Minister Kuipers en zijn ambtenaren missen hier de memorie van minister van Justitie over de AVG en de AP. De AVG en de AP waren expliciet bedoeld dat die NIET behoorlijk bestuur en fatsoenlijk ICT beheer zouden verdringen of overnemen.
Wat bij de casus misgaat is organisatorisch van aard. En dan moet je als minister ook verder kijken dan alleen AVG, NEN 7510 en 7513. Er zijn meerdere aanknopingspunten voor de minister om dit alsnog in gang te zetten.
Getuige ook de reactie namens GGzE:
“Mede naar aanleiding van uw klacht gaan we de logging- en monitoring-procedure herzien en het autorisatiebeleid herijken”,
https://www.skipr.nl/nieuws/cliente-ontdekt-dat-160-ggze-medewerkers-meekeken-in-haar-dossier/We weten allemaal dat ICT logging en monitoring er om evidente redenen ook al was voordat er een AVG in werking trad(25 mei 2018). Het is namelijk bedoeld om het een en ander aan handelingen in het systeem te kunnen volgen. Dat is dus organisatorisch van aard. Dat zo'n dossier via online ingezien kan worden maakt natuurlijk nog steeds dat er ten minste fictief sprake zal zijn van een INTERN dossier bij GGzE zelf dat als HET eigenlijke dossier zal gelden. Dit merk ik op om onderscheid te maken dat de AVG OOK van toepassing is als het gaat om gebruikersrechten maar niet uitsluitend voor GGzE het enige kwaliteit- en regelgevend kader kan worden beschouwd dat de ICT logging en monitoring regelt.
GGzE is bijvoorbeeld al sinds 21 november 2014 ISO/IEC 27001 gecertificeerd door LRQA.
https://www.ggze.nl/sites/default/files/media/2022-02/documents/ISO.PDFIn het jaarverslag over 2017 meldt GGzE bijvoorbeeld
Meer aandacht voor informatieveiligheid (AVG)
GGzE is gecertificeerd (NEN-ISO/IEC 27001:2013 en NEN 7510). In dit kader heeft er in 2017 een audit plaatsgevonden die een aantal verbeterpunten heeft opgeleverd. Daarnaast hebben we de voorbereidingen getroffen voor de invoering van de algemene verordening gegevensbescherming (AVG), die vanaf 25 mei 2018 wordt gehandhaafd. Om informatiebeveiligingsincidenten en datalekken te voorkomen zijn er optimalisaties doorgevoerd in de IT-infrastructuur, zoals een ander wachtwoordbeleid in het EPD en de voorbereiding voor beveiligd mailen en bestanden uitwisselen. Gebruik van ICT kan niet plaatsvinden zonder een goede beveiliging
Dit geeft aan dat GGzE al ver voor de AVG, NEN 7510 en 7513 bezig was met ICT beveiliging. Onder andere via de ISO 27001. Dus hoe zag de controle vanuit 27001 toe op goede gebruikersrechten voor het digitale patienten dossier?
Gezien het afgegeven organisatorisch brede ISO 27001 certificaat moet uit hoofde van LRQA daar ook op gecontroleerd zijn.
Dus waarom zou in afwijking op de rest van de ICT eventueel enkel bij slechst 160 medewerkers (1 of paar GGzE standplaatsen?) een afwijkende toekenning van toegang tot dossiers kunnen zijn afgegeven?
Dat zou vanuit ISO 27001 en dus ook vanuit NEN 7510 en 7513, die daarop gebasseerd zijn, onlogisch zijn.
Aanleiding hiervoor is het volgende waar ISO 27001 op toeziet:
Gap Analysis: A gap analysis compares the organization's existing information security practices against the requirements of ISO/IEC 27001 to identify areas for improvement.
ISMS Development: Based on the results of the risk assessment and gap analysis, the organization develops and implements its ISMS, incorporating the necessary security controls.
Internal Audits: Internal audits are conducted to assess the effectiveness and compliance of the implemented ISMS with the ISO/IEC 27001 standard.
Certification Audit: The organization undergoes an independent certification audit by an accredited certification body to assess its ISMS compliance with ISO/IEC 27001.
Oftewel, hoe ging de informatie afstemming tussen auditing instanties en de directeur Financien en Informatie plus afdeling ICT van GGzE?
