Zorginstellingen en patiënten gebruiken steeds vaker elektronische middelen om met elkaar te communiceren en informatie te delen. Want dat biedt gemak en snelheid. Daartegenover staat dat patiëntgegevens steeds vaker doelwit zijn van cyberaanvallen. Hackers proberen zorginstellingen af te persen door middel van ransomware.
Vorig jaar stelde NOS op basis van eigen onderzoek vast dat zeker vijftien Nederlandse ziekenhuizen te maken hebben gehad met ransomware-aanvallen. Daarnaast wordt gestolen patiëntinformatie ook wel aangeboden op de zwarte markt. Die informatie kan waardevol zijn voor bijvoorbeeld databedrijven die het niet zo nauw nemen met privacy en de gestolen gegevens op hun beurt weer verkopen aan advertentiebedrijven. In Amerika zijn medische gegevens inmiddels al vijftig keer meer waard dan een gestolen creditcardnummer. Maar juist het (veilig) uit kunnen wisselen van patiëntgegevens is in het belang van zowel de artsen als patiënten.
Belang van informatie delen
Artsen beschikken vaak over specifieke kennis en expertise en het is daarom belangrijk dat zij veilig informatie met elkaar kunnen uitwisselen. Denk bijvoorbeeld aan overleg met een collega-arts, maar ook het doorverwijzen van een patiënt naar een andere specialist, of kennisuitwisseling met een internationale collega. Desondanks ondervinden medische specialisten in de dagelijkse praktijk nog steeds belemmeringen in de gegevensuitwisseling door de huidige it-systemen. Zo werken de huidige systemen niet naar behoren of kan er geen koppeling gemaakt worden met andere systemen. En wanneer een arts niet over de meest actuele en complete informatie beschikt, kan dat tot gevaarlijke situaties leiden. Dit alles leidt tot een enorm hoge administratieve druk: artsen zijn 40 procent van hun werkweek bezig met administratieve taken en hebben dus minder tijd voor patiënten.
Maar ook patiënten willen graag veilig kunnen corresponderen met hun behandelend arts. Denk aan bijvoorbeeld uitslagen van onderzoeken, verslagen, verwijzingen en geplande en eerdere afspraken. Patiënten kunnen niet altijd alle informatie verwerken tijdens de korte gesprekken die zij hebben met hun arts. Het is fijn om thuis op elk gewenst moment alle uitslagen en correspondentie nog een keer rustig door te kunnen lezen. Bovendien willen patiënten in sommige gevallen met hun zorgverlener kunnen mailen, sms-en en Whatsappen, zonder dat zij bang hoeven te zijn dat hun gegevens op straat komen te liggen.
Privacygevoelige info
Patiëntendossiers bevatten persoonsgegevens, verzekeringsgegevens, diagnoses, laboratoriumresultaten, medicatiedoses en aanbevelingen voor behandelingen. Maar ook grotere bestanden zoals video’s, scans en (röntgen)foto’s moeten veilig kunnen worden uitgewisseld. Het gaat om gevoelige, persoonlijke informatie die patiënten niet aan iedereen willen laten zien en zeker niet per digitale postkaart willen versturen. Vanwege het belang van de bescherming van patiëntgegevens wordt er al langere tijd gestreefd naar een manier om gegevensuitwisseling te beveiligen.
In 2011 is het initiatief voor een landelijk elektronisch patiënten dossier (epd) in de Eerste Kamer afgeschoten. Daaropvolgend is er vanuit de VNZ (Vereniging Nederlandse Ziekenhuizen) een initiatief gekomen als reactie op het mislukken van het epd, waarbij een volume contract (korting) met een Amerikaanse partij is opgesteld waaraan alle Nederlandse ziekenhuizen konden deelnemen. Na een aantal pilots en de overname van de desbetreffende partij is dit nooit tot een brede acceptatie in de markt gekomen. Ook is er nog verschillende een initiatieven geweest om tot een ‘veilige’ Whatsapp te komen, speciaal ontwikkeld voor geregistreerde artsen. Ook nooit van de grond gekomen.
De al aanwezige behoefte is door de invoering van de AVG alleen maar toegenomen. Desondanks blijkt overeenstemming binnen de zorg over een veilig communicatiesysteem voor alle betrokken partijen een zeer lastig vraagstuk te zijn.
De dominantste speler
Bij de beveiliging van digitale communicatie zijn per definitie met twee partijen betrokken: de verzender en de ontvanger. Dat betekent in de praktijk dat men te maken heeft met twee organisaties met ieder een eigen beleid op het gebied van gegevensbeveiliging. En wanneer de ene partij voor een beveiligingsoplossing kiest die specifieke eisen stelt aan de andere partij, ontstaat een discussie. Want wie bepaalt dan voor welke beveiligingsoplossing er wordt gekozen? Wie is de dominantste speler? De AVG maakt de verzender van gegevens verantwoordelijk voor de beveiliging van gegeven tot het punt van ontvangst. Het handigste is dus gebruik te maken van een beveiligingsoplossing die géén eisen stelt aan de ontvanger. Op die manier hoeft men geen rekening te houden met de communicatie-omgeving van de ontvanger en voldoet de oplossing tegelijkertijd aan de eisen van de AVG.
Aan de zorg nu de schone taak om tot een gezamenlijke oplossing te komen. Iedereen die werkzaam is in de branche draagt de verantwoordelijk voor de bescherming van de persoonsgegevens van hun patiënten. Het is tijd voor nieuwe maatregelen om op een veilige doch makkelijk wijze communicatie aan alle partijen te bieden. Voorwaarde is dat de oplossing makkelijk in gebruik moet zijn. Anders vormt het systeem automatisch een risico, omdat men op zoek gaat naar alternatieve manier om gegevens te kunnen delen. Denk aan shadow it zoals Whatsapp, Outlook en Dropbox. En dan zijn we weer terug bij af.
De zorg(en) over communicatie zijn terecht maar zolang de politieke wil ontbreekt om het medische geheim van ‘Jan met de pet’ te respecteren is het dweilen met de kraan open. Auteur vergeet dat de US zoiets als HIPAA kent, deze regeling is niet alleen dwingend op het gebied van beveiliging maar ook als het gaat om het afdwingen van (ICT) standaarden. In Nederland blijven we ‘polderen’ met de vrijblijvendheid van het wel of niet acceptateren van een standaard wat voor veel politici heel rendabel is.
Er is voor overheden en gesubsidieerde instellingen de open-standaard eis.
Hiervan is het pas-toe-of-leg-uit systeem een verplicht uitvloeisel.
Waarom deze regels niet worden toegepast om medische gegevens uit te wisselen is mij een raadsel.
Mogelijk komt het, omdat het (nog) een regel is, zonder een mogelijkheid om een overtreding te bestraffen.
Hopelijk is het dit jaar (eindelijk) nog mogelijk, om een overtreding te bestraffen, b.v. met een korting op de subsidie.
Zo kunnen we eindelijk een beetje éénheid krijgen in de digitale communicatie.