27 529
Informatie- en Communicatietechnologie (ICT) in de Zorg

nr. 58
BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT

Met deze brief informeer ik u over de voortgang van de invoering van het landelijk elektronisch patiëntendossier (EPD). Deze brief en de bijlage geven informatie over de maanden juli, augustus en september 20091.

Inmiddels loopt, zoals u wellicht heeft vernomen uit de media, een constructief traject met een aantal koepels, waaronder de LHV en de KNMG, om te komen tot een gezamenlijke uitgangspuntennotitie over de voortgang van het EPD. Op dit moment wordt de achterban van de LHV hierover geraadpleegd. Begin december zal ik u hier verder over informeren.

Voordat ik dieper inga op de voortgang van de invoering van het EPD, geef ik op uw verzoek een toelichting op de recente berichtgeving rond de informatie-beveliging in zorgininstellingen.

Tot slot bied ik u het door mevrouw Sap gevraagde onderzoek naar de ICT-investeringen aan.

1. Informatiebeveiliging

U hebt mij verzocht in te gaan op een bericht over het niet naleven van de norm voor informatiebeveiliging in de zorg (NEN 7510) door zorginstellingen en de gevolgen daarvan voor de invoering van het landelijk EPD. In De Telegraaf van 14 oktober jl. werd bericht dat volgens onderzoek van Niscayah driekwart van de ziekenhuizen en zorginstellingen zich niet zou houden aan deze norm. Ik wil deze berichtgeving graag nuanceren.

In juli 2009 heeft de Inspectie voor de Gezondheidszorg (IGZ) in 72 ziekenhuizen de stand van zaken van de informatiebeveiliging onderzocht. Dit in navolging van een onderzoek uit 2007. Destijds heeft de IGZ samen met het College Bescher-ming Persoonsgegevens (CBP) bij 20 ziekenhuizen onderzocht in hoeverre zij de NEN 7510, norm voor informatiebeveiliging, hadden geïmplementeerd. Naar aan-leiding daarvan moesten alle ziekenhuizen een plan van aanpak bij de IGZ aan-leveren waarin staat op welke manier en wanneer de ziekenhuizen voldoen aan de eisen die worden gesteld aan de informatiebeveiliging.

Op één na hebben alle 72 ziekenhuizen een plan van aanpak aan de IGZ gestuurd. Uit de beoordeling van deze plannen blijkt dat informatiebeveiliging duidelijk op de agenda van het bestuur van ziekenhuizen staat en er bij 52 ziekenhuizen de (haalbare) ambitie bestaat om in 2010 te komen tot een adequaat niveau van informatiebeveiliging.

Bij 20 ziekenhuizen kon door de IGZ niet worden vastgesteld of voldoen aan de norm in 2010 haalbaar is. Voor deze plannen is de haalbaarheid als onvoldoende beoordeeld. Van deze groep is een aanvullend plan van aanpak gevraagd door de inspectie. Indien er geen plan van aanpak volgt, of uit het plan niet blijkt dat het ziekenhuis binnen redelijke termijn een adequaat niveau van informatiebeveiliging zal hebben, zal de IGZ mij vragen een aanwijzing te geven.

Om in de toekomst te blijven borgen dat aan de norm wordt voldaan, laten alle ziekenhuizen in 2010 een externe, onafhankelijke, audit uitvoeren op de imple-mentatie van de NEN 7510.

Naar aanleiding van de berichtgeving in De Telegraaf en de link die wordt gelegd met de veiligheid van het landelijk EPD wil ik nogmaals benadrukken dat het landelijk EPD hoge beveiligingseisen kent (zie onder andere TK 2008–2009, 31 466, nr. 50). Deze eisen zijn gericht op de technische infrastructuur en op het gebruik van het EPD, de feitelijke gegevensuitwisseling. Het gebruik van het EPD is omgeven met waarborgen, die zowel voorwaarde vormen voor het gebruik, werking hebben tijdens het gebruik van het EPD of achteraf controle mogelijk maken.

