Het Elektronisch Patiënten Dossier (EPD) is een geplaagd dossier. Bezorgdheid bij burgers en zorgverleners over de privacy van de patiënt ligt aan de basis van bijna alle argumenten die er zijn tegen het Landelijk Schakel Punt (LSP), dat de EPD’s van patiënten moet ontsluiten.
De bezorgdheid is niet verwonderlijk: medische gegevens behoren tot de meest privacygevoelige die mensen bezitten. Er is bij de verschillende organisaties achter het LSP ook veel begrip voor de angsten. Om tegemoet te komen aan sceptici van het LSP is een muur opgetrokken aan regelgeving en kwaliteitseisen voor zorgverleners die mee willen doen aan het LSP. Leveranciers die CRM-systemen aanbieden voor het gebruik van EPD’s en providers die de beveiligde communicatienetwerken (DCN) aan zorgverleners aanbieden, dienen aan een rits aan industriële standaarden voor informatiebeveiliging te voldoen. De bindende gedragscode EGiZ biedt een samenvatting van alle relevante eisen die gelden voor ieder die zorg met behulp van ICT of ICT ten behoeve van zorg levert. Overal lijkt aan te zijn gedacht. Maar klopt dat wel?
Zorgverlener
Laten we beginnen met de eisen waaraan een zorgverlener moet voldoen, wil hij überhaupt inloggegevens kunnen krijgen voor het LSP. De overkoepelende organisatie Vereniging van zorgaanbieders voor zorgcommunicatie (VZVZ) heeft hiervoor richtlijnen opgesteld.
Een zorgverlener die aan het LSP deelneemt, moet:
- Beschikken over een ‘Goed Beheerd Zorgsysteem’ (GBZ)
- Op dat systeem een softwarepakket voor het EPD gebruiken dat beschikt over het XIS-certificaat (Zorginformatiesysteem)
- Werken met een ‘zorgserviceprovider’ (ZSP) voor een datacommunicatienetwerk (DCN) in plaats van het ‘gewone’ internetnetwerk
Wie als zorgverlener aan deze drie eisen voldoet, beschikt formeel over een zogenoemd Goed Beheerd Zorgnetwerk (GZN). De VZVZ verstrekt dan de benodigde toestemming en inloggegevens om in te loggen op het LSP. De zorgverlener kan dan, mits hij over een UZI-pas beschikt, samenvattingen van EPD’s van zorgbehoevenden opvragen. Hij mag dat uitsluitend doen voor patiënten waarmee hij een behandelrelatie aangaat, maar die niet tot zijn eigen, vaste patiënten horen.
Om te voorkomen dat nieuwsgierige zorgverleners lukraak dossiers gaan opvragen van buren, familieleden, collega’s en bekende Nederlanders, wordt er een logboek bijgehouden van welke zorgverleners welke dossiers opvragen. Bezorgde burgers kunnen een verzoek indienen om het logboek van hun eigen dossier in te zien. De rechten en de plichten van de zorgverlener zijn hiermee redelijk duidelijk. De eisen aan een Goed Beheerd Zorgsysteem worden, ondanks een publicatie van NICTIZ (het Nederlandse expertisecentrum voor standaardisatie en eHealth) hierover niet erg concreet. Maar wanneer VZVZ toestemming verleent aan een aanvrager, impliceert dat goedkeuring van het systeem van die aanvrager.
IT-leverancier(s)
Er zijn talloze software-ontwikkelaars die programma’s hebben ontwikkeld voor zorgverleners om met het EPD te werken. Hiermee kunnen zij veilig EPD’s opslaan, downloaden en wijzigingen in dossiers aanbrengen. Meestal zijn dit een soort CRM-systemen, die bij de meeste dienstverlenende organisaties in de wereld worden gebruikt. In de zorg heten deze systemen Zorginformatiesystemen (ZIS). Bijzonder aan deze ZIS-systemen is dat deze, in vergelijking met andere CRM-systemen, aan extra normen moeten voldoen, zoals bijvoorbeeld aan de normen ISO27001 en NEN7510. Daarnaast moeten de leveranciers van deze systemen aan een aantal eisen voldoen. Het moet medewerkers van de leverancier bijvoorbeeld onmogelijk worden gemaakt om dossiers in te zien. En voor het geval er toch kennis moet worden genomen van delen van dossiers, moeten werknemers een speciale geheimhoudingsplicht in acht nemen.
