Nederlandse zorgminister: ziekenhuizen moeten medische gegevens beter beveiligen

Ziekenhuizen moeten medische gegevens beter gaan beveiligen. Dat meent minister Edith Schippers van Volksgezondheid. Sommige ziekenhuizen zijn zich te weinig bewust van het belang van de beveiliging van informatie, zo meent de minister.

Schippers zegt in antwoord op Kamervragen van PvdA-Kamerlid Astrid Oosenbrug dat de vertrouwelijkheid van medische gegevens en dus de beveiliging daarvan een kernwaarde is voor ziekenhuizen. "Ik herken het beeld (...), namelijk dat er verbetering nodig is op het terrein van informatiebeveiliging in de zorg", aldus Schippers. Oosenbrug stelde Kamervragen naar aanleiding van een onderzoek van Women in Cybersecurity naar 97 ziekenhuizen, waaruit bleek dat een deel slechte beveiliging heeft en een kwart zelfs geen https ondersteunt.

Schippers gaat met de ziekenhuizen dit voorjaar werken aan een ‘Actieplan (informatie)beveiliging patiëntgegevens', waardoor ziekenhuizen medische gegevens beter moeten gaan beveiligen. "Ik zal het uitwisselen van patiëntgegevens via onbeveiligde verbindingen en websites en de awareness daarover, daarin als aandachtspunt meenemen", aldus de minister.

De minister merkt op dat ziekenhuizen moeten voldoen aan de Wet Bescherming Persoonsgegevens voor het uitwisselen van medische data en dat het daaraan voldoen een verplichting is die bij de ziekenhuizen zelf ligt. Dat geldt ook voor de keuze of ziekenhuizen een beleid voeren voor responsible disclosure, waarmee beveiligingsonderzoekers zonder risico op vervolging lekken in sites en computersystemen kunnen melden.

IT-banen

Reacties (65)

Felicia 15 februari 2017 19:31

Toevallig 3 weken terug nog een weekje in het ziekenhuis gelegen en daaruit blijkt:
1. Er worden gewoon gesprekken gevoerd met patiënten op een meerpersoons kamer. Kan ook niet anders want het merendeel dat er ligt is niet echt in staat naar een aparte kamer te gaan (niet dat de afdeling iets van een vergaderruimte had). Maar iedereen op de kamer weet precies wie je bent en wat je mankeert, wat nou privacy?
2. De wachtwoorden worden gewoon onderling gedeeld terwijl de patiënt erbij ligt. Vervolgens lieten ze de medicijnkar (met PC waarop de gegevens stonden) regelmatig staan terwijl ze zelf ergens anders naartoe moesten. De medicijnkar logt in met een generieke gebruikersnaam en wachtwoord die op een sticker staan in een Citrix sessie, het systeem daarachter vereist wel persoonsgebonden accounts (die ze net gedeeld hebben waar ik bij lag).
3. De pc's in de pc kamer stonden geregeld in onvergrendelde staat terwijl er niemand op de kamer was...

Dit is niet iets wat je met awareness gaat oplossen.

mrlammers @Felicia • 15 februari 2017 21:06

Deze ga je juist wel met awareness oplossen.

Felicia @mrlammers • 15 februari 2017 21:18

Nee, helaas niet. Mijn praktijk ervaring is dat je awareness er alleen in krijgt door continue mensen met de neus op de feiten te drukken en herhalen totdat ze groen zien. Als je dat in een ziekenhuis gaat doen waar patienten bij zijn, dan ga je dus continue iemand verbeteren wat de patient raar zal vinden en de medewerkers niet bepaald in een goed daglicht zal zetten. Daarnaast is het al eerder gezegd, deze medewerkers willen met mensen werken, niet met computers. Mensen kiezen toch altijd de weg van de minste weerstand.

Los het op met techniek, bijvoorbeeld:

Gebruikersdetectie - gebruiker weg, PC locken
Gebruik smartcards als 2-factor authentication - leuk als je m'n wachtwoord hebt maar de smartcard heb je ook nodig (en die gebruiken ze toch al om afgeschermde ruimtes zoals de morfinekast te openen dus die geven ze echt niet af)

AriGold @Felicia • 16 februari 2017 08:17

Windows hello is misschien een optie?

bzzzt @AriGold • 16 februari 2017 09:36

Wedden dat die medicijnkar op Windows XP draait?
Daarnaast: overal camera's inschakelen voor authenticatie kan ook weer een privacy issue zijn...

