Moment, ik app even uw huiduitslag naar mijn collega

dokter-doctor-stetoscoop-gezondheidIn veel ziekenhuizen wisselen artsen informatie over patiënten uit via WhatsApp, meldde NRC Q op gezag van diverse medici uit verschillende ziekenhuizen. Ze gebruiken de app bijvoorbeeld voor het versturen van foto’s van aandoeningen, om aan collega’s op afstand om hulp te vragen bij een acute diagnose. Eh, wacht, wàt?

Foto’s van aandoeningen, en chatberichten met beschrijvingen van patiënten of problemen, zijn al heel snel persoonsgegevens. Zodra gegevens één persoon betreffen, is dat namelijk het geval. Ook als er geen naam of patiëntnummer bij staat. Waar het namelijk om gaat, is of identificatie redelijkerwijs mogelijk is. En met een foto van een specifieke huidaandoening of een ongelukje met een shampoofles wil dat nog wel lukken.

Dit soort gegevens zijn niet zomaar persoonsgegevens, ze zijn bijzonder. En daarvoor geldt een speciaal regime: die mag je niet gebruiken tenzij in de Wbp of andere wet expliciet staat van wel (art. 16 Wbp).

Voor medisch personeel is er een uitzondering: “voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is”. Wel moeten ze nog steeds een grondslag kunnen aanwijzen, zoals toestemming of de uitvoering van de behandelovereenkomst. Je zou dan als arts moeten zeggen, dit overleg met een collega is noodzakelijk want anders weet ik niet welke behandeling te starten. Dat kan.

Maar dan het kanaal WhatsApp, mag dat dan? Dan kom je bij de algemene eis dat persoonsgegevens veilig moeten worden behandeld. En je kunt je afvragen of dat wel goed zit bij WhatsApp. Niet dat ik gelijk NSA-niveau spionage bedoel: gewoon heel simpel, mensen kunnen je telefoon vinden en berichten lezen. Of je stuurt een bericht naar de verkeerde persoon, of diens partner leest het bericht toevallig. Of de ander vindt het een bijzondere foto en plaatst hem op Figure 1 (twijfelachtig SFW). En ja dat is dan jouw schuld want jij moest dat voorkomen.

Maar om nou te zeggen, WhatsApp bij deze verboden voor collega-overleg, dat gaat ook weer wat ver. NRC citeert een neurochirurg uit Utrecht:

“Het komt zeker veel voor dat artsen via WhatsApp overleggen en patiënteninformatie delen. Ik heb zelfs wel eens levens gered doordat we via een mobiel bericht veel sneller over een noodsituatie konden overleggen en beslissen dan via de oude systemen. Maar er zijn duidelijke privacy-bezwaren.”

En daar zit vandaag de dag precies het dilemma: het kanaal is erg handig, snel en bruikbaar, maar de privacy is bepaald niet ingeprogrammeerd en je moet maar hopen dat het goed gaat. (Goh, het lijkt internet als zodanig wel.) Terwijl de voor privacy ontworpen kanalen bepaald niet handig of snel te noemen zijn – een brief in dubbele envelop, vervoerd per koerier bijvoorbeeld – en daardoor in de praktijk dus niet werken. Wat moet je dan?

Arnoud

24 reacties

  1. Ik heb een vrij uitgebreide ziekte geschiedenis, met in het totaal 7 betrokken ziekenhuizen, en alle communicatieproblemen daartussen, en ik heb van alles en nog wat gezien. Dossiers die niet opgestuurd werden omdat een cd brander stuk was, dossiers die gefaxt werden, een arts die zich opeens besloot aan de regels te houden en mij een formulier liet tekenen (per post), terwijl het alle keren daarvoor goed was, etc. En dit alles terwijl er soms best wel spoed bij was.