Werden hiertussen bepaalde zaken uitgesloten / buiten onderzoeken geplaatst om zo niet eventuele gaten tussen de algehele ICT en de EPD omgeving niet te onderzoeken en te adresseren?
Wat moeten niet-behandelaars met toegang tot haar dossier?
Dat moet bij auditing toch wel van grond af aan zijn gecontroleerd?
Dat is tenminste juridisch en kwaliteitsmanagement technisch gezien de vraag vanuit het vereiste proportionaliteit waar ook een GGZ instelling voor haar handelen mee te maken heeft. Ook vanuit dit perspectief zou de minister meer moeten willen weten.
Kijk je verder naar een uitspraak als
https://www.degeschillencommissie.nl/uitspraken/de-inzagen-in-het-medisch-dossier-door-de-medisch-specialisten-waarmee-geen-behandelrelatie-bestond-was-niet-rechtmatig/ dan snapt iedereen wel dat inzage door derden buiten de directe behandelrelatie ook juridisch extra aandacht vraagt.
En ook voordat de AVG en AP er waren gingen zorgverleners normaliter al heel scherp om met toegang verstrekking tot iemands medisch dossier, dus waarom zou het ICT beheer van GGzE er dan opeens veel ruimer mee om moeten kunnen gaan?
ICT beheer is in eerste plaats niet bedoeld voor het gemak van de ICT beheerder maar voor beheersing van de ICT zelf.
Kijk je verder naar de huidige locatie van GGzE;
https://www.ggze.nl/locaties dan zie je dat dat er 21 locaties zijn. Het betreft met 2.400 medewerkers over 21 locaties dan ook een behoorlijk grote organisatie.
Kijk je voor 2024 dan zie je dat er zelfs meer dan 21 locatie zouden zijn!
Namelijk 21 buiten Eindhoven en nog eens 18 in Eindhoven zelf.
Dat maakt dat we er van uit mogen gaan dat er in ieder geval segmentering van gebruikersrechten per standplaats is ingeregeld, al zal dat toch nader moeten worden vastgesteld.
Terugrekenend met de 160 medewerkers en het ratio van 2 tot 4,59 medewerker per client dan zou niet slechts 1 die zich meldde maar zeker 34 tot 80 clienten zijn geraakt in dit dossier!
Dus wat heeft de afdeling juridische zaken van GGzE qua due dillegence aan onderzoek laten verrichten en vastgesteld?
En natuurlijk zou die afdeling ook de certificering scope van de hele ICT en het EPD voor GGzE op toezicht verplichtingen moeten hebben uitgeplozen.
De certificering en met name wat daarvoor ingeregeld is aan waarborgen had dit gat van 34-80 clienten in principe onmogelijk moeten maken. Alle aanleiding om er als juridische zaken werk van te maken en dit niet als uitzondering en uitsluitend als tekortkoming qua logging en monitoring te beschouwen.
Het zou vanwege de ICT certificering vereisten en controles minder waarschijnlijk zijn dat het gaat om 1-2 vinkjes die eventueel bij een paar standplaatsen, gebruikergroepen of gebruikers onterecht waren geplaatst.
Blijft over dat de 34 tot 80 clienten (of meer) een bepaalde behandeling ondergingen waarvoor standaard toegang voor 160 medewerkers (of meer) was aangevinkt, maar die eventueel menselijke fout zou dan bij een jaarlijkse audit ook boven water moeten zijn gekomen en is dus als mogelijk oorzaak dus ook onlogisch.
Er is dus aanleiding voor vermoeden dat er iets in de communicatie tussen mensen mis ging.
Wellicht bij aanbesteding eisen / taak omschrijving / uitvoering voor het maken en optuigen van het EPD voor GGzE.