Naast de aanbieders van de zorginformatiesystemen zijn er nog andere leveranciers: de zorgserviceproviders (ZSP). Deze leveren aan zorgverleners een speciale internetverbinding om dossiers via het LSP te kunnen opvragen. Deze internetverbinding noemt men het datacommunicatienetwerk (DCN). Bovenstaande leveranciers zijn particuliere partijen. Maar er is nog een derde soort leverancier en die is semi-publiek; de VZVZ. Die is verantwoordelijk voor het LSP zelf en controleert wie wel en niet het recht zou moeten hebben om gebruik te mogen maken van het LSP.
Met zo veel verschillende leveranciers bestaat de kans op dubbel werk. Als dit de kans verkleint dat onbevoegden dossiers van willekeurige personen in handen krijgen, is dat niet erg problematisch. Dat is het wel als bepaalde verantwoordelijkheden tussen wal en schip raken. Dat is precies wat er gebeurt bij het beveiligen van de eigen systemen van de zorgverleners.
Vergeten schakel
Uit al het voorgaande is duidelijk geworden dat door de eisen die gesteld worden aan de technologie en aan de betrokken partijen, de persoonlijke gegevens van patiënten goed bewaakt worden. Laten we patiëntgegevens vergelijken met Nederlands kraanwater. Dat kan nergens worden besmet door kwaadwillenden. De waterzuiveringsinstallatie is alleen toegankelijk voor geautoriseerd personeel. Het leidingnetwerk ligt veilig onder de grond en is een gesloten systeem. Pas als het water aan einde van de lijn in de kraan komt, is het toegankelijk. Die kraan is niet de verantwoordelijkheid van het waternet. Iemand die kwaad wil, zou bij een gebruiker kunnen inbreken om er gif in te stoppen. In het geval van patiëntgegevens is het niet heel anders, al is het voor een kwaadwillende niet nodig om fysiek in te breken. Met een goed stukje kwaadaardige code (malware, zoals een virus, een trojaans paard of spyware) kan hij de controle over de pc overnemen of elke actie van de pc in de gaten houden. Dus zodra patiëntgegevens op het beeldscherm van een huisarts te zien zijn, zijn die bij een besmette pc ook te zien voor een cybercrimineel.
Een vervelender scenario is een speciale banktrojaan die het systeem van de arts kan besmetten. Een dergelijk stukje malware wordt meestal gebruikt om tweefactorautenticatie bij het internetbankieren te omzeilen door een zogenoemde Man in the Browser-aanval op te zetten. Dergelijke aanvallen werken ook uitstekend om de tweefactorautenticatie bij het inloggen bij het LSP te omzeilen. Wanneer de zorgverlener met zijn eigen UZI-pas, wachtwoord en eenmalige wachtwoord dat gegenereerd is door zijn speciale card reader of token aanlogt bij het LSP voor het opvragen van een dossier, zou een cybercrimineel ongezien mee kunnen liften in die sessie. Hij kan dan de autenticatiegegevens van de arts misbruiken voor het autoriseren van zijn eigen aanvraag. Daarmee kan een cybercrimineel dat doen waar iedereen zo bang voor is: EPD’s opvragen van willekeurige personen. De verkregen gegevens kunnen worden verkocht (bijvoorbeeld aan partijen die illegale medicijnen of medische hulpmiddelen proberen te verkopen) of, nog erger, worden gebruikt om patiënten mee af te persen.
