Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Beveiliging gegevens in Nederlandse gezondheidsinstellingen is onvoldoende'

De nog op te richten Nederlandse Inspectie Gezondheidszorg en Jeugd heeft op basis van een vooronderzoek bij tien ziekenhuizen en instellingen voor ggz en gehandicaptenzorg vastgesteld dat slechts twee instellingen voldeden aan de toepasselijke normen voor informatiebeveiliging.

De overige acht instellingen voldoen volgens de inspectie niet aan de toepasselijke normen die voorschrijven hoe een organisatie de informatiebeveiliging moet organiseren en garanderen. De inspectie ziet dit als een tekortkoming, omdat hier al langer aandacht voor is gevraagd. Alle instellingen zeggen nog dit jaar te voldoen aan de zogeheten NEN 7510-norm, die ziet op het instellen van maatregelen voor zorginstellingen om de persoonlijke gezondheidsinformatie te beschermen.

Volgens de inspectie is er bij de meeste instellingen op het niveau van de directie wel aandacht voor ict die wordt ingezet om de gezondheidszorg te ondersteunen of te verbeteren. Het gaat dan bijvoorbeeld om patiŽntenportalen, medische apps en elektronische patiŽntendossiers. Voor de beveiliging van deze gegevens ontbreekt het echter nog wel eens aan duidelijke afspraken, is niet duidelijk wie er precies verantwoordelijk is, of ontbreekt een overkoepelende visie op hoe gegevens met andere instellingen op de juiste wijze kunnen worden gedeeld.

De inspectie onderzocht de tien instellingen tussen september en december 2017 en sprak daarbij met de directies, ict-medewerkers, patiŽnten, de cliŽntenraad en er werd specifiek gekeken naar enkele voorbeelden van het gebruik van medische gegevens in de instelling.

Door Joris Jansen

Nieuwsredacteur

14-05-2018 • 17:44

47 Linkedin Google+

Reacties (47)

Wijzig sortering
Ik geloof die resultaten wel maar vaak wordt het voldoen aan die norm een doel op zich. Heb zelf al een paar keer gezien dat het voldoen aan die norm in bepaalde gevallen niet in het belang van de patiŽnt is. Soms is het gewoon niet mogelijk om zowel informatiebeveiliging als patiŽntveiligheid gelijktijdig op een gelijk niveau te handhaven. Dan moet je een keuze maken.
De in December 2017 beschreven norm benadrukt de mogelijkheid om keuzes te maken. In de basis moet je je risico's bepalen, en bepalen wat wel en niet acceptabel is. Bij onacceptabele risico's dien je die te mitigeren.

Je kan dus prima aan de norm voldoen terwijl je in patient/client-belang handelt. Wel dien je je risico's in kaart te brengen en te documenteren waarom je bepaalde risico's acceptabel vindt.
Dat kun je doen voor de situaties die je vooraf kent en waarvan je het risico hebt kunnen inschatten. In een ziekenhuis moet je in veel gevallen snel en adequaat kunnen handelen zonder dat ICT-beveiliging je daarin belemmert.
En dus kan je je maatregelen prima inregelen op die wijze! Veel voorkomende aanpak is (bijvoorbeeld):
1) De standaardoplossing is beperkt tot de normale handelingen. D.w.z. dat medewerkers alleen toegang hebben tot dossiers waar reeds een behandelrelatie is.
2) Een noodoplossing waarbij die beperking omzeild wordt, maar wel iedere stap gelogd wordt. Deze logs worden dan regelmatig gereviewd om vast te stellen dat rechtmatig de noodoplossing gebruikt is.

Deze aanpak is niet strijdig met de eisen uit NEN7510.
Dat snap ik wel en dat is heel leuk bedacht van achter een bureau, maar de praktijk is gewoon weerbarstiger.
Dat lijkt me wel heel kort door de bocht. Kun je aangeven waarom dat soort dingen niet werken?

