren.
Anoniem: 167912
@WimOBL10 september 2015 22:21
- Hoe wordt de whitebox beveiligd tegen stelen e.d. uit de praktijk
Een terechte opmerking, maar waarom zou dit niet gelden voor alle vroegere en huidige manieren van werken? Elke arts heeft in zijn praktijk electronische en zelfs nog papieren patiëntendossiers die gestolen kunnen worden, net zoals er constant medische gegevens per post (en zelfs per email) worden verstuurd.
[typefoutje]Artsen i.p.v. arsten[/typefoutje]

Ik vraag me af waarom dit veiliger is? Zo`n kastje kan toch gestolen worden en ergens anders aangesloten zijn? Stel in de vakantie van een huisarts, dan heeft die de eerste periode niet door dat zijn kastje weg is.
Hangt van de versleuteling af, maar de meeste zijn uiteindelijk wel te kraken. Dat kastje moet natuurlijk een serververbinding ergens hebben, zodat als je vanaf een andere plaats inlogt, je weet bij welk kastje je moet zijn (soort DNS server, maar dan patiënt naar kastje i.p.v. URL > IP).

Mijn grootste punt is voornamelijk: "alles gaat stuk" (zo ongeveer het mantra bij Microsoft Azure als ik de mensen van Microsoft mag geloven), dus dit kastje ook. En dan?
Oftewel: hoe is de backup geregeld?
Dit kan je gewoon lezen op de website van de 'white box':

Whitebox gebruikt versleutelde back-ups. Gegevens - zoals logfiles - van de Whitebox moeten regelmatig geback-upt worden. Dit zijn overigens geen medisch-inhoudelijke gegevens, maar deze moeten wel bewaard blijven. De Whitebox maakt met regelmaat back-ups van alle gegevens op de Whitebox (dit zijn geen medisch-inhoudelijke gegevens dus; deze staan alleen in het huisartssysteem). Deze backups worden versleuteld voordat deze opgeslagen worden op een centrale server. De versleuteling vindt plaats met een sleutel die alleen de klant heeft. Zo heeft alleen de klant toegang tot de back-ups van zijn of haar data.

[Reactie gewijzigd door Noeandee op 10 september 2015 11:01]

versleuteling maakt geen drol uit als ze 't password kwijtraken.

En het password hangt boven de computer opgepend op een briefje natuurlijk.
Zo werkt dat overal natuurlijk :)
En het password hangt boven de computer opgepend op een briefje natuurlijk.
Tegenwoordig is het risico van een digitale inbraak vele malen groter dan het risico van een fysieke inbraak. Mits het een lang genoeg wachtwoord is met genoeg complexiteit, dan is de sticky note in de portemonnee tegenwoordig helemaal zo gek nog niet.
Als jij digitaal kunt inbreken kun je ook een keylogger achterlaten. Dat lukte op de uni al 1e jaars studentjes begin jaren 90 op unix machines. Dat gaat op die windows machines HELEMAAL SIMPEL.

Dat lukt tegenwoordig dus een 12 jarige nog.

Versleuteling is alleen handig op het moment dat je machine online komt, omdat je dan via krakkemikkige 30 euro routertjes online komt - die zo simpel te kraken zijn dat het niet eens een uitdaging is voor professionals.

In zo'n geval is het een horde die een aantal consultants zal tegenhouden. Dus het is geen overbodige luxe, begrijp me goed.

Iets wat echter ZOVEEL GELD waard is, daar komen de pro's op af. Die hacken je kraken je en rommelen net zo lang tot ze binnenkomen op 1 of andere manier. Is het niet fysiek dan wel digitaal.

