Een gastblog van Andries Hamster
Over Andries
Vanaf het begin van zijn professionele carrière staat het woord “interoperabiliteit” centraal voor Andries Hamster. Als softwareontwikkelaar deed hij mee aan eerste IHE connectathons en sindsdien zet hij zich in voor de toepassing en adoptie van “IHE Integration Profiles”. Als mede-oprichter van Forcare stond hij aan de wieg van eerste XDS-netwerken in binnen- en buitenland. Binnen het Europese epSOS programma werkte Andries vanuit IHE Europe mee aan de “cross-border exchange” van patiënt- en medicatiesamenvattingen. Binnen Nederland was hij actief betrokken bij het IHE-Lab/eLab programma. Meer recent heeft Andries namens Philips het COVID-19 Portaal uitgerold en vorm gegeven aan het op nationale schaal koppelen van bestaande XDS-netwerken.
Het alternatief voor centraal geregistreerde toestemming.
Het vraagstuk hoe de toestemming van een patiënt voor toegang tot, en uitwisselen van zijn zorginformatie moet worden geregistreerd kent een lange historie in Nederland. De tijd dat dit het exclusieve domein van de zorgprofessional was ligt alweer een tijd achter ons met als gevolg dat de bekende WGBO niet meer toereikend is voor alle vormen en middelen waarmee zorginformatie kan worden uitgewisseld.
De opkomst van landelijke en regionale “zorginformatienetwerken” heeft in de afgelopen jaren geleid tot een intensieve discussie over hoe het beroepsgeheim en bevoegdheid van de zorgprofessional kan worden verenigd met de wens en wettelijk “zelfbeschikkingsrecht” van de burger/patiënt voor zover het zijn zorginformatie betreft. Deze discussies hebben een ruim aanbod aan inzichten, afspraken, convenanten en wetgeving opgeleverd. Zonder limitatief te zijn noem ik de “push” versus “pull” discussie, de EGiZ gedragscode, het XDS convenant, het AORTA convenant, en de wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg die onderdeel is van de Wabvpz (ook bekend geworden als Gespecificeerde ToeStemming).
Waar de Wabvpz het sluitstuk had moeten zijn van alle discussies, afspraken en convenanten die tot dat moment in omloop waren bleek na de invoering op 1 juli 2017 al snel dat het GTS deel (artikel 15a) van deze wet in de praktijk onuitvoerbaar zou zijn. Kritikasters hadden daar al voor gewaarschuwd maar de politieke behandeling van dit wetsvoorstel bood weinig ruimte voor nuance. Om enigszins tegemoet te komen aan de kritische geluiden werd een periode van 3 jaar afgesproken om het zorgveld de tijd te geven zich aan de nieuwe wet aan te passen. Na het verstrijken van deze periode moest helaas worden geconstateerd dat de wet inderdaad, op onderdelen, onuitvoerbaar bleek te zijn en werd artikel 15a, lid 2 door minister Bruins buiten werking gesteld.
In aanloop naar de Wabvpz werden diverse initiatieven gestart om tot overeenstemming en afspraken te komen hoe om te gaan met de verplichting om expliciete toestemming van de patiënt te registreren. Een van deze initiatieven, destijds bekend onder de naam OTV koos als vertrekpunt voor een extensie van eerdere pogingen die door het LSP waren gedaan om toestemming centraal te registreren. Andere initiatieven zijn oa. NUTS, de toestemmingsregistries die veelal in de EPDs van zorginstellingen worden vastgelegd, en de op IHE BPPC gebaseerde toestemmingsregistraties in menig (regionaal) XDS netwerk (bijv. ZorgnetOost, Wij zijn Gerrit of RijnmondNet).
Vanuit een oplossingsgericht perspectief zijn deze initiatieven onder te verdelen in een “centrale” versus “decentrale” aanpak. Het vigerende gedachtegoed bij “centrale” variant is dat het de (administratieve) last voor de zorgsector vermindert en tegelijkertijd duidelijkheid biedt aan de patiënt waar en waarvoor toestemming is gegeven. De lastenverlichting wordt gezocht in het beperken van het aantal toestemmingsvragen door het uniformeren van een toestemmingsmodel dat leunt op specifieke (technologische) voorkeuren die betrekking hebben op de manier waarop actoren (zorgverlener, patiënt, systeem) worden gedefinieerd, en de manier waarop deze actoren onderling communiceren (bijv. registratie toestemming, opvragen toestemming, controleren toestemming, etc.)
Bij de “decentrale” variant is het gedachtegoed dat de toestemming daar wordt geregistreerd waar het moet worden toegepast. Administratieve lastenverlichting in het decentrale perspectief volgt uit het maken van (minimale) afspraken waaraan een geregistreerde toestemming moet voldoen en hoe de kennis van, of over, de geregistreerde toestemming binnen de context van een uitwisselings- of toegangstransactie wordt geëvalueerd.
Uit het eerder aangehaalde besluit om artikel 15a (lid 2) van de Wabvpz niet in werking te laten treden mag worden geconcludeerd dat de centrale oplossingsrichting niet bijdraagt aan het verminderen van de administratieve last. Ook het argument van “duidelijkheid voor de patiënt” staat onder druk als de centrale oplossing niet voor de volle 100% wordt omarmd. Ruimte voor een decentraal alternatief zou je denken. Integendeel.
Daar waar het afserveren van artikel 15a lid 2 had moeten leiden tot het inzicht dat de aan de GTS gekoppelde landelijke on-line toestemmingsvoorziening (OTV, ikgeeftoestemming.nl, volgjezorg.nl) op zijn minst heroverwogen had moeten worden, nam het Informatieberaad Zorg het onnavolgbare besluit om het OTV project (dat ondertussen tot MITZ was hernoemt) door te zetten. Waarom en met welke autoriteit dit besluit is genomen is mij nog altijd onduidelijk.
