eHealth

E-health is het gebruik van informatie- en communicatietechnologie (ICT) om gezondheid en gezondheidszorg te ondersteunen of te verbeteren. Vooral internettechnologie speelt hierbij een belangrijke rol. Voor e-health wordt ook wel de term ‘digitale zorg’ gebruikt.

Er zijn veel verschillende voorbeelden van e-health:

  • Voor patiënten
    Bijvoorbeeld patiëntportalen, meetapparaten en online behandelprogramma’s.
  • Ondersteuning van zorgverleners
    Bijvoorbeeld het elektronisch patiëntendossier en elektronisch delen van gegevens.
  • Medische apps en systemen die helpen bij medische beslissingen.

IGJ heeft voor het toezicht een brede opvatting van e-health en rekent daaronder alle ICT die in het primaire zorgproces een rol speelt. Daaronder vallen dus niet alleen toepassingen die zorg op afstand mogelijk maken. Ook patiëntendossiers en elektronische gegevensuitwisseling vallen hieronder.

E-health kan veel voordelen bieden in de zorg. Maar het kan ook risico’s met zich meebrengen. De inspectie vindt het belangrijk dat de voordelen en de risico’s in de juiste verhouding staan. Het gaat hierbij om twee zaken: een veilig product en een veilig gebruik van dat product in de zorg.

Een veilig product

Sommige e-health-producten zijn belangrijk voor de diagnose of behandeling van een ziekte of handicap. Die producten kunnen vallen onder de Wet op de medische hulpmiddelen (Wmh). De fabrikant van het product staat dan onder toezicht van IGJ.

IGJ handhaaft op de Wmh. Dit betekent dat een fabrikant een boete kan krijgen als hij niet voldoet aan de eisen die in de wet staan. Dat is in de afgelopen jaren enkele keren voorgekomen.

Niet elke app of ander voorbeeld van e-health is een medisch hulpmiddel. Stappentellers en andere gezondheids-apps voor recreatieve doeleinden zijn dit bijvoorbeeld niet. Deze vallen dan ook niet onder het toezicht van IGJ.

Software als medisch hulpmiddel

Een softwareproduct kan een medisch hulpmiddel zijn als het een diagnostische of therapeutische functie heeft. Voor software die onderdeel is van een medisch apparaat is dat vaak duidelijk.

Zo zit in een MRI-scanner, een medisch hulpmiddel voor het maken van foto’s van organen en weefsels, software voor de juiste werking van dit apparaat. Maar software die géén onderdeel is van een medisch apparaat (zogenoemde ‘standalone software’), kan ook een medisch hulpmiddel zijn. Bijvoorbeeld een softwareproduct om de MRI-beelden voor een zorgverlener weer te geven. Of een product dat de medische gegevens van een patiënt gebruikt om een aandoening te ontdekken.

Maar wanneer is software volgens de wet een medisch hulpmiddel? Hoe houdt de inspectie hierop toezicht? In het artikel ‘Medische software doorgelicht’, staat informatie over de ontwikkeling van software als medisch hulpmiddel en het toezicht hierop. Het artikel gaat in op het wettelijk kader en gerelateerde normen, zoals IEC 62304 en ISO 27001. Ook staat er meer in over de belangrijkste bevindingen van de inspectie tot nu toe.

Sinds 2014 treedt de IGJ handhavend op als fabrikanten van software de Wmh overtreden. In de praktijk blijken risico-analyses en klinische evaluatie vaak zwakke punten bij de fabrikanten die we hebben bezocht.

De wetgeving die hierover gaat:

Veilig gebruik

Zorgaanbieders die met e-health werken, hebben ook een eigen verantwoordelijkheid. Ze moeten zorgen dat de inzet van e-health leidt tot goede en veilige zorg. Als wettelijk kader geldt hierbij vooral de Wet kwaliteit klachten en geschillen in de zorg (Wkkgz).

De zorgaanbieder moet een goede inschatting maken van de risico’s van het werken met e-health. Ook moet hij zorgen voor voldoende training  en tijdig onderhoud. De benadering van de inspectie voor het toezicht op e-health sluit aan op die van het Convenant Medische Technologie. De punten waar de inspectie bij e-health op let, zijn opgenomen in het toetsingskader 'Inzet van e-health door zorgaanbieders'.

Veilig gebruik van eHealth

Er zijn meerdere incidenten in de zorg bekend waar software een belangrijke rol had. Uit een recent onderzoek in opdracht van de Nederlandse Vereniging voor Klinische Fysica  blijkt dat problemen die te maken hebben met ICT op de vierde plaats komen in een landelijke inventarisatie Veilig incidenten melden (VIM). In de analyses van het Emergency Care Research Institute (ECRI) komen jaarlijks ICT-risico’s hoog in de top tien. In 2019 stond de kwetsbaarheid voor hackers bijvoorbeeld op de eerste plaats. De bedreigingen van ransomware (gijzelsoftware) zijn regelmatig in het nieuws geweest. Het ECRI is een onafhankelijk Amerikaans instituut dat onder andere onderzoek doet naar patiëntveiligheid.

Verder handelen zorginstellingen bij de aanschaf en ingebruikname van software niet altijd zorgvuldig. Het gaat dan bijvoorbeeld om het duidelijk omschrijven van een programma van eisen, het valideren, het formeel accepteren en vervolgens implementeren van software. Ook het aanbrengen van veiligheidsupdates gebeurt soms te laat.