    Maar wat ik wel heb gemerkt, zodra je er als patient in zit, dan gaan je privacy bezwaren vrij snel overboord, en zet je alles in op efficiëntie. Maar het blijft wel tragisch om te zien dat alle problemen technisch gezien allang opgelost zijn, maar daar niet toegepast worden. En dat ze er een week voor nodig hebben om een paar (legale) CT-scans van A naar B te krijgen, terwijl ik binnen een uur iedere film illegaal download die ik wil.

  2. “Er is geen alternatief” is een smoes of onwetendheid. Er zijn inmiddels verschillende op de zorg gerichte goed bruikbare alternatieven voor whatsapp. En ik word een beetje moe van het argument: “ik heb er een keer een leven mee gered, dus is het goed.” Die ene keer dat je een leven ermee red, zal niemand het je kwalijk nemen dat je naar whatsapp greep. Maar dat betekent niet dat je het dag in dag uit voor van alles en nog wat mag gebruiken…

    En, @Jesse, juist als de patiënt, vanuit diens kwetsbaarheid, vooral efficiëntie eist, is het de verantwoordelijkheid van de arts om ook andere zaken als privacy in de gaten te houden. Je wil bijvoorbeeld niet dat en-passant je ziektehistorie bij reclamemakers terecht komt.

  3. Zijn er echt geen privacy-vriendelijke methoden die wel makkelijk zijn te gebruiken? Als artsen beschikken over apparaten met encrypted opslag, die zichzelf na een paar minuten locken, en die alleen encrypted communiceren, dan ben je toch al een eind gevorderd? Grootste irritaties zullen dan zijn dat je ‘m telkens weer moet unlocken, en dat die-handige-app-op-mijn-eigen-telefoon niet beschikbaar is op het veilige apparaat.

    Het probleem van het unlocken zou je nog kunnen minimaliseren door unlocken alleen te vereisen voor het lezen van gemaakte en ontvangen gegevens, maar dat het maken+versturen van foto’s, raadplegen van literatuur e.d., en zelfs telefoongesprekken, allemaal in unlocked modus kan (handig voor noodgevallen).

    Wat de ontbrekende apps betreft: ik denk dat je daarvoor input van de artsen zelf nodig hebt, om er achter te komen waar veel vraag naar is. Artsen moeten hier continu input kunnen blijven leveren, want als er niet naar ze wordt geluisterd, dan zullen ze stiekem toch hun eigen gang blijven gaan.

    Als je eenmaal zo’n locked-down apparaat hebt ontwikkeld, dan is het waarschijnlijk het beste om het gebruik van niet-goedgekeurde apparaten voor beroeps-toepassingen van artsen te verbieden.

    1. Het probleem is niet de opslag maar het transport van ziekenhuis A naar B. In een ziekenhuis zijn dingen in het algemeen redelijk goed geregeld en werkt men met een centraal EPD (of varianten daarvan) met ook autorisaties om bij elkaars gegevens te komen in noodgevallen. Het wordt lastig als je een redelijk uniek geval hebt en een dieptespecialist uit een ander (academisch) ziekenhuis nodig hebt om mee te kijken. In Nederland is formeel hier niets geregeld: er zijn wel regioverbanden maar je zult natuurlijk zien dat de patient in Terneuzen ligt en de specialist in Groningen. Er is domweg geen technische constructie die de gegevens van A naar B te brengen. Die behoefte is er zeker wel, en de technische oplossing was er ook wel (het landelijk EPD), maar die is afgekeurd in de 1e kamer en vervolgens ontmanteld. Nu is het niet zo dat dit accuut alle uitwisseling lam heeft gelegd: de huidige stand is dat ziekenhuizen wel samenwerken in de regio, inclusief gegevensuitwisseling, maar niet dat je landelijk dingen kunt uitwisselen. Dus het is op dit moment heel onvoorspelbaar of je collegiale expertise kunt inzetten.

