Op 15 maart 2021 verscheen in het Financieel Dagblad een artikel met de titel ‘Prominenten: Bouw een nationaal techbedrijf voor medische gegevens’. Dit artikel is te lezen als een beknopte toelichting op een publicatie van het Joep Lange instituut met de naam ‘Het Nationale Zorgplatform, oproep tot digitaal Deltaplan voor de zorg'. Het artikel, en de onderliggende publicatie, is veelal kritisch ontvangen. In reacties werden de auteurs (de prominenten) van een centralistische visie beticht en de meerwaarde van het geschetste Nationaal Zorgplatform boven Initiatieven als TWIIN en MedMij zou onduidelijk zijn. MedMij wijdde er zelfs een artikel aan: De oplossing bestaat al.
De kritiek is onterecht want er is wel degelijk veel te zeggen voor een Nationaal Zorgplatform. In Oostenrijk (ELGA) en Finland (KanTa) is een dergelijk nationaal platform in gebruik en in Australië is al aan het begin van de 21e eeuw geëxperimenteerd met een landelijk EPD (HealthConnect). In de Verenigde Staten bestaan samenwerkingsverbanden voor patiënt populaties groter dan Nederland die gezamenlijk een dergelijk platform exploiteren, zoals de Commonwell Health Alliance. Er is een goede reden voor de aanpak van deze landen.
Een Nationaal Zorgplatform kent geen informatie-asymmetrie
Gezondheidsgegevens zijn binnen het huidige zorg-ICT-landschap verspreid over de databases van zorgaanbieders en, in zeer beperkte maar hopelijk toenemende mate, in de Persoonlijke Gezondheids-Omgevingen van de patiënt of cliënt. De gegevens in die databases verschillen van elkaar. Soms is dat verschil groot en eenvoudig verklaarbaar maar soms zijn het ook zeer genuanceerde verschillen waarvan de oorzaak niet zo duidelijk is. Neem als voorbeeld medicatie. Indien actuele medicatiegegevens van een patiënt bij drie verschillende zorgaanbieders én in het PGO van de patiënt beschikbaar zijn, maar er zijn wel kleine onderlinge verschillen… welke bron bevat dan de waarheid? Hoe kan een arts die het actuele medicatieprofiel van een patiënt vast wil stellen zekerheid krijgen zonder toch weer met de patiënt of diens vertegenwoordiger te moeten overleggen om gegevens handmatig te verifiëren? Dit probleem doet zich voor bij alle typen gegevens die op meerdere plekken kunnen worden gewijzigd, omdat ze door de tijd veranderlijk zijn. Bekende voorbeelden naast medicatie zijn de diagnoses en allergieën. Dit probleem wordt informatie-asymmetrie genoemd.
Informatie-asymmetrie is medeoorzaak van vele discussies (en vertraging) rond medicatieproces 9, omdat veel leveranciers, in mijn ogen met goede redenen, angstig zijn om een medicatielijst uit verschillende (asymmetrische) informatiebronnen automatisch samen te stellen. Het is er ook de oorzaak van dat in VIPP5 (module 3) gegevens die moeten worden overgenomen in het dossier eerst handmatig gecontroleerd moeten worden. Dit om doublures en conflicten te voorkomen. Dit overnemen na handmatige verificatie wordt wel reconciliëren genoemd en is nu niet bepaald wat de meeste artsen zich bij digitale gegevensuitwisseling voor zullen stellen.
De huidige landelijke programma’s zoals MedMij en TWIIN bieden geen oplossing voor het informatie-asymmetrie probleem. Ze kunnen het zelfs verergeren. Een Nationaal Zorgplatform, dat één ‘record of truth’ per patiënt bijhoudt (en dus per definitie symmetrisch is), kan dat probleem wel verhelpen. Mits alle decentrale EPD- en ECD systemen, en alle PGO’s, gebruik maken van dat ‘single record of truth’ en de eigen data continu synchroniseren met de data in het Nationaal Zorgplatform. Dat geldt zeker voor de zorginformatie die op meerdere plekken wordt gemuteerd, zoals de genoemde actuele medicatie, diagnoses en allergieën.
