Hoe privé zijn online medische dossiers?
Wie krijgt inzage in online medische gegevens?
Het is 10 uur 's morgens. Weet u waar uw medische gegevens zijn? Dat is een vraag die veel mensen zorgen baart. Wat als de baas te weten komt over dat psychisch probleem waarvoor je behandeld bent? Of stel dat de levensverzekeringsmaatschappij komt rondsnuffelen om te zien of u de maandelijkse premies over een paar jaar wel kunt opbrengen. Misschien is uw cholesterol hoger dan u zou willen, maar wilt u niet dat uw familie u verplicht om geen cheeseburgers meer te eten.
Of misschien ontdekt uw bedrijf dat er een genetische tijdbom in u tikt - een zeldzame ziekte die ernstige gezondheidsproblemen kan veroorzaken en de kosten van de ziektekostenverzekering van uw bedrijf de pan uit kan doen rijzen. Klinkt dat als een paranoïde nachtmerrie? Niet voor Terri Sergeant. In 1999 werd Sergeant, een kantoormanager voor een verzekeringsmakelaar in South Carolina, ontslagen toen uit een genetische test bleek dat ze een erfelijke ademhalingsziekte had die bekend staat als alfa-1-antitrypsine-deficiëntie. De ziekte, die fataal kan zijn als zij niet wordt opgespoord of behandeld, wordt veroorzaakt door een tekort aan een eiwit dat de longcellen beschermt tegen infecties ten gevolge van ontstekingen. De aandoening kan doeltreffend worden behandeld met wekelijkse intraveneuze infusies van het ontbrekende eiwit, maar de behandeling is kostbaar en langdurig.
Het zijn de "dure" en "langdurige" onderdelen die Sergeant haar baan lijken te hebben gekost. Maar de wet stond tenminste aan haar kant: Sergeant kreeg onlangs een schadevergoeding toegekend van de Equal Employment Opportunity Commission (EEOC), die oordeelde dat ze was gediscrimineerd op grond van de kosten van de zorg.
Sergeant was ook niet de enige: Toen wijlen sociaal wetenschapper Dorothy C. Wertz, PhD, van de University of Massachusetts Medical Center in Worcester, Mass, in 1999 een onderzoek instelde onder Amerikaanse professionals in de genetica, vond zij 693 gerapporteerde gevallen waarin patiënten of hun familieleden levensverzekeringen of werk was geweigerd op grond van hun genetische status, zelfs wanneer zij geen ziektesymptomen vertoonden.
Audits welkom?
Meldingen zoals deze, hoewel nog steeds ongewoon, doen belangrijke vragen rijzen over wat er gebeurt wanneer gevoelige medische informatie in verkeerde handen terechtkomt. Veel ziekenhuizen hebben nu geautomatiseerde systemen die iedereen met een computerterminal en het juiste wachtwoord of de juiste autorisatiecode toegang geven tot medische dossiers. Enkele ziekenhuizen bieden patiënten zelfs online toegang tot volledige medische dossiers.
"Het delen van persoonlijke medische en gezondheidsinformatie via het internet vereist een zekere sprong in het duister -- of op zijn minst een sterk gevoel van privacy en vertrouwen," erkennen de auteurs van een Pew Internet and American Life Project-rapport over online gezondheidsinformatie. Op de vraag of hij ooit gezondheidsinformatie zou delen met iemand die hij online heeft "ontmoet", antwoordde een respondent van een Pew-enquête: "ABSOLUUT NIET. Ik zou het niet durven. Je weet niet met wie je praat."
Wat weerhoudt een hacker ervan in te breken in een van deze systemen om persoonlijke informatie te stelen (zoals sofi-nummers of andere persoonlijke gegevens)? En zelfs als je een systeem hebt dat moeilijker elektronisch te kraken is dan Fort Knox met een pikhouweel en een schop, hoe weet je dan wie er naar je privégegevens heeft gekeken?
"Ik denk dat het belangrijk is om te begrijpen dat je met een papieren dossier geen idee hebt wie er in je dossier kijkt," zegt Daniel Z. Sands, MD, MPH, professor in de geneeskunde aan de Harvard Medical School en architect voor de integratie van klinische systemen aan het Beth Israel Deaconess Medical Center in Boston.
"Met een elektronisch dossier kun je een audit trail hebben van wie er naar je dossier kijkt, en ik denk dat dat heel belangrijk is. Er is zeker een zeker risico verbonden aan elektronische dossiers, en misschien omdat ze toegankelijker zijn, is er een groter risico dan met papieren dossiers," vertelt Sands aan de dokter.
Passende toegang
"Dat gezegd zijnde, niemand is ooit gestorven door het ongepast vrijgeven van een medisch dossier, maar er zijn genoeg mensen gestorven omdat mensen geen toegang kregen tot die informatie. Ik denk dat we een evenwicht moeten vinden tussen de veiligheid en bescherming van die informatie en de toegang tot die informatie."
Veel mensen delen vrijwillig een aantal van hun meest gevoelige persoonlijke gegevens met webwinkels, zoals creditcardnummers en vervaldata, bankrekeningen, koopvoorkeuren, adressen, telefoonnummers en zelfs socialezekerheidsgegevens. Waarom zou medische informatie niet op dezelfde manier beschikbaar zijn, zolang de patiënt de toegang tot die informatie maar kan controleren?
