Gerrit-Net en VZVZ goochelen met percentages in LSP-nieuws

Het bezigen van juichtaal en mooipraat over het gebruik van het Landelijk SchakelPunt(LSP) vindt al jarenlang plaats. Het ministerie van VWS deed er al aan mee in de periode van de pogingen een landelijk elektronisch patiëntendossier(L-EPD) op te zetten. De Vereniging van Zorgaanbieders Voor Zorgcommunicatie, verantwoordelijk voor de voortzetting van het LSP in private handen, ging er daarna lustig mee door. Ook Gerrit-Net, een kennis- en innovatieplatform van en voor de zorg in Noord-Nederland dat het LSP-gebruik bevordert en ondersteunt doet er samen met VZVZ aan mee. In een recente LSP-nieuwsbrief voor zorgverleners in de noordelijke provincies van week 50 (2016) laten beide organisaties een fors staaltje zien van selectief gebruik van cijfers, waarmee men het heel beperkt uitwisselen van medische gegevens van huisartsen weg foezelt. Door niet apart te rapporteren over de uitwisselingen van samenvattingen van huisartsgegevens(de z.g. professionele samenvattingen) naast het uitwisselen van medicatiegegevens ontstaat een onterecht positief beeld over de ontwikkeling van de uitwisselmogelijkheden.

Basis

Voor een goed begrip van de situatie moeten we even een klein uitstapje maken naar de ontwikkelingen rond de aantallen van de opt-in-toestemmingen voor het uitwisselen van huisartsgegevens(professionele samenvattingen) en de opt-in-toestemmingen voor medicatiegegevens bij apotheken. Al lange tijd is het zo dat twee derde van de Nederlanders toestemming geeft voor het uitwisselen van medicatiegegevens bij de apotheken, maar dat slechts één derde toestemming geeft voor het uitwisselen van professionele samenvattingen bij huisartsen. Als men wil weten hoeveel communicatie zich afspeelt en het verloop in de tijd ervan wil weten is het daarom zindelijk om van beide soorten gegevens gescheiden grafieken te maken.

Truc 1

Wat is nu de truc die VZVZ al langer uithaalt en nu in samenwerking met Gerrit-Net weer presenteert?

Men noemt de gegevens waarover gerapporteerd wordt “medische dossiers’’ Op pagina 1 van de LSP-nieuwsbrief staat het ook dat bij het opvragen van data via het LSP een antwoord een “dossier”-bevat, al dan niet met medisch gegevens. Wat men daarna in de 6 pagina’s met grafieken over Drenthe, Friesland en Groningen rapporteert gaat dus om cijfers die als basis een mix van voornamelijk apotheekgegevens en een beetje huisartsgegevens heeft. Door de oververtegenwoordiging van de uitgewisselde apotheekgegevens valt het daardoor niet op dat het onmogelijk is om van meer dan één derde van de bevolking huisartsgegevens uit te wisselen.

Truc 2

Op de website van Gerrit-Net staat ook een item met daarin de grafiek met de opt-in groei over 2016 per zorgverlenerssoort per provincie(de drie noordelijke). Daar gebruikt men de truc van het weglaten van de minst presterende categorie. Men meldt de groeipercentages voor respectievelijk de apothekers, de apotheekhoudende huisartsen en voor de huisartsenposten in de drie noordelijke provincies. De resultaten voor de opt-in-toestemmingen bij de huisartspraktijken staan er niet op. In die categorie gaat het namelijk om erg lage aantallen en erg lage groei, waarmee voor Gerrit-Net en VZVZ geen eer te behalen is. Bij het bezien van de percentages opt-in-toestemmingen(niet de groei ervan) op de website van VZVZ met de regio-indeling(week 48 van 2016) kan men ook zien dat voor huisartsgegevens dat percentage in Groningen op 17 procent staat, voor Friesland op 42 procent en voor Drenthe op 30%. Voor medicatiegegevens bij de apotheken liggen de opt-in-percentages, zoals eerder al gezegd, hoger namelijk respectievelijk 70, 70 en 76%.

