Minister Klink antwoordt de vragen over het EPD van de Tweede Kamer
ArrayVandaag heeft minister Klink de vragen van de Tweede Kamer over het EPD en de voortgang van de invoering van het landelijk elektronisch patientendossier (EPD) beantwoord. In zijn brief gaat hij kort in op de meest in het oog springende zaken met betrekking tot de invoering van het landelijk EPD in het eerste kwartaal van 2010, de technische aspecten rondom het EPD (waaronder informatiebeveiliging) en de voortgang van het wetgevingstraject.
1. Invoering EPD
Voortgang invoering landelijk EPD
In totaal zijn op 31 maart 2010 730 aanbieders aangesloten op het landelijk EPD. Het gaat om 467 apotheken, 52 huisartsenposten, 200 huisartspraktijken en 11 ziekenhuizen.
Het totaal aantal opvraagbare dossiers dat op 31 maart 2010 via het landelijk EPD kon worden geraadpleegd, was 2.506.524.
Onderstaande tabel geeft een cumulatief overzicht van de voortgang van de invoering van het landelijk EPD, d.d. 31 maart 2010. Tweede kwartaal 2009 | Derde kwartaal 2009 | Vierde kwartaal 2009 | Eerste kwartaal 2010 | ||||
Landelijk Schakelpunt | aansluitingen
opvraagbare dossiers EPD raadplegingen |
87
362.486 403.024 |
336
635.526 495.395 |
490
1.344.146 670.231 |
730
2.506.524 904.152 |
||
UZI register | abonnees
UZI-passen Servercertificaten |
11.182
17.316 3.073 |
13.940
29.143 4.412 |
17.060
36.404 5.516 |
18.056
48.037 7.095 |
||
SBV-Z | aansluitingen
BSN raadplegingen |
5.500
10.540.126 |
8.186
20.022.268 |
9.866
30.820.076 |
10.931
41.834.777 |
Het aantal burgerservicenummers – dat wil zeggen het aantal burgers waarvan EPD-gegevens kunnen worden geraadpleegd via de landelijke infrastructuur – is per eind maart 2010 1.907.531. Deze burgers hebben een persoonlijke brief ontvangen met daarbij informatie over het EPD en over de mogelijkheid tot het maken van bezwaar.
De kwalificatie van de ICT-leveranciers is belangrijk voor de aansluiting van zorgaanbieders op het LSP. ICT-leveranciers moeten voldoen aan de eisen die Nictiz stelt voor kwalificatie. Ten opzichte van de vorige voortgangsrapportage is de volgende stijging gerealiseerd:
- Een ICT-leverancier, met 9% marktaandeel onder de huisartsen heeft XIS-typekwalificatie behaald voor het Huisarts informatiesysteem (HIS)
- Een ICT-leverancier, met 4% marktaandeel onder de huisartsenposten is gestart met de kwalificatie voor het Huisartsenpost informatiesysteem (HAPIS
- Actualisaties van klantenbestanden hebben geresulteerd in kleine wijzigingen in het marktaandeel van ICT-leveranciers.
Onderstaande grafiek laat het marktaandeel zien van ICT-leveranciers die gekwalificeerd zijn en ICT-leveranciers die bezig zijn met kwalificatie per 31 maart 2010.
HIS = Huisarts informatiesysteem
HAPIS = Huisartsenpost informatiesysteem
AIS = Apotheek informatiesysteem
ZIS = Ziekenhuis informatiesysteem
Unieke Zorgverlenersidentificatie (UZI)
Er waren op 31 maart 2010 in totaal 18.056 abonnees bij het UZI-register. Het aantal uitgegeven UZI-passen is gestegen tot 48.037.
In de vorige voortgangsrapportage is gemeld dat de normtijd nog niet werd gehaald voor de registratie van abonnee organisatie. Gedurende het eerste kwartaal is de doorlooptijd afgenomen en in de maand maart is de normtijd wel behaald. De doorlooptijden van de overige diensten bij het UZI-register zijn in het eerste kwartaal van 2010 eveneens verder afgenomen en binnen de normtijden gebleven.