AriGold @bzzzt • 16 februari 2017 10:55

Dat lijkt mij, althans in België, de laatste jaren goed mee te vallen. Bijna allemaal Windows 7, Windows 10 ben ik in geen enkel ziekenhuis tegen gekomen...

Ik denk wel dat een laptop met webcam en dan Windows hello een goede optie is. Of vingerscanner, dat gebruiken ze soms ook voor toegang tot medisch systeem. Probleem daarbij is, zoals aangehaald, dat mensen pc onvergrendeld achterlaten.

LopendeVogel @Felicia • 18 februari 2017 18:44

Hoewel je gelijk hebt, hebben veel doktoren (vooral de die-hard oude generatie) veel moeite met de systemen. Ze willen met hun patiënten bezig zijn, tijd in hun patiënten steken. Als ik nu de verhalen binnen mijn familie hoor, zijn ze zoveel onnodig veel tijd kwijt aan systemen als het EPD en etc. Ze hebben er letterlijk genoeg van, maar ze moeten omdat iemand besloten heeft dat de doktoren hier gebruik van moeten maken.

Ze hier ook nog op aanspreken, ze elke dag dwingen totdat ze groen zien.. Tsja dan zullen veel uitstekend goed presterende artsen met vervroegd pensioen gaan.

Als ik dan hoor dat sommige artsen gewoon minder patiënten per dag kunnen verwerken vergeleken 5-10 jaar geleden, mede dankzij oa het EPD, dan moet je je echt achter de oren gaan krabben of je die dan nog gekker moet maken dankzij sommige onnodige systemen.

Volgens mij hebben sommige mensen niet door wat voor een functie een dokter of assistenten uitoefent.

Jij komt wel met 2 gemakkelijke en goede oplossingen, helaas zijn het oplossingen voor een probleem, een probleem die er niet zou hoeven zijn..

Het is zoals je zelf ook zegt: deze medewerkers willen met mensen werken, niet met computers. Ze willen niet onnodig veel tijd elke dag opnieuw, doorbrengen aan een computer wat oneindig veel risico's kent, waar onnodig tijd in zit. Tijd die ze in patiënten willen steken.

Sommige doktoren krijgen per patiënt betaald, niet per ingevuld EPD formulier + nog tig andere digitale systemen.
Voor zowel de dokter als de patiënt zijn al die digitale systemen een zeer groot nadeel. De dokter kan minder patiënten verwerken, de patiënt komt op een langere wachtlijst terecht. Dan zal ik nog maar niet over de privacy issues beginnen...

Het systeem kent alleen maar verliezers, de laatste die daar de schuld van mag krijgen is de dokter in mijn ogen, de laatste die hier de dupe van mag worden is de patiënt..
Helaas; doktoren krijgen de schuld, de patiënt is de dupe. Dit terwijl de 2 belangrijkste groepen: artsen + patiënten, hier NIET voor gekozen hebben.

[Reactie gewijzigd door LopendeVogel op 22 juli 2024 18:45]

djwice

@Felicia • 18 februari 2017 18:24

Heb je dit gemeld bij de authoriteit?
Wellicht incl. het wachtwoord dat je gehoort hebt, zodat ook zij het ziekenhuis kunnen aanspreken en wellicht kunnen begeleiden naar verbetering.
- wellicht met behulp van jou technische expertise er bij.

Framoes 15 februari 2017 19:11

Dit komt van dezelfde minister die wil dat zorgverzekeraars toegang krijgen tot patiëntdossiers in het kader van "fraudebestrijding". NRC berekende dat fraude voor 0,015% van het zorgbudget staat. Een zwaar overdreven maatregel dus. Ze kreeg zelfs een Big Brother Award voor dit idee (dat nog door de TK kwam ook).

Ze heeft dus wel verstand van privacy en schending daarvan, maar dan helaas op een verkeerde manier.

shiptronic @Framoes • 15 februari 2017 21:08

Daar begint de fraude, niet bij de verzekerde maar de verzekering, wat kunnen we claimen, en wat betalen we niet uit? de zieke blijf achter, zijn gezondheid is niet interessant, integendeel zelfs, hoe zieker des te meer er aan te verdienen valt

LopendeVogel @shiptronic • 18 februari 2017 18:58

Ja het is ook sneaky, want je hebt patiënten die bepaalde formulieren vervalsen en indienen bij de verzekeraar. Bij twijfel dient de verzekeraar contact op te nemen met de desbetreffende arts, of ze/hij daadwerkelijk dat formulier (factuur) zo opgesteld heeft.
Zo heb ik verhalen gehoord dat patiënten volledig eigen facturen namaken op basis van een geschreven(digitaal) factuur door de arts

Veel gaat al rechtstreeks vanaf de arts naar de verzekeraar, dit juist om fraude te voorkomen (en het kan natuurlijk tijd schelen).
Je hebt genoeg patiënten die zelfs handtekeningen vervalsen, juist om hun verzekeraar op te lichten.