Waartoe deze discussie had moeten leiden is het inzicht dat de oplossing voor het registreren en toepassen op landelijke schaal ruimte moet worden geboden aan een decentrale aanpak die schaalbaar is én administratieve lasten vermindert. De decentrale oplossing ligt voor het oprapen en is buitengewoon eenvoudig wanneer je redeneert vanuit het perspectief van de zorgverlener (of patiënt) die vraagt om toegang tot zorginformatie dat door een andere zorgverlener wordt beheerd.
De kern daarbij is dat, om toegang te verkrijgen tot zorginformatie waarbij de opvragende zorgverlener geen (onder)deel is van de behandelrelatie tussen de dossierhouder en de patiënt, en er geen duidelijke grondslag is, de dossierhouder er verzekerd van moet zijn dat degene die deze informatie opvraagt daartoe (uitdrukkelijke) toestemming van de patiënt heeft zodat het beroepsgeheim niet wordt geschonden.
In een decentrale aanpak is het daarmee van belang dat onomstotelijk bewijs kan worden geleverd van (1) de identiteit van de opvragende behandelaar, en (2) de toestemming van die de patiënt aan zijn behandelaar heeft gegeven. Het eerste is nodig om te weten wie de vraag stelt. Dit laat zich vrij eenvoudig implementeren met technologie die ruimschoots voorhanden is om de (elektronische) identiteit van de opvragende persoon mee te geven met de actuele zorginformatievraag. Je kunt daarbij denken aan Digid (voor de burger/patiënt) of UZI-identiteiten voor de zorgverlener. Echter, dit zijn niet de enige twee. Elk ander identificatiemiddel dat een “hoog betrouwbaarheidsniveau” biedt is tevens toereikend zoals uitvoerig is beschreven door de Autoriteit Persoonsgegevens.
Het naar technologie vertalen van het tweede heeft iets meer toelichting nodig. In essentie gaat het hier om het vastleggen van vertrouwen. In het klassieke scenario waarbij de dossierhouder een telefonisch (of schriftelijk) verzoek krijgt zal deze proberen vast te stellen of er daadwerkelijk toestemming is verkregen van de betreffende patiënt, daarbij vertrouwend op de informatie die wordt aangeleverd. In een elektronisch scenario kan dit worden geregeld door bij het opvragen bewijs te leveren dat de patiënt toestemming heeft gegeven voor het opvragen, dan wel de patiënt vooraf om toestemming te vragen voor mogelijke toekomstige uitwisseling van zijn of haar gegevens.
In de praktijk doen we vooral het laatste op een manier die als complex wordt ervaren. Deze toestemming, mondeling of schriftelijk verkregen, moet ergens worden geregistreerd. Wanneer dat niet in het primaire uitwisselsysteem wordt gedaan is het vaak lastig om de toestemming te benutten wanneer die nodig is.
De efficiëntere oplossing vinden we wanneer we definiëren hoe de behandelend arts in zijn verzoek een onomstotelijk bewijs kan meeleveren dat de betreffende patiënt akkoord is.
Waar het dan op neer komt is hoe het systeem dat de opvragende zorgverlener gebruikt de geregistreerde toestemming kan meegeven op een manier die door het systeem van de dossierhoudende zorgverlener kan worden geverifieerd. De oplossing daarvoor ligt voor het oprapen in de vorm van de IHE XUA en IUA profielen. Beide profielen beschrijven hoe je het toestemmingsprofiel dat van toepassing is op een transactie (zowel XDS als FHIR) mee kunt geven op een manier die de ontvanger in staat stelt onafhankelijk te kunnen controleren of deze toestemming inderdaad door de patiënt is verleend.
Het bijkomende voordeel van decentraal geregistreerde toestemming is dat het geen beperkingen kent met betrekking tot de “use-cases” waarbij toestemming een rol speelt. Of het nu gaat om spoedeisende zorg, reguliere zorg, toegang tot informatie voor specifiek gebruik binnen een wetenschappelijk onderzoek, of toestemming tot gebruik van informatie door een (toekomstige) partij die artificial intelligence inzet om de behandeling te ondersteunen, wanneer je de toestemming in de vraagstelling kunt meegeven heb je geen centraal orgaan of infrastructuur nodig die daarvoor eerst moet worden aangepast. En als het al wordt aangepast altijd te laat is, of een niet passend passende oplossing biedt.
#ennu...
Geachte tweede-kamer leden, zorgbestuurders, artsen, apothekers, federaties van medisch specialisten, behartigers van patiëntenbelangen, stop alstublieft de onnodige en zinloze opmars van centralisatie in de digitale zorginformatie-infrastructuur en roep een halt toe aan onnodige en geldverslindende projecten die de zorg in zijn geheel niet verder helpen. Wat u zou moeten doen is kaders stellen waaraan decentraal geregistreerde toestemming dient te voldoen, en verplicht te stellen dat verkregen toestemming in een verzoek om informatie moet worden meegegeven op een manier die transparant en (onafhankelijk) te controleren is. Deze kaders kunnen prima worden opgenomen in de toekomstige Wegiz op een manier die zorginstellingen en leveranciers van zorginformatie- en zorginformatie-uitwisselsystemen in staat stellen hun implementaties hiervoor te laten certificeren. Op deze manier werken we toe naar een open en transparant speelveld waarin alle partijen gelijkwaardig zijn en nieuwe, innovatieve oplossingen kunnen ontstaan die in dienst staan van de zorgsector in Nederland.
Comentarios