Naar de content

Veiliger patiëntensysteem

Huisartsen Amsterdam experimenteren met alternatief elektronisch patiëntendossier

Whitebox Systems, CC BY-SA 1.0

De Whitebox is een alternatief voor het elektronisch patiëntendossier. Veiliger en met meer privacy, aldus de onderzoekers. Huisartsen experimenteren ermee.

18 oktober 2016

Bij de artsen die aan de pilot deelnemen staat een klein kastje in hun praktijk, de zogeheten Whitebox.

Whitebox Systems, CC BY-SA 1.0

Twintig huisartsen in Amsterdam testen sinds 2015 de Whitebox. Dat is een decentraal systeem dat huisarts en patiënt volledige controle geeft over de uitwisseling van medische gegevens. Samen bepalen ze wie toegang tot welke data krijgt.

“Bij het nieuwe systeem is de huisarts de spil”, legt Guido van ‘t Noordende uit. Hij deed aan de Universiteit van Amsterdam onderzoek naar de verwerking van gegevens en is oprichter van de start-up Whitebox Systems. Hij noemt de Whitebox een veilig en privacyvriendelijk alternatief voor het Landelijk Schakelpunt (LSP) dat in 2014 van start is gegaan als opvolger van het gevoelig liggende Elektronisch Patiëntendossier (EPD). Van ‘t Noordende is echter zowel over de infrastructuur en beveiliging bij het EPD als het LSP niet enthousiast.

“Een centraal systeem zoals het LSP kent een aantal inherente risico’s die je bij een decentrale methode niet hebt: meer mensen krijgen toegang, het centrale punt is kwetsbaar, en er worden centraal persoonsgegevens verwerkt, wat bij een een decentraal systeem helemaal niet nodig is.”

Versleuteld

De onderzoeker spreekt over privacy by design. Bij de artsen die aan de pilot deelnemen staat een klein kastje in hun praktijk, de zogeheten Whitebox. Dit kastje regelt de toegang tot de patiëntendossiers die de huisarts van zijn patiënten bijhoudt. Doordat het systeem aan de arts toebehoort, is de uitwisseling van gegevens juridisch en technisch beschermd door het beroepsgeheim. Van ‘t Noordende werd voor de ontwikkeling ervan genomineerd voor de IIR Nationale Privacy Innovatie Award 2015.

Twintig huisartsen in Amsterdam experimenteren sinds 2015 met de Whitebox, een methode voor het uitwisselen van medische gegevens. Uiteindelijk moeten ook ziekenhuizen op het systeem worden aangesloten.

Wiki Commons, CC BY-SA 2.0

“Medische gegevens gaan van begin tot eind versleuteld van arts tot arts. Niemand anders kan deze gegevens inzien. Welke informatie de arts precies met andere zorgverleners deelt, stelt hij zorgvuldig vast in overleg met zijn patiënt en met niemand anders.”

Voordat de Whitebox werd ontwikkeld, besteedde de onderzoeker veel tijd aan het in kaart brengen van het zorgproces en de huidige ICT-systemen. Van ‘t Noordende: “In de meeste gevallen gaan patiënten naar een zorgverlener in hun woonplaats, bijvoorbeeld de wijkapotheek. Dat loopt vaak via hun eigen huisarts. En als ze naar een specialist in een ziekenhuis moeten, gaat dat via een verwijzing van de huisarts. Moeten patiënten vervolgens naar een academisch ziekenhuis buiten de woonplaats, dan worden ze doorverwezen door de huisarts, óf door de specialist van het eerste ziekenhuis.”

Elke huisartsenpraktijk in Nederland werkt met een huisartsinformatiesysteem (HIS). Het HIS vormt de kern van de ICT in de huisartsenpraktijk, het systeem wordt onder meer gebruikt voor het plannen van afspraken, voorschrijven van medicatie, declareren bij zorgverzekeraars en bijhouden en raadplegen van patiëntendossier.