Het is wel logisch dat er ergens een zekerheid is dat opgegeven bedragen niet vervalst zijn. Het grote nadeel hieraan is, wat gaan verzekeraars doen met een VOLLEDIG dossier? Ik zou dan bijv maar 10 euro per maand moeten betalen, want de laatste keer dat ik bij een arts geweest ben, poeh dat weet ik niet eens meer.. Lang, lang geleden (*klopt af*).
Ik betaal elke maand een hoog bedrag, waar ik totaal geen gebruik van maak, als dat omlaag kan omdat ik er toch geen gebruik van maak, graag...

Van de andere kant denk ik dan op dit gebied aan mezelf.. MAAR als je iemand dan hebt wat gewoon ongeneselijk ziek is (bodemloze put qua geld), dan zou het zeer grof zijn indien verzekeraars deze mensen gaan afwijzen.. Dit omdat ze alleen maar geld zullen verliezen aan zo'n persoon. Iemand met 10.000 medische kosten elke maand, ja daar verdienen ze niks aan als die gene 100 euro per maand betaald.
Het laatste wat ik zo'n persoon wens is dat die dan maar even 12.000 premie gaat betalen, of dat de verzekeraar zegt: u bent ons te duur..
Dat is iets wat natuurlijk nooit, maar dan ook nooit mag gaan plaatsvinden.

Nu weet ik wel dat ik elke maand voor andere zieke mensen betaal (ik gebruik 0 euro per jaar aan doktoren of medicijnen, dat geld krijg ik niet terug dus daar worden andere mensen van betaald), dat blijf ik dan ook liever gewoon zo doen ipv dat bepaalde mensen uit de verzekering gegooid worden.. Dan betaal ik maar 100 euro teveel elke maand, als ik daar een ander mee help. JA.

Onzekere tijden staan ons tegemoet vrees ik..

shiptronic @LopendeVogel • 18 februari 2017 22:45

Helemaal met je eens, maar van andere onzin moeten we af. Zoals je aan geeft ban je nooit ziek en heb je al jaren geen dokter gezien. Ik hoop voor je dat dit nog jaren zo blijft, maar ondanks dat je niet naar je huisarts gaat, mag die toch 3 consulten per jaar voor je schrijven, en daar zit de fout

SamTex @Framoes • 15 februari 2017 19:40

Fraude, misschien moet ze deze even zien https://www.youtube.com/watch?v=gWLrfNJICeM

Tmaster @Framoes • 15 februari 2017 20:18

Deze maatregel heeft mij er toe doen besluiten om straks op de piraten partij te stemmen. Niet alleen zijn ze een sterk voorstander van netneutraliteit maar ook hier zijn ze zeer fel op tegen
Andere kant heeft de minister hier wel een punt. Net zo als bij de overheid werken ziekenhuizen met zeer oude (legacy) applicaties die vaak alleen nog werken met XP. De transitie naar Windows 7/8/10 is bezig, maar sommige systemen met persoonsgegevens zijn veelal verouderd.
In de jaren 90 toen de computer zijn intrede deed zijn veel papieren patiënten dossiers gedigitaliseerd. Uitgebreide Oracle databases met allerlei toeters en bellen had je toen niet. Er werden veel custom made applicaties (draaiend op openvms) gemaakt die toen goed werkte met XP. En helaas zijn dat soort systemen nu vaak de zwakke schakels in ziekenhuizen.

Morress @kegeltje26 • 16 februari 2017 02:12

Daarom hebben wij een meer-partijen systeem, zodat ze elkaar aanvullen.

Ynst2003 @kegeltje26 • 16 februari 2017 09:24

klopt. Maar 1 zeteltje in de Tweede Kamer zou echt zeer welkom zijn.

BobJung

15 februari 2017 18:46

Ik zou het plezierig en wenselijk vinden als dit in een persoonlijke dbase wordt opgeslagen die ik zelf beheer en waar ze met mijn toestemming inkomen.