Voordat een zorgaanbieder mag aansluiten op het Landelijk Schakelpunt moet hij voldoen aan de zogenoemde eisen voor een Goed Beheerd Zorgsysteem (GBZ), waaronder het beschikken over een door Nictiz gekwalificeerd zorginformatie-systeem, gebruik maken van de diensten van een gekwalificeerde zorg Service Provider (ZSP) en voldoen aan de NEN 7510. Voldoet een zorgverlener of instelling niet aan deze eisen, dan kan deze niet aansluiten op het LSP. Landelijke elektronische uitwisseling van medische gegevens is dan niet mogelijk.

2. Invoering EPD

Aansluitingen op het Landelijk Schakelpunt (LSP)

Op 9 juli 2009 is het Landelijk Schakelpunt opengesteld voor nieuwe aan-sluitingen. Op 30 september, aan het eind van het derde kwartaal, waren 333 zorgaanbieders aangesloten op het LSP. Het totaal aantal dossiers dat eind september via het landelijk EPD kon worden geraadpleegd, was circa 800 000.

In totaal zijn op 31 oktober 2009 400 aanbieders aangesloten op het landelijk EPD. Het gaat om 285 apotheken, 10 huisartsendienstenstructuren, 97 huisartspraktijken en 8 ziekenhuizen.

Naar verwachting zijn eind dit jaar ruim 560 zorgaanbieders aangesloten op het LSP en niet de eerder geprognosticeerde 900. De verklaring hiervoor is dat een aantal ICT-leveranciers meer tijd nodig heeft voor de aanpassing van hun systemen om te kunnen voldoen aan de eisen die Nictiz stelt voor kwalificatie. Het overall beeld van de voortgang van de ICT-leveranciers is overigens goed. Ondermeer een grote ICT-leverancier, met 33% marktaandeel onder de huis-artsen en 52% marktaandeel onder de apotheken, heeft aangegeven nog dit jaar gereed te zijn voor kwalificatie. Deze leverancier is onlangs gestart met het kwalificatietraject voor het apotheekinformatiesysteem.

Unieke Zorgverlenersidentificatie (UZI)

Er waren op 30 september in totaal 13 940 abonnees bij het UZI-register. In de maanden juli, augustus en september hebben zich 2 758 nieuwe abonnees bij het UZI-register aangemeld. 100% van de ziekenhuizen is UZI-abonnee. Van de huisartspraktijken is 48% UZI-abonnee. Van de apotheken is 82% UZI-abonnee. Van de huisartsendienstenstructuren is 63% UZI-abonnee. Het aantal uitgegeven UZI-passen is gestegen tot 29 143.

In de vorige voortgangsrapportage is gemeld dat UZI-register maatregelen heeft getroffen om de achterstanden weg te werken. In de afgelopen rapportageperiode is dat volledig gebeurd. De normtijden voor de afwikkeling van de diverse diensten en producten worden nog niet op alle punten gehaald. De oorzaken daarvoor liggen veelal buiten de directe invloedssfeer van het UZI-register van-wege afhankelijkheden in het proces.

De aandacht blijft gericht op snelle en goede dienstverlening aan het zorgveld.

In onderstaand overzicht zijn de gemiddelde doorlooptijden weergegeven.

Op 31 maart informeerde ik u over de smartcard. Voor de UZI-pas is de overgang naar een modernere chip (zonder de geconstateerde kwetsbaarheid) voorzien voor november 2009. Vanaf dat moment zal elke nieuwe UZI-pas zijn voorzien van de nieuwe chip.

Sectorale Berichtenvoorziening in de zorg (SBV-Z)

Voor verkrijging en verificatie van het Burgerservicenummer van een patiënt geeft de Sectorale Berichtenvoorziening in de zorg, de SBV-Z, toegang tot de relevante gegevens in de Gemeentelijke Basisadministratie. Het aantal aansluitingen van zorgaanbieders op de SBV-Z is gestegen tot 8 186. Het aantal raadplegingen bij de SBV-Z is het afgelopen kwartaal meer dan verdubbeld, tot ruim 18 miljoen.

