Onderzoeksbias devalueert waarde rapport beveiliging patiëntgegevens

scheepswrak

Recent, op 15 december 2016, stuurde de minister Schippers van VWS het onderzoeksrapport van het adviesbureau PBLQ naar de Tweede en Eerste Kamer. Het rapport, geschreven onder leiding van Theo Hooghiemstra, had als titel: “Onderzoek naar de beveiliging van patiëntgegevens”. Het onderliggende onderzoek had als doel onafhankelijk te bezien hoe zorginstellingen in de dagelijkse praktijk omgaan met de beveiliging van hun patiëntgegevens en te kijken hoe daarin verbetering kan worden aangebracht. De Tweede Kamer ontving het rapport van PBLQ i.v.m. de bespreking van het wetsontwerp 31765(Kwaliteit van zorg), de Eerste Kamer i.v.m. de naweeën van het recent aangenomen wetsontwerp 33509(Cliëntenrechten bij elektronische verwerking van gegevens). Bij het onderzoek dat ten grondslag ligt aan het rapport is sprake van een ernstige onderzoeksbias. Het rapport berust ook op twee enquêtes die niet toetsbaar zijn ten aanzien van representativiteit. Al met al een wrakke basis om na analyse tot conclusies te komen.

Braaf

Het rapport komt tot de conclusie dat vergeleken met een eerder onderzoek van de Autoriteit Persoonsgegevens uit 2013 veel bereikt is maar dat er niettemin nog het nodige te doen is en blijft. Een aantal aanbevelingen worden geformuleerd. Het hele rapport ademt een wat brave sfeer van hardwerkende zorgverleners, zorginstellingen en ICT-ers, die hun best doen en her en der een tandje bij moeten zetten. Het rapport bestond uit drie fasen:

  1. Diepte-interviews met functionarissen uit de zorgketen: van de Raden van Bestuur van zorginstellingen, medische professionals, privacy-officers, tot met de ICT-leveranciers.
  2. Een anonieme digitale enquête, die volgens de auteurs kwalitatief van aard was en een indicatief karakter had. Er waren twee varianten: een uitgebreide voor experts uit het veld en een beperkte voor mensen uit de praktijk en op de werkvloer.
  3. Analyse en toetsing in interne werksessies, die later in een “EffectenArena” met vooraanstaande geïnterviewden zijn besproken.

Samenstelling

Op de samenstelling(pag. 43 en 44) van de functionarissen(42 in totaal) die een diepte-interview kregen is flink wat af te dingen. Het gaat naast de “usual suspects” zoals drie man van de Autoriteit Persoonsgegevens, twee van de Inspectie voor de GezondheidsZorg, twee van de Patiëntenfederatie Nederland(voorheen NPCF) en de jurist van de Koninklijke Maatschappij ter bevordering van de Geneeskunst om bestuurders, directeuren, managers en ICT-ers. Slechts een drietal “zorgverleners” kon ik ontwaren: een hoofd-apotheker van het Erasmus MC, een hoogleraar inwendige geneeskunde uit het Erasmus MC en een geneesheer-directeur(psychiater) van GGZ Rivierduinen. De twee perifere ziekenhuizen die vertegenwoordigd waren, Groene Hart Ziekenhuis en Slotervaartziekenhuis, waren bekend vanwege datalekken in het verleden. Zij hebben daardoor een grotere “disaster awareness” vergeleken met elk willekeurig ander perifeer ziekenhuis. Na de datalekken bij hen had men daar al extra maatregelen genomen om herhaling te voorkomen. Bij andere perifere ziekenhuizen zal de situatie allicht slechter zijn.

Gemist

Node mis ik een vertegenwoordiging uit de huisartsenwereld. De huisartsen waren voorlopers in de automatisering in de zorg en als eerste beroepsgroep volledig geautomatiseerd. Als poortwachter in de zorg vindt tevens zeer veel datacommunicatie plaats tussen hen en alle andere zorgverleners. Wat opvalt is dat er geen enkel persoon of organisatie uit de ICT-wereld met een spiedende of kritische blik op de patiëntveiligheid en zonder directe binding met de zorg aangezocht is. Zowel ten aanzien van dataopslag, datacommunicatie, beheer en governance zijn er beslist mensen en instanties te vinden die in voornoemd gezelschap niet misstaan hadden. Ik denk daarbij bijvoorbeeld aan mensen als Ronald Prins van het ICT-beveiligingsbedrijf Fox-It, deskundigen van verwante bedrijven, maar ook  aan de mensen die hun kritische inbreng hadden in de deskundigenbijeenkomsten in de Eerste Kamer bij het behandelen van voornoemd wetsvoorstel 33509. Ik noem slechts enkele mogelijkheden die mij te nu binnen schieten. Door de genoemde manco’s is er sprake van een ernstige onderzoeksbias.

Enquêtes

Ronduit gênant is het om te lezen dat men bij de twee enquêtes spreekt over 25 respondenten. Onduidelijk is welk aantal voor welke enquête, maar ook vermeldt PBLQ niet hoeveel personen/instanties benaderd zijn voor het beantwoorden van dit anonieme digitale onderzoek. Enige conclusie over de representativiteit is dus onmogelijk te trekken. Gezien de wijze van noteren in het rapport denk ik dat het illusoir is om te denken dat het onderzoek representatief is.

Wrakke basis

Het aardige is dat in het rapport op pagina 33 en 41 geschreven staat dat de geïnterviewden veelal voorlopers zijn op ICT-gebied. Daarmee geven de opstellers zelf aan dat zij geen dwarsdoorsnede van de zorg voorstellen. Het betekent automatisch dat het gevaarbewustzijn en het zo inrichten van de organisatie dat data-accidenten tot het absolute minimum worden teruggebracht duidelijk hoger zijn dan bij een dwarsdoorsnede van de zorg. De situatie ten aanzien van de beveiliging van patiëntgegevens is dus beduidend slechter dan dit rapport doet voorkomen.

Al met al zijn de eerste twee onderdelen van het onderzoek zeer discutabel en vormen een wankele tot wrakke basis voor het derde onderdeel: de analyse en toetsing.

Het onderzoeksrapport van PBLQ moet derhalve niet als een serieuze poging gezien worden om de problematiek in kaart te brengen.

W.J. Jongejan