ErA @BobJung • 15 februari 2017 18:53

Ik wil heel graag goed reageren op dit onderwerp maar de materie is gewoon te uitgebreid voor een goede korte reactie. Toch maar een poging.

Er zijn diverse oplossingen en technieken waarmee Patientgegevens worden uitgewisseld en ingezien. Binnen deze oplossingen is al ruimte voor Authenticatie, Identificatie en Toestemming geregeld. Twee voorbeelden hiervan zijn het Landelijk Schakelpunt (LSP) en IHE Cross Enterprise Document Sharing (IHE-XDS).

Mijn inziens ligt het probleem bij het feit dat er landelijk maar traag stappen worden gezet. Dergelijke uitspraken van de minister vind ik erg open deuren waarmee een probleem wordt aangewezen maar de concrete oplossing achterblijft.

Gelukkig beweegt de commerciele markt in samenwerking met de zorgaanbieders sneller en wordt er snel toegewerkt naar betere, uniformere en veiligere platformen voor uitwisseling van gegevens en het aanbieden hiervan.

Door de enorme ICT complexiteit en het uitgebreide landschap echter, blijven ziekenhuizen altijd keuzen moeten maken tussen werkbaarheid en het super duper in acht nemen van de WBP en security eisen.

Buiten dat feit wordt momenteel het gros van de datalekken (Wet datalek) veroorzaakt door menselijk handelen (of menselijk falen).
Een usb die men laat liggen zal altijd een probleem blijven.

[Reactie gewijzigd door ErA op 22 juli 2024 18:45]

Kevinp @ErA • 15 februari 2017 19:07

Bij alle oplossingen waarbij IK geen inzicht heb in wat waar mogelijk staat is privacy in het geding.

Er zijn een aantal oplossingen mogelijk. Een ervan en de makkelijkste is een Chipkaart met de sleutel tot je gegevens, of met je gegevens.

In mijn ogen moet je vooral goed oppassen en het binnen Nederland ontwikkelen. Alle Amerikaanse bedrijven zijn een gevaar ivm eigen wetgeving.

Maar wel met een projecleider die begint met de eisen, en dat maakt en uitrolt. En niet de eisen aanpast onderweg. Dat is namelijk waar bijna alle (semi) overheidsprojecten op mislopen.

ErA @Kevinp • 15 februari 2017 19:13

Zoals ik al aangeef. Deze materie is veel te uitgebreid om in een paar reacties te bespreken.

Ik werk in de Healthcare IT en kom dagelijks in aanraking met wat jij nu benoemt. Er zijn overigens diverse "neutrale" partijen die de rol invullen van projectleider zoals jij deze benoemt. Zoals VZVZ en Nictiz.

Ook het inzichtelijk maken van gegevens voor de patient is een actueel vraagstuk waar nu naar gekeken wordt. Patientgegevens worden echter al uitgewisseld omdat dat de primaire vraag is.

Kevinp @ErA • 15 februari 2017 20:23

Ow die zullen er vast zijn, MAAR uit het verleden is duidelijk gebleken dat de mensen niet goed genoeg zijn ( even zonder nuance).

Naast deze projectleiders moeten de opdrachtgevers ook weten wat er moet gebeuren. Iets wat blijkbaar niet altijd gebeurd. Uiteindelijk gaat het veel te vaak mis.

Nu is er geen mogelijkheid tot uitwisseling behalve bij explicite aanvraag. Oplossingen die 100% veilig zijn, bv met een sleutel op de kaart en daarbij digitale utiwisseling en opslag zoals nu is een makkelijke snelle oplossing.

Ideaal nee, maar iedereen die IK wil kan bij mijn gegevens, uitwisseling op de manier van nu blijft bestaan. Dat is beter dan wat er nu is, maar verre van ideaal.

Zoals eerder al ergens gezegd, sommige dingen zijn echt niet nuttig om te delen. Maar andere dingen dingen zoals een alergie voor peniciline of verdovingen en een bloedgroep kunnen levens redden. Dat je een moedervlek hebt weg laten halen omdat je die niet mooi vond, of risicovol was maakt spoedeisend niks uit.

Zeggen wat gebeurd er als je die chipkaart niet bij hebt, tja euh... Wat gebeurd er als je geen ID bij hebt? Dan weten ze niet wie je bent dus ook niet wat je medische gegevens zijn.