En dan zien ze Miep dus dat password intikken dat met een briefje boven de computer hangt.
En het password hangt boven de computer opgepend op een briefje natuurlijk.
Heb je het handschrift van een arts wel eens gezien ? Dat is al versleuteling op zich..
Aangezien 90% van de kleine bedrijfjes geen goede backup policiy hebben, denk ik dat je er veilig vanuit kunt gaan dat er geen goede backup geregeld is.
Nee dat kan niet. Zoals ik het lees, heb je daarvoor ook nog een HAPbox voor nodig en een speciaal UZI pasje. En er wordt zoals hier in reacties beweerd wordt ook geen gebruik gemaakt van wachtwoorden. Je krijgt gewoon te maken met tokens, die alleen worden uitgedeeld aan daartoe bevoegd personeel (huisartsen). En er moet ook een aanvraag klaarstaan voor inzage, anders zie je zowiezo niets. Dus tenzij je een HAPbox, UZI pas en inside kennis hebt, over wanneer er een aanvraag voor overdracht klaarstaat (lees telefoon tap ofzo), kan je vrij weinig met een whitebox alleen.

De versleuteling verwijst naar de SSL verbinding. Welke type encryptie e.d. wordt niet genoemd logischerwijs.
En er moet ook een aanvraag klaarstaan voor inzage, anders zie je zowiezo niets.
En er wordt altijd geschermd met het nut dat men in een dossier kan kijken als ik langs de kant van de weg lig na een ongeluk. Dat zou het twijfelachtige gemak zijn voor de hulpverlener. Nou moet er ineens een aanvraag ingediend worden ? !
''Belt U maandag even terug, dan is uw verzoek ingevoerd..''
Dat kan nu toch ook? Het is minder open van karakter. Minder mensen hebben (automatisch) toegang tot je dossier.
zal heus wel nog een andere beveiliging opzitten ook waardoor je niet zomaar overal kan inpluggen met dit apparaat. Zo kunnen ze makkelijk voor zorgen dat apparaten die een tijd niet meer in het netwerk zitten gedactiveerd worden. Daarnaast staan de gegevens niet op het apparaat zelf maar kan het apparaat ze ophalen en delen.
Kijk je kunt hele veilige procedures verzinnen en wat gasten die werken bij de MIVD die gaan dat tot de letter uitvoeren.

Maar je kunt mensen die in de gezondheidszorg werken niet zien als lui die je ueberhaupt zo'n procedure ZOU KUNNEN LEREN.

Alles wat te maken heeft met electronische patientendossiers is gewoon een enorme inbreuk op iedereen's privacy. Als het maar ERGENs electronisch staat, dan betekent dit dat half Nederland daar kan inloggen of als het lokaal ergens electronisch staat, dan komen al die consulenten weer langs.

Want die komen enkel af op waar GELD mee valt te verdienen. Handel in patientgegevens in deze.
Dit is onzin. Als je de website bekijkt dan zie je ook dat je praat zonder dat je gelezen hebt hoe eea werkt. Niet iedereen (en zeker niet "half Nederland") kan inloggen op het systeem.
Allereerst krijgen zo min mogelijk zorgverleners toegang: van een gegeven patiënt zijn de gegevens alleen door (vaak slechts tijdelijk) geautoriseerde partijen opvraagbaar. Partijen die niets van doen hebben met de zorg voor de patiënt krijgen dus gewoon geen toegang. Via een hack van een systeem buiten de kring van geautoriseerde partijen kan een hacker zich daarom geen toegang verwerven tot gegevens van deze patient. Dit betekent dat het aanvalsvlak voor patientgegevens veel minder groot is dan het geval is bij landelijke of (grotere) regionale systemen.
zie hier
Jaren geleden stuurde de overheid aan op de invoering van een systeem voor een elektronisch patiëntendossier, maar dat kwam niet door de Eerste Kamer wegens beveiligingsbezwaren. Uiteindelijk kwam er een vergelijkbaar systeem waar de overheid niet bij betrokken is en waar patiënten toestemming voor moeten geven.
Zou er nu eindelijk eens een keertje netjes omgegaan kunnen worden met de terminologie in dit vakgebied? Een EPD is simpelweg een elektronische versie van het papieren patienten dossier. Iedere huisarts, ieder ziekenhuis heeft EPDs van haar patienten. De invoering die enkele jaren geleden is tegengehouden, was van het Landelijk SchakelPunt (LSP), een infrastructuur waar zorgaanbieders zich op aan konden sluiten om EPDs uit te wisselen. Dus EPDs bestaan al, het LSP is tegengehouden.
Een EPD is simpelweg een elektronische versie van het papieren patienten dossier.
Het papieren dossier bij de huisarts, ja.
En het EPD is tegenwoordig het grote gekoppelde nationale patientendossier met vele haken en ogen.
Het EPD bestaat niet. Noem het dan het landelijke EPD, of heb het over het LSP. Een EPD is een patientenrecord in het systeem van een huisarts of in een ZIS.