M.i. is het prima mogelijk om verschillende gewone en noodscenario's uit te werken.
Door de unknown-unknowns. Scenario’s doen het alleen bij de known-knowns en de known-unknowns.
Dus voor de "unknown-unknowns":
2) Een noodoplossing waarbij die beperking omzeild wordt, maar wel iedere stap gelogd wordt. Deze logs worden dan regelmatig gereviewd om vast te stellen dat rechtmatig de noodoplossing gebruikt is.
vastgesteld is dat de standaard oplossing niet werkt..... dus stap 2:
niet alleen uitvoeren maar ook rapporteren wat er waarom anders gedaan is...
paar dagen later ligt er een rapport bij de directie met verzoek om een aanpassing in de procedure waarbij stap 1) blijft; huidige stap 2 stap 3 wordt en de nieuwe stap 2 "bla bla bla"... wordt.

Weer een unknown-unknown getackeld.
Wat daarbij dan trouwens ook moet worden meegenomen is de regelmatige evaluatie van de doelmatigheid van de repportages, resources die daaraan worden besteed kunnen tenslotte wellicht beter anders worden gebruikt.
Ik geloof inderdaad de resultaten van het vooronderzoek wel, echter "De nog op te richten Nederlandse Inspectie Gezondheidszorg en Jeugd" doet mij wel nadenken.

Moet deze nog op te richten inspectie zijn eigen bestaan verantwoorden? Een inspectie zou toch onafhankelijk en objectief moeten zijn? Dit gaat niet echt in samenspraak met beide genoemde uitgangspunten mijns inziens.
Ik weet dat het bij mijn werkgever wel goed zit met de beveiliging van de gegevens van de clienten van onze klanten. Wij leveren een SaaS oplossing die in de zorg gebruikt wordt voor de dossiervorming en administratie.

Echter, alles valt en staat met de inrichting. Niet elke klant wil tweefactor-authenticatie gebruiken. Elke klant wil gebruikersgemak, maar dat staat vaak haaks op beveiliging. Simpel voorbeeld, stel je richt de boel zo in dat alleen de hulpverlener van een client de casus mag inzien. Wat als in het weekend deze client een psychose krijgt en een andere hulpverlener, misschien zelfs van een andere organisatie, moet bij de casus kunnen om te kijken of de patiŽnt een gevaar voor zichzelf of voor de omgeving kan zijn? Op dat moment moeten eigenlijk de normale toegang omzeild kunnen worden.

En dan de gegevens uitwisseling. De grote veranderingen die de zorg heeft meegebracht, het uitbesteden van de zorg aan de gemeentes, die op hun beurt de zorg weer uitbesteden aan toeleveranciers maakt dat de financieringsketen uitermate complex is. En aangezien de aangeboden zorg-producten, de tijd en client-informatie door deze keten heen gaat, is daar ook heel veel ruimte voor problemen.
Ik weet dat het bij mijn werkgever wel goed zit met de beveiliging van de gegevens van de clienten van onze klanten.
Weet je het wel zeker? Je eigen voorbeeld klinkt extreem schimmig...
Simpel voorbeeld, stel je richt de boel zo in dat alleen de hulpverlener van een client de casus mag inzien. Wat als in het weekend deze client een psychose krijgt en een andere hulpverlener, misschien zelfs van een andere organisatie, moet bij de casus kunnen om te kijken of de patiŽnt een gevaar voor zichzelf of voor de omgeving kan zijn? Op dat moment moeten eigenlijk de normale toegang omzeild kunnen worden.
Ik mag toch hopen dat de normale toegang niet omzeild hoeft te worden maar de software er gewoon iets voor geregeld heeft, dit is namelijk gewoon basis functionaliteit voor elk pakket in de zorg/hulpverlening.
Als je dit al zo schimmig moet gaan beschrijven dan twijfel ik toch echt zwaar aan de rest van het pakket.
Uiteraard is dit in software geregeld. Maar als de applicatiebeheerder iedereen het recht geeft om in geval van nood een dossier te kunnen bekijken.... Of als de applicatiebeheerder voor het gemak iedereen een veel te uitgebreide rechtenstudie geeft?