Hoe kan de privacy van burgers worden geborgd binnen een Nationaal Zorgplatform?
Net als iedereen maken de auteurs zich wel degelijk zorgen over de privacy implicaties van een centraal Nationaal Zorgplatform. De centrale autoriteit die het platform beheert krijgt immers potentieel toegang tot alle gezondheidsinformatie van alle Nederlanders. Daarom stellen de auteurs voor een nationaal techbedrijf op te richten dat voor de helft eigendom is van de staat en voor de andere helft van een vereniging waarin alle burgers deelnemen.
Wat mij betreft is dat geen oplossing. Ook een overheid of een vereniging van burgers zou niet zoveel macht over persoonsgegevens moeten verkrijgen. Een dergelijke aanpak is moeilijk te rijmen met regels en uitgangspunten uit de AVG (privacy by design!). De genoemde voorbeelden uit Oostenrijk en Finland zijn ontstaan ver voor de inwerkingtreding van de AVG en zouden in het huidige tijdperk, zeker in Nederland, op zeer veel (in mijn ogen terechte) weerstand kunnen rekenen. Kijk maar eens naar de weerstand én vertraging die de Wet Digitale Overheid oploopt door onvoldoende borging van privacy. Het Oostenrijkse ELGA heeft overigens in 2014 de Big Brother Award gewonnen, een nogal dubieuze eer, en mag zich verheugen op sterke weerstand vanuit beroepsverenigingen.
Een goed theoretisch kader om te denken over decentralisatie van macht in de digitale leefwereld en over hoe om te gaan met centrale autoriteiten (of dat nu grote techbedrijven, banken, overheden of verzekeraars zijn), is te vinden in het boek ‘Future Politics’ van Jamie Susskind. Mijn conclusie: een nationaal zorgplatform kan alleen succesvol zijn als de gebruikte technologie geen centrale autoriteit vereist of deze zelfs uitsluit.
Een Nationaal Zorgplatform zonder centrale autoriteit
Het probleem van de ongewenste centrale autoriteit is gelukkig al in 2008 opgelost door iemand waarvan we de ware identiteit nog steeds niet kennen, maar die schuilgaat onder het pseudoniem 'Satoshi Nakamoto’; de uitvinder van de Bitcoin.
Het doel van Satoshi Nakamoto was het overbodig (en zelfs onmogelijk) maken van banken als centrale autoriteit in het betalingsverkeer en toch voorkomen dat hetzelfde geld meermalen wordt uitgegeven; het zogenaamde ‘double-spending probleem', dat veel overeenkomsten vertoont met het op verschillende plaatsen aanpassen van het medicatieprofiel (of de probleemlijst, allergielijst, et cetera) van patiënten. De technologie onder de Bitcoin, een gedistribueerde database die blockchain wordt genoemd, wordt inmiddels ook met succes op andere terreinen dan binnen de crypto-currency toegepast. Ook in de zorg, zij het vooralsnog als proof-of-concept of onderwerp van wetenschappelijk onderzoek, worden blockchain gebaseerde oplossingen ontwikkeld. De unieke eigenschappen van blockchain, waaronder gedistribueerde opslag zonder centrale autoriteit, maar toch gegarandeerde informatie-symmetrie, maken haar bij uitstek geschikt als de technologie onder een Nationaal Zorgplatform. Wellicht hebben de auteurs dit zelf ook al bedacht want het in de publicatie voorgestelde ‘zorgadres’ lijkt verdacht veel op het wallet-adres van de Bitcoin.
