Integriteit van patiëntgegevens binnen het Landelijk
EPD
31 maart 2009 IT Audit opleiding Vrije Universiteit Amsterdam Team 925: Jan van der Jagt (1688588) & Pieter Heijboer (1689460) Joris Hulstijn (Begeleider Universiteit)
Integriteit van patiëntgegevens binnen het Landelijk EPD
Voorwoord
Voorwoord Deze scriptie, met de titel “Integriteit van patiëntgegevens binnen het Landelijk EPD” is geschreven ter afsluiting van de postdoctorale opleiding IT Audit aan de Vrije Universiteit Amsterdam. Het idee voor deze scriptie is ons aangereikt door Joris Hulstijn, wetenschappelijk medewerker aan de VU, nadat we te kennen hadden gegeven dat we een scriptie wilden schrijven binnen het thema integriteit. Dit is een interessegebied van Joris. Wij zagen het als een uitdaging om een binnen de IT audit wereld relatief onderbelicht thema als integriteit te koppelen aan een actuele en ingrijpende ontwikkeling binnen de zorg. Vooraf stelden we ons als doel om enerzijds de theorie van integriteit op een bruikbare manier in kaart te brengen en anderzijds een groot aantal betrokken partijen in de zorg te interviewen zodat we een goed beeld van de praktijk zouden krijgen. In beide doelen zijn we ons inziens geslaagd. Bij het opzetten van de theorie hebben wij veel steun gehad van Joris, niet alleen inhoudelijk maar ook door zijn enthousiasme. Daarnaast zijn we het ministerie van VWS, Nictiz, KNMP, NHG, NPCF, HL7 Nederland, PharmaPartners, E-Zorg en IC2it zeer dankbaar dat ze ons inzicht gegeven hebben in hun standpunten ten aanzien van integriteit. Belangrijke vertegenwoordigers van deze organisaties hebben ons, ondanks hun drukke agenda, uitgebreid te woord gestaan in gesprekken die soms meer dan twee uur duurden. In het bijzonder bedanken wij Hans Robertz van Apotheek Ter Aar, die ons in meerdere sessies een blik in de keuken heeft gegund en het totale proces van medicatieverstrekking in een apotheek heeft gedemonstreerd. Jammer genoeg is het ons niet gelukt voor deze scriptie een opdrachtgever of bedrijfsbegeleider binnen de zorg te vinden. We kunnen dat wel begrijpen, want het Landelijk EPD is een politiek gevoelig onderwerp en integriteit is een thema dat niet de eerste belangstelling heeft van ons, Nederlanders, en van de pers. Privacy en aansprakelijkheid zijn meer aansprekende thema’s. We eindigen met het noemen van Harry Cornelissen, die oorspronkelijk aan de scriptie mee zou werken. Door omstandigheden heeft hij zijn studie en de scriptie tijdelijk moeten afbreken. Harry heeft bijgedragen aan het oorspronkelijk scriptievoorstel, waarvan we nog delen kunnen herkennen in de inleiding van deze scriptie.
Langeraar/Amsterdam, maart 2009 Jan van der Jagt & Pieter Heijboer Achtergrond voorpagina: www.dag.nl Bron: ANP
Integriteit van patiëntgegevens binnen het Landelijk EPD 1
2
3
4
5
6 7 8
Inhoudsopgave
Inleiding........................................................................................................................................... 4 1.1 Aanleiding ............................................................................................................................... 4 1.2 Centrale vraag.......................................................................................................................... 4 1.3 Afbakening .............................................................................................................................. 4 1.4 Deelvragen............................................................................................................................... 5 1.5 Onderzoeksmethode ................................................................................................................ 5 1.6 Leeswijzer ............................................................................................................................... 6 Integriteit van informatie ................................................................................................................. 7 2.1 Inleiding................................................................................................................................... 7 2.2 Doelstellingen als vertrekpunt ................................................................................................. 7 2.3 Kwaliteit van informatie .......................................................................................................... 7 2.4 Integriteit van informatie ......................................................................................................... 8 2.4.1 Kenmerken van integriteit ............................................................................................... 8 2.4.2 Enablers van integriteit .................................................................................................. 10 2.4.3 Specificatie van integriteit ............................................................................................. 11 2.5 Op integriteit gerichte strategieën ......................................................................................... 11 2.5.1 Defensieve strategie....................................................................................................... 12 2.5.2 Offensieve strategie ....................................................................................................... 16 2.5.3 Strategieën versus enablers............................................................................................ 21 2.5.4 Vergelijking met Cobit .................................................................................................. 21 2.5.5 Samenvatting maatregelen............................................................................................. 21 Het Landelijk Elektronisch Medicatiedossier................................................................................ 23 3.1 Inleiding................................................................................................................................. 23 3.2 Gezondheids- en Welzijnszorg .............................................................................................. 23 3.3 Wet- en regelgeving .............................................................................................................. 24 3.4 Normen .................................................................................................................................. 25 3.5 Het Landelijk Elektronisch Patiëntendossier ......................................................................... 27 3.5.1 Wat is een EPD? ............................................................................................................ 27 3.5.2 AORTA ......................................................................................................................... 28 3.5.3 Het patiëntendossier ...................................................................................................... 29 3.5.4 Het gebruik van het Burgerservicenummer (BSN) ....................................................... 29 3.5.5 De verwijsindex ............................................................................................................. 30 3.5.6 Het gebruik van de UZI-pas .......................................................................................... 32 3.5.7 Informatielandschap ...................................................................................................... 33 3.6 De toepassingen Medicatiegegevens en Medicatiebewaking ................................................ 34 3.6.1 Doelstelling en aanleiding ............................................................................................. 34 3.6.2 Medicatietherapie proces ............................................................................................... 35 3.6.3 Informatiesystemen ....................................................................................................... 36 3.7 Interviewresultaten ................................................................................................................ 40 Beoordelingskader ......................................................................................................................... 43 4.1 Inleiding................................................................................................................................. 43 4.2 Beoordelingskader schema .................................................................................................... 44 4.3 Beoordelingskader tabel ........................................................................................................ 45 Conclusies voor het Landelijk EPD .............................................................................................. 49 5.1 Inleiding................................................................................................................................. 49 5.2 Belangenbehartiging van integriteit ...................................................................................... 49 5.3 Integriteitseisen in relatie tot de doelstellingen ..................................................................... 49 5.4 Evaluatie van maatregelen ..................................................................................................... 50 5.5 Eindconclusie ........................................................................................................................ 51 Overzicht geïnterviewde organisaties............................................................................................ 54 Literatuurlijst ................................................................................................................................. 55 Overzicht bijlagen ......................................................................................................................... 56
3 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Inleiding
1 Inleiding 1.1 Aanleiding Een aansprekende ICT-ontwikkeling in de zorg is het landelijk elektronisch patiëntendossier (Landelijk EPD). Het begrip ‘patiëntendossier’ wekt het idee dat alle gegevens van de patiënt op een centrale plek bewaard worden; het gaat echter om een virtueel dossier. Zorgverleners kunnen via op een landelijke infrastructuur aangesloten applicaties belangrijke gegevens opvragen uit de dossiers van andere zorgverleners. De patiënt heeft in de toekomst rechtstreeks toegang tot het Landelijk EPD; hij heeft dan inzage in zijn eigen patiëntgegevens en kan bepalen wie hij toegang wenst te geven voor het raadplegen van deze gegevens. Veiligheid en privacy zijn de primaire aandachtspunten in publicaties over uitwisseling van patiëntgegevens; het kwaliteitsaspect ‘vertrouwelijkheid’ is daarmee volop in discussie. Over de integriteit van de gegevens is weinig gepubliceerd, terwijl juist dit kwaliteitsaspect de basis vormt voor de door het Landelijk EPD beoogde doelstellingen en functies. Integriteit wordt mede bepaald door betrouwbaarheid en is zelf bepalend voor de bruikbaarheid en relevantie van informatie. Bij onvoldoende integriteit van de ontsloten patiëntgegevens, is een positieve bijdrage aan de beoordeling en besluitvorming van de opvragende zorgverlener niet mogelijk. De landelijke digitalisering, koppeling en standaardisatie van patiëntgegevens wordt gefaseerd doorgevoerd. Deze scriptie beoogt door het aanbieden van een beoordelingskader bij te dragen aan een blijvende aandacht voor maatregelen om optimale integriteit van patiëntgegevens te bewerkstelligen.
1.2 Centrale vraag De centrale vraag in deze scriptie is: “Op welke wijze wordt de integriteit van patiëntgegevens gewaarborgd bij de inrichting van het Landelijk EPD”? Het beantwoorden van deze vraag geeft tevens inzicht in de kwaliteit van het in paragraaf 1.1 genoemd beoordelingskader en de bruikbaarheid ervan om de aandacht voor integriteit binnen het Landelijk EPD landschap te verhogen.
1.3 Afbakening De afbakening van de centrale vraag wordt hieronder toegelicht op de onderdelen ‘integriteit’, ‘patiëntgegevens’, ‘waarborg’, ‘inrichting’ en ‘Landelijk EPD’. Integriteit Uitgaande van een algemene definitie van ‘integriteit’, wordt deze definitie toegepast op de zorgsector en specifiek op de functie van het Landelijk EPD, namelijk het ontsluiten van informatie om bepaalde doelstellingen te realiseren; daarbij worden de uit dit oogpunt te stellen eisen en mogelijke maatregelen voor waarborging of bevordering van de integriteit meegenomen. Patiëntgegevens Met de term patiëntgegevens wordt gedoeld op de gegevens in de vorm, zoals die na ontsluiting via de EPD infrastructuur aangeboden worden aan de gebruikers. De invoering van het Landelijk EPD is in 2007 gestart met de voorbereiding voor de invoering van de eerste toepassingen, te weten het Elektronisch Medicatiedossier (EMD) en het waarneemdossier voor huisartsen (WDH). Binnen dit onderzoek concentreren we ons op het Landelijk EMD, omdat hierbij meerdere soorten zorgverleners betrokken zijn; bovendien is het aspect ‘integriteit’ in het bijzonder voor het gebruik van medicatiegegevens overduidelijk van groot belang. Het beoordelingskader voor integriteit zal daarom toegespitst worden op de patiëntgegevens die deel uitmaken van het Landelijk EMD. 4 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Inleiding
Waarborg De term ‘waarborg’ suggereert dat de verantwoordelijkheden voor handhaving van de integriteit van patiëntgegevens op centraal niveau belegd zijn tijdens de inrichting van het Landelijk EPD. Dit is echter op voorhand niet duidelijk. Daarom wordt binnen dit onderzoek nagegaan op welke wijze deze belangen behartigd worden tijdens de implementatie van het Landelijk EPD/EMD. Inrichting Het Landelijk EPD/EMD bevindt zich nog in het stadium van ontwikkeling. Het gevolg hiervan is dat dit onderzoek zich beperkt tot de opzet van de (totstandkoming van) eisen en maatregelen ten aanzien van de integriteit van patiëntgegevens. Landelijk EPD Dit onderzoek is beperkt tot de factoren die van invloed zijn op de integriteit van patiëntgegevens, voor zover die factoren vallen binnen de EPD infrastructuur en binnen de kwalificatie-eisen die gesteld worden aan informatiesystemen om via deze infrastructuur informatie te mogen aanbieden of opvragen, toegespitst op de EMD toepassing. De invloed op de integriteit van patiëntgegevens, ten gevolge van de invoering van het Landelijk EPD/EMD kan zowel positief als negatief zijn. De maatregelen ter waarborging of bevordering van de integriteit van via de EPD infrastructuur opgeleverde patiëntgegevens kunnen uiteraard ook buiten de directe invloedsfeer van het Landelijk EPD vallen. Wat dit laatste betreft houden wij maatregelen die de integriteit moeten waarborgen van het, binnen het Landelijk EPD geraadpleegde, BSN-register en UZI-register buiten scope van onderzoek.
1.4 Deelvragen Op basis van de toelichting van de centrale onderzoeksvraag zijn drie deelvragen geformuleerd. 1. Welke partijen behartigen de belangen voor de integriteit van de patiëntgegevens tijdens de implementatie van het Landelijk EPD/EMD en op welke wijze vullen ze dat in? 2. In welke mate zijn de eisen ten aanzien van de integriteit van patiëntgegevens voor de zorg in lijn met de doelstelling van het Landelijk EPD/EMD? 3. Wat zijn de (in opzet) genomen maatregelen ter waarborging en bevordering van de integriteit van EMD patiëntgegevens, en welke extra maatregelen zijn zinvol voor het dekken van nog aanwezige risico’s?
1.5 Onderzoeksmethode Het theoretisch deel van het onderzoek is uitgevoerd op basis van literatuuronderzoek. De praktijk is onderzocht door de bestudering van brondocumenten van de organisatie Nictiz (Nationaal ICT Instituut in de Zorg) en door interviews met een groot aantal belanghebbenden in de keten van de EPD/EMD informatievoorziening. Nictiz is de organisatie die verantwoordelijk is voor de totstandkoming van de landelijke architectuur en landelijke standaarden van het Landelijk EPD en voor het beheer van het Landelijk Schakelpunt (LSP). De Nictiz brondocumenten beschrijven de architectuur van het Landelijk EPD/EMD op elk niveau en specificeren aan welke eisen systemen dienen te voldoen om aangesloten te mogen worden op de landelijke infrastructuur. Vertegenwoordigers van bijna alle stakeholders in de keten zijn geïnterviewd, te weten: het ministerie van VWS die de regie heeft over de invoering van het Landelijk EPD, het kenniscentrum Nictiz, de Nederlandse patiëntenvereniging (NPCF), koepelorganisaties voor apothekers (KNMP) en huisartsen (NHG), leveranciers van software en/of datacommunicatie (PharmaPartners, E-Zorg, IC2it) en de Nederlandse HL7 organisatie voor standaardisering van berichtenuitwisseling. Bij apotheek Ter Aar is uitgebreid het volledige proces van medicatieverstrekking in kaart gebracht. Bij de interviews met belanghebbenden is gebruik gemaakt van een aantal vooraf opgestelde vragen die tot doel hadden inzicht te krijgen in feiten, meningen en standpunten ten aanzien het aspect integriteit, gerelateerd aan de doelstelling van het Landelijk EPD/EMD. Met de betrokkenen is vooraf afgesproken dat we deze 5 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Inleiding
informatie vertrouwelijk behandelen zodat men vrijuit kon spreken. Conclusies naar aanleiding van de interviews zijn alleen opgenomen in zeer algemene, niet tot organisaties herleidbare, vorm of indien ze onderbouwd worden door openbaar toegankelijke feiten. Een belangrijke bijdrage van deze scriptie is het beoordelingskader voor integriteit dat een weerslag is van de theorie. Het beoordelingskader is in elke organisatie toepasbaar en biedt een verzameling vragen, die helpt bij het beoordelen van maatregelen die onderkend zijn om de integriteit van informatie te waarborgen. We hebben gekozen voor de vraagvorm omdat we denken dat deze vorm het meest bijdraagt aan het besef waar men staat als het gaat om integriteit. Door de vragen te koppelen aan voorbeelden binnen het Landelijk EPD zetten we tevens een eerste stap op weg naar blijvende aandacht voor optimale integriteit van patiëntgegevens. De praktische bruikbaarheid van het beoordelingskader hebben we getoetst door het kader toe te passen op de praktijkbeschrijving, welke mede is opgesteld op basis van de interviews.
1.6 Leeswijzer Hoofdstuk 2 Integriteit van informatie legt de basis voor het beoordelingskader waarmee de onderzoeksvragen beantwoord kunnen worden. Hoofdstuk 3 Het Landelijk Elektronisch Medicatiedossier beschrijft de plaats van het EPD/EMD in het zorglandschap en geeft daarbij, in het licht van integriteit, specifiek aandacht aan rol van de belanghebbenden, de bijdrage aan doelstellingen en maatregelen die voorzien zijn om integriteit af te dwingen en te stimuleren. Hoofdstuk 4 Beoordelingskader behandelt het, van de theorie uit hoofdstuk 2 afgeleid, beoordelingskader. Het beoordelingskader wordt verduidelijkt met voorbeelden uit de praktijk waarbij wordt teruggegrepen op hoofdstuk 3. In hoofdstuk 5 worden de deelvragen beantwoord door toepassing van het beoordelingskader uit hoofdstuk 4 op de praktijkbeschrijving in hoofdstuk 3. Op basis hiervan trekken we de eindconclusie en beantwoorden de centrale vraag “Op welke wijze wordt de integriteit van patiëntgegevens gewaarborgd bij de inrichting van het Landelijk EPD?”. Referenties naar literatuur en artikelen worden in de tekst aangegeven door middel van een verwijzing tussen teksthaken naar de in Hoofdstuk 7 toegevoegde literatuurlijst. Binnen de teksthaken worden tevens de betreffende paginanummers vermeld, bijvoorbeeld [ITGI.P12-13].
6 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Integriteit van informatie
2 Integriteit van informatie 2.1 Inleiding Dit hoofdstuk beschrijft het belang van integriteit van informatie voor het bereiken van de doelstellingen van een organisatie of samenwerkingsverband. Het begrip integriteit wordt gedefinieerd, in samenhang met het begrip kwaliteit van informatie. Vervolgens wordt een overzicht gegeven van factoren die integriteit bevorderen. Nadat het belang benadrukt is om te specificeren welke eisen aan integriteit worden gesteld, worden er twee strategieën beschreven om de integriteit van informatie te waarborgen. Dit leidt tot een praktisch overzicht van beheersmaatregelen die kunnen worden ingezet om aan de integriteitseisen te voldoen. Het hoofdstuk eindigt met een samenvatting van deze beheersmaatregelen.
2.2 Doelstellingen als vertrekpunt Elke organisatie streeft doelstellingen na. Om deze doelstellingen te halen moeten voortdurend keuzes worden gemaakt en activiteiten worden uitgevoerd. Deze keuzes en activiteiten zijn gericht op het doen functioneren van de organisatie, het op koers houden van de organisatie, in overeenstemming met het doel, en het verantwoording afleggen aan de omgeving van de organisatie [STA.Hfdst. I]. Alle keuzes en activiteiten steunen op informatie. Dat betekent dat de kwaliteit van informatie medebepalend is voor de kwaliteit van beslissingen en activiteiten, en dus voor het bereiken van de doelstellingen of het tijdig verkrijgen van inzicht dat de doelstellingen bijgesteld moeten worden. Doelstellingen kunnen worden geordend in een hiërarchie. Een doelstelling van een informatiesysteem bijvoorbeeld is gerelateerd aan de functie die het systeem vervult. Dit kan het ondersteunen van een bedrijfsproces zijn dat op zijn beurt weer bijdraagt aan de nog hogere doelstelling van de organisatie. Naar beneden toe stelt het informatiesysteem eisen aan het ontwerp- en ontwikkelingsproces en de beheer- en onderhoudsactiviteiten [STA.Hfdst. X]. Deze eisen leiden weer tot doelstellingen op deze lagere niveaus. Voor de doelstellingenhiërarchie geldt: Realisatie van lager niveau doelstellingen draagt bij aan de realisatie van een hoger niveau doelstelling. Eisen naar aanleiding van een hoger niveau doelstelling leiden tot lager niveau doelstellingen. Minimaal één lager niveau doelstelling is altijd nodig om elke andere doelstelling te helpen realiseren, namelijk de beschikbaarheid van bepaalde informatie van een bepaalde kwaliteit. Dit laatste punt betekent dat informatie met de juiste kwaliteit niet alleen rechtstreeks bijdraagt aan een te realiseren hoofddoelstelling maar ook indirect door de bijdrage aan lager niveau doelstellingen (bijvoorbeeld procesdoelstellingen) die de hoofddoelstelling ondersteunen In dit hoofdstuk, dat de focus heeft op integriteit van informatie, nemen we de doelstelling van door een informatiesysteem opgeleverde informatie als vertrekpunt voor een kader om integriteit te beoordelen. Deze doelstelling zien we in het licht van de bijdrage aan hoger niveau doelstellingen (procesdoelstellingen en organisatiedoelstellingen) en van de eisen die leiden tot lager niveau doelstellingen (kwaliteit en integriteit van informatie).
2.3 Kwaliteit van informatie Als we het hebben over kwaliteit van informatie dan moeten we eerst vaststellen wat we precies onder “informatie” verstaan en wat onder “kwaliteit” in relatie tot informatie. Om te begrijpen wat informatie is en om het onderscheid te kunnen maken met gegevens kunnen we het best de parallel trekken met een productieproces. In een dergelijk proces worden grondstoffen omgezet in een gereed eindproduct. Dit eindproduct is bruikbaar voor een bepaald doel, in een 7 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Integriteit van informatie
bepaalde context. Analoog kunnen we een productieproces beschouwen waarbij gegevens (de grondstoffen) worden omgezet in informatie (het eindproduct) [ENG.P52]. Niet de gegevens zijn van belang maar het eindproduct informatie. Deze informatie ondersteunt het maken van keuzes en het uitvoeren van activiteiten, gericht op een bepaald doel, in een bepaalde context. We zien in deze analogie ook dat de kwaliteit van informatie afhankelijk is van de kwaliteit van gegevens waaruit de informatie is opgebouwd, zoals de kwaliteit van het eindproduct afhankelijk is van de kwaliteit van de gebruikte grondstoffen. Omdat de kwaliteit van eindproducten niet alleen afhankelijk is van grondstoffen maar ook van de ingezette mensen, apparatuur, systemen en procedures kunnen we reeds concluderen dat deze voor de kwaliteit van informatie eveneens medebepalend zijn. Bij het toelichten van het begrip informatie hebben we het begrip “gegeven” geïntroduceerd. Onder een gegeven verstaan we de symbolische weergave van een feit over een bepaald object. Dat object is in het algemeen te herleiden naar een persoon, een organisatie, een fysiek object, een locatie, een gebeurtenis of een concept [ENG.P167]. De kwaliteit van informatie kent een drietal overlappende en elkaar beïnvloedende dimensies. Voor de toelichting van het begrip dimensie kunnen we het best teruggrijpen op de oorspronkelijke betekenis in het Latijn, namelijk “afmeting”. Een kwaliteitsdimensie kunnen we aldus beschouwen als een eigenschap waaraan kwaliteit wordt afgemeten, bijvoorbeeld op een schaal van 0 tot 1. De dimensies van kwaliteit van informatie zijn relevantie, bruikbaarheid en betrouwbaarheid[ITGI.P16-20]. De eerste twee hebben een pragmatisch karakter en duiden aan in welke mate de informatie toepasbaar is, de laatste dimensie heeft een inherent karakter. Relevantie, de eerste dimensie, betreft het vermogen van de informatie om bij te dragen aan het realiseren van een bepaalde doelstelling. Relevante informatie bevat precies de juiste elementen, het juiste detailniveau (granulariteit) en de juiste mate van volledigheid en tijdigheid om de juiste keuzes en terugkoppeling mogelijk maken. Bruikbaarheid, de tweede dimensie, betreft de mate waarin gebruikers van de informatie in staat zijn daadwerkelijk gebruik te maken van de mogelijkheden die de informatie in zich heeft. Men kan zich voorstellen dat informatie die niet toegankelijk is, niet begrijpelijk wordt weergegeven of niet herkenbaar is, geen of nauwelijks praktische waarde heeft, ook al is de relevantie en theoretische waarde hoog. Betrouwbaarheid, de derde dimensie, geeft aan in welke mate men op de informatie kan vertrouwen. Dit is afhankelijk van de zekerheden en risico’s die gepaard gaan met het verkrijgen van de informatie. Betrouwbaarheid houdt tevens in dat de informatie objectief en controleerbaar is en dat men deze dus moet kunnen reproduceren op basis van de werkelijkheid en de geautoriseerde bewerkingen, transformaties en transporten die toegepast zijn op de aan de werkelijkheid ontleende gegevens. De drie dimensies relevantie, bruikbaarheid en betrouwbaarheid bepalen gezamenlijk de kwaliteit van informatie, zoals de dimensies lengte, breedte en hoogte gezamenlijk een element in de ruimte beschrijven. Formeel kan dit uitgedrukt worden in een drieplaatsige functie f(relevantie, bruikbaarheid, betrouwbaarheid), waarbij het domein van relevantie, bruikbaarheid en betrouwbaarheid in [0,1], en het bereik ook in [0,1] ligt. Het functievoorschrift is “kwaliteit van informatie = (relevantie * bruikbaarheid * betrouwbaarheid)” [ITGI.P15].
2.4 Integriteit van informatie 2.4.1 Kenmerken van integriteit Als we de dimensies van kwaliteit van informatie nader beschouwen dan zien we dat er één aspect is dat in alle dimensies terugkeert en cruciaal is voor de kwaliteit. De informatie moet gebaseerd zijn op gegevens die in overeenstemming zijn met de afgebeelde werkelijkheid en de gegevens mogen onderweg van bron naar bestemming niet per ongeluk of opzettelijk gewijzigd of verwijderd zijn. We vatten dit aspect samen onder het begrip integriteit. Het begrip integriteit kan alleen zinvol gehanteerd worden indien volledig gedefinieerd is welk deel van de werkelijkheid wordt afgebeeld (semantiek, context) en op welke wijze dit gebeurt (syntax en de wijze van codering). Binnen een bepaalde context mogen alleen bestuurders, geautoriseerde functionarissen of beslisplatforms deze definities voorschrijven of valideren.
