Ron Roozendaal

De kop is schreeuwerig, dat realiseer ik me. Maar het komt omdat nieuw onderzoek doet schrikken. In ziekenhuizen die vanwege bijvoorbeeld een cyberaanval meer aandacht geven aan informatieveiligheid, gaan meer mensen dood aan een acuut hartinfact.

On average, a data breach at a nonfederal acute-care inpatient hospital was associated with an additional 23-36 deaths per 10.000 acute myocardial infarction discharges per year

De onderzoekers constateren dat de tijd van binnenkomst tot aan een gemaakt ECG steeg en dat verschil bleef jaren bestaan.

Time from door to ECG significantly increased after a breach and the elevated time to ECG persisted at 4 years after the breach

De tijd tot aan handelen, dat weten we uit onderzoek, is bepalend voor de uitkomsten bij dit soort klachten.

Timely evaluation and treatment of ST-segment elevation myo-cardial infarction (STEMI) have been associated with better pa-tient outcomes. The American Heart Association/American College of Cardiology (AHA/ACC) guideline recommends a time to ECG of < 10 minutes for STEMI patients, because exceeding this threshold results in worse outcomes. The prolonged time to ECG after the breach is a potential mediator for the increased AMI mor-tality rate after the breach

Hoe kan het nu dat na een cyberaanval de tijd die nodig is stijgt? Ook daar hebben de onderzoekers een beeld over.

Remediation efforts after a data breach vary depending on the type of breach and perceived weaknesses to a repeat attack. However, common approaches include additional verification layers during sign-on, shortened inactivity periods to automatic sign-out, and additional acknowledgment steps that delay the access to pa-tient data and may lead to inefficiencies or delays in care. Especially in the case of a patient with chest pain arriving in the emergency department, any delay in registering the patient and accessing the patient's record will lead to delay in ordering and executing the ECG. With every minute delay affecting mortality, delays in access to the electronic health record may prove detrimental

Maatregelen om informatieveiligheid te vergroten kunnen dus impact hebben op patiëntveiligheid. En dat zet aan het denken. Want we vinden als het gaat om medische gegevens bijvoorbeeld twee-factor authenticatie vanzelfsprekend voor veilig inloggen. Terwijl dat dus, in sommige omstandigheden, de patiëntveiligheid kan verlagen.

Security typically adds inconvenience by design—making it more in-convenient for the adversary. For example, stricter authentication methods, such as passwords with two-factor authentication, are additional steps that slow down workflow in exchange for added security. Lost passwords and account lockouts are nuisances that may disrupt workflow. The persistence in the longer time to ECG suggests a permanent increase in time requirement due to stronger security measures

Ik schrok van de cijfers. De balans tussen informatieveiligheid en patiëntveiligheid vraagt om aandacht. Welke goede voorbeelden kennen jullie?

Huisartsen verwijzen hun patiënten met regelmaat naar (een specialist in) een ziekenhuis. Ze blijven daarbij betrokken bij de behandeling. Die betrokkenheid kan bijvoorbeeld worden vormgegeven door toegang tot (alleen de) voor hen relevante informatie van hun eigen patiënten in een EPD bij een ziekenhuis. De vraag wordt vaak gesteld of daar aparte toestemming van patiënten voor nodig is.

Of die aparte toestemming van patiënten nodig is, hangt af van de vraag of gebruik wordt gemaakt van een elektronisch uitwisselingsysteem. In de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (de Wabvpz) is daarvan een definitie opgenomen: “een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder, voor het bijhouden van een elektronisch dossier”.

De wetgever heeft aan het gebruik van dit soort systemen nadere eisen gesteld. Dit omdat anders dan met zogenaamd “push-verkeer” gegevens over de gezondheid raadpleegbaar worden gemaakt, zonder dat de zorgaanbieder (op wie het medisch beroepsgeheim rust) nog directe controle heeft over de raadplegingen door andere zorgaanbieders. Voor het beschikbaar stellen van gegevens via een dergelijk elektronisch uitwisselingssysteem is uitdrukkelijke toestemming van de patiënt nodig.

De uitdrukkelijke toestemming die op grond van de Wabvpz is vereist voor het raadpleegbaar maken van gegeven via een elektronisch uitwisselingssysteem, is ook in lijn met de eisen die de AVG stelt aan de verwerking van gegevens over de gezondheid. Gelet op de AVG is een opt-out regeling voor het gebruik van elektronische uitwisselingssystemen dan ook niet toegestaan.

