De zorgsector loopt achter de feiten aan wat betreft het borgen van security en privacy. Banken en overheden zijn hier veel verder mee. Oorzaken zijn te weinig bewustwording bij zorgverleners en het werken met verschillende systemen die vaak ook verouderd zijn. Het gaat jaren duren voordat zorginstellingen op het gebied van dataprotectie en privacy hun zaakjes op orde hebben.
Tot deze verontrustende conclusie kwamen Computable-experts en experts uit de markt tijdens het Computable-debat over it-beveiliging van patiëntgegevens. Het debat vond 15 maart 2017 plaats tijdens de beurs Zorg & ICT in Jaarbeurs Utrecht.
Bewustwording ontbreekt
Zorginstellingen en -verleners zijn zich nog onvoldoende bewust van de gevaren van datalekken en cybercrime. Bastiaan Bakker: ‘De bescherming van de patiënt is na de digitalisering van de zorg achtergebleven. In 2016 waren er 1.600 meldingen van datalekken; zestig procent daarvan komt voort uit het onbewust lekken van data.’
Een it-dienstverlener uit het publiek illustreert dit met een anekdote over een chirurg die ’s ochtends op alle systemen inlogde, waarna álle medewerkers toegang kregen tot de systemen. Ook het plakken van de bekende ‘gele briefjes’ met inloggegevens bij computers en algemene gemakzucht spelen een grote rol, zo ondervinden zowel experts als toehoorders in het publiek.
In de bancaire sector en in de overheid is de zogenaamde ‘two-factor-authenticatie’ vanzelfsprekend. In de zorg is dit minder het geval. Hoe kan dit? Bakker: ‘Het it-landschap in de zorg is een lappendeken aan computersystemen, vooral oudere computersystemen hebben het lastig met deze vorm van beveiliging. Een oplossing hiervoor is dat werknemers éénmalig two-factor inloggen en daarna toegang hebben tot alle verschillende applicaties.’
Geen it-budget
Een andere veelgenoemde oorzaak voor datalekken en onvoldoende beschermde gegevens is (het gebrek aan) geld. De komst van de privacywet GDPR in mei 2018 zou volgens de experts een impuls moeten zijn om wel tot een volledige beveiliging van de it in zorginstellingen te komen, en wel omdat de boetes voor datalekken vele malen hoger zijn dan de uitgaven aan it.
Nog een ontwikkeling die mogelijk het tij kan keren, wordt genoemd door Maurice Drost. Hij stelt dat ziekenhuizen gebruik zouden moeten maken van al bestaande en goedkope opensourcesecurity-oplossingen, zoals de Google Authenticator.
Een toehoorder uit het publiek, werkzaam voor de Rijksoverheid, wijst erop dat het ministerie van Volksgezondheid, Welzijn en Sport een infrastructuur moet creëren, onder andere met een beveiligde datacenter, dat uitwisseling over een veilig netwerk tussen verschillende ziekenhuizen mogelijk moet maken. ‘Hierdoor is er binnen de Nederlandse zorg goedkoper in te kopen en gebruikt elke instelling dezelfde instrumenten die allemaal beveiligd zijn.’
Blockchaintechnologie
Herman van den Tempel meent dat blockchain de beveiliging van patiëntdata in de zorg minder afhankelijk maakt van de zorgverlener. ‘Op basis van blockchaintechnologie is de beveiliging stukken beter en hangt het niet meer zo af van de zorgverlener zelf. De informatie staat niet op één plek, maar is in delen verspreid over het hele netwerk. We kunnen honderd keer roepen ‘je moet beter met data omgaan’, maar dit werkt niet. Daarom kun je beter de techniek voor je laten werken.’
Bakker beaamt dit. ‘Onzorgvuldige artsen en zorgverleners zijn de grootste oorzaak van datalekken. In 2016 waren er in de zorg 1.600 meldingen van datalekken. Zo’n zestig procent hiervan ontstaat uit het onbewust lekken van data door werknemers in de zorg.’