8 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Integriteit van informatie
Het begrip werkelijkheid verdient nog enige toelichting. We kunnen deze namelijk onderverdelen in de werkelijkheid die beschreven kan worden (descriptief) en de werkelijkheid die voorgeschreven wordt door een daartoe bevoegde functionaris (prescriptief). In het laatste geval kan men afleiden dat de werkelijkheid integer is afgebeeld indien de afbeelding overeenkomt met de oorspronkelijke bedoeling van deze functionaris. Voorbeelden zijn de registratie van tentamencijfers in een studievoortgangregistratie of de prijs van producten in een productencatalogus. Het IT Governance Institute (ITGI) stelt dat integriteit de volgende vier cruciale kenmerken omvat [ITGI.P24]: 1. Juistheid: de mate waarin de informatie in overeenstemming is met de werkelijkheid. 2. Volledigheid: de mate waarin de informatie de werkelijkheid volledig weergeeft. 3. Tijdigheid : de mate waarin informatie een actuele weergave van de werkelijkheid is. 4. Geldigheid: de mate waarin de informatie is gebaseerd op gegevens welke op een geautoriseerde manier zijn ingevoerd, bewerkt, getransformeerd of getransporteerd, waarbij voorkomen is dat gegevens in dit traject ten onrechte zijn gedupliceerd. Bij geldigheid gaat het er niet alleen om dat iemand geautoriseerd is maar ook dat deze persoon op de juiste gronden geautoriseerd is en dat hij conform de regels van zijn bevoegdheid gebruik maakt. Aanvullend geldt voor alle vier bovengenoemde kenmerken dat deze in overeenstemming dienen te zijn met het beleid, standaarden, definities en regels die zijn vastgesteld door bestuurders, en met van toepassing zijnde wet- en regelgeving. In feite zijn deze wetten, regels, standaarden etc. ook te beschouwen als prescriptief, maar dan van een hogere orde. English maakt nog onderscheid naar juistheid in vergelijking met de werkelijkheid (accuracy to reality) en juistheid in vergelijking met een bron die de werkelijkheid vervangt (accuracy to surrogate source). In dat laatste geval wordt de werkelijkheid bepaald door een formulier, document of elektronisch bestand dat verkregen is van een gezaghebbende bron die buiten de invloedssfeer van de organisatie (of afdeling) ligt [ENG.P141-142]. De begrippen integriteit en betrouwbaarheid worden in het spraakgebruik soms door elkaar gebruikt als synoniem van elkaar. Het ITGI definieert ze echter wezenlijk verschillend. Integriteit is een kwaliteitsaspect en betrouwbaarheid is een kwaliteitsdimensie. De kenmerken van integriteit spelen, zoals eerder gezegd, elk een rol in meerdere dimensies. We geven een voorbeeld. Ruis in een signaal kan leiden tot onbetrouwbare informatie, die mogelijk niet volledig en juist de ontvanger bereikt. De informatie is daardoor minder bruikbaar in het proces van de ontvanger terwijl de informatie, mits integer, wel heel relevant is voor het realiseren van een doelstelling. De vier cruciale kenmerken van integriteit hebben invloed op elkaar. We lichten dit toe aan de hand van een voorbeeld. Stel dat een gebruiker het totaalbedrag van declaraties in een bepaalde maand opvraagt en één declaratie ontbreekt omdat deze te laat geboekt is, dan is het gebrek aan integriteit een gevolg van een gebrek aan tijdigheid. Het gebrek aan tijdigheid gaat echter ten koste van de volledigheid en het gebrek aan volledigheid gaat weer ten koste van de juistheid. Bij het besef dat het totaalbedrag onjuist is zal de geautoriseerde gebruiker weigeren deze informatie te fiatteren. Conform zijn verantwoordelijkheid zal hij het bedrag ongeldig verklaren. Clark&Wilson hanteren het begrip interne consistentie om aan te duiden dat informatie altijd een bekende structuur heeft die afgedwongen en gehandhaafd kan worden door (gecertificeerde) programmatuur [CWI.P190]. De structuur volgt uit de semantiek (betekenis) van de gegevens. Deze betekenis bepaalt de toegestane waarden, verplichte gegevens, en beperkende regels en verbanden tussen gegevens. De geboortedatum van een vader ligt bijvoorbeeld altijd verder terug in de tijd dan de geboortedatum van diens kind, en in de Nederlandse gezondheidszorg kan binnenkort een behandeling niet geregistreerd worden zonder het Burgerservicenummer van de patiënt te vermelden. De programmatuur kan in dat laatste voorbeeld echter niet afdwingen dat het nummer van de juiste patiënt vermeld wordt, of dat alle behandelingen worden geregistreerd. Als ook aan die, niet door programmatuur afdwingbare, aspecten van integriteit wordt voldaan dan noemen Clark&Wilson dat 9 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Integriteit van informatie
externe consistentie. Hoewel Clark&Wilson dit niet expliciet zo benoemen leiden wij af dat externe consistentie een synoniem begrip is voor integriteit waarbij externe consistentie per definitie interne consistentie omvat.
2.4.2 Enablers van integriteit In aansluiting op het voorgaande is het minstens zo interessant om vast te stellen welke factoren randvoorwaarden scheppen om de integriteit van informatie te waarborgen of te versterken, dus een beschermende en positieve invloed hebben op de juistheid, volledigheid, tijdigheid en geldigheid van informatie. We nemen daarbij de lijst met zeven voorwaarden scheppende kenmerken over, die door het ITGI worden onderkend. Het ITGI noemt deze kenmerken “enablers” [ITGI. P26]. Omdat er geen goede Nederlandse vertaling is (“in staat stellers” of “mogelijk makers” klinkt niet serieus) nemen wij deze term over. Het ITGI onderkent de volgende zeven enablers: 1. Beveiliging: fysieke en logische toegangscontrole en transport- en opslagbeveiliging om informatie te beschermen tegen wijzigingen buiten de officiële, geautoriseerde, manier om. 2. Beschikbaarheid: bevorderen van geautoriseerde toegang tot de informatie; slechte beschikbaarheid heeft negatieve consequenties voor de volledigheid en tijdigheid van informatie. 3. Begrijpelijkheid: de mate waarin de informatie overeenkomt met de gebruikersspecificaties; is tevens erg afhankelijk van factoren als kennis, ervaring, training en motivatie. 4. Consistentie: de stabiliteit van regels voor semantiek en syntax van informatie, ongeacht plaats en tijd; maakt vergelijking van informatie mogelijk. 5. Stabiliteit: de onveranderlijkheid, voorspelbaarheid en regelmaat van feiten en gebeurtenissen en van de wijze waarop deze worden gemeten, verwerkt en gepresenteerd. 6. Controleerbaarheid: het vermogen van onafhankelijke waarnemers, uitgaande van dezelfde gedefinieerde werkelijkheid, dezelfde informatie te produceren door het toepassen van dezelfde processen en dezelfde toleranties voor volledigheid, juistheid, tijdigheid en geldigheid. 7. Zekerheid: vloeit voort uit procedures die daadwerkelijk zijn uitgevoerd om de integriteit van informatie te toetsen door het verzamelen van bewijzen voor de natuurgetrouwe weergave. Zoals de vier cruciale kenmerken van integriteit onderling invloed op elkaar hebben, zo hebben ook de enablers enige invloed op elkaar. Begrijpelijkheid wordt namelijk bevorderd door stabiliteit en stabiliteit op haar beurt wordt mede bewerkstelligd door consistentie. Verder is controleerbaarheid een voorwaarde voor het kunnen verschaffen van zekerheid. Beveiliging en beschikbaarheid zijn echter complementair. Beveiliging is namelijk gericht op het beperken van ongeautoriseerde toegang terwijl beschikbaarheid juist geautoriseerde toegang tot informatie moet bevorderen. In relatie tot de ITGI enablers willen we nog drie begrippen toelichten. Het is het begrip interne consistentie, dat reeds aan de order gekomen is bij de bespreking van integriteit, het begrip “zekerheid vooraf” en het begrip corrigeerbaarheid. We relateren deze begrippen aan respectievelijk de enablers consistentie, zekerheid en controleerbaarheid. Interne consistentie Om verwarring te voorkomen willen we benadrukken dat het begrip interne consistentie een andere betekenis heeft dan gedefinieerd is voor de enabler consistentie. Intern consistent, conform Clark&Wilson, betekent dat informatie op elk moment voldoet aan de regels, verbanden en beperkingen die voortvloeien uit de betekenisstructuur. Naarmate de interne structuur vollediger in beeld is gebracht kan integriteit beter worden afgedwongen. Consistent, conform het ITGI, houdt in dat de structuur en semantiek van informatie zelf constant blijft, zowel door de tijd heen als in de situatie dat informatie gedistribueerd is over meerdere plekken. Dit maakt het mogelijk informatie uit meerdere systemen met elkaar te vergelijken en huidige met toekomstige informatie.
10 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Integriteit van informatie
Zekerheid vooraf ITGI verstaat onder zekerheid dat men achteraf bewezen heeft dat de integriteit van informatie voldoet aan de eisen. In een gegeven startsituatie echter spelen zekerheden vooraf ook een belangrijke rol. Als men bijvoorbeeld vooraf de zekerheid heeft dat een programma goed functioneert en dat wijzigingen op de programmatuur beheerst worden uitgevoerd dan heeft dat een positieve invloed op de handhaving van de integriteit van de gegevens die door dat programma verwerkt worden. Om die reden geven wij de enabler zekerheid een ruimere betekenis en verstaan daar mede onder de zekerheid vooraf. Corrigeerbaarheid De enabler controleerbaarheid maakt het mogelijk tijdens het registratieproces of achteraf vast te stellen of de gegevens voldoen aan de eisen voor integriteit. Binnen de beschrijving van de enablers vinden we niets terug over de mogelijkheden tot correctie indien fouten of verschillen worden ontdekt. Wij vinden corrigeerbaarheid echter zo’n belangrijke factor bij het versterken van de integriteit dat we deze als achtste enabler toevoegen. Deze keuze wordt verderop gemotiveerd.
2.4.3 Specificatie van integriteit Behalve dat gedefinieerd wordt welke informatie relevant is in het licht van een bepaalde doelstelling, is het in dit licht ook van belang dat voor elk onderkend informatieobject wordt vastgesteld welke eisen er gelden ten aanzien van juistheid, volledigheid, tijdigheid en geldigheid. Als aan deze eisen niet wordt voldaan dan wordt, zoals we eerder zagen, aan de belangrijkste voorwaarde voor de kwaliteit van informatie niet voldaan. Informatie waarop men niet kan vertrouwen heeft tot gevolg dat de organisatie minder doelgericht bezig is, dat klantentevredenheid lager wordt en dat processen minder efficiënt worden uitgevoerd. Inefficiëntie is onder andere het gevolg van het feit dat er veel herstelacties moeten plaats vinden. Ook zullen afdelingen elkaars gegevens minder vertrouwen en dus zelf vaker dubbel gegevens gaan bijhouden om op basis daarvan eigen informatie te produceren of andermans informatie te controleren. Voor het bepalen van de eisen voor integriteit is het zeer aan te bevelen te starten met classificatie van gegevens en identificatie van de belangrijkste gegevensgroepen, waarvoor gebrek aan integriteit de zwaarste gevolgen heeft en het meest ten koste gaat van het halen van de doelstellingen. Wanneer we in dit verband praten over classificatie dan bedoelen we niet de classificatie om gevoelige informatie te beschermen maar classificatie om schade te beperken door ongeautoriseerde wijziging en sabotage van informatie [BIBA.P24]. We introduceren classificatie dus vanuit het oogpunt van integriteit en niet vanuit het oogpunt van vertrouwelijkheid. Classificatie gebeurt op basis van criteria in relatie tot de doelstellingen. Hanteer als regel dat integriteit van gegevens, waarnaar verwezen wordt vanuit andere gegevens, per definitie aan hoge eisen voldoet [ENG2]. Denk hierbij aan gecodeerde informatie in tabellen of registers, bijvoorbeeld het in de zorg gehanteerde UZI-register of BSN-register. Volmaakte integriteit van informatie is niet mogelijk omdat de kenmerkende eigenschappen van integriteit, vooral tijdigheid, beïnvloed worden door vertraging in het waarnemen, vastleggen, verwerken en gebruiken van gegevens. Daarom moeten in overleg met belanghebbenden, in het licht van de doelstellingen en de context, altijd acceptabele toleranties worden vastgesteld [ITGI.P30]. Als we eenmaal weten welke normen en toleranties gelden ten aanzien van integriteit dan kunnen we deze gebruiken om de vastgelegde gegevens en geproduceerde informatie aan te toetsen.
2.5 Op integriteit gerichte strategieën Binnen het beheersraamwerk Cobit 4.1 [COB] kunnen we een groot aantal beheersdoelstellingen (control objectives) vinden die ons kunnen helpen onze eigen normen te bepalen om de gewenste integriteit te waarborgen. Dat aantal is zo groot omdat beheersdoelstellingen niet alleen gericht zijn op integriteit sec maar ook op voorwaardenscheppende kenmerken zoals beveiliging, beschikbaarheid en toetsbaarheid. Bovendien hebben de beheersdoelstellingen betrekking op meerdere fasen in de levenscyclus van een informatiesysteem en op meerdere fasen binnen de exploitatie van een 11 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Integriteit van informatie
informatiesysteem. De grote hoeveelheid beheersdoelstellingen laat zien dat het waarborgen van integriteit een complexe materie is. Wij introduceren de beheersmaatregelen voor integriteit echter niet vanuit Cobit maar vanuit een andere invalshoek aan de hand van twee op integriteit gerichte strategieën [HUL p.c.]. Achteraf geven we aan op welke punten het resultaat verschilt van Cobit. De eerste strategie is gericht op het verdedigen en handhaven van het bestaande niveau van integriteit. We noemen deze strategie defensief en het hanteren van deze strategie omschrijven we als afdwingen. De tweede strategie is gericht op het verhogen van het bestaande niveau van integriteit, voor zover nodig om aan de eisen van integriteit te voldoen. We noemen deze strategie offensief en het hanteren van deze strategie omschrijven we als stimuleren. Defensief/afdwingend is niet hetzelfde begrip als preventief. We verduidelijken dit met een voorbeeld. Een geprogrammeerde controle is een preventieve maatregel die integriteit afdwingt maar een training van een medewerker is een preventieve maatregel die wel helpt invoerfouten te voorkomen maar die niet afdwingt dat er helemaal geen fouten worden gemaakt. Volgens dezelfde redenering is offensief/stimulerend niet hetzelfde begrip als detectief/correctief.
2.5.1 Defensieve strategie De defensieve strategie lichten we toe aan de hand van de theorie van Clark&Wilson [CWI.P190] die we al eerder aanhaalden in verband met het begrip interne consistentie. We beschrijven in onze eigen woorden de essentie van het formele model van Clark&Wilson om integriteit van gegevens af te dwingen. Hierbij maken we een tweedeling in het afdwingen van interne consistentie en het afdwingen van externe consistentie. Afdwingen interne consistentie Gegevens kunnen verschillende toestanden hebben: als werkelijke eigenschappen van een object; vastgelegd op een brondocument of intermediair document; opgeslagen in een bestand of database; vastgelegd op een uitvoermedium zoals een computerscherm of papier; gereed in een toestand om verzonden of opgehaald te worden via een interface; toestand, direct na ontvangst of ophalen via een interface. In elke van deze toestanden is sprake van een bepaald niveau van integriteit van gegevens. In de overgang van de ene toestand naar de andere kunnen gegevens worden geselecteerd, getransformeerd, gesplitst, gecombineerd, in/uitgepakt en getransporteerd. Voorbeelden zijn: registratie van gegevens van een object in de werkelijkheid op een (bron)document; invoer van gegevens vanaf een brondocument in een systeem; verzending van gegevens naar een ander systeem via een interface; productie van een uitvoerdocument op basis van gegevens vanuit een database; distributie van het uitvoerdocument naar de eindbestemming voor gebruik. Het afdwingen en handhaven van de interne consistentie is gebaseerd op de volgende principes en maatregelen[CWI.P189-191]: De gebruiker is niet in staat rechtstreeks de gegevens in een bepaalde toestand te wijzigen. Een geautomatiseerd systeem biedt hem de mogelijkheid een verzameling gegevens alleen te wijzigen via een geautomatiseerde Transformatie Procedure (vanaf nu: TP). Het is onmogelijk gegevens op een andere manier te wijzigen.
De TP heeft twee functies. Ten eerste waarborgt deze dat bij omzetting van gegevens vanuit een bepaalde toestand naar de volgende toestand het niveau van integriteit behouden blijft. Ten tweede dwingt de TP af dat gegevens, die nieuw het systeem binnenkomen, minimaal aan de eisen voor
12 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Integriteit van informatie
interne consistentie voldoen.
De TP dient gecertificeerd te zijn op de goede werking van de hiervoor genoemde twee functies.
Degene die de TP gecertificeerd heeft dient niet zelf in staat te zijn deze TP uit te voeren.
Als een Initiële Verificatie Procedure (vanaf nu: IVP) zeker gesteld heeft dat de initiële toestand van een gegevensverzameling intern consistent is dan waarborgt de verzameling TP’s die de gegevens transformeren dat de opvolgende toestanden intern consistent blijven. Toelichting: Als de IVP geconstateerd heeft dat de initiële toestand niet integer is dan moet de toestand gereconstrueerd worden. Het reconstructieproces richt zich op twee categorieën fouten, te weten specificatiefouten en inhoudelijke fouten [ENG.P242-244]. Voordat men zich op de inhoudelijke fouten richt moet men eerst zeker stellen dat de specificaties in orde zijn. De specificaties, in het bijzonder de definitie, codering en “business rules” dienen eenduidig te zijn en afgestemd met de externe gebruiker van de op de gegevens gebaseerde informatie. Als de specificaties niet overeenkomen met wat de externe gebruikers verwachten en op basis van de specificaties duidelijk is dat de informatie geen waarde kan toevoegen, dan is het voor de betreffende gebruikers niet meer van belang of de inhoud wel of niet klopt. Dit is niet anders dan voor een fysiek product. Als iemand op basis van de specificaties van een fysiek product constateert dat het product voor hem niet bruikbaar is dan is het voor die persoon niet interessant meer of dat product wel of niet conform de specificaties gebouwd is en functioneert. Als zeker gesteld is dat de specificaties kloppen dan is de volgende stap zeker te stellen dat de inhoud integer is conform de gespecificeerde afbeelding van de werkelijkheid en eisen die aan integriteit gesteld zijn. Onjuiste, onvolledige, niet actuele, dubbele en overbodige gegevens zullen moeten worden gecorrigeerd in een opschoonactie. Daarna zal de geldigheid door de daartoe geautoriseerde personen moeten worden vastgesteld. Na validatie bevinden de gegevens zich in een integere toestand. Direct vanaf dat moment dient de defensieve strategie er voor te zorgen dat de gegevens integer blijven.
Om bovengenoemde principes te realiseren voegen wij de volgende, niet expliciet door Clark&Wilson genoemde, maatregelen en zekerheden toe: De TP dient te kunnen steunen op door het besturingssysteem of Database Management Systeem (DBMS) aangeboden faciliteiten, zoals transactie management in combinatie met journaling, die het mogelijk maken de oorspronkelijke toestand van gegevens te herstellen indien een transformatie halverwege afgebroken wordt. Toelichting: Een TP die wordt uitgevoerd kan, en soms zelfs moet, tussen twee toestanden in tijdelijk de interne consistentie van gegevens geweld aandoen [AGR.P3]. De TP waarborgt dat aan het eind de toestand weer integer is, maar heeft hulp nodig uit de omgeving om de begintoestand te herstellen als de TP voortijdig beëindigd wordt door een storing of verstoring door een andere TP. Transactiemanagement helpt storingen ook te voorkomen, namelijk door TP’s die met elkaar wedijveren om dezelfde gegevens bij te werken niet gelijktijdig vrij te geven.
Een gecertificeerd proces van wijzigingsbeheer moet waarborgen dat elke wijziging in een TP leidt tot een nieuwe certificatie van de TP en gerelateerde TP’s.
Een gecertificeerde verzameling beveiligingsmaatregelen (waaronder hardening, d.w.z. het verwijderen van alle onnodige systeemfuncties) dient te waarborgen dat gegevens niet gewijzigd kunnen worden zonder gebruikmaking van de gecertificeerde programmatuur.
De definitie en interne structuur (opzet) van gegevens is vooraf door de verantwoordelijke personen gevalideerd en geaccepteerd. Toelichting: De gegevensdefinitie is voor gegevens wat een blauwdruk is voor een te gebouwen gebouw. Het is belangrijk vooraf na te denken over de scope waarbinnen de gegevensdefinitie gaat gelden en 13 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Integriteit van informatie
leidend wordt voor de blauwdruk van TP’s. Binnen deze scope ontstaan de voordelen van semantische interoperabiliteit. Dit betekent dat men de mogelijkheid heeft gegevens op een eenduidige manier te begrijpen. Semantische interoperabiliteit is een meeromvattend begrip dan technische interoperabiliteit. Dat laatste zorgt er slechts voor dat systemen gegevens met elkaar kunnen uitwisselen zonder dat er garantie is dat het ontvangend systeem de gegevens kan verwerken. Technische interoperabiliteit beperkt zich tot de netwerk en transportlaag (Internet), de applicatie-protocollaag (bijv. http) en het berichtenprotocol/formaatlaag (bijv. SOAP). Semantische interoperabiliteit impliceert echter ook dat de structuur en de inhoud op een eenduidige manier zijn te begrijpen en door systemen te verwerken, mits de gehanteerde gemeenschappelijke terminologie door iedereen gekend, aanvaard en toegankelijk is [DOG.P1-3].
De blauwdruk (opzet) voor de realisatie van de TP’s is vooraf door de verantwoordelijke personen gevalideerd en geaccepteerd. Certificatie van een TP impliceert dat implementatie van deze TP conform de blauwdruk heeft plaats gevonden.
Als men gebruik maakt van informatie van een derde partij, dan moet vooraf zeker gesteld zijn en moet men er op kunnen vertrouwen dat deze informatie integer is en blijft. Dit kan bijv. via periodieke certificering, audits of bepaalde garanties. Toelichting: De relatie tussen de eigenaar van de gegevens in het bronsysteem en de externe gebruiker van de gegevens kan men beschouwen als een leverancier-klant verhouding. Gegevens worden beschikbaar gesteld in een vorm die tussen de eigenaar en de gebruiker/ontvanger van de gegevens afgesproken is. Deze afspraken omvatten zowel de semantiek, de syntax, de codering als de verpakking (incl. encryptie). Zo beschouwd zou de klant de leverancier in gebreke kunnen stellen als gegevens of informatie niet voldoen aan de overeengekomen specificaties, analoog aan de situatie dat een fysiek eindproduct niet voldoet aan de specificaties. Het is interessant om vast te stellen waar de aansprakelijkheid ligt als de gebruiker van de gegevens schade lijdt door gebruik van niet integere gegevens van buitenaf. De werkelijkheid is complexer omdat bij het transport van gegevens gebruik gemaakt kan worden van netwerkdiensten van derden. Ook deze derde partij moet garanties geven en kunnen aantonen dat zijn diensten de integriteit van de getransporteerde gegevens niet hebben aangetast.
De verantwoordelijkheid voor de kwaliteit van informatie dient te zijn belegd. Stel vast of de verantwoordelijkheden samen voldoende dekkend zijn, zonder overlap of gaps, om de kwaliteit van informatie te waarborgen. Stel, om de discussie op gang te brengen, in ieder geval vast wie aansprakelijk zijn voor schade die ontstaat door beslissingen op basis van verkeerde informatie. Toelichting: English geeft een uitgebreide opsomming van mogelijke rollen en verantwoordelijkheden, zowel in de “business” als in de IT organisatie [ENG.P403-404, P412-413]. In het kader van onze scriptie zijn de belangrijkste rollen de “business owner of data definition”, die verantwoordelijk is voor een gemeenschappelijke “business” taal en de “business subject matter expert”, die verantwoordelijk is voor de validatie van de gegevensdefinitie inclusief de specificatie van “business rules” en geldige waarden. Nog een belangrijke rol, die English noemt, is die van proceseigenaar (“process owner”). Deze is verantwoordelijk voor de integriteit van de processen die onder zijn verantwoordelijkheid worden uitgevoerd en voor de kwaliteit, en dus integriteit, van de opgeleverde informatie. Door een proces op te delen in opeenvolgende TP’s kan de proceseigenaar afleiden in welke mate integriteit binnen het betreffende proces kan worden afgedwongen.
Een gecertificeerde verzameling beschikbaarheidsmaatregelen dient te waarborgen dat het systeem en de TP’s beschikbaar zijn voor de geautoriseerde functionarissen. Het niveau van beschikbaarheid wordt afgeleid van de eisen die gesteld worden aan tijdige registratie van gegevens en tijdige beschikbaarstelling van informatie.
14 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Integriteit van informatie
Een gecertificeerde verzameling backup en recovery maatregelen dient te waarborgen dat na een calamiteit het systeem teruggebracht kan worden in een actuele integere toestand.
Afdwingen externe consistentie Voor het afdwingen van de interne consistentie is de rol van de gebruiker niet van belang. Het maakt niet uit wie een TP uitvoert en wie gegevens aan een TP aanbiedt. De TP blijft de interne consistentie waarborgen en een eenmaal bereikt niveau van integriteit handhaven. De TP is echter niet in staat te controleren of de eerste vastlegging van gegevens in overeenstemming is met de werkelijkheid. Voor het afdwingen van externe consistentie, in aanvulling op de interne consistentie worden daarom een aantal extra principes en maatregelen toegevoegd. Deze zijn behalve aan Clark&Wilson ook ontleend aan een rapport van een Integrity Study Group [STG]. Alleen geautoriseerde personen, eventueel alleen in een bepaalde rol, mogen een bepaalde TP uitvoeren om via deze TP de toestand van bepaalde gegevens te wijzigen of informatie te produceren. Hierbij dient rekening gehouden te worden met de van toepassing zijnde functiescheiding. N.B. Wij vinden dat wijzigen in feite gebeurt volgens het principe “must change”. Dit betekent dat de geautoriseerde persoon de gegevens, conform de eisen van tijdigheid, moet (en moet kunnen) aanpassen zodra de gedefinieerde werkelijkheid wijzigt. Dit betekent ook dat niemand en niets de gegevens mag aanpassen zolang de werkelijkheid niet gewijzigd is. Het “must change” principe is de tegenhanger van het bekende “need to know” principe voor vertrouwelijkheid.