Of toegang van huisartsen tot een zorgverlenersportaal van een ziekenhuis moet worden aangemerkt als een elektronisch uitwisselingssysteem hangt af van de concrete inrichting van dit portaal. Bij de behandeling van de Wabvpz is aangegeven dat het gebruik van een portal waarmee bijvoorbeeld door middel van een inlogcode alleen de eigen huisarts gegevens als lab-uitslagen en specialistenbrieven kan ophalen, feitelijk eenzelfde situatie oplevert als bij push-verkeer die valt onder de veronderstelde toestemming op grond van de Wet op de geneeskundige behandelingsovereenkomst. Als een zorgverlenersportaal langs die lijn is ingericht, kan uitdrukkelijke toestemming op grond van artikel 15a van de Wabvpz achterwege blijven. Dan immers houdt de zorgaanbieder controle over wie er toegang heeft tot welke informatie.

Kortom: het is de inrichting die bepalend is of aparte toestemming nodig is.

Gisteren schreef ik een persoonlijke blog over de reden van mijn inzet voor privacy en vertrouwelijkheid bij gegevensuitwisseling. Onbedoeld was het ook een bewijs voor de Wet van Godwin, maar dat terzijde.

Voor mij is privacy geen reden om nooit gegevens uit te wisselen. In tegendeel: voor mij gaan privacy en gegevensuitwisseling hand in hand. Ook in de zorg. Juist door aandacht voor de bescherming van gegevens ontstaat het vertrouwen dat nodig is om goede zorg te leveren en de informatie uit te wisselen die daarvoor nodig is. Tussen zorgprofessionals en hun patiënten, en tussen zorgprofessionals onderling.

Voor het tijdperk van Internet ging die communicatie via de telefoon, de fax of de post. Op papier maar ook op USB-sticks, CD-ROMS en DVD’s. Dat is niet altijd veilig. Met het briefgeheim hebben we bijvoorbeeld wel organisatorisch geregeld dat de postbode niet in de per brief verstuurde gegevens mag kijken, maar technisch onmogelijk is het niet. Een mesje is voldoende om de envelop te openen en de medische gegevens te lezen. En USB-sticks kunnen worden verloren.

Digitalisering maakt meer beveiliging en aandacht voor privacy niet alleen mogelijk. Het is door de toegenomen massaliteit ook nodig. Ik kreeg van meerdere kanten een reactie op een persoonlijke mening (al mijn blogs zijn persoonlijke mening trouwens) in een recente blog over dubbele toestemming. Ik schreef:

Het zou overigens, om veel redenen, wat mij betreft goed zijn als er zo weinig mogelijk van dergelijke indexen buiten instellingen zelf zouden zijn.

Eén van de redenen waarom ik dit vind is dus privacy. Het lijkt zo makkelijk: een index van organisaties die gegevens over mij hebben. Maar als dat niet nodig is, dan zou ik dat niet erg vinden. Want een index die zegt dat een “mannenkliniek voor prostaataandoeningen” iets van mij weet, of een “instelling voor GGZ-hulp”, dat is geen onschuldige informatie. Soms ontkom je daar niet aan, maar als het met nieuwe technieken mogelijk is zonder, dan liever zonder.

Daarom ook vind ik het helemaal niet zo gek dat er onderzoek komt naar de technische (on)mogelijkheden van “end-to-end-encryptie” in digitale uitwisseling in de zorg. Want waar bij de post briefgeheim nodig is als organisatorische maatregel, kan de beveiliging van elektronische gegevensuitwisseling misschien uiteindelijk wel zo dat niemand anders dan zender en ontvanger de medische gegevens kunnen lezen. Ik snap best dat dat niet zomaar voor alles geregeld is en dat de huidige technieken dat niet altijd mogelijk maken. En ik snap ook best dat het misschien niet altijd en overal zal kunnen. Maar dat neemt niet weg dat ik vind dat het onze gezamenlijke opgave is om de vertrouwelijkheid tussen dokter en patiënt ook technisch te borgen waar het kan. Alle technische voorstellen om dat stap voor stap voor elkaar te krijgen zijn welkom. Juist omdat vertrouwen in de uitwisseling van gegevens en privacy hand in hand gaan.