Neem het voorbeeld van ‘Barbie’. De leverancier van de software, Chipsoft, voorzag in een hoop voorzieningen om ervoor te zorgen dat niet iedereen zomaar een dossier kon inzien. Het ziekenhuis had er echter voor gekozen om daar geen gebruik van te maken, waardoor iedereen alles kon zien.
Jij denkt dat er een default pakket hierin te maken is waar alle juiste accounts met alle juiste permissies voor alle juiste patienten/clienten zitten? Dat zou wel extreem specifiek zijn, niet?
Je doet voorkomen dat je precies weet waar je over spreekt. Echter hebben de autorisaties die in deze systemen mogelijk zijn weinig te maken met de wet. Er wordt in dit artikel juist gesproken over de 7510 (geen wet). Dit is eigenlijk het enige document dat in gaat op beveiliging en autorisaties. Er zijn verder twee relevante wetten, de WGBO en de binnenkort effectieve AVG. Beide wetten spreken alleen in algemene zin, en zeggen niets over autorisaties, laat staan op het niveau van welke (zorg) gegevens door wie in te zien zijn.

Het probleem dat Ralph beschrijft, de mogelijkheid bij gegevens te kunnen in situaties waarbij de patiŽntveiligheid in het geding is, versus strikte autorisatie en beperkte inzage van gegevens waar ‘je niets mee te maken hebt’, is enorm lastig te realiseren. Deze systemen zijn nog maar minimaal gestructureerd. Dat maakt het lastig om bepaalde zaken wel af te schermen, en andere niet.

Je opmerking dat het systeem ‘hier iets voor geregeld moet hebben’ is nogal makkelijk. Leveranciers willen graag werkbare oplossingen bieden, maar de instellingen zitten er niet op te wachten. Er wordt erg vaak de patiŽntveiligheid kaart gespeeld, waardoor een voorgenomen striktere autorisatie structuur wordt teruggedraaid. Ik denk dat de IGJ nodig is om deze instellingen bewust te maken van de risico’s en richting betere processen en structuren te dwingen.
[…] over de 7510 (geen wet)
Kleine corrrectie: NEN 7510 (en 7512, 7513) is geen wet, maar is effectief wel wettelijk verplicht gesteld door de overheid. Daarom zijn deze die normen ook gratis raadpleegbaar (de overheid heeft de licenties ervan vrijgekocht omdat ze gebruikt worden om te toetsen of de informatiebeveiliging op orde is bij zorginstellingen).

Zie ook: https://www.werkenmetnen7510.nl/vragen/20

[Reactie gewijzigd door Freak_NL op 15 mei 2018 10:04]

hebben ze nog 6 dagen
Het kan ook zoals bij mijn huisartsen praktijk.

Het is daar het beleid dat niks digitaal met de "patient" besproken mag worden..

Nu moet ik deze week naar de huisarts, en 3 uur vrij vragen van mijn stage voor een gesprek van 1 minuut, wat ook via E-mail had gekund.

Dit is natuurlijk geen ggz of gehandicaptenzorg maar wel een voorbeeld van ongemakkelijkheid. In het opzicht van privacy is dit natuurlijk stukken beter dan een lek systeem, maar ik hoop toch dat het ooit makkelijker word.
Het hele systeem is lek als maar kan, en dan komen we niet eens aan bij de software.

Het enigste dat ik nodig heb om bij de apotheek mijn recept op te halen is mijn naam en geboortedatum
Medische dingen bespreken? Naam en geboortedatum (Huisartsenpost)
Ziekenhuis? Naam, Geboortedatum en ziekenhuispasje (simpele barcode)

Het vervalsen van informatie en recepten stelen is erg makkelijk via social engineering op deze manier, er zit gewoon geen veiligheid in.
Laatst moest ik bloedprikken, ga ik naar het ziekenhuis, loop naar het prikcentrum, pasje, naam, geboortedatum. done.