Het systeem bevat autorisatietabellen waarin de hiervoor genoemde toegestane combinaties tussen personen, rollen, TP’s en gegevens moeten worden onderhouden.
De “administrator” die in staat is de hiervoor genoemde autorisatietabellen te onderhouden dient niet in staat te zijn TP’s uit te voeren waarvoor hij de autorisaties beheert. Bovendien dient degene die in staat is een persoon aan een rol te koppelen niet dezelfde zijn als degene die in staat is een persoon of rol via een TP aan gegevens te koppelen.
Het systeem voorziet in een mechanisme voor toegangsbeveiliging met de mogelijkheid om de identiteit van een gebruiker die een TP wil uitvoeren te authenticeren.
Het systeem voorziet in een “append” logbestand waarin wordt vastgelegd welke TP’s door welke gebruikers zijn uitgevoerd en op basis waarvan de continue werking van de functiescheiding kan worden gecontroleerd; de integriteit van het logbestand dient streng afgedwongen te worden.
Het systeem voorziet in een audit trail waarmee de transformatie van gegevens kan worden gereconstrueerd en de geldigheid van informatie kan worden gecontroleerd.
Om deze principes te realiseren voegen wij de volgende, niet expliciet door Clark&Wilson genoemde, zekerheden toe: De functies, rollen en functiescheiding (opzet), die de basis vormen voor de inhoud van de autorisatietabellen, zijn vooraf door de verantwoordelijke personen gevalideerd en geaccepteerd.
Een medewerker die door een andere functionaris gemandateerd is TP’s uit te voeren dient alleen TP’s te kunnen uitvoeren waarvoor deze functionaris zelf geautoriseerd is. Bij voorkeur controleert het systeem dit met behulp van tabellen waarin mandateringen worden onderhouden. Toelichting: Vaak worden administratieve krachten ingezet voor registratie en verwerking van de uitvoer. De eindverantwoordelijkheid blijft bij de oorspronkelijk geautoriseerde persoon. Deze dient de noodzakelijke controles uit te voeren.
Beperkingen van de defensieve strategie: Als het mogelijk zou zijn integriteit volledig af te dwingen conform de defensieve strategie waren we nu klaar. Risicoanalyse toont echter aan dat er zwakke plekken zijn in deze strategie waardoor we niet 15 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Integriteit van informatie
volledig op het afdwingen kunnen vertrouwen. De belangrijkste zwakke plek is de mens. Menselijke fouten zijn onvermijdelijk en de geaccepteerde prijs die menselijke wezens moeten betalen voor hun opmerkelijk vermogen om snel en vaak effectief ingewikkelde taken uit te voeren. Een fout definiëren we als een generiek begrip die alle situaties omvat waarin een geplande serie mentale of fysieke activiteiten niet tot het bedoelde resultaat leidt, terwijl deze mislukkingen niet kunnen worden toegeschreven aan de ingreep van een kracht van buiten [REA.P9]. Er kunnen twee typen basisfouten worden onderkend. Het eerste type betreft vergissingen die tot gevolg hebben dat de activiteiten niet volgens plan worden uitgevoerd. Het tweede type basisfout betreft een verkeerd begrip met als gevolg dat een plan wordt gemaakt dat zelf ontoereikend is om de doelstelling te realiseren, d.w.z. als het plan wordt gerealiseerd dan worden toch niet de gewenste resultaten gehaald [REA.P17]. Beide typen basisfouten kunnen tot verzwakking leiden in het raamwerk van de defensieve strategie. Fouten van het tweede type kunnen bijvoorbeeld leiden tot een onjuiste opzet van de blauwdruk voor TP’s, een onjuiste opzet van functiescheiding en een onjuist ontwerp van de interne gegevensstructuur. Ze kunnen ook leiden tot een tekort schietende opzet van wijzigingsbeheer en maatregelen voor toegangsbeveiliging. Fouten van het eerste type kunnen leiden tot onjuiste implementatie en certificatie van TP’s en algemene maatregelen. Maar bovenal kan het raamwerk niet voorkomen dat gebruikers nalaten gegevens te registreren of gegevens registreren die niet extern consistent zijn. Dat geldt ook voor de gegevens (autorisaties) in de autorisatietabellen. Op dit laatste, de problematiek van de externe consistentie, concentreren we ons in het vervolg van dit hoofdstuk. Een andere beperking van het defensieve raamwerk is dat personen die te kwader trouw zijn bewust zwakke plekken in het raamwerk kunnen inbouwen en/of bestaande zwakke plekken benutten. Van buitenaf kunnen hackers toeslaan en van binnenuit kan iemand zich bijvoorbeeld rechten toe-eigenen om buiten de officiële TP’s om gegevens te wijzigen. Er is nog een speciale reden waarom het defensieve raamwerk ontoereikend is. Het verstrijken van tijd op zichzelf kan namelijk veroorzaken dat de informatie na verloop van tijd niet meer integer is, d.w.z. niet meer in overeenstemming met de werkelijkheid die wordt afgebeeld. Als bij een persoon diens adres (niet tijdsgebonden) is vastgelegd in een systeem en de persoon verhuist dan klopt dit adres niet meer met de werkelijkheid.
2.5.2 Offensieve strategie Omdat het onmogelijk is menselijke fouten gegarandeerd uit te sluiten moeten we manieren vinden om de consequenties van die fouten te mitigeren in omstandigheden waarin dat nodig is [REA.P148]. Voor zover bekend zijn er drie manieren waarin fouten onder de aandacht van mensen gebracht kunnen worden: 1. Zelfcontrole; dit vindt plaats in een range van onbewust tot bewust. Voorbeelden van onbewuste zelfcontrole zijn het herstel van typefouten en het net op tijd voorkomen dat je thee schenkt in de suikerpot. Een voorbeeld van bewuste zelfcontrole is het controleren of het juiste document is bijgevoegd in een email. 2. Iets in de omgeving maakt duidelijk dat men op het verkeerde spoor zit. Het is belangrijk dat het signaal gegeven wordt voordat het leed geschied is. Er kan een onderscheid gemaakt worden naar blokkeerfuncties en waarschuwende boodschappen. Blokkeerfuncties zijn het meest duidelijk en in feite de kern van de defensieve strategie. Deze functies dwingen het goede te doen: met een verkeerde sleutel gaat de deur niet open en als een klant niet bestaat dan krijgt men geen order ingevoerd. Een voorbeeld van een waarschuwende boodschap is de boodschap dat het ingevoerde bedrag onwaarschijnlijk hoog is. 3. De fout wordt ontdekt door een andere persoon en die koppelt dat terug. Een voorbeeld is dat je tijdens een autorit een afslag dreigt te vergeten en je medepassagier maakt je daarop attent. Ook het ontdekken van fouten tijdens het bewust controleren van te verstrekken medicatie, conform voorschrift, door een tweede persoon valt in deze categorie.
16 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Integriteit van informatie
Als we de aanbevelingen voor informatiekwaliteit van het ITGI [ITGI.P81-85] en English [ENG.P337-399] combineren en interpreteren dan kunnen we concluderen dat aan de volgende voorwaarden moet worden voldaan om de invloed van menselijke fouten te minimaliseren en daardoor de integriteit te stimuleren. 1. De aandacht voor de integriteit en kwaliteit van informatie moet voor alle betrokkenen continu zichtbaar zijn. 2. Mensen moeten elkaar vertrouwen en menselijke barrières die het bevorderen van integriteit in de weg staan moeten worden afgebroken. 3. Maak afspraken, procedures en werkwijzen om de integriteit van gegevens en communicatie daarover te bevorderen zo eenvoudig mogelijk. 4. Wees proactief in het bewaken van integriteit en opsporen van integriteitsfouten. 5. Zorg voor geautomatiseerde ondersteuning van gebruikers en procedures, die bijdraagt aan het voorkomen, detecteren en corrigeren van fouten. We gaan nu nader op deze voorwaarden in en zullen daarbij een groot aantal maatregelen noemen die helpen realiseren dat aan deze voorwaarden wordt voldaan. Aandacht (cultuur) 1. Richt het beleid mede op het bevorderen en behouden van de integriteit van gegevens. Alle betrokkenen moeten begrijpen wat er bedoeld wordt met de term integriteit van informatie en wat het belang is van integriteit voor het bereiken van doelstellingen. Verder moeten ze begrijpen hoe ze persoonlijk kunnen bijdragen aan het waarborgen van de integriteit. 2. Draag continu het beleid uit. Degenen die de leiding of de regie hebben dienen zich voortdurend in te spannen het belang van integriteit en van de kwaliteit van informatie onder de aandacht te brengen [ITGI.P86]; 3. Geef het vastleggen van gegevens meer status. Motiveer mensen tevens door de juiste wijze van belonen, waardoor medewerkers trots worden op hun vakmanschap. Bedenk dat beloningen die efficiëntie nastreven vaak de kwaliteit nadelig beïnvloeden [ITGI.P80]. Beter is het belonen van het vinden van fouten of van praktische ideeën om de integriteit te verbeteren. Vertrouwen (organisatie) Vertrouwen bevordert samenwerking [MCK.P1] en samenwerking impliceert dat men elkaars gegevens gaat gebruiken en elkaar helpt bij het corrigeren en verbeteren van gegevens. Mcknight onderkent drie soorten van vertrouwen [MCK.P9-14]. Natuurlijk (dispositional) vertrouwen is het algemene vertrouwen dat iemand van nature heeft, ongeacht de situatie waarin hij terecht komt en de personen met wie hij te maken heeft. Interpersoonlijk (interpersonal) vertrouwen is vertrouwen dat iemand in een specifieke situatie in een specifiek ander persoon heeft. Het is de intentie, op basis van informatie en ervaringen, iemand te vertrouwen hoewel men nooit helemaal zeker weet of dit niet verkeerd kan uitpakken. Systeem (system) vertrouwen is het vertrouwen in van kracht zijnde onpersoonlijke maatregelen en structuren, zoals wet- en regelgeving, garanties en contracten. Natuurlijk vertrouwen is nauwelijks te beïnvloeden. Systeemvertrouwen wordt bevorderd door maatregelen die we hiervoor beschreven hebben in het kader van de defensieve strategie. Het vertrouwen dat deze maatregelen geven, stimuleren, bezien vanuit de offensieve strategie, de integriteit echter niet. Het risico is zelfs aanwezig dat men zozeer op deze maatregelen en het systeem vertrouwt dat het ten koste gaat van de samenwerking, of nog erger dat men de maatregelen ziet als een gebrek aan vertrouwen, hetgeen juist meer wantrouwen tot gevolg heeft. Interpersoonlijk vertrouwen is het soort vertrouwen dat door de organisatie positief kan worden beïnvloed en dit kan bijvoorbeeld op de volgende manieren: 1. Focus op het oplossen van grensproblemen en barrières tussen afdelingen, business units en organisaties. Breng regelmatig samen met medewerkers in kaart welke barrières er zijn die het waarborgen van integriteit in de weg staan [ITGI.P86]. N.B. Heb oog voor de eigen belangen van medewerkers. Eigen belang belemmert samenwerking. 17 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Integriteit van informatie
Eigen belang kan bijv. voortkomen uit het idee “kennis is macht” of de angst andere partijen inzicht in de eigen keuken te moeten geven, terwijl die keuken niet zo erg op orde is. 2. Houd bij het bepalen van de informatiebehoeften en integriteitseisen rekening met alle bekende “zekere” behoeften, die vaak verder gaan dan de eigen afdeling of organisatie [ENG.P44]. Daardoor voorkomt men dat afdelingen of met elkaar samenwerkende organisaties met betrekking tot uit te wisselen gegevens hun eigen gegevensverzamelingen opzetten, die niet op elkaar aansluiten. Toelichting: Men moet er voor waken dat de communicatie over integriteit, in de operationele fase, niet vertroebeld wordt door semantische discussies doordat betrokken partijen geen gemeenschappelijk beeld gekregen hebben van de definitie van gegevens. Dit risico bestaat als partijen in een verschillende context werken met een verschillende naamgeving (homoniemen, synoniemen), overlappende begrippen en een verschillend detailniveau van gegevens, enzovoorts. Pokraev geeft een overzicht van deze semantische problematiek [POK.P3-5]. De boodschap die we kunnen afleiden is dat we in een vroeg stadium rekening moeten houden met de verschillende terminologie, informatiebehoeften en integriteitseisen in de verschillende contexten binnen scope. Al deze zaken dienen op elkaar afgestemd en met elkaar in verband gebracht te worden. 3. Roep overlegorganen in het leven waarin stakeholders in een gemeenschappelijke context gezamenlijke afspraken kunnen maken over de betekenis van gegevens en informatie en het vereiste niveau van integriteit. Implementatie en naleving van deze afspraken in de eigen systemen bevordert gegevensuitwisseling en wederzijds vertrouwen in informatie. 4. Stel medewerkers in de gelegenheid mee te denken bij het ontwerpen van processen en systemen met het doel in te bouwen dat men voordelen heeft als men de gegevens goed invoert, bijvoorbeeld doordat men vervolgens bruikbare informatie terugkrijgt. 5. Bevorder dat medewerkers terugkoppeling krijgen over de bruikbaarheid en het gebruik van informatie die gebaseerd is op gegevens die zij hebben vastgelegd. Als medewerkers bovendien weten wie hun gegevens gebruiken of gebruikt hebben, dan kunnen zij deze personen achteraf informeren als ze een fout ontdekt hebben. Zoals hiervoor beschreven biedt vertrouwen een basis voor samenwerking en aandacht voor integriteit. We willen echter nogmaals stil staan bij het risico van teveel vertrouwen, of beter gezegd een gebrek aan wantrouwen, als men de gegevens van een ander gebruikt. De volgende tabel geeft weer welke fouten in het proces van gegevensverwerking kunnen leiden tot foutieve output. De fouten in de werkelijkheid zijn vooral van toepassing op prescriptieve gegevens, d.w.z. gegevens die iemand op basis van zijn autoriteit heeft vastgesteld. Fouten in de registratie kunnen zowel optreden voor descriptieve als prescriptieve gegevens. Risico's input Risico's verwerking Risico's output
Fouten in de werkelijkheid Input niet volledig beschikbaar, niet volledig bruikbaar of niet goed begrepen Verkeerde oordeelsvorming op basis van beschikbare en bruikbare input Niet duidelijk aangegeven in welke context de informatie (output) ontstaan is en relevant is
Fouten in de registratie Input niet conform de werkelijkheid geregistreerd (onvolledig, onjuist, niet actueel, ongeldig) TP doet zijn werk niet goed en tast de integriteit van gegevens aan Registratie output niet conform de werkelijkheid of het resultaat van de oordeelsvorming (onvolledig, onjuist, niet actueel), of registratie ongeldig
Tabel 2.1 Fouten in het proces van gegevensverwerking
Uit de tabel wordt duidelijk dat allerlei soorten fouten en misverstanden kunnen resulteren in informatie (output) die niet of minder bruikbaar is. Als men informatie van een externe partij wil gebruiken als input voor zijn eigen proces, dan is een gezonde dosis wantrouwen dus op zijn plaats. Onze eigen ervaring is dat men soms gaat leunen op de informatie van de ander, uit gemakzucht of om conflicten te vermijden. Een volgende partij in de keten van informatievoorziening kan dan eerder 18 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Integriteit van informatie
geneigd zijn binnen zijn oordeelsvorming tot resultaten te komen die resultaten van zijn voorgangers bevestigen. Een gezonde balans tussen vertrouwen in (en samenwerking met) partijen die informatie opleveren en wantrouwen in de informatie die door deze partijen wordt opgeleverd draagt onzes inziens het meest bij aan continue verhoging van de kwaliteit en integriteit van informatie. Eenvoud (proces) We definiëren het vereenvoudigen van het proces als het verminderen van het aantal bewerkingen of het aantal betrokken personen zonder dat dit ten koste gaat van de effectiviteit van het proces en zonder dat dit tot een groter risico leidt. Het vereenvoudigen van het proces maakt aldus de kans op het maken van fouten kleiner en de mogelijkheid het proces te begrijpen groter. Daardoor is het ook eenvoudiger eenmaal gemaakte fouten te herstellen. We noemen een aantal maatregelen die het proces kunnen vereenvoudigen: 1. Bevorder dat gegevens gebruikt worden: “use it or lose it” [ORR.P68]. Dit kan bijvoorbeeld door op de gegevens gebaseerde informatie op maat aan te bieden in de context van het bedrijfsproces. Gegevens die niet gebruikt worden veroorzaken ruis. Bovendien is er een grotere kans op verlies aan integriteit doordat niemand eventuele fouten terugkoppelt, wat weer tot gevolg heeft dat ook toekomstig gebruik wordt ontmoedigd. Breng in kaart welke gegevens niet gebruikt worden en beslis wat hier mee gedaan moet worden. 2. Leg gegevens vast op één plek, zo dicht mogelijk bij de bron, waar de werkelijkheid ontstaat of feiten van de werkelijkheid bekend worden. Door het vermijden van tussenstappen en tussenpersonen vermindert de kans op fouten [ENG.P58]. Dit betekent tevens dat men altijd terugkoppelt naar de bron als men een fout ontdekt, ongeacht in welke gegevenstoestand men deze fout ontdekt. 3. Lever de eindinformatie zoveel mogelijk rechtstreeks vanuit het systeem af op de plaats van bestemming, waar de informatie gebruikt wordt. Dit voorkomt dat iemand de te distribueren informatie nog kan manipuleren of dat deze kan zoekraken. 4. Zorg voor beschikbaarheid en toegankelijkheid van afspraken, procedures en werkwijzen die gericht zijn op het bevorderen van integriteit. Zorg dat alle gebruikers toegang hebben tot de definities van gegevens die door hen gebruikt worden. Proactiviteit 1. Zorg altijd voor een extra controle van ingevoerde of gewijzigde gegevens door de persoon zelf, of liever nog, door iemand anders. Het ontbreken (of verkeerd toepassen) van een extra bewuste controle in een routinematig of procedureel proces is namelijk de grootste oorzaak van fouten [REA.P59]. Toelichting: Extra controle kan bijvoorbeeld gerealiseerd worden door gebruik te maken van het 4-ogen principe, het resultaat te laten aftekenen door de tegenpartij, gegevens door verschillende medewerkers dubbel laten vastleggen of gegevens te laten invoeren door degene die (als enige) belang heeft bij integere informatie (in de verwachting dat die persoon extra zal controleren). Controleer ook altijd of de opgeleverde informatie relevant is ten opzichte van de gestelde vraag. Om zeker te stellen dat extra controles plaats vinden en dat deze zo weinig mogelijk tijdverlies opleveren dienen deze ingebakken te worden in harde procedures of een workflow, bij voorkeur geautomatiseerd. 2. Instrueer personeel elk contact met klant of cliënt te gebruiken om veranderlijke gegevens te controleren. Bedenk hierbij dat het niet eens zo erg is als gegevens verouderd zijn, zolang ze maar niet gebruikt worden. Gaat men ze echter voor het eerst weer gebruiken dan moet men de actualiteit herstellen. Het vastleggen en kennen van de meest recente datum van actualisatie is voor deze activiteit trouwens onontbeerlijk.
19 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Integriteit van informatie
3. Bewaak continu en nauwgezet dat men de gemeenschappelijke afspraken over het hanteren van de gegevensdefinities- en standaarden en de wijze van registratie naleeft. Vervuiling die ontstaat door het niet naleven is niet of slechts met veel inspanning ongedaan te maken. Dit heeft tot gevolg dat systemen niet meer op elkaar aansluiten. 4. Ga periodiek na of de persoonlijke routines, de procedures, protocollen en controles die de bedoeling hebben integriteit te stimuleren nog effectief zijn. 5. Analyseer, binnen het kader van het proces probleembeheer, de integriteitgerelateerde klachten en incidenten die zijn aangemeld bij de klachtenafdeling of helpdesk, om bronoorzaken op te sporen. 6. Ga regelmatig systematisch op zoek naar fouten. Met behulp van software kan op basis van de semantiek van de informatie en kennis van de werkelijkheid actief gezocht worden naar onregelmatigheden en patronen die afwijken van wat je in de werkelijkheid zou verwachten. Hierbij wordt gebruik gemaakt van data analyse en datamining. Analyseer ook frequent de informatie in logbestanden. Geautomatiseerde ondersteuning Binnen de defensieve strategie is beschreven hoe TP’s integriteit deels kunnen afdwingen, namelijk door de interne consistentie te verdedigen en te handhaven. Informatiesystemen kunnen echter ook een rol spelen bij het ondersteunen van gebruikers en procedures binnen het kader van de offensieve strategie. We noemen een aantal mogelijkheden: 1. Implementeer extra gegevens in de gegevensverzameling op basis waarvan gebruikers de integriteit kunnen bepalen en zo nodig ingrijpen. Voorbeelden van dergelijk gegevens zijn: volgnummers, timestamp (datum/tijd van de laatste update) en de naam van de persoon die de laatste wijziging heeft aangebracht. Men kan zelfs gegevensrubrieken toevoegen met een definitie zoals “indicatie van de mate waarin de gegevens van dit object integer zijn”, “indicatie dat de integriteit formeel is vastgesteld” of “indicatie dat een waarde of een combinatie van waarden bewust is geaccepteerd ondanks een waarschuwing voor mogelijke integriteitsconflicten”. 2. Implementeer extra functionaliteit in de programmatuur die de gebruikers ondersteunen bij het bepalen van de integriteit. Voorbeelden van dergelijk functionaliteit zijn: totaaltellingen, tonen van een omschrijving bij een code, intuïtieve formulieren of gebruik van kleuren om recepten te onderscheiden. Geef hierbij aandacht aan de samenhang tussen de geprogrammeerde ondersteuning en de procedurele controles. 3. Bouw in het informatiesysteem mogelijkheden in om fouten terug te koppelen naar de bron en bij de bron correcties aan te brengen. 4. Bouw in het systeem signaleringen in die informatie geven over de status van integriteit, bijvoorbeeld het terugmelden dat ingevoerde gegevens al dan niet verwerkt zijn, of het waarschuwen dat bepaalde gegevens nog niet op externe consistentie gecontroleerd zijn. 5. Leg brondocumenten, ten behoeve van reconstructie- of controledoeleinden, zoveel mogelijk elektronisch vast en zorg voor toegankelijkheid ervan op de plek waar inzage nodig is. 6. Richt het op de klachtenafdeling of helpdesk gebruikt systeem zodanig in dat ook specifiek inzicht verkregen kan worden in de integriteitgerelateerde incidenten. Zorg dat het systeem onderdeel is van goed functionerende processen Incidentmanagement en Probleembeheer. 7. Veel van de voornoemde mogelijkheden en nog meer kunnen ondergebracht worden in een workflowmanagementsysteem (WfMS). Het implementeren van een WfMS is geen sinecure maar als de implementatie slaagt dan zijn de resultaten tastbaar en substantieel en gewoonlijk beter dan verwacht [REIJ.P15]. In relatie tot integriteit zijn de mogelijke voordelen o.a.: op het juiste moment afdwingen van interne controlehandelingen, automatische signalering, gebruik van 20 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Integriteit van informatie
standaard formulieren waarop van tevoren zoveel mogelijk bekende gegevens al zijn ingevuld en registratie van handelingen zodat achteraf gecontroleerd kan worden of deze aan de eisen voldoen.
2.5.3 Strategieën versus enablers Binnen de defensieve strategie spelen de enablers beveiliging, beschikbaarheid, consistentie en zekerheid een belangrijke rol. Beveiliging (inclusief logging) zorgt er voor dat gegevens alleen verwerkt kunnen worden via gecertificeerde programma’s en dat die programma’s alleen uitgevoerd kunnen worden door geautoriseerde personen. Beschikbaarheid zorgt er voor dat programma’s uitgevoerd kunnen worden wanneer dat vereist is. Consistentie bevordert dat programma’s integriteit kunnen afdwingen met behulp van geprogrammeerde controles die gebaseerd zijn op vergelijking van gegevens in verschillende toestanden in verschillende informatiesystemen. Zekerheden vooraf, bijvoorbeeld in de vorm van certificaten en certificatie, geven waarborgen voor handhaving van integriteit. Binnen de offensieve strategie spelen de enablers begrijpelijkheid, stabiliteit, controleerbaarheid en corrigeerbaarheid een grotere rol. Begrijpelijkheid is enerzijds gericht op het vergroten van het begrip voor het belang van integriteit (aandacht) en het begrip dat mensen onderling voor elkaar hebben (vertrouwen en terugkoppeling) en anderzijds op de herkenbaarheid van de informatie binnen de context waarin iemand werkzaam is (eenvoud). Stabiliteit, het feit dat informatie overeenkomt met het verwachtingspatroon, bevordert vertrouwen en vereenvoudigt de beheersing van integriteit. Controleerbaarheid en corrigeerbaarheid maken detectie en herstel van fouten mogelijk en wordt zoveel mogelijk geautomatiseerd ondersteund. De basis voor controleerbaarheid wordt trouwens deels al gelegd binnen de defensieve strategie, door het loggen van het gebruik van de TP’s. De relatie tussen enablers en de strategieën is niet zwart-wit. Consistentie bijvoorbeeld, genoemd in relatie tot de defensieve strategie, bevordert ook de communicatie tussen mensen binnen de offensieve strategie. Stabiliteit, genoemd in relatie tot de offensieve strategie, legt ook minder druk op het proces van wijzigingbeheer. Eveneens is het zich niet moeilijk voor te stellen dat controleerbaarheid, genoemd in relatie tot de offensieve strategie, een preventief effect heeft binnen de defensieve strategie. Begrijpelijkheid tot slot, genoemd in relatie tot de offensieve strategie wordt ook bevorderd door de eenduidige gegevensdefinitie die, binnen de defensieve strategie, de verwerking van gegevens uit andere systemen mogelijk maakt.
