Steeds meer ziekenhuizen geven patiënten thuis toegang tot hun patiëntendossier. Heel goed voor de empowerment van de patiënten. Maar is het wel veilig?
Er is een sterke lobby om zoveel mogelijk zorgverleners zover te krijgen dat zij hun patiënten met een eigen inlogcode inzicht te geven in hun eigen elektronisch medisch dossier. Onder andere de minister van Volksgezondheid en de Nederlandse Patiëntenvereniging vechten hiervoor. Patiënten raken zo nauwer betrokken bij hun ziekte en gezondheid en de kans op fouten in het dossier neemt af, omdat de patiënt de fouten eruit kan halen. Dit alles draagt bij aan empowerment van de patiënt en dat komt ten goede aan het herstelproces. Veel instellingen geven dan ook gehoor aan de oproep (google maar eens ‘patiënten toegang tot dossier’). Maar er zijn ook nadelen.
Het belangrijkste nadeel is dat de privacybescherming komt te vervallen. Tegenstanders van de nieuwe openheid vrezen dat derden hun kans schoon ruiken. Werkgevers zouden werknemers onder druk kunnen zetten om hun dossier met de werkgever te delen, bijvoorbeeld in ruil voor meer vakantiedagen. Er is angst voor zorgverzekeraars die aspirant-klanten mooie kortingen bieden in ruil voor inzage in hun dossier vooraf. Ook zijn er andere commerciële partijen die bereid zijn om voor de medische gegevens van consumenten in de buidel te tasten om gerichte marketing te kunnen plegen.
Het zou kunnen dat er consumenten zijn die voor dit soort tactieken vallen. Dat is misschien niet wenselijk, maar in iedere geval zit er nog iets van een eigen afweging achter: de consument kiest er zelf voor om de privacygevoelige gegevens te delen met derden in ruil voor voordeel.
Informatiebeveiliging
Een nadeel waar veel minder aandacht voor is de informatiebeveiliging. In de zorg gelden strenge NEN-normen voor het beveiligen en het veilig versturen van informatie. Er is een speciaal sub-internet gemaakt waar de communicatie over en het verkeer van patiëntengegevens veilig over gaan (DCN). De hele borging van de NEN-norm vervalt, zodra de informatie die veilige omgeving verlaat en op de pc van de patiënt zelf terecht komt.
Naar schatting is zo’n 10% van alle Nederlandse pc’s besmet met malware. Meestal heeft de eigenaar dit niet in de gaten. Bijzonder gevaarlijk in deze context zijn de zogenaamde banktrojanen. Die worden zo genoemd omdat zij 2-factorautenticatie -die vooral bekend is van internetbankieren- kunnen ondermijnen. Zelfs wanneer voor de toegang tot de patiëntendossiers gebruik gemaakt wordt van 2-factorautenticatie (bijvoorbeeld met DigiD), kan een cybercrimineel zich toegang verschaffen tot het patiëntendossier. Dit kan alleen worden voorkomen met een specifieke bescherming tegen Man in the Browser-aanvallen, zoals G DATA BankGuard.
Wanneer medische dossiers gemakkelijk kunnen worden gestolen van de slecht beveiligde pc’s van consumenten, zijn die commerciële partijen van hierboven straks niet onze grootste zorg: ongevraagde marketing en zelfs afpersing op basis van illegaal verhandelde gestolen medische dossiers zullen aan de orde van de dag zijn.
Empowerment van patiënten
Het is duidelijk dat er grote voordelen zitten aan de empowerment van patiënten en het geven van onbeperkte inzage in eigen medische dossiers. Maar de bescherming van de privacy moet geen ondergeschikte rol spelen. Betekent dit dan dat het niet mogelijk is om zorgconsumenten veilig hun dossier online te laten bekijken? Die vraag is moeilijk te beantwoorden, omdat 100% veilig een moeilijk te halen ideaal is, waar de meeste IT security-professionals al niet in slagen. Maar heel veel veiliger kan het zeker wel. Er zou een speciale NEN-norm moeten komen voor alle consumenten die kiezen voor een digitale toegang tot hun patiëntengegevens. Onder die norm is het verplicht voor de consument om een effectieve antivirus-oplossing, inclusief bescherming tegen Man in the Browser-aanvallen op zijn pc te hebben draaien en om kritieke beveiligingsupdates te hebben geïnstalleerd. Is dat niet het geval? Dan zou bij de inlogpoging de toegang moeten worden geweigerd.
Daniëlle van Leeuwen
G DATA Benelux
