BLOG

Zorg en de privacy-paradox

De hacker Rex Mundi hackte onlangs een medisch laboratorium en dreigde de buit te publiceren tenzij het bedrijf betaalt. Beveiliging van onze ICT-systemen is van levensbelang, zo blijkt maar weer.

Een ICT-beleidsadviseur vertelde me over Rex Mundi. Hij is een hacker die met enige regelmaat probeert bedrijven af te persen met behulp van onrechtmatig verkregen gegevens. Onlangs hackte Rex Mundi het Franse bedrijf Labio, een medisch laboratorium, met als doel de buit te publiceren tenzij Labio betaalt. Een horrorscenario een film waardig.

Beveiliging van onze ICT-systemen blijkt van levensbelang, zeker als het gaat om de veiligheid van medische gegevens van patiënten. Wat kan je als organisatie hier het beste tegen doen? Alleen nog maar op zichzelf staande machines gebruiken zodat er geen netwerk meer is waarop ingebroken kan worden? Terug naar papier? De beveiliging van alle computers en netwerken zodanig opschroeven dat ook interne gebruikers die afhankelijk zijn van informatie, veel moeite moeten doen om hun werk te kunnen doen? Het is een lastig vraagstuk.

Uitwisseling van patiëntgegevens

In de zorg worstelen we met een soortgelijk probleem: de uitwisseling van patiëntgegevens tussen zorgverleners. Nu kunnen we, omwille van securityvraagstukken en privacyredenen, gegevensuitwisseling heel erg ingewikkeld maken. Zo, dat het voor ziekenhuizen niet meer te behappen is. Feit blijft dat zorgverleners informatie over hun patiënten nodig hebben om hun werk te kunnen doen. Een patiënt is niet altijd in staat die informatie zelf te geven.

Stelt u zich voor: u heeft studerende kinderen die regelmatig van huis zijn. God verhoede het, maar er gebeurt iets net als ze in het weekend met medestudenten in Groningen of Maastricht zijn. Ze hebben dringend medische hulp nodig en zijn zelf niet in staat om zorgverleners te woord te staan. Dan wil je toch als ouder dat de eerstehulparts alle relevante informatie, zoals een actueel medicatie-overzicht, heeft om direct een behandeling te kunnen starten? Dat die arts ziet of er sprake is van contra-indicaties, allergieën of bijzondere afwijkingen?

Hetzelfde geldt voor de patiënt met een chronische aandoening of meerdere aandoeningen en dito medicatie. Het is van levensbelang dat een behandelaar daarvan op de hoogte is, zeker wanneer er nieuwe medicijnen voorgeschreven gaan worden.

Levensbelang

Elke seconde telt, is de boodschap vanuit de overheid, vanuit de zorg, vanuit de brandweer: in geval van hartfalen, van een cva (een beroerte), bij ongelukken, brand, bevallingen enzovoorts. Snelheid kan levens redden. Om de veiligheid van patiënten te kunnen blijven garanderen is ook het hebben van de juiste gegevens van levensbelang.

Zorg is niet de taak van één zorgverlener of één zorginstelling maar er zijn nagenoeg altijd meerdere personen, instellingen en disciplines bij betrokken. De plek waar de zorg wordt verleend en door wie, verandert van dag tot dag afhankelijk van de situatie van de patie?nt. Maar denk ook aan nieuwe inzichten en behandelmethodieken: ook die hebben invloed op waar en door wie de zorg geleverd wordt. Voor de ziekenhuizen is het bieden van goede en efficie?nte zorg de reden om te investeren in uitwisseling van gegevens.

Veiligheid borgen

Tegelijkertijd hebben we te maken met beveiliging van de systemen waarover die gegevensuitwisseling moet plaatsvinden. De wetswijziging over cliëntenrechten bij elektronische verwerking van gegevens die er mogelijk aan komt, moet deze veiligheid borgen, maar daarbij moet wel voldoende rekening worden gehouden met de uitvoerbaarheid en betaalbaarheid ervan.

En dat is het paradoxale: we willen dat die systemen net zo veilig zijn als de zorg  aan patiënten. Met Rex Mundi en studerende kinderen in het achterhoofd stel ik u de vraag: Hoe kunnen wij zorgen dat overheid, zorgverleners, ICT'ers, burgers, hier het juiste evenwicht in vinden qua risico's, maatregelen, kosten en effectiviteit?

Op 13 april zal de Eerste Kamer ICT-deskundigen horen over de wetswijziging en over de zorginfrastructuur (LSP). Ik wens ze veel wijsheid toe.

Margot van der Starre

Margot van der Starre_311

Margot van der Starre spreekt op 29 mei op de Skipr HIMMS Highlights. ICT-infrastructuur. Interoperabiliteit. Databeveiliging. Personalized medicine. E-health en M-health. Skipr praat u bij over deze en andere ICT-thema’s die van 12 tot en met 16 april tijdens de HIMSS in Chicago op de agenda staan.

7 Reacties

om een reactie achter te laten

Frank Conijn

9 april 2015

Inderdaad een lastig vraagstuk. Maar niet onoplosbaar, als je niet al te perfectionistisch/protectionistisch ingesteld bent. Op de vraag die mw. Van der Starre stelt in haar voorlaatste alinea zou ik willen antwoorden:

1. Ziekenhuizen/zorgaanbieders(organisaties): doe je best, in termen van goede ICT-mensen inhuren of aannemen en goede communicatie met hen. Geef daarbij speciale aandacht aan mentale/emotionele conditiedossiers van patiënten.