De nadere toelichting door GGzE raad van bestuur als:
Essentiële vragen niet beantwoord - Toch erkent de raad wel dat het in een aantal gevallen mis is gegaan. De raad van bestuur van GGzE zegt: “Alleen als een medewerker betrokken is bij de behandeling of begeleiding van de specifieke cliënt wordt deze geautoriseerd voor inzage. De afgelopen tijd zijn er gevallen geweest die niet voldoen aan deze norm. Daarop zijn maatregelen genomen.”
https://www.skipr.nl/nieuws/cliente-ontdekt-dat-160-ggze-medewerkers-meekeken-in-haar-dossier/wijst er op dat het toezicht op de logging en monitoring van toegang niet goed ging, hetgeen ze dus achteraf achter kwamen en niet vooraf doorhadden, of niet door de certificering werd belegd. Nog een zeer duidelijke aanwijzing dat het organisatorisch niet klopte. Essentiele vragen zijn immers niet beantwoord. Gezien de omvang van de casus (vermoedelijk tot 80 medewerkers maar meer kan GGzE niet uitsluiten) voer voor de afdeling juridische zaken.
Kennelijk heeft GGzE tussen augustus 2022 en maart 2023 de tijd nodig gehad om een intern onderzoek te laten uitvoeren.
Dan is zo'n zaak toch wel uitputtend uitgezocht zou je vermoeden.
Dus heeft de certificering zelf dit gat in logging en monitoring bijvoorbeeld niet belegd, de Autoriteit Persoonsgegevens heeft sinds Maart 2023 van GGzE geen melding gemaakt terwijl de AP dit meestal wel binnen een aantal maanden doet.
Lijkt mij ook aanleiding voor een minister om meer onderzoek te laten verrichten, minimaal op vlak buiten de NEN 7510 en NEN7530.
Bedenk verder dat het volgende bericht ook doet vermoeden dat er binnen GGzE het nodige in verhoudingen en onderlinge afstemming stroef ging en men niet op 1 lijn zat.
Daar is ondermeer
https://www.rechtspraak.nl/Organisatie-en-contact/Organisatie/Gerechtshoven/Gerechtshof-Amsterdam/Nieuws/Paginas/Agenda-Ondernemingskamer-25-augustus-2022.aspx op 25 augustus 2022 en 10 augustus 2022
https://www.omroepbrabant.nl/nieuws/4138611/bestuur-ontslagen-ggze-met-spoed-op-zoek-naar-tijdelijke-opvolger de rechtspraak aan te pas gekomen.
Dus waarom ook niet qua eventuele ICT beveiliging auditing meldingen?
Hoeveel medewerkers hadden er precies onnodig onbeperkt toegang?
De aanhef de "Antwoorden op Kamervragen over medewerkers van GGzE die vrijwel onbeperkt hebben kunnen kijken in dossiers van cliënten" op de beantwoording door de ministerie zelf en het onderliggende artikel van SKIPR dat verwijst naar de aanhef van het ED/Gelderlander/AD " stelt dat het onbeperkt was en dat het om ZEKER 160 medewerkers ging, mogelijk dus meer aantal medewerkers betrof.
(Er valt ook niet uit te sluiten als je deze fout qua ICT niet zelf opspoorde dat medewerkers met elkaars user credentials inlogde.)
Ook laat de brief van het ministerie in haar beantwoording brief het woord ZEKER weg, terwijl het bericht van SKIPR waar in de brief naar verwezen wordt wel de woorden ZEKER 160 medewerkers hanteert.
De brief van de minister legt echter niet uit dat het maximaal 160 medewerkers betrof. Oftewel, de minister laat dat gat in aantallen "onbeperkt toegang" en "160 medewekers" onverklaard. Terwijl de uitleg op SKIPR daar zeker wel om vraagt.
Tussen de zinsnede
De huidige raad van bestuur van de GGzE ontkent dat alle 2400 medewerkers toegang hebben tot dossiers van alle 11 duizend GGzE-cliënten.
van ALLE medewekers en eventueel MEER dan 160 van de 2400 medewerkers zit ook nog wel een heel groot gat. Namelijk 2.240 medewerkers.
Elke auditor zou zich ongemakkelijk voelen / moeten voelen bij zo'n groot gat.
En waarom noem ik auditor?
Die zou de informatiebeveliging voor zo'n omvangrijke organisatie natuurlijk grondig in de vingers moeten hebben en toetsen.
In 2017 kwam er vanuit auditing bijvoorbeeld wel bij GGzE naar voren dat er verbeteringen op ICT moesten worden doorgevoerd.
De NEN 7510 en 7513 die Kuipers in zijn brief noemt en waar de Autoriteit Persoonsgegevens op toeziet in de eerste plaats voor GGzE zelf, en is geen op zichzelf staand doel voor een GGzE om zijn ICT GOED en proffesioneel te beveiligen.