Makkelijk zal het niet zijn. De blockchain onder de Bitcoin is om veel redenen niet toepasbaar. Bitcoin is open voor iedereen, terwijl de zorg geautoriseerde toegang vereist; zogenaamde permissioned blockchain. Toepassing in de zorg vereist encryptie van gegevens met een unieke key per ‘zorgadres’ (patiënt), zonder dat de bijbehorende decryptie-key aan zorgaanbieders beschikbaar wordt gesteld en zonder tussenpartij die de inhoud van gegevens kan lezen. Dat vereist complexe cryptografische technologie die bekend staat als proxy re-encryption. Gezondheidsdata kent veel grotere volumes dan de Bitcoin transacties, zeker als beelden en genetische data in acht worden genomen. Een combinatie van on-chain en off-chain storage zal nodig zijn, hetgeen tot (veel) complexere oplossingen leidt. Tot slot berust de Bitcoin op een algoritme dat proof-of-work wordt genoemd; het zogenaamde Bitcoin minen. Toepassing van mining binnen het Nationaal Zorgplatform zou betekenen dat we een aanzienlijk deel van Nederland vol moeten bouwen met mining farms. Een ander algoritme is dus wenselijk en bestaat gelukkig ook.
Een mining farm
Is een meer traditionele en beproefde methode niet denkbaar?
Meer traditionele oplossingen voor een Nationaal Zorgplatform gaan allemaal in meer of mindere mate uit van centrale opslag van zorgdata. Een drietal opties kan worden onderscheiden:
1. Een centraal register met verwijzingen naar decentrale gegevens
Dit is de oplossing die in het Oostenrijkse ELGA en door de Commonwell Health Alliance wordt gebruikt. En op hoofdlijnen ook de oplossing die door het Nederlandse LSP wordt gebruikt. Er kleven twee nadelen aan deze oplossing. In de eerste plaats is er nog steeds sprake van centrale opslag van zeer gevoelige bijzondere persoonsgegevens en van een centrale autoriteit. Om deze reden is het zeer onwaarschijnlijk dat de Nederlandse overheid aan een dergelijke oplossing mee zal werken. In de tweede plaats is het oplossen van informatie-asymmetrie met een dergelijk systeem nog steeds zeer complex. Daarom is medicatieverificatie ondanks het LSP nog steeds veel werk en klagen Oostenrijkse artsen dat ELGA de werkdruk verhoogt, omdat informatie uit diverse (asymmetrische) bronnen moet worden vergeleken en geverifieerd.
2. Centrale dataopslag
Dit is de oplossing die in het Australische HealthConnect programma en het Finse KanTa is gebruikt. Deze oplossing heft de informatie-asymmetrie natuurlijk op, maar heeft vanzelfsprekend centrale opslag en centrale autoriteit als probleem. Ook hier zal de Nederlandse overheid haar medewerking niet snel aan verlenen.
Overigens zijn de privacy problemen wel deels op te lossen met technieken beschreven in de vorige paragraaf; versleutel alle data met een publieke key per patiënt en gebruik het proxy re-encryption algoritme om, op aangeven van die patiënt, geselecteerde zorgaanbieders toegang te verlenen en de data met hun eigen private key te laten ontsleutelen.
3. Een nationale EPD-applicatie
In dit geval wordt een grote EPD-leverancier gevraagd het EPD voor een heel land te leveren. Voor zover ik weet is dat nooit eerder gedaan maar er zijn wel regio’s op deze wijze geautomatiseerd, die net zo’n grote of zelfs grotere patiëntenpopulatie kennen als de Nederlandse populatie. Bijkomend voordeel van deze oplossing is dat naast het delen van gegevens ook procesondersteuning over organisaties heen denkbaar wordt. De oplossing kent echter ook alle eerder genoemde nadelen en is daarnaast, in het organisatorisch versnipperde Nederland, waarschijnlijk onhaalbaar. Tot slot kleeft er een groot risico aan dit model omdat het de EPD leverancier ongekend veel macht geeft. Scheiding van data en functionaliteit is op deze schaal van groot belang en past ook bij het ‘platform denken’. Over platforms en scheiding van data en functionaliteit meer in een volgende blog.
Naast de eerder genoemde nadelen kleeft er nog een groot nadeel aan de keuze voor een traditionele oplossing. Ongeacht welke oplossing gekozen wordt zal de implementatie vele jaren in beslag nemen. De ontwikkeling van een Nationaal Zorgplatform kent organisatorische, politieke, juridische, zorginhoudelijke en technische uitdagingen ongeacht de gekozen technische oplossingsrichting. Kiezen voor traditionele en bewezen technologie nu, betekent potentieel een keuze voor verouderde technologie zodra de implementatie is afgerond. Daarom dienen innovatieve en nieuwe technologieën bij langlopende trajecten in ieder geval serieus te worden afgewogen.
