KPMG: “Alleen een eerlijke discussie over EPD leidt tot draagvlak”
Array
Zonder draagvlak is het Elektronisch Patientendossier gedoemd tot mislukken. Juist daarom is het belangrijk eerlijk te zijn over de risico’s.
Vandaag stemt de Eerste Kamer over de invoering van het Elektronisch Patientendossier (EPD). Onderwerpen die daarbij zeker aan de orde zijn gekomen, zijn privacy en veiligheid. De discussie over de veiligheid van het EPD kan niet los worden gezien van brede en deels door ICT gedreven ontwikkelingen in de zorg. Patienten zijn beter geïnformeerd dan ooit; zorgprofessionals stellen zich open voor deze kennis; samen ontwikkelen zij nieuwe manieren van werken op basis van kennisdeling, samenwerking en de inzet van ICT.
Het EPD is een facet van deze brede ontwikkelingen. Bij de discussie over het EPD zijn verschillende partijen betrokken, waaronder patienten, professionals, overheid, zorgverzekeraars en zorginstellingen. Over de beoogde voordelen van het EPD zijn de meeste partijen het eens: een hogere kwaliteit tegen lagere kosten. De discussie gaat vooral over de mogelijke risico’s; die hebben overigens niet alleen betrekking op privacy, maar ook op acceptatie, interoperabiliteit en gegevenskwaliteit.
Als het om privacy gaat, snijdt het EPD-mes aan twee kanten. Door de invoering van het EPD krijgen patienten in principe meer controle over de inzage van hun gegevens. Tegelijkertijd verandert het risicoprofiel van het uitlekken van patientgegevens ten opzichte van een papieren omgeving. De discussie spitst zich vooral toe op de beheersing van dit risico door middel van technische en organisatorische maatregelen.
Zoals in Nederland gebruikelijk is, voeren voor- en tegenstanders de discussie op het scherpst van de snede. Beroepsbeoefenaren, patienten, onderzoekers en Kamerleden stellen kritische vragen; de minister, de industrie en de zorgverzekeraars riposteren, enz.
Dat in zulke scherpe discussies soms wat minder scherpe argumenten worden gebruikt, is niet te vermijden. Een voorbeeld hiervan is een recente reactie van de minister op Kamervragen over een onderzoek naar de beveiliging van het EPD, waarover NRC Handelsblad op 26 maart schreef. De minister stelt hierbij dat het landelijk EPD regelmatig aan grootschalige indringertesten wordt onderworpen, met als doel om de veiligheid van het EPD aan te tonen. Dat kan natuurlijk niet. Testen geeft slechts een beperkte mate van zekerheid over de veiligheid van een systeem. Met andere woorden: door te testen kun je niet aantonen dat een systeem veilig is, hooguit dat het onveilig is.
Belangrijk is het dat de betrokken partijen elkaar in deze discussie serieus blijven nemen en oprechte en onderbouwde zorgen over de privacy van het EPD niet bagatelliseren of met onjuiste argumenten proberen weg te nemen. Privacy is immers een fundamenteel recht, dat is verankerd in onze Grondwet.
Uit de invoering van grootschalige systemen in het bedrijfsleven en bij de overheid is bekend dat draagvlak bij de toekomstige gebruikers van een systeem (lees: zorgprofessionals en patienten) een kritieke succesfactor is. Door mogelijk terechte zorgen over zaken als privacy en veiligheid weg te wuiven lopen de voorstanders van het EPD het risico dat groepen toekomstige gebruikers zich niet serieus genomen voelen. Zo’n aanpak zal weerstand oproepen en de invoering van het EPD verder vertragen. Het is beter de discussie nu goed te voeren en een evenwichtige afweging te maken tussen de voordelen en de risico’s, dan door te denderen en te eindigen met een onveilig EPD dat veel later beschikbaar komt dan anders mogelijk geweest zou zijn.
Jan de Boer en Edo Roos Lindgreen.
Jan de Boer is partner bij KPMG Gezondheidszorg, Edo Roos Lindgreen is hoogleraar IT & Auditing aan de Universiteit van Amsterdam en partner bij KPMG IT Advisory.