“Het verwerken van medische informatie is in beginsel verboden”. Deze zin is opgenomen in de tweede brief over elektronische gegevensuitwisseling in de zorg die recent aan de Tweede Kamer gezonden is. Patiënt en zorgverlener moeten uit kunnen gaan van vertrouwelijkheid. Tegelijkertijd: zonder de juiste informatie kan een medebehandelaar niet de juiste zorg leveren. Daarom zijn er ook uitzonderingen op de regel dat gegevens niet mogen uitgewisseld met anderen. Expliciete toestemming van de betrokken patiënt is de meest voor de hand liggende.

Maar er zijn ook situaties dat die toestemming mag worden aangenomen en niet expliciet hoeft te worden gevraagd. Zo is expliciete toestemming niet nodig voor acute zorg aan iemand die niet in staat is om toestemming te geven (iemand die buiten bewustzijn is, bijvoorbeeld). Ook het verstrekken van benodigde informatie aan medebehandelaars en aan vervangers van behandelaars is zo’n uitzondering. Dat is ook wel zo prettig. Want wie in een ziekenhuis wordt opgenomen, bijvoorbeeld, heeft te maken met tientallen verpleegkundigen (in ploegendienst) en meerdere artsen. Die mogen allemaal de informatie kennen die ze nodig hebben om de goede zorg te kunnen bieden, zonder dat je ’s nachts wakker gemaakt hoeft te worden om die toestemming te geven aan een nieuwe verpleegkundige.

Om zeker te stellen dat informatie niet wordt ingezien door mensen die niet bij de behandeling betrokken zijn moet toegang worden gelogd. Die logbestanden worden bekeken en bij misbruik worden maatregelen genomen. Zorgprofessionals weten dat en gaan er in de regel precies mee om. Het is immers, ook, het zonder grond doorbreken van beroepsgeheim.

Voor elektronische uitwisseling tussen instellingen is een extra toestemming nodig. Die toestemming is ontstaan in 2011, toen de betrokkenheid van de overheid bij elektronische gegevensuitwisseling tussen instellingen werd gestopt. De tweede toestemming is nodig voor “het beschikbaar stellen van gegevens voor derden”. Dat betekent dat, bijvoorbeeld, een ziekenhuis van een patiënt toestemming moet hebben voordat informatie beschikbaar mag zijn voor ophalen door andere instellingen. Ook als die andere instelling er vanwege betrokkenheid bij de behandeling over mag beschikken.

Stel dat je wordt verwezen voor chemotherapie naar een ander ziekenhuis. Dan mag de verzendende dokter wel de gegevens elektronisch verzenden. Maar de gegevens elektronisch ophalen door het tweede ziekenhuis, dat mag alleen met expliciete toestemming. Want alleen dan is die informatie beschikbaar.

Die tweede toestemming is om meerdere redenen geïntroduceerd. Het is een extra barrière voor het zonder toestemming gegevens inzien. En er is ook een technische reden. In veel gevallen wordt namelijk om te weten welke instelling over gegevens van iemand beschikt een aparte “index” bijgehouden. Dat een instelling iets van je weet is ook al gevoelige informatie, zeker als die index buiten de instelling zelf wordt bijgehouden. Voor opname in zo’n index buiten de instelling zelf is toestemming nodig (ook op grond van vroeger de WBP en nu AVG). Het zou overigens, om veel redenen, wat mij betreft goed zijn als er zo weinig mogelijk van dergelijke indexen buiten instellingen zelf zouden zijn.

Die tweede toestemming maakt dat als we in de zorg overgaan van papier naar digitaal, er minder informatie beschikbaar is. Er zijn dan in feite twee toestemmingen. De eerste toestemming voor het doorbreken van beroepsgeheim, waarop uitzonderingen zijn zoals betrokkenheid bij de behandeling en acute zorg. En de tweede toestemming voor elektronische gegevensuitwisseling waarop geen enkele uitzondering is.

Die tweede toestemming wordt tegen het licht gehouden, zo staat in de genoemde brief. Een aantal mensen reageerde naar mij met de zorg dat privacy te grabbel wordt gegooid. Ik begrijp die zorg. Maar als de tweede toestemming niet zou bestaan, is de eerste er nog wel. En die is voor zorgverleners heel precies. Wie zonder grond beroepsgeheim doorbreekt kan rekenen op maatregelen. Tuchtrechtelijk, maar bijvoorbeeld ook in sommige gevallen ontslag. Daarom gaan – de meeste – zorgprofessionals zo precies om met gegevensdeling.