De NEN 7510(eisen audits ICT beveiligingmanagement systemen) en 7513(logging EPD) zijn gebasseerd op ISO 27001:2013 (komt oorspronkelijk uit 2005) en als zodanig een verbijzondering van de ISO norm. De betreffende ISO norm is noch beperkt tot EPD noch beperkt tot de zorg sector. Het ligt dus voor de hand dat GGzE als grote organisatie buiten de specifieke NEN normen en AVG om vanuit ICT zelf al het nodige aan ICT management en beveiliging continu probeert te borgen.
https://www.nuance.com/about-us/trust-center/privacy/nen-7510-standard.htmlhttps://en.wikipedia.org/wiki/ISO/IEC_27001 Kuipers trechtert in zijn beantwoording wat de Inspectie Gezondheidszorg aan maatregelen naar de AP terwijl bredere auditing eisen op ICT buiten de NEN 7510 en 7513 vanuit het ministerie niet heel ongewoon zijn.
In elk geval niet sinds 2016 toen de NEN 7510 en 7513 nog niet golden.
Hij benoemt niet naar de bredere ISO 27001 certificering van GGzE. Waarom niet?
https://zoek.officielebekendmakingen.nl/stcrt-2016-68985.html namens het ministerie benoemt minstens 5x het woord audit. En waarom zou je als ministerie bij een subsudie verstrekking wel een (onafhankelijke) IT-auditer eisen op doelmatigheid en bij besteding van fondsen vanuit reguliere processen door een GGZ dan geen IT-auditer eisen op doelmatigheid / proportionaliteit?
En zelfs als er bepaalde checks die er vanuit ISO 27001 / NEN 7510 en 7513 zouden zijn geweest, is niet uitgesloten dat daar niet over gecommuniceerd of is dat tussen directie en raad van toezicht als een hete aardappel blijven hangen als ze voor de benodigde ingrepen met gebruikersrechten en de logging en monitoring ervan meer dan 1.000-3.000 euro zouden moeten uitgeven. Dus waarom als minister dan zo inzoomen op de NEN 7510 en 7513 terwijl al na onderzoek door GGzE duidelijk is dat er qua controle het nodige niet klopte? Dan zou je als minister toch hebben gemeld dat GGzE inmiddels zelf al melding bij de AP hebben gedaan? De AP zou ongetwijfeld verscherpt toezicht kunnen instellen, maar je moet als minister breder kijken en dan zie je dat bij GGzE er om de zoveel jaar heiza naar boven komt drijven?
Zie je bijvoorbeeld dat t/m 2011 al duidelijk was dat in de GGZ per werkplek jaarlijks 3.309 euro aan ICT wordt besteed.
https://www.researchgate.net/publication/287981021_GGZ-instellingen_besteden_jaarlijks_vier_procent_van_omzet_aan_ICTAls we prijsstijgingen en dalingen buiten beschouwing laten (meerdere ICT projecten in de GGZ zorgden prijsstijgingen maar liggen al achter ons, ondanks dat MXI bijvoorbeeld voor gemeenten diverse jaren prijsstijgingen voor ICT meldde) en we conservatief rekenen en buiten beschouwing laten dat GGzE bijvoorbeeld voor 2017 en respectievelijk 2019 op GGzE ICT B.V. 3,0 en 44.187 euro eindresultaat in de min rapporteert dan kom je op 7.941.600 euro aan jaarlijkse ICT kosten voor GGzE als geheel.
Zou met zo'n bedrag ook niet rechtvaardigen dat een directeur financien en informatie (buiten de AVG kaders om) ook actief naziet op ICT rechten beheer, ook al kan dat een relatief saai onderdeel zijn?
Kortom, in meerdere opzichten moet de kwaliteitbeheersing en ICT binnen GGzE al meerdere jaren behoorlijk zwaar belegd zijn.
Tegelijk, hoezo zou een Inspectie Gezondheidszorg niet, buiten of in samenspraak met de AP om, ook moeten optreden als er zoveel aanknopingspunten zijn die organisatorisch van aard zijn?
Kuipers hoort als voormalig bestuurzvoorzitter Kuipers (2013-2022) en daarvoor afdelingshoofd interne geneeskunde (2006-2012) van het Erasmus MC natuurlijk te weten dat kwaliteitsnormen niet zaligmakend zijn.
