Regionale elektronische patiënten dossiers in de Geestelijke
Gezondheidszorg,
een lakmoesproef voor privacybescherming?
december 1996
Inleiding
Medische informatie met betrekking tot de behandeling van een patiënt moet op grond van
de WGBO worden verzameld in een daartoe bestemd dossier (art.454 WGBO).
De gegevens uit dat dossier zijn in principe alleen maar toegankelijk voor direct bij
de behandeling betrokkenen voor zover noodzakelijk voor de door hen in dat kader te
verrichten werkzaamheden (art.457 WGBO).
Dat betekent dat:
I. Hulpverleners alleen toegang mogen hebben tot gegevens van de patiënt die zij behandelen.
II. De verstrekking noodzakelijk moet zijn voor de door hen te verrichten
werkzaamheden.
III.De verstrekking in het kader moet zijn van die specifieke
behandelingsovereenkomst.
De manier waarop informatie traditioneel wordt opgeslagen biedt echter weinig
mogelijkheden hulpverleners niet noodzakelijke informatie te onthouden.
In een algemeen ziekenhuis wordt bijvoorbeeld informatie, gegenereerd tijdens
ziekenhuisopnamen van een patiënt, opgeslagen in een papieren klinisch dossier. Lang niet
al deze informatie is voor elke nieuwe behandeling noodzakelijk. Ook is niet alle
informatie voor elke hulpverlener noodza kelijk. Zo heeft een behandelend internist andere
(waarschijnlijk meer) gegevens nodig dan de verpleging. Toch is de praktijk dat
hulpverleners inzage hebben in het gehele klinische dossier.
Men kan zich voorstellen dat het selecteren van informatie in overeenstemming met de
functiever eisten uit het dossier een moeizame en tijdrovende zaak is. Dat selecteren
blijkt dan ook voorname lijk te gebeuren wanneer derden (bijvoorbeeld huisartsen)
geïnformeerd worden over een patiënt. Wanneer er daarnaast voor elke behandeling ook een
selectie uit de in het klinisch dossier aanwezi ge gegevens moet worden gemaakt (aangezien
niet alle aanwezige gegevens noodzakelijk zijn bij die behandeling) wordt dat werk haast
ondoenlijk geacht.
Het uiteindelijke nut van een dergelijk zorgvuldige werkwijze zou daarnaast teniet
worden gedaan door het feit dat dossiers op een afdeling welhaast voor eenieder voor het
grijpen liggen. Dat laatste werd onlangs pijnlijk duidelijk in een aflevering van Radar1. Een medewerker van het programma kon zich op
afdelingen van het AMC en het VU ziekenhuis ongehinderd toegang verschaffen tot medische
dossiers die daar in grote getalen aanwezig waren, ter illustratie bladerde hij ze door en
nam er een aantal mee naar buiten.
Bij invoering van de WGBO werd druk gediscussieerd over de haalbaarheid van de
bepalingen omtrent de bewaartermijn (art.454 lid 3 WGBO)2. Ook het verwijderen van gegevens uit een dossier 10 jaar na
vastlegging zou een ondoenlijke werklast met zich mee brengen. Naar mijn mening heeft de
privacybepaling uit de WGBO minder stof doen opwaaien omdat er in de praktijk zo makkelijk
omheen gewerkt kan worden. Hulpverleners hebben weinig te klagen omdat ze haast altijd
toegang hebben tot meer gegevens dan werkelijk noodzakelijk voor hun werkzaamheden.
Het lijkt er op dat er dan aan privacy wordt ingeleverd, meer dan noodzakelijk voor de
te verrich ten werkzaamheden.
Komt dat doordat het evidente belang 'noodzakelijke gegevens' beschikbaar te willen
hebben, impliceert dat er meerdere gegevens beschikbaar moeten zijn? Hun noodzaak blijkt
immers vaak pas achteraf. Dat is wellicht ook de grondslag van de gedachte: "liever
teveel dan te weinig informatie". Betekent het vermijden van 'te weinig
informatie" dan automatisch te veel informatie? In die zin is het vastleggen van een
grotere groep gegevens ook noodzakelijk. Is dat het soort noodzakelijk dat de wetgever
voor ogen had?
Niet alleen dergelijke overwegingen blijken bepalend voor de omvang van de privacyinbreuk,
ook de bij een zorgvuldigere werkwijze behorende werklast speelt in belangrijke mate mee.
