Contact
Home > Knelpunten en aanbevelingen > Debat > Debat (4): Veiligheid

Debat (4): Veiligheid

“Zes hackers en we hebben een grote crisis”

De online beveiliging van e-health in de jeugd-ggz kan stukken beter. Misschien is er geen aandacht voor, misschien is het te duur. Het risico dat er een gevoelig dossier op straat terechtkomt is groot. “Zet er zes hackers op en we hebben een grote crisis” dreigt Jeroen Ruwaard (Kenniscentrum).

“Je wilt natuurlijk vertrouwelijkheid in die ICT-kanalen bieden en je wilt dat de veiligheid of vertrouwelijkheid gegarandeerd blijft. Ik zie dat er veel gemaild wordt – dat is sowieso al niet vertrouwelijk. Er wordt niet goed nagedacht over NEN, de geest van de NEN-normen wordt niet goed doorvoeld en de medewerkers worden niet goed op de hoogte gehouden.”

Rob Gerrits (Dimence): “Heus niet zaligmakend, die NEN-normen...” Ruwaard: “Daarmee heb je toch in elk geval instructies voor wat te doen als er gehackt wordt: ga naar bladzij zeven, doe dit, doe dat... Nu is er grote paniek als er gehackt wordt. Het is heel makkelijk om op een verkeerde poort naar binnen te komen, ga zo maar door.”

“Wel duur”

Maretha de Jonge (UMC Utrecht): “Bij ons is het goed beveiligd, hoop ik. We hebben in ieder geval een bedrijf ingehuurd dat gespecialiseerd is in dit soort beveiligde systemen voor gezondheidszorg. En dat hebben we gebouwd omdat we dat voorheen altijd allemaal over de gewone mail deden. Je weet hoe dat gaat: je wil het eigenlijk niet, maar dan gaan mensen je toch een mail sturen met hun hele doopceel erin, of hoe het programma vandaag is gegaan. Dus we denken dat we erop vooruit zijn gegaan door zo’n beveiligd systeem te maken. We hebben inmiddels een hackaanval afgeslagen die inderdaad wel op de site maar niet in de database heeft kunnen inbreken. Ik heb wel vertrouwen in de specialisten die we daarvoor hebben, maar je moet er wel goed over nadenken. Ik vond het wel duur; een groot deel van het hele budget is in dat beveiligde webportaal gegaan. Ik schat wel veertig procent. Het spel ziet er nu heel fancy uit en we hebben er heel veel in geïnvesteerd om dat leuk te maken, maar de kern is natuurlijk: a. een goed behandelprogramma en b. een goed beveiligde database.”

Extra slag

Joann Hinrichs (Accare en Expertisecentrum Kinder- en Jeugdpyschiatrie): “Ik erken dat ook wij nog een flinke slag moeten maken. Ook op bestuurlijk niveau leeft dit te weinig. NEN7510 komt er bij ons nu nog niet in. NEN is niet zaligmakend inderdaad, maar we hebben het wel op de agenda staan. We maken nu een extra slag met die blended behandelingen. Daar gaan we ook hackerstesten op doen, en de resultaten daarvan worden door de hostingpartij worden opgevolgd. Maar op dit moment wordt ook bij ons gewoon gemaild, ook al stimuleren we dat absoluut niet. We gaan zo snel mogelijk een cliëntenportaal faciliteren waarop wel veilig mailverkeer mogelijk is. We doen wat we kunnen, maar superveilig is het natuurlijk nog niet.”

Ruwaard: “Is de patiënt daar eigenlijk wel van op de hoogte?”

Hinrichs: “Onze bedrijfsjurist heeft dit allemaal uitgezocht en die heeft netjes aan iedereen kenbaar gemaakt dat je bij voorkeur niet mailt en als je dat toch doet je je patiënt goed moet inlichten over de risico’s. Eerlijkheidshalve zal de praktijk weerbarstiger zijn. Ik ga er niet van uit dat elke behandelaar dit allemaal heel netjes opvolgt.” “Ik vind dat we dit wel zo snel mogelijk moeten doen. Maar telkens loop je tegen die hoge kosten aan, waarvan je denkt: oeh! En je vraagt je af: waar moet ik die kosten aan afmeten? Het kan inderdaad dat er een keer een dossier op straat komt...”

Ruwaard: “EPD, het elektronisch patiëntendossier, is gecrasht op veiligheid. Dat was het beslissende issue. En nu nemen we gewoon het risico dat het bij ons ook misgaat. Je kunt erop wachten tot de hackende huisvrouwen langskomen, en let maar op: één voor één leggen ze ons plat.”

Verkrampt gevoel

Hinrichs: “Hier zit het gevaar in dat je door die veiligheidsvragen allemaal verkrampt en geen vooruitgang meer boekt. Dan zit je nog tegen de juridische kant aan te kijken. Er is allerlei wetgeving in de maak, zoals het recht op digitale inzage in je EPD. Daarover is nog steeds niets bekend terwijl je erop wilt anticiperen. Bijna niet te doen.”

Rianne van der Zanden (Trimbos-instituut): “Ik krijg hier ook een verkrampt gevoel van. Dit is niet bij te benen. Er is zóveel mailverkeer. Hoeveel geld hebben wij ervoor over, met onze schaarse middelen, om dit optimaal te regelen? Dan weet ik nog wel wat anders.”

Ruwaard: “Misschien is het wel gewoon op een andere manier op te lossen. Bijvoorbeeld door je patiënt te informeren en een verklaring vast te leggen: ben je bereid dit risico te nemen?”

Hinrichs: “Rianne stelt de centrale vraag: hoeveel hebben we hiervoor over? En gaan we dan inderdaad zitten verkrampen omdat we bang zijn dat de beveiliging niet aan de Europese regels voldoet? Of nemen we bepaalde risico’s? Net als met onze papieren dossiers vroeger, trouwens.” De Jonge: “Ik wou net zeggen: ik deed toen ook niet alle dossiers in de brandkast als ik even naar de wc moest.” Gerrits: “Als je alle risico’s wilt uitsluiten wordt alles zó ontzettend bureaucratisch. Dan loop je vast.”

Angstbeeld

Ruwaard: “Let wel: voor je het weet staat er zomaar een behandelaar voor de tuchtraad en die krijgt dan al die shit over zich heen en moet ‘ie zich verantwoorden voor alles wat wij niet goed hebben gedaan.” Gerrits: “Dat is een angstbeeld. Hoe vaak is het al gebeurd dat een behandelaar voor de tuchtraad staat voor iets dat online niet honderd procent gegaan is?” Ruwaard: “Ik kon niks vinden.”

Gerrits: “We hebben bij Grip op je Dip weleens een zelfmoord meegemaakt, bij Altrecht, met e-mailondersteuning. En het mooie van dat digitale proces is natuurlijk: alles is gedocumenteerd. Dus de inspectie heeft naar het logboek gekeken en heeft deze persoon ‘goed behandelaarschap’ toegedicht. Ze konden gewoon lezen dat dat meisje had geschreven: “Sorry, ik vind alles wat jullie voor me gedaan hebben heel fijn. Maar ik ga het niet redden. Ik zet er een punt achter.”