[Reactie gewijzigd door the_shadow op 10 september 2015 16:42]

Doe je best. Als ik het elektronische patientendossier EPD noem denken de meeste mensen niet meteen aan het dossiertje op de computer bij de huisarts op tafel.
Dat komt primair door de algehele laksheid in het gebruik van de term door de media. Best grappig, want daardoor krijg je patienten die op de achterste benen gaan staan als ze horen dat hun zieken huis een EPD van hen heeft.
Het LSP bestaat ook nog steeds, alleen neemt de overheid niet meer de leiding over de invoering hiervan.

Voor de duidelijkheid, het LSP regelt enkel de inzage van data die lokaal bij de zorgaanbieders is opgeslagen. Er worden strenge veiligheidseisen gesteld aan aangesloten systemen. In die zin voegt dit nieuwe initiatief mijns inziens helemaal niets toe.
Het onbegrijpelijke aan EPD is dat niet de patiënt maar de belanghebbenden centraal staan.

Als ik invloed zou hebben, zou ik de volgende requirements willen toevoegen:
- Patiënt heeft (thuis) inzage in al zijn medische gegevens (incl. uitslagen, foto's, medicatie etc.).
- Patiënt (in noodgevallen de familie) bepaalt wie wat mag zien (arts, fysiotherapeut, zorgverzekeraar, overheid, werkgever, levensverzekeraar, ...)

Als de veiligheid niet voor elkaar is, moet zo'n systeem sowieso afgeschoten worden.

Patiënten worden in de Nederlandse zorg behandeld als onkundige, onmondige, onnozele pinautomaten die betutteld moeten worden.
Die eerste eis is leuk, maar is op het moment zelfs al niet het geval. Op het moment dat jij om een kopie van je patientgegevens vraagt, dan krijg je niet het volledige dossier. Sommige aantekeningen van een arts kunnen daar uit gelaten worden.
Formeel is het zo dat persoonlijke werkaantekeningen geen onderdeel van het medsiche dossier zijn, in die zin vallen ze ook niet onder regelgeving met betrekking tot het medisch dossier.

Bij persoonlijke werkaantekeningen moet je denken aan tijdelijke vragen, gedachten, indrukken, vermoedens die alleen van waarde zijn voor de gedachtevorming van die betreffende arts die ze heeft gemaakt (zodra ze worden gedeeld zijn het uiteraard eigenlijk ook geen persoonlijke werkaantekeningen meer). Vaak komen dergelijke aantekeningen ook niet eens in het fysieke (of elektronische) dossier terecht, want ze zijn ook nooit voor andermans ogen bestemd, terwijl het dossier dat wel is.

Een andere reden een patient delen van het dossier niet te laten inzien is als belangen van anderen (zwaarwegend) zouden worden geschaad door het delen ervan. Vroeger had je ook de zogenaamde 'therapeutische exceptie", waarbij zaken niet hoefden te worden gedeeld als het de patient zelf zou schaden als hij ze zag, maar die bestaat in principe niet meer.

