Het Doorstartmodel voor het private landelijke Elektronisch Patientendossier (EPD) levert geen risico op voor privacyschendingen. Wel moet de toekomstige praktijk goed in de gaten worden gehouden. Het College Bescherming Persoonsgegevens (CBP) vindt dat de plannen voor de doorstart van het Elektronisch Patientendossier ‘geen bijzondere risico’s bevatten’ op overtredingen van de Wet bescherming persoonsgegevens (Wbp). Dat schrijft de toezichthouder in een brief aan de Vereniging van Zorgaanbieders voor Zorgcommunicatie. Dat is een vereniging die speciaal is opgericht door de zorgsector om de private doorstart van het EPD mogelijk te maken.
Het CBP zegt wel dat zijn conclusie ‘slechts een beoordeling is van het Doorstartmodel betreft en niets zegt over de praktijk’, dus de dagelijkse uitwerking van de plannen. ‘Het CBP zal blijven toezien op de gang van zaken rond het landelijke EPD gezien de schaal van de verwerking van persoonsgegevens en de gevoeligheid van de gegevens’, zegt het college in een verklaring.
Het CBP heeft vorig jaar al bekend gemaakt de toestemming vooraf van patiënten om hun gegevens te laten delen via het EPD, essentieel te vinden. Dat vindt het college nu op papier in ieder geval goed geregeld. Ook vindt het CBP helder geregeld wie er nu toegang krijgen tot de gegevens in het EPD.
In het Doorstartmodel is onder meer een Gebruikersraad en een Patiënten- en Privacyraad opgenomen. De laatste heeft een ‘belangrijke (gevraagd en ongevraagd) adviserende rol’, onder meer in inzagemogelijkheden. In het model staan ook meer details over de technische realisatie. Zo zal de daadwerkelijke gegevensuitwisseling worden gefaciliteerd door het Servicecentrum Zorgcommunicatie (SZC). De gegevensuitwisseling wordt gerealiseerd door middel van een verwijsindex, vergelijkbaar met de uitwisseling via het voormalige Landelijke Schakelpunt (LSP). ‘Dossiergegevens blijven volledig opgeslagen bij zorgaanbieders en worden niet centraal vastgelegd’, schrijven de zorgaanbieders.
De uitwisseling van gegevens gebeurt versleuteld volgens NEN-voorschriften, ‘waarmee het hoogst mogelijke niveau van beveiliging wordt gerealiseerd’, aldus de zorgaanbieders. Verder wordt de beveiliging beoordeeld en getest door deskundigen.
In de plannen wordt niets gezegd over de al dan niet verplichte deelname van artsen aan het EPD. Eind vorig jaar bleek dat zorgverzekeraars, die de doorstart van het EPD grotendeels betalen, de artsen en andere zorgaanbieders dwingen om mee te doen, via het dreigen van minder financiële vergoedingen in het contract dat artsen en verzekeraars jaarlijks afsluiten. De verplichting om aangesloten te zijn op het EPD die de zorgverzekeraars contractueel willen opleggen aan de artsen, gaat pas in 2013 in. Dat schrijft minister Schippers aan de Tweede Kamer. Dat die verplichting al opduikt in contracten over 2012, is volgens de minister omdat ‘verzekeraars een versnelling willen aanbrengen in de kwaliteit en standaardisatie van gegevensregistratie bij zorgaanbieders’.
Verzekeraars zouden dit jaar nog geen consequenties willen verbinden aan het niet aangesloten zijn op het private EPD, schrijft Schippers verder. ‘Verzekeraars willen dat bedoelde veilige en gestandaardiseerde elektronische communicatie vanaf 2013 plaatsvindt’. De zorgverzekeraars dreigen met financiële kortingen voor artsen die niet aangesloten zijn.