Verwijderd @Kevinp • 15 februari 2017 22:52

Veel te kortzichtig. Ik snap waar je vandaan komt, maar je mist het punt volledig.

We hebben het hier specifiek over zorginstellingen. Geen instellingen waar je over het algemeen volgens planning heen gaat. Stel, je komt in een ernstig auto-ongeluk, en je hebt dus inderdaad je 'Medische Chipkaart' niet bij je, en komen niet bij je gegevens, en je hebt nu net een vage allergie tegen een medicijn wat ze je willen geven?

Met mensenlevens wil je niet sollen. Daarom moeten medische professionals toegang hebben tot bepaalde gegevens. Dat het beter beschermd moet worden, en er scherper toezicht moet komen op de procedures eromheen, ben ik helemaal mee eens, maar je moet je realiseren dat er in de medische wereld genoeg situaties voorkomen waarin het onderwerp (=jij als persoon) niet in staat bent 'toestemming' te geven voor toegang tot je gegevens.

Een systeem waarin een ander iemand gerechtigd is voor jou om toegang te geven is ook niet ideaal. Zit die persoon net ergens in de jungle in Maleisië en is onbereikbaar.

Medische professionals moeten toegang hebben tot data. Waar de focus op moet liggen is hoe met die data omgegaan moet en kan worden.

Blokker_1999

Politiek en recht
Nederland
Privacy

@Kevinp • 15 februari 2017 19:43

Niet akkoord want als jij een ongeluk hebt en je chipkaart niet bij hebt staan die gegevens daar versleuteld zonder dat iemand er aan kan maar mogelijks wel je leven er van af hangt.

De data moet inzichtelijk zijn, maar met traceability. Jij moet als patient de mogelijkheid hebben om na te gaan met welke gebrbruikersaccounts op welke momenten wat is geraadpleegd.

Kevinp @Blokker_1999 • 15 februari 2017 20:23

Wat als ik een ongeluk krijg en ze weten niet wie ik ben? Hoe komen ze dan aan mijn gegevens? Ongeacht het systeem wat er te kiezen is.

Verwijderd @Kevinp • 15 februari 2017 22:53

Dan heb je hopelijk je rijbewijs bij je. Of zit je in een auto waarvan ze het kenteken kunnen checken.

stresstak @ErA • 15 februari 2017 19:02

Een usb die men laat liggen zal altijd een probleem blijven.

Wat doen mijn medische gegevens op andermans usb-stick ?

ErA @stresstak • 15 februari 2017 19:16

Wat doen jouw gegevens in een simpele fileshare. Wat doen jou gegevens in een kast die niet op slot zit. Wat doen jouw gegevens in een whatsapp bericht. Wat doen jouw gegevens in een onbeveiligde email.

Ten einde de juiste zorg te kunnen leveren zijn in het verleden en worden nog steeds beslissingen genomen die soms niet helemaal binnen het privacy plaatje passen.

Dit is geen goede zaak, nee. En daarom wordt constant gezocht naar verbetering van deze methodes.

Het is echter zo een complexe ICT wereld binnen de gezondheidszorg dat niet alles tegelijk kan worden aangepakt.

AriGold @stresstak • 16 februari 2017 08:24

Ik verstuur regelmatig klinische foto's naar supervisoren via whatsapp, maar altijd zonder naam, en indien mogelijk zonder gezicht van de patient. Is vaak gewoon nodig voor overleg, alleen zo kan je een vlotte en dus goede zorg bewaren.

bzzzt @AriGold • 16 februari 2017 09:41

Er is een heel spectrum aan software beschikbaar specifiek om veilig zorggegevens te delen (Kanta, Zivver, Alterdesk). Dat jouw supervisoren voor een dubbeltje op de eerste rang willen zitten en die gegevens via Whatsapp laten sturen zou ze eigenlijk al een forse boete moeten opleveren.

Ik zou me verplicht voelen dat als een datalek te melden bij de autoriteit persoonsgegevens.

AriGold @bzzzt • 16 februari 2017 10:50

Dat maakt toch niet uit als het gaat over bv een melanoom? Moedervlek? Trauma van een vinger etc?
Ik bedoel: als de identiteit van de patient niet te achterhalen is.
Of zit ik daar nu mis?

bzzzt @AriGold • 16 februari 2017 10:56

Je zegt zelf al "indien mogelijk zonder gezicht" wat impliceert dat er soms wel gezichten herkenbaar in beeld zijn. Gezichten zijn ook een persoonsgegeven.