"Ik ontmoet mensen die vreselijk bang zijn voor al het potentieel," zegt Steven Schwaitzberg, MD, directeur van het Minimaal Invasieve Chirurgie Centrum van Tufts-New England en universitair hoofddocent chirurgie aan de Tufts University School of Medicine in Boston. "Ze zijn erg bang voor de inbreuk op hun privacy en eisen controle over de informatie."
Hij wijst op ontwikkelingen zoals de zogenaamde radiofrequentie-identificatie, of RFID-technologie, die momenteel wordt ontwikkeld door het MIT en andere technologiecentra, waarbij minuscule radiozend-chips kunnen worden ingegraven in alles, van goederen op het schap van de supermarkt tot de kleding op uw rug. Een soortgelijke technologie, waarbij gebruik wordt gemaakt van netvliesscans, was te zien in de sciencefictionthriller Minority Report van Stephen Spielberg.
"RFID zou de communicatie drastisch kunnen verbeteren, maar de mensen zijn bang om te worden getagd, in de gaten te worden gehouden en telbaar te zijn", zegt Schwaitzberg tegen Arts.
Toch, zegt hij, "kopen miljoenen Amerikanen op dit moment iets online. Amerikanen lijken blij te zijn om informatie over zichzelf af te staan, en toch is er een zeer sterke groep mensen die zich grote zorgen maakt."
Schwaitzberg en anderen die voorstander zijn van online gezondheidsdossiers zeggen dat veel van die angsten kunnen worden weggenomen door een goed ontworpen systeem met checks and balances. Patiënten zouden bijvoorbeeld een persoonlijk identificatienummer, of PIN-code, kunnen gebruiken om toegang te krijgen tot een elektronisch medisch dossier, en dit kunnen delen met artsen of andere zorgverleners die de informatie nodig hebben, en vervolgens de code kunnen veranderen om de privacy te waarborgen wanneer dat nodig is.
Op die manier kan iemand die gewond of ziek wordt terwijl hij reist, onmiddellijk toegang krijgen tot gezondheidsdossiers van plaatselijke artsen.
Een grotere belemmering voor de informatiestroom is volgens Schwaitzberg de huidige mengelmoes van incompatibele informatiesystemen, waarvan vele zijn ontworpen voor gebruik in een specifiek ziekenhuis of een groep gezondheidscentra.
Gegevens te koop?
Als u één van die mensen bent die zich zorgen maakt dat zorgverleners in de verleiding zullen komen om uw privé medische informatie te verkopen aan de hoogste bieder, moet u weten dat ziekenhuizen een nog sterkere prikkel hebben om die informatie achter slot en grendel te houden. Die stimulans heet HIPAA, voor de tweepartijdige Health Insurance Portability and Accountability Act, ook bekend als de Kennedy-Kassebaum Act van 1996.
De wet is bedoeld om het gebruik van elektronische transacties in de gezondheidszorg aan te moedigen en tegelijkertijd de veiligheid en vertrouwelijkheid van gezondheidsinformatie te waarborgen. Volgens het U.S. Department of Health and Human Services zijn de meeste ziektekostenverzekeraars, apotheken, artsen en andere zorgverleners verplicht de normen na te leven.
De HIPAA-regels worden onder meer geacht te garanderen:
-
Patiënten toegang tot kopieën van hun medische dossiers binnen 30 dagen na aanvraag voor identificatie van fouten en vergissingen de dossiers.
-
Kennisgeving van hoe persoonlijke gezondheidsinformatie kan worden gebruikt, en het recht om het gebruik van die informatie te beperken, alsook de beperkingen die aan de aanbieders worden opgelegd. Volgens de regels moeten patiënten specifieke toestemming geven voor het vrijgeven van dossiers aan externe entiteiten zoals levensverzekeraars, banken, marketingbedrijven of andere bedrijven.
-
Verbod op het delen van patiënteninformatie door apotheken, gezondheidsplannen en anderen met marketingbedrijven zonder de uitdrukkelijke toestemming van de patiënt.
Om de maatregel kracht bij te zetten, heeft het Congres civiel- en strafrechtelijke sancties vastgesteld voor personen of groepen die misbruik maken van persoonlijke gezondheidsinformatie. Schendingen van de burgerrechten van patiënten worden bestraft met boetes tot 100 dollar per schending met een maximum van 25.000 dollar per jaar.
"Strafrechtelijke sancties zijn van toepassing op bepaalde handelingen zoals het bewust verkrijgen van beschermde gezondheidsinformatie in strijd met de wet. Strafrechtelijke sancties kunnen oplopen tot 50.000 dollar en één jaar gevangenisstraf voor bepaalde overtredingen; tot 100.000 dollar en maximaal vijf jaar gevangenisstraf als de overtredingen zijn begaan onder 'valse voorwendselen'; en tot 250.000 dollar en maximaal tien jaar gevangenisstraf als de overtredingen zijn begaan met het oogmerk beschermde gezondheidsinformatie te verkopen, over te dragen of te gebruiken voor commercieel voordeel, persoonlijk gewin of kwaadwillige schade," aldus een informatieblad dat is gepubliceerd door het HHS Office of Civil Rights.
Zullen al deze maatregelen de privacy van patiënten beschermen? Misschien. Maar hoe dan ook, privacy is al lang een onzeker goed in het Amerikaanse leven. Zoals de Ierse toneelschrijver en auteur George Bernard Shaw in 1933 voor een publiek in New York zei, lang voordat er zelfs maar van het internet werd gedroomd: "Een Amerikaan heeft geen gevoel voor privacy. Hij weet niet wat het betekent. Zoiets bestaat niet in dit land."
Oorspronkelijk gepubliceerd: September 2003
