Datum 14 juni 2010 Ons kenmerk MEVA/ICT-3001560
Voortgangsrapportage elektronisch patiëntendossier eerste kwartaal 2010
Geachte voorzitter,
Met deze brief informeer ik u over de voortgang van de invoering van het landelijk elektronisch patiëntendossier (EPD). In de brief zal ik kort ingaan op de meest in het oog springende zaken met betrekking tot de invoering van het landelijk EPD in het eerste kwartaal van 2010, de technische aspecten rondom het EPD (waaronder informatiebeveiliging) en de voortgang van het wetgevingstraject. Voor meer gedetailleerde informatie verwijs ik u naar de bijlage.
1. Invoering EPD
Voortgang invoering landelijk EPD
In totaal zijn op 31 maart 2010 730 aanbieders aangesloten op het landelijk EPD. Het gaat om 467 apotheken, 52 huisartsenposten, 200 huisartspraktijken en 11 ziekenhuizen.
Het totaal aantal opvraagbare dossiers dat op 31 maart 2010 via het landelijk EPD kon worden geraadpleegd, was 2.506.524.
Onderstaande tabel geeft een cumulatief overzicht van de voortgang van de invoering van het landelijk EPD, d.d. 31 maart 2010. Tweede Derde Vierde Eerste kwartaal kwartaal kwartaal kwartaal 2009 2009 2009 2010 Landelijk aansluitingen 87 336 490 730 Schakelpunt opvraagbare
dossiers 362.486 635.526 1.344.146 2.506.524 EPD raadplegingen 403.024 495.395 670.231 904.152
UZI register abonnees 11.182 13.940 17.060 18.056 UZI-passen 17.316 29.143 36.404 48.037 Servercertificaten 3.073 4.412 5.516 7.095
SBV-Z aansluitingen 5.500 8.186 9.866 10.931 BSN raadplegingen 10.540.126 20.022.268 30.820.076 41.834.777
Pagina 1 van 6
Het aantal burgerservicenummers dat wil zeggen het aantal burgers waarvan Macro Economische EPD-gegevens kunnen worden geraadpleegd via de landelijke infrastructuur is Vraagstukken en Arbeidsvoorwaardenbeleid per eind maart 2010 1.907.531. Deze burgers hebben een persoonlijke brief ontvangen met daarbij informatie over het EPD en over de mogelijkheid tot het maken van bezwaar. Ons kenmerk MEVA/ICT-3001560
De kwalificatie van de ICT-leveranciers is belangrijk voor de aansluiting van zorgaanbieders op het LSP. ICT-leveranciers moeten voldoen aan de eisen die Nictiz stelt voor kwalificatie. Ten opzichte van de vorige voortgangsrapportage is de volgende stijging gerealiseerd:
- Een ICT-leverancier, met 9% marktaandeel onder de huisartsen heeft XIS- typekwalificatie behaald voor het Huisarts informatiesysteem (HIS)
- Een ICT-leverancier, met 4% marktaandeel onder de huisartsenposten is gestart met de kwalificatie voor het Huisartsenpost informatiesysteem (HAPIS)
- Actualisaties van klantenbestanden hebben geresulteerd in kleine wijzigingen in het marktaandeel van ICT-leveranciers.
Onderstaande grafiek laat het marktaandeel zien van ICT-leveranciers die gekwalificeerd zijn en ICT-leveranciers die bezig zijn met kwalificatie per 31 maart 2010.
Marktaandeel ICT-leveranciers 100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
RapportageRapportageRapportageRapportageRapportageRapportageRapportageRapportage Q4 Q1 Q4 Q1 Q4 Q1 Q4 Q1 HIS HAPIS AIS ZIS Gekwalificeerd Bezig met kwalificatie
HIS = Huisarts informatiesysteem
HAPIS = Huisartsenpost informatiesysteem
AIS = Apotheek informatiesysteem
ZIS = Ziekenhuis informatiesysteem
Pagina 2 van 6
Unieke Zorgverlenersidentificatie (UZI) Macro Economische Er waren op 31 maart 2010 in totaal 18.056 abonnees bij het UZI-register. Het Vraagstukken en Arbeidsvoorwaardenbeleid aantal uitgegeven UZI-passen is gestegen tot 48.037.