Verlenging subsidieregeling LSP
Om zorgaanbieders tegemoet te komen in de kosten die zij moeten maken om zich voor te bereiden op de daadwerkelijke aansluiting op het Landelijk Schakelpunt (LSP) is de Subsidieregeling LSP ingesteld. Zoals in de voortgangsrapportage over het vierde kwartaal van 2009 is gemeld, is deze subsidieregeling verlengd. In een brief zijn alle zorgaanbieders in Nederland die in aanmerking komen voor subsidie (apotheken, huisartspraktijken en huisartsendienstenstructuren) onlangs nog eens geattendeerd op deze verlenging. Subsidie kan worden aangevraagd tot 1 juli 2010. Binnen zes maanden na verlening van de subsidie dienen de betreffende zorgaanbieders aangesloten te zijn op het LSP. Inmiddels is tot en met 31 maart 2010 aan 839 zorgaanbieders subsidie toegekend. Het gaat om een totaalbedrag van € 7.355.915.
Sectorale Berichtenvoorziening in de zorg (SBV-Z)
Voor verkrijging en verificatie van het Burgerservicenummer van een patient geeft de Sectorale Berichtenvoorziening in de zorg, de SBV-Z, toegang tot de relevante gegevens in de Gemeentelijke Basisadministratie. Het aantal aansluitingen van zorgaanbieders op de SBV-Z is gestegen tot 10.931. Het aantal raadplegingen bij de SBV-Z is het afgelopen kwartaal sterk toegenomen, tot ruim 41 miljoen.
In het eerste kwartaal van 2010 hebben zich vijf verstoringen van de dienstverlening voorgedaan.
Deze verstoringen hebben zich in een korte periode van 4 dagen voorgedaan, waardoor besloten is deze reeks te bestempelen als calamiteit. De oorzaak van de verstoringen zijn onderzocht en aanvullende maatregelen zijn ingeregeld of ingepland om verstoringen in de toekomst te voorkomen. De norm van de beschikbaarheid van 99,8% is in deze periode door de SBV-Z wel gehaald.
Grootschalige indringerstest
Zoals beschreven in bijlage 2 van de voortgangsrapportage elektronisch patientendossier van 20 juli 2009, is de grootschalige ketenbrede indringerstest (GKI) opgebouwd uit vijf afzonderlijke onderdelen. Alle onderdelen van de GKI zijn complementair en worden in nauwe samenhang getoetst. Hieronder is de stand van zaken per onderdeel beschreven.
Indringerstest SBV-Z
Zoals gemeld in de voortgangsrapportage van 8 februari 2010 zou de SBV-Z indringerstest in het eerste kwartaal van 2010 uitgevoerd worden als onderdeel van de testen voor de aankomende systeemrelease. Echter, naar aanleiding van het uitstel van de nieuwe SBV-Z release is de indringerstest uitgesteld.
De SBV-Z indringerstest zal nu, als onderdeel van het testtraject voor de nieuwe SBV-Z release, in het tweede kwartaal van 2010 worden uitgevoerd.
Indringerstest UZI-register
In de voortgangsrapportage van 8 februari 2010 is gerapporteerd over de succesvolle afronding van de – in december 2009 uitgevoerde – certificeringsaudit bij het UZI-register. Deze test wordt jaarlijks herhaald.
Indringerstest LSP
In de voortgangsrapportage van 10 november 2009 is gerapporteerd over de LSP penetratietest die door een onafhankelijke derde partij is uitgevoerd. Hierbij zijn geen bevindingen van betekenis gedaan. Ook deze test wordt jaarlijks herhaald.