It houdt geen rekening met praktijk
Maria Genova wijst erop dat ze in haar contact met zorgverleners vaak hoort dat medewerkers vinden dat it-dienstverleners te weinig rekening houden met de werkpraktijk. ‘Zorgverleners vertellen me dat ze knettergek worden van alle, vaak steeds veranderende wachtwoorden en zien graag dat hier vanuit de it een oplossing voor komt.’
Ilham Ouajna beaamt dit: ‘Developers houden bij het ontwikkelen van nieuwe securitytechnologieën te weinig rekening met de werkpraktijk en het beschermen van de privacy. Er is daarnaast nauwelijks onderling overleg tussen zorginstellingen en it-leveranciers. Deze laatste groep krijgt vanuit de ziekenhuizen en zorginstellingen slechts beperkte instructies om producten vorm te geven; privacy by design zou beter zijn en moeten worden toegepast.’
De juriste benadrukt dat het bewustzijn wel toeneemt. ‘Dit komt met name door de komst van de privacywet GDPR die in mei 2018 in werking treedt. Het belangrijkste is volgens mij: ga met elkaar in gesprek! Dit is de enige manier waarop je verwachtingen op elkaar kunt afstemmen en rekening kunt houden met de risico’s van bepaalde technische oplossingen. It-leveranciers zijn hier ook verantwoordelijk voor, developers zouden hierin moeten worden opgeleid.’
Digitale patiënt
Hoelang duurt het voor de patiënt digitaal is? Een toehoorder uit het publiek geeft aan dat mantelzorgers van demente ouderen of meervoudig gehandicapten vaak moeite hebben met techniek en dat het gevraagde niveau om met beveiligingstechnieken om te gaan veel te hoog is.
Hans Reterink knikt bevestigend. ‘Een two-factor-authenticatie is eigenlijk het laagste beveiligingsniveau dat je kunt verantwoorden, maar in de praktijk is het voor een mantelzorger van zeventig natuurlijk lastig. Het zal daarom altijd schipperen blijven, je komt nooit op het niveau dat je eigenlijk zou willen. Ik zie niet direct de oplossing.’
Een it-dienstverlener uit de zaal ziet de remedie hiervoor in biometrie. ‘Je hebt dan enkel vingerafdrukken, een token of ziekenhuispasje nodig. Wachtwoorden zijn verleden tijd.’ Volgens de deelnemers aan het debat is dit makkelijker gezegd dan gedaan.
Van den Tempel: ‘Het is belangrijk dat gebruikers alleen die systemen mogen gebruiken en die informatie mogen inzien waarvoor ze gerechtigd zijn. Wij hebben daarom de uzi-pas ingevoerd. Deze moet gebruikt worden door specialisten als ze gegevens van patiënten die ze niet zelf behandelen, willen inzien. Uiteindelijk is deze pas ook niet volledig toereikend gebleken. Mensen lenen deze pas bijvoorbeeld onderling uit, omdat ze vinden dat deze te veel geld kost.’
Logging
Een andere wijze om bescherming van patiëntdata te bevorderen, is logging. Uit een rondvraag in het publiek blijkt dat vrijwel geen enkele zorgverlener aan logging doet. Genova wijst er op dat het voor zorgverleners met financiële problemen aantrekkelijk kan zijn om in patiëntdata te handelen en dat ze daarom niet loggen. ‘Sommige zorgverleners hebben financiële problemen of zijn verslaafd, en zijn dus beïnvloedbaar wanneer ze benaderd worden om op de zwarte markt patiëntdata te verkopen. Vaak krijgen ze hier wel zo’n 25.000 euro voor.’
Redenen om niet te loggen die in de zaal genoemd worden, zijn dat systemen er traag door worden en zorgmedewerkers het gevoel hebben dat ze constant onder een vergrootglas liggen. Drost weet een oplossing hiervoor: een combinatie van deep learning en kunstmatige intelligentie waarbij de pc zelf bepaalt of logging wel of niet nodig is. Volgens hem gaat het nog wel vijf tot tien jaar duren voordat deze technologie opgeld doet.