Persoonlijke pas

Van ‘t Noordende ziet de huisarts als poortwachter. Hij of zij geeft wanneer het nodig is toestemming aan een andere zorgverlenende partij om een deel van het dossier van de patiënt in te zien. Die andere partij heeft dan wel een zogenoemde UZI-pas nodig – waarbij UZI staat voor Unieke Zorgverlener Identificatie. Deze persoonlijke pas, uitgegeven onder verantwoordelijkheid van het Ministerie van Volksgezondheid, wordt gebruikt voor het veilig elektronisch uitwisselen van medische gegevens.

“Zo’n pas geeft een redelijke garantie dat iemand die gegevens opvraagt een zorgverlener is en geen hacker of een andere kwaadwillende partij. Maar alleen deze pas is niet genoeg beveiliging, want er zijn duizenden artsen die er een hebben, en die passen worden ook in niet al te veilige systemen gebruikt. We voegen er daarom iets aan toe. De huisarts genereert als hij informatie wil delen een URL met een speciale code. Daarmee geeft hij de volgende persoon in het zorgproces toegang om bepaalde data te raadplegen. Een arts die een autorisatie heeft, kan die autorisatie weer doorzetten. Je krijgt dus een keten van autorisaties. Aan de apotheek stuurt hij een andere link dan aan de specialist bijvoorbeeld.”

Zelf controle houden

Via de URL en via de UZI-pas krijgt de volgende zorgverlener in de keten, bijvoorbeeld de specialist, toegang. De data worden echter niet gekopieerd en blijven bij de huisarts staan op een decentrale plek. De specialist kan op zijn beurt de volgende in het zorgproces zoals een instelling of arts in een gespecialiseerd ziekenhuis toegang geven via zo’n link.

De patiënt krijgt mogelijk in de toekomst via een code zelf ook toegang tot zijn gegevens via de Whitebox van zijn huisarts, om van daaruit zelf ook weer zorgverleners te autoriseren. Zo kunnen patiënten ook zelf zelf controle houden over de informatie die beschikbaar is.

“Ik denk dat patiënten makkelijker toestemming geven om gegevens te delen, als per keer helder is welke informatie gedeeld wordt, en als ze weten dat de arts hier controle over heeft, dus dat niet zomaar iemand gegevens op kan vragen. Een groot probleem bij het LSP is namelijk dat zowel de patiënt als de huisarts zelf niet in de hand heeft welke informatie door welke zorgverlener opgevraagd mag worden. Het gaat buiten het zicht van de arts en de patiënt om.”

Hoe worden gegevens beveiligd?

De Whitebox werkt met een model van directe autorisatie van een andere partij: alleen díe partij kan gegevens opvragen. De huisarts regelt toegang tot het dossier van zijn patiënten zelf, in samenspraak met de patiënt. Alleen partijen die expliciet toegang hebben gekregen, bijvoorbeeld van een huisarts of van iemand die al eerder toegang heeft gekregen, kunnen bij de patiëntgegevens.

De Whitebox maakt gebruik van zogeheten _end-to-end_-beveiliging. Dit betekent dat elk communicatiekanaal waar medische gegevens over getransporteerd worden van begin tot eind versleuteld is, zodat niemand tussen verzender en ontvanger de gegevens kan inzien of afluisteren.

Er wordt een nieuwe communicatiestandaard gebruikt die speciaal is ontworpen als voortvloeisel uit onderzoek van de Universiteit van Amsterdam. De Whitebox maakt gebruik van het Linux-systeem. Daarop draait een speciaal gebouwde webserver die de URL’s aanmaakt en herkent, en die de toegangscontrole doorvoert die hoort bij de in de Whitebox gebruikte communicatiestandaard.

Het Whitebox-systeem is gekoppeld aan het Huisartsinformatiesysteem (HIS) dat iedere huisarts heeft. Dat voorkomt dat informatie dubbel moet worden ingevoerd.

ReactiesReageer