Naar nu blijkt heeft Gerrit-Net op haar website een grafiek gezet met in de legenda hap Groningen, hap Friesland en hap Drenthe. Daar worden volgens Gerrit-Net de huisartspraktijken mee bedoeld. In de huisartsenwereld staat de afkorting “hap” voor huisartsenpost. Door dit afwijkende gebruik van de afkorting ontstond de perceptie dat de huisartspraktijken niet op de grafiek stonden. Desondanks moet geconstateerd worden dat de percentages die dus blijken te slaan op de huisartspraktijken bijzonder laag zijn vergeleken met de opt-in-percentages voor medicijngegevens bij de apotheken. W.J.Jongejan, 17-01-2017

Los van de truc van het weglaten van de zorgverlenerssoort met het laagste opt-in-percentage is het aardig te letten op de gekozen eenheid op de y-as. Men kiest voor het percentage groei van de opt-in-toestemmingen. Daarbij is het maar helemaal de vraag welk referentiepunt(qua omvang en qua tijdstip) men gekozen heeft om de groei ten opzichte ervan te meten en weer te geven. Een onduidelijk beginpunt maakt een reële beoordeling van de getallen moeilijk, zo niet onmogelijk..

Jammer

Het is triest te constateren dat organisaties zich verlagen tot allerlei statistische trucs om iets te suggereren wat maar in zeer beperkte mate is waar is. Het is gegoochel met getallen. Je moet redelijk in de materie ingevoerd zijn om te zien waar en waarmee de trucs zijn uitgehaald.  De werkelijkheid is nog steeds dat er aan huisartsgegevens weinig wordt uitgewisseld via het LSP omdat maar één derde van de Nederlanders daar toestemming voor gaf.

W.J. Jongejan




Aanvalsvlak LSP voor indringers weer groter door PGD-LSP-koppeling

spitfire-555695_640

In het eerste kwartaal van 2016 zal in Friesland onder auspiciën van Gerrit-Net een proef starten waarbij de patiënt zelf toegang krijgt tot het Landelijk SchakelPunt(LSP) om medicatiegegevens in te zien. Dat gebeurt via een koppeling van het Persoonlijke Gezondheids-Dossier(PGD) van een patiënt met het LSP. Hoewel het LSP een regionale indeling heeft is de infrastructuur toch landelijk van opzet. De infrastructuur wordt daardoor kwetsbaarder met de toename van het aantal aangeslotenen. Het aanvalsvlak neemt verder toe. Naast de zeer vele zorgaanbieders die de Vereniging voor Zorgaanbieders Voor Zorgcommunicatie(VZVZ) toegang wil geven tot het LSP komen daar nu de patiënten zelf bij, die ook op een geheel andere wijze toegang krijgen tot het LSP dan de zorgaanbieders.

Plannen

Al langer zijn er plannen op PGD’s aan het LSP te koppelen. Ik schreef er eerder over.  In dat artikel gaf ik aan hoe de overheid op de achtergrond al langere tijd aanstuurt op de ontwikkeling van aan het LSP koppelbare PGD’s. Ik beschreef de problemen die kunnen ontstaan als burgers/patiënten door instanties/overheden onder druk worden gezet om gegevens uit hun PGD te openbaren. In Friesland werd door Gerrit-Net begin 2015 de opzet van een pilot PGD-LSP gemaakt. Daarvan werd op 9 april 2015 tijdens een podium-bijeenkomst verslag gedaan. In die pilot werken samen: enkele zorgaanbieders in Zuidwest-Friesland, Zorgkluis B.V., de VZVZ, de Nederlandse Patiënten en Consumenten Federatie, Microsoft, Nictiz en enkele overheidsinstanties. Daarin wordt duidelijk op welke wijze de patiënt toegang krijgt tot het LSP om de medicatiegegevens op te halen bij de bron. Op de derde sheet van de presentatie staat in een schema vermeld hoe de communicatie gaat verlopen. De patiënt maakt gebruik van een intelligente Persoonlijk medicatiedossier(iPMD)-app, die voor de opslag van de data communiceert mate het PGD van Microsoft(MS-HealthVault). Met de app(op de smartphone) maakt de patiënt contact met het VZVZ via een portaal van VZVZ in het zogeheten GBP-koppelvlak. Onder een GBP verstaat VZVZ een Goed Beheerd zorgPortaal. VZVZ zegt hierover dat het een portaal is dat voldoet aan eisen voor aansluiting op het LSP en toegang geeft aan een burger tot zijn/haar landelijke elektronische patiëntendossier. De authenticatie, de vraag of de patiënt degene is die hij/zij beweert te zijn geschiedt door middel van het gebruik van de DigiD plus Remote Document Authentication(RDA).

