In 2013 heeft het CBP een aantal huisartsendienstenstructuren bezocht en getoetst op het naleven van de WBP. Naar aanleiding van die bezoeken heeft het CBP geadviseerd dat zorginstellingen zoals een huisartsenpost afdoende technische en administratieve stappen moeten ondernemen om het gebruik van het eigen elektronisch dossier van een instelling veilig te stellen.
Uit het onderzoek bleek dat de drie huisartsenposten niet aan alle eisen voldeden die gelden voor een adequate beveiliging van patiëntgegevens. Dat geldt bijvoorbeeld voor de eis van unieke gebruikersidentificatie (bijvoorbeeld een pas op naam) en voor de eis dat sprake moet zijn van zogeheten twee-factor authenticatie (bijvoorbeeld een chipcard in combinatie met een pincode) voor toegang tot het systeem. Uit het rapport:
Centrale Huisartsenpost Nightcare BV
Bij de Centrale Huisartsenpost Nightcare BV in Heerlen was in strijd met de eis van twee-factor authenticatie uitsluitend een wachtwoord vereist om in te loggen. Bij deze huisartsenpost was ook sprake van te ruime toegang tot patiëntgegevens. Er bestond de mogelijkheid tot inzage in patiëntinformatie van alle patiënten in de regio en niet alleen van patiënten die op dat moment bij de huisartsenpost in behandeling zijn. De Centrale Huisartsenpost Nightcare BV heeft deze overtreding inmiddels beëindigd. Ook heeft de huisartsenpost maatregelen getroffen om de overtreding met betrekking tot twee-factor authenticatie te beëindigen.Coöperatieve Huisartsendienst Twente-Oost U.A.
Bij de Coöperatieve Huisartsendienst Twente-Oost bleken hulpverleners in strijd met de eis van unieke gebruikersidentificatie in te kunnen loggen in het huisartseninformatiesysteem van een bij de huisartsenpost aangesloten huisarts met een algemene leenpas. Dit gebeurde in gevallen waarin hun pas op naam defect was. De huisartsenpost heeft deze overtreding inmiddels beëindigd.Stichting Gezondheidscentra Haarlemmermeer
Bij de Stichting Gezondheidscentra Haarlemmermeer bleken hulpverleners in te kunnen loggen onder de naam van een ander en was in strijd met de eis van twee-factor authenticatie uitsluitend een wachtwoord vereist om in te loggen.
Verder werden bij deze huisartsenpost raadplegingen van de patiëntendossiers wel bijgehouden (gelogd), maar werden deze zogenoemde loggegevens niet regelmatig gecontroleerd op onbevoegde raadplegingen. Stichting Gezondheidscentra Haarlemmermeer heeft diverse maatregelen getroffen om de overtredingen te beëindigen.Medische gegevens
Medische gegevens zijn zeer privacygevoelig. De beveiliging van dergelijke gegevens moet dan ook aan de hoogste normen voldoen. Mensen moeten erop kunnen vertrouwen dat met de medische gegevens die zij toevertrouwen aan een zorgverlener zorgvuldig wordt omgegaan. De toegangsbeveiliging van medische gegevens binnen zorginstellingen zal de komende tijd een belangrijk punt van aandacht van het CBP blijven.
Nergens staat vermeld dat een UZI-pas nodig is. Waarom dan toch die drang en dwang om iedereen een al dan niet zelf betaalde UZI-pas te laten aanschaffen? De VHN heeft zich ooit middels een convenant verbonden aan het stimuleren van het zoveel mogelijk aansluiten aan het LSP. Voor het LSP is ook een UZI-pas nodig, dus op die manier vang je twee vliegen in één klap. Alle huisartsen kunnen dan op de HAP, mocht het ooit nodig zijn, via het LSP communiceren en het CBP is voor wat betreft de twee-factor authenticatie tevreden.
Andere mogelijkheden
De prijs van een bankpas, OV-jaarkaart en zelfs van een rijbewijs zijn aanzienlijk goedkoper.
Zijn er geen andere goedkopere en betere mogelijkheden? Tenslotte kost zo’n UZI-pas elke drie jaar 255 euro, een bijbehorend servercertificaat 522 euro en dan nog software en een kaartlezer voor 84 euro. De prijs van een bankpas, OV-jaarkaart en zelfs van een rijbewijs zijn aanzienlijk goedkoper. Bedenk wel, alleen al voor tienduizend huisartsen is dat een slordige negen miljoen euro per drie jaar. Dit zijn systeemkosten in de zorg die niet ten goede komen aan de patiënt! Over de bureaucratische rompslomp die gepaard gaat met het aanvragen, zijn inmiddels zoveel verhalen bekend, dat we die hier buiten beschouwing laten.
Wat is die twee-factor authenticatie precies? Dat wil zeggen dat er niet alleen een gebruikersnaam en wachtwoord nodig zijn maar ook informatie die alleen de gebruiker direct bij zich heeft of weet, bijvoorbeeld een pincode. Een methode die tegenwoordig veel gebruikt wordt, en softwarematig eenvoudig is in te bouwen, is het versturen van een automatisch gegenereerde SMS naar de mobiele telefoon van de gebruiker. Er zijn dus zeker alternatieve mogelijkheden voor twee-factor authenticatie aanwezig die het zorgkostenbudget aanzienlijk minder zullen belasten.
Verplichting
Met de verplichtstelling van de UZI-pas wordt bovendien voorbijgegaan aan een grote groep huisartsen die helemaal geen behoefte heeft aan het LSP en om die reden zelf geen UZI-pas hebben aangeschaft. Er zijn praktijken die middels OZIS uitstekend met de huisartsenpost konden communiceren maar dat nu niet meer kunnen door het stopzetten van OZIS, ook al hebben zowel huisarts als patiënten bezwaren tegen het LSP.
Bekostiging
Huisartsen dienen hun UZI-pas zelf te bekostigen De verzekeraars zijn echter bereid, al dan niet in samenwerking met VZVZ, de passen te vergoeden voor alle zorgverleners die gebruik maken van het LSP. Dit geldt waarschijnlijk ook voor waarnemend huisartsen die op een HAP werken die via het LSP communiceert. Zorgverzekeraars proberen door deze ‘gratuite’ verstrekking van UZI-passen ook aan hetzelfde convenant te voldoen, namelijk het convenant waarin alle ondertekenaars zich verbonden hebben de aansluiting van hun leden op het LSP maximaal te stimuleren.
Conclusie
De UZI-pas wordt dus behoorlijk gepromoot; door de huisartsenpost die hem verplicht stelt en door de verzekeraar die de pas gratis verstrekt. Een huisarts die vanuit zijn bezwaren tegen het LSP hierin niet meegaat, kan dus te maken krijgen met een HAP die een UZI-pas verplicht stelt en de huisarts dwingt deze zelf te betalen. Is een UZI-pas dus nuttig en noodzakelijk? Voor het communiceren via het LSP wel, daarbuiten is het zeker niet noodzakelijk. En als de HAP de aanschaf toch verplicht, is het niet aan de huisarts om dat zelf te financieren.