Lees eens iets over de gezichtsdetectie die facebook gebruikt en begrijp dan dat er al een koppeling gemaakt is tussen het profiel van je patient en de 'melanoom' discussie. Je patient kan dus gepersonaliseerde reclame via facebook verwachten.

stresstak @AriGold • 16 februari 2017 13:36

Ik verstuur regelmatig klinische foto's naar supervisoren via whatsapp, maar altijd zonder naam, en indien mogelijk zonder gezicht van de patient.

Zonder naam en anoniem, zo hoort het ook. De vraag is of dat per se via whatsapp moet.

Het moet veilig en goed beschermd. En dat is wat de minister wil benadrukken bij diegenen die misschien ondoordachter en onzorgvuldiger handelen.

LopendeVogel @AriGold • 19 februari 2017 08:45

Ik ken een paar doktoren en assistenten. Die doen alles, alles behalve dat wat jij nu zegt.
Jij stuurt gegevens van een patient via whatsapp naar iemand door??? Al dan zonder naam, het mag niet wat jij daar doet!

[Reactie gewijzigd door LopendeVogel op 22 juli 2024 18:45]

DieterKoblenz @stresstak • 15 februari 2017 19:47

Het is gezonder om jouw privacy niet te respecteren. Totaal los van het feit dat het niet wenselijk is in bredere zin.

In de zorg wordt helaas vaak via whatsapp en e-mail gegevens verzonden, bijvoorbeeld een hartfilmpje dat door een huisarts naar een cardioloog wordt gestuurd ter beoordeling.

Is dat goed? Nee, maar die individuele arts is het niet kwalijk te nemen dat er geen betere oplossing is. Dat is een gemeenschappelijk probleem. Dus jouw opmerking is te kort door de bocht.

bzzzt @DieterKoblenz • 16 februari 2017 09:42

Kwatsch. Er zijn betere oplossingen als je er naar zoekt.

carnelain @stresstak • 15 februari 2017 22:23

Je realiseert je dat deze beslissing genomen wordt op het moment dat jij met een hartinfarct op een operatie tafel ligt. Bereidt je leven te geven voor je privacy?

bzzzt @carnelain • 16 februari 2017 09:43

Dat er in extreme noodsituaties andere keuzes worden gemaakt is nog geen excuus om de standaard werkwijze dan ook maar op onveilige manier in te richten.

carnelain @bzzzt • 18 februari 2017 18:51

Uiteraard, maar als veilige middelen ontbreken of adequaat handelen in de wegstaan is het een ander verhaal. Het is niet zwart wit er is een enorm grijs gebied.

stresstak @carnelain • 15 februari 2017 22:58

"Ik zal het uitwisselen van patiëntgegevens via onbeveiligde verbindingen en websites en de awareness daarover, daarin als aandachtspunt meenemen", aldus de minister.

Ik ben trots op de minister.

Blokker_1999

Politiek en recht
Nederland
Privacy

@stresstak • 15 februari 2017 19:42

Dokter die de mening wenst van een collega specialist die op dat moment niet aanwezig is in het ziekenhuis bijvoorbeeld.

MdBruin @ErA • 16 februari 2017 09:20

Daar heb je wel een goed punt te pakken. Je kunt het systeem zo veilig mogelijk maken maar als de gebruiker er niet netjes mee om gaan werkt het nog niet.

Zelf laatst ook een keer slachtoffer geweest van een datalek, een gemeente ambtenaar welke mijn gegevens en van vele andere naar een verkeerd email adres had gestuurd. Heeft zelfs het landelijke nieuws gehaald.

In het nieuwe ziekenhuis hier in Amersfoort hebben ze aardig geïnvesteerd in nieuwe beveiliging, elke medewerker(ster) heeft een pasje waarmee ze kunnen in/uitloggen. De polies waar ik mee te maken heb gaat hiermee goed om, andere patiënten worden ook niet besproken waar een andere patiënt bij is.
Alles gaat daar ook digitaal en niet op papier, computers blijven ook niet ingelogd staan als ze er niet achter zitten.

WhatsappHack

Politiek en recht
Privacy
Nederland

@BobJung • 15 februari 2017 18:54

Ik ook, al is een noodsysteem waarbij tenminste belangrijke gegevens naar boven komen (bloedgroep, bekende allergieën (die relevant kunnen zijn als je met spoed opgenomen wordt), bepaalde ziektes met verhoogde risico's voor staff, etc.) mogelijk wel levensreddend. Niet je hele dossier en inhoudelijk geen gedetailleerde info, maar wel wat basic info.

