De Whitebox is een alternatief voor het elektronisch patiëntendossier. Veiliger en met meer privacy, aldus de onderzoekers. Huisartsen experimenteren ermee.
Bij de artsen die aan de pilot deelnemen staat een klein kastje in hun praktijk, de zogeheten Whitebox.
Whitebox Systems, CC BY-SA 1.0Twintig huisartsen in Amsterdam testen sinds 2015 de Whitebox. Dat is een decentraal systeem dat huisarts en patiënt volledige controle geeft over de uitwisseling van medische gegevens. Samen bepalen ze wie toegang tot welke data krijgt.
“Bij het nieuwe systeem is de huisarts de spil”, legt Guido van ‘t Noordende uit. Hij deed aan de Universiteit van Amsterdam onderzoek naar de verwerking van gegevens en is oprichter van de start-up Whitebox Systems. Hij noemt de Whitebox een veilig en privacyvriendelijk alternatief voor het Landelijk Schakelpunt (LSP) dat in 2014 van start is gegaan als opvolger van het gevoelig liggende Elektronisch Patiëntendossier (EPD). Van ‘t Noordende is echter zowel over de infrastructuur en beveiliging bij het EPD als het LSP niet enthousiast.
“Een centraal systeem zoals het LSP kent een aantal inherente risico’s die je bij een decentrale methode niet hebt: meer mensen krijgen toegang, het centrale punt is kwetsbaar, en er worden centraal persoonsgegevens verwerkt, wat bij een een decentraal systeem helemaal niet nodig is.”
Versleuteld
De onderzoeker spreekt over privacy by design. Bij de artsen die aan de pilot deelnemen staat een klein kastje in hun praktijk, de zogeheten Whitebox. Dit kastje regelt de toegang tot de patiëntendossiers die de huisarts van zijn patiënten bijhoudt. Doordat het systeem aan de arts toebehoort, is de uitwisseling van gegevens juridisch en technisch beschermd door het beroepsgeheim. Van ‘t Noordende werd voor de ontwikkeling ervan genomineerd voor de IIR Nationale Privacy Innovatie Award 2015.
Twintig huisartsen in Amsterdam experimenteren sinds 2015 met de Whitebox, een methode voor het uitwisselen van medische gegevens. Uiteindelijk moeten ook ziekenhuizen op het systeem worden aangesloten.
Wiki Commons, CC BY-SA 2.0“Medische gegevens gaan van begin tot eind versleuteld van arts tot arts. Niemand anders kan deze gegevens inzien. Welke informatie de arts precies met andere zorgverleners deelt, stelt hij zorgvuldig vast in overleg met zijn patiënt en met niemand anders.”
Voordat de Whitebox werd ontwikkeld, besteedde de onderzoeker veel tijd aan het in kaart brengen van het zorgproces en de huidige ICT-systemen. Van ‘t Noordende: “In de meeste gevallen gaan patiënten naar een zorgverlener in hun woonplaats, bijvoorbeeld de wijkapotheek. Dat loopt vaak via hun eigen huisarts. En als ze naar een specialist in een ziekenhuis moeten, gaat dat via een verwijzing van de huisarts. Moeten patiënten vervolgens naar een academisch ziekenhuis buiten de woonplaats, dan worden ze doorverwezen door de huisarts, óf door de specialist van het eerste ziekenhuis.”
Elke huisartsenpraktijk in Nederland werkt met een huisartsinformatiesysteem (HIS). Het HIS vormt de kern van de ICT in de huisartsenpraktijk, het systeem wordt onder meer gebruikt voor het plannen van afspraken, voorschrijven van medicatie, declareren bij zorgverzekeraars en bijhouden en raadplegen van patiëntendossier.
Persoonlijke pas
Van ‘t Noordende ziet de huisarts als poortwachter. Hij of zij geeft wanneer het nodig is toestemming aan een andere zorgverlenende partij om een deel van het dossier van de patiënt in te zien. Die andere partij heeft dan wel een zogenoemde UZI-pas nodig – waarbij UZI staat voor Unieke Zorgverlener Identificatie. Deze persoonlijke pas, uitgegeven onder verantwoordelijkheid van het Ministerie van Volksgezondheid, wordt gebruikt voor het veilig elektronisch uitwisselen van medische gegevens.