Deze scenario’s zullen niet vaak voorkomen, maar het gevaar bestaat. Dit toont aan dat het erg belangrijk is dat de systemen van de hulpverleners goed beveiligd zijn tegen malware. Toch wordt hier in het ‘Programma van eisen organisatie goed beheerd systeem’ met geen woord over gerept. De enige opmerking die in de buurt komt is: “Voor algemeen te treffen maatregelen op het gebied van informatiebeveiliging wordt ervan uitgegaan dat aangesloten partijen voldoen aan geaccepteerde standaarden en normen zoals [ISO27001] of [NEN7510].” Maar deze standaarden en normen gaan over informatiebeveiliging en niet over bescherming tegen malware. Bovendien kan van een huisarts of fysiotherapeut niet verwacht worden dat zij deze standaarden en normen volledig doornemen en begrijpen. Het zijn volledige boeken met zeer technische kost, die zelfs voor IT professionals zeer moeilijk te doorgronden is. Niet voor niets zijn er talloze cursussen en opleidingen voor IT-professionals om deze standaarden te leren.
Wie doet wat?
De Gedragscode Elektronische Gegevensuitwisseling in de Zorg (EGiZ) is een ander document waarin we hopen terug te lezen dat het gebruik van beveiligingssoftware op het systeem van de zorgaanbieder verplicht is voor deelname aan het LSP. De EGiZ is er een handig document dat de essentie van alle wetten en regels voor alle partijen rondom het LSP samenvat in 33 pagina’s. In dit document lezen we het volgende: “Beveiliging dient ‘state of the art’ te zijn en dus regelmatig te worden geüpdate” [sic]. Helaas wordt niet concreet gemaakt waar die beveiliging uit bestaat.
Hier ligt een interpretatiefout op de loer: ‘Ik werk met een gecertificeerd zorginformatiesysteem en met een DCN, dus ik heb alle beveiligingsmaatregelen in acht genomen’. Bovendien is onduidelijk voor wie dit precies geldt. Een arts kan denken dat het om de beveiliging van de database met dossiers gaat, die uiteraard door de leverancier van het ZIS wordt verzorgd. Ten slotte is niet gedefinieerd wie de verantwoordelijkheid hiervoor zou moeten dragen. Een arts zou van mening kunnen zijn dat dit tot de taken van de leverancier van zijn DCN of ZIS behoort.
In de praktijk komen wij zorgverleners tegen die geen malwarebescherming op hun computers en netwerk hebben geïnstalleerd en hier ook geen noodzaak toe zien. De vele richtlijnen, standaarden en normen doen ze geloven dat ze ‘nu wel genoeg hebben gedaan’ om de gegevens van de patiënten veilig te houden. Uit een rondvraag onder aanbieders van zorginformatiesystemen blijkt at er in die sector weinig interesse is om verantwoordelijkheid voor dit specifieke vraagstuk te nemen. De beveiliging van de eigen systemen is de verantwoordelijkheid van de klant, zo vinden ze.
Voorstel
Mijn voorstel is dat NICTIZ en VZVZ, die verantwoordelijk zijn voor de technische richtlijnen rondom het LSP, de formele eisen van een Goed Beheerd Zorgsysteem op dit punt aanscherpen. Vervolgens is het aan VZVZ om bij elke aanvraag voor aansluiting op het LSP (en bij de regelmatige controle op de zorgverleners die al gebruik maken van het LSP) na te gaan of het betreffende systeem ook echt afdoende is beveiligd tegen malware. Mijn vermoeden is dat wanneer deze eis explicieter wordt vermeld, de leveranciers van ZIS-systemen en DCN-verbindingen hun aanbod vanzelf zullen uitbreiden met een antimalware-oplossing.
Wilt u meer informatie, neemt u dan contact op met Daniëlle van Leeuwen – G DATA Software Benelux
+31 (0)20 80 80 835
+31 (0)6 54 660 215