Gaat echter nooit gebeuren, immers bestaat privacy in de zorg bijna niet meer dankzij deze minister met flinke belangenverstrengelingen. Verzekeraars mogen al zonder jou toestemming en zonder toezicht gewoon je dossiers binnen halen, en god knows what er vervolgens mee gebeurt.

Faeron @BobJung • 15 februari 2017 19:30

Ik heb hier zelf ook vaak genoeg over na lopen denken. Zo'n systeem bouwen waarbij ik zelf mijn medische gegevens beheer en gecontroleerd toegang kan bieden aan medisch specialisten is het probleem niet. Het probleem is, hoe krijg ik deze medisch specialisten zover dat ze mijn persoonlijke EPD accepteren ipv hun eigen systeem. Het wordt voor hen onwerkelijk als iedereen met een eigen systeem aan komt zetten.

Daarnaast zet een specialist ook wel eens informatie in een patientendossier waarbij het niet wenselijk is dat de patient die gegevens in kan zien. Denk bijvoorbeeld aan een vrouw die zich bij de huisarts meldt met blauwe plekken en flinke schaafwonden. Als de huisarts huiselijk geweld vermoedt, kan deze dat in het dossier zetten. Je wil niet dat haar man dat op een of andere manier dan onder ogen krijgt. Bij een persoonlijk EPD heeft een huisarts daar te weinig zekerheid over.

Crazy D @Faeron • 16 februari 2017 12:36

Een grotere uitdaging is die arts toegang geven tot jouw persoonlijke EDP wanneer je voor pampus op de spoedeisende hulp aankomt...

Faeron @Crazy D • 17 februari 2017 19:19

Wat je nu noemt is een veel gehoord argument voor een EPD, maar volslagen onzin. Er is een vaste SEH procedure. Bij spoed gaan specialisten echt niet eerst in een EPD neuzen. Voor levensreddende handelingen is een EPD volslagen overbodig. Meerdere medisch specialisten hebben dit tegen me bevestigd!

Rixter223 15 februari 2017 18:50

Ik kan het beamen, beveiliging is inderdaad ondermaats. Bij mij op het werk (wijkzorg) was daar onvoldoende kijk op. Ik heb me daar sterk voor gemaakt en er is gelukkig veel verbeterd. Wat bij ons nog het grootste probleem is en blijft zijn de medewerkers zelf, verplegend personeel staan nu eenmaal niet allemaal te trappelen om met computers te werken, die willen met mensen werken.
Uitleg geven blijft belangrijk, het liefst 1 op 1 contact. Leg het nut uit van updaten van software en besturingssysteem, wachtwoorden enz. Je wil niet weten hoeveel mensen een wachtwoord hebben die je kunt raden bijvoorbeeld.

Anonymoussaurus @Rixter223 • 15 februari 2017 19:14

Leg het nut uit van updaten van software en besturingssysteem, wachtwoorden enz. Je wil niet weten hoeveel mensen een wachtwoord hebben die je kunt raden bijvoorbeeld.

Je kunt ze misschien niet overhalen om computers leuk te gaan vinden, maar je kunt vast wel een keer een soort van rond de tafel zitten met collega's, en ze uitleggen wat de gevolgen kunnen zijn (de meest ernstige eruit pakken). Ook zou ik instellen dat een wachtwoord, speciale tekens moet bevatten, evenals cijfers en minimaal 8 tekens. Dan moeten ze namelijk wel, en als ze een nieuw wachtwoord moeten instellen, mag dat niet lijken op het oude wachtwoord.

Rixter223 @Anonymoussaurus • 15 februari 2017 21:14

Dat zijn we nu dus ook al aan het doen. Het feit dat we een boete kunnen krijgen van driekwart miljoen helpt ook wel in de motivatie.
We werken ook veel met ipads en bij veel apps kun je gewoon een heel zwak wachtwoord invoeren en ze updaten zich niet automatisch. Tablets hebben veel voordelen maar vormen ook een risico.

Faeron 15 februari 2017 19:00

Ik heb ervaring met een zeer groot ziekenhuis in Nederland. De beveiliging is daar zeker ondermaats, simpelweg omdat standaard zaken als ICT-beheer en informatiebeheer totaal niet op orde zijn. Bij geen zicht op de informatie is de beveiliging ervan nogal onmogelijk. De directie geeft ook onvoldoende prioriteit aan dit soort zaken. Sterker nog, ze vertalen zelf allerlei strategische zaken (meer eenheid van de verschillende afdelingen) naar operationele ICT zaken (een groot open netwerk). Te belachelijk voor woorden.