Wordt massaal de hand gelicht met de WGBO privacybepaling, of is hij gewoon minder
verstrek kend dan hij logischerwijs lijkt? Is het wellicht slechts een bepaling die bij
excessen kan worden ingeroepen?
Hoeveel informatie 'teveel'3 mag er beschikbaar
zijn om 'te weinig' te voorkomen? Hoeveel werk last rechtvaardigt 'hoeveel teveel' aan
informatie? Wanneer ontstaat er een conflict met het 'goed hulpverlenerschap'? (art.453 en
art.457 lid 3 WGBO)
Regionale Elektronische Patiënten Dossiers
"Kwaliteit van zorg" is de afgelopen jaren naast "Doelmatigheid"
speerpunt van de beleidsontwik keling in de Geestelijke Gezondheidszorg (GGz) geweest,
daarbij is er sprake van steeds verder gaande samenwerking tussen de verschillende GGz
instellingen binnen een regio.
Door deze samenwerking wordt de behoefte aan informatie-uitwisseling tussen
instellingen onder ling groter.
De kwaliteit van zorg is in belangrijke mate gebaseerd op kwaliteit en beschikbaarheid van
informa tie. Gestreefd wordt naar adequate informatievoorziening ter ondersteuning van het
primaire proces in de Geestelijke Gezondheidszorg: de psychiatrische hulpverlening. Dat
wil zeggen medi sche gegevens over patiënten.
Middels proefprojecten wordt met systemen geëxperimenteerd waarbij psychiatrische
patiëntgege vens geautomatiseerd worden opgeslagen, en onder voorwaarden, in een andere
instelling kunnen worden opgevraagd en/of bewerkt. Zogenaamde regionale Elektronische
Patiënten Dossiers (EPD's).
In het kader van het Transparant stimuleringsprogramma van het ministerie van
Volksgezondheid Welzijn en Sport is voor de ontwikkeling van, onder andere, dergelijke
systemen een groot subsi diebedrag uitgetrokken.
Het ontwerp van Regionale EPD's kan grofweg worden onderscheiden in twee typen:
-Een centrale variant waarbij gegevens worden opgeslagen in een soort regionale
databank.
-Een decentrale variant waarbij vanuit autonome ziekenhuis databanken desgevraagd gegevens
worden uitgewisseld over een netwerk.
Ook, of misschien wel juist bij de keus van het type dossiers speelt het privacy
artikel uit de WGBO een grote rol. Het heeft consequenties voor zowel de manier waarop de
informatie wordt verzameld en opgeslagen als voor de manier waarop de informatie wordt
ontsloten.
Daarbij brengt de Geestelijke Gezondheidszorg een aantal specifieke 'problemen' met
zich mee.
Immers:
- in eenzelfde instelling worden zowel vrijwillig opgenomen
patiënten als gedwongen opge nomen patiënten behandeld (BOPZ). De gegevens van BOPZ
patiënten moeten volgens die regeling ook aan bepaalde anderen worden verstrekt (art.58
BOPZ). Ook geldt voor BOPZ gegevens een andere bewaartermijn (art.2 lid 3 Besluit
Patiëntendossier BOPZ).
- de aard van gegevens is zeer gevoelig, daarbij is de betekenis
van de gegevens, ook voor buitenstaanders, duidelijker.
- de manier waarop gegevens worden vastgelegd is weinig uniform
gestructureerd en bevat een grote mate aan vrije tekst.
- er komt informatie voor over anderen dan de patiënt (familie),
verstrekt door de patiënt of door anderen (familietherapie).
- er komt informatie voor over de patiënt verstrekt door anderen.
- men bedient zich vaak van vermoedens.
- vaker dan bij de somatische gezondheidszorg is een patiënt niet
in staat tot een 'redelijke waardering van zijn belangen' en speelt curatele of
mentorschap.
Het waarborgen van de exclusiviteit van gegevens in een Regionaal EPD verdient een zeer
hoge prioriteit. Niet alleen voor de privacy bescherming in enge zin: het verstrekken van
gegevens, maar ook voor de kwaliteit van gegevens: de bevoegdheid gegevens te wijzigen.
Het laatste heeft immers nog directer gevolgen voor de kwaliteit van de zorg.
