Veilig schakelpunt voor zorginformatie

  1. 13 mrt 2018
  2. 0 reacties

shutterstock_759343141

Indien je met meer dan vijf partijen gaat samenwerken bij het uitwisselen van gevoelige digitale informatie, wordt het organisatorisch complex en de juridische verantwoordelijkheid voor de afzonderlijke deelnemers erg groot. Er ontstaat dan behoefte aan een partij die deze uitwisseling faciliteert en de spelregels binnen de samenwerking waarborgt. Met woorden van deze strekking verklaart drs. Joris Smits, manager operations bij VZVZ (Vereniging van Zorgaanbieders voor Zorgcommunicatie) het bestaansrecht van zijn werkgever, een vereniging die 7 jaar geleden ontstond nadat de politiek de stekker trok uit het project voor de ontwikkeling van het landelijk Elektronisch Patiënten Dossier (EPD) en bijbehorende Landelijk Schakelpunt (LSP).

Nadat in 2011 de overheid zich terugtrok uit het EPD/LSP-project, nam de privaat rechterlijke vereniging VZVZ het beheer over van de inmiddels gebouwde ICT-infrastructuur. Aan belangstelling bij de betrokken zorgaanbieders geen gebrek. Desondanks bleek al snel dat op basis van deelnemer-abonnementen het systeem zich niet rendabel liet exploiteren. De zorgverzekeraars schoten te hulp vanuit hun belang de zorg betaalbaar te houden. De vereniging mocht zich eerst bewijzen alvorens de assuradeurs in 2013 structureel financieel gingen participeren. Het overgrote deel van de zorgaanbieders, bestaande uit ziekenhuizen, apothekers, individuele huisartsenpraktijken en huisartsenposten, was tevreden. Als deelnemers in de vereniging hebben ze er hard aan getrokken om inmiddels van meer dan 12 miljoen Nederlanders toestemming te krijgen om hun medisch dossier beschikbaar te stellen voor informatie-uitwisseling via het LSP. Een paar honderd huisartsen hebben echter nog steeds principiële bezwaren tegen het schakelsysteem.

Joris Smits erkent dat dit voor hem een doorn in het oog is. Immers, hierdoor kan informatie ontbreken bij de huisartsenpost. Toch huldigt hij tevens het principe van participatie op vrijwillige basis. “We winnen aan vertrouwen doordat we aan privacyaspecten heel veel aandacht besteden. In geen land ter wereld is die aandacht zo groot. Onze wetgeving stelt vergaande eisen als het gaat om het verkrijgen van expliciete toestemming voor het delen van informatie. Daarnaast gaan we huisartsen straks veel werk uit handen nemen bij het overdragen van hun dossiers. Bijvoorbeeld door zorgvuldig gestructureerd informatie over te zetten van het ene dossier naar het andere wanneer patiënten overgaan naar een andere huisartsenpraktijk. Alle huisartsen gebruiken een vorm van een gedigitaliseerd dossier. Binnen hun applicaties is het mogelijk geautomatiseerd informatie aan anderen op te leveren of van anderen te verwerken. Wij zien erop toe dat die software conform de afgesproken functionaliteit en standaarden blijft werken. We garanderen dat informatie alleen op basis van ‘need to know’ wordt gedeeld. Bovendien certificeren we de inmiddels zestien netwerkproviders, die in het private Zorgnet de informatie veilig en snel overbrengen (red.: https://www.vzvz.nl/geaccepteerde-gznen). Het gaat om het vertrouwen binnen de totale zorgketen, dus ook om het vertrouwen tussen arts en patiënt. Voor de patiënt is transparant wie welke gegevens over hem of haar uitwisselt, dat is online in te zien.”

Rol van zorgverlener vastgelegd op UZI-pas

De rol van de zorgverlener is vastgelegd op de UZI-pas (red.: Unieke Zorgverleners Identificatie) en wordt bepaald aan de hand van strikte protocollen. Alleen een bevoegd huisarts krijgt inzicht in de professionele samenvatting van een collega. Een specialist in het ziekenhuis ziet naast de medicatiegegevens alleen een specifieke set van voor hem of haar relevante informatie. Een apotheker of diens assistenten zien alleen maar die medicatiegegevens in samenhang met informatie over mogelijke intoleranties, contra-indicaties en eventuele allergieën. Bevoegdheden laten zich eventueel wel uitbreiden naar andere beroepsgroepen in de zorg. Zo kan het ook voor een diëtist noodzakelijk zijn om kennis te nemen van gegevens uit het huisartsdossier. Dit gebeurt pas na overeenstemming met de beroepsgroep en nadat een protocol is vastgesteld.