Een digitaal Deltaplan voor de zorg
In de publicatie van het Joep Lange instituut wordt opgeroepen tot een digitaal Deltaplan voor de zorg. De Oosterscheldekering, de grootste constructie binnen de Deltawerken, is gebouwd door een consortium van 11 gespecialiseerde aannemers. Rijkswaterstaat heeft daarnaast vier speciale schepen laten bouwen en bijzondere onderdelen van de constructie zijn uitbesteed aan weer andere partijen. De bouw duurde meer dan 10 jaar en kostte meer dan vijf miljard gulden. Het resultaat is door de American Society of Civil Engineers tot een van de zeven moderne wereldwonderen verklaard.
Een Nationaal Zorgplatform heeft geen nationaal techbedrijf nodig maar wel een sterke opdrachtgever en sterk leiderschap. Hoewel de ontwikkeling sneller en goedkoper zal zijn dan de Oosterscheldekering, is funding en een lange adem van belang. De overheid, verzekeraars en de zorgaanbieders zelf zullen die handschoen op moeten pakken.
Tot slot zal een dergelijk plan niet door één organisatie kunnen worden ontwikkeld maar zal, net als bij de Oosterscheldekering, een consortium van bedrijven nodig zijn. In de publicatie van het Joep Lange instituut worden Vecozo en ZorgDomein als mogelijke partners genoemd. Ik denk dat een project van deze omvang verschillende soorten partners nodig heeft:
1. Technologie partners
De ontwikkeling van zorg specifieke blockchain technologie is zeer gespecialiseerd werk. Hier kan worden gedacht aan technologie reuzen als Microsoft en IBM maar ook aan opensource communities als Hyperledger. Adviesbureaus als Deloitte hebben veel ervaring met de toepassing van blockchain in verschillende scenario’s. Bedrijven als eNovation, Philips ForCare en Founda kunnen helpen met de integratie van bestaande ICT-systemen met het Nationaal Zorgplatform.
2. Ecosysteem partners
Het Nationaal Zorgplatform wordt alleen een succes als andere bedrijven innovatieve toepassingen ontwikkelen op het platform. ZorgDomein is een kandidaat maar ook leveranciers van diverse toepassingen in de eHealth sfeer en natuurlijk de diverse EPD- en ECD-leveranciers.
3. Kennispartners
De ontwikkeling van een Nationaal Zorgplatform kan alleen door integratie van kennis uit verschillende domeinen; zorg, gespecialiseerde digitale technologieën, juridische kennis en kennis van informatiestandaarden, om er maar een paar te noemen. Kennispartners met ervaring op al deze terreinen zijn noodzakelijk. Uiteraard houdt Melius Health Informatics zich aanbevolen als kennispartner.
Om één en ander in perspectief te plaatsen; de ontwikkeling van het Oostenrijkse nationale EPD ELGA is begonnen in 2006 en de uitrol is gepland tot 2022. De technologie achter ELGA is beproefd en weinig ambitieus maar toch heeft de realisatie zeer veel tijd in beslag genomen. De resultaten worden in eigen land sterk betwist, zowel vanuit privacy perspectief als vanuit functioneel perspectief. Het moderne wereldwonder Oosterscheldekering laat zien dat we dit soort complexe en ambitieuze Deltaplannen in Nederland sneller kunnen uitvoeren, ook als ze nooit eerder zijn vertoond en de gebruikte technologie nog in de kinderschoenen staat.
Ik ben voorstander van een digitaal Deltaplan voor de zorg mits:
We ons niet laten verleiden tot halve oplossingen die al verouderd zijn tegen de tijd dat de implementatie is afgerond.
Privacy by design vanaf het eerste begin een leidend uitgangspunt is.
We ons realiseren dat zo’n Deltaplan sterk leiderschap, funding, een lange adem en inbreng van zeer veel partijen met zich meebrengt.
Het leidt tot een open ecosysteem dat innovatie uitlokt.