Hardleers

COLUMN - In 2006 liet ik de veiligheid van de elektronische patiëntendossiers van twee ziekenhuizen testen. Bij een ziekenhuis waren de hackers binnen een paar uur binnen, zonder ingewikkelde strapatsen. De hackers gebruikten een alom bekende kwetsbaarheid, konden daarna overal bij en verhuisden op mijn verzoek grote hoeveelheden gegevens heen en weer, om te kijken of het ziekenhuissysteem dan tenminste doorhad dat er ineens wel erg veel data werd rondgesleurd. Nee hoor, niks.

Ik kon lijstjes oproepen van alle patiënten met ziekte X, of geboren in een specifiek jaar, of in behandeling bij dokter Y, of wonend in postcodegebied Z. Alle patiëntendossiers kon ik vrijelijk inzien, kopiëren, wissen, ja zelfs veranderen. Het ziekenhuis merkte niets.

Toen ik de directie belde met het schokkende nieuws en een afspraak tussen hen en de hackers arrangeerde om de oorzaken van hun gapende gat te bespreken, stuurden ze de systeembeheerder. De directie noch de Raad van Bestuur lieten zich zien. Niet hun pakkie-an, vonden ze.

Maandag werd bekend dat vier Nederlandse ziekenhuizen betrokken waren bij twee nieuwe medisch datalekken.

Twee ziekenhuizen hadden via een tussenpersoon de papieren dossiers van hun patiënten aan Belgische gevangenen verstrekt; de gevangenen moesten de dossiers gereedmaken om te scannen, opdat de dossiers gedigitaliseerd konden worden. Papier ordenen, nietjes eruit, dat werk. De dossiers van je patiënten aan veroordeelde criminelen geven – wie bedenkt er in hemelsnaam zoiets? Medische dossiers mogen uitsluitend worden verwerkt door mensen die een strenge geheimhoudingsplicht hebben.

Dezelfde tussenpersoon, het Belgische iGuana, was ook verantwoordelijk voor het tweede lek: de gegevens van 200.000 patiënten waren een maand lang voor iedereen zichtbaar via een volledig onbeschermde internetlink. Daaronder bevonden zich bijna 6000 datasets van twee Nederlandse ziekenhuizen (de rest betrof Belgische patiënten).

In het lijstje van de betrokken ziekenhuizen sprong één naam in het oog. Warempel, daar had je het ziekenhuis weer dat tien jaar geleden al zo onvergeeflijk slordig omsprong met de digitale dossiers van hun 1,2 miljoen patiënten. Ze zijn verrekte hardleers, daar.

We willen graag alles digitaliseren, maar het moet liefst niets kosten. Dus zetten we om redenen van kostenbesparing slordige tussenpersonen en vage onbevoegden in. En het is onze privacy die daaronder lijdt, óns medisch geheim dat al doende op grote schaal wordt geschonden.

Ziekenhuizen zouden tegenwoordig een privacy-officer in dienst moeten hebben, iemand die verstand heeft van data-hygiëne en privacywetgeving; iemand die boven alle disciplines staat en die een veto kan uitspreken over brakke automatisering.

Tot die tijd zijn boetes de enige remedie, torenhoge hoge boetes. Pas dan gaan directies en zorgverzekeraars zich realiseren dat goedkoop vaak duurkoop is.

  1. 1

    “een afspraak tussen hen en de hackers arrangeerde om de oorzaken van hun gapende gat te bespreken, stuurden ze de systeembeheerder.”
    Zo vreemd is dat niet. Ziekenhuisbestuurders hebben totaal geen kaas gegeten ICT, het heeft geen enkele zin om om technische zaken zelfs maar in grote lijnen met hen te bespreken. Het mag dan ook niet verbazen hoe slecht men zich daar realiseert dat hun ICT een zwaar ondergeschoven kindje is (het is toch ook geen corebusiness, dus zonde van elke cent die erheen gaat). Ik voel dan ook wel aankomen dat men straks de beveiliging (inclusief de gegevens zelf) straks gaat uitbesteden, zoals dat nu al gebeurt met bijna alles dat niet corebusiness is.