Het zou wel goed zijn als die gegevensdeling transparant zou zijn. Daarom is in de normen voor logging van toegang tot medische gegevens opgenomen dat deze inzichtelijk moeten zijn voor patiënten. Ik zou dat wel tof vinden: een signaal in mijn MedMij-gecertificeerde Persoonlijke Gezondheidsomgeving dat iemand toegang heeft gehad tot mijn gegevens. Die balans, tussen toegang indien nodig voor behandeling en tegelijkertijd inzicht in logging voor patiënten, vind ik persoonlijk de moeite waard om te onderzoeken.

Met nog steeds bescherming van de privacy voorop. Want privacy en gegevensdeling kunnen - en moeten wat mij betreft - samen gaan.

Zelfs een eenvoudige website als deze wordt met regelmaat digitaal aangevallen. Vanuit allerlei landen. Interessante statistiek van het aantal aanvallen uit elk land:

1590 China

1286 United States

897 France

368 India

302 Brazil

275 Germany

261 Canada

256 Korea, Republic of

202 Indonesia

192 United Kingdom

188 Italy

167 Netherlands

166 Vietnam

144 Singapore

124 Ukraine

119 Colombia

104 Russian Federation

104 Mexico

101 Greece

99 Thailand

95 Poland

84 Argentina

64 Japan

60 Spain

52 Taiwan

52 Chile

49 Bulgaria

43 Address not found

42 Sweden

38 Philippines

35 Romania

34 Turkey

34 Kazakhstan

34 Australia

32 Hong Kong

32 Czech Republic

30 South Africa

27 Hungary

26 Iran, Islamic Republic of

26 Denmark

24 Bangladesh

24 Austria

22 Peru

22 Paraguay

22 Bolivia

20 Ecuador

18 Venezuela

18 Ireland

16 Malaysia

16 Kenya

16 Israel

16 Belgium

14 Switzerland

14 Portugal

14 Latvia

14 Egypt

12 Tanzania, United Republic of

12 Panama

12 Norway

12 Lithuania

12 Dominican Republic

10 Uganda

10 Slovakia

10 Senegal

10 Nigeria

10 Nepal

10 Martinique

10 Croatia

8 United Arab Emirates

8 Sri Lanka

8 Ghana

8 Belarus

6 Zambia

6 Uruguay

6 Seychelles

6 Puerto Rico

6 New Zealand

6 Kuwait

6 Ethiopia

6 Costa Rica

6 Asia/Pacific Region

6 Algeria

4 Zimbabwe

4 Uzbekistan

4 Tunisia

4 Qatar

4 Pakistan

4 New Caledonia

4 Morocco

4 Mongolia

4 Mauritius

4 Macau

4 Luxembourg

4 Libya

4 Botswana

4 Albania

2 Virgin Islands, British

2 Trinidad and Tobago

2 Sudan

2 Somalia

2 Serbia

2 Saudi Arabia

2 Saint Kitts and Nevis

2 Saint Barthelemy

2 Rwanda

2 Myanmar

2 Montenegro

2 Moldova, Republic of

2 Malawi

2 Macedonia

2 Lebanon

2 Kyrgyzstan

2 Jordan

2 Guyana

2 Guatemala

2 Gibraltar

2 Gabon

2 Finland

2 Europe

2 Equatorial Guinea

2 Cote D’Ivoire

2 Congo

2 Cayman Islands

2 Cape Verde

2 Cameroon

2 Burundi

2 Benin

2 Bahrain

2 Bahamas

2 Azerbaijan

2 Armenia

2 Afghanistan

1 Brunei Darussalam

1 Belize

Afgelopen week was ik een paar dagen in India. Dat klinkt vreemd: werken aan betere informatievoorziening voor mensen en zorgprofessionals in Nederland en dan zo ver weg gaan. Toch is het niet zo gek. Wij waren er omdat we lid zijn geworden van de “Global Digital Health Partnership”. Een groep van overheden uit allerlei landen, gestart door Australië, die samen concrete dingen oppakken waar al die landen beter van worden. Wij waren er vooral vanwege twee onderwerpen: informatieveiligheid en standaarden voor gegevensuitwisseling in de zorg.

