image

Onderzoek naar beveiliging Nederlandse patiëntgegevens

vrijdag 16 december 2016, 11:08 door Redactie, 7 reacties

Ziekenhuizen en zorgpersoneel weten dat ze patiëntgegevens goed moeten beveiligen, maar in de praktijk staan de vertrouwelijkheid en de beschikbaarheid van gegevens soms op gespannen voet met elkaar. Dat blijkt uit onderzoek van PBLQ naar de beveiliging van patiëntgegevens in Nederland (pdf).

Vanwege een aantal incidenten met patiëntgegevens in zorginstellingen liet minister Schippers van Volksgezondheid de Tweede Kamer eerder dit jaar weten dat er een onafhankelijk onderzoek zou worden uitgevoerd. Het onderzoek zou kijken naar de manier waarop zorginstellingen in de dagelijkse praktijk omgaan met de beveiliging van hun patiëntgegevens en hoe hierin verbetering kan worden aangebracht.

Volgens de onderzoekers wordt de externe omgeving van zorginstellingen door de vergevorderde digitalisering van patiëntendossiers, de vlucht van eHealth, gezondheidsapps, big data en de toename van cyberdreigingen steeds complexer, alsook door wijzigingen in het zorgdomein zelf, zoals de decentralisaties. "Steeds meer (digitale) patiëntgegevens worden verwerkt en steeds meer daarvan worden c.q. moeten worden verwerkt buiten de kring van rechtstreeks bij de behandeling betrokkenen, als gevolg waarvan de risico’s op incidenten met patiëntgegevens toenemen."

De onderzoekers melden dat de wil en het besef dat patiëntgegevens moeten worden beschermd bij zorginstellingen aanwezig is. Bovendien wordt de aandacht voor de beveiliging van patiëntgegevens extra gestimuleerd door onder andere de meldplicht datalekken en de toename van cyberdreigingen zoals ransomware. In de praktijk staan de vertrouwelijkheid en de beschikbaarheid van gegevens soms op gespannen voet met elkaar, merken de onderzoekers op.

Ze stellen dat het in meer situaties technisch en organisatorisch mogelijk is dan nu het geval is om privacymaatregelen te treffen die ook een positief effect op de zorgverlening hebben. In veel gevallen zijn de kosten daarvan echter relatief hoog. Een voorbeeld is het gebruik van authenticatie met behulp van een toegangspas die tevens uitlogt als de werkplek wordt verlaten en automatisch inlogt in iedere volgende werkplek.

Het onderzoek pleit dan ook voor eenduidige en goed hanteerbare handvatten voor informatiebeveiliging en privacybescherming in de dagelijkse praktijk, "Incidenten zijn niet te voorkomen omdat waterdichte beveiliging feitelijk niet mogelijk is, maar het gaat erom dat er wordt geleerd en dat de informatiebeveiliging en privacybescherming continu worden verbeterd."

Verder laat het onderzoek zien dat er over het algemeen genomen voldoende wet- en regelgeving ten aanzien van het werken met patiëntgegevens is, maar die wetgeving vooral complex is en daardoor soms onduidelijk in de zorgpraktijk. Er is dan ook vooral behoefte aan het begrijpelijker maken van wet- en regelgeving en het vertalen ervan naar basisprincipes en concrete handvatten voor de praktijk.

Reacties (7)
16-12-2016, 12:40 door Anoniem
Wishful thinking.
Niet werkbaar
16-12-2016, 13:18 door Anoniem
Volgens de onderzoekers wordt de externe omgeving van zorginstellingen door de vergevorderde digitalisering van patiëntendossiers, de vlucht van eHealth, gezondheidsapps, big data en de toename van cyberdreigingen steeds complexer, alsook door wijzigingen in het zorgdomein zelf, zoals de decentralisaties. "Steeds meer (digitale) patiëntgegevens worden verwerkt en steeds meer daarvan worden c.q. moeten worden verwerkt buiten de kring van rechtstreeks bij de behandeling betrokkenen, als gevolg waarvan de risico’s op incidenten met patiëntgegevens toenemen."

