Nogmaals een reden om te stoppen met het EPD

Gisteren was ik in het Diaconessenhuis in Utrecht. Niets ernstigs, niets boeiends. Maar dit kleine regioziekenhuis neemt het niet zo heel nauw met de regels omtrent privacy van haar patiënten.

Na, natuurlijk hoe kan het ook anders, veels te lang wachten werden we een spreekkamer ingeleid waar we weer moesten wachten op de kinderarts. In deze kamer stond (zoals in alle spreekkamers) een PC met daarop de software voor het Utrechtse EPD.

Het probleem is dat deze PC gewoon open stond. Ingelogd en met een dossier geopend van iemand anders. Ik ga hier natuurlijk niet vertellen van wie, maar als ik had gewild had ik deze jongen van 10 de meest ernstige ziektes kunnen geven, beter kunnen verklaren of zelfs dood kunnen verklaren.

Blijkbaar zijn ziekenhuizen goed van vertrouwen, want we zaten zeker 15 minuten te wachten tot de arts binnenkwam. In die tijd sprong de PC niet op schermbeveiliging of werd niet automatisch uitgelogd. Als ik kwaad in de zin had, of gewoon heel erg nieuwsgierig had ik van iedere patiënt die ooit in een Utrechts ziekenhuis alles kunnen opvragen.

EPD Open

EPD Open

16 thoughts on “Nogmaals een reden om te stoppen met het EPD

  1. Dan zou ik zeggen: JUIST tijd voor het EPD, want dit stellen keihard oa de volgende eisen:

    – Schermen mogen niet zo staan dat er gegevens door derden van afgelezen kunnen worden
    – Bij het weglopen moet de arts zijn/haar pas uit de pc trekken, waarna deze op slot springt
    – Inloggen mag alleen met UZI-pas, waardoor degene direct opgespoord kan worden die gegevens toevoegt (in dit geval naar de arts die was weggelopen, die dus behoorlijk op zijn falie zou hebben gekregen)
    – Na 15 min. schermbeveiliging met wachtwoord

    Oftewel, met het EPD was dit absoluut niet gebeurd.

    Mvg,
    WL van Geldrop
    ICT Coordinator CHPR

    • Zolang artsen nog niet in staat zijn een computer uit te te loggen gaat zo’n pasje ook niet werken. Helemaal niet als het zijn eigen spreekkamer is. Het idee klinkt goed, maar de praktijk werkt anders.

      En begrijpelijk. Artsen zijn geen ITers, hebben niet al te veel kennis van IT en de risico’s.

      Het probleem nu en straks is de mentaliteit van de gebruikers. Pas als die doordrongen zijn van de mogelijke gevaren van dit soort systemen zou er pas een EPD gebruikt mogen worden in ruimtes waar patiënten bij kunnen.

      • Daar heb je gelijk in: alle maatregelen ten spijt, als artsen hun schermen gewoon open laten staan en wegwandelen, heeft het erg weinig zin.

        Onderdeel van EPD implementatie is dan ook een intensieve gewaarwording bij alle artsen, assistent(es), verplegers, etc, over de verantwoordelijkheden: Haal je pas eruit, zet je scherm op slot, berg je dossiers op, etc. Doe je dat niet, dan hoef je dat niet aan mij uit te leggen, maar aan de tuchtraad. Bovendien kan je je gaan inschrijven bij het uitzendbureau; en niet als arts, want dat mag je niet meer zijn.

        Vergis je niet: gegevens worden nu al uitgewisseld met de diverse systemen. Alleen veel minder veilig en niet gestructureerd. Het EPD dwingt juist iedereen maatregelen te treffen en deze na te leven. Naast technische beveiligingen dus ook verantwoord gedrag.

        • Is het niet veel verstandiger om patiënten (en andere bezoekers) gewoon niet in de buurt laten komen van een PC (met EPD toegang). Laat een arts maar eerst zijn aantekeningen op papier maken, en dan pas (ergens op kantoor) het dossier invoeren.

          Ik begrijp waarvoor een EPD nuttig kan zijn, maar zoals het nu gaat (en straks wellicht ook) is het een grove schending van de privacy. zoals al gesteld heb ik de mogelijkheid gehad het leven van een jongen van tien compleet te verzieken door foutieve gegevens in te voeren. Ook al wordt de arts gestraft, kan het veels te laat zijn.