Ik hoef men ID niet te laten zien, geen foto of whatsoever. Nou is dit voor men eigen gezondheid maar stel ik had resultaten ofzo moeten vervalsen of hoe dan ook, had ik gewoon iemand anders voor mij kunnen laten gaan. Of als ik een bepaald medicijn in handen wil krijgen.. (al kan ik dan net zo goed meteen met een andere naam naar de huisarts).
Ik ben het met je eens dat het niet veilig is, maar vaak kan het niet anders. Het is bij het ophalen van recepten niet te doen iedereen zijn ID te vragen. Nieuwe patiŽnten schrijven zich in op vertoon van legitimatie, vluchtelingendocument of uittreksel BRP en die worden (m.u.v. de uittreksels) direct gecontroleerd op geldigheid in een systeem van SBV-Z dat gekoppeld is aan de basisregistratie. Verzekeringsgegevens worden direct opgehaald via Vecozo (doordat je BSN bekend is van de legitimatie).

Stel dat jij graag om je identificatie gevraagd wordt, dan kun je vaak wel een melding laten aanmaken (een aangepaste contra-indicatie voldoet meestal), zodat dit elke keer zichtbaar is als jouw gegevens worden opgevraagd.

Bij het ziekenhuis zien ze hoogstwaarschijnlijk een foto. Vaak wordt bij de aanmaak van je ziekenhuis pasje je ID-kaart gescand (fysiek) en uit die scan de foto geknipt. Tegenwoordig kunnen ze met sommige rijbewijzen ook een kleurenfoto met NFC o.i.d. uitlezen, maar iemand anders kan je vast de details vertellen.

Conclusie: het is niet heel veilig, maar het kan niet eenvoudig anders. (Stel: jouw moeder van 80 belt naar de huisartsenpost voor de labresultaten, wat zou de assistente moeten vragen zodat het 100% veilig is?).
(Stel: jouw moeder van 80 belt naar de huisartsenpost voor de labresultaten, wat zou de assistente moeten vragen zodat het 100% veilig is?).
Uitslagen van onderzoeken zijn in de regel niet telefonisch opvraagbaar. Labresultaten worden doorgebeld vanuit het ziekenhuis of de huisarts naar het geregistreerde telefoonnummer van de patient.

De assistente moet dus niets vragen, maar mevrouw uitleggen dat huisartsenpraktijk en/of ziekenhuis contact op gaan nemen met haar; en niet andersom.
Bij een bank krijg ik geen geld zonder pasje. Ik zie niet in waarom er geen zorgpas mogelijk is. Dat zou al heel veel fraude schelen.
Waarom zou het niet te doen zijn bij iedereen zijn ID op te vragen? In BelgiŽ lukt het anders vrij aardig. Kom ik in het ziekenhuis, dan moet ik mij identificeren met mijn identiteitskaart. Bij de apotheker? Daar moet ik voor medicatie op voorschrift mijn identiteitskaart bovenhalen. Enige manier om een deel van de kosten terugbetaald te krijgen door de overheid.
de huidige paspoorten en identiteitskaarten hebben chips die te scannen zijn zoals je zegt, het is dus een geval van *biep* klaar.. zelfs sneller dan het vragen van naam en geboortedatum (die ze ook moeten intikken). degene zonder kunnen nog altijd de BSN laten intypen als het echt niet anders kan.
Dit alleen al is een stuk veiliger. Zou op zen minst verplicht moeten zijn bij het ophalen van medicatie (sommige ervan erg duur en om te zetten naar drugs)
Voor het maken van een pasje moet je een id laten zien. Als je eenmaal een ziekenhuis pasje hebt zijn alle beveiligingen ineens weg. Dat pasje is zo simpel dat het nog uit het tijdperk van Fred Flinstone lijkt te komen.
Pasjes verwisselen, of namaken is niet moeilijk, maar werkt wel. Als controle vraagt men meestal de geboortedatum. Die moet je dus weten.
Het is bij het ophalen van recepten niet te doen iedereen zijn ID te vragen.
Ik doe het uit eigen beweging. Het pillenmeisje weet wie ze moet zoeken en ik hoef mijn naam niet te spellen. Als je het een voorwaarde maakt, heeft eenieder zn pasje klaar.
Stop toch eens met het wantrouwen en mogelijke scenario's van misbruik als het om patiŽnten gaat. De enige mensen die ik meemaak met wantrouwen zijn mensen met geld of arme mensen omringt (eventueel onder druk gezet) door mensen met geld. Wantrouwen is geen gezonde basis om te kunnen leven. Als iemand zich ziek zou verklaren vanwege geld dan is de oorzaak GELD, je doet dat niet voor je lol.
Ik zeg niet dat IK me er druk om maak, maar het is een reŽel probleem. Hier tenslotten zie je dat deze nieuwspost over het software gedeelte gaat.. terwijl er aan de fysieke kant een veel groter gat is.
iedereen een eigen sleutel om de versleutelde e-mails te ontsleutelen.

