Enorme boete voor EPD-leverancier in V.S. Hoe is het hier?

boeteIn de Verenigde Staten kreeg de landelijk opererende leverancier eClinicalWorks die een gelijknamig elektronisch patiënt dossier(EPD) verkoopt aan dokterspraktijken en ziekenhuizen, zeer recent een megaboete van 155 miljoen dollar vanwege het frauderen bij de certificatie door de overheid. Niet alleen het bedrijf maar ook een productontwikkelaar en twee projectmanagers kregen boetes. De fraude bestond uit het verborgen houden van essentiële gebreken in het EPD. Daarnaast bleek het bedrijf ook aan haar klanten bedragen van rond de 500 dollar te betalen als die het EPD aanbevolen aan anderen zodra die het EPD aanschaften. Bij de oplegging van de boete werd ook bepaald dat aan de klokkenluider die deze fraude aan het licht hielp brengen een bedrag van rond de 30 miljoen dollar zal ontvangen.

Veel moeite

Het heeft nogal wat moeite gekost om de bal aan het rollen te krijgen bij deze fraude. Een employee van de stad New York, Brian Delaney, was het betreffende EPD aan het implementeren voor gedetineerden in een penitentiaire inrichting. Daar viel hem om hoe slecht het programma werkte en ronduit gevaarlijk was voor de patiënten. Hij kaartte het aan maar kreeg tot zijn grote verbazing en teleurstelling geen respons van hogere ambtenaren van de gezondheidszorgafdeling van het stadsbestuur.  Pas bij het aankaarten op federaal niveau kwam er actie. Wat hij aan fouten en problemen ervoer varieerde van het voorkomen van medische gegevens van de ene patiënt in het dossier van een ander, fouten in de medicatiemodule, fouten bij het volgen van laboratoriumuitslagen.

Nader onderzoek

Pas toen op hoger niveau onderzoek werd gedaan bleek dat het bedrijf eClinicalWorks(eCW) fors gefraudeerd had. Bij het boetebesluit zegt het ministerie van justitie dat eCW haar certificatie voor de  software verkreeg op frauduleuze wijze door voor de certificerende instantie te verbergen dat de software niet voldeed aan de vereisten voor certificatie. Daarbij moest uit een uitgebreide database van alle beschikbare medicijnen foutloos medicatie opgezocht kunnen worden. Omdat de leiding van eCW wist welke zestien medicijnen bij die test opgezocht moesten worden zette men die rechtstreeks in de eigen software waardoor het foutloos en snel leek te gaan. De logging van acties van gebruikers waarbij bestanden gemuteerd werden, bleek niet correct te werken. Beeldbestanden sloeg het programma niet altijd correct op en interactiebewaking van medicijnen verliep niet foutloos. Gezien de hoogte van de boete wordt het bedrijf zwaar aangerekend dat de certificerende instantie op het verkeerde been heeft gezet. Voor alle ins en outs zie hier.

Nederland

In Nederland is er voor zorg-ICT-systemen geen centrale certificerende instantie. Voor huisarts-informatie-systemen(HIS-sen) Is het HIS-referentiemodel van het Nederlands Huisartsen Genootschap(NHG) leidend. Aanvankelijk was het verplicht voor leveranciers om aan dit referentiemodel te voldoen. Die verplichting is komen te vervallen maar leveranciers doen er verstandig aan er niet van af te wijken. Al meerdere jaren is het dé leidraad voor het inrichten van huisartsinformatiesystemen en daarmee de basis voor de informatie-uitwisseling in de eerste lijn.  Voor ziekenhuis-informatie-systemen(ZIS-sen) is  nergens op het internet een referentiemodel te vinden.

Missers

Er ging in Nederland dan ook bij herhaling wat mis met ziekenhuis ICT-systemen. Even voor de eeuwwisseling ging het Zuwe Hofpoortziekenhuis in Woerden over op het SAP-systeem. Een klein SAP-implementatiebureau begeleidde dit. Veel ging er mis. Schermindelingen waren zeer gebruikersonvriendelijk. Zoekopdrachten verliepen dramatisch. Het ziekenhuis was bijna tien maanden niet in staat een factuur voor verleende zorg te versturen naar zorgverzekeraars. Het maken van een lijstje van op mijn naam(huisarts) opgenomen patiënten kostte ruim drie kwartier. In 2001 stapte men met succes over naar Chipsoft. In vier ziekenhuizen(Jeroen Bosch Ziekenhuis, het TweeSteden Ziekenhuis, Ziekenhuis Bernhoven en het Atrium-ziekenhuis) ging het in 2010 en 2011 mis toen daar het Portugese ICT-bedrijf ALERT haar gelijknamige ZIS van start liet gaan. De deconfiture leidde tot een serie rechtszaken die pas in 2015 eindigde.

Non-disclosure en liability

De afgelopen twee jaar had ik diverse keren contact men patiënten, onder andere met journalistieke bezigheden, die merkten dat in hun EPD in een groot ziekenhuis essentiële informatie die eerder wel bekend was in het systeem ontbrak. Onder andere kwam dat voor na overgang op een ander ziekenhuis-informatie-systeem. Behandelaars beaamden deze problematiek en vonden het missen van informatie professioneel ook erg naar. Als er een nader gesprek of een interview aangevraagd werd, bleken na overleg met de directie de behandelaars niet meer bereid daarover in gesprek te gaan, verwijzend naar contractuele bepalingen in de overeenkomst tussen ziekenhuis en EPD-leverancier. Daarin zou dan staan dat alle gesprekken over problemen met het EPD via directie en EPD-leverancier dienen te lopen. Op die manier is er sprake van een non-disclosure-bepaling zodat negatieve berichtgeving over het EPD voorkomen wordt. Het is zeer goed voorstelbaar dat in de contracten bepaald is dat negatieve publiciteit leidt tot aansprakelijkheid van de directie voor zakelijke schade daardoor voor de EPD-leverancier. Een geval van liability zeggen  de Amerikanen dan.

Non-disclosure en liability-issues zullen ongetwijfeld de hoofdreden zijn dat de buitenwacht zeer weinig hoort van problemen in ziekenhuis-informatie-systemen. Pas als het helemaal uit de hand loopt zoals met het genoemde ALERT-systeem en juridische gevechten ontstaan om grote sommen geld verneemt de burger er iets van. Problemen zijn er dus wel maar we zien ze vaak niet of beter gezegd: we krijgen ze niet te zien.

W.J. Jongejan