2.5.4 Vergelijking met Cobit In bijlage A wordt een overzicht gegeven van de control objectives uit Cobit 4.1 die op een of andere manier te relateren zijn aan integriteit. Dit overzicht is gebaseerd op de control objectives uit Cobit 3 die zijn geselecteerd door het ITGI [ITGI.P87-92] en door ons zijn vertaald naar Cobit 4.1 met behulp van de cross reference “Cobit 3 – Cobit 4.1” [COB.P180-183]. Na bestudering van deze control objectives concluderen we dat deze vrijwel geheel afgedekt worden door de maatregelen, die in ons strategieraamwerk genoemd worden. Alleen de control objectives binnen het gebied “performance assessment” worden niet afgedekt. Deze vallen echter buiten scope van deze scriptie. Verder is een opvallend punt dat de Cobit control objectives meer aansluiten op de defensieve strategie dan de offensieve strategie.
2.5.5 Samenvatting maatregelen Tabel 2.2 bevat een samenvatting van de maatregelen die genoemd zijn binnen de behandelde strategieën. Deze tabel komt in uitgebreidere vorm terug in hoofdstuk 4 als een verzameling referentiemaatregelen die onderdeel vormen van het kader om integriteit te beoordelen.
21 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Defensieve strategie
Offensieve strategie Aandacht
Cultuur Organisatie
• • • • • •
Eigenaarschap gegevens Eigenaarschap TP’s Integriteit gegevens derde partij
• • •
• • • • •
Oplossen grensproblemen Voorkomen eigen gegevensverzamelingen Overlegorganen gegevensstandaarden Betrokkenheid bij ontwerp Terugkoppeling bruikbaarheid informatie
Scheiding van autorisatie TP’s en uitvoering TP’s
Validatie
• •
Beleid opstellen en uitdragen Statusverhoging en beloning
Vertrouwen
Verantwoordelijkheid
Functiescheiding
Proces/ procedure
Integriteit van informatie
Eenvoud
Architectuur systeemomgeving Gegevensdefinitie (semantische interoperabiliteit) Blauwdruk programmatuur (TP’s) Opzet functiescheiding Begintoestand van de gegevensverzameling (d.m.v. IVP)
• • • •
Bevorderen van gegevensgebruik Vastlegging bij de bron Eindinformatie bij bestemming Toegankelijkheid documentatie
Proactiviteit
• •
Extra controle inbouwen Controleren actualiteit bij elke gelegenheid Bewaking naleving gegevensstandaarden Bewaking effectiviteit procedures en controles Klachten en incidenten analyseren Systematisch fouten opsporen
Certificatie
• • • • •
General IT controls Gerealiseerde programmatuur (TP’s) Implementatie interne gegevensstructuur Garantie van informatieleveranciers Persoonlijke- en systeemcertificaten
• • • •
Authenticatie en autorisatie
• •
IT
Beheer gebruikers en autorisatie Procedures voor authenticatie, autorisatie en wachtwoorden
General IT Controls • • • •
General IT Controls
Beveiliging, incl. autorisatiemechanisme en logging Wijzigingsbeheer Beschikbaarheidsbeheer Transactiemanagement
Incident Management Probleembeheer
Geautomatiseerde ondersteuning •
•
Application Controls •
• •
Garanderen interne consistentie (d.m.v. TP)
• •
Tabel 2.2: Samenvatting beheersmaatregelen binnen de op integriteit gerichte strategieën
22 van 56
Extra gegevens t.b.v. controle door gebruiker of belanghebbende Extra functionaliteit t.b.v. controle door gebruiker of belanghebbende Mogelijkheden voor terugkoppeling en correctie fouten Elektronische vastlegging brondocumenten
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
3 Het Landelijk Elektronisch Medicatiedossier 3.1 Inleiding Dit hoofdstuk beschrijft in het kort de Nederlandse Gezondheidszorg en gaat vervolgens in op de Nederlandse oplossing voor een landelijk elektronisch patiëntendossier (Landelijk EPD) en de toepassingen Medicatiegegevens en Medicatiebewaking (tezamen het Landelijk EMD). Specifieke aandacht zal besteed worden aan de rol van de belanghebbenden, de bijdrage van het Landelijk EMD aan de doelstellingen, en maatregelen die voorzien zijn om integriteit af te dwingen en te stimuleren. Voor dit onderzoek is gebruik gemaakt van versie 6.0.0.0. van de door Nictiz opgestelde documentatie van het Elektronisch Patiëntendossier, te vinden op www.infoepd.nl. Het hoofdstuk wordt afgesloten met een samenvatting van de interviews die met vertegenwoordigers van nagenoeg alle stakeholders zijn gehouden.
3.2 Gezondheids- en Welzijnszorg De Gezondheidszorg in Nederland is een grote markt. In 2006 werd € 72,2 miljard uitgegeven aan gezondheids- en welzijnszorg [CBS.P91]. Van dit bedrag ging € 42,5 miljard naar de gezondheidszorg. Gezondheidszorg en Welzijnszorg zijn markten die tegen elkaar aan liggen. Grofweg is de scheiding hiertussen dat gezondheidszorg zich richt op de persoonlijke (lichamelijke en geestelijke) gezondheid en dat welzijnszorg zich richt op het persoonlijk welzijn in de omgeving. Patiënt en Zorgverlener De afnemers van zorg (de zorgvragers) zijn patiënten. Iedereen krijgt gedurende zijn leven met de gezondheidszorg te maken. Dat begint al bij de geboorte en daarna volgen een hele reeks zorgverleners zoals consultatiebureau, kinderarts, schoolarts, huisarts en tandarts. In ernstiger gevallen wordt een patiënt opgenomen in een ziekenhuis, een verpleeghuis, of een psychiatrische kliniek. Gedurende een mensenleven blijft iedereen contact houden met de gezondheidszorg. De intensiteit van zorgvraag is verschillend tussen personen, maar ook tijdens het leven van een individuele patiënt komen grote verschillen in zorgvraag voor. Eerste-, tweede- en derdelijnsgezondheidszorg De zorg wordt vaak ingedeeld in eerste, tweede en soms ook derdelijnsgezondheidszorg. Dit is gedaan om de zorgzoekenden op een gecontroleerde manier naar de juiste zorgverlener te brengen. De eerstelijnszorg is zorg die laagdrempelig en toegankelijk is. De huisarts is in deze het meest bekend. Andere voorbeelden zijn kraamhulp en tandarts. Tweedelijnsgezondheidszorg wordt verleend door specialisten. De patiënt moet er naar doorverwezen worden. De verwijzing is hierbij kenmerkend. Derdelijnsgezondheidszorg tot slot is de zorg waarbij de patiënt in een instelling, zoals een verpleeghuis, verblijft. De polikliniek van een ziekenhuis is dus tweedelijns terwijl een opgenomen patiënt zorg krijg via de derdelijn. De indeling is vooral gemaakt om de zorg efficiënter en goedkoper te maken, zodat dure experttijd niet onnodig verbruikt wordt. Specialismen Behalve dat de zorg in verschillende lijnen afgenomen kan worden is het vak van zorgverlener zo veelomvattend dat er specialisaties en medische deelgebieden zijn: interne geneeskunde, chirurgie, orthopedie, urologie, etc.. Een algemeen ziekenhuis heeft al snel zo’n 20 verschillende specialismen. Een academisch ziekenhuis telt meestal het dubbele aantal. Er zijn echter ook gespecialiseerde ziekenhuizen met slechts enkele specialismen. Verwijzing, consult en medebehandeling Het begrip verwijzing is al aan de orde geweest bij de indeling van de gezondheidszorg in eerste-, tweede- en derde lijn. Een verwijzing vindt plaats in het geval dat een zorgverlener de patiënt 23 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
doorverwijst naar een gespecialiseerde arts of instantie die beter toegerust is qua kennis en middelen om de patiënt te behandelen. Behalve het overdragen van de patiënt naar een andere zorgverlener, zijn er ook vormen waarbij de patiënt door meerdere zorgverleners tegelijk wordt behandeld: Consult: de zorgverlener stelt een gerichte vraag aan een collega op basis van zijn bevindingen en verwacht daarop een antwoord. Het is mogelijk dat hierbij arts - patiëntcontact plaatsvindt tussen de geconsulteerde zorgverlener en de patiënt. Medebehandeling: in dit geval roept de zorgverlener de hulp in van een andere zorgverlener. Voorbeeld: bij een operatie waarbij de patiënt complete narcose ontvangt vanwege een ingreep door een algemeen chirurg voert tevens een collega uroloog een ingreep uit. De patiënt hoeft hierdoor slechts één keer onder narcose. Multidisciplinaire zorg: voor bepaalde patiëntgroepen en/of ziektebeelden is behandeling door een team van verschillende zorgverleners mogelijk. Voorbeelden hiervan zijn geriatrische patiënten en patiënten met diabetes. Tenslotte noemen wij nog een aantal termen die van belang zijn om de problematiek van de medicatieverstrekking en medicatiebewaking te kunnen begrijpen: Intra- en extramurale zorg: bij intramurale zorg wordt de patiënt intern behandeld en verlaat de patiënt de instelling als de behandeling beëindigd is. In deze situatie is er grote controle op de gesteldheid van de patiënt, bijvoorbeeld bij de toediening van medicatie. Bij extramurale zorg is er veel minder controle en toezicht op de patiënt. Dit is bijvoorbeeld het geval bij poliklinische behandeling. Ook het bezoek aan de huisarts die een medicijn voorschrijft, en vervolgens de patiënt pas weer ziet nadat de kuur is voltooid, valt onder extramurale zorg. Spoedeisende en geplande zorg: bij spoedeisende zorg staat, in tegenstelling tot geplande zorg, het medische proces van onderzoeken, diagnose stellen en behandelen onder tijdsdruk. De conditie van de patiënt: de patiënt is de centrale persoon in het proces. Fouten in het proces kunnen de patiënt schaden en zelfs de dood tot gevolg hebben. De relatie tussen de zorgverlener en de patiënt is van belang voor een goed verloop van het proces. Behalve een vertrouwensrelatie is de conditie van de patiënt van invloed. Een comapatiënt kan bijvoorbeeld niet gevraagd worden welke medicijnen hij gebruikt heeft. In het algemeen, maar vooral bij oudere en psychiatrische patiënten, kan het vragen naar het medicijngebruik een onbetrouwbaar antwoord opleveren. Ook kan een zorgverlener een comapatiënt niet wegsturen met een recept en bij patiënten met een verminderde cognitie is het riskant er op te rekenen dat ze zich aan het voorschrift zullen houden. Uit deze beschrijving van de gezondheidszorg vatten we een aantal kenmerken samen: de gezondheidszorg is complex; de gezondheidszorg vereist veel communicatie en gegevensuitwisseling tussen zorgverleners; er is een hoge mate van specialisatie; het draait om de patiënt; het bij elkaar brengen van zorgvraag en behandeling is een kunst. Voor het onderzoek naar integriteit zijn uit bovenstaande beschrijving een aantal aandachtspunten af te leiden: de taal die gebruikt wordt voor communicatie tussen zorgverleners onderling; het detailniveau van de informatie die zorgverleners onderling uitwisselen; een grote hoeveelheid berichtenverkeer met berichten van verschillend type; de mate van toezicht / controle op de patiënt door de zorgverlener; de conditie van de patiënt.
3.3 Wet- en regelgeving De overheid voert een actief beleid om de gezondheidszorg voor de burgers te regelen. Dit heeft geleid tot een aantal voor ons onderzoek belangrijke normen in de vorm van wetten. We zullen hierin de belangrijkste maatregelen, die integriteit ondersteunen, onderzoeken. 24 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
Volgens de wet op de Geneeskundige Behandelovereenkomst [WGBO] moet de hulpverlener een dossier onderhouden met daarin alle (relevante) gegevens die voor een goede hulpverlening noodzakelijk zijn. Dit mag onder de voorwaarde (geldigheid) dat de zorgverlener en de patiënt een behandelingsovereenkomst hebben. De zorgverlener mag de gegevens niet zonder toestemming van de patiënt beschikbaar stellen aan anderen, maar dit is vooral een privacy eis. In het kader van integriteit zijn andere zorgverleners slechts geïnteresseerd in het feit dat het dossier op een geldige manier tot stand is gekomen. Ze moeten daar op kunnen vertrouwen. De wet stelt een bewaartermijn van 15 jaar. Zorgaanbieders moeten waarborgen dat gedurende die periode de gegevens ongewijzigd blijven (juistheid, volledigheid). De wet bescherming persoonsgegevens [WBP] regelt dat persoonsgegevens slechts vastgelegd en verwerkt mogen worden in relatie tot het doel van de vastlegging. Deze eis heeft betrekking op relevantie, wat mede inhoudt dat je niet meer vastlegt dan datgene wat nodig is om het doel te bereiken, maar is ook van invloed op volledigheid. We komen hier later op terug bij de behandeling van de verwijsindex van het Landelijk EPD. De wet Beroepen in de individuele Gezondheidszorg [BIG] is een aanvulling op de WGBO, omdat daarin gedefinieerd wordt wie als zorgverlener mag handelen (geldigheid). Speciaal voor het landelijk elektronisch patiëntendossier zijn een aantal wetten en algemene maatregelen aangenomen dan wel in ontwikkeling, waaruit eisen voor integriteit voortvloeien: De Wet algemene bepalingen Burgerservicenummer [WBSN] regelt het beheer en gebruik van een uniek persoonsnummer door overheidsinstellingen. Het Burgerservicenummer is de opvolger van het sofinummer. Het nummer is een unieke identificatie van een natuurlijke persoon. Een zorgverlener die aan een dossier een Burgerservicenummer wil toekennen, dient zich te houden aan de in de wet gestelde eisen (juistheid) [WBSN art 12]. De Wet gebruik Burgerservicenummer in de zorg [WGBSN] regelt het gebruik van het Burgerservicenummer in de zorg door zorgaanbieders, indicatieorganen en verzekeraars. Indicatieorganen zijn onafhankelijke organen die de indicatiestelling verzorgen voor AWBZ- of jeugdzorg. Om het Burgerservicenummer te mogen gebruiken, d.w.z. om het BSN-register te kunnen raadplegen, dient de zorgaanbieder in een register te zijn opgenomen. Voor zorgaanbieders en indicatieorganen is dit het UZI (Unieke Zorgverlener Identificatie) register. Zorgaanbieders en zorgverleners dienen in dit register geregistreerd te zijn. Het juist registreren hiervan is een voorwaarde voor de geldigheid van de geregistreerde patiëntgegevens. Tenslotte is er de wijziging van de Wet gebruik Burgerservicenummer in de zorg in verband met de elektronische informatie-uitwisseling in de zorg. In het spraakgebruik wordt dit de wet op het EPD genoemd [WEPD]. Dit wijzigingsvoorstel regelt het uitwisselen en beheer van patiëntgegevens rondom het Landelijk Elektronisch Patiëntendossier. Het verplicht zorgaanbieders om aan te sluiten op het Landelijk EPD. Er worden eisen t.a.v. de beveiliging geformuleerd en de rechten van de patiënt worden genoemd. Deze wet is in februari 2009 in de tweede kamer aangenomen en voor behandeling naar de eerste kamer gestuurd. Een exacte tekst was tijdens het schrijven van deze scriptie nog niet beschikbaar. In de wetswijziging staat een belangrijke eis t.a.v. volledigheid: alle patiëntendossiers moeten bij het Landelijk EPD aangemeld worden. Het BSN is alleen verplicht als je informatie gaat uitwisselen met een derde partij via een bericht waarin patiëntgegevens zijn opgenomen.
3.4 Normen Behalve wetten zijn er een groot aantal normen en regelingen die de integriteit van het patiëntendossier ondersteunen. Een belangrijk verschil met de wetten voor de bruikbaarheid van dit onderzoek is dat normen niet openbaar hoeven te zijn. We geven een beknopt overzicht waarin we wederom een relatie naar integriteit leggen.
25 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
In Europees verband is de ENV13606:2003 in ontwikkeling. Deze CEN norm beschrijft de uitwisseling en vastlegging van patiëntgegevens. Nictiz heeft hier alvast rekening mee gehouden [NBA.P27]. HL7 is een van herkomst Amerikaanse industriestandaard die berichtenuitwisseling in de zorgsector definieert. Het is een internationale standaard, maar in ieder land zijn er de noodzakelijke aanpassingen gemaakt, in Nederland bijvoorbeeld als gevolg van het gebruik van het Burgerservicenummer. De grondslag voor het HL7 berichtenformaat is het Reference Information Model (RIM). Dit model is gemaakt door deskundigen uit de gezondheidszorg. HL7 bevat zelf geen tabellen met coderingen. Elk land moet daarin zijn eigen keuzes maken. Als een land een keuze gemaakt heeft, zoals in Nederland de G-standaard [GST] is gekozen voor classificatie van medicijnen, dan wordt deze keuze in de implementatiehandleiding opgenomen, echter wel als externe verwijzing omdat het beheer van de G-standaard buiten scope van HL7 ligt. Beide normen, HL7 en ENV13606, zijn ingezet om te komen tot een volledige en juiste afbeelding van de werkelijkheid in het Landelijk EPD. ENV13606, bijvoorbeeld, beoogt de normalisatie van de uitwisseling van patiëntgegevens maar stelt indirect ook eisen aan het vastleggen van patiëntgegevens [NBA.P27]. De verschillen tussen HL7 de ENV13606 en NEN 7512 (zie hierna) verschillen slechts in de ontwikkelingsfase waarin zij zich bevinden. Uiteindelijk zullen ze naar elkaar toegroeien. De NEN 7510 is een door het Nederlands Normalisatie-instituut ontwikkelde norm voor informatiebeveiliging voor de zorgsector in Nederland [NEN]. De norm, in feite een verzameling richtlijnen, is gebaseerd op de Code voor Informatiebeveiliging (ISO 27001). Alle zorginstellingen dienen deze richtlijnen om te zetten in een op hun organisatie toegespitste norm en dienen hierop door de IGZ (Inspectie voor de Gezondheidszorg) periodiek getoetst te worden d.m.v. operationele audits. De verschillen tussen de NEN 7510 en de Code voor Informatiebeveiliging zitten voornamelijk in de aandacht voor privacybescherming en taalgebruik die specifiek is voor de zorgsector. De NEN 7510 levert, door de grote aandacht voor autorisatie, vooral maatregelen om de geldigheid te waarborgen. NEN 7510 is globaal en principe georiënteerd en lijkt niet te vertrouwen op een volledig defensieve strategie. Er wordt van uitgegaan dat er altijd wel fouten worden gemaakt en dat men dus de uitvoer goed moet controleren. Dit sluit aan bij wat in de theorie de offensieve strategie wordt genoemd, met bijvoorbeeld het gebruik van procedurele controles voor foutdetectie. In bijlage B wordt de inhoud van de NEN 7510 norm gedetailleerd vergeleken met de theorie over integriteit zoals die beschreven is in hoofdstuk 2. Er zijn twee aanvullingen op de NEN 7510 in ontwikkeling: NEN 7511: voorschriften per type organisatie. NEN 7512: gegevensuitwisseling, gericht op de AORTA infrastructuur. Tot slot noemen we nog enkele standaarden: NEN 7507 Vastlegging van de G-standaard in een officiële NEN norm [WIN]. Het HIS referentiemodel is de standaard voor softwareleveranciers van Huisarts Informatie Systemen om een HIS te bouwen en te onderhouden. Het bevat een op HIS gericht formulering van gegevens en een beschrijving van alle functionaliteit die een HIS moet hebben. [HIS] Het ADEMD (Adequate Dossiervorming met het Elektronisch Medisch Dossier) is opgesteld door het Nederlands Huisartsen Genootschap, specifiek voor de huisarts informatiesystemen. [ADE] De ICD-9 DE is een classificatie die is gebaseerd op de CvZ (Classificatie van Ziekten [ICD]; de Nederlandse vertaling van de ICD-9 CM), met daarin opgenomen conversietabellen naar de CvZ en de diagnosecomponent van de DBC-typeringslijsten (Diagnose Behandeling Combinatie). SNOMED is een nieuwe standaard die weliswaar nog niet volwassen is, maar wel snel aan populariteit wint. De standaard is bedoeld om een uniforme beschrijving van de conditie van een patiënt te geven vanuit het perspectief van de zorgverlener op een wijze die voor iedere zorgverlener begrijpelijk en bruikbaar is. De standaard poogt op een gestructureerde en ondubbelzinnige wijze een beschrijving te geven van de conditie van een individuele patiënt, de gevolgde onderzoeksprocedure, de gestelde diagnose en de motivatie om hiertoe te komen, de behandeling en de resultaten.[ZAN.P.7] 26 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
In bijlage G hebben we een globale schets opgenomen van de samenhang tussen diverse standaarden en richtlijnen.
3.5 Het Landelijk Elektronisch Patiëntendossier Het Nationaal ICT instituut in de Zorg (Nictiz) is een stichting die in 2002 is opgericht en die als doel heeft de ICT in de zorg te stimuleren. De stichting werkt samen met alle stakeholders die een belang hebben bij het stimuleren van ICT in de zorg: patiëntenorganisaties, zorgaanbieders, zorgverzekeraars, ministerie van Volksgezondheid, Welzijn en Sport (VWS), Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG), koepel- en brancheorganisaties in de zorg en ICT-leveranciers. Daarnaast speelt Nictiz een belangrijke rol in het Platform ICT & Innovatie. Dit platform bestaat uit circa 25 koepel- en brancheorganisaties en wordt voorgezeten door Nictiz. Nictiz voert de regie over het tot stand komen van landelijke standaarden. Door Nictiz is een landelijke infrastructuur ontwikkeld en wordt het Landelijk Elektronisch Patiëntendossier ingevoerd. De belangrijkste kenmerken van het concept van het Landelijk EPD zijn: Alle patiëntgegevens blijven opgeslagen in de bronsystemen. Centraal wordt een verwijsindex ingericht, waarmee gericht patiëntgegevens uit aangesloten bronsystemen kunnen worden opgevraagd. Op deze wijze ontstaat een virtueel landelijk dossier. Netwerkverkeer vindt via een gesloten netwerk plaats. Alle berichten zijn versleuteld en de communicatie gebeurt op basis van de HL7v3 standaard. Een zorgverlener heeft een pas nodig om zich bij het landelijk netwerk aan te melden. Op deze pas staan tevens encryptiesleutels die gebruikt worden bij het uitwisselen van berichten. De pas en het gebruik ervan wordt beschreven in paragraaf 3.5.6. Op de infrastructuur worden diverse toepassingen aangeboden. Operationeel zijn reeds de toepassing Medicatiegegevens en de toepassing Waarnemingsdossier Huisartsen. Andere toepassingen, waaronder Medicatieveiligheid, zijn in ontwikkeling.
3.5.1 Wat is een EPD? Een elektronisch patiëntendossier is de bijeengebrachte verzameling van digitale patiëntgegevens, die gerelateerd zijn aan het (medisch) behandelen van een patiënt door een zorgverlener. Een EPD systeem heeft als functies: verzamelen, bewaren, ordenen en presenteren van patiëntgegevens. Een EPD is van zorgverleners voor zorgverleners. Hierin onderscheidt het zich van een PHR (Personal Health record). Een PHR is een door een persoon beheerde gegevensverzameling die gebruikt kan worden bij de communicatie tussen die persoon als patiënt en een zorgverlener. Het EPD heeft theoretisch twee gebruiksmogelijkheden: 1. Gegevensuitwisseling en communicatie tussen zorgverleners m.b.t. de gezamenlijke afhandeling van een actuele zorgvraag. 2. Opvragen van historische patiëntinformatie die ontstaan is n.a.v. andere (vroegere en actuele) zorgvragen, hetgeen bijdraagt aan beoordeling en besluitvorming binnen een actuele behandelrelatie van een zorgverlener met een patiënt. Het EPD is daarom geen Nictiz uitvinding. In Nederland zijn vele EPD’s in gebruik: voor huisartsen, ziekenhuizen en apotheken. Ook een communicatienetwerk in de zorg is geen Nictiz uitvinding. Lokaal en regionaal zijn er diverse netwerken operationeel waarover patiëntgegevens worden uitgewisseld. Eén van de bekendste is OZIS, dat opgezet is voor het beschikbaar stellen van gegevens tussen huisartsen onderling en apothekers onderling t.b.v. het waarnemen van elkaars diensten in een plaats of regio. Datgene wat de Nictiz oplossing onderscheidt is: De mogelijkheid alle patiëntgegevens van heel Nederland beschikbaar te hebben; Een hoog veiligheidsniveau dat moet garanderen dat de gepresenteerde gegevens een betrouwbare weergave van de bron zijn. 27 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
Een systeem dat aan alle eisen in de wetgeving t.a.v. privacy en toegang tot gegevens voldoet. Er is veel aandacht gegeven aan de autorisatie van zorgverleners. Patiënten worden geïdentificeerd met een Burgerservicenummer. Deze identificatie is uniform ingevoerd voor alle aangesloten en aan te sluiten bronnen zodat gegevens van een patiënt uit verschillende bronnen gerelateerd kunnen worden. Een controleerbaar systeem, omdat alle transacties gelogd worden. Een wet die voorschrijft dat alle zorgverleners verplicht worden gegevens aan te leveren.
3.5.2 AORTA AORTA is de naam van de landelijke infrastructuur die elektronisch berichtenverkeer tussen zorgpartijen mogelijk maakt en die de basis vormt van het Landelijk EPD (zie figuur 3.1 AORTA). Centraal in AORTA staat de zorginformatiemakelaar (ZIM). Deze wordt beheerd door het landelijke schakelpunt (LSP). Zorgaanbieders (huisartsen, apotheken, ziekenhuizen) kunnen hun bestaande zorginformatiesystemen (XIS) daarop aansluiten. Voorwaarde is wel dat hun systeem gekwalificeerd is als goed beheerd zorgsysteem (GBZ). De aansluiting van het GBZ vindt plaats via datacommunicatienetwerken (DCN), die worden geëxploiteerd door zorgserviceproviders (ZSP). Zorgserviceproviders zijn in de praktijk organisaties die computerfaciliteiten hosten voor zorgaanbieders, veelal voor huisartsen. Ziekenhuizen zullen in de meeste gevallen zelf als ZSP functioneren. Om als ZSP te mogen functioneren, moet een organisatie een ZSP kwalificatie hebben.