Beide onderwerpen hebben één ding gemeen: ze stoppen niet aan de landsgrenzen en samenwerking helpt. Informatieveiligheid is daarvan een goed voorbeeld. Aanvallen op zorginstellingen om medische informatie te krijgen zijn er overal. Denk aan het computervirus dat vorig jaar zorgde dat operaties in Engeland niet konden plaatsvinden. Omdat Engeland eerder wakker wordt dan de Verenigde Staten konden de Britten op tijd uitzoeken wat er gebeurde en de Amerikanen waarschuwen. Het delen van informatie over dit soort dingen heeft dus echt zin. Dat gaan we dus met een aantal landen gaan doen. Landen in allerlei tijdzones, zodat we elkaar echt kunnen helpen.

Als het gaat om standaarden voor uitwisseling van informatie is er eigenlijk hetzelfde aan de hand. Veel leveranciers in de zorg werken wereldwijd. De data in hun systemen is er vaak niet zomaar uit te halen. Dat moet anders, want voor goede zorg is informatie-uitwisseling noodzakelijk. Het helpt als een groep landen samen tegen de industrie zegt welke standaarden ze eisen. Dan worden die standaarden ingebouwd en kan informatie stromen tussen professionals en met patiënten. En dat is wat we gaan doen. Zodat ook de versnelde digitalisering in de Nederlandse zorg er baat bij heeft.

Daarom is internationaal samenwerken niet zo gek. Het heeft duidelijke voordelen voor de zorg in Nederland. Want dat is waar het mij om gaat: werken voor betere informatievoorziening voor mensen en zorgprofessionals, voor de juiste zorg op de juiste plek.

Soms weet ik als ik begin met schrijven: daar komt gedoe van. Zeker op sociale media, want iets moeten zeggen in een paar woorden polariseert gemakkelijk. De afgelopen dagen bijvoorbeeld, over de naderende verplichting voor zorgverleners om hun BIG-registratienummer te vermelden. Want hoe makkelijk is het om de zoveelste paarse krokodil in die verplichting te zien? Ik ga er niet over, maar ken wel de geschiedenis. En die noopt tot iets meer nuance in het gesprek.

Als het een paarse krokodil is dan is het er één die een veel donkerpaarsere krokodil voorkomen heeft. Bij de eerste evaluatie van de Wet BIG, in 2002, werd verplichte registratie van het werkadres voor het eerst als voorstel genoemd. In 2007 werd, in de begrotingsbehandeling van het ministerie van VWS, ook door de Tweede Kamer gevraagd om verplichte vermelding van het werkadres van zorgverleners in het BIG-register. Zodat patiënten hun zorgverlener makkelijk konden opzoeken. Want dat was de bedoeling: makkelijk kunnen opzoeken of iemand inderdaad geregistreerd is.

Dat is best een lastige vraag. Je zal maar ambulance verpleegkundige zijn, online diensten verlenen of als huisarts onverwacht ergens waarnemen. Dat werkadres, dat is best een lastig gegeven. Nogal donkerpaarse krokodil om dat elke keer te moeten aanvullen.

De Tweede Kamer vond dat ook, zo blijkt bijvoorbeeld uit deze passage:

Onder het kopje «Beroepenregulering: wettelijke plicht tot vermelding van het BIG-nummer» lezen de leden van de CDA-fractie dat de Minister voornemens is een verplichting in te voeren tot vermelding van het werkadres in het BIG-register. Deze leden vragen hoe de Minister om wil gaan met beroepsbeoefenaren die geen vast werkadres hebben, zoals zzp’ers.

