image

Martini Ziekenhuis ontwikkelt tool die logbestanden patiëntendossiers checkt

donderdag 7 juli 2022, 12:08 door Redactie, 7 reacties

Het Martini Ziekenhuis in Groningen heeft samen met it-bedrijf Enshore een tool ontwikkelt die logbestanden van elektronische patiëntendossiers automatisch op opvallende kenmerken controleert. Het ziekenhuis maakt daardoor geen gebruik meer van handmatige steekproeven om ongeautoriseerde inzages van patiëntendossiers te detecteren.

"Toegang nemen tot het dossier van een patiënt mag alleen als je een behandelrelatie hebt met de patiënt. Zorginstellingen zijn volgens de NEN7510 wettelijk verplicht om hierop achteraf controles uit te oefenen. Bij voorkeur gebeurt dit geautomatiseerd, maar veel instellingen hebben daar nog geen oplossing voor. Daarom worden handmatige steekproeven vooralsnog gedoogd", zegt Ger Wierenga, Chief Information Security Officer (CISO) van het Martini Ziekenhuis.

Volgens Wierenga is het gedogen van handmatige steekproeven logisch, aangezien een analyse van duizenden logregels per dag zonder software feitelijk niet mogelijk is. Om alle logbestanden van patiëntdossiers automatisch te kunnen analyseren ontwikkelde het Martini Ziekenhuis samen met Enshore de tool Logspect. De tool kijkt naar twee zaken, namelijk door de gebruiker opgestelde regels en grote afwijkingen in de dataset.

Zo kan een ziekenhuis regels opstellen waarop de logdata gecontroleerd wordt, zoals het overeenkomen van de achternaam van de verzorger met die van de patiënt. Wanneer een patiëntendossier bijvoorbeeld gemiddeld vijf keer per week wordt opgevraagd en opeens veertig keer in een week wordt geraadpleegd, slaat de tool ook alarm. Logspect maakt hierbij gebruik van gepseudonimiseerde gegevens.

"Logspect maakt dus geen gebruik van oorspronkelijke persoonsgegevens. Doordat de relatie tussen gegevens niet verandert is het mogelijk voor de gebruiker om de data aan de hand van een ‘blinde controle’ te analyseren", aldus de FAQ over de software. Volgens het Martini Ziekenhuis zorgt de tool ervoor dat de privacy van patiënten beter is gewaarborgd.

Reacties (7)
07-07-2022, 12:23 door Anoniem
Klinkt nog steeds als een hack. Als het niet mag dan moet het toch niet kunnen?
07-07-2022, 12:41 door Anoniem
Ja laten we niet software maken die het onmogelijk maakt om toegang te krijgen tot gegevens waar je geen recht op hebt.
Maar laten we achteraf wel controleren of je toegang hebt gehad ertoe. We hebben de info, laten we er gewoon alleen achteraf op checken. Wat een onzinnige manier van werken.
07-07-2022, 15:30 door Anoniem
Door Anoniem: Klinkt nog steeds als een hack. Als het niet mag dan moet het toch niet kunnen?
Het moet zeker wel kunnen. Het is niet de bedoeling dat dokter Janssen gegevens inziet van z'n familieleden, maar als iemand die geen familie is toevallig toch de achternaam Janssen heeft dan moet hij wel behandeld kunnen worden. Als je om 2u 's nachts bij de spoedeisende hulp komt en alleen je familielid dokter Janssen is aan het werk wil je alsnog behandeld worden en niet wachten op een andere arts. Het moet dus wel mogelijk zijn, maar de arts moet het goed uit kunnen leggen.

Verder klinkt dit systeem wat privacy betreft als een betere oplossing dan iemand die handmatig allemaal dossiers gaat doorspitten op zoek naar afwijkingen, want dan moet je eigenlijk ook weer die controleur gaan controleren, etc.
07-07-2022, 16:54 door Anoniem
Door Anoniem: Ja laten we niet software maken die het onmogelijk maakt om toegang te krijgen tot gegevens waar je geen recht op hebt.
Maar laten we achteraf wel controleren of je toegang hebt gehad ertoe. We hebben de info, laten we er gewoon alleen achteraf op checken. Wat een onzinnige manier van werken.

Misschien moet je eens gaan werken , voordat je domme dingen zegt over werkprocessen.
Of gewoon als patient in een ziekenhuis komen, en wat nadenken over dingen die je ziet .

Elk gezicht aan je bed, aan de spreekkamer, en een hele serie achter de schermen (lab, Rontgen etc) hebben noodzaak om bij jouw gegevens te kunnen, voor een tijd.
Het feit dat dat gezicht aan je bed staat is soms behoorlijk ad-hoc , dienstdoend, roosterwissel , spoed geval etc.

Als je eens (elders) gewerkt hebt met uitgebreid ingericht access management systeem (paar weken voordat alle vinkjes gezet zijn als je nieuw binnenkomt) - of dat soort systemen gebouwd hebt - snap je dat tevoren exact provisionen welk gezicht bij welk dossier kan gewoon echt niet gaat werken.