[Reactie gewijzigd door Faeron op 22 juli 2024 18:45]

JaQ

@Faeron • 15 februari 2017 20:46

ICT als kostenpost. Ik denk ook dat het een gemiste kans is, maar tegelijkertijd snap ik ook dat de bestuursvorm van het ziekenhuis er voor zorgt dat er geen echte visie op ICT kan ontstaan.

SpoekGTi 15 februari 2017 19:02

Is dit niet een gevalletje Pot-Ketel immers zo op en top secure zijn ze bij de minister raad ook weer niet

ProjWorld @SpoekGTi • 15 februari 2017 19:09

Nog veel erger...Diverse organisatie's hadden voor de invoering van de/het EPD al aangedrongen op meer voorbereidingstijd en nadere uitwerking op de plannen, maar het ministerie moest het er zo nodig doorheen drukken (samen met andere belangenorganisatie's).

Hoe moet een ziekenhuis zich adequaat laten adviseren, als de minister (ook) geen tastbare gereedschappen of middelen biedt?

ptop2k 15 februari 2017 18:56

Ik snap nog steeds niet waarom er geen iso standaard is voor de zorg en beveiliging. Uiteraard moeten er maandelijks audits worden gedaan door een onafhankelijke partij die flinke boetes kan uitdelen als ziekenhuizen falen om daaraan te voldoen.

Het is triest dat banken beter beveiligd zijn dan de overheid.

MiZtraL @ptop2k • 15 februari 2017 19:03

http://www.iso.org/iso/ho...nt-standards/iso27001.htm

Uit de PDF:
De Wet bescherming persoonsgegevens (Wbp) verplicht het nemen van passende technische en organisatorische maatregelen waarbij het beveiligingsniveau passend moet zijn bij de aard van de te beschermen gegevens. In de gezondheidszorg zijn de NEN 7510, NEN 7512 en NEN 7513 de normen om dit beveiligingsniveau te bereiken. De Autoriteit Persoonsgegevens (AP) ziet hierop toe en kan zo nodig handhavend optreden. Ook de Inspectie voor de Gezondheidszorg (IGZ) ziet toe op de naleving van relevante wet- en regelgeving op het gebied van informatiebeveiliging in de zorg, voor zover die raakt aan kwaliteit en veiligheid van zorg.

In de US hebben ze HIPAA
https://www.hhs.gov/hipaa...ws-regulations/index.html

[Reactie gewijzigd door MiZtraL op 22 juli 2024 18:45]

ptop2k @MiZtraL • 17 februari 2017 10:33

Dan faalt de toezichthouder. Wie houdt er dan toezicht op de toezichthouder?

darkrain Moderator Discord @ptop2k • 15 februari 2017 19:25

Ehm NEN-7510...

Verwijderd 15 februari 2017 19:01

Misschien dat een forse boete hen bewust maakt van de noodzaak.

Bubbaman 15 februari 2017 19:16

Bij mijn ziekenhuis heb ik vorige maand, toen deze bal begon te rollen vragen gesteld aan de verantwoordelijke bestuurder.
De website is inderdaad niet geheel beveiligd, vandaar geen SSL. Maar dat geldt voor het domein zelf, en de daaronder vallende pagina's bevatten alleen niet-privacy gebonden informatie waarop niet kan worden gereageerd.
Alle persoons- en gegevens gevoelige informatie, zoals reactieformulieren, klant- en leveranciersystemen, patiënt inlog, EPD-koppelingen etc zitten wel achter certificaten, zoals ook het gehele intranet.
Zij gaan overigens (onder meer door mijn aandringen) wel het gehele domein achter SSL zetten.

[Reactie gewijzigd door Bubbaman op 22 juli 2024 18:45]

Sergelwd 15 februari 2017 19:38

"Ik zal het uitwisselen van patiëntgegevens via onbeveiligde verbindingen en websites en de awareness daarover, daarin als aandachtspunt meenemen", aldus de minister.

De awareness en aandachtspunt. -_-`
Is het niet eens tijd dat er flinke (cel)straffen op komen te staan ipv het te hebben over de awareness.

[Reactie gewijzigd door Sergelwd op 22 juli 2024 18:45]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (65)

Sorteer op:

Weergave: