Bij iedereen is een brief van het Ministerie van Volksgezondheid, Welzijn en Sport in de bus gevallen met hierin een schrijven over het EPD (Electronisch Patientendossier), een foldertje en een bezwaarformulier ‘tegen de uitwisseling van gegevens via het EPD’. Waar niet over wordt gesproken is dat als bezwaar wordt aangetekend het EPD nog steeds wordt gebruikt voor de opslag van uw gegevens in het EPD. Uw gegevens worden dus hoe dan ook opgeslagen in het EPD.
Aan de overkant van de sloot gebeurt het dikwijls dat de gegevens van mensen zomaar op straat komen te liggen. In Nederland zal een dumpje van de EPD database op de zwarte markt hoogst waarschijnlijk veel geld opbrengen. Ondanks alle regelgeving vermoed ik dat hypotheekverstrekkers en zorgverzekeraars best eens in die dossiers willen loeren voordat ze een nieuwe klant aannemen.
Hierom moet de beveiliging van dit systeem uiterst goed worden geregeld. En dit terwijl de informatiebeveiliging van dit systeem/instantie uiterst dubieus is te noemen, voor zover bekend is er geen ISO27001 of equivalente normering/certificering, we moeten de aardige mensen daar maar op hun mooie blauwe ogen ‘geloven’ als ze zeggen ‘dat het goed beveiligd is’. * zie update onderaan dit bericht
Dit lijkt mij niet genoeg. Alleen al omdat digitale gegevens nu immers heel makkelijk te kopieren en te verspreiden zijn.
Daarom speciaal voor u gemaakt: het bezwaarschrift tegen de opslag van uw medische gegevens in het EPD. Hieronder treft u in een drietal formaten het bezwaarschrift aan, invullen en opsturen naar:
Ministerie van Volksgezondheid, Welzijn en Sport
-VERTROUWELIJK-
Postbus 20350
2500 EJ Den Haag
-EN!-
Informatiepunt BSN in de zorg en landelijk EPD
-VERTROUWELIJK-
Antwoordnummer 10600
2501 WB Den Haag
- epd_opslag_uitwisseling_bezwaar.doc – Microsoft Word document
- epd_opslag_uitwisseling_bezwaar.odt – Openoffice.org document
- epd_opslag_uitwisseling_bezwaar.pdf – PDF document (openen & printen met Adobe acrobat reader)
* Update [3-nov-2008]: Volgens Nina (in commentaar op dit bericht) worden de NEN normen 7510, 7511 en 7512 voor wat betreft de beveiliging van de gegevens gebruikt. Heeft iemand wat meer gegevens hoe dit een slordige subcontractor met een USB-stick tegen kan houden? Ik vraag mijzelf ook af of nu de norm in Engeland onder de loep wordt genomen om dit te voorkomen, en of deze revisie in tweede instantie wel zin heeft. De centrale vorm van opslag van dit soort gegevens brengt sowieso een hoop risico’s met zich mee, misschien zou dit punt meer aandacht moeten krijgen.
Update II [6-nov-2008]: Als die aardige EPD mensen hun eigen informatiesite geeneens kunnen beveiligen… dan heb ik een hard hoofd in de beveiliging van het EPD zelf. Prutsers!
Update III [ 7-nov-2008]: In de USA gaat t ook ‘fijn’ met de elektronische patienten dossiers. Goeie timing.
Update IV [ 11-nov-2008]: ‘Ziekenhuizen onzorgvuldig met medische dossiers’ Medische dossiers zijn blijkbaar zonder EPD al onveilig. Is het EPD wel het goede antwoord op de gestelde onveiligheid of moeten we toch maar eens gaan werken aan de bewustwording over de gevoelig aard van deze gegevens bij een ieder die hiermee in contact komt/staat…
Update V [11-nov-2008]: Pimp my EPD erg goed stukje over o.a. de geschiedenis achter de digitalisering van medische gegevens/dossiers.
Update VI [ 14-nov-2008]: Computable heeft een zeer smakelijk verslag van Erik Westhovens die bij meerdere ziekenhuizen heeft geprobeerd gegevens te ontvreemden.
Update VII [ 22-nov-2008]: Ik werd net getipt met een linkje naar de EPD-Discussie mailinglist, geïnteresseerden kunnen zich hier inschrijven.
[...] Ook een brief over het EPD van onze minister gehad en niet gelukkig met het bestaan van het EPD? Misschien is dit bezwaarschrift dan een idee (plus wat actuele context) Elektronisch Patienten Dossier, EPD, Privacy, Waan v/d Dag Terug naar [...]
Nooit gehoord van de NEN normen 7510, 7511, 7512 voor Informatiebeveiliging in de zorg?
Daar voldoet dit systeem aan.
En als je bezwaar hebt tegen opslag van je gegevens, zul je bij je huisarts, apotheek, ziekenhuis moeten zijn, want daar liggen de gegevens die m.b.v. het EPD uitgewisseld zouden kunnen worden. En zoals je waarschijnlijk niet weet, huisarten, apotheken en ziekenhuizen wisselen die gegevens nu al uit, zonder dat patiënten daarover geïnformeerd zijn.
Probleem is dat dit niet veilig gebeurd en dat de uitwisseling niet de complete gegevens betreft, omdat computers uitstaan o.i.d. (bron: inspectie van de gezondheidszorg).
groeten
Nina
Nina bedankt voor de informatie, ik heb het in het artikel verwerkt.
Wat mij meer zorgen baart is dat ik weliswaar bezwaar kan maken, maar dat dat me wel erg moeilijk wordt gemaakt. Kinderen onder 16: kopie geboorteakte meesturen. Kost EUR 10.80. ONZINNIG…
het echte bezwaarformulier is ook te downloaden op http://www.infoepd.nl
Jan
Jan, bedankt, dit ‘echte’ bezwaarschrift is om bezwaar te maken tegen uitwisseling van gegevens via het EPD, niet de opslag van die gegevens in het EPD.
@Deckardt thanks
O ja, het gaat bij het Nederlandse EPD niet, dus NIET, om een centrale database. Dit i.t.t. Groot Brittannië.
In NL wordt het dossier bijgehouden door de zorgverlener (die heeft dossierplicht). Daar staan en blijven! al je medische gegevens.
Het EPD is niet meer dan een netwerk van verbindingen en een set met organisatorische, juridische, technische en beveiligings afspraken om samenvattingen uit de systemen van de zorgverleners te kunnen halen en die aan geautoriseerde zorgverleners die een behandelrelatie met jou als patiënt hebben te tonen.
Nina
Bedankt voor de info. Heb voordat ik deze blog vond, bezwaar aangetekend via het contact formulier op http://www.infoepd.nl/informatiepunt_com/contact.php
Ben benieuwd of en hoe zij zullen reageren?
@Nina
Dit is correct, volgens infoepd.nl werkt het EPD als een ‘broker’. Maar een broker is vanuit de interface te zien als een centraal toegangspunt voor gegevens.
Een behandelend arts kan altijd je gegevens inzien door erop door te klikken en op deze wijze ze op te vragen. Zonder je toestemming mag hij dit niet doen tenzij er sprake is van een noodgeval. Hoe deze situatie getoetst wordt is niet duidelijk omschreven.
Bron: Eindrapport_begeleide_start_UZI
Het is inderdaad een vreemde zaak dat voor donor-registratie een opt-out volgens de hele politiek te bezwaarlijk was, terwijl ze voor dit veel ingrijpender systeem doodleuk wel van een opt-out uitgaan. Meten met twee maten is iets waar Den Haag helaas erg goed in is.
Qua beveiliging interesseert het mij niets aan welke normen wordt voldaan. Dat zijn papieren tijgers die in de praktijk niets zeggen. Ofwel ik wil weten wie en hoe lang de gevangenis in gaat als het een keer fout gaat. Tot op heden weet de overheid ondanks alle normen gegevens te verliezen wat dan geen enkel gevolg heeft voor de daders.
In het bezwaarschrift staat in kleine lettertjes en na het moment van de handtekening dat u akkoord gaat met de verwerking van uw gegevens volgens de WBP. Met die wet en uw akkoord kan men uw gegevens dus opslaan en gebruiken voor een lijst met subversieve — iedereen die bezwaar maakt, heeft toch iets te verbergen? — elementen in deze maatschappij. Of een fraaie database van personen die straks een veel hogere zorgverzekering krijgen. Of, vul maar in. Ik zeg niet dat het gebeurd, maar wel dat dit theoretisch mogelijk is dankzij die toevoeging. In mijn bezwaar heb ik dus die regels verwijderd, maar daardoor is het bezwaarschrift waarschijnlijk meteen ongeldig. Ben benieuwd…
Het is jammergenoeg een onzorgvuldig ingestoken initiatief van VWS. Het is een op de hulpverlening gericht dossiertraject, terwijl de burger / patient eigenaar zou moeten zijn (uitzonderingen daargelaten) van het dossier en moet kunnen aangeven wat wel en niet toegankelijk voor een hulpverlener mag zijn, daarom zouden zoveel mogelijk mensen moeten protesteren bij zowel VWS als bij hun (eerder) betrokken hulpverleners tegen het op deze wijze werken aan een EPD.
Mij lijkt het verboden voor een arts cq specialist om zonder de persoonlijke uitdrukkelijke toestemming van een patient/client de medische gegevens in een databank te stoppen/registreren
of… is de eed van hypocrtates toch hypocriet geworden in de loop der eeuwen
daarom vraag ik me af of er juridisch tegen een behandelend arts/specialist iets te doen valt of… ben ik nou gek.
Beste Deckardt,
Is het niet een idee om ook een downloadbaar document toe te voegen waarin men bezwaar maakt tegen de gehele aanpak, de bezwaar procedure én de opname in het EPD?