Dit artikel is eerder gepubliceerd in Computable-magazine #3 van 2017.
Debatdeelnemers
Maurice Drost, functioneel applicatiebeheerder EPD & ECD Consultancy, Bastiaan Bakker, directeur business development Motiv, Hans Reterink, managing consultant Berenschot, Herman van den Tempel, director healthcare Atos Nederland en legal consultant Ilham Ouajna bij Cure 4 gaven tijdens een debat hun visie op it-onderdelen die in de zorg van belang zijn voor security en privacy. Computable-hoofdredacteur Sander Hulsman en journalist/schrijfster Maria Genova leidden de discussie waar zo’n tachtig belangstellenden op afkwamen.
Dit was voor mij niet nieuw maar wel mede reden om me destijds voor het EPD af te melden.
Voor overheden in zijn algemeenheid is het wat lastiger want dat zijn veelal nog conservatieve bolwerkjes waar je vanuit mag gaan dat jouw persoonlijke gegevens niet veilig zijn.
Ik heb onderstaande alinea meerdere keren gelezen… Maar ik kan het niet plaatsen?
‘Veel zorgverleners hebben financiële problemen of zijn verslaafd, en zijn dus beïnvloedbaar wanneer ze benaderd worden om op de zwarte markt patiëntdata te verkopen. Vaak krijgen ze hier wel zo’n 25.000 euro voor.’
Sorry hoor maar ook ik vind het onderstaande stukje wel kort door de bocht..
‘Sommige zorgverleners hebben financiële problemen of zijn verslaafd, en zijn dus beïnvloedbaar wanneer ze benaderd worden om op de zwarte markt patiëntdata te verkopen. Vaak krijgen ze hier wel zo’n 25.000 euro voor.’
Dat de zorgverleners (de instanties) in financieel zwaar water zitten geloof ik meteen en relateer ik aan de bezuinigingen in de zorg en de soms onmogelijke eisen die de zorgverzekeraars opleggen en ongetwijfeld ook verkeerde beslissingen in het verleden, maar dat de medewerkers patiënteninformatie verkopen omdat ze of verslaafd of financiële problemen hebben vind ik wel een erg grove beschuldiging om te publiceren zonder feiten of bewijs.
Nu klinkt het dat veel zorgverleners (de medewerkers) geldproblemen hebben en aan de drugs zijn.
Maar goed, banken en overheden hebben nou eenmaal meer marge financiële middelen om dit probleem aan te pakken, die we in de zorg helaas niet hebben.
Het staat er inderdaad nogal vreemd! Het zou handig zijn geweest als er bij deze quote een inleiding had gestaan.
En ook de redenen om het probleem niet op te lossen zijn zeer vreemd:
“Redenen om niet te loggen die in de zaal genoemd worden, zijn dat systemen er traag door worden en zorgmedewerkers het gevoel hebben dat ze constant onder een vergrootglas liggen.”
Het gaat hier niet om het Libelle forum, het gaat hier om gevoelige patiënteninformatie, informatie die volgens de wet bescherming persoonsgegevens goed tegen misbruik moet worden beschermd! Dat een systeem hier traag van wordt (wat overigens een kulargument is) mag geen reden zijn om geen audit trail van aanpassingen en raadplegingen bij te houden.
De genoemde oplossing slaat ook nergens op:
“Drost weet een oplossing hiervoor: een combinatie van deep learning en kunstmatige intelligentie waarbij de pc zelf bepaalt of logging wel of niet nodig is.”
Dit met een kanon op een mug schieten is echt niet de oplossing! Gewoon loggen is echt efficiënter dan middels deep learning en AI uitzoeken of er gelogd moet worden! Daarnaast hoeven de zorginstellingen de matig privacygevoelige info van de zorgmedewerker niet te waarborgen (of ze hun werk goed doen en niet illegaal data zitten te vergaren), maar ze moeten de zeer privacygevoelige info van hun patiënten beschermen!
Interessant debat met zeer vreemde plotwendingen. Ik vermoed dat er ook enkele niet-experts tussen zaten…