        1. (Full disclosure: ik werk niet bij SURFnet, maar wel bij een gelieerde SURF werkmaatschappij). Lichtpaden zijn een mooie oplossing voor private netwerken, zoals inderdaad sommige academische ziekenhuizen gebruiken. Het is echter geen oplossing voor een data-uitwisselingsplatform.

          SURF biedt wel data-uitwisselingsplatformen aan, namelijk FileSender en SURFdrive. Maar ook hier zou ik eerst goed nadenken voor dat te gebruiken. SURFdrive biedt bijvoorbeeld wel encryptie van transport (gewoon HTTP met TLS), maar geen file-encryptie. De software heeft dat wel, maar dat is bewust uitgezet, omdat het een schijnveiligheid geeft. Het biedt namelijk alleen client-to-server encryptie, maar een end-to-end (client-to-client) encryptie. FileSender ondersteunt wel end-to-end ecnryptie. Maar daar zit je met het probleem dat je dan op een andere manier je shared key moet uitwisselen. Als dat via Whatsapp gebeurt is het niet veiliger, maar wel omslachtiger. Natuurlijk is daar ook weer een oplossing voor te verzinnen, namelijk het inrichten van een public key infrastructuur (PKI), maar voor je het weet ben je weer het electronisch patient dossier aan het heruitvinden. Een ander communcatieplatform dan? Ik gebruik zelf Threema in plaats van WhatsApp, en dat heeft wel end-to-end versleuteling. Maar ook het EPD of Threema is geen oplossing voor het probleem dat een arts een telefoon met patientgegevens niet vergrendeld.

          Wat dan wel? Ik kan wel iets bedenken met een app die elke keer gelockt is, maar wel snel ge-unlockt kan worden met de vingerprint-scanner die veel telefoons tegenwoordig hebben, maar persoonlijk kan ik het alleen maar met Corné eens zijn: Vraag de artsen gewoon zelf eens wat voor App er nodig is. Dan kunnen de ziekenhuizen (of SURF) daar wellicht een oplossing bij bedenken.

      1. Ik schreef toch ook “encrypted communicatie”? Elk apparaat moet z’n eigen encryptiesleutels hebben, en ziekenhuizen moeten een centrale opslag van sleutels(*) hebben, waar sleutels worden gekoppeld aan namen van artsen en experts. Dit kan allemaal onzichtbaar blijven voor de arts: die moet gewoon in een app een “telefoonboek” hebben waar z’n contacten in staan, waar ‘ie tekst, foto’s, gesprekken en wellicht live video mee kan uitwisselen. “Onder de motorkap” kan dat allemaal veilig versleuteld over publieke netwerken (internet, mobiele netwerken) worden verstuurd.

        (*) Voor de kenners: de “public keys” dus, niet de “private keys”. Er moet geen centrale mogelijkheid tot de-cryptie bestaan, want dat is te kwetsbaar voor hackers en andere mensen die onterecht toegang tot informatie willen krijgen.

  4. Hier bijt beveiliging zichzelf ook in de staart: ziekenhuizen zitten (beleidsmatig) zeer defensief in de informatiebeveiliging waardoor het een heidens karwei is om een stukje patientinformatie van A naar B te krijgen. Gewoon omdat in het ziekenhuis de casus voor collegiaal overleg niet geregeld is en men wil voorkomen dat patientinformatie het ziekenhuis verlaat. De oplossing die ervoor bedoeld was, het EPD, is destijds afgeschoten door de 1e kamer en je ziet nu dat de beroepseer van de arts vervolgens een “ondeugende” maar voor hem te rechtvaardigen weg zoekt en vindt. En dan was achteraf het EPD wellicht toch een betere oplossing.