“Zo’n pas geeft een redelijke garantie dat iemand die gegevens opvraagt een zorgverlener is en geen hacker of een andere kwaadwillende partij. Maar alleen deze pas is niet genoeg beveiliging, want er zijn duizenden artsen die er een hebben, en die passen worden ook in niet al te veilige systemen gebruikt. We voegen er daarom iets aan toe. De huisarts genereert als hij informatie wil delen een URL met een speciale code. Daarmee geeft hij de volgende persoon in het zorgproces toegang om bepaalde data te raadplegen. Een arts die een autorisatie heeft, kan die autorisatie weer doorzetten. Je krijgt dus een keten van autorisaties. Aan de apotheek stuurt hij een andere link dan aan de specialist bijvoorbeeld.”
Zelf controle houden
Via de URL en via de UZI-pas krijgt de volgende zorgverlener in de keten, bijvoorbeeld de specialist, toegang. De data worden echter niet gekopieerd en blijven bij de huisarts staan op een decentrale plek. De specialist kan op zijn beurt de volgende in het zorgproces zoals een instelling of arts in een gespecialiseerd ziekenhuis toegang geven via zo’n link.
De patiënt krijgt mogelijk in de toekomst via een code zelf ook toegang tot zijn gegevens via de Whitebox van zijn huisarts, om van daaruit zelf ook weer zorgverleners te autoriseren. Zo kunnen patiënten ook zelf zelf controle houden over de informatie die beschikbaar is.
“Ik denk dat patiënten makkelijker toestemming geven om gegevens te delen, als per keer helder is welke informatie gedeeld wordt, en als ze weten dat de arts hier controle over heeft, dus dat niet zomaar iemand gegevens op kan vragen. Een groot probleem bij het LSP is namelijk dat zowel de patiënt als de huisarts zelf niet in de hand heeft welke informatie door welke zorgverlener opgevraagd mag worden. Het gaat buiten het zicht van de arts en de patiënt om.”
'%20fill='%23000'%3e%3cpath%20d='M1.28%2022.5c-.505%200-.826-.018-.862-.018a.44.44%200%2001-.238-.792l2.425-1.778A8.266%208.266%200%2001.326%2014.22c0-4.559%203.71-8.268%208.268-8.268a8.269%208.269%200%20018.087%206.556c.119.559.176%201.135.176%201.716%200%204.554-3.705%208.263-8.263%208.263-.907%200-1.804-.15-2.667-.44-1.782.392-3.608.458-4.646.458V22.5zM8.595%206.83c-4.075%200-7.388%203.313-7.388%207.388%200%202.055.867%204.03%202.376%205.416.097.088.15.216.14.348a.448.448%200%2001-.18.33L1.774%2021.61c1.06-.022%202.609-.119%204.083-.458a.468.468%200%2001.246.013%207.414%207.414%200%20002.49.432c4.07%200%207.384-3.314%207.384-7.384a7.385%207.385%200%2000-6.41-7.322%207.849%207.849%200%2000-.973-.06z'/%3e%3cpath%20d='M20.944%2013.102c-.775%200-2.139-.049-3.48-.34-.37.124-.758.216-1.154.27a.44.44%200%2001-.492-.344%207.395%207.395%200%2000-6.253-5.795.44.44%200%2001-.383-.462A6.287%206.287%200%200115.462.5c3.334%200%206.296%202.825%206.296%206.296%200%201.571-.594%203.09-1.65%204.242l1.711%201.254a.439.439%200%2001-.238.792c-.03%200-.263.013-.637.013v.005zm-3.507-1.237c.03%200%20.066%200%20.097.009.941.216%201.918.3%202.675.33l-1.034-.761a.448.448%200%2001-.18-.33.431.431%200%2001.14-.348%205.412%205.412%200%20001.743-3.969A5.421%205.421%200%200015.46%201.38a5.407%205.407%200%2000-5.363%204.708%208.275%208.275%200%20016.48%206.002c.243-.053.48-.12.71-.198a.428.428%200%2001.149-.027z'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='prefix__clip0_1886_150885'%3e%3cpath%20fill='%23fff'%20transform='translate(0%20.5)'%20d='M0%200h22v22H0z'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Reageer