Open deuren

Recent heeft onderzoeksbureau PLBQ in opdracht van de overheid onderzoek gedaan naar de bescherming van privacygevoelige gegevens binnen de gezondheidszorg. Alle lof voor het onderzoek, knap werk. De uitkomst lag voor de hand: Het gaat beter dan een paar jaar geleden maar de zorg én de overheid moeten nog veel meer hun best doen.
Berend de Vries.jpg

De bevindingen van de onderzoekers zijn heel herkenbaar voor iedereen die in de zorg werkt of ermee te maken heeft. Veel zaken die naar voren gehaald worden spelen al vele jaren, in ieder geval zo lang als ik in het vak zit. Ik vrees dat de aanbevelingen, die eveneens heel herkenbaar zijn, dan ook niet werkelijk de gegevensbescherming gaan verbeteren. De aanbevelingen zijn verstandig en zullen een beetje helpen, maar het grootste deel van de problematiek ligt elders.

Gespecialiseerd in zorg
We zullen altijd achter de feiten van de informatiebeveiliging aanlopen. Je kunt je immers niet beschermen tegen iets dat je nog niet bedacht hebt. En een aanvaller zal altijd proberen iets te bedenken waar jij nog niet klaar voor bent. Bovendien is de zorg gespecialiseerd in zorg en niet in bescherming van gegevens. Hoe goed zorgorganisaties hun best ook doen, ze zullen het nooit zo goed kunnen doen als organisaties die gespecialiseerd zijn in de bescherming van gegevens of organisaties die gespecialiseerd zijn in de aanval op die gegevens. Wat je hooguit kunt doen, is het de aanvallers zo moeilijk mogelijk maken door alle bescherming die je kent te implementeren en je organisatie zo goed mogelijk in te richten.

Kosten van gegevensbescherming
De bescherming van gegevens brengt kosten met zich mee en dat geld gaat van het budget af dat bedoeld was voor de zorg. Sinds de invoering van lumpsumfinanciering en verdergaande macht van de verzekeraars moeten zorgorganisaties prioriteit geven aan de verantwoording van hun uitgaven ten behoeve van de zorg en is er geen ruimte voor een geoormerkt budget ten behoeve van de bescherming van gegevens. Wellicht geeft het inzicht als iedere zorginstelling zou publiceren hoeveel geld ze in de praktijk nu werkelijk aan de bescherming van gegevens kunnen besteden. Dat zou weleens tegen kunnen vallen.

Ingewikkelde wetgeving
De handvatten die de overheid in al haar vormen aanreikt, bieden geen houvast. Het zijn lijstjes open deuren die er voornamelijk voor moeten zorgen dat de zorgorganisaties aan ingewikkelde wetgeving voldoen; anders legt diezelfde overheid een boete op. Dat wordt met de Algemene Verordening Gegevensbescherming niet beter. De overheid wordt op deze manier, althans op het gebied van informatiebeveiliging, steeds meer de vijand van de zorg. In plaats van strenger optreden en onhaalbare eisen stellen zou de overheid eens kunnen zorgen voor een veilige landelijke infrastructuur. (Waar blijft, bijvoorbeeld, veilige e-mail met landelijke dekking voor de zorg?)

Kennisniveau zorgmedewerkers
Lang geleden ben ik consultant geworden omdat ik dacht dat ik door kennis over te brengen en zorginstellingen te adviseren op het gebied van informatiebeveiliging de wereld een beetje beter kon helpen maken. Aan de kunde van aanvallers, de kosten van de gegevensbescherming en de onhandige overheid kan ik weinig veranderen maar wel aan het kennisniveau van de medewerkers in de zorg. En daar ga ik mij het komende jaar maar weer flink tegenaan bemoeien. U hoort nog van mij. Een veilig 2017 gewenst.

Berend de Vries, Comfort-IA

DELEN
1
35
Berend de Vries
Berend de Vries heeft al meer dan 20 jaar ervaring met ict in de zorg. Sinds 2009 is hij Managing Partner van Comfort-IA. Hij richt zich op informatiseringsbeleid en informatiebeveiliging voor zorginstellingen en gemeentelijke instanties. Zijn blogs voor Zorgvisie schrijft hij meestal samen met zijn collega Jaap van der Wel.

1 REACTIE

  1. Het beeld, dat het rapport van PBLQ schetst, geeft een nog veel te rooskleurig beeld. Analyses vonden plaats op basis van interviews en twee enquêtes, waarna analyse en conclusies volgden. Bij de diepte-interviews is sprake van een forse onderzoeksbias. De ondervraagden zijn de "usual suspects", zoals Autoriteit Persoonsgegevens, IGZ, KNMG, plus vertegenwoordigers van ICT-afdelingen van zorginstellingen en ICT-leveranciers. Slechts drie zorgverleners zijn te ontwaren, een hoofd van een academische apotheek, een hoogleraar interne geneeskunde en een leidinggevende psychiater Kritische inbreng van ICT-beveiligingsbedrijven, zoals bijv. FOX-IT is niet ingebracht. De beroepsgroep uit de zorg die als eerste met de automatisering begon, nu volledig geautomatiseerd is, en waarlangs veel dataverkeer gaat: de huisartsen, is niet vertegenwoordigd. De twee enquêtes zijn zeer waarschijnlijk niet representatief. Slechts 25 respondenten waren er zonder vermelding van hoeveel voor elk en hoeveel uitnodigingen verstuurd werden. Kortom: de twee pijlers waarop de analyse en conclusie gebaseerd werden, zijn zeer zwak. Zie ook: http://www.zorgictzorgen.nl/onderzoeksbias-devalueert-waarde-rapport-beveiliging-patientgegevens/

Geef je reactie

Om te kunnen reageren moet je ingelogd zijn. Heb je nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.