In de vorige voortgangsrapportage is gemeld dat de normtijd nog niet werd Ons kenmerk MEVA/ICT-3001560 gehaald voor de registratie van abonnee organisatie. Gedurende het eerste kwartaal is de doorlooptijd afgenomen en in de maand maart is de normtijd wel behaald. De doorlooptijden van de overige diensten bij het UZI-register zijn in het eerste kwartaal van 2010 eveneens verder afgenomen en binnen de normtijden gebleven.
Verlenging subsidieregeling LSP
Om zorgaanbieders tegemoet te komen in de kosten die zij moeten maken om zich voor te bereiden op de daadwerkelijke aansluiting op het Landelijk Schakelpunt (LSP) is de Subsidieregeling LSP ingesteld. Zoals in de voortgangsrapportage over het vierde kwartaal van 2009 is gemeld, is deze subsidieregeling verlengd. In een brief zijn alle zorgaanbieders in Nederland die in aanmerking komen voor subsidie (apotheken, huisartspraktijken en huisartsendienstenstructuren) onlangs nog eens geattendeerd op deze verlenging. Subsidie kan worden aangevraagd tot 1 juli 2010. Binnen zes maanden na verlening van de subsidie dienen de betreffende zorgaanbieders aangesloten te zijn op het LSP. Inmiddels is tot en met 31 maart 2010 aan 839 zorgaanbieders subsidie toegekend. Het gaat om een totaalbedrag van 7.355.915.
Sectorale Berichtenvoorziening in de zorg (SBV-Z)
Voor verkrijging en verificatie van het Burgerservicenummer van een patiënt geeft de Sectorale Berichtenvoorziening in de zorg, de SBV-Z, toegang tot de relevante gegevens in de Gemeentelijke Basisadministratie. Het aantal aansluitingen van zorgaanbieders op de SBV-Z is gestegen tot 10.931. Het aantal raadplegingen bij de SBV-Z is het afgelopen kwartaal sterk toegenomen, tot ruim 41 miljoen.
In het eerste kwartaal van 2010 hebben zich vijf verstoringen van de dienstverlening voorgedaan.
Deze verstoringen hebben zich in een korte periode van 4 dagen voorgedaan, waardoor besloten is deze reeks te bestempelen als calamiteit. De oorzaak van de verstoringen zijn onderzocht en aanvullende maatregelen zijn ingeregeld of ingepland om verstoringen in de toekomst te voorkomen. De norm van de beschikbaarheid van 99,8% is in deze periode door de SBV-Z wel gehaald.
Grootschalige indringerstest
Zoals beschreven in bijlage 2 van de voortgangsrapportage elektronisch patiëntendossier van 20 juli 2009, is de grootschalige ketenbrede indringerstest (GKI) opgebouwd uit vijf afzonderlijke onderdelen. Alle onderdelen van de GKI zijn complementair en worden in nauwe samenhang getoetst. Hieronder is de stand van zaken per onderdeel beschreven.
Indringerstest SBV-Z
Zoals gemeld in de voortgangsrapportage van 8 februari 2010 zou de SBV-Z indringerstest in het eerste kwartaal van 2010 uitgevoerd worden als onderdeel van de testen voor de aankomende systeemrelease. Echter, naar aanleiding van het uitstel van de nieuwe SBV-Z release is de indringerstest uitgesteld. Pagina 3 van 6
De SBV-Z indringerstest zal nu, als onderdeel van het testtraject voor de nieuwe Macro Economische SBV-Z release, in het tweede kwartaal van 2010 worden uitgevoerd. Vraagstukken en Arbeidsvoorwaardenbeleid
Indringerstest UZI-register
In de voortgangsrapportage van 8 februari 2010 is gerapporteerd over de Ons kenmerk MEVA/ICT-3001560 succesvolle afronding van de - in december 2009 uitgevoerde - certificeringsaudit bij het UZI-register. Deze test wordt jaarlijks herhaald.
Indringerstest LSP
In de voortgangsrapportage van 10 november 2009 is gerapporteerd over de LSP penetratietest die door een onafhankelijke derde partij is uitgevoerd. Hierbij zijn geen bevindingen van betekenis gedaan. Ook deze test wordt jaarlijks herhaald.
