De zorgsector loopt achter de feiten aan wat betreft het borgen van security en privacy. Banken en overheden zijn hier veel verder mee. Oorzaken zijn te weinig bewustwording bij zorgverleners en het werken met verschillende systemen die vaak ook verouderd zijn. Het gaat jaren duren voordat zorginstellingen op het gebied van dataprotectie en privacy hun zaakjes op orde hebben.
Tot deze opvallende conclusie komen Computable-experts en experts uit de markt tijdens het Computable-debat over it-beveiliging van patiëntgegevens dat vandaag plaatsvond op de beurs Zorg & ICT in Jaarbeurs Utrecht.
Maurice Drost, functioneel applicatiebeheerder EPD & ECD Consultancy, Bastiaan Bakker, directeur business development Motiv, Hans Reterink, managing consultant Berenschot, Herman van den Tempel, director healthcare Atos Nederland en legal consultant Ilham Ouajna bij Cure 4 gaven hun visie op it-onderdelen die in de zorg een rol spelen op het gebied van security en privacy. Computable-hoofdredacteur Sander Hulsman en journalist/schrijfster Maria Genova leiden de discussie waar zo’n tachtig belangstellenden op afkwamen.
Bewustwording ontbreekt
Zorginstellingen en -verleners zijn zich nog onvoldoende bewust van de gevaren van datalekken en cybercrime. Bakker: ‘De bescherming van de patiënt is na de digitalisering van de zorg achtergebleven. In 2016 waren er 1.600 meldingen van datalekken; zestig procent daarvan komt voort uit het onbewust lekken van data.’ Een it-dienstverlener uit het publiek illustreert dit met een anekdote over een chirurg die ’s ochtends op alle systemen inlogde, waarna álle medewerkers toegang hadden tot deze systemen. Ook het plakken van de bekende ‘gele briefjes’ met inloggegevens bij computers en algemene gemakzucht speelt een grote rol, zo ondervinden zowel de experts als de toehoorders in het publiek.
Geen IT-budget
Een andere veelgenoemde oorzaak voor datalekken en onvoldoende beschermde gegevens is (het gebrek aan) geld. De komst van de privacywet GDPR in mei 2018 zou volgens de experts een impuls moeten zijn om wel tot een volledige beveiliging van de it in zorginstellingen te komen, omdat de boetes voor datalekken vele malen hoger zijn dan de uitgaven aan it.
Een andere ontwikkeling die mogelijk het tij kan keren, wordt genoemd door Maurice Drost. Hij stelt dat ziekenhuizen gebruik zouden moeten maken van al bestaande en goedkope opensourcesecurity-oplossingen zoals de Google Authenticator. Een toehoorder uit het publiek, werkzaam bij de Rijksoverheid, wijst er op dat het ministerie van Volksgezondheid, Welzijn en Sport een infrastructuur moet creëren, onder andere met een beveiligde datacenter dat uitwisseling over een veilig netwerk tussen verschillende ziekenhuizen mogelijk moet maken. ‘Hierdoor is er binnen de Nederlandse zorg goedkoper in te kopen en gebruikt elke instelling dezelfde instrumenten die allemaal beveiligd zijn.’
Zorg & ICT 2017
Zorginstellingen moeten steeds meer vanuit de behoefte van de patiënt gaan denken. Met alle gevolgen van dien. Van sociale innovatie tot bedrijfsvoering en it. Op de vakbeurs Zorg & ICT 2017 staat dit jaar het thema ’De patiënt als partner’ centraal. Laat u zich vandaag of morgen 16 maart 2017 ook inspireren? Ga voor meer informatie en het volledige programma naar www.zorg-en-ict.nl.
De kosten voor betere beveiliging wordt als bottleneck gezien. Een poosje geleden zag ik bij een dokter nog een Windows XP met een Dos applicatie in Clipper draaien. Als ICTer zou ik mij zelfs schamen de bijbehorende PC bij de recycling af te geven.
De gele briefjes met wachtwoorden is ook gewoon gratis te verhelpen met een goede wachtwoordmanager zoals KeePass.
Omdat het nog jaren zal duren zou er een noodwet moeten komen die het ongevraagd opslaan van patiënt en klantgegevens in medische databases verbiedt. Het EPD is niet voor niets in de politiek gesneuveld vanwege de onhaalbare security levels.
Het toverwoordje ‘bewustwording’ valt weer.
Dat is ook hier weer een verklaring, én de oplossing voor alle problemen.
