CBP ziet geen privacyrisico in doorstart EPD
De voortzetting van het landelijk EPD levert vooralsnog geen risico op voor de privacy van patiënten, denkt het College Bescherming Persoonsgegevens.
De voortzetting van het landelijk EPD levert vooralsnog geen risico op voor de privacy van patiënten, denkt het College Bescherming Persoonsgegevens.
Doorstart
Voor het landelijk EPD, dat afgelopen jaar door de Eerste Kamer afgeschoten is, is buiten het ministerie van VWS om een doorstartplan gemaakt. Die doorstart behelst onder andere de voortzetting van het Landelijk Schakelpunt (LSP) dat als informatieknooppunt voor het EPD is opgezet. Het CBP heeft dat Doorstartmodel tegen het licht gehouden en ziet vooralsnog geen risico's op schending van de privacy van patiënten.
Toestemming
Het CBP heeft gekeken of de nieuwe opzet aan een aantal belangrijke eisen voldoet. Zo moet volgens het College de patiënt toestemming (kunnen) geven voor verwerking van zijn gegevens. Ook moet bijvoorbeeld duidelijk zijn wie er precies toegang heeft tot de informatie en moet de beveiliging op orde zijn. Het CBP zegt te concluderen dat het Doorstartmodel geen risico's lijkt in te houden voor de privacy van personen wier gegevens in het landelijk EPD worden verwerkt. Het college vermeldt daarbij wel dat het goed in de gaten zal houden of dat in de praktijk ook zo uitpakt.
Decentraal
In het Doorstartmodel zal net als in het oorspronkelijke EPD-plan de informatie zelf decentraal bij de zorgverleners ondergebracht blijven. Het LSP werkt slechts als index en informatieknooppunt. De privacy moet onder andere worden gewaarborgd door een 'Patiënten- en Privacyraad'. Het nieuwe EPD wordt grotendeels betaald door de verzekeraars, die dan ook de zorgverleners zullen verplichten om aan te sluiten op het LSP. Die verplichting gaat in 2013 in.
Is het u bekend dat het administreren van het huidige EPD, laat staan trail en use, een enigma is? Dat dit laatste vooral fysiek op dergelijke schaal niet te implementeren is, sterker, ook in een doorstart hier geen enkele melding van is gemaakt.
Is het het CPB bekend dat persoonlijke patiëntengegevens ter hand kunnen worden gesteld van derden? Is het het CPB bekend dat het de basis van het huidige EPD, volkomen haaks staat op de meest basale eisen die zouden moeten gelden voor een gesloten systeem alleen inzichtelijk voor specialisten van ziekenhuizen?
Is het het CBP ook duidelijk dat er geen sluitende beveiliging was geïmplementeerd die garandeert dat persoonsgegevens niet kunnen worden aangepast zonder schriftelijke toestemming van de betreffende patiënt, diens gelegaliseerde vervang[st]er kan worden aangepast?
Is het het CPB bekend dat de procedurele regelgeving, gebaseerd op regelgeving, opgesteld onder voormalige excellentie heer Klink bol staat van de inconsistenties en step outs en het derhalve sluitend maken en implementeren van het EPD, alleen al op gronden die ook het CPB behelst, niet kan worden uitgevoerd.
Het is op zijn zachtst gezegd merkwaardig te lezen dat het CPB geen beletsel blijkt te zien.