[Reactie gewijzigd door begintmeta op 10 september 2015 17:09]

Dat eerste is in steeds meer zkh mogelijk
Dat tweede is precies hoe t momenteel werkt en wat dus wel vertraging kan veroorzaken
Altijd maar de ophef over privacy bewaken en baas zijn over eigen dossier. Zorgverleners willen jouw dossier niet delen om eens flink te lachen over je anale wratten, je rare fobieen of die stiekeme penisvergroting in azie waar wat complicaties bij kwamen kijken. Ook hebben zij er geen enkel belang bij om jou gegevens door te verkopen aan verzekeraars of hypotheekverstrekkers want dat zou met het huidige systeem dan allang gedaan worden. Gegevens zijn voor kwaadwillenden nu ook te hacken maar dat gebeurd tot heden nooit. De reden voor het delen van patienten gegevens is zodat de dokter bv weet van jouw latex en penniciline allergie als je comateus een spoedoperatie moet ondergaan. Dit is vooral in patientenbelang dus.
Niet om te lachen om je rare kwaaltjes. Wel om ziektes die mogelijk in de toekomst voor serieuze claims kunnen zorgen. En als jij nu al bij die verzekeraar zit, weten ze dat wellicht al, maar als dat zaken uit het verleden zijn, weten ze dat niet. En daar is serieus geld mee te verdienen voor hun.

Natuurlijk is het doel nuttig: in noodsituaties snel kunnen zien of je een speciaal geval bent (allergie, bepaalde medicatie, medisch verleden dat relevant kan zijn) maar doe nou niet alsof er geen andere partijen interesse in jouw medische historie hebben.
Maar de instanties die willen weten of je risico loopt om arbeidsongeschikt te worden of chronische ziektes hebt vragen daar nu ook om. Tenminste ik heb meerdere keren bij overstappen van zorgverzekeraar en bij het afsluiten van mijn hypotheek vragenlijsten moeten invullen. Je kan dan natuurlijk liegen. Ik ben misschien naief maar ik geloof nooit dat er op grote schaal patientengegevens gehackt gaan worden en aan dergelijke bedrijven verkocht worden, simpel omdat zodra ze er hun beleid op aanpassen dit direct bekend is en dan hangen ze omdat ze op illegale wijze de informatie hebben verkregen. Ik ben met iedereen eens dat er doemscenarios te bedenken zijn waarin pietje geen baan krijgt omdat uit zijn dossier blijkt hoge kans op hart en vaatziekten te hebben en ze liever iemand aannemen die tot zijn 68e gezond kan blijven doorwerken voor de baas. Maar de informatie is nu ook beschikbaar door ziekenhuizen en huisartsenposten te hacken want er bestaat al een EPD en de meeste systemen zijn vermoedelijk zo lek als een mandje. Als er zoveel geld en macht mee gepaard gaat gaan die hackers echt niet wachten tot er een overkoepelend systeem komt maar was deze informatie allang op straat.
Maar nogmaals ik zal wel naïef zijn
De reden voor het delen van patienten gegevens is zodat de dokter bv weet van jouw latex en penniciline allergie als je comateus een spoedoperatie moet ondergaan.
Aangezien dat van mij en voor mij en de artsen helemaal niet bekend is, heb ik dus niks aan een wereldwijd toegankelijk medisch dossier. Als ik langs de kant van de weg ineens allergisch blijk voor penicilline ga ik gewoon dood of zo. Ook met een dossier waar dat niet in staat, want niet bekend.
In jouw dossier zal dus ook weinig zitten wat artsen gaan willen inzien. Als iedereen privacy zo belangrijk vindt lijkt mij een lijst van bekende allergieen, Chronische ziekten en huidig medicatiegebruik alles wat noodzakelijk is voor artsen om direct te weten. Overige gegevens kunnen altijd later opgevraagd worden met toestemming van patient of vertegenwoordiger. Je wilt als arts ook niet bedolven worden onder niet direct relevante informatie hetgeen wat het oude papierendossier zo lastig maakt. Maar als je in de auto aangetroffen wordt en de arts kan in het ziekenhuis direct inzage hebben in je medische voorgeschiedenis kan dat tijd schelen met diagnostiek en daarmee levensreddend zijn. Ook voorkomt inzage in huidige medicatie fouten bij het voorschrijven omdat het nu soms onnodig lang duurt om exacte medicatie te achterhalen.
Als iedereen privacy zo belangrijk vindt lijkt mij een lijst van bekende allergieen, chronische ziekten en huidig medicatiegebruik alles wat noodzakelijk is voor artsen om direct te weten.
Dat en een bloedgroep. Lijkt me in eerste instantie voldoende, naast identificatie en nummer van de huisarts
Hoe zinvol dat is vraag ik me af. In de praktijk zal men op basis van een ooit bepaalde bloedgroep in een dossier of op een papier eigenlijk nooit bepaalde bloedgroepgevoelige producten toedienen. Het is vaak sowieso niet nodig dergelijke producten te gebruiken, maar als men het doet zonder eerst de mogelijkheid te hebben gehad een sneltest te doen, kiest men eigenlijk altijd voor de zekerheid voor het product met de hoogst compatibele antilichaam- of antigenconfiguratie voor alle mogelijke bloedgroepen