CIBG SBV-Z
UZI-
LSP ZIM
VWI AUT
ZSP
UZI
UZI
Zorg verlener
zorgaanbieder UZI
GBZ mede werker
XIS
zorg verlener
XIS
ZSP
DCN
UZI
GBZ XIS
LOG
DCN
zorgaanbieder
zorgaanbieder UZ
SCH
I&A
mede werker
zorgaanbieder UZI
GBZ
GBZ
XIS
XIS
zorg verlener
UZI
UZI
GBZ mede werker
zorg verlener
XIS
mede werker
Figuur 3.1 AORTA (bron: Nictiz)
Voordat we verder gaan met de toepassingen Medicatiegegevens en Medicatiebewaking zullen we een toelichting geven op belangrijkste gegevensdomeinen en pijlers van het Landelijk EPD. Ook tonen we de samenhang van organisaties, processen, systemen en infrastructuur in een informatielandschap. Het patiëntendossier, 3.5.3. Het BSN en het BSN-register, 3.5.4. De verwijsindex, 3.5.5. De UZI-pas en het UZI-register, 3.5.6. Het informatielandschap, 3.5.7. 28 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
3.5.3 Het patiëntendossier Nictiz maakt binnen het patiëntendossier onderscheid naar de volgende gegevensklassen: Persoonlijke gegevens (NAW, etc.). Logistieke gegevens (afspraken, reserveringen, etc.). Medische gegevens (diagnoses, onderzoeksuitslagen, röntgenfoto’s, etc.). Financiële gegevens. Aan de gegevensklassen zijn verschillende eisen gesteld aan privacy en bewaartermijn. Het dossier van een patiënt bestaat uit patiëntstukken. Deze behoren tot één bepaalde gegevensklasse. Patiëntstukken kunnen op meerdere manieren geaggregeerd worden. We lichten dit toe aan de hand van een tabel die tevens de link naar de prENV13606.2003 en HL7 legt. [NBA.P28-31] Nictiz naam Patiëntstuk Patiënt MAP
Patiënt DOCUMENT Patiëntgegevens BIJDRAGE Paragraaf Patiëntgegevens ELEMENT patiëntgegevens elementen GROEP
Omschrijving Algemene aanduiding voor een geheel van samenhangende patiëntgegevens. Een verzameling samenhangende patiëntdocumenten, bijv. gegroepeerd naar episode, discipline, etc. Een verzameling patiëntgegevensbijdragen die naar aanleiding van een zorgcontact wordt samengesteld. Een verzameling patiëntgegevenselementen die gedurende een deelcontact wordt bijgedragen. Een groep patiëntgegevensbijdragen. De kleinste eenheid van samenhangende patiëntgegevens, bijv. een meetwaarde die door één meting wordt vastgelegd. Een groep patiëntgegevens elementen
prENV13606:2003 EHR_EXTRACT
HL7
FOLDER
COMPOSITION ENTRY SECTION ELEMENT
Clinical document Act Section
CLUSTER
Tabel 3.1: Aggregatieniveaus van patiëntstukken
Elk patiëntstuk, in welke vorm dan ook, heeft een aantal vaste attributen. We noemen er een aantal: patiënt; verantwoordelijke zorgverlener en diens discipline; gegevenssoort (bijv. adres, diagnose, laboratoriumuitslag, factuur); tijdsperiode waarop het patiëntstuk betrekking heeft; episode waartoe het patiëntstuk behoort. De gegevenssoort is een belangrijk attribuut i.v.m. het aanmelden (zie paragraaf 3.5.5). Alle patiëntstukken van een patiënt die tot dezelfde gegevenssoort horen vormen een categorie. [NIA.P115] Het principe om patiëntstukken bij de bron op te slaan levert wel een opmerkelijke situatie op. Een huisarts, bijvoorbeeld, laat van een patiënt een röntgenfoto maken in een ziekenhuis. De vraagstelling komt als origineel in het dossier van de huisarts. Het bijbehorende antwoord blijft als origineel in het ziekenhuis. De huisarts ontvangt een bericht met een kopie van het patiëntstuk. Patiëntstukken hebben geen eigenaar. De reeds toegelichte wetten BIG, WGBO en WBP regelen het beheer en de rechten van de patiënt.
3.5.4 Het gebruik van het Burgerservicenummer (BSN) Het Burgerservicenummer is ontstaan omdat er bij de ontwikkeling van het landelijk elektronisch patiëntendossier behoefte ontstond aan een doelmatige en betrouwbare manier om gegevens van patiënten uit te wisselen tussen zorgverleners. Omdat er al een persoonsnummer in de vorm van het SOFI-nummer bestond is dit nummer d.m.v. een wet opgewaardeerd tot Burgerservicenummer en kan het nu gebruikt worden om patiënten te identificeren en te authenticeren en hun patiëntstukken en dossiers te voorzien van dit unieke kenmerk zodat deze te herleiden zijn naar de werkelijke patiënt.
29 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
Op deze wijze levert het BSN een belangrijke bijdrage aan de integriteit van het Landelijk EPD. De juistheid van de afbeelding van de werkelijke patiënt en de link naar diens dossier wordt hiermee sterk bevorderd. De SBV-Z (Sectorale Berichten Voorziening in de Zorg van het BSN-stelsel) zorgt voor de beschikbaarstelling van het BSN-register voor de Zorg. De aanmaak van de Burgerservicenummers gebeurt door de Gemeentelijke Basis Administraties. De SBV-Z is opgericht in opdracht van het Ministerie van VWS en is ondergebracht bij het eerder genoemde agentschap CIBG, dat ook het UZIregister beheert en de UZI-passen uitgeeft. Een zorginstelling dient een procedure voor verificatie van de juistheid van het gebruikte BSN te hebben ingericht. Conform de richtlijnen van het Ministerie van VWS dient bij een zorgaanbieder ook een procedure te worden ingericht voor het vastleggen van de aard en het nummer van het Wettelijk Identificatie Document (WID). Omdat het BSN een belangrijke pijler is waarop het Landelijk EPD rust, is door Nictiz een hele bijlage besteed aan de onzekerheden waarmee een zorgverlener geconfronteerd wordt en aan de manieren om deze onzekerheden te mitigeren [NIA.P172-181]. De zorgverlener dient zekerheid te krijgen over de geldigheid van het WID, dient zich er van te vergewissen dat het WID bij de patiënt hoort en dient zekerheid te hebben dat alle patiëntstukken wel bij de patiënt horen. Bij het eerste contact dient de patiënt een WID te overhandigen. De zorgverlener controleert het document op echtheid, controleert de gelijkenis en raadpleegt eventueel het WID register om de geldigheid vast te stellen. Aan de hand van de identificerende gegevens vraagt de zorgverlener het BSN op uit het register en legt dit vast in de lokale patiëntenindex samen met de identificerende gegevens.
3.5.5 De verwijsindex De verwijsindex geeft aan waar patiëntgegevens zich bevinden. De verwijsindex is dus geen verzameling van alle gegevens uit de decentrale bronnen, maar bevat slechts de verwijzingen er naar. Nictiz heeft, uit het oogpunt van privacy, er voor gekozen geen inhoudelijke patiëntinformatie in de verwijsindex op te nemen. De originele gegevens blijven bij de bron. De index houdt bij welke patiëntstukken beschikbaar zijn en uit welk dossiers die opgevraagd kunnen worden. Het gebruik van de verwijsindex wordt ondersteund met een viertal functies: het aanmelden van patiëntgegevens; het bijhouden van patiëntgegevens; het opvragen van patiëntgegevens; het afschermen van patiëntgegevens. Het aanmelden van documenten gebeurt op het aggregatieniveau van patiëntdocument of patiëntgegevensbijdrage. Elk patiëntstuk kan afzonderlijk aangemeld worden (atomair) of er kan één aanmelding gedaan worden van een hele categorie, d.w.z. alle patiëntenstukken van een bepaalde gegevenssoort. Een apotheeksysteem hoeft dus maar één keer te melden dat het van een bepaalde patiënt medicatieverstrekkingen heeft geregistreerd. Bij de aanmelding van een patiëntstuk kan op verschillende manieren de actualiteit worden aangegeven: een atomair stuk heeft een datum, een categorie heeft een begin- en einddatum. Afhankelijk van de toepassing (bijv. Medicatiegegevens) wordt bepaald welke mogelijkheden toegestaan zijn [NIA.P43]. Een patiëntstuk kan niet gewijzigd worden. Bij een wijziging wordt een nieuwe versie toegevoegd. Afschermen van patiëntgegevens betekent dat deze niet via de landelijke verwijsindex uitgewisseld worden. Hiervoor kunnen meerdere redenen zijn. De belangrijkste is dat een patiënt niet wil dat informatie over de verstrekking van een bepaald medicijn beschikbaar gesteld wordt via het Landelijk EPD [NIA.P45]. Ook kan een zorgverlener besluiten een patiëntstuk (nog) niet vrij te geven op basis van zijn beroepsgeheim [NBA.P62]. De keuze van een patiënt zijn gegevens niet uit te wisselen via
30 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
het Landelijk EPD wordt vastgelegd in het autorisatieprofiel. Ook kan een patiënt via dit profiel bepaalde zorgverleners uitsluiten van toegang tot zijn dossier [NBA.P62]. Uit interviews en de Nictiz documentatie leiden we af dat volledigheid van de gegevens in de verwijsindex als volgt wordt gedefinieerd: de verwijsindex bevat verwijzingen naar alle dossiers die er van die patiënt zijn, voor zover deze dossiers gegevens bevatten die relevant zijn in de context van de operationele Landelijk EPD toepassingen. Als een patiënt gegevens afgeschermd heeft dan tellen die niet mee in de beoordeling van volledigheid. Als door een technische storing informatie incompleet getoond wordt dan krijgt de opvrager te zien welke bronapplicatie zijn gegevens niet kon opleveren. Een zorgverlener krijgt echter geen inzicht in het feit dat er gegevens zijn afgeschermd. Voor de volledigheid van de verwijsindex bestaan een aantal risico’s: Alleen die patiëntstukken worden aangemeld waarvan de gegevenssoort behoort tot een landelijke toepassing (bijv. medicatieverstrekkingen t.b.v. de toepassing Medicatiegegevens). De vraag hierbij is of voor een bepaald doel alle noodzakelijke gegevenssoorten wel beschikbaar zijn. Laboratoriumgegevens zitten bijvoorbeeld in de toepassing medicatieveiligheid maar nog niet in de toepassing Medicatiegegevens. Een zorgverlener kan een goede reden hebben om bepaalde patiëntstukken, of zelfs alle patiëntstukken van een bepaalde gegevenssoort of een bepaalde episode, niet vrij te geven en aan te melden. Een patiënt/cliënt bijvoorbeeld wenst dat zijn huisarts het medicatievoorschrift voor een antidepressivum afschermt, waarop de huisarts besluit alle medicatievoorschriften af te schermen, om de schijn van volledigheid te vermijden [NIA.P43]. Een patiëntenstuk moet definitief aan een BSN gekoppeld zijn voordat deze aangemeld mag worden. Er is een uitgebreide identificatie en autorisatieprocedure [NIA.P26], die tijd vergt en niet altijd snel af te ronden is, bijvoorbeeld omdat er patiënten zijn die nog geen BSN hebben of waarvan de BSN niet is vast te stellen. Er zijn een aantal maatregelen om de integriteit van de verwijsindex te waarborgen: Elke zorgaanbieder wordt verplicht bij deelname aan een toepassing alle binnen die toepassing relevante patiëntstukken aan te melden bij de verwijsindex, uitgezonderd die stukken waarvoor de patiënt geen toestemming heeft gegeven. De verwijsindex als onderdeel van het LSP heeft door zijn technische uitvoering een hoge beschikbaarheid. Alle verkeer via de verwijsindex gaat over beveiligde netwerken in gecodeerde vorm. Hoewel vastgesteld is in welke mate de gegevens in de verwijsindex volledig kunnen en dienen te zijn, is de relevantie en integriteit van de via de verwijsindex opgevraagde informatie in opzet niet bij voorbaat gegarandeerd: De verwijsindex is sober opgezet en bevat een minimale gegevensset om zo goed mogelijk te voldoen aan de privacyregels. De privacywet stelt echter dat een toepassing gegevens alleen mag vastleggen indien deze direct bijdragen aan het doel. Over die regel is men bij de opzet van de verwijsindex te gemakkelijk heen gestapt. Het gevolg is dat de zorgverlener overladen kan worden met gegevens en dat deze zorgverlener pas op een laat moment in het proces van opvragen van patiëntendossiers kan bepalen welke informatie actueel en relevant is binnen zijn eigen toepassing. Er wordt onnodig veel informatie beschikbaar gesteld en dat zou je strijdig kunnen noemen met de strekking van de privacywetgeving. In het verlengde van de voorgaande stelling geldt bovendien dat alle te veel gepresenteerde informatie bij een opvraging de volledigheid niet steunt, maar juist ondoorzichtig maakt. Het vraagt bovendien onnodig tijd van de zorgverlener en ondermijnt daarmee acceptatie van het hele systeem. Een volledig en juist antwoord op de vraag welke medicatiehistorie relevant is voor een zorgvraag hangt van veel meer condities af dan alleen de gegevenssoort en de actualiteit.
31 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
3.5.6 Het gebruik van de UZI-pas De UZI-pas zorgt voor een gecontroleerde identificatie en authenticatie van een persoon die toegang heeft tot het Landelijk EPD. UZI-passen worden uitgegeven door het CIBG (zie ook paragraaf 3.5.4). Het CIBG beheert tevens het UZI-register en stelt daaruit gegevens beschikbaar. Het UZI–register (Unieke Zorgverleners Identificatie) zorgt voor de unieke identificatie van zorgaanbieders en zorgverleners. UZI-passen kunnen worden aangevraagd door de zorgverlener persoonlijk of door de instelling [NBA P79]. Er zijn UZI-passen voor: zorgverleners; vaste medewerkers (op naam gestelde UZI-pas); tijdelijke medewerkers (niet op naam gestelde UZI-pas). Om toegang te krijgen tot patiëntgegevens via het Landelijk EPD, moet de zorgverlener een behandelrelatie hebben met de patiënt van wie hij gegevens opvraagt. Formeel moet met de patiënt een overeenkomst zijn aangegaan. Aangezien dit praktisch ondoenlijk is, is dit geregeld door alle handelingen via het Landelijk EPD te loggen, zodat een zorgverlener achteraf kan verantwoorden dat hij zich aan de wettelijke eisen heeft gehouden. In een complexe organisatie als een ziekenhuis, zijn er medebehandelaars en is er ondersteuning door medewerkers. Ook deze kunnen toegang krijgen tot het virtuele patiëntendossier. In eerste instantie is hiervoor een landelijk autorisatieprotocol van toepassing waarin de bevoegdheden van de zorgpartijen staan vermeld. Als dit autorisatieprotocol ontoereikend is kan een zorgverlener medewerkers mandateren. De medewerkers kunnen dan namens de zorgverlener activiteiten via het LSP uitvoeren. Uiteraard dienen ze hiervoor een UZI-pas te hebben [NBA.P70-72]. Een persoon krijgt één UZI-pas per zorgaanbieder. Personen die voor meerdere zorgaanbieders werken zouden in principe over meerdere passen moeten beschikken. De mogelijkheid bestaat echter deze passen te combineren. [NBA.P89] Vertrouwen Voor het gebruik van het LSP is het van cruciaal belang dat de zorgaanbieders elkaar vertrouwen: Zijn de aangemelde gegevens betrouwbaar? Handelt de andere zorgverlener volgens alle regels? In regionaal verband kennen de zorgverleners elkaar persoonlijk. Landelijk is dit zeker niet het geval en dat is een extra drempel bij het invoeren van het LSP. Maar ook regionaal bestaat het risico dat zorgverleners terughoudend zullen zijn met het publiceren van patiëntgegevens, omdat zij verondersteld worden, met de invoering van de marktwerking in de zorg, met elkaar te moeten concurreren. [NBA.P68] Nictiz maakt onderscheid naar verschillende vertrouwensniveaus. Het gewenste niveau van vertrouwen kan verschillen per gegevenssoort en zorgtoepassing. De vertrouwensniveaus zijn: laag: geeft de zekerheid dat alleen zorgverleners en medewerkers binnen de desbetreffende zorginstelling rechten kunnen krijgen; midden: geeft de zekerheid dat alleen zorgverleners en medewerkers binnen de desbetreffende afdeling van een zorginstelling rechten kunnen krijgen; hoog: geeft de zekerheid dat alleen de desbetreffende zorgverlener rechten kan krijgen. Deze niveaus zijn gerealiseerd door de geldigheidsduur en de sterkte van de authenticatie te combineren wat geleid heeft tot de volgende tabel [NBA.P96]: Authenticatie Geldigheidsduur Werkdag Sessie Moment
Zwak
Normaal
Sterk
Zeer Sterk
Onveilig Laag Laag
Laag Laag Midden
Laag Midden Hoog
Laag Midden Zeer Hoog
Tabel 3.2: Vertrouwensniveaus
32 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
Voor het medicatiedossier is het vertrouwensniveau midden van toepassing. Dit impliceert dat de zorgverlener of medewerker zich aanmeldt met wachtwoord en UZI-pas en dat vervolgens een veilige sessie wordt opgezet. De pas blijft gedurende deze sessie in de lezer. Zodra de pas uit de lezer gehaald wordt, is de toegang tot het LSP beëindigd. De sessie wordt ook beëindigd als de zorgverlener of medewerker een bepaalde tijd niet van het systeem gebruik gemaakt heeft. Uit o.a. interviews is gebleken dat het gebruik van de UZI-pas de nodige weerstand oplevert: Er is een intensieve aanvraagprocedure. Als de pas zoek is of vergeten is, dan heeft de zorgverlener geen toegang tot het LSP. Het mandateren is een intensieve bezigheid die heel veel tijd vraagt. Samenvattend biedt het gebruik van de UZI-pas voldoende bescherming voor het Landelijk EPD en levert de pas een goede bijdrage aan het uitwisselen van geldige informatie via het LSP en het behoud van vertrouwen tussen zorgverleners onderling. Om snel in te kunnen loggen en toegang te krijgen of te houden tot het LSP moet de pas echter steeds in de lezer zitten. Op dat moment staat het systeem open en doet Nictiz een beroep op wetten die goed gebruik van de gegevens regelen.
3.5.7 Informatielandschap
CIBG
CSC / Nictiz
Zorg Service Providers
Zorgaanbieders
Ziekenhuizen
Apotheken (1) Organisatie
Processen
Beschikbaar stellen BSN register voor de Zorg
Beheer UZI register
ZIM
BSN Register UZI Register
LSP
Beheer DCN
Informatiesystemen
Infrastructuur
LAN + Servers
LAN + Servers
Netwerk verbinding
Netwerk verbinding
LSP kwalificatie
ZSP kwalificatie
High Availability Servers
DCN
Apothekers
Huisartsen
Assistenten
Assistenten
Verstrekken / Medicatie historie raadpegen / Medicatieveiligheid bewaken
(1) hieronder vallen ook apotheekhoudende huisartsen.
33 van 56
Specialisten / Apothekers Verpleegkundingen / Assistenten
Voorschrijven / Voorschrijven / Medicatie Medicatie Toedienen / historie historie Opvragen raadpegen / raadpegen / Logboek / MedicatieMedicatieBeheer veiligheid veiligheid Autorisatie bewaken / bewaken / Profiel Verstrekken / Toedienen Toedienen
AIS
HIS
ZIS / AIS
UZI pas
UZI pas
UZI pas
Internet Portal?
XIS / GBZ kwalificatie
LAN + Servers
Aorta / HL7v3
Figuur. 3.2 Informatie landschap Landelijk Elektronisch Medicatiedossier
Patiënt
LAN + Servers (event via LAN + Servers ZSP) Internet?
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
Het onderzoek naar de genomen dan wel te nemen maatregelen, en de toepassing van het in hoofdstuk 2 genoemde beoordelingskader, zullen we doen aan de hand van een informatielandschap, waarin globaal alle organisaties, processen, informatiesystemen en infrastructuur zijn opgenomen (zie figuur 3.2). Binnen het landschap is ook de patiënt in beeld gebracht. De patiënt heeft recht op inzage in zijn dossier. Deze functie is nog niet beschikbaar in het Landelijk EPD, maar al wel voorzien. De eerste vraag die de patiënt beantwoord moet kunnen krijgen is: “wie heeft er aan mijn gegevens gezeten”. De patiënt heeft ook het recht zijn dossier voor bepaalde of alle zorgverleners af te schermen. Binnen het Landelijk EPD wordt per patiënt in het autorisatieprofiel vastgelegd aan wie deze patiënt de toegang tot zijn dossier onthoudt [NBA.P61-65]. Omdat de patiënt momenteel nog geen toegang heeft tot het Landelijk EPD moet hij zich voor de vastlegging tot een zorgverlener wenden. Patiënten moeten zich bewust zijn dat afscherming van hun gegevens er toe kan leiden dat zorgverleners hun beslissingen nemen op basis van onvolledige informatie, zonder dat de zorgverleners daarvan weet hebben. De communicatie via het LSP kan op twee manieren plaats vinden: 1. Voor het opvragen van gegevens zoals de medicatiehistorie wordt gebruik gemaakt van direct berichtenverkeer. De te raadplegen bronnen moeten dan beschikbaar zijn (conform ZSP en GBZ kwalificatie). 2. Voor het versturen van berichten wordt gewerkt met een postbussysteem. De ontvanger hoeft niet aanwezig te zijn en krijgt zijn berichten via een postbus. In geval van een zorginstelling, kan een postbus op verschillende niveaus worden geadresseerd, zodanig dat een bericht gestuurd kan worden naar een zorginstelling (bijvoorbeeld een ziekenhuis of een afdeling binnen een zorginstelling, zoals het laboratorium) of een zorgverlener (internist Jansen van het Havenziekenhuis). De instelling is verantwoordelijk voor de inrichting en het beheer van de postbussen [NBA.P83]. Als het belangrijk is dat berichten tijdig worden afgehandeld dan is het versturen niet het juiste mechanisme of dienen er aanvullende afspraken gemaakt te worden. Nictiz doet hier geen expliciete uitspraken over.
3.6 De toepassingen Medicatiegegevens en Medicatiebewaking Het Landelijk Elektronisch Medicatiedossier (Landelijk EMD) is een toepassing in het landelijk patiëntendossier. Nictiz spreekt van de toepassing Medicatiegegevens, omdat er naast deze toepassing de toepassing Medicatiebewaking ontwikkeld wordt. Wij zullen beiden aanduiden met Landelijk EMD.
3.6.1 Doelstelling en aanleiding Nictiz heeft voor het Landelijk EMD de volgende doelstelling geformuleerd: Het doel van het Landelijk Elektronisch Medicatiedossier is zorgverleners inzicht te bieden in de medicatiehistorie van een patiënt en hiermee fouten in medicatievoorschriften en afhandeling terug te dringen. [NAMg.P15]. Aanleiding In de afgelopen jaren zijn er diverse onderzoeken en publicaties geweest naar medicatiefouten, medicatieveiligheid en bijwerkingen. Voor deze scriptie hebben wij gebruik gemaakt van de volgende rapporten: Leendertse et al; Hospital Admissions related to Medication (HARM), Onderzoeksrapport (2006) [HARM]. CJM Sturkenboom et al; Geneesmiddelenbijwerking gerelateerde ziekenhuisopnames, Onderzoeksrapport (2006) [EMC]. Uit het HARM rapport blijkt dat jaarlijks ongeveer 41.000 ziekenhuisopnames plaatsvinden als gevolg van medicatiefouten. Daarvan zouden 19.000 vermijdbaar geweest zijn. Het tweede rapport, waarvan 34 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
het onderzoek binnen het Erasmus MC plaatsvond, komt tot 36.000 opnames in 2003 als gevolg van bijwerkingen van medicatie. Een groot aantal van deze opnames is vermijdbaar. De conclusies van het HARM rapport waren: 1. Bij oudere patiënten komen vaker medicatieproblemen voor. 2. Gebruik van bepaalde medicijnen veroorzaakt vaker problemen. 3. De therapieontrouw, de conditie en cognitie van de patiënt zijn belangrijke risicofactoren. Het tweede rapport komt voor bijwerkingen met de eerste twee conclusies van het HARM rapport overeen. Beiden rapporten noemen een elektronisch patiëntendossier met inzage in de medicatiehistorie en inzicht door apothekers in laboratoriumuitslagen als een mogelijkheid om fouten te verminderen. Mede door deze rapporten is er voor gekozen prioriteit te geven aan de landelijk medicatiedossier toepassing. Opvallend is dat hierbij de aandacht gericht wordt op een compleet dekkend landelijk dossier, ondanks dat de rapporten heel duidelijk medicatiefouten, bijwerkingen en risico’s aan bepaalde patiënten en bepaalde medicaties koppelen. Tijdens onze interviews werd dit gebrek aan focus meerdere keren door geïnterviewden ter discussie gesteld. De vraag of met het Landelijk EMD medicatiefouten worden teruggedrongen zullen wij hier niet beantwoorden. Ons onderzoek richt zich op de maatregelen die genomen zijn om integriteit van de patiëntgegevens te waarborgen. Zonder integriteit van die gegevens bestaat de kans dat bij gebruik van het Landelijk EMD fouten eerder toenemen dan dat ze afnemen, omdat de zorgverlener niet de beschikking krijgt over de juiste, volledige, actuele en geldige medicatiehistorie.