Representatieve steekproeven GBZ
In opdracht van Nictiz zijn in het vierde kwartaal van 2009 Goed Beheerd Zorgsysteem (GBZ)-schouwingen gestart. Hierbij wordt geverifieerd of zorgverleners die zijn aangesloten op het LSP voldoen aan het Programma van Eisen GBZ. Momenteel vindt de afronding van de eerste schouwingen plaats. Bij de bespreking van de definitieve resultaten met de betreffende zorgverleners en (waar van toepassing) ICT-leveranciers worden afspraken gemaakt over de opvolging daarvan. Het betreft aanscherpingen van beheerprocedures en contractafspraken. Er zijn tot op heden geen kritieke bevindingen geconstateerd.
EPD-keten Indringerstest op de Schakelconnecties (EIS)
Door middel van de EPD-keten Indringerstest op de Schakelconnecties (EIS) wordt de informatiebeveiliging van de connecties tussen de GBZ-en, de Application Service Providers (ASPs) en de Zorgserviceproviders (ZSPs) getest. De uitvoering van de indringerstesten (selectie testpartijen, steekproefbepaling en opstellen overeenkomsten) wordt op dit moment voorbereid.
Toegang patient
Zoals in voorgaande voortgangsrapportage is gemeld werken Nictiz, CIBG, Logius en TNT Post onder regie van VWS aan het op een veilige en gebruiksvriendelijke manier mogelijk maken van elektronische toegang voor de patient tot zijn/haar eigen EPD.
De voornoemde opdrachtnemers bouwen nu de ict-systemen die deze dienstverlening mogelijk maakt. Voorbereidende werkzaamheden zijn gestart voor het uitvoeren van een intensief traject van integratietesten en ketentesten tussen ketenpartners in de zorg en gekoppelde externe systemen, zoals de GBA. Een pilot op beperkte schaal, met een beperkte set aan functionaliteit is gepland voor het vierde kwartaal.
2. Techniek
Beveiliging EPD
In NRC Handelsblad van 26 maart 2010 werd bericht over de bevindingen van de heer Van ’t Noordende, als onderzoeker verbonden aan de Universiteit van Amsterdam (UvA) met betrekking tot de beveiliging van het EPD.
Op basis van deze bevindingen concludeert hij dat het landelijk EPD onvoldoende beveiligd zou zijn en dat basale veiligheidskleppen zouden ontbreken.
Klink wil benadrukken dat, gezien de gevoeligheid van de uit te wisselen gegevens, zeer hoge eisen zijn gesteld aan de beveiliging van het landelijk EPD en dat hij van mening is dat het beveiligingsniveau van het landelijk EPD op dit moment adequaat is, gelet op de genomen maatregelen afgewogen tegen de potentiele risico’s. Het onderzoek van de UvA zal samen met de resultaten van toekomstige periodieke toetsingen en risicoanalyses worden gebruikt bij de continue evaluatie van de genomen beveiligingsmaatregelen. Wanneer hieruit nieuwe inzichten naar voren komen, zullen aangepaste of aanvullende beveiligingsmaatregelen worden getroffen.
UZI-passen
Toegang tot het LSP is alleen te verkrijgen met een Unieke Zorgverlener Identificatie (UZI)-pas. Het UZI-register koppelt de fysieke identiteit van zorgverleners aan een elektronische identiteit en legt deze vast in certificaten. De certificaten en de hierbij behorende cryptografische sleutels bevinden zich op de UZI-pas. De UZI-pas speelt een rol bij de versleuteling van gegevens en faciliteert identificatie, authenticatie en autorisatie.
Zoals Klink in zijn brief van 31 maart 2009 heeft aangegeven, zijn verschillende maatregelen getroffen om de in een laboratoriumomgeving geconstateerde kwetsbaarheid in het rekenmechanisme van de chip op de
UZI-pas te ondervangen. Zo worden sinds het derde kwartaal van 2009 alleen nog UZI-passen uitgegeven met een modernere chip zonder de geconstateerde kwetsbaarheid. Daarnaast zullen alle eerder uitgegeven UZI-passen met een oude chip niet na 3 maar na 2 jaar worden vervangen. Hiertoe wordt momenteel een versnelde vervangingsoperatie uitgevoerd.