We hebben - achteraf gezien - de info of iemand toegang misbruikt heeft, en weten _dat_ de kans op betrapt worden reeel is helpt over het algemeen prima.

Het is hooguit teleurstellend dat loganalyse nu (pas) gedaan wordt voor dit soort zaken, want het leent zich bij uitstek om "opvallende" zaken eruit te pikken voor nadere analyse .

Op dezelfde manier hoop je ook dat access logs van allerlei politiebestanden bekeken worden .
Ook daar zijn er dingen waar iedere agent "onverwacht" bij moet kunnen (kenteken natrekken e.d.) - maar waar een platte agent die dingen voor 'vrienden' opzoekt er ook tussen kan zitten.

Verder :

Het is wel een heel grote bek van de IT sectie die typisch SIEM/monitoring/log analyse systemen bouwt (terecht) om te roepen "niks log analyse, gewoon alles perfect voorkomen dan hoef je niks te analyseren in logging" .
07-07-2022, 18:02 door Anoniem
Door Anoniem:
Door Anoniem: Klinkt nog steeds als een hack. Als het niet mag dan moet het toch niet kunnen?
Het moet zeker wel kunnen. Het is niet de bedoeling dat dokter Janssen gegevens inziet van z'n familieleden, maar als iemand die geen familie is toevallig toch de achternaam Janssen heeft dan moet hij wel behandeld kunnen worden. Als je om 2u 's nachts bij de spoedeisende hulp komt en alleen je familielid dokter Janssen is aan het werk wil je alsnog behandeld worden en niet wachten op een andere arts. Het moet dus wel mogelijk zijn, maar de arts moet het goed uit kunnen leggen.

Verder klinkt dit systeem wat privacy betreft als een betere oplossing dan iemand die handmatig allemaal dossiers gaat doorspitten op zoek naar afwijkingen, want dan moet je eigenlijk ook weer die controleur gaan controleren, etc.

Interessant, Bedankt. De kunst is om de juiste balans te vinden, dat realiseer ik me. Het automatiseren van analysis is voor mij niet onlogisch en auditing is sowieso nodig. Er is niet zoiets als "perfect voorkomen" maar ik kan me voorstellen dat je zo min mogelijk data wil hebben om te analyseren en dat die data zo relevant als mogelijk is. Er werd "tijd" genoemd. Ik vraag me af of op tijd bebaseerd (of anderzijds breder) toegangsbeveiliging en rol kan spelen zodat een en ander niet totaal reactief hoeft te zijn.
08-07-2022, 12:37 door Anoniem
Ik werk ook voor een ziekenhuis waar we dit geregeld hebben maar op een net andere manier.
De dossier worden voordat de gebruiker toegang krijgt tot het dossier gecheckt tegen een hele berg met zaken( is de patient als een op je spreekuur geweest of opgenomen geweest op jou afdeling) wanneer hier geen enkele regel van waar is (totaal 2500 regels) dan krijg je een noodtoegang te zien waarop gevraagd wordt een reden te geven van de toegang. Bijvoorbeed nieuwe patient die nog nooit in het ziekenhuis geweest js.
Deze logregels worden dan achteraf gecheckt op juistheid van invoer en logische gevolgen. Bijvoorbeeld SEH arts zegt dat hij voor de spoedzorg een dossier in moest maar is de enigste die erin geweest is. Je zou verwacht dat in zo een geval er minimaal ook een triagist en een seh verpleegkundige in geweest zijn. Zelf deze log (met dus al filtering op gerechtigde toegang) levert ongeveer 10000 logregels op die gecheckt moeten worden per maand. Helaas meeste niet geautoriseerd te doen
08-07-2022, 14:10 door Anoniem
Door Anoniem: Ik werk ook voor een ziekenhuis waar we dit geregeld hebben maar op een net andere manier.
De dossier worden voordat de gebruiker toegang krijgt tot het dossier gecheckt tegen een hele berg met zaken( is de patient als een op je spreekuur geweest of opgenomen geweest op jou afdeling) wanneer hier geen enkele regel van waar is (totaal 2500 regels) dan krijg je een noodtoegang te zien waarop gevraagd wordt een reden te geven van de toegang. Bijvoorbeed nieuwe patient die nog nooit in het ziekenhuis geweest js.
Deze logregels worden dan achteraf gecheckt op juistheid van invoer en logische gevolgen. Bijvoorbeeld SEH arts zegt dat hij voor de spoedzorg een dossier in moest maar is de enigste die erin geweest is. Je zou verwacht dat in zo een geval er minimaal ook een triagist en een seh verpleegkundige in geweest zijn. Zelf deze log (met dus al filtering op gerechtigde toegang) levert ongeveer 10000 logregels op die gecheckt moeten worden per maand. Helaas meeste niet geautoriseerd te doen

Interessant, dank je. We kunnen natuurlijk wel zeggen "is niet praktisch" maar het hoeft natuurlijk niet "alles of niets" te zijn. Alle kleine beetjes helpen. Als je iets kunt voorkomen dan zou ik dat wel willen ook al kan het niet perfect. Er zullen toch heus wel vectors zijn waarvan we kunnen stellen dat kan niet kloppen dus daar kunnen we pro-actief optreden?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.