[Reactie gewijzigd door begintmeta op 10 september 2015 21:29]

In de praktijk zal men op basis van een ooit bepaalde bloedgroep in een dossier of op een papier eigenlijk nooit bepaalde bloedgroepgevoelige producten toedienen.
Mooi toch.? Dan weten ze genoeg. Medicijngebruik a,b, en c, Allergie onbekend. Bloedgroep A+. Graag cremeren in een simpele kist, Geen bloemen, en muziek van Jan Akkerman.
Als dat alles was, dan waren we er wel uit. Maar ik vrees dat er meer aan de hand is. Big Data is een nieuw fenomeen en wordt ook nog eens door velen onderschat. Dat er goeie dingen mee gedaan kunnen worden is fijn, maar het misbruik baart 'Big' zorgen. Er woedt een stiekeme strijd: welke commerciële partijen zullen in een paar jaar de samenleving domineren via een beslissende voorsprong in kennis van wat mensen doen, willen en kunnen? Willen we dan pas gaan proberen het democratisch proces weer te reanimeren, dat zal lastig zijn in die situatie!
Ik vraag met al tijden af, waarom er geen mogelijkheid is, dat de patient zijn eigen gegevens bewaart, bijvoorbeeld op zijn telefoon. Je bent dan de beheerder van je eigen gegevens en beslist zelf wie je die gegevens laat inkijken, hoe je ze beveiligt en waar je ze backupt. Ik heb er tot nu toe van afgezien de medische stand een blanco volmacht te geven mijn gegevens te delen. Mijn medische gegevens zijn in mijn visie van mij en niet van medici, die ik er voor betaald heb ze te vergaren.
Dat beheren jij en ik misschien goed, maar stel je eens voor dat jan en alleman met hun (gevoelige) info gaat rondlopen ..

Ok, het is nog steeds hun eigen risico, maar toch.
Dat van Jan en alleman is misschien waar. Evengoed belemmert zo'n benadering mij wel over mijn eigen gegevens te beschikken en die als het nodig is direct beschikbaar te hebben. Anderen beslissen over het (niet) gebruik er van en maken het mogelijk dat handige derden er mee aan de haal gaan.
Voorbeeld van zoals het nu gaat: de behandelend arts van mijn vrouw had recent voor haar behandeling gegevens nodig over een operatie die ze 10 jaar geleden had ondergaan en vroeg mij die op te vragen. Deed ik. Anderhalve maand later nog niets van het betrokken ziekenhuis gehoord. Gegevens zijn nu niet meer nodig. Conclusie: die gegevens waren op het moment dat ze nodig waren niet beschikbaar.
Vaak zijn gegevens overigens in een archief, in een plaats die 100 km verder is.
En als jij je telefoon thuislaat, batterij leeg is, telefoon stuk is, telefoon gejat is... is je dossier ook niet op de plaats waar je die nodig hebt. En als jij voor pampus op de OK ligt en je telefoon is niet toegankelijk voor de artsen heb je misschien heel fijn je dossier bij je, maar kunnen ze er nog steeds niets mee.