De huidige UZI-passen maken gebruik van het SHA-1 algoritme voor ondertekening van de op de pas aanwezige certificaten. Vanaf het eerste kwartaal van 2011 zullen nieuw uitgegeven UZI-passen gebruik maken van het SHA-2 algoritme als opvolger van SHA-1. Deze passen beschikken tevens over de nieuwe chip. Dit is in lijn met de internationale ontwikkelingen ten aanzien van de levensfase van het SHA-1 algoritme. Waar mogelijk wordt de vervanging van UZI-passen met de oude chip gestroomlijnd met de uitgifte van UZI-passen die gebruik maken van het SHA-2 algoritme.
Reservepas
In de vorige voortgangsrapportages is melding gemaakt van de in ontwikkeling zijnde reservepas. De uitgifte van de reservepassen door het UZI-register aan het zorgveld zal aanvangen in het eerste kwartaal van 2011 om zo de reservepas te stroomlijnen met de uitgifte van UZI-passen die gebruik maken van het SHA-2 algoritme. Hiervoor is gekozen om de periode waarin verschillende technologievarianten van de UZI-pas in het zorgveld operationeel zijn op voorhand zoveel mogelijk te verkorten.
Daarnaast wordt hiermee meer doorlooptijd geboden aan XIS-leveranciers voor het doorvoeren van de reservepasfunctionaliteit binnen de lokale applicaties bij zorgaanbieders.
Tot slot
Op 15 maart is tijdens een eHealth week in aanwezigheid van Eurocommisaris mevrouw Kroes de Barcelona Declaratie “European co-operation on eHealth†aanvaard door de lidstaten van Europa. Deze declaratie borduurt voort op de Raadsconclusies van de EPSCO van 1 december 2009 over veilige en efficiente gezondheidszorg door eHealth. De Declaratie adresseert de volgende punten: politieke en strategische betrokkenheid; werken aan vertrouwen en acceptatie, wettelijke en ethische duidelijkheid en verzekeren van bescherming van persoonlijke gegevens; oplossingen voor interoperabiliteit en het verbinden van eHealth beleid met concurrentie, innovatie en onderzoek almede met cohesie en inclusiebeleid. In haar speech benadrukte mevrouw Kroes het belang van eHealth, ook voor herstel van de economie. Dit vraagt samenwerking tussen alle stakeholders in de zorgsector. eHealth vormt een integraal onderdeel van Digitale Agenda voor Europe en de EU 2020 strategie, die een dezer dagen wordt gelanceerd. Op de aansluitende persconferentie noemde zij de aanvaarde Declaratie cruciaal en het begin van een nieuw tijdperk. Zonder het omarmen van eHealth loopt de gezondheidszorg vast. Zij gaf aan te willen werken aan grotere politieke coördinatie tussen sectoren waarin eHealth de zorg kan verbeteren met als doel barrières voor de ontwikkeling ervan weg te nemen. Klink is voornemens met Mevrouw Kroes te overleggen over de afstemming van de nationale en europese agenda.
Naar aanleiding van het advies van de Raad van State zal Klink in juni het concept Besluit behorende bij het wetsvoorstel toezenden. Daarnaast heb ik het advies van de Raad van State ontvangen ten aanzien van een wijziging van het wetsvoorstel ‘EPD’ betreffende de strafrechtelijk sanctie met betrekking tot misbruik van het EPD en de melding dat een dossier onvolledig is.Hij bestudeert dit advies en zal vervolgens het nader rapport opstellen. Wanneer het advies van de Raad van State is verwerkt zal deze wijziging aan de beide Kamers worden toegezonden.
Bron: Brief Klink EPD aan Tweede Kamer