Uiteindelijk werd daar iets anders voor bedacht. Het lijkt op iets dat ook ondernemers met en zonder vast werkadres kennen. Zij moeten verplicht op sommige uitingen hun kvk-nummer vermelden. Handig voor als je wilt weten of een bedrijf in surseance is, bijvoorbeeld. Dat KVK-nummer moet onder andere op brieven, websites, facturen en in mailberichten vermeld worden. Dat is ook voor zorgverleners misschien slimmer dan je werkadres verplicht moeten bijhouden, was de gedachte. Onder meer opgeschreven in deze brief :

Al bij de tweede evaluatie van de Wet BIG in 2007 werd aanbevolen om in het BIG-register het werkadres van beroepsbeoefenaren beter geregistreerd te krijgen en registratie te verplichten. Dit zou leiden tot meer transparantie voor patiënten. Implementatie van een dergelijke registratie bleek complex. Beroepsbeoefenaren werken vaak op verschillende locaties, wisselen van werk, werken tijdelijk ergens anders, vallen in voor een andere beroepsbeoefenaar of hebben, als ze online diensten verlenen, niet een fysiek werkadres waar ze cliënten te woord staan. Om een complexe (ICT-)registratie te voorkomen en administratieve lasten te reduceren heb ik daarom in 2015 een alternatief geformuleerd, namelijk het verplicht stellen dat BIG-geregistreerden het BIG-nummer vermelden in uitingen als websites en facturen.

Ik hoop dat, ook op dit onderwerp, we online en offline komen tot een gesprek in plaats van een gepolariseerd debat. Een gesprek over de bedoeling, en de manier om die zo goed mogelijk te realiseren. Want uiteindelijk draait alles om gedragen en bij de bedoeling passende werkbare uitvoering.

Binnenkort kan iedereen die dat wil beschikken over alle eigen medische informatie in een eigen Persoonlijke Gezondheidsomgeving (PGO). Nederland loopt daarin voorop. Niet (alleen) omdat we met gebruik van internationale standaarden medische informatie uit de eerste lijn, ziekenhuizen, GGZ, langdurige zorginstellingen en alle andere sectoren beschikbaar stellen aan mensen zelf. Ook omdat MedMij goede waarborgen biedt voor mensen dat die informatie in een PGO veilig is en niet zal worden misbruikt.

In de eerste fase, ik noem het maar even MedMij 1.0, gaat het vooral om eenrichtingsverkeer. Mensen die dat willen kunnen in een eigen omgeving (een app bijvoorbeeld) beschikken over alle informatie waarover ook hun zorgverleners beschikken. Dat is al grote winst, want een gelijke informatiepositie versterkt ook de eigen regie op gezondheid. In MedMij 2.0, zo noem ik het maar voor het gemak, kan dat ook twee kanten op. Door zelfmetingen te melden aan de eigen arts, bijvoorbeeld.

Het meest interessant vind ik de stap daarna. Als zorg op afstand gewoon onderdeel van goede zorg is geworden (lees mijn oproep om dat te gaan doen). Als de informatie die nodig is voor die zorg op afstand ook is gestandaardiseerd. Want daar kunnen PGO’s iets mee.

Want stel je voor: de veldnorm voor hartfalen strekt zich ook uit tot informatie die wordt uitgewisseld met de patiënt. En stel je voor dat PGO’s die informatiestandaarden en ook de uitwisseling met de bewaking vanuit het ziekenhuis kunnen inbouwen. Dan ontstaat MedMij 3.0. Met zelfmeting door patiënten en bewaking en advies op afstand door dokters en verpleegkundigen. Door die standaardisatie is het ook nog eens makkelijker voor de betrokken zorgprofessionals. Het maakt niet uit welk PGO iemand gebruikt, je hoeft niet precies te weten hoe elk PGO werkt: je weet welke informatie je kunt verwachten.

Ik ben nieuwsgierig hoe snel dit werkelijkheid wordt!

Iedereen betrokken bij de digitale zorg kent de goede voorbeelden. Het UMC Utrecht begeleidt zwangere vrouwen met hoge bloeddruk door zelfmeting op afstand. Het Isala in Zwolle begeleidt trombosepatiënten op afstand. In Doetinchem worden mensen met COPD op afstand begeleid. In al dit soort voorbeelden zijn patiënten en dokters blij: het aantal ziekenhuisbezoeken neemt af, de begeleiding is intensiever en op het moment dat het nodig is zit je juist wel bij je dokter. Iedereen blij, dus dan zal het wel snel overal zo gaan. Helaas niet.

Want het blijft vaak bij individuele voorbeelden. Het wordt niet gewoon voor iedere dokter in elk ziekenhuis om het dan ook zo te gaan doen. Om dat te bereiken moet de professionele standaard hoe te handelen bij bijvoorbeeld COPD, hartfalen of trombose worden aangepast. Zodat begeleiding op afstand waar het kan en op de poli als het moet gemeengoed worden.