Nog beter, ze beschouwen fax wel als veilig. Bestel maar bij een apotheek een medicijn met spoed, dient via fax te gaan. de humor.
Dat heeft niet alleen met veiligheid te maken, ook met de garantie dat deze aankomt en een ontvangstbevestiging. Maar het is inderdaad wel uit het jaar kruik.
IMO kiezen veel mensen liever "gemak" dan "privacy". Omdat privacy vooral moeilijk is en ingewikkeld, hetgeen bij mij oproept "mensen hebben geen of weinig geduld".

Daarnaast is de taal natuurlijk een onderschat aspect. Bij lange na niet iedereen is de Nederlandse taal machtig (ook de Nederlanders zelf..). In de Nederlandse taal is het zů gemakkelijk om de ander op een verkeerd been te zetten door de verschillende betekenissen van ťťn woord. En de context komt er bij kijken...Een duidelijke vraagstelling is voor sommigen al een uitdaging op zich. Bij een recept is de vraagstelling heel duidelijk; wat (medicijn), hoe (zalf, vloeibaar, tablet enz.), wanneer (zo spoedig mogelijk) en voor wie (naam+adres staat erbij). Dan kan ik mij hťťl goed voorstellen dat een huisarts helemaal niet zit te wachten op e-mail uitwisseling als de formulering al niet eenduidig is. Bovendien lokt e-mail gemakkelijk uit tot discussie en (doordat je het e-mailadres al hebt) meer vragen en ook minder belangrijke meldingen/vragen. Uiteindelijk zal dit (vermoedelijk) neerkomen op mťťr uren en minder productiviteit voor de huisarts en -assistente.
Hoofdreden voor zorgverleners om niet digitaal informatie uit te wisselen is meestal omdat die uitwisseling via e-mail zou moeten gaan. E-mail is jammer genoeg nooit ontworpen met beveiliging in het achterhoofd, en mailservers praten gezellig met elkaar over een onversleutelde verbinding. Sommige mail providers hebben dit wel opgelost, maar die oplossing is optioneel.

En ja, de in het artikel genoemde NEN 7510-norm sluit dus uit dat patiŽnten gegevens toegemaild mogen krijgen.

Wat je in de zorg wel ziet is dat bijvoorbeeld de GGZ een digitaal platform gebruikt om communicatie en informatie-uitwisseling te faciliteren. Via digitale platformen is het namelijk wel mogelijk om aan de NEN 7510-norm te voldoen, want die bieden de verzekering dat de gehele verbinding versleuteld is.