    Een ding fascineert mij wel: als je de conversatie ontdoet van elke vorm van identificerende informatie (zoals NAW, maar ook ziektehistorie etc.) en het beeld ook niet herleidbaar is naar de patient (dus geen dingen als tatoeages en gezichten zichtbaar, maar abstracte foto’s van de huid, ingewanden of celstructuren) zou dit in mijn beeld geen persoonsgegeven meer zijn en zou dit een geschikt medium zijn. Je zit natuurlijk wel met extreme gevallen (DE patient in Nederland met hele unieke ziekte X) waar dit soort intercollegiaal consult natuurlijk wel per definitie voor wordt gebruikt, waardoor indirecte herleidbaarheid een probleem vormt, maar voor het gros lijkt me niet zo heel veel aan de hand. Zou dat juridisch een acceptabele insteek zijn?

    1. Ja! Een persoonsgegeven is ieder gegeven dat direct of indirect tot een (al dan niet bij naam bekend) individu te herleiden is. Zodra dat niet het geval is, zijn privacyregels niet van toepassing. Dat krijgt, beide kanten op, inderdaad te weinig aandacht.

      Tegelijkertijd:

      Data can either be useful or perfectly anonymous but never both.
      (Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, UCLA Law Review, Vol. 57, p. 1701, 2010; U of Colorado Law Legal Studies Research Paper No. 9-12.)

      1. “The aim of chain-computerisation is to bring together the required data only at the moment of use and then to immediately dispose of them, thus rendering the storage of these personal data superfluous.

        The second step is, whenever possible, to register personal data using only a value chain’s own number without other personal numbers or additional personal data. In this way limiting the possibilities of internal data collection mania will in the long term be more effective in protecting privacy than limiting the external distribution of personal data, this being the actual focus of data protection policy in Europe.

        With number systems and reference indices chain-computerisation makes it possible to shift the protection of privacy from external to internal restricted access to somebody’s personal data.” – http://dspace.library.uu.nl/bitstream/handle/1874/12456/grijpink00chaincomputerisationbetter_privacy.pdf

        Overigens zou ik het geen probleem vinden om op de orgaandonatie-kaard ook een vakje met “geef mijn data aan de wetenschap” aan te treffen. Een database met huiduitslag, bloedgroep, voorgeschreven medicatie en verloop ziektebeeld is goud waard voor medisch onderzoek.

        Het idee achter het delen van informatie tussen medische professionals is namelijk enorm goed. Doktoren doen dan om levens te redden en water stroomt zoals water dat doet. Kom maar op met die database aan longfoto’s, twee weten meer dan één en het is zonde als waardevolle medische informatie in compartementen verdwijnt.

        “Medical diagnostics is, at its heart, a data problem – turning images, lab tests, patient histories, and so forth into a diagnosis and proposed intervention. Recent applied machine learning breakthroughs, especially using deep learning, have shown that computers can rapidly turn large amounts of data of this kind into deep insights, and find subtle patterns. This is the biggest opportunity for positive impact using data that I’ve seen in my 20+ years in the field.” – http://www.enlitic.com/

        @Arnoud Het is ook mogelijk dat organisatiehoofden en managers het wel snappen en niet ouderwetse betweters zijn, maar dat een organisatie van mensen soms gewoon lastig roeien is. Het is een georganiseerde anarchie van belangen, protocollen, fouten en verloren kennis. Ad hoc oplossingen van de doktoren zijn misschien zo slecht nog niet. Ze behalen resultaat waar het volgen van protocollen soms traag (en dus levensgevaarlijk) is. We moeten problemen met privacy echt juridisch en technisch oplossen, om te zorgen dat het geen blok aan het been word.

    2. Het EPD was wellicht goed in het herkennen van het probleem dat opgelost moest worden, maar verkeerd in de oplossing die werd gekozen.

      Het EPD was voor zover ik het heb begrepen een gecentraliseerd systeem, waarbij het gecentraliseerde systeem de regels handhaaft die de privacy moeten beschermen. Dat geeft wat problemen: * De centrale server is een interessant doelwit voor hackers. Bij de-centrale opslag is elk individueel apparaat op zich minder interessant. * De (systeem)beheerders van de centrale server kunnen bij alle gegevens. Zelfs als er regels zijn tegen toegang, dan kunnen die overtreden worden. Je kunt dit zien als een “inside hack” (het meest voorkomende type hack bij organisaties). * Zelfs als er goede regels zijn voor toegang tot de gegevens, dan kunnen die regels in de toekomst veranderd worden, bijv. om justitie toegang te geven tot de gegevens (helaas een realistisch scenario). Artsen en patiënten kunnen daar niets tegen beginnen.

    1. Mijns inziens moet hij/zij zich daar wel zorgen over maken. Gezien mijn (zeer anekdotische en totaal niet statistisch significante) ervaring met artsen denk ik ook dat men zich geen zorgen kan maken over dat waarvan men zich niet bewust is. Veel artsen zijn digibeet, en van degenen die vinden dat ze goed zijn met computers is een groot deel vooral goed in het bedienen van facebook, whatsapp en de uitknop en het zichzelf overschatten omdat ze te weinig van computers weten om door te hebben dat ze weinig weten.

  5. Of de ander vindt het een bijzondere foto en plaatst hem op Figure 1 (twijfelachtig SFW). En ja dat is dan jouw schuld want jij moest dat voorkomen.

    Die vat ik niet helemaal… Waarom zou het (vooropgesteld dat ik de foto rechtmatig met die ander gedeeld heb) mijn schuld zijn als die ander er iets onrechtmatigs mee doet ? Of anders gezegd, wat heeft de eventuele onveiligheid van Whatsapp er mee te maken dat die ander de foto op Figure 1 plaatst ?

    1. Omdat jij verantwoordelijk blijft, voor wat er met de data gebeurt. Ook als het onderweg gestolen wordt (by whatsapp) of de ontvanger er iets anders mee doet dan jouw bedoeling. Dus zorgen voor end to end encryptie en duidelijk afspraken vooraf met de ontvanger. Alleen kost dat tijd die je niet altijd hebt.

      Maar meer algemeen, het zijn net gebruikers die buiten het raamwerk aan afspraken truuks verzinnen omdat het aamwerk onhandig/onwerkbaar is 😉

  6. Enorm bizar bericht. Ik wist dat er veel “programma’s” in ziekenhuizen draaien die niet veel meer zijn als “Bob vult handmatig de spreadsheet in en mailt deze naar het hoofd administratie”, maar dat hetzelfde met de privé communicatie gebeurd is schrikbarend.

    Die spreadsheet-apps zijn goed om te bouwen in een applicatie. Daar is duidelijk interne (en externe expert) communicatie ook rijp voor.

    Het enige probleem is dat je dan met 7000 regels te maken krijgt, het systeem gegarandeerd Henk Krol-proof moet zijn, en de geringe user feedback niet zal leiden tot een Whatsapp-clone, maar mogelijk veel lastiger in gebruik is (zodat doktoren alsnog terugvallen op gemak).

    Dat zo slordig omgaan met persoonsgegevens “levens redt” kun (en moet) je ook omdraaien. De huidige communicatiesystemen zorgen voor dodelijke slachtoffers, omdat informatie niet tijdig en met de juiste context, de experts bereikt. En nee… alles opslaan tot in de eeuwigheid is juist geen oplossing. Informatie heeft een tijdelijke waarde.

  7. Ik snap niet helemaal waar het probleem ligt. Zó moeilijk is het niet om iets op te zetten dat vergelijkbaar is met WhatsApp qua functionaliteit, maar dat end-to-end de data versleutelt (onder het beheer van de organisatie). Als je vervolgens werkt met mobiele apparaten die de werkomgeving niet mogen verlaten, dan los je het probleem van “apparaat kwijtraken” ook op.

    Waarom wordt dit niet gewoon toegepast?