          Het allerergste is dat ik dit al veel vaker gezien heb, lees de volgende atikelen maar eens: http://0308783450.nl/2010/08/epd-nee-waarom-kijk-maar-even/, http://0308783450.nl/2010/09/problemen-epd-aangetoond-door-aanrandingszaak/ en http://0308783450.nl/2010/09/goed-idee-gebeurt-niet/

          • Betreft toegang: Nee, want de arts moet meteen kunnen controleren of je geen allergieen hebt, of reeds medicijnen slikt die niet met elkaar samen gaan. Daarnaast ziet een arts zo’n 24 patienten per dag, dus: succes met achteraf invoeren.

            Waarom denk je trouwens dat dat dossier van dat jongetje uit het EPD komt? Was het niet gewoon een lokaal dossier? (En wil je dan weer terug naar de geschreven dossiers???) Zoals ik net aangaf: als dat ziekenhuis met het EPD zou werken (= GBZ-gecertificeerd), zou dit niet hebben plaatsgevonden. Als dat wel zo is kan je hier een serieuze melding van maken. (Dit zou ik overigens sowieso doen, want dit is natuurlijk alle perken te buiten! Reken maar dat die arts dat te horen krijgt.)

            Ik zal maandag eens opzoeken of het Diaconessenhuis Utrecht aan de GBZ-norm voldoet.

    • Geachte van Geldrop,

      uw gedachte gang dat dit onmogelijk zou zijn als het een EPD betrof raakt kant nog wal.
      Mocht het een PC-scherm betreffen waarop het EPD wordt ingezien kan elke arts:

      – weglopen ZONDER de pas eruit te halen.
      – kan elk scherm zodanig geplaatst zijn dat derden kunnen meekijken
      – kan ieder schermbeveiliging niet toegepast zijn.

      Er is eenvoudig weg geen controle of sanctie regeling van toepassing bij enige nalatigheid. De overheid zorgt goed voor de (semi-) ambtenaren ze zijn onschendbaar waar de gewone burger het wetboek van strafrecht tegen over zich geplaatst ziet MET vervolging !!

      Het OM laat het wel uit het hoofd om semi -ambtenaren of medewerkers in de gezondheidszorg te vervolgen.

      • Tuurlijk KAN het… fysiek KAN het altijd. Alleen dan voldoen ze niet aan de GBZ-norm.

        Diezelfde norm vereist ook toegangscontrole logging. Dus jij kan rustig naar het ziekenhuis/huisarts wandelen en vragen wie er allemaal in jouw dossier heeft zitten neuzen.

  2. Geldrop
    Artsen en verplegers trainen op veilig gebruik van EPD is een volstrekte illusie. Zelfs in het bedrijfsleven lukt ze dat niet. Toch bij vele bedrijven gewerkt waar info veiligheid top prioriteit is, allerlei programma’s werden gedraaid om mensen bewust te maken. Helaas….illusies, illusies, illusies.

    En dan hebben we het nog geeneens over het mogelijke verlies van pas, de te eenvoudige psswrds etc.

    Beste oplossing is om niet lukraak gegevens te koppelen. En toegang passief te maken. ie: niet de arts maar de patient beslist over ontsluiting van gegevens. Ja, iets vervelender, iets minder efficiënt misschien , maar wel een stuk veiliger. Want wie gelooft dat vanuit ICT veilige oplossingen geboden kunnen worden, leeft toch echt niet in de 21e eeuw.

  3. @h.groen:
    1. Gegevens worden niet “lukraak” gekoppeld
    2. Gegevens ZIJN al gekoppeld, op regionaal niveau en met een spaghetti aan aan elkaar geknoopte lijntjes en idd de slappe wachtwoorden en geschreven pincodes. Dit weten veel mensen niet.

    EPD zorgt juist voor extra beveiliging en controle, ook dit weten veel mensen niet.

    Terug naar het geschreven dossier??? Bel 3 huisartsen en vraag waarom niet.

  4. Waarom leven, we gaan toch dood.
    Of
    Waarom geboren worden, we gaan toch dood.

    Goede veiligheidsmaatregelen horen natuurlijk bij een electronisch patienten dossier.

    De voordelen van snelle en efficiente gegevensopslag zie ik juist wel.
    De eerste keer dat ik bij mijn huisarts merkte dat hij alle papieren informatie op zijn scherm volgde bij een consult kreeg ik de beste adviezen sinds jaren,

    Vriendelijke groet uit Amsterdam-ZuidOost
    PS1: goede informatie en gegevens verwerking in de gezondheidszorg is van levensbelang!

