Beveiliging patiëntgegevens nog geen gelopen race

Het Elektronisch Patiënten Dossier (EPD) is een geplaagd dossier. Bezorgdheid bij burgers en zorgverleners over de privacy van de patiënt voor mogelijke gegevensdiefstal ligt aan de basis van bijna alle bestaande argumenten tegen het Landelijk Schakel Punt (LSP), dat de EPD’s van patiënten moet ontsluiten.

Om tegemoet te komen aan sceptici van het LSP is er een muur opgetrokken aan regelgeving en kwaliteitseisen voor zorgverleners die mee willen doen. Ook leveranciers moeten aan een rits aan industriële standaarden voor informatiebeveiliging voldoen. De bindende gedragscode EGiZ biedt een samenvatting van alle relevante eisen die gelden voor eenieder die zorg met behulp van ICT of ICT ten behoeve van zorg levert. Aan alles is gedacht, althans zo lijkt het.

De zorgverlener

De eisen waaraan een zorgverlener moet voldoen om inloggegevens voor het LSP te krijgen, zijn niet mals. De overkoepelende organisatie Vereniging van zorgaanbieders voor zorgcommunicatie (VZVZ) heeft hiervoor richtlijnen opgesteld. Daarin staat dat een zorgverlener die aan het LSP deelneemt

1)moet beschikken over een ‘Goed Beheerd Zorgsysteem’ (GBZ)

2) op dat systeem een softwarepakket voor het EPD moet gebruiken dat beschikt over het XIS-certificaat (Zorginformatiesysteem) en

3) moet werken met een ‘zorgserviceprovider’ (ZSP) voor een datacommunicatienetwerk (DCN) in plaats van het ‘gewone’ internetnetwerk.

Wanneer aan deze drie eisen wordt voldaan, beschikt de zorgverlener formeel over een zogenaamd Goed Beheerd Zorgnetwerk (GZN) en geeft de VZVZ de benodigde toestemming en inloggegevens om in te loggen op het LSP. Om te voorkomen dat nieuwsgierige zorgverleners lukraak dossiers gaan opvragen van buren, familieleden, collega’s en bekende Nederlanders, wordt er een logboek bijgehouden van welke zorgverleners welke dossiers opvragen.

Bezorgde burgers kunnen een verzoek indienen om het logboek van het eigen dossier in te zien. Overigens worden de eisen aan zo’n Goed Beheerd Zorgsysteem, ondanks een publicatie van de NICTIZ (het Nederlandse expertisecentrum voor standaardisatie en eHealth) hierover1, niet erg concreet.

De it-leverancier(s)

Het bijzondere aan de diverse Zorginformatiesystemen (ZIS) is dat deze, in vergelijking met andere CRM-systemen, aan extra normen moeten voldoen, zoals ISO27001 en NEN7510. Ook moeten de leveranciers en hun medewerkers zelf aan diverse veiligheidseisen voldoen. Daarnaast zijn er nog de zorgserviceproviders (ZSP) die speciale internetverbindingen (DCN, datacommunicatienetwerk) leveren om dossiers via het LSP op te kunnen vragen. Een derde leverancier is de VZVZ, die verantwoordelijk is voor het LSP, zelf.

De kans bestaat dat, met zoveel verschillende leveranciers, er in het willen voldoen aan alle eisen dubbel werk wordt gedaan. Zo worden inloggegevens gecontroleerd door zowel de leverancier van het DCN, als de VZVZ. Kwalijker is dat het ook ertoe kan leiden dat bepaalde verantwoordelijkheden tussen wal en schip raken. De ene partij gaat ervan uit dat de andere partij het wel zal oppakken of het zelfs al heeft gedaan. Dit probleem zien wij duidelijk bij het facet van de bescherming van individuele pc’s en netwerken van zorgverleners tegen virussen en andere malware.

Wie kwaad wil

Er is dus veel aandacht voor de bewaking van de persoonlijke gegevens van patiënten. Toch kan een kwaadwillende met een goed stukje kwaadaardige code de controle over de pc overnemen of elke actie van een PC in de gaten houden. Nog vervelender wordt het wanneer een zogeheten ‘banktrojaan’ het systeem van een arts besmet. Dergelijke malware wordt meestal gebruikt om tweefactor-authenticatie bij internetbankieren te omzeilen, en wat bij banken kan, kan ook bij het LSP.

Een cybercrimineel kan zo ongezien meeliften in een inlogsessie van een zorgverlener en doen waar iedereen zo bang voor is: EPD’s opvragen van willekeurige personen voor alle denkbare criminele doeleinden. De standaarden zoals ISO27001 en NEN7510 gaan weliswaar over informatiebeveiliging, maar ze zeggen niets over bescherming tegen malware. Dat geeft toch niet echt een veilig gevoel.

De bomen en het bos

De gedragscode Elektronische Gegevensuitwisseling in de Zorg (EGiZ) vat in 33 pagina’s de essentie van alle wetten en regels voor alle partijen rondom het LSP samen. Er staat: “Beveiliging dient ‘state of the art’ te zijn (…)”, alleen wordt niet concreet gemaakt waar die beveiliging dan uit moet bestaan. De zorgverlener die werkt met een gecertificeerd zorginformatiesysteem en een DCN, voldoet naar beste weten aan de gestelde eisen. Het is dan ook niet verwonderlijk dat wij in de praktijk zorgverleners tegenkomen die geen malware-bescherming op hun computers en netwerk hebben geïnstalleerd. Door de vele richtlijnen, standaarden en normen ziet men door de bomen het bos niet meer en ontstaat het geloof dat men ‘nu wel genoeg heeft gedaan’ aan beveiliging van patiëntgegevens.

Zou het niet een goed idee zijn als NICTIZ de formele eisen van een Goed Beheerd Zorgsysteem op dit punt aanscherpt? En dat VZVZ vervolgens bij elke aanvraag voor aansluiting op het LSP nagaat of het betreffende systeem afdoende is beveiligd tegen malware?

Over de auteur:

Daniëlle van Leeuwen is werkzaam bij G DATA Software Benelux

 

Gerelateerde berichten...