    “Tot die tijd zijn boetes de enige remedie, torenhoge hoge boetes.”
    Dat ook, maar uiteraard moet er wel ook iemand zijn die geregeld de gaten bij alle zorginstellingen (dat zijn al lang niet alleen maar ziekenhuizen) komt testen.

  2. 3

    Tot die tijd zijn boetes de enige remedie, torenhoge hoge boetes.

    Leuk en aardig, maar mag ik aannemen dat die boetes persoonlijk aan de falende leidinggevenden worden opgelegd en niet te koste gaan van het zorgbudget/patiënten.
    Verder op staande voet ontslag (zonder afkoopsom of andere idioterie) voor die onbenullen.

  3. 4

    Ik ben de journalist die dit item maakte voor Meldpunt van Omroep Max. Bronvermelding was leuk geweest…

    Zal ik het nog gekker maken ? Ook een privacy officer in dienst hebben, lost niets op. De getroffen ziekenhuizen hadden bijna allemaal een privacy officer in dienst. Maar die wisten van niets.
    Het zijn de afdelingen ‘Inkoop’ die het digitaliseren uitbesteden. En dat moet inderdaad op een koopje. En als die contracten tekenen met een bedrijf dat al sinds 2002 (!) dossiers van Nederlandse ziekenhuizen in gevangenissen scanklaar laat maken, zonder dat de desbetreffende ziekenhuizen, de privacy officer of de raad van bestuur / directie dit weten, dan is ook hier iets helemaal mis. De eindverantwoording ligt altijd bij het bestuur van een ziekenhuis. Die moet controleren of er goed met medische dossiers wordt omgegaan, overal. In huis en buitenshuis bij de bewerkers van de dossiers.
    Meldpunt komt natuurlijk met een vervolg.

    Hélène van Beek

  4. 5

    @4: Er staat toch een bronvermelding (naar het NOS bericht hierover)? Ik snap het even niet.

    (mijn complimenten trouwens voor deze belangwekkende vondst!)

  5. 6

    @1
    Het is ook wel verstandig om je ICT uit te besteden. Aangezien het vrijwel onmogelijk is voor alle ziekenhuizen op zichzelf om een goed systeem op te zetten dat ook nog redelijk betaalbaar is.

  6. 8

    @6: Daarmee loop je wel hetzelfde risico dat hierboven beschreven wordt rondom de scanproblematiek: Als je de beveiliging van patiëntgegevens uitbesteedt, open je ook weer een deur naar een externe partij die bestaat uit niet-zorgverleners die toegang tot patiëntgegevens hebben.

  7. 9

    Je noemt het hardleers, maar dat lijkt me een veel te rooskleurige weergave van wat hier aan de hand is. Het doet vermoeden dat sprake is van onwil, maar dat is waarschijnlijk niet het geval. En als er al sprake is van onwil dan maakt dat eigenlijk ook nog geen zak uit. Het echte probleem is namelijk dat het het gros van onze medelanders aan het verstand ontbreekt dat nodig is om dingetjes goed te beveiligen. Het is volstrekt onrealistisch om van een ziekenhuis te verwachten dat ze databeveiliging goed op orde hebben. Het beste wat je van ze kunt verwachten is dat ze een goede partner weten in te huren die zich daarmee bezig houdt. Maar eigenlijk is dat nogal een rare route. Databeveiliging gaat over je core business. Het is geen “add-on” die je inkoopt. Het stopt niet bij software. Je personeel moet ook meedoen. Iedereen moet meedoen. Het moet in je DNA zitten. Iedereen moet het snappen.

    Het lijkt me daarom eerlijk gezegd volstrekt onrealistisch om van het gros van de grote organisaties in Nederland te verwachten dat ze hun databeveiliging _echt_ goed op orde hebben. Er zijn wat uitzonderingen, met name in de financiele sector en bij de overheid, maar daarbuiten? Allemaal zo lek als een mandje. Verbazing lijkt me dan ook ongepast.