3.6.2 Medicatietherapie proces De toepassing Landelijk EMD speelt een rol binnen het proces medicatietherapie. Nictiz heeft voor het proces medicatietherapie de volgende processtappen onderkend (zie figuur 3.3): Voorschrijven van medicatie. Verstrekken (en bereiden) van medicatie. Toedienen van medicatie. (Therapeutische werking). Evaluatie van de werking van de medicatie. Nictiz onderkent in drie van deze stappen (voorschrijven, verstrekken en toedienen) een substap “medicatieveiligheid bewaken”. Omdat deze substap essentieel is in het terugdringen van vermijdbare fouten is in het schema voor elk van de processtappen voorschrijven, verstrekken / bereiden en toedienen ”medicatieveiligheid bewaken” als een aparte processtap toegevoegd. In elke processtap is er een andere uitvoerder (zie ook het informatielandschap).
1.2 Medicatieveiligheid bewaken
2.2 Medicatieveiligheid bewaken
3.2 Medicatieveiligheid bewaken
1.1 Voorschrijven
2.1 Verstrekken / Bereiden
3.1 Toedienen
Figuur 3.3 Schema Medicatietherapie proces
35 van 56
4. Therapie
6. Evaluatie
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
In bijlage C is voor elke stap in het Medicatietherapie proces een analyse uitgevoerd die het volgende oplevert: a. Een korte beschrijving van de stap. b. De voor deze stap benodigde informatie. c. De informatie die deze stap oplevert. d. De risico’s die van invloed zijn. e. De eisen ten aanzien van de integriteit van informatie. Uit de procesanalyse trekken we de volgende conclusies: De wettelijk voorgeschreven identificatieprocedure en authenticatieprocedure van de patiënt waarborgt een hoge mate van juistheid bij het koppelen van patiëntstukken aan een BSN, het identificerende kenmerk van een patiënt in het Landelijk EPD [NIA.P26]; • De eisen voor beschikbaarheid aan het LSP van een aangesloten GBZ en de kans op het volledig kunnen aanbieden van de medicatiehistorie van een patiënt is als volgt gedefinieerd: - 99% dat het GBZ de ZIM kan bereiken om patiëntgegevens aan te melden; - 98% dat het GBZ aan een ander GBZ een patiëntbericht kan versturen; - 96% dat het GBZ van vier andere GBZ’en alle patiëntgegevens kan opvragen. [NTA.P92] Medicatiebewaking is een toepassing die nog in ontwikkeling is, maar nu is al duidelijk dat de toepassing niet in alle behoeften aan informatie voor medicatiebewaking kan voorzien. De procesanalyse maakt duidelijk dat het Landelijk EMD slechts ondersteunend kan zijn voor de zorgverlener en dat de patiënt daarom te allen tijde door de zorgverlener bevraagd moet worden, behalve wanneer zijn toestand of de situatie dat niet toelaat (zie inleiding): - Verstrekking en gebruik door de patiënt hoeven niet gelijk te zijn; - De patiënt kan medicijnen gebruikt hebben, die zonder recept beschikbaar zijn; - Gegevens zoals relevante laboratoriumuitslagen ontbreken; - De medicatiehistorie kan onvolledig zijn omdat: niet alle bronnen geraadpleegd konden worden; de patiënt van zijn recht gebruik gemaakt heeft zijn patiëntstukken niet beschikbaar te stellen aan het LSP. Deelname aan het landelijk elektronisch dossier zal d.m.v. een wet worden afgedwongen. De procesanalyse brengt ook nog een belangrijk risico voor integriteit van informatie aan het licht. Een bevraging van de verwijsindex voor de medicatiehistorie van een patiënt kan een grote hoeveelheid informatie opleveren, veel meer dan een zorgverlener nodig heeft. De zorgverlener moet zelf bepalen wat hij hiervan al dan niet actueel acht. Nictiz heeft voor deze oplossing gekozen om twee redenen: 1. Om de patiëntinformatie in de verwijsindex zo beperkt mogelijk te houden om privacy redenen [NAA.P17]. 2. Om de zorgverlener snel een index van beschikbare patiëntgegevens te kunnen presenteren voordat alle bronnen geraadpleegd worden. De zorgverlener kan dan aangeven welke dossiers opgehaald moeten worden [NBA.P50]. Dit lijkt een functionaliteit die het gebruik van de toepassing en dus integriteit stimuleert, maar het heeft ook een nadelig effect op integriteit. Als een antwoord overcompleet is en niet toegespitst op de vraag dan kan een zorgverlener minder goed de integriteit beoordelen en terugkoppeling geven naar de aanbieder indien hij meent dat de gegevens onjuistheden bevatten. Het kenmerkende van de zorg is dat deze in hoge mate gespecialiseerd is en dat op een algemene vraag nooit een relevant antwoord kan komen.
3.6.3 Informatiesystemen In deze paragraaf zullen we binnen de informatiesystemen de Transformatie Procedures (TP’s) onderzoeken en de maatregelen voor behoud en verbetering van integriteit die we kunnen afleiden uit de GBZ, ZSP- en LSP eisen.
36 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
We lichten de TP’s toe aan de hand van het medicatiehistorie opvraagproces. Voor het opvragen van de medicatiehistorie kunnen we een keten van TP’s onderkennen. Zie figuur 3.4. De tekening is vergroot weergegeven in bijlage H. De tekening, pretendeert geen 100% juiste afbeelding van de werkelijke processen te zijn en dient derhalve als een benadering van de opzet, die door Nictiz is ontworpen. Het doel is een redelijk overzicht te hebben van alle TP’s die een rol spelen bij het opvragen van de medicatiehistorie. In het schema start het proces linksboven, binnen het GBZ, met inloggen en autoriseren van de zorgverlener, het identificeren van een patiënt en het opstellen van een opvraagverzoek. Dat verzoek wordt als bericht via het netwerk van de ZSP naar het LSP (midden) gestuurd. Deze raadpleegt de verwijsindex (midden/boven) en stuurt naar alle AIS’en (rechts) die binnen de opvraagselectie voorkomen een verzoek de patiëntstukken aan te leveren. De aangeleverde stukken worden verzameld door het LSP (midden/onder) en doorgestuurd naar het GBZ van de opvragende zorgverlener (links/onder). Elk omzettingsproces in dit schema dient een TP te zijn. Volgens de theorie van hoofdstuk 2 moet elke TP er voor zorgen dat bij de omzetting van input naar output de integriteit behouden blijft. Dat begint al met TP 1.1 Inloggen en Autoriseren. De begintoestand is hier de werkelijkheid die bestaat uit een zorgverlener met zijn UZI-pas. De eindtoestand is de weergave in het systeem van een zorgverlener die ingelogd is met gebruik van zijn UZI-pas met de autorisatie die bij zijn functie hoort. We geven nog een voorbeeld dat we koppelen aan “2.1 Routering van het opvraagbericht door de ZSP naar de ZIM van het LSP”. De begintoestand is hier het klaargezette bericht, de eindtoestand is het identieke afgeleverde bericht bij de ZIM en de bevestiging daarvan. Opvragen Medicatiehistorie
TP
Versie: 1.1 Datum 29-02-2009
Data verzameling
Zorgverlener
ZIS
ZSP
Opvraag bericht
Bericht van medicatie historie
LSP
ZSP
AIS
1.1 Inloggen en autoriseren
1.2 Identificeren Patient
UZI register
VWI
Patienten database
1.3 Opstellen opvraag verzoek
Opvraag bericht
2.1 Routering
Opvraag bericht
3.1 Identicatie, Authenticatie en Autorisatie aanvrager
3.2 Raadplegen VWI en uitzetten requests 2.2 Status Bewaking
AIS
Opvraag bericht Opvraag bericht Opvraag bericht
4.1 Routering
Opvraag bericht Opvraag bericht Opvraag bericht
3.3 Monitoren requests
Bericht van medicatie historie
1.4 Vastleggen in patienten dossier en presenteren
Bericht van medicatie historie
2.3 Terugzending Sluiten verbinding
Bericht van medicatie historie
Routering en Status bewaking 4.2 Status Bewaking
3.4 Terugmelding
3.5 Bijwerken LOG
Instellings EPD
LOG
Figuur 3.4 TP’s die gebruikt worden bij het opvragen van de medicatiehistorie
37 van 56
Bericht van medicatie historie
Routering en Status bewaking 4.3Bewaking Status Terugzending Sluiten verbinding
Bericht van medicatie historie
Verifieren 5.1 Opzoeken Verifieren, terugsturen Opzoeken, Terugsturen
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
De risico’s per TP zijn verschillend en worden met verschillende maatregelen ondervangen: voor ons onderzoek zijn de ZSP- de LSP- en de GBZ-eisen van belang. Nictiz heeft deze eisen uitgebreid beschreven in algemene documenten. Per toepassing gelden aanvullende eisen die Nictiz in een apart document per toepassing beschrijft. We hebben een selectie gemaakt van eisen die relevant zijn in het licht van het afdwingen en behouden van integriteit door TP’s binnen het medicatie opvraagproces. Eisen aan een GBZ: Een GBZ is door Nictiz gedefinieerd als een zorginformatiesysteem, inclusief de bijbehorende patiëntendossiers en postbussen van één zorgaanbieder, dat voldoet aan de eisen voor aansluiting op het landelijk schakelpunt. Een GBZ omvat een door een softwareleverancier en/of zelf ontwikkelde combinatie van één of meer XIS applicaties. Deze XIS applicaties moeten aan eisen voldoen om een zogenaamde XIS-type kwalificatie te krijgen. De eisen voor de XIS-type kwalificatie vormen een subset van de eisen voor de GBZ-kwalificatie. We hebben de volgende eisen geselecteerd: De GBZ kan patiëntgegevens landelijk uitwisselen via de ZIM. De GBZ is met een UZI-server certificaat authenticeerbaar [NGBZ.P14]. De GBZ kwalificatie is inclusief gebruiks- en beheerprocedures voor de gebruikers en beheerders van het GBZ; Dit is dus een eis die wel geldt voor de GBZ maar niet voor de XIS. Een XIS type kwalificatie en een GBZ kwalificatie gelden voor een bepaalde versie van de applicatie. Bij het uitkomen van een nieuwe versie is echter geen herkwalificatie nodig indien er geen wijzigingen aangebracht zijn in de interactie met het LSP [NGBZk.P13]. Voor het opvragen van de medicatiehistorie moet de zorgverlener inloggen met zijn UZI-pas op de werkplek en de bijbehorende toegangscode (pincode) invoeren [NGBZ.P27]. Van een patiënt van wie de medicatiehistorie wordt opgevraagd moet het BSN geverifieerd zijn en moet er een behandelrelatie zijn [NGBZ.P31]. Een ontvangen patiëntstuk mag in eigen dossier toegevoegd worden met als kenmerk ‘kopie’ [NBGZ.P70]. Het GBZ moet mandateringen (aanmaken, verwijderen) van medewerkers mogelijk maken [NGBZ.P85-90]. Het GBZ moet zich bij de ZIM kunnen identificeren en daarbij aangeven voor welke rol en toepassing [NGBZ.P92]. Het GBZ dient voor de uitwisseling met de ZIM de volgende protocolstack te ondersteunen: HL7v3, SOAP v1.1, HTTP v1.1, SSL v3.0 of TLS v1.0, TCP IPv4. Het GBZ dient voor de uitwisseling een SSL/TLS-sessie met de ZIM op te zetten: - tweezijdige authenticatie met behulp van het servercertificaat van de ZIM ; - 128-bit tijdelijke sleutels die op vastgestelde tijden ververst worden; - gebruik makend van RSA_WITH_RC4_128_MD5 of RSA_WITH_RC4_128_SHA [NGBZ.P105]; En voor het AIS geldt nog aanvullend dat het GBZ nieuw vrijgegeven patiëntgegevens binnen onderstaande tijdspanne dient aan te melden bij de ZIM: - binnen 1 kwartier voor een gegevenssoort die nog niet was aangemeld bij de ZIM; - binnen 1 dag voor een gegevenssoort die al eerder was aangemeld bij de ZIM, waarbij de tijdspanne wordt gemeten vanaf het moment waarop de zorgaanbieder deze patiëntgegevens heeft vrijgegeven [NGBZ.P118]. Eisen aan een ZSP: Een ZSP zorgt voor beveiligde netwerkdiensten (DCN) tussen een GBZ en het LSP en geeft de beheerder van een GBZ inhoudelijke ondersteuning: Het DCN dient alle berichtuitwisseling tussen de ZIM/LSP en de GBZ’en, zoals gespecificeerd in de “Technische architectuur” mogelijk te maken [NZSP.P20]. De ZSP mag voor het verkeer tussen GBZ’en en het LSP geen DCN toepassen waarin onderdelen zijn opgenomen die gebaseerd zijn op het openbare internet [NZSP.P22]. Het DCN moet ieder aangesloten GBZ toegang bieden tot het UZI-register via de routeerfunctie van het LSP.
38 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
Het DCN moet een aangesloten GBZ via de routeerfunctie van het LSP toegang kunnen bieden tot de CA (Certificatie Autoriteit) van het servercertificaat van de ZIM en alle CA’s in diens vertrouwensketen voor LDAP en OCSP (protocollen). De ZSP heeft een informatiebeveiligingsbeleid opgesteld en geïmplementeerd. Hierbij wordt aandacht besteed aan o.a. voldoende beveiligingsniveau van alle netwerkkoppelingen naast die van de eigen beheersystemen, LSP, GBZ’en, de SBV-Z, het UZI-register [NZSP.P26]. De ZSP is ingericht om 24 uur per dag, 7 dagen per week beschikbaar te zijn voor het afhandelen van berichten tussen het LSP en de GBZ'en en tussen GBZ’en onderling [NZSP.P29].
Eisen aan het LSP/ZIM: De ZIM moet, indien een opvragende GBZ daarom verzoekt, de resultaten van de opleverende GBZ’en bundelen tot één opleverbericht aan het opvragende GBZ. [NTI.P37]. de ZIM controleert de geldigheid van de UZI-certificaten door het raadplegen van de Certificate revocation list (CRL) bij het CIBG, de Certificate Authority (CA) van het UZI-register, die alle UZI-certificaten uitgeeft [NTI.P56]. De uitwisseling van patiëntgegevens tussen systemen wordt beveiligd op transportniveau met SSL/TLS en VPN en/of op berichtniveau met XML-encryption en XML-signature [NTI.P61]. De ZIM authenticeert het GBZ op basis van een UZI-servercertificaat, op instellingsniveau. Het GBZ authenticeert de ZIM op basis van diens ZIM-servercertificaat. Na die tweezijdige authenticatie komt een SSL/TLS-sessie tot stand waarbinnen meerdere SSL/TLS-verbindingen kunnen worden opgezet. Voor iedere afzonderlijke GBZ-gebruiker kan vervolgens een aparte SSL/TLS-verbinding opgezet worden vanaf het GBZ naar de ZIM [NTI.P67]. Per operationele-ZIM-locatie datacenter geldt een minimale beschikbaarheid van 99,982%, en er moet een tweede locatie met een operationele ZIM zijn, om in geval van onherstelbare schade op locatie 1 transparant op locatie 2 te continueren [NTI.P87]. Korte samenvatting De GBZ-, ZSP- en LSP eisen hebben een afdwingend karakter en richten zich vooral op interne consistentie, beveiliging en beschikbaarheid. Voor het bevorderen van de interne consistentie en semantische interoperabiliteit wordt door de betrokken koepelorganisaties uit de zorg gewerkt aan de eenheid van taal, die uiteindelijk moeten leiden tot een standaard. Aan maatregelen die integriteit stimuleren, zoals corrigeerbaarheid, is weinig aandacht besteed Het vertrouwen zal vooral worden afgedwongen door de wet op het EPD.
39 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
3.7 Interviewresultaten Met vertegenwoordigers van vrijwel alle belanghebbenden zijn interviews gehouden om de aandacht voor integriteit en het Landelijk EPD in kaart te brengen. Zie hoofdstuk 6 voor een overzicht van de geïnterviewde partijen. Bijlage F bevat een voorbeeld verzoek tot een interview en enkele interviewverslagen zijn integraal opgenomen in bijlagen D en E. De interviews zijn een zeer nuttige aanvulling gebleken op het literatuuronderzoek. Een samenvatting is daarom op zijn plaats. Meerwaarde Landelijk EPD De meeste partijen zijn het er over eens dat het Landelijk EPD op korte termijn nauwelijks extra functionaliteit en meerwaarde heeft boven de regionale oplossingen. Dat komt omdat de meeste patiënten nog steeds zorg afnemen binnen één regio. De implementatie van de eerste versie van de EMD toepassing draagt weinig extra bij aan de doelstellingen van het Landelijk EPD. Geen enkele partij kan bijvoorbeeld het verband leggen tussen de invoering van het Landelijk EMD en de vermindering van het aantal ziekenhuisopnamen door medicatiefouten. Bijna alle partijen zijn het wel eens over de meerwaarde van Landelijk EPD op lange termijn. De volgende doelstellingen worden door meerdere partijen genoemd: verminderen van vermijdbare medicatiefouten; beschikbaar hebben van een actueel beeld van de medicatiehistorie er van uitgaande dat mensen steeds mobieler worden en het afnemen van zorg steeds minder regionaal gebonden is; verbetering gegevensuitwisseling tussen de eerstelijns zorg (huisartsen) en de tweedelijnszorg (specialisten) verbetering gegevensuitwisseling tussen openbare apotheken en ziekenhuisapotheken; transparantie voor de patiënten. Gemeenschappelijke taal De meeste partijen noemen het hebben van een gemeenschappelijke taal, of (in technische zin) een standaard voor de opslag en uitwisseling van gegevens, de belangrijkste succesfactor voor het kunnen uitwisselen van gegevens tussen personen en tussen informatiesystemen. Men is het er over eens dat de beroepsgroepen zelf zorg dragen voor een gemeenschappelijke taal en coderingsafspraken binnen hun vakgebied onder regie van Nictiz. Het ontwikkelen en gebruiken van een gemeenschappelijke taal wordt gezien als een continu proces waarin het belangrijk is dat mensen voortdurend met elkaar communiceren. Dit proces is momenteel in volle gang. Standaardisatie is vooral lastig over de beroepsgroepen heen omdat deze in een onderling verschillende context werken met een verschillend woordgebruik en verschillende interesses in het niveau van detaillering van ogenschijnlijk dezelfde gegevens. Context Veel partijen noemen nog een belangrijke succesfactor voor het slagen van het Landelijk EPD. Men meent dat het Landelijk EPD alleen kan slagen als de informatie die men ophaalt aansluit op de context en het proces waarin men bezig is op het moment dat de informatie nodig is. Het is dus niet voldoende dat een grote bak met informatie getoond wordt waarin men zelf nog moet gaan grasduinen. Een aantal oplossingen is meerdere malen genoemd: Voor verschillende doelgroepen en doelen van zorgverleners zijn verschillende filters nodig, die precies die informatie tonen die nodig is in een gegeven werksituatie. Er dient een vertaalslag gemaakt te worden tussen terminologie en detailniveau van degene die de gegevens beschikbaar stelt en degenen die de gegevens gebruikt. Het informatiesysteem speelt een belangrijke rol bij de vertaalslag maar ook degene die de gegevens levert, kan een actieve bijdrage leveren door rekening te houden met het doel en de doelgroep. Om de vertaalslag te kunnen maken is de hiervoor genoemde gemeenschappelijke taal, of ten minste kennis van de overeenkomsten en verschillen met de taal van de ander, onontbeerlijk.
40 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
Scenario’s Bijna alle partijen brachten uit eigen beweging de vergelijking tussen het regionale scenario en het landelijke scenario ter sprake. De huidige regionale oplossingen voor huisartsen en apothekers baseren gegevensuitwisseling vooral op de OZIS standaard. De landelijke oplossing, onder regie van Nictiz biedt een landelijke infrastructuur en landelijke standaarden aan voor gegevensuitwisseling. Bij nadere beschouwing van de antwoorden blijkt dat het concept van beide scenario’s en de eisen die men stelt aan gemeenschappelijke standaarden en taalgebruik niet wezenlijk verschilt. In die zin bouwt het Landelijk EPD voort op OZIS. De volgende verschillen tussen een regionale en een landelijke oplossing worden door meerdere partijen genoemd: In het Landelijk EPD worden alle medicatiegegevens van een patiënt gekoppeld aan een uniek BSN van die patiënt. In OZIS ontbreekt een centraal (regionaal) patiëntnummer. Het BSN maakt landelijke toepassing mogelijk. De identificatie, authenticatie en autorisatie van een zorgverlener, en de beveiligingsmaatregelen daarachter, zijn in het Landelijk EPD veel strakker geregeld dan binnen OZIS. Hierbij wordt gebruik gemaakt van een persoonlijke UZI-pas. Dit heeft voordelen in het licht van de bescherming van de privacy maar gaat ten koste van de flexibiliteit van de gegevensinvoer en het gegevensgebruik. Een landelijke oplossing gaat mogelijk ten koste van de betrokkenheid, het vertrouwen en de communicatie die binnen de regionale samenwerking is opgebouwd. Eisen die worden gesteld aan informatiesystemen die willen aansluiten op de landelijke infrastructuur om gegevens uit te wisselen zijn veel strenger dan in de regionale situatie. Invoering De regie op de invoering van het Landelijk EPD ligt bij het ministerie van VWS in samenwerking met Nictiz en het agentschap CIBG. De eerste toepassingen zijn het Waarnemingsdossier voor Huisartsen (WDH) en het Elektronisch Medicatiedossier (EMD). Een aantal partijen benadrukken dat, binnen de eerste versie van het EMD, de hoeveelheid informatie die beschikbaar wordt gesteld nog beperkt is. Een zorgverlener kan inzien welke medicijnen door een apotheker zijn verstrekt. Het EMD toont echter niet de overige patiëntgerelateerde gegevens die moeten bijdragen tot een betere medicatiebewaking. Denk hierbij bijvoorbeeld aan allergieën of laboratoriumuitslagen. Ook is er geen informatie over het daadwerkelijke gebruik van de medicijnen door de patiënt beschikbaar. Er is voor gekozen het Landelijk EPD niet volgens een big bang aanpak, maar gedoseerd te implementeren. Uit de gesprekken blijkt dat invoering van het Landelijk EPD moeizaam verloopt. De volgende oorzaken worden meerdere malen genoemd: Beperkte meerwaarde op korte termijn. Het voldoen aan de kwalificatie-eisen werpt een drempel op. Het op orde brengen van de gegevens in de informatiesystemen die als bron gaan fungeren kost tijd; de betrokken beroepsgroepen zijn hier trouwens momenteel druk mee bezig. Integriteit In de gesprekken maken een aantal partijen duidelijk dat bij integriteit onderscheid gemaakt moet worden tussen integriteit van de gegevens in de bronsystemen van de zorgaanbieder en de integriteit van de via het Landelijk EPD opgevraagde informatie uit die bronsystemen. Bij dit laatste gaat het erom dat een zorgverlener bij een vraag via het Landelijk EPD tijdig en onveranderd alle informatie krijgt van alle informatiesystemen die gegevens van de gevraagde patiënt beschikbaar hebben gesteld (mits de patiënt daar geen bezwaar tegen heeft aangetekend). Sommige partijen geven aan dat het denken in termen van “specificeren van eisen die aan integriteit van gegevens worden gesteld” geen gemeengoed is als het gaat om de gegevens in bronsystemen, laat staan dat er formeel wordt nagedacht over de relatie tussen integriteit en doelstellingen die men nastreeft. Via diverse voorbeelden wordt aangetoond dat integriteit een lastige materie is. Hoewel het registratieproces binnen apotheken behoorlijk dichtgetimmerd is en weinig ruimte laat voor fouten vindt men het belangrijk dat de brongegevens helemaal “schoon” en gevalideerd zijn voordat men
41 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Het Landelijk EMD
deze aansluit op het Landelijk EPD. Het BSN en een eenduidige codering worden genoemd als belangrijke aandachtspunten daarbij. Voor informatie die opgevraagd wordt uit de informatiesystemen via het Landelijk EPD zijn centraal wel een aantal eisen voor integriteit (volledigheid, juistheid, tijdigheid) gespecificeerd. Een meermalen genoemd probleem is dat de opvrager geen inzicht heeft in hoeverre de informatie, die hij gepresenteerd krijgt, volledig is. Hierdoor ontstaat het risico van schijnzekerheid. De algemene boodschap, waar alle partijen het over eens zijn, is dat het EMD slechts een hulpmiddel is. Men kan en mag niet vertrouwen op de volledige integriteit van de getoonde informatie. De zorgverlener heeft altijd de (onderzoeks)plicht om aanvullende informatie te verzamelen bij de patiënt. Patiënt Men is het er over eens dat patiënten elektronisch toegang moeten krijgen tot het Landelijk EPD om hun eigen gegevens, inclusief het gebruik ervan, in te zien. In de toekomst moet de patiënt ook de gelegenheid krijgen zijn medicijngebruik vast te leggen. Over de wijze waarop dit ingevuld moet worden verschillen partijen van mening. In het ene uiterste scenario regelt de patiënt alles zelf, in het andere uiterste scenario is er een partij die de belangen van de patiënt behartigt. Problemen die meerdere malen genoemd worden zijn: Een moderne oplossing zoals het Landelijk EPD is ontoegankelijk voor oudere mensen, terwijl die juist de belangrijkste doelgroep vormen. Als informatie voor de patiënt direct toegankelijk is dan moet deze voor hem ook begrijpelijk zijn en rekening houden met gevoeligheden, en al dan niet aanwezige achtergrondkennis, van de patiënt. De patiënt heeft een steeds hogere verwachting en gaat steeds meer eisen stellen aan de integriteit van gegevens, misschien wel zo veel dat zorgverleners hier niet meer aan kunnen voldoen. Verantwoordelijkheden Het is bij partijen over het algemeen niet zo duidelijk hoe de verantwoordelijkheden en aansprakelijkheden rondom het Landelijk EPD liggen. Het begrip “eigenaarschap van gegevens” blijkt juridisch niet te bestaan. Wel duidelijk is dat het centraal beheer goed belegd is (bij Nictiz) en dat de zorgaanbieders verantwoordelijk zijn voor de kwaliteit en integriteit van de brongegevens (dossiers). Het IGZ en het CPB zien toe op de naleving van de uit de wet voortvloeiende regels. Het IGZ ziet ook toe op de door beroepsgroepen geaccepteerde regels. Druk op de invoering wordt uitgeoefend via wetgeving waaraan zorgaanbieders dienen te voldoen. Dit werkt door naar eisen die aan softwareleveranciers en service providers worden gesteld.