2. Patiënten(organisaties): wees niet al te spastisch over het lekken van patiëntendata. Als men mijn ziektegeschiedenis op straat zou gooien zou ik daar geen moment van wakker liggen. Daar moet ik wel bij zeggen dat dat geen mentale/emotionele is, maar daarvoor verwijs ik naar punt 1.

3. Politiek: neem punten 1 en 2 ter harte en wees niet al te perfectionistisch. Volledige dataveiligheid is een illusie en onnodig -- zelfs de computersystemen van het Witte Huis en het Pentagon zijn gekraakt, en de medische zaken van bekende Nederlanders liggen sowieso altijd op straat. Richt je meer op de beveiliging van bankgegevens, vooral op de beveiliging van inlogdata van klanten.

L S

10 april 2015

Het kan gewoon heel erg simpel hoor. Zet via een chip in het zorgverzekeringspasje de actuele medicatiestatus. Maak mensen duidelijk dat je dit pasje bij je id-kaart bewaart en dus altijd bij je moet hebben, zeker als je medicatiegebruiker bent. De zorgverlener zorgt voor het actueel houden van het dossier door het pasje bij elk bezoek te updaten via zijn systeem. Betrek de patiënt bij zijn eigen dossier in plaats van te gaan lopen hocus pocussen met allerlei data dat vroeg of laat een eigen leven gaat leiden, want als iedereen het dossier beheert, beheert niemand het meer. Van een privacy paradox is dan ook helemaal geen sprake meer en dat pasje is dan tenminste ook nog ergens goed voor. Maar ja, ieder heeft zo zijn eigen belangetjes hè. Zorgsector.

Frank Conijn

13 april 2015

@ LS:
Op zich een goed idee, dat we ook zouden moeten doen. Maar de ICT-sytemen waar de NVZ-directeur het over heeft omvatten veel meer dan alleen het medicijngebruik.

L S

13 april 2015

Als je iedereen een persoonlijk zorgaccount geeft, eigenlijk gewoon te vergelijken met een e-mail account met je zorgdossier, ben je van alle privacy problemen en risico's verlost als zorginstelling. Consument kiest zelf zijn provider die verantwoordelijk is voor de beveiliging. Zorgverleners krijgen toestemming van de client om in te loggen, client wordt hiervan op de hoogte gesteld als dat gebeurt. Via een chip in het verzekeringspasje kan ook toegang verkregen worden. Safe, simpel en een stuk goedkoper dan het geld en tijdsverslindende gehocus pocus dat op dit moment plaatsvindt.

Eerste Kamer heeft al een tijd geleden landelijk EPD afgeschoten, volledig terecht. Vanaf dat moment is men gewoon doorgegaan met klootviolen en sluiproutes bedenken omdat er al voor honderden miljoenen in was geïnvesteerd. Lekker argument en lekker democratisch. Enige zelfreflectie ontbreekt als er veel geld mee te verdienen is in de ICT. Zie het blog over verzekeren van schade als gevolg van datalek. Absurditeit ten top. Mensen die een simpele, goedkope en betrouwbare oplossing aandragen krijgen geen gehoor. Want daar is geen business mee te doen, zitten niet in het lobby circus.

Frank Conijn

15 april 2015

@ LS:
Ik denk dat u dan erg onderschat waar een goed, vooral functioneel en gebruiksvriendelijk, ICT-systeem waar het hier over hebben uit moet best bestaan.

@ Mw. Van der Starre:
Een vierde punt ben ik nog vergeten. Als ik goed geïnformeerd ben hebben de meeste ziekenhuizen hun eigen ICT-systeem als het gaat om patiëntendossiers. Dat is een enorme verspilling van geld, tijd en moeite. Ik zou de suggestie willen doen dat de NVZ een uitvraag doet aan haar leden waar een goed patiëntendossiersysteem aan moet voldoen, en vervolgens met de uitkomsten daarvan een uniform systeem laat ontwerpen.

Niet om daarmee perse een landelijk toegankelijk systeem te verkrijgen, maar wel om de krachten en inzichten te bundelen, en uw leden veel te besparen. Het zal de nodige tijd en moeite vergen om de wensen te inventariseren en een goede blauwdruk te kunnen maken, maar als dat eenmaal klaar is, zou de realisatie ervan relatief makkelijk moeten zijn, voor een goed ICT-bedrijf.

Een alternatieve optie hiervoor is om de uitvraag te doen aan uw leden of men beschikt over een multidisciplinair systeem en zo ja, hoe dat bevalt. Om vervolgens de systemen die het best bevallen aan een nader onderzoek te (laten) onderwerpen, en het allerbeste aan te kopen en te promoveren tot systeem waar al uw leden gebruik van kunnen maken binnen hun eigen omgeving.

Uiteraard voor zover u zelf al niet op deze gedachte was gekomen, of wellicht zelfs al actie in die richting ondernomen hebt.

L S

15 april 2015

@ Frank Conijn: Zie Zweeds model. Het kan echt simpel, veilig, goedkoop en gebruiksvriendelijk. En het is er al gewoon. Bijzonder hè? Het moet bij de meeste mensen nog even indalen, net als bij het Fyra debacle destijds.

Frank Conijn

29 april 2015

@LS:
Zal ongetwijfeld eenvoudig zijn als het gaat om medicijngebruik. Maar schijnbaar heeft u dit gemist in mijn eerdere reactie: "De ICT-sytemen waar de NVZ-directeur het over heeft omvatten veel meer dan alleen het medicijngebruik."

Top