RDA

Remote Document Authentication maakt gebruik van de contactloze chip in paspoorten, rijbewijzen en identiteitskaart die door een NFC(Near Field Communication)-chip in een moderne versies van smartphones uitgelezen kunnen worden. Eind 2014 was 50% van de smartphones hiermee uitgerust, o.a. voor contactloos betalen. De volgorde is dat de patiënt met DigiD plus SMS-authenticatie inlogt op het LSP-portaal en zich nader authenticeert middels de RDA-procedure. Het identiteitsbewijs met de chip wordt dus voor de smartphone gehouden. Daarna kan de patiënt zijn medicatiedossier opvragen bij het LSP. De beveiliging van online-diensten wordt ingedeeld in zogenaamde STORK-niveau’s(1 t/m 4). Door het gebruik van RDA wordt het beveiligingsniveau verhoogd naar het ISO 29115/Stork betrouwbaarheidsniveau 3, terwijl alleen DigiD-gebruik(inlognaam en wachtwoord) STORK 2 is en DigiD plus sms-bericht STORK 2+ is.

Veel ervaring met de RDA-procedure is er in Nederland nog niet veel. De RijksDienst voor het Wegverkeer(RDW) doet er nog een pilotproject mee, waar de firma Logius aan meewerkt. De overheid worstelt ook al lang met de problemen met de toegang tot online-diensten.

Verkregen data

De patiënt zet de verkregen informatie in het eigen PGD(MS-HealthVault in dit geval) en kan die informatie zelf aanvullen met bijv. ervaringen en zonder recept gekochte medicatie toevoegen. Indien de patiënt naar aanleiding van de verkregen informatie de zorgverlener aanvullende informatie of correcties wil doorgeven zal dat via beveiligde zorgmail via de iPMD-app richting zorgverlener gaan.

Aanvalsvlak

Hoewel gezegd wordt dat de werking van het LSP regionaal is blijft het een landelijk systeem met een centrale computer bij de firma CSC te Utrecht. Het aantal personen en systemen dat toegang heeft bepaalt de grootte van het aanvalsvlak bij pogingen tot kwaadwillende toegang. Dat is en blijft het probleem met een centraal werkend systeem. Nu reeds hebben enkele tienduizenden huisartsen, apothekers en medisch specialisten middels een UZI-pas en kaartlezer toegang tot het LSP. Voor de nabije toekomst voorziet VZVZ een nog groter aantal gezien de recente uitbreiding van de koepeladviesraad met vertegenwoordigers van koepelorganisaties van jeugdgezondheidszorg (ActiZ-JGZ), artsenlaboratoria en diagnostische centra (SAN), instellingen voor geestelijke gezondheidszorg en verslavingszorg (GGZ Nederland) en artsen voor verstandelijk gehandicapten (NVAVG). Ook werd een pilot in de regio Drechtsteden-Gorinchem gestart met vertegenwoordigers van de care-sector. De gevaren van het incorrecte gebruik van UZI-passen werd al eens in 2011 beschreven. Nu komen er via het GBP-portaal, op de hierboven beschreven wijze, ook burgers bij die weer op een andere wijze toegang krijgen tot het LSP. De kwetsbaarheid van het systeem neemt hiermee dan ook toe.

Waar met een UZI-pas altijd nog een “grondstation” in de vorm van een kaartlezer nodig is, zal het “grondstation” van de RDA-procedure een mobiele telefoon(of tablet) zijn. Beide inlogmogelijkheden hebben hun zwakken kanten door diefstal van de middelen/codes en incorrect gebruik. Daarnaast zal met de toegang tot het GBP van het LSP de veiligheid van de iPMD-app een cruciale rol spelen, bijv. ten aanzien van de vraag of deze app te hacken is. Nu zijn het vermoedelijk nog enkele honderden patiënten in Friesland die via het LSP hun medicatiegegevens kunnen opvragen. Indien men dit verder wil gaan uitrollen dan neemt het aanvalsvlak logaritmisch toe.

Inherent veiliger

Een communicatiesysteem zonder centrale computer, van de ene zorgverlener naar de andere, zonder een computer-in-the middle, kent dergelijke problemen niet en is derhalve veel veiliger. Het heeft een uitermate nauw aanvalsvlak en is schaalbaar. Een voorbeeld hiervan is de Whitebox.

In het concept van Gerrit-Net is naast het Amerikaanse bedrijf CSC(van het LSP) nog een groot Amerikaans bedrijf ingeschakeld, nl Microsoft, die de MS-Healtvault-data in de cloud opslaat. Beide bedrijven vallen onder de Patriot Act. Hierover is in het kader van het LSP al het nodige gezegd.

W. J. Jongejan