In Amsterdam voeren huisartsen al sinds 2015 een proef uit met een alternatief patiëntendossier. Het gaat om een decentraal systeem onder de naam Whitebox, ontwikkeld door startup Whitebox Systems. De huisarts is de spil in dit privacy-by-design systeem, dat huisarts en patiënt volledige controle moet geven over de uitwisseling van medische gegevens. Samen bepalen ze wie toegang tot welke data krijgt.
In totaal testen 20 huisartsen in Amsterdam sinds 2015 de Whitebox, een geesteskind van Guido van ’t Noordende uit. Hij is oprichter van Whitebox Systems. Aanleiding was zijn onderzoek aan de Universiteit van Amsterdam naar de verwerking van gegevens. Van ’t Noordende werd voor de ontwikkeling genomineerd voor de IIR Nationale Privacy Innovatie Award 2015.Volgens van ’t Noordende is de Whitebox een veilig en privacyvriendelijk alternatief voor het Landelijk Schakelpunt (LSP) dat in 2014 van start ging als opvolger van het gevoelig liggende Elektronisch Patiëntendossier (EPD). Een centraal systeem zoals het LSP kent echter een aantal inherente risico’s die je bij een decentrale methode niet hebt, stelt Van ’t Noordende: meer mensen krijgen toegang, het centrale punt is kwetsbaar, en er worden centraal persoonsgegevens verwerkt, wat bij een decentraal systeem helemaal niet nodig is.
Bescherming door beroepsgeheim
De artsen die aan de pilot deelnemen, regelen via het Whitebox-kastje in hun praktijk de toegang tot de patiëntendossiers die de huisarts van zijn patiënten bijhoudt. Omdat het systeem aan de arts toebehoort, is de uitwisseling van gegevens juridisch en technisch beschermd door het beroepsgeheim. Het is de bedoeling om uiteindelijk ook organisaties zoals ziekenhuizen op het systeem aan te sluiten.Van ’t Noordende: “Medische gegevens gaan van begin tot eind versleuteld van arts tot arts. Niemand anders kan deze gegevens inzien. Welke informatie de arts precies met andere zorgverleners deelt, stelt hij zorgvuldig vast in overleg met zijn patiënt en met niemand anders.”
End-to-end beveiliging
De Whitebox maakt gebruik van end-to-end-beveiliging. Dit betekent dat elk communicatiekanaal waar medische gegevens over getransporteerd worden van begin tot eind versleuteld is, zodat niemand tussen verzender en ontvanger de gegevens kan inzien of afluisteren. Het Whitebox-systeem is gekoppeld aan het Huisartsinformatiesysteem (HIS). Dat voorkomt dat informatie dubbel moet worden ingevoerd.Elke huisartsenpraktijk in Nederland werkt met een huisartsinformatiesysteem (HIS). Het HIS vormt de kern van de ICT in de huisartsenpraktijk, het systeem wordt onder meer gebruikt voor het plannen van afspraken, voorschrijven van medicatie, declareren bij zorgverzekeraars en bijhouden en raadplegen van patiëntendossier.
Veel zorgprocessen verlopen via of met inbreng van de huisarts. In de meeste gevallen gaan patiënten naar een zorgverlener in hun woonplaats, zoals de wijkapotheek. Dat loopt vaak via hun eigen huisarts. Als ze naar een specialist in een ziekenhuis moeten, gaat dat via een verwijzing van de huisarts. Moeten patiënten vervolgens naar een academisch ziekenhuis buiten de woonplaats, dan worden ze doorverwezen door de huisarts, óf door de specialist van het eerste ziekenhuis.
Poortwachter
Van ’t Noordende ziet de huisarts dan ook als poortwachter. Hij of zij geeft wanneer het nodig is toestemming aan een andere zorgverlenende partij om een deel van het dossier van de patiënt in te zien. Die andere partij heeft dan wel een UZI-pas nodig – (Unieke Zorgverlener Identificatie). Deze persoonlijke pas, uitgegeven onder verantwoordelijkheid van het Ministerie van Volksgezondheid, wordt gebruikt voor het veilig elektronisch uitwisselen van medische gegevens.Zo’n pas geeft volgens de onderzoeker al een redelijke garantie dat iemand die gegevens opvraagt een zorgverlener is en geen hacker of een andere kwaadwillende partij. “Maar alleen deze pas is niet genoeg beveiliging, want er zijn duizenden artsen die er een hebben, en die passen worden ook in niet al te veilige systemen gebruikt. We voegen er daarom iets aan toe.”
De huisarts genereert als hij informatie wil delen een URL met een speciale code. Daarmee geeft hij de volgende persoon in het zorgproces toegang om bepaalde data te raadplegen. Een arts die een autorisatie heeft, kan die autorisatie weer doorzetten. Je krijgt zo een keten van autorisaties. Aan de apotheek stuurt hij een andere link dan aan de specialist bijvoorbeeld.”
Via de URL en via de UZI-pas krijgt de volgende zorgverlener in de keten, zoals een specialist, toegang. De data worden niet gekopieerd en blijven bij de huisarts staan op een decentrale plek. De specialist kan weer de volgende partij in het zorgproces - een instelling of arts in een gespecialiseerd ziekenhuis - toegang geven via zo’n link. De patiënt krijgt mogelijk in de toekomst via een code zelf ook toegang tot zijn gegevens via de Whitebox van zijn huisarts, om zo ook weer zorgverleners te autoriseren. Zo kunnen patiënten zelf controle houden over de informatie.