“Het gaat jaren duren voordat zorginstellingen op het gebied van dataprotectie en privacy hun zaakjes op orde hebben.”
Nou, dat valt te betwijfelen.
De AVG2016 is immers reeds van kracht en zal, na de lopende implementatietermijn van 2 jaar, mei 2018 in werking treden.
Dat is over iets meer dan 13 maanden.
Men dient dan dus kláár te zijn, niet te beginnen.
Sancties op non-compliance zijn dan direct van toepassing en men is niet voornemens coulant te zijn.
De eindverantwoordelijkheid én aansprakelijkheid voor ‘Governance & Compliance’ ligt op het niveau van hoofdbestuur; RvB/RvC, etc.
Deze eindverantwoordelijkheid kan níet worden gedelegeerd.
Maar elders voorspelde ik reeds brandbrieven begin 2018 aan de politiek ‘dat de overgangsperiode te kort is’ en ‘de eisen te hoog’.
Voor beveiliging in de zorg bestaan reeds jaren technische normen, waaronder NEN-normen.
Sinds januari 2016 zijn de NEN-normen zelfs gratis beschikbaar op nen.nl omdat het ministerie van VWS de rechten heeft afgekocht.
Er bestaan ook voldoende samenwerkings-verbanden om de beveiliging in de zorg op voldoende niveau te krijgen.
Er bestaan ook genoeg rapporten over oorzaken en oplossingen.
Het recente, zeer gedegen, PBLQ-rapport geeft méér dan alle benodigde informatie.
Voor de minister van VWS aanleiding de Tweede Kamer te melden het noodzakelijk te achten om met alle betrokken partijen een ‘Actieplan (informatie)beveiliging patiëntgegevens’ op te zetten dat voorjaar 2017 klaar moet zijn.
Echter, de minister van VWS verwacht van de organisaties dat iedereen zijn verantwoordelijkheid neemt: zowel bij het opstellen van het plan als bij de uitvoering ervan.
En juist dat laatste kon wel eens een struikelblok zijn.
Het heeft immers minder te maken met ‘bewustwording’ danwel met onkunde en onwil.
De minister van VWS heeft weinig greep op de beloningsstructuur van bestuurders in de gezondheidszorg.
Mede om die reden zal het sanctieregime van de AVG2016 vermoedelijk tot consternatie gaan leiden bij zorgbestuurders en politiek.
Een zaaltje met 80 bewustzijn-zoekers en een paar experts, en een komende vakbeurs.
Dat gaat het overduidelijk niet worden.
Punt van aandacht hier is natuurlijk ook de versnippering binnen de zorg. De kleinere spelers (huisartsen, therapeuten enz) zijn over het algemeen niet ICT-onderlegd, dus nemen nagenoeg alles van hun leveranciers aan. En als ze eenmaal aan een leverancier vast zitten, komen ze er niet meer van los. De grotere spelers (ziekenhuizen, overkoepelende groepen) zijn allemaal zelfstandig bezig met het topic, en is dus ook minder mogelijk de juiste kennis binnen te halen, behoudens tegen hoge externe tarieven. Banken en overheden zijn veel meer nationaal georiënteerd, dus hebben een groter bereik met wat ze implementeren, en ook beter bereid om de juiste mensen in te huren / aan te nemen. Komt nog bij dat vaak zelfs binnen 1 ziekenhuis er diverse separate clubjes opereren.
Ook als softwareleverancier voor de zorgsector komen wij dagelijks deze problemen tegen. Hoewel onze software vrijwel alle mogelijkheden ondersteunt, zien we dat bij implementatie gezegd wordt dat het niet hoeft, want het wordt niet nageleefd… Ook vindt de sector het lastig om een afweging te maken tussen veiligheid en toegankelijkheid, waarbij met name het niet digitale personeel een zware stem lijkt te drukken op de beslissing.
Ik begrijp best dat de maximale beveiliging het werken “ontmoedigt” maar om dat gelijk als statement neer te zetten om maar niets te doen is zeker niet de oplossing. Daar waar in de bankwereld de eindgebruiker wordt geraakt (bij slechte beveiliging) is dat hier niet het geval. Dit lijkt een grote rol te spelen op de acceptatiegraad. Zalando en Bol.com zijn breed geaccepteerd maar een nieuw softwaresysteem, zelfs als dat eenvoudiger is, word niet of nauwelijks geaccepteerd.
Ik denk dat een afgedwongen regelgeving ook een opvolging moet krijgen voor het echt geaccepteerd zal worden.