HollandHospCS Getty_84423329

De snelheid en het gemak van data-uitwisseling staat op gespannen voet met het strikt waarborgen van de privacy. VZVZ is in staat om daar de goede balans in te vinden voor haar leden. Voor VZVZ is dat een belangrijk thema dat vraagt om oplossingen. Op dat vlak wil de vereniging voorop blijven lopen door te anticiperen op de ontwikkelingen. Zo gaat men voorzieningen implementeren, waarmee zich de consequenties van nieuwe wetgeving laten vertalen naar een werkbare oplossing voor samenwerking in de zorgketen. De sancties van de EU-privacyrichtlijnen die in mei van kracht worden, veroorzaken bij de vereniging zeker geen paniek. De basisprincipes van de architectuur en het hart van de technologie onder de motorkap van het LSP stamt uit 2006. En achter de keuzes die toen gemaakt zijn, staat Joris Smits in de kern nog steeds.

Binnen het private Zorgnet netwerk werkt de transmissie weliswaar volgens het gangbare TCP/IP-netwerkprotocol, maar het netwerk is niet zichtbaar vanuit het openbare internet. De hackpogingen hebben geen kans van slagen gehad. Ook de keuze voor de technologiepartners heeft bijgedragen aan die robuustheid. Volgens Smits zijn die partijen, ook nadat de eerste technisch geslaagde landelijke LSP/EPD opzet moest worden gestopt, blijven meedenken en adviseren over een eventuele doorstart. CSC, het bedrijf dat destijds de architectuur heeft ontworpen, is onder de nieuwe naam DXC Technology nog steeds betrokken bij het technisch beheer van het LSP. Zij maken, op basis van de door VZVZ opgestelde specificaties, de koppelingen op het LSP pasklaar voor de specifieke Nederlandse omstandigheden. De software (Healthshare) van LSP waaruit zij de kern van het schakelplatform samenstelden, is afkomstig van Intersystems.

Aantrekkelijkheid van zorgdata stelt hoge eisen aan beveiliging

”Er zijn weinig platforms in de zorgmarkt waarvan de technologie qua capaciteit en afhandelingssnelheid zich nog steeds zo goed bewijst”, aldus de operations manager van VZVZ. ”Jaarlijks handelen wij 300 miljoen berichten af vanuit een centrale omgeving met een enorm hoge bedrijfszekerheid binnen de keten van zorgaanbieders die informatie uitwisselen. Het platform kan probleemloos doorgroeien dankzij de ingebouwde redundantie met twee gespiegelde computeromgevingen, waarbij in het geval van storing bij een van de twee configuraties, taken onvertraagd zijn over te nemen. De technologie voorziet in een bewakingsmechaniek. Deze arbiterfunctie activeert de ‘herroutering’ wanneer ergens vertragingen dreigen te ontstaan. Het geheel is samengesteld uit componenten, zodat we altijd een keuze kunnen maken welk instrument we waarvoor inzetten. Voor bepaalde taken bij het beheer van het platform gebruikt DXC het Intersystems product DeepSee. Voor monitoring van de functies van het systeem in de keten gebruiken ze andere oplossingen. Je kan de standaard functionaliteit toepassen, maar je kan deze ook combineren met maatwerk.”

Zorgen over de weerbaarheid tegen hackers en de afscherming van privacygevoelige informatie in het algemeen heeft Smits wel. Vooral als het gaat om de voorzieningen op dat vlak bij de diverse zorgaanbieders. ”Zorgdata is gewild bij hackers en iedereen in de sector moet dus veel investeren om die buiten de deur te houden. Voor de grote zorgaanbieders en partijen die applicaties leveren zijn die investeringen makkelijker op te brengen dan door de kleine spelers op de zorgmarkt. Wij zien het als onze doelstelling hen daarbij te helpen, bijvoorbeeld bij het implementeren en gebruiken van UZI-servicecertificaten of het organiseren van kennisuitwisseling tussen leveranciers en afnemers om tot een hoger niveau van beveiliging te komen. In dat licht maken we ons sterk voor subsidieregelingen voor huisartsen en apothekers. Die moeten uiteraard wel zorgen dat hun werkomgeving voldoet aan de NEN-normen. We merken dat naarmate er strenger wordt gecontroleerd op de beveiligingseisen, er meer behoefte ontstaat aan technische ondersteuning. Door de aandacht voor de privacyrichtlijnen raken de technologische ontwikkelingen in een hogere versnelling. Wij zijn daarop voorbereid zowel voor wat betreft de technisch als de organisatorisch invulling.”

Frans van der Geest