    1. Je raakt het belangrijkste punt hier: “onder het beheer van DE organisatie”. Welke organisatie bedoel je precies? Een ziekenhuis is tegenwoordig meer een verzameling samenwerkende maatschappen in een verzamelpand. Maatschappen zitten vaak ook nog verspreid over meerdere ziekenhuizen, om het makkelijk te houden. En vaak gaat zo’n foto niet naar een collega in het eigen ziekenhuis, daar kun je probleemloos elkaar een mailtje kunnen sturen, maar naar een specialist in een (Academisch) ziekenhuis. Er is dus niet zoiets als DE organisatie waar je beiden een dienstverband mee hebt en waar authenticatie en autorisatie aan ontleend kunnen worden (technisch geimplementeerd door iets PKI-achtigs). Want wie zegt nu dat die man aan de andere kant wel een medisch specialist is? Het BIG-register kan zoiets wel, maar dan heb je het gelijk weer over de rijksoverheid die wat moet regelen…

      1. Dezelfde organisatie waarlangs de samenwerking tussen twee specialisten geregeld is. Het technische aspect (“hoe verplaats ik deze data veilig”) and het organisatorische aspect (“met wie kan ik veilig communiceren?”) zijn twee heel verschillende dingen, en moeten op een apart vlak worden opgelost.

        Het feit dát er nu al data uitgewisseld wordt tussen artsen, geeft mij de indruk dat het organisatorische aspect al opgelost is. Dan is dus alleen het technische aspect over, en dat is gemakkelijk.

        1. Organisatorisch is er niets opgelost: die artsen improviseren zelf maar wat met toevallig in een vuilnisbak gevonden spulletjes. Dit komt vaak voor en wijst op een organisatie die niet ingesteld is op het mensen de tools verschaffen die ze nodig hebben. Of dat nu is vanuit een gedachte het beter te weten (“een papieren dossier kan toch per koerier, wat is het probleem”) of vanuit incompetentie (“wat is dat, wetsepp”) dat weet ik nog niet.

            1. Die artsen kennen elkaar natuurlijk, ze hebben elkaar wellicht op congressen of borrels ontmoet en toen elkaars 06 uitgewisseld. Of hun secretaresses hebben die telefoonnummers even opgevraagd. Dat is op zichzelf prima, maar het betekent niet dat de organisatie dan een proces heeft voor artsen om second opinions bij externe collega’s te gaan halen.

              1. Of het delen van een drankje tijdens een borrel nu maatgevend moet zijn voor de medisch inhoudelijke expertise weet ik niet ;). Laten we het er op houden dat medische professionals elkaar wel leren kennen via de beroepsgroep.

                Maar je snijdt wel een ander interessant punt aan. Er is sprake van een Second Opinion, waar niet alleen privacy wetgeving op toepassing is, maar ook de Wet op de geneeskundige behandelingsovereenkomst (WGBO) en er professionele richtlijnen gelden. Er liggen dan wettelijke eisen over de kwaliteit van dossiervorming en steeds vaker ook professionele eisen aan de kwaliteit en vorm van het uitgewisselde beeld. Ook zijn er professionele richtlijnen over het gebruikte materiaal om het beeld op te bekijken (bepaalde disciplines vereisen minimale resoluties en afmetingen van beeldschermen in verband met de kwaliteit van de beoordeling). Allemaal wetgeving en richtlijnen die op zijn minst niet gegarandeerd worden maar hoogstwaarschijnlijk met voeten getreden worden als de geconsulteerde specialist in de volle zon op de golfbaan de foto beoordeeld op zijn iPhone 3G. Ik denk ook dat de dossierwerking van WhatsApp niet zo sterk is dat het voor het tuchtcollege standhoudt. Dus nu ik er zo over nadenk is die privacy discussie waarschijnlijk niet het grootste probleem met WhatsApp, de WGBO en de professionele medische richtlijnen die verantwoorde diagnosestelling moeten garanderen zijn een groter probleem.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.