Ik vind nl. dat ik, als ik gebruik maak van dat idiote bezwaarformulier, al over de eerste misstand in deze kwestie heen stap alsof het niets is. Ik wil in al zijn volledigheid tegen de gehele procedure-aanpak bezwaar kunnen maken, en weiger vanuit deze gedachte gebruik te maken van het twijfelachtige bezwaarformulier.
Zoals ik begreep via andere sites teken ik bezwaar aan tegen het doorgeven van mijn gegevens. Niet tegen het opnemen ervan, want dat gebeurt sowieso.
Waar brengt het bezwaar je dan nog? En waar kan ik controleren of mijn gegevens NIET zijn opgenomen?
Heb vandaag gebeld met het informatienummer. Mijn zoon van 15 is bij wet verplicht tot het bezit van een indentiteitsbewijs. Heb dus gevraagd of ik daar een copie van mee kon sturen net als van mezelf. Niet dus. Het moet een uittreksel uit het bevolkingsregister zijn. De kosten zullen nog worden vergoed, maar het ministerie is er nog niet uit hoe ze dit gaan regelen. Het is dus zaak dat ik mijn bonnetje bewaar, aldus de voorlichtster. De voorbereiding tot deze actie van het ministerie is amateuristisch en ondoordacht. De uitvoering is er helemaal op gericht om mensen te ontmoedigen bezwaar te maken.
Mijn oudste kinderen wonen in studentenhuizen. Die hebben niets gezien, want ze zijn afhankelijk van de andere “bewoners van dit adres”. Een overheid die alles in het werk stelt om privezaken van zijn burgers vast te leggen zou op zijn minst in staat en bereid moeten zijn dezelfde burgers persoonlijk te informeren.
Beste mensen, er is een email-discussielijst aangemaakt om alles rondom het EPD te bespreken, je kan je hier: https://listserv.surfnet.nl/scripts/wa.cgi?A0=epd-discussie abonneren.
Beste Deckardt en iedereen,
Ik heb enige twijfel bij de rechtsgeldigheid van het aangeboden model-bezwaarschrift.
Een bezwaarschrift moet aan de volgende eisen voldoen:
- Het bezwaarschrift moet voorzien zijn van een datum, de naam en adres van de indiener en zijn of haar handtekening.
- Uit het bezwaarschrift moet blijken tegen welk besluit bezwaar wordt gemaakt.
- In het bezwaarschrift moet vermeld worden waarom u/je het niet eens bent met het besluit (de grond van het bezwaar).
Dat laatste punt, de grond van het bezwaar, is niet opgenomen in het aangeboden model-bezwaarschrift.
Dit zou een reden kunnen zijn waarom het model-bezwaarschrift geen rechtsgeldig bezwaar kan opleveren.
Tevens twijfel ik of er al wel bezwaar gemaakt kan worden tegen opnemen van de gegevens in het EPD.
Er is daarover immers nog geen formeel besluit genomen, en zonder besluit van een overheidsorgaan (beschikking) is er formeel ook geen mogelijkheid om bezwaar te maken.
Vrij merkwaardig dus, dat het met het Bezwaarfurmulier EPD wél al mogelijk is om bezwaar te maken tegen het uitwisselen van medische gegevens via het EPD.
Want ook daarover is formeel nog niets besloten. Formeel is dan eigenlijk ook tegen het uitwisselen van medische gegevens via het EPD nog geen rechtsgeldig bezwaar mogelijk, als ik me niet vergis.
Ik vraag me af hoe het mogelijk is dat je gegevens in het EPD komen, als zorgverleners geen toegang hebben?
Als men geen toegang heeft, kan men ook niets toevoegen.
[...] in het EPD. Uw gegevens worden dus hoe dan ook opgeslagen in het EPD." Lees verder op http://deckardt.nl/blog/2008/11/02/epd-bezwaarschrift/ Hier trouwens nog zo’n aardig bericht, zeker een remedie tegen al dat doemdenken en koudwatervrees [...]
Klinks eigenwijze doordrukken van het verkopen van ziekenhuizen aan verzekeraars doet voor mii de deur dicht. Het EPD ligt straks te grabbel.
Hoezo, ik kan bezwaar maken? Ik zal een andere benadering hanteren, ik verbied het hun!
Ik wil gewoon niet hebben dat mijn medische gegevens elektronisch verspreid wordt zonder dat ik daar controle over hebt!!
Tevens eisen ze nog een kopie van mijn paspoort anders kunnen ze het bezwaar niet in behandeling nemen. Daarmee proberen ze nog meer gegevens van je te verzamelen!! Ik zal dat dus ook niet doen.
Wel zal ik middels een brief, die ik aan hun “bezwaarvod” hang, duidelijk maken dat bij het verspreiden van mijn gegevens ik jurdische stappen zal ondernemen.
Ik vind het maar een brutale actie. Voor mijn mag in het woordenboek bij het woord politicus een verwijzing komen te staan van “zie schurk”!