Te vroeg voor elektronisch dossier

Te vroeg voor elektronisch dossier, FD 5 november 2008

Risico van fouten is voor patiënt bij het huidige niveau van ICT-systemen te groot
Het elektronisch patiënten dossier (EPD) is in principe een goed idee. De minister van
Volksgezondheid stelt terecht dat medische gegevens die zo voor belanghebbenden
beschikbaar worden gemaakt voordelen bieden voor zowel de individuele patiënt als
de zorg in haar geheel.

Er is echter een probleem: de ervaringen met informatieverwerkende systemen zijn —
voorzichtig uitgedrukt — niet zonder meer positief en er is geen enkele aanwijzing dat
het met het EPD anders zal zijn.

Het EPD is geen triviaal systeem (en zelfs met wél triviale systemen zijn doorgaans
genoeg problemen) en er kan dus met aan zekerheid grenzende waarschijnlijkheid
worden gesteld dat invoering van het EPD tot een aantal problemen zal leiden. Deze
zullen gevolgen hebben voor de bescherming en de correctheid van de gegevens,
terwijl afhankelijkheid van het systeem fouten tot gevolg zal hebben.
De aard van medische gegevens vereist dat het absoluut zeker moet zijn dat
onbevoegden geen toegang krijgen tot deze informatie. Is onrechtmatige toegang tot
deze gegevens mogelijk, dan bestaat het — lang niet denkbeeldige — risico dat
overheid, verzekeraars, farmaceutische industrie, werkgevers en criminelen misbruik
zullen maken van deze gegevens.

Het is met de huidige stand van de techniek niet mogelijk te garanderen dat een
dergelijk misbruik uitgesloten is. Het strafbaar stellen van misbruik geeft de burgers
onvoldoende bescherming en een verklaring van het ministerie dat de bescherming
goed geregeld is, is helaas weinig geloofwaardig.

Het is van levensbelang dat de gegevens in het EPD correct zijn. Maar welke
zekerheid heeft een burger dat de hem betreffende informatie inderdaad correct is? Er
zijn ten minste twee manieren waarop onjuiste gegevens in het EPD kunnen komen:
door een verkeerde invoer en door programmeerfouten in het systeem dat het EPD
beheert.

Er is geen waterdichte manier om erachter te komen dat er verkeerde gegevens zijn
ingevoerd; noch is er een methode om vast te stellen dat door fouten in de
programmatuur onjuistheden in het dossier zijn geslopen. Het dossier kunnen inzien
verandert daar niet veel aan. Het is onvermijdelijk dat dergelijke fouten zullen
optreden, en de gevolgen voor medisch handelen zijn niet te overzien.
De afhankelijkheid van het systeem, ten slotte. Na verloop van tijd zal bij medische
zorg de inhoud van het EPD als betrouwbaar worden gezien en zonder kritische
beschouwing als basis voor behandeling worden gebruikt. Dat is geen verwerpelijke
manier van handelen, maar een natuurlijk gevolg bij het gebruik van een dergelijk
systeem.

Er zijn wel ernstige risico’s verbonden aan deze gewenning. Wat gebeurt er als het
systeem op kritische momenten niet beschikbaar is? De techniek om te garanderen
dat dat nooit zal kunnen gebeuren, moet nog worden uitgevonden. Het kan minder
waarschijnlijk worden gemaakt, maar niet worden uitgesloten. Bij de grote aantallen
waar het hier om gaat, zal het dus zo nu en dan fout gaan.

Hoe ernstig kan het zijn als het dossier verkeerde, misschien zelfs onwaarschijnlijke
gegevens bevat? Het is aannemelijk dat er, naar analogie van het gebruik van de
rekenmachine en de daarmee samenhangende verminderde rekenvaardigheid, op
termijn een teruggang van de parate kennis en de toepassing ervan in de
gezondheidszorg zal optreden.

De vraag kan en moet gesteld worden in hoeverre de voordelen van een EPD opwegen
tegen de geschetste nadelen. Daar is geen eenvoudig antwoord op mogelijk,
aangezien dit afhangt van de mate waarin de genoemde problemen zich zullen
voordoen.

De praktijk van het ontwerpen van ICT-systemen is helaas zodanig dat er weinig
vertrouwen kan bestaan in de kwaliteit van het systeem. Dat is het slechtst mogelijke
uitgangspunt, aangezien de schade onnoemlijk groot kan zijn, of deze nu ontstaat
door wederrechtelijke toegang tot de gegevens of foutief ingevoerde informatie.
Kortom, er zijn onvoldoende waarborgen voor de invoering van een elektronisch
patiëntendossier op dit moment. Daarvoor zou eerst aan een reeks voorwaarden
moeten zijn voldaan.

Zo moet ten eerste bewezen zijn dat de techniek vrij van fouten is. Nu levert zelfs
uitgebreid testen nog geen zekerheid op. Voor alle informatieverwerkende systemen,
maar zeker voor dit systeem in het bijzonder, geldt dat ‘bijna goed’ niet goed genoeg
is.

Ten tweede moet er zijn aangetoond dat het voor niet medisch betrokkenen
onmogelijk is aan gegevens te komen. Dat geldt ook voor de beheerder van het
systeem. De simpele uitspraak dat aan deze voorwaarde is voldaan is niet voldoende.
Ten derde is er een mechanisme nodig om de correctheid van de gegevens
onomstotelijk vast te stellen. Hiervoor is nog enig fundamenteel onderzoek vereist. En
ten vierde moet door experimenten worden bepaald wat een veilige procedure is om
met een EPD om te gaan op zodanige manier dat het kritisch vermogen van de
gebruikers op peil blijft.

Maarten Boasson is hoogleraar Industrial Complex Computer Systems aan de
Universiteit van Amsterdam.