Representatieve steekproeven GBZ
In opdracht van Nictiz zijn in het vierde kwartaal van 2009 Goed Beheerd Zorgsysteem (GBZ)-schouwingen gestart. Hierbij wordt geverifieerd of zorgverleners die zijn aangesloten op het LSP voldoen aan het Programma van Eisen GBZ. Momenteel vindt de afronding van de eerste schouwingen plaats. Bij de bespreking van de definitieve resultaten met de betreffende zorgverleners en (waar van toepassing) ICT-leveranciers worden afspraken gemaakt over de opvolging daarvan. Het betreft aanscherpingen van beheerprocedures en contractafspraken. Er zijn tot op heden geen kritieke bevindingen geconstateerd.
EPD-keten Indringerstest op de Schakelconnecties (EIS) Door middel van de EPD-keten Indringerstest op de Schakelconnecties (EIS) wordt de informatiebeveiliging van de connecties tussen de GBZ-en, de Application Service Providers (ASPs) en de Zorgserviceproviders (ZSPs) getest. De uitvoering van de indringerstesten (selectie testpartijen, steekproefbepaling en opstellen overeenkomsten) wordt op dit moment voorbereid.
Toegang patiënt
Zoals in voorgaande voortgangsrapportage is gemeld werken Nictiz, CIBG, Logius en TNT Post onder regie van VWS aan het op een veilige en gebruiksvriendelijke manier mogelijk maken van elektronische toegang voor de patiënt tot zijn/haar eigen EPD.
De voornoemde opdrachtnemers bouwen nu de ict-systemen die deze dienstverlening mogelijk maakt. Voorbereidende werkzaamheden zijn gestart voor het uitvoeren van een intensief traject van integratietesten en ketentesten tussen ketenpartners in de zorg en gekoppelde externe systemen, zoals de GBA. Een pilot op beperkte schaal, met een beperkte set aan functionaliteit is gepland voor het vierde kwartaal.
2. Techniek
Beveiliging EPD
In NRC Handelsblad van 26 maart 2010 werd bericht over de bevindingen van de heer Van 't Noordende, als onderzoeker verbonden aan de Universiteit van Amsterdam (UvA) met betrekking tot de beveiliging van het EPD. Op basis van deze bevindingen concludeert hij dat het landelijk EPD onvoldoende beveiligd zou zijn en dat basale veiligheidskleppen zouden ontbreken. Pagina 4 van 6
In mijn antwoorden op de Kamervragen hierover van het Kamerlid Koer Kaya Macro Economische (D66) heb ik u op 26 april 2010 over mijn standpunt dienaangaande Vraagstukken en Arbeidsvoorwaardenbeleid geïnformeerd. Daarbij heeft u tevens de formele reactie van het Ministerie van VWS op het onderzoek in bijlage ontvangen.
Ons kenmerk MEVA/ICT-3001560 Ik wil nogmaals benadrukken dat, gezien de gevoeligheid van de uit te wisselen gegevens, zeer hoge eisen zijn gesteld aan de beveiliging van het landelijk EPD en dat ik van mening ben dat het beveiligingsniveau van het landelijk EPD op dit moment adequaat is, gelet op de genomen maatregelen afgewogen tegen de potentiële risico's. Het onderzoek van de UvA zal samen met de resultaten van toekomstige periodieke toetsingen en risicoanalyses worden gebruikt bij de continue evaluatie van de genomen beveiligingsmaatregelen. Wanneer hieruit nieuwe inzichten naar voren komen, zullen aangepaste of aanvullende beveiligingsmaatregelen worden getroffen.
UZI-passen
Toegang tot het LSP is alleen te verkrijgen met een Unieke Zorgverlener Identificatie (UZI)-pas. Het UZI-register koppelt de fysieke identiteit van zorgverleners aan een elektronische identiteit en legt deze vast in certificaten. De certificaten en de hierbij behorende cryptografische sleutels bevinden zich op de UZI-pas. De UZI-pas speelt een rol bij de versleuteling van gegevens en faciliteert identificatie, authenticatie en autorisatie.