Overigens is info van 10 jaar geleden sowieso nog info uit het stenen tijdperk... Digitaliseren van gegevens uit het verleden gaat helaas wat langzamer (minder prio) dan actuele informatie erin opslaan.
En als er waterschade is, internet het niet doet: altijd is er een storingsmogelijkheid.
Hoe meer schakels, hoe meer mensen er bij zijn betrokken, allemaal kansen dat er iets verkeerd kan gaan. Ik ben graag baas over mijn eigen gegevens. Gaat er dan iets fout, dan ben ik er zelf verantwoordelijk voor.
Essentieel is een heel ander probleem: de huisarts is slechts de beheerder van het medisch dossier. Het dossier is en blijft wettelijk gezien van de patiënt. Is het dan niet vreemd dat het digitale dossier fysiek in de huisartsenpraktijk wordt opgeslagen?

Alternatief is een off-line digitale versie voor de patiënt, maar wie garandeert dan dat medische gegevens up to date en adequaat worden bewaakt? De kennis van de doorsnee patiënt schiet op dat front te kort. Online delen is ten alle tijden gevoelig voor cybercrime en fraude, dus uit den boze. Dit is een lastig vraagstuk.

Natuurlijk moet de patiënt toestemming geven om de gegevens te delen met andere zorgverleners, maar de informatievoorziening en toestemmingsverklaring zijn zeer slecht geregeld. Immers, wanneer een huisarts je doorverwijst (naar ziekenhuis, fysiotherapeut) vindt er dataoverdracht plaats zonder dat een patiënt daar expliciet op gewezen wordt, laat staan dat hij/zij toestemming verleend.
Bovendien heeft de patiënt maar zeer beperkt (eigenlijk: niet) invloed op hetgeen gedeeld wordt. Is alles even relevant? Maar geef de zorgconsument daarin de vrije hand en vitale informatie voor de volgende zorgverlener in de keten kan ontbreken met alle gevolgen van dien.

Tot slot nog de gemiddelde intelligentie van de Nederlander. Die snapt niet dat de zorg in bijvoorbeeld ziekenhuis, apotheek of fysiotherapeut suboptimaal wordt geleverd, ja, zelfs direct schadelijk voor de gezondheid kan zijn, als gegevens in zijn geheel niet gedeeld worden. Dat men dat willens en wetens doet, is uiteraard een individuele afweging en beslissing, maar in zo'n geval moet de zorgplicht (tezamen met alle juridische claims en verantwoordelijkheden) worden opgeschort bij betreffende zorgverlener.

Het delen van elektronische patiëntendossiers - of dit nu via LSP gaat of onder een andere naam - is een heel moeilijk vraagstuk op gebied van beveiliging en privacy. Misschien moeten we het medisch beroepsgeheim zo zwaar laten wegen als het zou moeten zijn en van hieruit concluderen dat het delen van medische gegevens tussen beroepsbeoefenaren volgens de wet BIG (met tuchtrecht) in het kader van de behandeling voor een specifieke aandoening van de patiënt, voldoende beschermend is om te zorgen dat de gegevens veilig zijn.

[Reactie gewijzigd door ralphilosophy op 10 september 2015 09:18]