Tegelijk ontwikkelen de wetgeving en normering zich verder. Denk aan de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg, die in juli 2017 is ingegaan. Voor het verantwoord ontwikkelen en veilig toepassen van telemedicine, een onderdeel van e-health, is bestaat de norm NEN 8028,  die de basis vormde voor de internationale ISO 13131. Deze normen zijn verkrijgbaar bij de NEN.

Vanwege het toenemend belang van digitale zorg is de inspectie in het najaar van 2017 begonnen met een reeks verkennende bezoeken rond het thema e-health. De inspectie bezocht ziekenhuizen, ggz-instellingen en instellingen voor gehandicaptenzorg. Het ging om zorgaanbieders in het hele land, waarvan de inspectie op basis van openbare bronnen wist dat deze actief e-health-producten of diensten inzetten. Dit hoefde niet beslist op grote schaal te gebeuren. Deze eerste inspectiebezoeken waren nog niet in eerste instantie gericht op handhaving. De bevindingen van de eerste tien bezoeken staan in de factsheet 'Verkennend toezicht op e-health bij zorgaanbieders'.

Sinds deze voorverkenning besteedt de inspectie sinds 2018 structureel aandacht aan het thema e-health bij zorginstellingen. Mede op basis van de bevindingen van de eerste bezoeken heeft de inspectie haar toezicht op e-health verder ingericht en het toetsingskader e-health verder vormgegeven. De rapporten van de inspectiebezoeken aan zorgaanbieders staan op de website.

Veilige overdracht van informatie

De handreiking verantwoordelijkheidsverdeling bij samenwerking in de zorg benadrukt dat de betrokken zorgverleners moeten zorgen voor de juiste gegevens. Inzet van ICT kan de communicatie tussen zorgverleners makkelijker maken.

De norm NEN 7512 (informatiebeveiliging in de zorg – vertrouwensbasis voor gegevensuitwisseling) gaat in op de informatieveiligheid bij het gebruik van elektronisch uitwisselen van gegevens.

Over de juiste randvoorwaarden voor elektronische communicatie worden afspraken gemaakt op bestuurlijk niveau in het informatieberaad zorg. Als partijen geautomatiseerde systemen inzetten voor de communicatie, dan zijn namelijk ook afspraken nodig over de terminologie en technische standaarden. Bijvoorbeeld over een minimale kernset van gegevens waarmee de gezondheidstoestand van patiënten is samengevat. Een voorbeeld hiervan is de basisgegevensset zorg. De inspectie ziet de daadwerkelijke invoering van dergelijke initiatieven als een belangrijke randvoorwaarde voor de veilige overdracht van informatie in de zorg.

Het RIVM deed in 2017 onderzoek naar de vraag: ‘Wat kunnen zorginstellingen zélf doen om de elektronische uitwisseling van zorggegevens te regelen die nodig is voor goede en veilige zorg over de grenzen van de eigen instelling heen?’ Daarbij vond het RIVM veel verschillende initiatieven die zich richten op gegevensuitwisseling over de grenzen van de zorginstelling heen. De resultaten laten zien dat er goede mogelijkheden zijn. Wel gaf het RIVM aan dat het ontwikkelen en invoeren van systemen voor elektronische uitwisseling van zorggegevens een kwestie blijft van lange adem.

Informatiebeveiliging

Het afschermen van vertrouwelijke medische patiëntinformatie tegen onbevoegde inzage is een verantwoordelijkheid van de zorg. De onderstaande normen gaan over informatiebeveiliging in de zorg. Ze geven methoden voor het waarborgen van beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Het gaat dan om alle informatie die nodig is om patiënten verantwoorde zorg te kunnen bieden.

  • NEN 7510 – Informatiebeveiliging in de zorg
  • NEN 7512 – Informatiebeveiliging in de zorg – Vertrouwensbasis voor gegevensuitwisseling
  • NEN 7513 – Medische informatica – Logging – Vastleggen van acties op elektronische patiëntdossiers.

De normen zijn opgenomen in het 'Besluit elektronische gegevensverwerking door zorgaanbieders'. De Autoriteit Persoonsgegevens ziet toe op de naleving.

Ook IGJ hanteert deze normen wanneer de kwaliteit van zorg in het geding is als gevolg van het onveilig omgaan met medische persoonsgegevens. Immers, onvoldoende informatiebeveiliging bedreigt niet alleen de privacy van patiënten, maar ook de beschikbaarheid van de informatiesystemen. Zonder die systemen kan de zorg in veel gevallen niet meer onverstoord doorgaan. Bij inspectiebezoeken op het gebied van e-health verwacht de IGJ dat de zorgaanbieder het resultaat kan laten zien van een recente onafhankelijke beoordeling van het managementsysteem voor informatiebeveiliging volgens NEN 7510.

Elektronisch Voorschrijf Systeem (EVS)

De inspectie vindt de inzet van EVS-systemen belangrijk omdat het bijdraagt aan de verbetering van de medicatieveiligheid. EVS biedt tijdens het voorschrijven ondersteuning bij complexe medicatiebeslissingen. Ook voorkomt inzet van EVS fouten die het gevolg zijn van onleesbare recepten. Zie ook meer informatie over het toezicht op elektronisch voorschrijven en medicatieveiligheid.