Zie je verder dat FTM meldde over Ernst Kuipers
Tegen alle transparantieregels in, tegen de wet: dat zijn de contracten die het Erasmus MC sloot met grote leveranciers van medische hulpmiddelen. Bedrijven trakteerden artsen op dure reizen naar het buitenland. Het Erasmus MC, onder leiding van Ernst Kuipers, stond zelfs clausules toe waarin bedrijven vastleggen hoeveel invloed zij hebben op wetenschappelijke publicaties. ‘Alsof je gekocht wordt door de industrie.’
https://www.ftm.nl/artikelen/erasmus-mc-sjoemelde-met-transparantieregels-ernst-kuipersdat zijn antenne voor kwaliteitssystemen en auditing en de mazen / tekortkomingen daarin op z'n minst misschien tekort schoten dan zou je vervolgvragen vanuit de tweede kamer verwachten.
De minister / Inspectie Gezondheidszorg zou naar aanleiding van het voorgaande minimaal in contact moeten treden met de AP en zelf ook onderzoeken laten instellen.
Bijvoorbeeld naar hoe dat na voor audits en opdrachtverstrekking/contractering voor de EPD's na 2017 verliep toen er wel ICT beveiliging verbeteringen werden geconstateerd. Zijn er qua afstemming tussen LRQA en de onafhankelijke auditing zaken niet tussen het wal en schip gevallen richting directie?
Je zou immers verwachten dat LRQA qua ISO 27001 bij afwezigheid van logging en monitoring nu ook een hele lastige kluif heeft en dat die ook hun straat al schoon hebben geveegd, danwel dat er na maart 2023 wel een nieuwe certificering organisatie voor de ISO 27001 zou zijn aangekondigd.
Ook in dat geval zijn de opdrachtverstrekking/contractering voor audits en certificering bij zo'n pikant dossier met structurele gebreken toch een heikel ding voor een minister Kuipers?
Op papier lijkt het allemaal zo mooi opgetuigd maar zitten zowel AP als GGZ met krappe budgetten en is er een ongeloofelijk gebrek op ICT management die zonder personeel en budgettaire redenen enkel verklaarbaar zou zijn doordat directie / Raad van Toezicht bij het opschalen van dat gebrek naar hun er niet uit kwam. Daarbij dus aangetekend dat er om de zoveel jaar bij GGzE wel stevige problemen opduiken.
Merk ik op dat 2 Maart 2023 er nieuwe bestuurders zijn aangesteld,
https://www.ggze.nl/nieuws/2023-03-nieuwe-bestuurders-voor-ggze die Luc Kenter en zijn medebestuurder sinds augustus 2022 na conflict opvolgde maar het mooie ISO 27001 en 7510 (maar niet 7513, 7510 zou ook niet meer geldig moeten zijn) certificaat anno augustus 2023 dus gewoon nog online staat!
Zijn die 3 certificaten niet sinds 2022 vervallen gezien de opgetreden gebreken of is dat een omissie / onzorgvuldigheid van de nieuwe bestuurders per en vergeten ze te melden dat er een nieuwe certificering wordt aangevraagd?
Immers
“Mede naar aanleiding van uw klacht gaan we de logging- en monitoring-procedure herzien en het autorisatiebeleid herijken”,
Zo wist hij bijvoorbeeld niet of cliënten toestemming geven welke medewerkers hun elektronisch dossier mogen inzien en hoe dit is geregeld. Volgens de huidige raad van bestuur is er de afgelopen vier maanden gewerkt aan ‘verdere verbeteringen op het gebied van autorisatie’.
Dat had bij een fatsoenlijk kwaliteitsmanagement NEN7510 en ISO 27001 na al die maanden onderzoek al duidelijk moeten zijn.
Bovendien vereist de opgetreden gebreken en ondervanging ervan natuurlijk her-certificering. Waarom dit dan als minister Kuipers niet alvast melden? Dat zou toch een kleine extra pleister op de wond zijn, naast dat het gebrek dus niet bij 1 maar minimaal bij 34 clienten moet zijn gebeurd maar eventuele grotere omvang ervan niet kunnen achterhalen.
Dat is toch geen overpromissing (waar Kuipers niet aan wil doen)?