Essentieel is een heel ander probleem: de huisarts is slechts de beheerder van het medisch dossier. Het dossier is en blijft wettelijk gezien van de patiënt. Is het dan niet vreemd dat het digitale dossier fysiek in de huisartsenpraktijk wordt opgeslagen?
Dat is niet zo, de algemene visie is dat het dossier van de arts is, de belangrijkste wettelijke bepalingen, ook in lijn daarmee, zijn artikelen 454-456 BW:7. Daarnaast is het dossier gewoon uiterst zinvol voor het dagelijk werk van de arts, daarom ligt het ook praktisch nogal voor de hand dat het wordt bewaard door de arts.
Alternatief is een off-line digitale versie voor de patiënt, maar wie garandeert dan dat medische gegevens up to date en adequaat worden bewaakt? De kennis van de doorsnee patiënt schiet op dat front te kort. Online delen is ten alle tijden gevoelig voor cybercrime en fraude, dus uit den boze. Dit is een lastig vraagstuk.
Beveiliging van gegevens is inderdaad belangrijk, het moet in mijn ogen vooral ook zo lastig mogelijk worden om grote hoeveelheden gegevens ineens te kunnen buitmaken, een echt gerichte 'aanval' op individuele dossiers (of artsen), zonder voorbehouden of tijds- of andere limieten, zal met grote waarschijnlijkheid uiteindelijk altijd kunnen slagen, eventueel ook door het martelen van de arts ;). In die zin snap ik ook wel dat dit voorkomen als ik het goed begrijp een van de doelen van het 'whitebox-project/product' is.
Die toestemming is voor de handlezend natuurlijk. Natuurlijk moet de patiënt toestemming geven om de gegevens te delen met andere zorgverleners, maar de informatievoorziening en toestemmingsverklaring zijn zeer slecht geregeld. Immers, wanneer een huisarts je doorverwijst (naar ziekenhuis, fysiotherapeut) vindt er dataoverdracht plaats zonder dat een patiënt daar expliciet op gewezen wordt, laat staan dat hij/zij toestemming verleend.

Bovendien heeft de patiënt maar zeer beperkt (eigenlijk: niet) invloed op hetgeen gedeeld wordt. Is alles even relevant? Maar geef de zorgconsument daarin de vrije hand en vitale informatie voor de volgende zorgverlener in de keten kan ontbreken met alle gevolgen van dien.
Dat zou niet zo moeten zijn, in principe moet overdracht van gegevens, of het nou mondeling, op papier of digitaal is, altijd met de patient worden besproken. (zie daarvoor ook artikel 457). Dit is ook in lijn met de richtlijnen over medisch beroepsgeheim en privacy die door artsen(organisaties) worden gehanteerd, waarbij wel (zeer uitzonderlijke) uitzonderingen bestaan.
Tot slot nog de gemiddelde intelligentie van de Nederlander. Die snapt niet dat de zorg in bijvoorbeeld ziekenhuis, apotheek of fysiotherapeut suboptimaal wordt geleverd, ja, zelfs direct schadelijk voor de gezondheid kan zijn, als gegevens in zijn geheel niet gedeeld worden. Dat men dat willens en wetens doet, is uiteraard een individuele afweging en beslissing, maar in zo'n geval moet de zorgplicht (tezamen met alle juridische claims en verantwoordelijkheden) worden opgeschort bij betreffende zorgverlener.
Ik weet niet precies wat je hiermee bedoelt. In iedergeval is het zo dat een arts altijd moet nagaan of een patient een weloverwogen keuze maakt.

Op zich kan overdracht van gegevens in veel gevallen prima op papier verlopen, soms vergeet een patient (of arts) natuurlijk wel eens een brief, maar meestal is dat geen onoverkomelijk probleem, ook onmiddelijke toegang is niet altijd noodzakelijk.

[Reactie gewijzigd door begintmeta op 10 september 2015 15:06]

[...]

Dat is niet zo, de algemene visie is dat het dossier van de arts is, de belangrijkste wettelijke bepalingen, ook in lijn daarmee, zijn artikelen 454-456 BW:7. Daarnaast is het dossier gewoon uiterst zinvol voor het dagelijk werk van de arts, daarom ligt het ook praktisch nogal voor de hand dat het wordt bewaard door de arts.

[...]
Begrijp me niet verkeerd: ik ben het hier op zichzelf mee eens. Ook meest praktisch als het gaat om schiften in relevante versus irrelevante informatie. Gaan we met het BW alleen niet te kort door de bocht? Deze vraag is in het verleden meermaals door (tucht)rechters beantwoord. De arts is misschien wel eigenaar van het dossier (en beschermheer/beschermvrouwe) met alle verantwoordelijkheid van dien, de privacy van de patiënt weegt echter in nagenoeg alle gevallen zwaarder (gelukkig maar).