42 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Beoordelingskader
4 Beoordelingskader 4.1 Inleiding In hoofdstuk 2 is de theoretische basis gelegd voor het beoordelingskader. In dit hoofdstuk beschrijven we het beoordelingskader nogmaals, maar nu op meer formele wijze. We veronderstellen daarbij dat de lezer bekend is met de inhoud van hoofdstuk 2. Eerst lichten we echter toe wat het doel is van het beoordelingskader, onder welke voorwaarden en in welke omstandigheden het gebruikt kan worden en op welke wijze het gelezen en gebruikt dient te worden. Het beoordelingskader biedt een verzameling vragen, die helpen bij het beoordelen van maatregelen die binnen een bepaalde organisatie onderkend zijn om de integriteit te waarborgen van relevante informatie, die afkomstig is vanuit een informatiesysteem. Relevant wil zeggen dat de informatie het vermogen heeft bij te dragen aan de realisatie van bepaalde hogere doelstellingen. Onder een informatiesysteem verstaan we één of meerdere samenhangende applicaties en gegevensinterfaces die nodig zijn om de gewenste informatie te leveren, inclusief de ondersteunende infrastructuur. Het beoordelingskader kan ook gebruikt worden om risico’s te identificeren en te analyseren, die een bedreiging vormen voor de integriteit (en dus indirect voor de hogere doelstellingen) en om vervolgens maatregelen te onderkennen. Het gebruik van het beoordelingskader voor het beoordelen van maatregelen is alleen zinvol als doelstellingen vertaald zijn naar relevante informatie en de gewenste integriteit van de relevante informatie is vertaald naar eisen voor juistheid, volledigheid, tijdigheid en geldigheid. Het beoordelingskader zal hier ook aandacht aan geven. Het gebruik van het beoordelingskader voor een specifiek informatiesysteem is meestal geen eenmalige exercitie om de volgende redenen: Door meting of onderzoek van operationele gegevens kan blijken dat de integriteit niet voldoet aan de eisen. Als blijkt dat de maatregelen zelf wel goed gewerkt hebben dan zullen extra of vervangende maatregelen moeten overwogen. Dit is in feite onderdeel van een continu leer- en verbeterproces. Vanuit de hogere doelstellingen kunnen strengere eisen voor integriteit ontstaan met als gevolg dat maatregelen moeten worden aangescherpt en beoordeeld in het licht van de strengere eisen. Dit ontstaat bijvoorbeeld in een organisatie met een omgeving die steeds meer gaat eisen of in een organisatie die in een groeiproces zit en steeds meer volwassen wordt. De technische implementatie van het informatiesysteem wijzigt terwijl de functionaliteit gelijk blijft. In dit geval moet beoordeeld worden of de huidige maatregelen nog steeds toereikend zijn om het gewenste niveau van integriteit te waarborgen. Het informatiesysteem wordt uitgebreid met nieuwe toepassingen en nieuwe functionaliteit. Dit leidt tot aanvullende doelstellingen en eisen voor integriteit en vervolgens de beoordeling of de huidige maatregelen hierin nog wel kunnen voorzien. Deze situatie ontstaat in een innoverende omgeving waarin steeds gezocht wordt naar nieuwe mogelijkheden voor inzet van informatietechnologie. Het beoordelen van de het bestaan, de goede werking en de effectiviteit van de onderkende maatregelen is onderdeel van de “Check” activiteit binnen de Deming (Plan-Do-Check-Act) cyclus en valt buiten dit beoordelingskader. Het beoordelingskader is schematisch weergegeven in figuur 4.1 Schema beoordelingskader.
43 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
4.2 Beoordelingskader schema
Figuur 4.1 Schema beoordelingskader
44 van 56
Beoordelingskader
Integriteit van patiëntgegevens binnen het Landelijk EPD
Beoordelingskader
4.3 Beoordelingskader tabel VRAAG TER BEOORDELING TOEPASBAARHEID KADER ALGEMEEN 1, Wat is het onderzoeksterrein?
BELANG VAN DE VRAAG
VOORBEELDEN BINNEN HET LANDELIJK EPD/EMD
Afbakening
2. Wie is verantwoordelijk voor het formuleren van doelstellingen, de vertaling ervan naar relevante informatie en daaraan gestelde eisen, en maatregelen die risico’s voor integriteit mitigeren. 3. Welke doelstellingen zijn er binnen het onderzoeksterrein?
Personen kunnen aanspreken op het formuleren van eisen voor integriteit en maatregelen om integriteit op peil te houden.
De landelijk EPD basisinfrastructuur en de eisen die worden gesteld vanuit de Landelijk EMD toepassing. Een zorgaanbieder is verantwoordelijk voor de integriteit van zijn patiëntgegevens.
4. Welke primaire processen moeten de doelstellingen realiseren? 5. Welke informatie is relevant per proces en voor de som van de processen? 6. Welke gegevens zijn nodig om de gewenste informatie te kunnen leveren? 7. Zijn de gegevens en de semantische structuur ervan (definities, business rules, beperkingen, toegestane waarden etc.) beschreven? 8. Is gespecificeerd wat de vereiste integriteit van de relevante informatie is, per proces en voor de som van de processen? 9. Is gespecificeerd wat de vereiste integriteit van gegevens is om aan de vereiste integriteit van informatie te kunnen voldoen? 10. Zijn de informatiesystemen en gegevenstransportmechanismen in kaart gebracht, die nodig zijn om de gegevens vast te leggen en de informatie te produceren? 11. Zijn per proces de TP’s (geautomatiseerde Transformatie Procedures) benoemd?
12. Zijn per TP de eisen gespecificeerd die integriteit moeten waarborgen of bevorderen?
Zonder doelstellingen kan niet beoordeeld worden welke informatie relevant is. Vaststellen dat de som van de bijdragen van de processen de overall doelstellingen realiseren. Informatie ondersteunt het maken van keuzes en het uitvoeren van activiteiten, gericht op het doel. Gegevens zijn de “grondstof” voor informatie. De betekenis die gegevens, in het licht van de doelstellingen, hebben vertalen naar formele verbanden tussen gegevens die kunnen worden afgedwongen door programmatuur. Weten welke juistheid, volledigheid, tijdigheid en geldigheid van informatie nodig is om de doelstellingen te realiseren. Kennen van de vereiste juistheid, volledigheid, tijdigheid en geldigheid van gegevens om deze te kunnen vertalen naar eisen aan systemen, de IT infrastructuur en de mens. Het kennen van alle systemen en onderliggende IT componenten en processen, die van invloed (kunnen) zijn op de integriteit van gegevens. Een TP transformeert een bepaalde toestand van gegevens naar een volgende toestand. Per TP kunnen we bepalen in welke mate integriteit kan worden afgedwongen. Kunnen vaststellen in welke mate de TP’s gezamenlijk de vereiste integriteit per proces kunnen afdwingen en in welke mate extra stimulerende maatregelen nodig zijn.
45 van 56
Verminderen van het aantal ziekenhuisopnamen door medicatiefouten. De processen binnen medicatiebewaking hebben tot doel het aantal medicatiefouten te minimaliseren. Conditie, achtergrond, en medicatiehistorie van de patiënt etc. Patiëntgegevens, zorgverlener gegevens, medicatiegegevens, verstrekkingsgegevens etc. Op generiek niveau is een dergelijke beschrijving terug te vinden in het HL7v3 D-DIM (Domain Message Information Model) Bij centrale opvraging van de medicatiehistorie uit bronsystemen moet in 100% van de gevallen de informatie gerelateerd zijn aan een bestaand BSN. Alle BSN’s in de verwijsindex verwijzen naar bestaande BSN’s in het centrale BSN-register.
LSP, DCN, GBZ
Medicatiegegevens in het GBZ omzetten in een te versturen bericht, transporteren van het bericht naar de ZIM, bundelen van meerdere berichten tot één bericht binnen de ZIM, etc. De ZSP is ingericht om 24 uur per dag, 7 dagen per week beschikbaar te zijn voor het afhandelen van berichten tussen het LSP en de GBZ'en (relevant voor actualiteit)
Integriteit van patiëntgegevens binnen het Landelijk EPD
Beoordelingskader
VRAAG TER BEOORDELING INTEGRITEITSRISICO’S EN MAATREGELEN INTEGRITEIT AFDWINGEN Afdwingen van interne consistentie 13. Is het mogelijk gegevens te wijzigen of te transporteren buiten de officieel goedgekeurde programmatuur om?
BELANG VAN DE VRAAG
VOORBEELDEN BINNEN HET LANDELIJK EPD/EMD
Weten in hoeverre men er op vertrouwen kan dat transformatieprogrammatuur de integriteit afdwingt.
14. Vind elke wijziging van programma’s en programmatuur ondersteunende componenten binnen het IT-landschap plaats conform een gecertificeerd proces van wijzigingsbeheer? 15. Is zeker gesteld dat degenen die de programmatuur ontwikkeld of gecertificeerd hebben niet in staat zijn de programmatuur uit te voeren?
Zeker stellen dat elke TransformatieProcedure gecertificeerd wordt voor het waarborgen van integriteit.
16. Is zeker gesteld dat bij het in gebruik nemen van het systeem de begintoestand van gegevens voldoet aan de eisen van integriteit? Dit geldt ook voor informatie die wordt aangeleverd vanuit externe informatiesystemen, waarop men vertrouwt? 17. Is zeker gesteld dat informatie die van buitenaf aan het eigen informatiesysteem wordt aangeleverd en waarop men vertrouwt, blijft voldoen aan de eisen van integriteit? 18. Is de blauwdruk voor de realisatie van programmatuur en de betekenisstructuur van gegevens gevalideerd door de verantwoordelijken? Afdwingen externe consistentie 19. Is in autorisatietabellen binnen de systemen vastgelegd welke personen in welke rollen welke gegevens mogen en moeten kunnen wijzigen, of informatie mogen produceren m.b.v. Transformatie Procedures? 20. Zijn de verantwoordelijkheden, rollen en functiescheiding, die de basis vormen voor de inhoud van autorisatietabellen, vooraf door de verantwoordelijke personen gevalideerd en geaccepteerd? 21. Is zeker gesteld dat alleen geïdentificeerde en geauthenticeerde
De programmatuur kan gegevens alleen transformeren tot integere informatie als gegarandeerd is dat de begintoestand integer is (garbage in, garbage out).
De opzet is dat informatie binnen de EPD infrastructuur alleen via officiële programmatuur getransformeerd kan worden. De GBZ eisen waarborgen dat binnen bronsystemen berichten alleen door officiële programmatuur afgehandeld en klaargezet kunnen worden (is dat zo?). Voorafgaand aan elke nieuwe versie van systemen en modules die betrokken zijn bij het leveren van centrale EPD informatie vindt certificatie plaats, conform de kwalificatie-eisen (voor LSP, ZSP, XIS en GBZ). De softwareleverancier mag geen gelegenheid hebben operationele programma’s uit te voeren, die betrokken zijn bij het afhandelen en klaarzetten van berichten (zit dat in de GBZ eisen?) Gegevens in bronsystemen worden momenteel opgeschoond onder regie van de koepelorganisaties. Voorbeeld: bij een patiënt het identificerend BSN opnemen, conform de wettelijke eisen (wordt bij GBZ kwalificatie hierop gecontroleerd?) GBZ kwalificatie-eisen en wettelijke voorschriften (BSN, UZI) waarborgen dit (waarborgen GBZ kwalificatie-eisen dit inderdaad of verwijzen die weer naar andere normen?). Aorta architectuur en implementatiehandleidingen (door wie zijn deze gevalideerd?).
Functiescheiding.
Voorkomen vervuiling en niet integere informatie van buiten af. Het betreft hier inkomende informatie die niet opnieuw op interne consistentie wordt gecontroleerd. Zekerstellen dat de specificaties de integriteit waarborgen, mits goed geïmplementeerd.
Waarborgen geldigheid van gegevens.
Voorbeeld: publiceren medicatievoorschrift kan alleen door de zorgverlener die een behandelrelatie heeft met de patiënt of door een door hem gemandateerde medewerker
Zekerstellen dat de grondslag voor autorisatie juist is.
Wie doen dat, centraal en lokaal?
Waarborgen van de authenticiteit van de persoon die gegevens mag
Is afhankelijk van het mechanisme voor toegangsbeveiliging, logging en
46 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD personen gegevens kunnen wijzigen in overeenstemming met de autorisatie. 22. Is zeker gesteld dat de beheerder van de autorisatietabellen niet in staat is ongemerkt zichzelf te autoriseren of op andere wijze programma’s uit te voeren. INTEGRITEIT STIMULEREN Stimuleren door aandacht 23. Heeft men een goed beeld van wat de beperkingen zijn van het systeem om integriteit af te dwingen?
transformeren.
24. Begrijpt iedereen het belang van integriteit en op welke wijze hij/zij er persoonlijk aan kan bijdragen?
Als iemand snapt wat de consequenties zijn van gebrek aan integriteit, dan voelt hij/zij zich meer betrokken bij het nastreven van integriteit. Als het belang van integriteit vertaald kan worden naar persoonlijk voordeel motiveert dat bij het nastreven van integriteit.
25. Worden personen beloond als de integriteit verbetert?
Stimuleren door vertrouwen 26. Wat heeft men er aan gedaan om het vertrouwen tussen samenwerkende partijen te behouden of te bevorderen? Praat men openlijk over persoonlijke belangen die algemene belangen in de weg staan?
Functiescheiding.
Begrijpen dat aanvullende maatregelen om integriteit te stimuleren nodig zijn.
Vertrouwen bevordert samenwerking en communicatie; men helpt elkaar de integriteit van gegevens te verbeteren en elkaars taal beter te begrijpen.
27. Zijn er formele structuren in het leven geroepen om overleg en participatie te bevorderen?
Formeel overleg over integriteit geeft alle betrokkenen de gelegenheid mee te denken over een gemeenschappelijke taal en een systeemontwerp dat integriteit stimuleert.
28. Hebben degenen die gegevens registreren voldoende terugkoppeling van degenen die de informatie gebruiken?
Inzicht in het gebruik van de gegevens bevordert het begrip voor anderen. De getoonde interesse bevordert tevens het vertrouwen bij anderen.
Stimuleren door eenvoud 29. Is het proces van registreren en opleveren van informatie eenvoudig, zonder onnodige tussenstappen en onnodige tussenpersonen?
30. Wordt informatie aangeboden in de
Minder stappen en tussenpersonen verminderen de foutenkans en zorgt dat men beter kan doorgronden waar het eventueel fout gaat. Eenvoud wordt bevordert door vastlegging op één plek, liefst bij de bron, en het afleveren van informatie direct op de plek waar het gebruik wordt. Informatie op maat bevordert het
47 van 56
Beoordelingskader reconstructiemogelijkheid op basis van audit trail. Voorbeeld: UZI-pas. Aparte autorisatiebeheerder binnen de ZIM, aparte lokale autorisatiebeheerder.
Alle partijen in de zorg onderkennen de beperkingen van het Landelijk EPD en beseffen dat het slechts een hulpmiddel is en dat men niet op volledige integriteit kan vertrouwen. Het Landelijk EPD maakt de integriteit van gegevens meer transparant. Dit feit op zich bevordert al de integriteit. Als een apotheker in de toekomst via het Landelijk EPD op standaard wijze voorschriften toegestuurd krijgt (als de markt dit toestaat) dan is er grotere kans op “first time right” en wordt registratie en het aanmaken van verstrekkingen eenvoudiger. De huidige communicatie tussen huisartsen en apothekers binnen een regio bevordert vertrouwen en dus integriteit. Het verdient aanbeveling bij de invoering van het Landelijk EPD veel aandacht te geven aan het behoud van samenwerking en vertrouwen. De volgende formele structuren bieden bijvoorbeeld mogelijkheden tot formeel overleg tussen betrokken partijen: het Nictiz permanent bestuur, de EMD werkgroep, het platform ICT & Innovatie en het Regionaal Architectuur Platform (RAP). In al deze overleggroepen is Nictiz betrokken. Mogelijk kan het Landelijk EPD in de toekomst faciliteiten bieden om een zorgverlener inzicht te geven in informatie die anderen (kunnen) ontvangen op basis van door hem geregistreerde gegevens. Het concept van het Landelijk EPD, namelijk dat gegevens beheerd worden bij de bron, zonder extractie naar een centrale DB, bevordert eenvoud. Het feit dat bij een informatievraag gegevens uit meerdere bronnen geselecteerd en vervolgens gebundeld moeten worden gaat weer ten koste van de eenvoud. Het Landelijk EMD levert wel
Integriteit van patiëntgegevens binnen het Landelijk EPD context van het bedrijfsproces?
(efficiënt) gebruik en de acceptatie met als gevolg dat de kans groter wordt dat fouten worden teruggekoppeld.
31. Zijn gegevensdefinities, afspraken, procedures en werkwijzen die gericht zijn op het bevorderen van integriteit toegankelijk in de context van gebruik. Stimuleren door proactiviteit 32. Worden geregistreerde gegevens na registratie extra gecontroleerd?
Niet onnodig een drempel opwerpen door extra stappen in te bouwen. Dit leidt tot meer fouten en vermindert de acceptatie.
33. Worden nieuwe contacten met klanten, leveranciers of andere relaties aangegrepen om de actualiteit van gegevens te controleren? 34. Vindt bewaking en controle plaats op de effectiviteit en naleving van afspraken en procedures om integriteit te stimuleren?
Een nieuw contact betekent vaak dat er een aanleiding is om gegevens weer gaan te gebruiken. Dat is een mooi moment om te actualiseren. Het goed naleven van afspraken en procedures voorkomt vervuiling. Vervuiling die eenmaal ontstaan is, is moeilijk op te ruimen.
35. Is er een proces incident management en in het verlengde daarvan een proces probleembeheer waarin bewust aandacht wordt gegeven aan integriteitsissues?
Elke klacht, signaal of melding die wijst op een integriteitsprobleem aangrijpen om bronoorzaken op te sporen en voorstellen tot verbetering van integriteit te initiëren.
36. Wordt systematisch proactief naar (mogelijke) fouten in gegevens gezocht met behulp van technieken tools, en met gebruikmaking van gegevens in het logbestand?
Ontdekken van onregelmatigheden en patronen die niet op andere wijze ontdekt (kunnen) worden.
Een extra controle is een van de meest effectieve manieren om het aantal integriteitsfouten te verminderen.
Stimuleren door geautomatiseerde ondersteuning 37. Op welke wijze zouden informatie- Geheugensteuntjes, signalen etc. systemen extra kunnen helpen bij het helpen de mens, vooral indien deze ondersteunen van controles, correcties geïntegreerd zijn in het proces. en het stimuleren van integriteit?
48 van 56
Beoordelingskader informatie maar het resultaat wordt niet geïntegreerd in het bedrijfsproces van de ontvanger. Voor de verwerking van de informatie dient de ontvanger dus extra activiteiten uit te voeren. Dit bevordert acceptatie en integriteit niet. De site www.infoepd.nl bevat alle documentatie van Nictiz (is er een contextgevoelige helpvoorziening binnen het Landelijk EPD?) Als de apothekersassistente een papieren recept geregistreerd heeft in het systeem, dan wordt de registratie door een tweede assistente gecontroleerd op basis van het brondocument (recept). Als een patiënt bij een arts komt dan heeft de arts altijd een onderzoeksplicht. Hij mag niet vertrouwen op gegevens uit het verleden. Door middel van een gegevensgerichte controle (recepten versus geregistreerde verstrekkingen) kan een apotheker een oordeel krijgen over de effectiviteit en naleving van afspraken en procedures die integriteit moeten waarborgen. Niet duidelijk in hoeverre registraties binnen de klantenondersteuning door leveranciers, ZSP’s, LSP en ASP’s ingericht is op het identificeren en classificeren van integriteitsissues. Ook niet duidelijk of er een formeel proces probleembeheer belegd is binnen Nictiz. Het zoeken naar inconsistenties en integriteitsfouten is iets wat o.i. voorlopig in de bronsystemen thuishoort. Binnen de medische wereld is er trouwens een grijs gebied. Medicijnen, bijvoorbeeld, die volgens de regel niet samengaan kunnen in bijzondere omstandigheden toch tegelijkertijd aan één patiënt verstrekt worden. Door dan in het systeem te vermelden dat dit bewust gebeurd is, wordt verwarring en onnodig alarm voorkomen. Onduidelijk hoe actief (centraal/ lokaal) logbestanden geanalyseerd worden. Apothekerssysteem dat per patiënt alle ingescande papieren recepten (inclusief de daarop gemaakte notities en geplakte etiketten) op kan roepen. Aan de UZI-pas andere toepassingen koppelen, bijv. fysieke toegangscontrole of kantinebetalingen. Dit stimuleert dat men de pas continu bij zich houdt.
Integriteit van patiëntgegevens binnen het Landelijk EPD
Conclusies
5 Conclusies voor het Landelijk EPD 5.1 Inleiding In dit hoofdstuk worden de deelvragen beantwoord door toepassing van de theorie uit hoofdstuk 2 en het beoordelingskader uit hoofdstuk 4 op de praktijkbeschrijving in hoofdstuk 3. Op basis hiervan trekken we de eindconclusie en beantwoorden de centrale vraag “Op welke wijze wordt de integriteit van patiëntgegevens gewaarborgd bij de inrichting van het Landelijk EPD?”.
5.2 Belangenbehartiging van integriteit De overheid bevordert integriteit door wetgeving. De wet op het BSN en de wijziging daarop dragen bij aan de juistheid van patiëntgegevens (BSN als identificerend kenmerk) en de volledigheid (iedereen moet meedoen). De wetten WGBO en BIG leveren een bijdrage aan de geldigheid van patiëntgegevens, ondersteund door het centrale UZI-register dat in combinatie met het verplicht gebruik van de UZI-pas waarborgt dat alleen bevoegde zorgaanbieders en zorgverleners patïentgegevens kunnen aanbieden en opvragen. Het BSN-register en het UZI-register worden centraal beheerd onder verantwoordelijkheid van het agentschap CBIG. De koepelorganisaties uit de zorg worden betrokken bij het maken van de blauwdruk van de gegevensstructuur, de processen en de HL7 berichten. Zij bepalen de interne consistentie van de afgebeelde werkelijkheid. Nictiz draagt door middel van certificering van software en systemen bij aan het verkrijgen van integere Transformatie Procedures (TP’s), die waarborgen dat integriteit afgedwongen en behouden blijft. Volgens de wet is en blijft de zorgverlener verantwoordelijk voor de inhoud en de opslag van het (elektronisch) dossier binnen zijn GBZ. Er is echter geen duidelijkheid over de verantwoordelijkheid en aansprakelijkheid voor de integriteit van de via het Landelijk EPD opgevraagde en gepresenteerde informatie. De leveranciers dienen er voor te zorgen dat hun software de functies van het LSP ondersteunen en integreren in de context van de processen, zodat acceptatie van het Landelijk EPD toeneemt en daarmee ook het gebruik en de aandacht voor integriteit. De zorgverleners en gemandateerde medewerkers dienen te zorgen voor de externe consistentie van het medicatiedossier.