Voor huisartsenpraktijken zijn er natuurlijk ook soortgelijke oplossingen te maken, maar dat zal minder snel gaan dan met grotere organisaties.
In December 2017 is de nieuwe versie van NEN7510 gepubliceerd. Deze standaard sluit meer aan bij de huidige ISO 27001 (2013), in de zin dat geen enkele maatregel meer verplicht is. In de basis moet de organisatie bepalen wat haar doelstellingen zijn op het gebied van informatiebeveiliging, een risico-analyse uitvoeren en bepalen welke maatregelen daarvoor nodig zijn. Als blijkt dat een risico acceptabel is, hoeft de maatregel ook niet geimplementeerd te worden.

Daarnaast beschrijft geen enkele van de (optionele) maatregelen in Bijlage A van NEN7510-1 dat onversleutelde verbindingen niet gebruikt mogen worden.

De norm is gratis te downloaden op de website van het NEN.
In de vorige versie van NEN7510 stond ook niet expliciet dat e-mail niet mocht. De normering is plezierig flexibel gedefinieerd.

Echter, als je ook gecertificeerd wil worden als een organisatie die voldoet aan de norm dan ga je niet wegkomen met het versturen van patiŽntinformatie via reguliere e-mail. Dat wordt namelijk in de medische informatica simpelweg niet geaccepteerd. Tenminste, niet bij de zorgorganisaties waar ik heb gewerkt.

[Reactie gewijzigd door Dicebar op 14 mei 2018 19:53]

En email via een beveiligd platform is ook niet alles. Wij krijgen sinds kort patiŽntenresultaten toegestuurd via een of ander beveiligd KPN portaal. Je ziet dan enkel een link, waarop je moet inloggen om de email zelf te zien.

Jammer dan wel dat die emails door meerdere personeelsleden geopend moeten worden, die er (heel begrijpelijk) niet op zitten te wachten nog een account aan te maken met een ongetwijfeld regelmatig veranderend wachtwoord. De alternatieve oplossing, ťťn account en het bekende gele briefje, is hem ook al niet. Ja, dan ontvangen we ze inderdaad liever per fax - fax in afgesloten ruimte en iedereen kan de resultaten zonder verder gehannes verwerken.
Een wachtwoordmanager?

En spreek de IT aan. Dit zijn echt zaken die ook al 15 jaar geleden fatsoenlijk aangepakt hadden kunnen worden.
Tot afgelopen December werkte ik voor een certificeerder als auditor (5 jaar gedaan). Aangezien het niet expliciet genoemd wordt in de norm zal het geen onderdeel van de audit zijn, en kan je gewoon gecertificeerd worden.

Neemt overigens niet weg dat het goed is om over na te denken, en een platform kan daar goed bij helpen. Achter DigiD (of eherkenning..) met beveiligde verbindingen heeft natuurlijk wel de voorkeur over email.
Ligt er aan waar het om gaat. In dit geval je eigen gezondheid... Ik denk dat er weinig huisartsen zitten te wachten op geheen en weer via de mail en dan maar afwachten of en wanneer de patiŽnt reageert. Met een consult ziet de arts je in levende lijve. Kan direct vragen stellen zonder omweg en je bent meteen goed op de hoogte wat er is en het vervolg eventueel. Dat liever dan een mailtje en hoogstwaarschijnlijk onduidelijkheden. En tsja die paar uur vrij vragen. Het gaat om je gezondheid... En als je stage daar moeilijk over doet, moet je je misschien andere dingen gaan afvragen.

[Reactie gewijzigd door ManiacsHouse op 14 mei 2018 18:29]

O maar de praktijk heeft uitgewezen dat dit vanzelf goedkomt als de toko wordt gehackt en de gegevens massaal op straat liggen.
Dus een kwestie van tijd,en dan worden ze ook daar (ten koste van ons) wakker.
“Ze” en “ons”? Het is gewoon “we” hoor. We werken met informatie waarmee we onszelf helpen (in zorg of anderszins). Het zijn geen tegenstanders.
En maar klagen dat ik geen toestemming geef mijn gegevens op te slaan :+.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True