Nederland is nog niet klaar voor EPD

Pilots met het elektronisch patiëntdossier wijzen op technische problemen en onduidelijkheid over privacy en aansprakelijkheid. Ook is de informatiebeveiliging bij ziekenhuizen onder de maat. De minister loopt te hard van stapel.

Minister Klink maakt tempo met het invoeren van het landelijk elektronisch patiëntdossier (LEPD). Eind 2009 moet het LEPD al ingevoerd zijn. Begin november ontvingen alle burgers hierover een aankondigingbrief. Hoe lovenswaardig dit streven ook is, uitvoerbaar is het beslist niet. Twee recente pilots bevestigen dit. Wij pleiten voor een realistisch scenario met een looptijd van ten minste vijf jaar.

Via het LEPD moeten alle zorgverleners veilig en snel actuele informatie kunnen opvragen uit computers van andere zorgverleners. De gegevens van de patiënt bewaart het LEPD niet. De zorgverlener kan de gegevens via een zoekmachine, het Landelijk Schakel Punt (LSP), opvragen uit dossiers elders. Daarmee blijft de verantwoordelijkheid voor de gegevens bij de zorgverlener die ze heeft ingevoerd. De informatie in patiëntendossiers is vertrouwelijk, een zorgverlener moet dus een geldige reden hebben om gegevens op te vragen.

Alleen zorgverleners met een elektronisch paspoort kunnen het dossier via het LEPD raadplegen. Hij dient bij zijn aanvraag het patiëntnummer van de betreffende patiënt te vermelden. Als de patiënt bezwaar heeft gemaakt tegen gegevensuitwisseling kan de zorgverlener het dossier niet raadplegen. Het LEPD legt vast wie wanneer welke informatie heeft ingezien, zodat kan worden gecontroleerd of de inzage rechtmatig was. Eventueel misbruik kan dan worden bestraft.

In de aankondigingbrief staat dat het LEPD het maken van fouten moet voorkomen. De brief gaat echter niet in op de complexiteit van dit voornemen, noch wordt een meer concreet moment genoemd waarop het LEPD ingevoerd moet zijn, dan ‘eind 2009’. Vreemd, want aan de betrokken zorgverleners heeft de minister via de Tweede Kamer laten weten dat hij het LEPD al op 1 september 2009 werkend wenst te hebben. Dat schept verwarring.

De invoering van het LEPD klinkt simpel, maar dat is het beslist niet. Er zijn in Nederland ruim 8000 huisartsen, circa 100 ziekenhuizen, bijna 2000 apotheken en bijna 1500 verloskundigenpraktijken. Momenteel gebruiken zij zeer verschillende elektronische informatiesystemen, elektronische dossiers, datacommunicatie netwerken en protocollen. De minister wil dat alle zorgverleners binnen één jaar informatie kunnen uitwisselen via het LEPD. Twee recente pilots in Winterswijk en Rotterdam, waarover deze krant in december berichtte, toonden onoverkomelijke technische problemen, naast onduidelijkheid over privacy en aansprakelijkheid.

Dit neemt niet weg dat het LEPD alom als zinvol wordt gezien. Het dient de veiligheid en maakt de zorg efficiënter en vriendelijker voor de patiënt. Ondanks dat het grote belang van het LEPD al meer dan vijftien jaar wordt onderkend, hebben alle inspanningen van onder meer huisartsen, specialisten en ziekenhuizen tot op heden weinig opgeleverd. Niet verwonderlijk, omdat deze schakels los van elkaar zijn georganiseerd en gefinancierd. Daarom is vaak gevraagd om coördinatie, inclusief het beschikbaar stellen van geld. Veel geld, omdat het dwingend afstemmen, ombouwen en invoeren een zeer omvangrijke en dus dure klus is.

Aan het waarborgen van de privacy wordt veel aandacht besteed. Daarbij gaat het niet om eenvoudige afscherming, maar om het omgaan met gegevens die soms wel, maar veel vaker niet toegankelijk mogen zijn. Ook moet de vraag worden beantwoord van wie het LEPD is en wie eindverantwoordelijk is. Er is veel voor te zeggen om de patiënt eigenaar te maken. Maar dat lost niet alles op, want wie mag iets aan het dossier toevoegen en of weghalen? Wat mag er met de gegevens, al dan niet geanonimiseerd, gebeuren? Is populatieonderzoek toegestaan, daar waar het om de volksgezondheid gaat? Er is nog veel te winnen: het aantal mensen dat op het internet zoekt naar het begrip ‘griep’ blijkt een betere maat te zijn voor het actuele aantal grieplijders dan de formele registratie van de overheid.

De invoering van het LEPD in Europese landen geeft ons bruikbare informatie. Wat blijkt? Vaak is er sprake van centrale coördinatie door de overheid. Dat is overigens geen garantie voor succes. Wel is de beschikbaarheid van een integrale ICT-infrastructuur van grote waarde. Soms wordt gebruik gemaakt van reeds beschikbare netwerken. Variant hierop is het aansluiten op (verplichte) persoonlijke elektronische identiteitsbewijzen die al beschikbaar zijn.

Ook blijkt dat het ontwikkelen en invoeren van een LEPD veel tijd kost, ten minste vijf jaar. Het overwinnen van technische problemen blijkt steeds lastiger dan gedacht. Ook de aanname dat geld wordt bespaard, komt voorlopig niet uit. In Engeland zou het LEPD op zijn vroegst in 2014, het jaar van oplevering, 1,4 miljard euro moeten besparen.

In Nederland gaat de uitrol in de proefregio’s erg moeizaam, zowel functioneel als technisch. De landelijke discussie over informatiebeveiliging helpt ook niet echt. Een gezamenlijk onderzoek van de Inspectie voor de Gezondheidszorg en het College Bescherming Persoonsgegevens bij twintig ziekenhuizen, uitgevoerd in juni 2007 maar pas recent gepubliceerd, toont dat de beveiliging bij alle twintig onder de maat zou zijn.

Samenvattend is de sympathieke ambitie voor 2009 van VWS irreëel. Vijf jaar is een veel realistischer termijn en haalbaar mits aan een aantal voorwaarden wordt voldaan. Landelijke coördinatie is gewenst waarbij VWS opdrachtgever is. Ook moet er voor een landelijke aannemer worden gekozen die, voorzien van adequate bevoegdheden en budget, de technische, functionele en beveiligingseisen oplost. Uiteraard in overleg met het veld.

Het versturen van de aankondigingbrief, als onderdeel van de communicatiestrategie, gebeurde veel te vroeg. Het past bij grote maar niet reële verwachtingen van de minister en parlement. En, nog erger, de uitblijvende resultaten laten het gevoel van onveiligheid toenemen. Voor nu is het zaak de verwachtingen aangaande het LEPD rap tot een realistisch niveau terug te brengen en eendrachtig te werken aan de realisatie.

Prof. dr. Bart Berden is lid Raad van Bestuur van het St. Elisabeth Ziekenhuis Tilburg en parttime hoogleraar organisatieontwikkeling aan de TiasNimbas Business School. Ir. Hans Candel is manager Informatisering & Automatisering in het St. Elisabeth Ziekenhuis Tilburg.

Bent u ook deskundig op dit gebied? Reageer dan op nrc.nl/expert