|
KOM NIET OM PRIVACY BIJ DE DOKTER
Gezondheidszorg
en privacy gaan niet goed samen. Informatie- en communicatiesystemen
in de gezondheidszorg bieden onvoldoende waarborgen om de persoonsgegevens
van patiënten te beschermen. Dat concludeert het College
Bescherming Persoonsgegevens (CBP) in de achtergrondstudie 'Privacy
bij ICT in de zorg'.
Het CBP heeft
vijf thema's die op het gebied van privacy en zorg een rol spelen
onder de loep genomen: elektronische identiteitsinfrastructuur;
elektronische informatie-infrastructuur; patiënt en internet;
organisatie en financiering van de zorg; en het monitoren van
patiënten en cliënten. Gekeken werd naar "feitelijke ontwikkelingen,
normen en praktijkvoorbeelden", aldus het rapport.
Omdat ziekenhuizen
momenteel veel automatiseren is het zaak dat de bescherming van
persoonsgegevens en medische dossiers opnieuw tegen het licht
worden gehouden. "Door te weinig aandacht voor, maar ook door
misbruik van privacywetgeving en het medisch beroepsgeheim kunnen
andere belangrijke uitgangspunten van de gezondheidszorg in de
verdrukking komen en ondergeschikt raken, met name de belangen
van de patiënt", aldus het CBP.
Ongerepte
sneeuw
Het CBP beschouwt
privacybescherming in de gezondheidszorg niet alleen als een juridische
en ethische kwestie, maar ook als een concreet technisch probleem.
"Bij privacybescherming gaat het niet zozeer om de vraag hoeveel
ongerepte sneeuw je in theorie kunt beschermen, maar veel meer
om de vraag hoe de hiervoor omschreven complexe ICT-transformatie
van de zorg zodanig kan worden ingericht dat daarbij de privacybescherming
voldoende aandacht krijgt."
Iedereen
die wel eens in een ziekenhuis is geweest, kent het omslachtige
systeem van ponspasjes, papieren agenda's, archiefmappen en DOS-programma's
waar de naam- en adresgegevens van patiënt in opgeslagen zijn.
Een elektronisch identificatiesysteem, liefst landelijk, zou de
efficiëntie van de medische zorg aanzienlijk verbeteren. Als er
minder tijd verloren gaat aan opzoeken wie de patiënt is en wat
hij of zij mankeert en gemankeerd heeft, kan de artsenij meer
tijd aan de feitelijke zorg besteden.
Voor een
elektronisch identificatiesysteem zijn unieke patiëntnummers (zorgidentificatienummer)
nodig, om gegevens over dezelfde patiënt uit verschillende databases
met elkaar in verband te kunnen brengen. Ook biometrie kan een
rol spelen. Een vingerafdruk of een irisscan kan de zorg gebruiken
om te verifiëren of een patiënt is wie hij zegt te zijn en om
verwarring over ziektes te voorkomen.
Bij het inrichten
van zo'n elektronisch identificatiesysteem is het van belang zo'n
patiëntnummer niet gekoppeld kan worden aan andere gegevens over
de patiënt. Het mag geen afgeleide zijn van bijvoorbeeld het sofinummer.
Beter is het als het zorgidentificatienummer (ZIN) een willekeurig
nummer is dat wordt gegenereerd vanuit de Gemeentelijke Basisadministratie
(GBA).
Chipkaart
Een chipkaart
als basis van een elektronische informatiestructuur, die artsen
en verpleegkundigen snel toegang geeft tot het medisch dossier
van een patiënt, mag wel, vindt het CBP. Mits de chipkaart niet
het volledige dossier van de patiënt bevat. De chipkaart en het
zorgidentificatienummer kun je koppelen met behulp van biometrie.
De toegankelijkheid van de informatie moet wel gewaarborgd zijn.
Een irisscan werkt niet bij een bewusteloze patiënt; een vingerafdruk
niet bij iemand die iets te wild omging met de motorzaag.
Dit zijn
enkele voorbeelden van kritische kanttekeningen van het CBP bij
huidige ICT-ontwikkelingen in de gezondheidszorg. Er gaat in de
praktijk al veel mis, meent het CBP. Enkele praktijkvoorbeelden
maken duidelijk dat de materie privacy in de zorg erg ingewikkeld
is.
Een groot
probleem is het zogeheten "verenigbaar gebruik". Volgens de privacywetgeving
mag een instantie gegevens louter gebruiken voor doeleinden die
vantevoren bij de verstrekker bekend zijn. Als case study
wordt de diabetespas genoemd. Een zorgverzekeraar stelde een speciale
pas in voor alle patiënten met suikerziekte. Aan de hand van de
declaratiegegevens had de verzekeraar alle diabetespatiënten geselecteerd.
Met de gegevens op de pas was niets mis, maar de wijze van selectie
van de patiënten is volgens het CBP ontoelaatbaar omdat de patiënten
tevoren niets wisten van de wijze van gebruik van hun persoonsgegevens.
'Privacy
bij ICT in de zorg' is bedoeld als een verkenning. Dat verklaart
het vaak vrijblijvende karakter van het rapport. Het gaat over
bestaande ontwikkelingen en trends en (verwachte) problemen, maar
concrete oplossingen draagt het CBP niet aan. Toch is het een
belangrijk rapport. Momenteel wordt in veel ziekenhuizen de patiëntenadministratie
en alles wat daarbij hoort geautomatiseerd. Een zorgvuldig privacybeleid
zou voor elk ziekenhuis en elk regionaal en nationaal ICT-initiatief
de basis moeten zijn.
- Volledig
rapport 'Privacy bij ICT in de zorg' (PDF)
- Samenvatting
rapport 'Privacy bij ICT in de zorg'
[MJK, 19-12-2002]
|