Hulpverleners moeten kunnen afgaan op de inhoud van het dossier, op basis daarvan worden
ingrijpende beslissingen genomen. Wan neer onbevoegden deze gegevens kunnen veranderen
ontstaat de mogelijkheid dat fatale fouten worden gemaakt. Het waarborgen van
exclusiviteit kan door het specificeren van bevoegdheden met betrekking tot bepaalde
gegevens en het beveiligen van het systeem tegen ontsluiting buiten die bevoegdheden om.
Hierbij kunnen zowel wijzigings- als inzagebevoegdheden worden vastgelegd.
Het ontwikkelen van een dergelijke gedetailleerde autorisatiestructuur vergt intensief
onderzoek.
Duidelijk is dat het elektronische medisch dossier als een grotere potentiële bedreiging
van de privacy wordt beschouwd. Maar waarin in verschilt het beschreven geautomatiseerde
regionale sys teem nou precies van het ouderwetse papieren traject? Waarom verschilt de
dagelijkse praktijk met betrekking tot het papieren dossier, ogenschijnlijk zo
onomstreden, met de privacybepaling uit de wet, terwijl diezelfde privacynorm bij het
geautomatiseerde systeem als vanzelfsprekend wel naar haar gehele strekking dient te
worden geïmplementeerd?
Is het het feit dat de gegevens in principe op meerdere plaatsen opvraagbaar, makkelijk
vermenig vuldigbaar en snel doorzoekbaar zijn, en het feit dat misbruik veelal
onzichtbaar, herhaalbaar en snel uitvoerbaar is? Of is de schaalvergroting de druppel die
de emmer doet overlopen: het feit dat zoveel gegevens van zoveel mensen tegelijkertijd
risico lopen?
Dit roept tevens de vraag op of de 'traditionele' privacyinbreuk tolerabel lijkt te worden
geacht door de relatief kleine schaal waarop ze plaats vindt? Klein in de zin van
betrekking hebbend op een kleinere groep mensen, toegankelijk voor een kleinere groep
mensen.
Niettemin biedt diezelfde automatisering ook mogelijkheden informatie specifieker af te
schermen. Bevoegdheden ten opzichte van informatie kunnen preciezer worden bepaald en
vastgelegd, en kunnen afhankelijk worden gesteld van behandelrelatie, behandeling, plaats,
toestemming, juridi sche status enz. Verder kan aan de hand van het vastleggen van
handelingen (logboek) misbruik worden gecontroleerd.
De eerder genoemde decentrale variant van het Regionale EPD lijkt het beste uit twee
werelden te combineren: de menselijke maat van het traditionele traject met de
gedetailleerde autorisatiemoge lijkheden van het geautomatiseerde traject. Echter ook deze
variant kent haar specifieke proble men. Zo dienen de autonome systemen de uitgewisselde
informatie zodanig te kunnen interpreteren dat geformuleerde bevoegdheden ten opzichte van
die informatie gehandhaafd blijven. Met andere woorden: de 'privacy opmaak' moet door de
aanvrager worden overgenomen. Dergelijke voor waarden waaronder uitwisseling kan
plaatsvinden kunnen worden geformuleerd in een overeenk omst. In de handelssfeer is zo'n
overeenkomst al gebruikelijk in het kader van Electronic Data Interchange (EDI). In een
'Interchange-Agreement'4 worden daar technische,
organisatorische en juridische zaken als beveiliging, logging, ontvangstbevestiging,
aansprakelijkheid en bewijsvoering geregeld.
De toenemende behoefte informatie uit te wisselen vergt de ontwikkeling van een
verstrekkings methode waarbij privacywaarborgen blijven gehandhaafd. Het papieren traject
met veelvuldig gebruik van de fax voldoet in dat opzicht namelijk ook niet5. Door deze uitwisseling vervalt eveneens het
schaalvoordeel van kleinschalige beschikbaarheid.
Conclusie
Jammer genoeg leek in de beginfase van het VWS stimuleringsprogramma beduidend meer belang
stelling te bestaan voor de automatiseringstechnische en efficiency verhogende
mogelijkheden van de systemen dan voor de juridische randvoorwaarden waaronder deze moeten
functioneren. Aandacht voor de privacyproblematiek kwam er onvermijdelijk wel, maar voor
wat betreft concre te resultaten is er vooral vooruitgang geboekt op het gebied van
technische mogelijkheden.