5.3 Integriteitseisen in relatie tot de doelstellingen Binnen de beschrijving van de opzet van het Landelijk EPD ontbreken concrete eisen voor integriteit van informatie, welke afgeleid zijn van concrete doelstellingen. Voor de landelijke infrastructuur wordt als doel genoemd “het beveiligd uitwisselen van gegevens tussen partijen”. Bij het landelijk opvragen van informatie zorgt het privacyrecht van de patiënt voor een extra complicatie bij het verkrijgen van de volledigheid. Volledigheid moet daarom gedefinieerd worden als volledigheid, rekening houdend met het recht op privacy van de patiënt. De meest concrete doelstelling die voor het Landelijk EMD genoemd is luidt “het terugdringen van het aantal ziekenhuisopnames als gevolg van medicatiefouten”. Met alleen de toepassing Medicatiegegevens, die als eerste geïmplementeerd wordt, kunnen medicatiefouten echter niet teruggedrongen worden. Ook de toepassing Medicatiebewaking is nodig, maar zelfs dan is er geen garantie dat dit doel bereikt wordt. Volledigheid van informatie betekent voor een huisarts iets anders dan voor een apotheker of cardioloog. Een uniforme presentatie van informatie om alle specialismen te bedienen in alle verschillende typen zorgvragen is een te eenvoudige voorstelling van de complexiteit van het zorgproces. Zelfs als de toepassing Medicatiebewaking operationeel zou zijn en de presentatie van informatie toegespitst op de situatie dan nog is dit geen garantie dat de genoemde doelstelling (terugdringen ziekenhuisopnames) gehaald wordt. Ook in het proces van het begeleiden van patiënten bij het gebruik van risicovolle medicijnen zijn namelijk nog grote verbeteringen mogelijk. Het aandeel van integriteit in het behalen van de doelstelling is dus moeilijk te meten. In ieder geval moet integriteit niet absoluut gezien worden, maar altijd in een bepaalde context en zijn de zorgaanbieders zelf verantwoordelijk voor de integriteit van de gegevens in hun bronsystemen. Elke zorgaanbieder zal daartoe zelf de wetgeving en de NEN 7510 norm, eventueel met hulp van zijn beroepsorganisatie, concreet moeten maken naar zijn eigen situatie. Het beoordelingskader en de aanpak in deze scriptie kunnen daarbij behulpzaam zijn. 49 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Conclusies
5.4 Evaluatie van maatregelen Afdwingen van interne consistentie De belangrijkste maatregelen, die interne consistentie helpen afdwingen, zijn: de Aorta blauwdruk (de Nictiz documentatie), de keuze voor HL7 als standaard voor berichtenuitwisseling en de beveiliging van de centrale infrastructuur. De kwalificatie-eisen die gelden voor de infrastructuur, beveiliging, beschikbaarheid, aansluiting, beheer en exploitatie zijn bovendien veel hoger dan de eisen die gelden binnen een regionale oplossing. Dit geeft meer zekerheid dat integriteit afgedwongen wordt. Vanwege de complexe structuur is er wel een hoger risico voor de tijdigheid van informatie. Verder heeft het alleen zin gegevens landelijk aan te bieden als ze in de eigen systemen van de zorgaanbieder op orde zijn en als er een proces aanwezig is die garandeert dat de gegevens op orde blijven. Het opschoningstraject binnen OZIS voor apothekers lijkt daarom een goede voorbereidende stap ten behoeve van de defensieve strategie. Een grote winst van het Landelijk EDP is dat er meer discussie is over de gemeenschappelijke taal over de zorgkolommen heen. Binnen een gemeenschappelijke taal stopt men meer inspanning in het modelleren van de semantische structuur en regels en het op elkaar afstemmen van codestelsels. Dit biedt meer mogelijkheden voor het afdwingen van interne consistentie door programmatuur. Het is echter nog een lange weg om te komen tot een gegevensmodel, of eventueel vertaaltabellen, waarin rekening wordt gehouden met de verschillende contexten, coderingstelsels en eisen van de diverse specialismen. Afdwingen van externe consistentie De verantwoordelijke zorgverlener heeft, conform de WGBO, een dossierplicht: hij is verantwoordelijk voor de integriteit van de voor de behandeling noodzakelijke patiëntgegevens. Hij dient er voor te zorgen dat het patiëntendossier bijgewerkt, volledig en actueel is en overeenstemt met de werkelijkheid. De juiste identificatie van een patiënt d.m.v. het Burgerservicenummer en een zorgverlener d.m.v. het UZI-nummer wordt specifiek afgedwongen door wettelijke regelingen. De geldigheid van de in de verwijsindex aangemelde gegevens wordt afgedwongen door het authenticatieen autorisatie-mechanisme, ondersteund door het UZI-register. Doordat wijzigingen gelogd worden kan achteraf de goede werking van dit mechanisme gecontroleerd worden. Behalve vanwege de eerder genoemde afscherming door de patiënt kan opgevraagde informatie ook onvolledig zijn omdat zorgaanbieders nagelaten hebben deze aan te melden. Daarom is het, in verband met de aansprakelijkheidsvraag, van belang dat zo spoedig mogelijk een reconstructiemogelijkheid wordt geïmplementeerd, Hierdoor kan achterhaald worden wat een zorgverlener gezien zou hebben als hij op een bepaald tijdstip in het verleden bepaalde patiëntgegevens zou hebben opgevraagd. Momenteel is dit als toekomstige eis binnen de Nictiz architectuur gedefinieerd. Afgezien hiervan zal het Landelijk EMD, als de landelijke mobiliteit van patiënten groter wordt, voor een completer beeld van de medicatiegegevens zorgen dan in de huidige regionale oplossingen het geval is. Dus wat het aspect volledigheid van informatie betreft zal het Landelijk EMD uiteindelijk de integriteit bevorderen. Stimuleren van integriteit We verwachten dat de transparantie van gegevens de aandacht voor integriteit zal vergroten. Bij de implementatie van het Landelijk EPD blijft een zorgvuldige aanpak per regio noodzakelijk om de continuïteit en integriteit van de bestaande berichtenstroom in een regio te waarborgen. Een zorgvuldig gebruik van de UZI-pas is van groot belang om de afdwingende werking van de authenticatie- en autorisatiemaatregelen te kunnen blijven garanderen. Als men de aandacht in eerste instantie vestigt op risicopatiënten en risicovolle medicijnen dan kan het belang van integriteit eerder in beeld komen. Het vertrouwen in de huidige oplossing is niet erg groot. De grootschaligheid druist in tegen de regionale situatie waarbij een goed contact tussen apotheek, huisarts en specialist zorgt voor vertrouwen en een lage drempel voor onderlinge afstemming van gegevens. Het voordeel van volledigheid op landelijke schaal wordt mogelijk teniet gedaan door verlies van integriteit ten gevolge van minder directe communicatie en het gevaar dat gegevens een eigen leven gaan leiden. Daarom is het belangrijk dat er binnen het Landelijk EPD concept voor gezorgd wordt dat aanbieders en gebruikers van informatie operationeel contact blijven houden over de uitgewisselde informatie. 50 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Conclusies
Operationele communicatie en samenwerking leiden tot beter gebruik van het systeem waardoor integriteitsfouten, maar ook beoordelingsfouten, eerder aan het licht komen. Op bestuurlijk niveau is samenwerking geborgd in een aantal formele overlegstructuren onder regie van Nictiz. De EPD infrastructuur zal het aantal varianten gaan beperken waarmee mensen en systemen onderling gegevens uitwisselen. Een gemeenschappelijke taal, die de diverse contexten en domeinen integreert voorkomt spraakverwarring. Eenduidigheid maakt zaken eenvoudiger en begrijpelijker en bevordert daardoor integriteit. Stapsgewijze invoering van het EPD houdt het overzichtelijk waardoor men kan leren ervaren op welke wijze verbeteringen, ook ten aanzien van integriteit, mogelijk zijn. Het op een proactieve manier integriteit stimuleren is iets wat in de praktijk moet groeien. Nictiz pleit voor informatieverschaffing en training omtrent het Landelijk EPD vanuit de beroepsgroepen zelf, omdat deze dichter bij de praktijk staan. Extra controles zijn vaak al verankerd in operationele protocollen. Een extra controle is een zeer effectieve manier om het aantal integriteitsfouten te verminderen. Verder kan de toezichthouder op eigen initiatief of op verzoek van een patiënt controleren of procedures en afspraken binnen het Landelijk EPD worden nageleefd. Wij adviseren tevens toezicht te houden op de kwaliteit van bronsystemen omdat de integriteit van, via het Landelijk EPD getoonde informatie, daarvan afhankelijk is. Het Landelijk EMD zal in eerste instantie als een kijkdoos fungeren. Geautomatiseerde ondersteuning die integriteit moet stimuleren ontbreekt grotendeels. We noemen enkele zaken die ons opgevallen zijn. De opgevraagde medicatie-informatie is niet gerelateerd aan actuele en recente behandelrelaties van de patiënt. Er is niet duidelijk in welke context de informatie is ontstaan. De opgevraagde informatie binnen een GBZ is bovendien niet verweven in de context van het proces van de opvrager. Verder zal de zorgverlener, zolang de GBZ’en niet in staat zijn een willekeurige opvraag in het verleden te reconstrueren, zelf de door hem gebruikte informatie in kopievorm aan zijn dossier moeten toevoegen, om aan de wettelijke verplichtingen te voldoen. Tot slot constateren we dat het niet mogelijk is via het Landelijk EMD integriteitsfouten te communiceren zodat deze gecorrigeerd kunnen worden, Vanuit de doelstelling bezien is het echter nog een groter gemis dat het niet mogelijk is via het Landelijk EMD daadwerkelijk gemaakte medicatiefouten of nieuwe inzichten te communiceren of in beeld te brengen.
5.5 Eindconclusie Binnen het Landelijk EPD speelt de integriteitsvraag in twee verschillende fasen. De eerste vraag is in welke mate de werkelijke of voorgeschreven patiëntgegevens integer worden geregistreerd in de bronsystemen. Het Landelijk EPD tracht de integriteit van deze gegevens, voor zover ze worden uitgewisseld via de landelijke infrastructuur, af te dwingen door middel van wettelijke regelingen en certificatie. De Inspectie voor de Gezondheidszorg (IGZ) kan hierbij een belangrijke rol gaan spelen door het intensiever uitvoeren van operationele audits, vooral gericht op de naleving van de NEN 7510 norm waaraan zorgaanbieders binnen afzienbare tijd waarschijnlijk wettelijk moeten voldoen. Van de audits kan een stimulerende invloed uitgaan om beter te definiëren welke eisen voor integriteit van gegevens gelden en welke maatregelen nodig zijn om deze eisen te realiseren. In die zin vormen de audits een onderdeel van een leerproces. De tweede vraag is in welke mate de via het Landelijk EPD opgevraagde patiëntinformatie een integere weergave is van de in de bronsystemen geregistreerde gegevens. Deze vraag beantwoorden we voor elk kenmerk van integriteit afzonderlijk. De juistheid van de opgevraagde informatie wordt in sterke mate afgedwongen door de robuuste en stabiele omgeving, de wettelijke voorschriften voor het gebruik van het Burgerservicenummer, het steunen op de HL7 standaard voor het berichtenverkeer en de certificatie van de aangesloten bronsystemen.
51 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Conclusies
De tijdigheid van informatie is in opzet gewaarborgd door de gestelde beschikbaarheidseisen maar moet zich in de praktijk nog bewijzen. De geldigheid van informatie wordt gewaarborgd door een sterk authenticatie- en autorisatiemechanisme, ondersteund door de UZI-middelen, maar is afhankelijk van de zorgvuldigheid waarmee de zorgverleners en gemandateerde medewerkers omgaan met de UZI-pas. De volledigheid van informatie kan om een aantal redenen niet gewaarborgd worden. De belangrijkste zijn afscherming door de patiënt, een niet beschikbaar of toegankelijk bronsysteem, het ten onrechte niet vrijgeven van de gegevens in het bronsysteem en het gewoon nog niet beschikbaar zijn van de gegevens vanwege de gefaseerde invoering van de Landelijk EPD toepassingen. Over de vraag of informatie al dan niet volledig is kan men trouwens redetwisten omdat beantwoording hiervan afhangt van de wijze waarop men volledigheid van informatie definieert. Naarmate de beroepsgroepen beter in staat zullen zijn medische coderingstelsels onderling over de kolommen heen te standaardiseren zal de programmatuur beter in staat zijn integriteit af te dwingen. Maatregelen om de integriteit van het Landelijk EPD te bewerkstelligen hebben voornamelijk een afdwingend karakter. Externe consistentie, waaronder volledigheid, kan echter nooit helemaal afgedwongen worden. Voor het bewerkstelligen hiervan zullen stimulerende maatregelen ingezet moeten worden. Na alle bijdragen van zorgkoepels aan het tot stand komen van de HL7 standaard en het Landelijk EPD, is het nu het moment gekomen dat de beroepsorganisaties het Landelijk EPD moeten gaan gebruiken. Alleen door het Landelijk EPD te gebruiken en mee te werken aan een continu verbeterproces kan integriteit verder vergroot worden in relatie tot doelstellingen die steeds concreter en scherper zullen worden. De Landelijk EPD toepassingen zullen altijd ondersteunend blijven, maar de mate van ondersteuning zal, met de nodige inspanning, in de komende decennia sterk kunnen toenemen.
52 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Nawoord
Nawoord Voor deze scriptie zijn we beiden gestart met het lezen van literatuur en artikelen over integriteit en met het lezen van documentatie van Nictiz die de architectuur van het Landelijk Elektronisch Patiëntendossier beschrijft. Vervolgens hebben we de taken verdeeld. De een heeft de theorie ten behoeve van het beoordelingskader voor integriteit uitgewerkt (hoofdstuk 2), de ander heeft de praktijk in de zorg beschreven (hoofdstuk 3). Als een rode draad hebben gedurende een aantal maanden interviews plaats gevonden. Het onafhankelijk ontwikkelen van het beoordelingskader en het beschrijven van de praktijk had als voordeel dat het mogelijk werd het beoordelingskader op een objectieve manier te toetsen. We concludeerden al snel, en hadden dat ook voorzien, dat het veel te ver voerde om het Landelijk EPD in al zijn facetten met behulp van het beoordelingskader door te lichten. We hebben daarom de volgende beslissingen genomen. Enerzijds hebben we ons in het beoordelingskader beperkt tot het geven van voorbeelden uit de zorg. Op basis hiervan konden we wel beoordelen of het kader relevante en juiste vragen bevatte. Anderzijds hebben we besloten de maatregelen die in het kader van het Landelijk EPD in de praktijk zijn opgezet door te lichten om te beoordelen of het kader volledig was in de vragen. Naar aanleiding van het voorgaande hebben we de theorie in hoofdstuk 2, de praktijkbeschrijving in hoofdstuk 3 en het beoordelingskader in hoofdstuk 4 enigszins aangepast en in lijn met elkaar gebracht. Wij hebben ervaren dat het beoordelingskader slechts een middel is, maar wel een heel bruikbaar middel om maatregelen te onderkennen of te beoordelen die integriteit van informatie moeten waarborgen. Het is bovendien een zodanig sterk middel dat het voor ons bijna niet meer mogelijk is anders te denken dan in termen van afdwingen/behouden en bevorderen/stimuleren van integriteit en ons af te vragen waar het een ophoudt en het ander begint. Onze belangrijkste leerpunten in deze scriptie zijn: • Als meerdere partijen onderling informatie uitwisselen en gebruiken dan is een gemeenschappelijk geaccepteerd model dat rekening houdt met de betekenis van gegevens in verschillende contexten en werksituaties, tezamen met standaardisatie van gecodeerde gegevens, de belangrijkste randvoorwaarde voor succes. Alleen dan kan een arts in Spanje begrijpen welke tabletten je slikt en in welke omstandigheden dat gebeurt. • Integriteit is een nog veel complexer kwaliteitsaspect dan we voorafgaand aan de scriptie al vermoedden. Er zitten veel dubbele bodems in, bijv. de integriteit van de geformuleerde doelstelling, van een blauwdruk van een gegevensmodel, van een autorisatietabel en van de operationele gegevens zelf. Daarnaast wordt de integriteit beïnvloed door zeer veel factoren die onderling ook nog weer verweven zijn. • In een complexe omgeving met meerdere partijen en nieuwe toepassingen is het niet mogelijk in één keer de eisen voor integriteit te realiseren. Integriteit kan namelijk niet alleen technisch afgedwongen worden maar is mede afhankelijk van de betrokkenheid en bereidheid van de mens. Deze betrokkenheid en bereidheid kunnen alleen ontstaan en groeien in een leerproces, dat zowel noodzakelijk is op individueel niveau als binnen een samenwerkingsverband. Om integriteit te kunnen toetsen en verbeteringen mogelijk te maken is het wel noodzakelijk voortdurend te streven naar concretisering en aanscherping van de specificaties van de gewenste integriteit. • Een compleet beoordelingskader, in een of andere vorm, is een noodzakelijk hulpmiddel om maatregelen voor integriteit van informatie te beoordelen. Wij hebben slechts de eerste stap gezet. Er is nog veel verfijning mogelijk en bovendien integratie met andere zienswijzen en modellen, zoals het Total Quality Management dat gericht is op continue verbetering van de bedrijfsvoering. Langeraar/Amsterdam, maart 2009 Jan van der Jagt & Pieter Heijboer 53 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Overzicht geïnterviewde organisaties
6 Overzicht geïnterviewde organisaties Apotheek Ter Aar Apotheek Ter Aar is aangesloten bij Service Apotheek, een samenwerkingsverband van meer dan 180 geselecteerde apotheken verspreid over geheel Nederland. E-Zorg E-Zorg is gecertificeerd als ZSP (Zorg Service Provider) en voldoet aan de eisen die Nictiz namens het ministerie van VWS middels de ZSPeisen stelt aan de netwerkinfrastructuur bij zorgverleners HL7 Nederland De Stichting HL7 Nederland functioneert sedert 1992 en is een officiële "International Affiliate" van de in de USA gevestigde HL7 moederorganisatie. IC2it Een jong bedrijf met een zeer rijke historie; biedt een volledig palet ICT-diensten en innovatieve oplossingen voor informatievoorziening binnen de zorg. KNMP: De Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie De overkoepelende beroeps- en brancheorganisatie van apothekers, behartigt zowel de belangen van haar leden als die van de farmacie. NHG: Nederlands Huisartsen Genootschap Het Nederlands Huisartsen Genootschap is de wetenschappelijke vereniging van huisartsen. De missie is het bevorderen van de wetenschappelijk onderbouwde beroepsuitoefening. Ministerie van Volksgezondheid, Welzijn en Sport Voert de regie over de implementatie van het EMD en het WDH, zorg voor de noodzakelijke wetgeving en waarborgt de exploitatie van de registers en van het landelijk schakelpunt. Nictiz: Nationaal ICT Instituut in de Zorg Nictiz is het nationale knooppunt en kenniscentrum voor ICT en innovatie in de zorg; Nictiz ontwerpt en onderhoudt de EPD basisinfrastructuur, coördineert het tot stand komen van landelijke standaarden en certificeert leveranciers en zorgaanbieders voor aansluiting op het landelijk schakelpunt. NPCF: Nederlandse Patiënten Consumenten Organisatie Realiseren van vraaggestuurde zorg voor patiënten en consumenten vanuit het patiëntenperspectief. PharmaPartners PharmaPartners heeft in de afgelopen 30 jaar een belangrijke positie in de Nederlandse Zorgmarkt opgebouwd als ICT-dienstverlener.
54 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Literatuurlijst en bijlagen
7 Literatuurlijst [ADE] NHG; Samenvatting adequate dossiervorming met het EMD. Nederlands Huisartsen Genootschap, http://nhg.artsennet.nl (2004) [AGR] D.Agrawal, A. El Abbadi; Transaction Management in Database Systems. San Francisco: Morgan Kaufmann Publishers Inc. (1992) [BIBA] K.J. Biba; The Mitre Corporation, Bedfort Massachusetts; Integrity Considerations for Secure Computer Systems (April 1977) [BIG] Nederlandse Overheid; Wet Beroepen in de individuele Gezondheidszorg. http://wetten.overheid.nl (1993) [CBS] CBS; Gezondheidszorg in cijfers 2007. Centraal Bureau voor de Statistiek, Voorburg (2007) [COB] IT Governance Institute; CobiT 4.1, Framework Control Objectives, Management Guidelines, Maturity Models (2007) [CWI] David D. Clark and. A Wilson; A comparison of commercial and military computer security policies. In IEEE Symposium on Security and Privacy, pages 184–194 (1987) [DOG] Asuman Dogac, Tuncay Namli, Alper Okcan, Gokce Laleci, Yildiray Kabak and Marco Eichelberg; Key Issues of Technical Interoperability Solutions in eHealth. http://www.ehealthnews.eu/content/view/426/62/ (2006) [EMC ] Miriam C.J.M. Sturkenboom, Jeanne P. Dieleman; Geneesmiddelbijwerking gerelateerde ziekenhuisopnames, Onderzoeksrapport. Erasmus Medisch Centrum, Rotterdam (2006) [ENG] Larry P. English; Improving Data Warehouse and Business Information Quality. New York: John Wiley & Sons, Inc. (1999) [ENG2] Larry. P. English; Information Quality in Reference Data; Information Management Magazine, VOL 16; NUMB 3, pages 8-8, March 1 (2006) [GST] Commissie en Werkgroep van Z-Index BV; G-Standaard. Z-Index, http://www.z-index.nl (actueel) [HARM] Anne Leendertse, Patricia M.L.A. van den Bemt, Toine C.G. Egberts, Hospital Admissions related to Medication (HARM), Onderzoeksrapport. Division of Pharmacoepidemiology & Pharmacotherapy, Utrecht Institute for Pharmaceutical Sciences,(2006) [HIS] Khing Njoo, Tjeerd van Althuis, Erica Bastiaanssen, Peter Rijnierse (JW. van der Kouwe); Publieksversie HIS-referentiemodel 2005. Nederlands Huisartsen Genootschap, http://nhg.artsennet.nl (26 oktober 2007) [ICD] International Classification of Diseases 9th edition Dutch Extension. Stichting CBV, http://www.cbv.nl/ (2007) [ITGI] IT Governance Institute; Managing Enterprise Information Integrity. Rolling Meadows USA, IT Governance Institute (2004) [HUL] Joris Hulstijn, persoonlijke communicatie (2008) [MCK] D. Harrison Mcknight, Larry L. Cummings, Norman L. Chervany; Trust formation in new organizational relationships. In Proceedings, Information and Decision Sciences Workshop, University of Minnesota (1995) [NAA] Nictiz; Architectuurvisie Aorta, versie 6.0.0.0. Nictiz, Den Haag (2008) [NAMB] Nictiz; Architectuurontwerp Medicatiebewaking, versie 6.0.0.0. Nictiz Den Haag (oktober 2008) [NAMG] Nictiz; Architectuurontwerp Medicatiegegevens, versie 6.0.0.0. Nictiz Den Haag (oktober 2008) [NBA] Nictiz; Bedrijfsarchitectuurvisie Aorta, versie 6.0.0.0. Nictiz Den Haag (oktober 2008) [NEN] Nederlandse norm NEN 7510 (nl), Medische informatica - Informatiebeveiling in de zorg - Algemeen. Nederlands Normalisatieinstituut, Delft (april 2004) [NGBZ] Nictiz; Programma van eisen Goed Beheerd Zorgsysteem, versie 6.0.0.0. Nictiz Den Haag (oktober 2008) [NGBZk] Nictiz; Kwalificatieschema Goed Beheerd Zorgsysteem, versie 6.0.0.0. Nictiz Den Haag (oktober 2008) [NIA] Nictiz; Informatiesysteem Architectuur Aorta, versie 6.0.0.0. Nictiz Den Haag (oktober 2008) [NIHL7] Nictiz; Implementatiehandleiding HL7v3 Medicatiegegevens, versie 6.0.0.0. Nictiz Den Haag (oktober 2008) [NTA] Nictiz; Technische architectuur AORTA, versie 6.0.0.0. Nictiz Den Haag (oktober 2008) [NZSP] Nictiz; Programma van eisen Zorg Service Provider, versie 6.0.0.0. Nictiz Den Haag (oktober 2008) [ORR] Ken Orr; Data Quality and Systems. In Communication of the ACM, February, p66-71 (1998) [POK] Stanislav Pokraev, Manfred Reichert, Maarten W.A. Steen and Roel J. Wieringa; Semantic and Pragmatic Interoperability: A Model for Understanding. Telematica Instituut, Enschede (2005) [REA] James Reason; Human Error. Cambridge University Press (1990) [REIJ]: Hajo Reijers en René Theunissen; Workflowmanagemen: bloed, zweet en ... resultaat; Informatie, pagina 10-15, (mei 2008) [SMET] A.G.M. de Smet, J.L.M. van de Klundert, K. H. Njoo, I. M. Twiss, L. Mook, J.D.L. Kroon, M.E.A.P. Kokenberg; Gegevensuitwisseling via het landelijk elektronisch medicatiedossier. Werkgroep 'Vaststelling Medicatiedossier (2005)
55 van 56
Integriteit van patiëntgegevens binnen het Landelijk EPD
Literatuurlijst en bijlagen
[ROVM] ActiZ, GGZ Nederland, KNMG, KNMP, LEVV, LHV, NFU, NHG, Nictiz, NPCF, NVVA, NVZ, NVZA, Orde, V&VN en ZN onder initiatief van IGZ en VWS; Richtlijn ‘Overdracht van medicatiegegevens’, NVZA LP20080212, nr. 2 (2008) [STA] Starreveld: Starreveld, Van Leeuwen en van Nimwegen; Bestuurlijke informatieverzorging, Deel 1 - Algemene grondslagen, 5e druk. Groningen: Wolters-Noordhoff (2002) [STG] Marshall D. Abrams, Edward G. Amoroso, Leonard J. Lapadula, Teresa F. Lunt, James G. Williams; Report of an integrity research study group, Computers & Security 12 (p679-689) (1993) [WEPD] Nederlandse Overheid; Voorstel Wijziging van de Wet gebruik Burgerservicenummer in de zorg in verband met de elektronische informatieuitwisseling in de zorg. http://wetten.overheid.nl (2009) [WGBO] Nederlandse Overheid; Wet op de Geneeskundige behandelovereenkomst. http://wetten.overheid.nl (1994) [WGBSN] Nederlandse Overheid; Wet gebruik Burgerservicenummer in de zorg. http://wetten.overheid.nl (2008) [WBP] Nederlandse Overheid; Wet Bescherming Persoonsgegevens. http://wetten.overheid.nl (2000) [WBSN] Nederlandse Overheid; Wet algemene bepalingen Burgerservicenummer. http://wetten.overheid.nl (2007) [WIN] Leonora Grandia (Geneesmiddelen Informatie Centrum), Rick Dekker (Z-Index); Norm voor de G-standaard, WINAp Nieuws, pagina 1. Wetenschappelijk Instituut Nederlandse Apothekers (april 2008) [ZAN] Pieter E. Zanstra, Egbert J. van der Haring, Ronald Cornet; Introduction of a clinical terminology in the Netherlands. Nictiz Leidschendam (2003).
8 Overzicht bijlagen Bijlage A: Cobit 4.1 control objectives gerelateerd aan integriteit Bijlage B: NEN 7510 gerelateerd aan de theorie Bijlage C: Analyse van het proces Medicatietherapie Bijlage D: Verslag interviews met de heer Robertz, Apotheek Ter Aar Bijlage E: Verslag interview met de heer Kabbes, HL7 Nederland Bijlage F: Voorbeeld verzoek tot interview Bijlage G: Samenhang tussen diverse standaarden en richtlijnen Bijlage H: TP’s bij het opvragen van de medicatiehistorie
56 van 56