Zoals ik in mijn brief van 31 maart 2009 heb aangegeven, zijn verschillende maatregelen getroffen om de in een laboratoriumomgeving geconstateerde kwetsbaarheid in het rekenmechanisme van de chip op de UZI-pas te ondervangen. Zo worden sinds het derde kwartaal van 2009 alleen nog UZI-passen uitgegeven met een modernere chip zonder de geconstateerde kwetsbaarheid. Daarnaast zullen alle eerder uitgegeven UZI-passen met een oude chip niet na 3 maar na 2 jaar worden vervangen. Hiertoe wordt momenteel een versnelde vervangingsoperatie uitgevoerd.
De huidige UZI-passen maken gebruik van het SHA-1 algoritme voor ondertekening van de op de pas aanwezige certificaten. Vanaf het eerste kwartaal van 2011 zullen nieuw uitgegeven UZI-passen gebruik maken van het SHA-2 algoritme als opvolger van SHA-1. Deze passen beschikken tevens over de nieuwe chip. Dit is in lijn met de internationale ontwikkelingen ten aanzien van de levensfase van het SHA-1 algoritme. Waar mogelijk wordt de vervanging van UZI- passen met de oude chip gestroomlijnd met de uitgifte van UZI-passen die gebruik maken van het SHA-2 algoritme.
Reservepas
In de vorige voortgangsrapportages is melding gemaakt van de in ontwikkeling zijnde reservepas. De uitgifte van de reservepassen door het UZI-register aan het zorgveld zal aanvangen in het eerste kwartaal van 2011 om zo de reservepas te stroomlijnen met de uitgifte van UZI-passen die gebruik maken van het SHA-2 algoritme. Hiervoor is gekozen om de periode waarin verschillende technologievarianten van de UZI-pas in het zorgveld operationeel zijn op voorhand zoveel mogelijk te verkorten.
Daarnaast wordt hiermee meer doorlooptijd geboden aan XIS-leveranciers voor het doorvoeren van de reservepasfunctionaliteit binnen de lokale applicaties bij zorgaanbieders. Pagina 5 van 6
Macro Economische Tot slot Vraagstukken en Arbeidsvoorwaardenbeleid
- Op 15 maart is tijdens een eHealth week in aanwezigheid van Eurocommisaris mevrouw Kroes de Barcelona Declaratie "European co- Ons kenmerk MEVA/ICT-3001560 operation on eHealth" aanvaard door de lidstaten van Europa. Deze declaratie borduurt voort op de Raadsconclusies van de EPSCO van 1 december 2009 over veilige en efficiënte gezondheidszorg door eHealth. De Declaratie adresseert de volgende punten: politieke en strategische betrokkenheid; werken aan vertrouwen en acceptatie, wettelijke en ethische duidelijkheid en verzekeren van bescherming van persoonlijke gegevens; oplossingen voor interoperabiliteit en het verbinden van eHealth beleid met concurrentie, innovatie en onderzoek almede met cohesie en inclusiebeleid. In haar speech benadrukte mevrouw Kroes het belang van eHealth, ook voor herstel van de economie. Dit vraagt samenwerking tussen alle stakeholders in de zorgsector. eHealth vormt een integraal onderdeel van Digitale Agenda voor Europe en de EU 2020 strategie, die een dezer dagen wordt gelanceerd. Op de aansluitende persconferentie noemde zij de aanvaarde Declaratie cruciaal en het begin van een nieuw tijdperk. Zonder het omarmen van eHealth loopt de gezondheidszorg vast. Zij gaf aan te willen werken aan grotere politieke coördinatie tussen sectoren waarin eHealth de zorg kan verbeteren met als doel barrières voor de ontwikkeling ervan weg te nemen. Ik ben voornemens met Mevrouw Kroes te overleggen over de afstemming van de nationale en europese agenda.
- Naar aanleiding van het advies van de Raad van State zal ik u in juni het concept Besluit behorende bij het wetsvoorstel toezenden. Daarnaast heb ik het advies van de Raad van State ontvangen ten aanzien van een wijziging van het wetsvoorstel `EPD' betreffende de strafrechtelijk sanctie met betrekking tot misbruik van het EPD en de melding dat een dossier onvolledig is. Ik bestudeer dit advies en zal vervolgens het nader rapport opstellen. Wanneer het advies van de Raad van State is verwerkt zal deze wijziging aan u worden toegezonden.
Hoogachtend,
de Minister van Volksgezondheid,
Welzijn en Sport,
dr. A. Klink
Pagina 6 van 6
---- --