Gevolg hiervan is de ontwikkeling van systemen die niet voldoen aan de wettelijke
bepalingen. De privacybescherming behoeft naast aandacht ook middelen om tot oplossingen
te komen. Vooral deze concrete oplossingen drukken hun stempel op de praktijk. In het
inhoudelijk vervolg op Transparant dat wordt ontwikkeld door Zorg Onderzoek Nederland
(ZON) lijkt men van het begin af aandacht te besteden aan de juridische en ethische
aspecten. Hopelijk blijft men daarbij niet bij aandacht steken en worden eveneens
middelen vrijgemaakt voor de ontwikkeling van een techni sche en organisatorische
structuur waarbij de juridisch noodzakelijke exclusiviteit van gegevens wordt gewaarborgd.
Het maatschappelijk rendement van zo'n besteding is hoog. De vraag blijkt immers niet òf,
maar op welke termijn er Gemeenschappelijke EPD's komen6. Daarom kan de aandacht beter uitgaan naar hoe zo'n systeem
dan het best kan worden vormgegeven, want als er iets uit het voorgaande duide lijk is
geworden dan is het dat de verantwoorde ontwikkeling van Regionale EPD's in de Geestelij
ke Gezondheidszorg verdacht veel lijkt op de grote lakmoesproef voor privacybescherming.
De WGBO wordt vaak getypeerd als 'codificerend' in plaats van 'modificerend'7. De privacybepa ling uit de WGBO blijkt vooralsnog
geen van beiden te zijn. Zij beschrijft immers geen bestaande situatie en de papieren
praktijk lijkt zich evenmin te laten 'modificeren.'
Bij het Regionale EPD zijn de risico's te groot om dezelfde kloof tussen regelgeving en
praktijk te laten ontstaan als bij het papieren dossier. Dat wil niet alleen zeggen dat
hulpverleners zich niet meer dezelfde vrijheden kunnen veroorloven, maar ook dat de
juridische aandacht zich moet toespitsen op concrete oplossingen8.
Anders ontstaan er praktijksituaties waarvan vooral de patiënt, maar uiteindelijk de
gehele Gezond heidszorg de dupe wordt.
En dat terwijl het allemaal om kwaliteitsverbetering begonnen was...
Ludwig Oberendorff9
1
Tros, 7-10-1996, Nederland 2 - 19:30-20:06. Deze uitzending was voor het Tweede-Kamerlid Van Boxtel (D66) aanleiding tot het stellen van kamervragen.2
o.a. Spreewenberg, C., De Wet op de Geneeskundige Behandelovereenkomst: visie vanuit de beroepsgroep. Nederlands Tijdschrift Geneeskunde, 3 december 1994. Doppegieter, R.M.S., Vraagstukken rond het dossier. Uit: De WGBO: van tekst naar toepassing. Houten, Bohn Stafleu Van Loghum, 1995, p.74.3
NB. 'Teveel' aan informatie heeft meerdere dimensies. Het kan zowel betekenen teveel in de zin van "niet voor de functie noodzakelijk", als teveel in de zin van "niet voor de discipline noodzakelijk", als in de zin van "niet voor de behandeling noodzakelijk", als in de zin van "uitdrukkelijk aan één hulpverlener toevertrouwd".4
R.van Esch Interchange Agreements. The EDI Law Review 1. Kluwer, 1941, pp. 3-41.5
Genesen, Sharp, Genesen, Faxing medical records: another threat to confidentiality in Medicine. JAMA, 11 mei 1994, pp.1401-1402.6
voorlopige Raad voor de Volksgezondheid & Zorggerelateerde dienstverlening, Informatietechnologie in de zorg. Advies. Zoetermeer, oktober 1996.7
o.a. Gevers, J.K.M. De WGBO. De wetgever en de rechten van de patiënt. Medisch Contact, jaargang 49, 3 juni 1994.8
Daarbij kan normconforme afscherming in belangrijke mate worden gerealiseerd met behulp van automatise ringstechnische mogelijkheden.9
Ludwig Oberendorff (oberend@dds.nl) studeert Nederlands Recht aan aan de Rijksuniversiteit Leiden, afdeling Recht en Informatica. Hij verrichtte onderzoek naar de juridische privacy aspecten van Regionale Elektronische Medische Dossiers in de Geestelijke Gezondheidszorg met subsidie uit het Transparant stimulerings programma van het ministerie van VWS. Het eindrapport (http://huizen.dds.nl/~oberend/) van dat onderzoek behandelt naast de hier genoemde materie ook consequenties van overige bepalingen van WPR en WGBO voor het Regionale EPD.Partly converted by Andrew Scriven's Wp2Html Version 2.3f