Onderstaande tabel geeft een cumulatief overzicht van de voortgang van de invoering van het landelijk EPD.

Wanneer zorgaanbieders in koploperregio’s aansluiten op het LSP is er automa-tisch sprake van zorgaanbieders die bij elkaar in de buurt zitten. De kans dat een EPD-raadpleging in dat geval succesvol is, is groot. Naast zorgaanbieders in deze koploperregio’s sluiten nu steeds meer niet-koplopers aan op het LSP. Deze nieuwe aansluitingen zijn meer dan voorheen verspreid over het land. Dit heeft als gevolg dat het aantal EPD-raadplegingen minder hard stijgt dan in de context van de pilot mag worden verwacht. Hoe meer aansluitingen, hoe groter de waarde van het landelijk EPD voor de patiënt en de zorgverlener.

Grootschalige indringerstest

Bij de behandeling van het wetsvoorstel EPD heb ik u toegezegd, voorafgaand aan het verplicht aansluiten op het LSP, het systeem aan een grootschalige keten-brede indringerstest (GKI) te onderwerpen.

Vooruitlopend op de beloofde voortgangsrapportage GKI kan ik u alvast een positief resultaat noemen. In juli 2009 heeft de jaarlijkse LSP penetratietest plaatsgevonden, uitgevoerd door een onafhankelijke derde. Er zijn geen bevindingen van betekenis gedaan. De aanbevelingen zijn opgevolgd.

Motie mevrouw Vermeij

De motie die mevrouw Vermeij heeft ingediend tijdens de wetsbehandeling over de zogenaamde «verlengde arm constructie» is onderwerp van overleg geweest met de koepelorganisaties. Hierover is inmiddels overeenstemming bereikt. Ik beschouw de motie daarmee als afgedaan. Uitgangspunt in de wetgeving is dat het de beroepsbeoefenaar is die toegang heeft tot het EPD. Onder beroepsbeoefe-naar vallen BIG-geregistreerden. Zij hebben alleen toegang tot het EPD als het noodzakelijk is dat ze de informatie inzien en als er sprake is van een behandel-relatie. Triagisten hebben alleen toegang onder verantwoordelijkheid van een huisarts. Dit betekent dat een huisarts gekoppeld moet zijn aan de inzage van de triagist. Daar zijn verschillende methoden voor, sommige huisartsenposten hebben een autoriserend huisarts die de inzage van de triagist mandateert, maar ook de triagist kan voorafgaand aan de inzage aangeven namens welke huisarts dit plaatsvindt. Deze werkwijze biedt voldoende ruimte om te zorgen dat de triagist zijn of haar werk kan doen binnen de kaders van de wet.

In overeenstemming met de motie van mevrouw Vermeij en de heer Omtzigt ben ik in overleg met de betrokken beroepsgroepen over de implementatie en door-ontwikkeling van het landelijk EPD. In november vindt het volgende bestuurlijk overleg plaats. Ik zal u over de uitkomst te zijner tijd informeren.

Toegang patiënt

GBO.Overheid, Nictiz en CIBG werken aan de totstandkoming van de elektronische toegang van de patiënt tot zijn eigen medische gegevens in het landelijk EPD. Het betreft hier respectievelijk het ontwikkelen van het toegangsmiddel EPD-DigiD door GBO.Overheid, het ontwikkelen van een patiëntenportaal en klantenloket door het CIBG en het doen van aanpassingen in het LSP door Nictiz. Het geheel is een complexe keten die uiteraard moet voldoen aan een zeer hoog beveiligings-niveau.