Kijk, dat risico werd hier ook aangekaart maar (vaak) slecht begrepen
https://www.security.nl/posting/494053/Verplicht+online+medisch+dossier

Het onderzoek pleit dan ook voor eenduidige en goed hanteerbare handvatten voor informatiebeveiliging en privacybescherming in de dagelijkse praktijk, "Incidenten zijn niet te voorkomen omdat waterdichte beveiliging feitelijk niet mogelijk is, maar het gaat erom dat er wordt geleerd en dat de informatiebeveiliging en privacybescherming continu worden verbeterd."

Ik weet een behoorlijk niet-complexe oplossing :

- Hang verdomme mijn gegevens niet aan het internet als ik dat niet wil!!
- Vraag die patiënt verdomme of zij wil dat haar gegevens via internet benaderbaar zijn en respecteer het antwoord :
NEEN dat wil ik niet.

Maar het wordt niet gevraagd maar er doorgedrukt onder het mom van service.
Wedden dat de bedrijven die deze software maken er gewoon niet over hebben nagedacht.
De hele privacy discussie wordt op tal van vlakken keihard gepasseerd door het overal en nergens gewoon technisch te implementeren om vervolgens te roepen dat het al praktijk is en de discussie erover een gepasseerd station is.

Zo doen we dat hier, stug technische negeren en passeren.
En het werkt!
Daar doet uiteindelijk een rapport niets tegen.
Maar ja schippers wil om te beginnen zelf al graag dat alles digitaal online gaat.
Met zo'n verdediger van de privacy heb je geen hackers, pardon 'privacy voorvechters' meer nodig.
16-12-2016, 16:22 door Anoniem
Mag ik gewoon m'n papieren dossier terug? Toen waren de gegevens er ook en moesten ze niet met alle geweld aan internet hangen...
16-12-2016, 19:06 door karma4
Nee terug naar papier dat gaat hem niet worden. De trekschuit als snelste vervoermiddel zien we ook niet meer.

Besef en goede wil zijn de eerste stappen daar hoort ook een behoorlijk budget en beloningen bij. Ict is een bijzonder specialisme als het kwaliteit heeft.

Met cia bia ratings bepaal je het beleid conform open standaarden nen7510 gebaseerd op iso27k. Dat zoiets als te moeilijk lastig etc gevonden wordt is het probleem. Je moet het niet moeilijker maken dan het Is. Je kan het te moeilijk maken Door te geloven dat externe leveranciers het wel gaan oplossen en je zelf niets hoeft te doen.
16-12-2016, 21:16 door Anoniem
Leuk al die standaarden, maar mensen blijven fouten maken en systemen blijven lekken bevatten.

Hoe meer mensen en systemen je aan die gegevens gaat koppelen, hoe groter het risico. Natuurlijk is het leuk voor certificeringsinstanties om geld aan standaarden te verdienen maar het lost het probleem niet op.

Wat wel een oplossing zou kunnen zijn, is een gesloten systeem dat centraal beheerd wordt en alleen met gesloten, specialistische apperatuur geraadpleegd kan worden, het liefst uitsluitend via darkfibers naar de zorginstellingen.
17-12-2016, 12:25 door karma4
Door Anoniem: Leuk al die standaarden, maar mensen blijven fouten maken en systemen blijven lekken bevatten.

Hoe meer mensen en systemen je aan die gegevens gaat koppelen, hoe groter het risico. Natuurlijk is het leuk voor certificeringsinstanties om geld aan standaarden te verdienen maar het lost het probleem niet op.

Wat wel een oplossing zou kunnen zijn, is een gesloten systeem dat centraal beheerd wordt en alleen met gesloten, specialistische apperatuur geraadpleegd kan worden, het liefst uitsluitend via darkfibers naar de zorginstellingen.
Nee certificeren om te certificeren met afvinklijstjes zal niets toevoegen eerder problemen negeren dan oplossen.
Jou benadering kan in de goede setting van risicoafwegingen impact gewoon een realisatieoptie zijn.
17-12-2016, 22:20 door Anoniem
Wat denk je dat er aan data goudmijnen voor velen open en bloot ligt bij zorgverzekeraars dat er nog niemand een paar slecties heeft gemaakt en mee naar huis genomen is me een raadsel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.