Dus beste normcommissies, wetenschappelijke verenigingen en alle andere betrokken: wie maakt de eerste veldnorm waar digitale zorg op afstand gewoon onderdeel van is?

Koop ik een nieuwe auto of investeer ik nog in mijn oude? Het is een keuze waar autobezitters helaas wel eens voor komen te staan. En wie kent niet het gevoel dat de enkele reparatie wel meevalt in vergelijking met de kosten van een nieuwe auto, maar dat achteraf en opgeteld alle reparaties en alle dagen dat je even niet kon rijden wel erg kostbaar en irritant waren? Mensen die in een oud brik doorrijden worden vaak meewarig aangekeken. Merkwaardigerwijs geldt hetzelfde de laatste tijd voor organisaties die juist kiezen voor nieuwe ICT.

Vragen over de vervanging van auto's en van ICT lijken op elkaar. Hoe lang kan het oude systeem nog mee en worden opgelapt? Hoe vaak krijg ik dan onverwacht onderhoud en lange zoektochten naar de oorzaak van een probleem? Hoeveel is me dat waard? En kan het oude systeem mijn nieuwe eisen wel aan?

Eerder schreef ik een column over de oproep van Chris Verhoef om vooral in stapjes te vernieuwen. Ik vergeleek het met alle onderdelen van een auto stapsgewijs vervangen. Ik heb niet zoveel met nieuwe auto’s, dus stond waarschijnlijk wat vaker dan gemiddeld voor de keuze om nog een keer te investeren of een nieuwe tweedehandse aan te schaffen. Gelukkig koos ik vaak tijdig voor dat laatste.

Maar wanneer kies je als het gaat om ICT voor doorgaan met het oude en wanneer voor iets nieuws? Dat vraagt, net als bij auto’s, een “diepgaand onderzoek op pijnpunten” zoals Chris Verhoef het noemt. Hoe verweven is de code of juist hoe modulair, hoe veilig, hoe begrijpelijk, hoe kwetsbaar, hoe schaalbaar? Kan het nieuwe eisen aan, of niet? Pas na een goede analyse kun je kiezen wat verstandig is.

Voor het beoordelen van softwarekwaliteit bestaat een ISO-norm. Die beschrijft helaas vooral kwaliteitskenmerken en is dus weinig concreet. Ik wil namelijk de vraag kunnen stellen “wat zijn de voordelen en de nadelen van het kopen van een nieuwe auto en van het houden van mijn oude in het licht van mijn vervoerswensen”, en daar dan een antwoord op krijgen dat niet afhankelijk is van de specifieke monteur maar gebaseerd is op een analyse waar de hele garagebranche het over eens is. Of, in ICT termen, ik wil code kunnen laten analyseren en aanhouden tegen (nieuwe of bestaande) eisen en op basis van een door iedereen geaccepteerde norm weten wat de risico's en kansen zijn van doorontwikkelen en van nieuwbouw.

Afgelopen weken lieten wij zo'n analyse doen voor een specifiek ICT-systeem. Van dat bestaande systeem werd de code doorgelicht en aangehouden tegen nieuwe eisen (10 maal zo hoog volume, bijvoorbeeld). De conclusie: nieuwbouw of verbouw zijn ongeveer even duur en zullen ongeveer even lang duren. Maar de risico’s voor onder meer uitval bij hoog volume zijn in het nadeel van verbouw. Op dat soort doorwrochte analyses van de broncode onder de motorkap kun je beslissingen nemen. Helaas is daar nog geen standaardaanpak voor en zijn de analyses van verschillende monteurs vaak heel verschillend.

Vandaar mijn oproep aan iedereen die zich bezig houdt met het toetsen van softwarekwaliteit: kom tot een norm. Een NEN-norm bijvoorbeeld, met daarin een industriestandaard (gebaseerd op ISO 25010) om op basis van analyse van broncode expliciet de kansen en risico’s van doorontwikkeling versus nieuwbouw te schetsen. Ik zou erg blij zijn met een dergelijke gestandaardiseerde aanpak. Dan ontstaan namelijk analyses over de gevolgen van nieuwbouw en verbouw waar een bestuurder of CIO echt iets mee kan en die ook de toets der kritiek van auditors en anderen kan doorstaan.