Het is noodzakelijk om te komen tot een uitgebalanceerd geheel van te ontwik-kelen (in elkaar grijpende) processen en systemen van alle partijen voor de inrichting en toekomstige uitvoering van toegang patiënt. Hiertoe is onder andere externe kwaliteitsborging ingeschakeld. De kwaliteitsborging toetst op cruciale aspecten waaronder ontwerp, planning en beveiliging.

In de piekperiode in het eerste kwartaal van 2010 is het niet gewenst nieuwe ontwikkelingen door te voeren op de bestaande DigiD infrastructuur ten behoeve van het EPD-DigiD. Dit omdat gedurende het eerste kwartaal 2010 het reguliere DigiD voor de aangifte van de inkomstenbelasting intensief wordt gebruikt.

Na deze periode dient een intensief traject van integratietesten en ketentesten plaats te vinden. De veilige toegang van de patiënt tot het EPD via internet is een technisch complex traject dat bovendien grote impact kan hebben op de relatie tussen patiënt en zorgverlener. Voorop staat dat de toegang van de patiënt een hoog niveau van beveiliging kent. Na afronding van de ketentesten kies ik daarom voor uiterste zorgvuldigheid: een gefaseerde toekomstige introductie met pilots op kleine schaal en met beheersmaatregelen voor risico’s rondom bijvoorbeeld informatiebeveiliging. Dit alles betekent dat de toegang van de patiënt inclusief DigiD-aanpassingen, derhalve niet, zoals eerder gepland, voor het eind van dit jaar gerealiseerd zal worden.

3. Onderzoek ICT investeringen

In mijn brief van 30 januari 2009 (TK 2008–2009, 31 466, nr. 21) heb ik naar aan-leiding van vragen van mevrouw Sap en mevrouw Vermeij toegezegd onderzoek te doen naar de ICT-investeringen in en door de zorgsector. De resultaten van dit onderzoek bied ik u hierbij aan1.

De onderzoekers is gevraagd inzicht te geven in de totale investeringen in en door de zorg, zowel in de care, cure en preventie voor zover het uitgaven betreffen die onder de Zorgverzekeringswet (Zvw) en de Algemene Wet Bijzondere Ziekte-kosten (AWBZ) vallen. In de uitwerking is niet alleen gekeken naar de investe-ringen, maar ook naar de exploitatielast, de kosten voor onderhoud en gebruik. Er is daarbij uitgegaan van het begrip Total Cost of Ownership. Dit omvat alle kosten die samenhangen met het in eigendom krijgen en hebben en/of het gebruiken van ICT. In het onderzoek zijn de deelsectoren onderzocht die gezamenlijk 80% van de door de Zvw en AWBZ gefinancierde zorg omvatten. De totale kosten voor de zorg zijn op basis van de gevonden resultaten geëxtrapoleerd naar de gehele zorgsector. Waar mogelijk, is uitgegaan van bestaande bronnen, waar nodig aan-gevuld met gericht onderzoek.

De onderzochte deelsectoren gaven in 2008 volgens het gehanteerde ICT-kostenbegrip ruim 1,3 miljard euro uit aan ICT. Dat is 3,2% van hun omzet. Geëxtrapoleerd naar de totale zorg die onder de Zvw en AWBZ valt, gaat het over een bedrag van 1,7 miljard euro.

Deze cijfers behoeven enige toelichting. Zoals ik in de brief van 30 januari aangaf, is het presenteren van een totaalbeeld van de ICT-kosten binnen de Nederlandse zorgsector geen gemakkelijke opgave. De in het rapport gepresenteerde gegevens geven geen exact beeld van de ICT-kosten in de zorg maar zijn daarvan een benadering. In de meest deelsectoren binnen de zorg is namelijk niet of nauwe-lijks onderzoek gedaan naar ICT-kosten. Waar wel onderzoek heeft plaats-gevonden is het vaak een onderdeel van breder onderzoek naar kosten in de betreffende sector.

Waar specifiek op ICT-kosten is ingezoomd is niet altijd een heldere definitie gehanteerd en meestal worden niet alle ICT-kosten meegenomen.