  5. Wil me toch even mengen in de discussie. Ik heb het idee dat ik hier wat “algemeenheden” tegenover feitelijkheden zie.
    Daarnaast wordt het woord EPD voor verschillende systemen gebruikt: het eigen ziekenhuis EPD maar ook het landelijk EPD (wat geen EPD is maar een schakelpunt om zorgverleners die in het BIG register staan geregistreerd, bij toestemming van de patient, toegang te geven tot die patientgegevens om, zoals al gemeld, medicatieinformatie, allergie informatie etc in te kunnen zien).
    Daarvoor gelden verschillende eisen, zoals de eerder genoemde GBZ eisen (waar oa de schermbeveiliging, logging etc in geregeld zijn).
    Is het helemaal waterdicht? Nee, niets is helemaal waterdicht, ook internet bankieren niet (wat soms ook mis gaat maar we wel massaal blijven doen). Maar met de nieuwe infrastructuur is het wel vele malen beter als met de huidige oplossingen of de op de balie liggende statussen in de ziekenhuizen.
    Het grote voordeel van een EPD voor de patient ! is dat alle relevante informatie steeds up to date bij de behandelend arts aanwezig is op het scherm. Van tevoren de informatie op een papiertje schrijven werkt juist weer onveiligheid in de hand. Daarnaast kan de arts nu via het eigen EPD bijvoorbeeld ook beelden voor zijn consult bekijken, en eventueel de patient laten meekijken op het beeldscherm zodat ook hij betere informatie krijgt.
    Dat het OM de zorgverleners beschermt geldt in ieder geval niet voor het landelijk EPD. Bij verkeerd gebruik (bijvoorbeeld: pas laten zitten bij weglopen, iemand anders kijkt iets in terwijl hij/zij daartoe niet bevoegd is, zoals geen behandelrelatie) loopt de eigenaar van de pas grote risico’s zoals forse boetes (tienduizenden euro’s), schorsing of uitzetting. Om fout gebruik te kunnen bewijzen wordt alle gebruik gelogd (niet welke inhoud wordt bekeken maar wel wie informatie van een bepaald patient heeft ingezien).
    Op het moment dat dit binnen ziekenhuizen duidelijk wordt gecommuniceerd (alles wordt gelogd en bij verkeerd gebruik ben je de klos) zie je al een meer bewust gebruik van de ICT middelen (en dus ook het eigen en landelijk EPD).
    Dus ook voor het jongetje van 10 geldt dat met de nieuwe ontwikkelen het in ieder geval allemaal veel veiliger wordt en hij beter geholpen kan worden door betere informatie op het het goede moment.

    • Dit is allemaal achteraf beveiliging. Ik heb, zoals eerder gemeld dit jaar al twee keer toegang gehad tot het (lokale) EPD.

      Zolang patiënten nog steeds alleen worden gelaten bij een pc met toegang is het niet verstandig alles te koppelen.

      Ook ik begrijp dat 100% beveiliging niet mogelijk is, maar er moet eerst een mentaliteitsverandering plaatsvinden bij het medisch personeel. Boetes, schorsingen en andere tuchtmaatregelen zijn achteraf. Ik vind dat je eerst de mentaliteit moet veranderen voordat er verder wordt gegaan met de implementatie.

  6. Mark nog even een korte reactie:
    Ja, er zijn een aantal maatregelen achteraf (die overigens dermate fors zijn dat dit wel degelijk bewustzijn bevordert) en je hebt gelijk dat de mentaliteit moeten veranderen. Gaat dat in 1 dag? Nee. Dit zal deels door praktijk gebeuren (er zijn steeds meer ziekenhuizen die zeer intensief bezig zijn met het beleid rondom beveiliging, zoals het aan laten staan van schermen, de deur open laten staan bij even weglopen etc) en deels door het opleggen van sancties. Kun je dus wachten met innovatie op een mentaliteitsverandering? In mijn optiek niet, deels omdat die verandering nu juist door de praktijk wordt bewerkstelligd. Het gebruik van de bankpas heeft 40 jaar nodig gehad om zich te ontwikkelen, als we gestopt waren vanwege de vele klachten in het begin hadden we nu niet het, inmiddels zeer gewaardeerde, pinnen systeem.
    Soms komt het een wat na het ander, maar is het goed hier zo alert mogelijk op te reageren. Het wordt beter…

    • Laten we het hopen dat het beter gaat worden, maar mijn ervaring is in de twee keer dat ik dit jaar in een ziekenhuis ben geweest, twee keer volledige toegang had tot een EPD.

      Ondertussen is mijn klacht bij betreffende ziekenhuis nog niet opgepakt. Maar dit is voer voor een andere post.

Comments are closed.