Bovendien, als ik van huisarts zou wisselen kan ik het dossier zelf aanpassen alvorens het aan te bieden bij een nieuwe huisarts. Ook apart he? De ex-huisarts mag het dossier namelijk niet delen zonder mijn toestemming, draagt het aan mij over en ik kan er vervolgens uit verwijderen wat ik zou willen (het waarom hier even buiten beschouwing latend)...
Zoals ik in mijn eerdere post al had aangegeven is natuurlijk nog meer geregeld en heeft de patient invloed (zoals naast in de wgbo ook buitenwetttelijk/binnen de arts-patientrelatie wordt geregeld)

Bij een overdracht, zoals eigenlijk op elk moment, kan een patient inderdaad zaken laten verwijderen (met weer uitzonderlijke uitzonderingen (ook weer gerelateerd aan enige wetgeving en/of jurisprudentie)), maar bijvoorbeeld het KNMG-advies is er vrij duidelijk over dat overdracht van huisarts naar nieuwe huisarts bij voorkeur rechtstreeks zou moeten gaan.

Uiteindelijk is 'het medisch dossier' ook niet echt 'eigendom' van ofwel patient of arts, meer een documentatie van (resultaten van een) een proces tussen patient en arts, ze hebben er theoretisch ook allebei baat van en belang bij. Het beste zou denk ik theoretisch zijn als een derde partij het dossier zou beheren, maar dat is praktisch onhaalbaar (ook los van bijvoorbeeld kostenaspecten etc), en het zou nog een partij toevoegen aan de spreekkamer waar doorgaans geen belang bij is en wiens aanwezigheid/tussenkomst eventueel ook weer negatieve gevolgen zou kunnen hebben. Om praktische redenen is het laten beheren van het fysieke dossier door de arts het verstandigst zou ik zeggen.

Praktisch gezien is het denk ik wel van groot belang dat vastleggen en desnoods overdracht van medische gegevens tijdig gebeurd, er zijn diverse redenen waarom dat niet altijd zo goed loopt als men zou willen. Digitaal vastleggen en uitwisselen kan sowieso lang niet al die punten verbeteren (denk dan bijvoorbeeld aan tijdgebrek bij vastlegging etc), maar wel sommige (geen wachttijden voor post, makkelijk beschikbaar maken en doorzoekbaar maken van dossiers)

[Reactie gewijzigd door begintmeta op 10 september 2015 15:54]

Met dit systeem is het onmogelijk patiënten toegang te geven tot hun eigen gegevens, terwijl die juist de controle over het systeem zouden moeten hebben.

@Blorf
Het laatste waar men op zit te wachten is dat de patiënt zelf zich ermee gaat bemoeien.
Dat zou toch het uitgangspunt moeten zijn omdat de patiëntcontrole langzaam maar zeker in de wetgeving zal worden opgenomen en men anders bij elke wetswijziging een ander systeem moet gaan ontwerpen.

'Mijn' ideale opzet is dat er eerst een database komt van de zorgverleners enerzijds en profiel met account voor patiënten anderzijds en dat daarna de mogelijkheid wordt gebouwd dat de patiënt zorgverleners kan koppelen om de een toegang te verlenen tot de informatie van een ander. Dit geeft ook de mogelijkheid een koppeling weer te verbreken; op dit moment geldt namelijk voor toestemming 'eens gegeven blijft gegeven'.

[Reactie gewijzigd door Kalief op 10 september 2015 10:10]

Volgens mij is dat ook het 'probleem' met het hele EPD-verhaal. Transparantie. Welke gegevens worden en opgeslagen en uitgewisseld met wie? Dat kan technisch eenvoudig in kaart gebracht worden waarna ongewenste uitwisseling van informatie selectief geblokkeerd kan worden. Maar de medewerking van overheid, huisartsen en andere medische instanties blijft minimaal. Het laatste waar men op zit te wachten is dat de patient zelf zich ermee gaat bemoeien.
Als je het mij vraagt is deze oplossing een plakband-methode. De bestaande infrastructuur blijft liggen en daaraan toegevoegde 'kastjes' gaan bepalen wat er allemaal mag.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee