LSP als wapen tegen cybercriminelen

Het Centraal Planbureau pleit voor verplichte gegevensuitwisseling, bijvoorbeeld via het LSP. Dit moet de kwetsbare gegevensuitwisseling in de zorg veiliger maken.
Big data.fotolia.jpg
Foto: fotolia

Het CPB schrijft dit in de gisteravond verschenen Risicorapportage Veiligheid Economie.

Zorgsector

Cybersecurity is extra belangrijk in de zorgsector, omdat grote hoeveelheden persoonsgegevens ontstaan en worden gedeeld. Als semipublieke sector is de gezondheidszorg meer gereguleerd dan andere sectoren van de economie. Hierdoor zijn zorgorganisaties verplicht om informatie uit te wisselen met bijvoorbeeld toezichthouders en verzekeraars. Ook worden administratieve gegevens veel gebruikt voor medisch onderzoek.

E-health

Ook in de zorg kan beter worden nagedacht over cyberdreigingen. De steeds verder uitdijende eHealth-toepassingen maken de zorg kwetsbaarder. Bij een lek kunnen persoonlijke en medische gegevens van talloze Nederlanders op straat komen te liggen. De Autoriteit Persoonsgegevens meldde onlangs dat een derde van de meldingen van datalekken uit de zorg komt. De risico’s doen zich vooral voor bij decentrale administratieve gegevensstromen. Ook maken aanvallen met ransomeware medische apparatuur en databases tijdelijk onbruikbaar. Daarom pleit het CPB ervoor dat zorgverleners informatie uitsluitend delen via een goed beveiligde publieke infrastructuur, zoals het Landelijk Schakelpunt.

LSP

Een publieke infrastructuur voor gegevensuitwisseling heeft als bijkomende voordelen dat ook kleine zorgorganisaties eenvoudig aan normen voor informatiebeveiliging kunnen voldoen en dat het mogelijk wordt om burgers eenvoudig inzicht te geven in wie toegang heeft tot hun gegevens. Als zorggebruikers eenvoudig kunnen nagaan wat er met hun gegevens gebeurt, dan kan dat zorgverleners een extra prikkel geven om veilig om te gaan met persoonsgegevens.

Risico’s

Het CPB noemt ook mogelijk negatieve gevolgen: als de infrastructuur wegvalt, kunnen op grote schaal problemen ontstaan. Dit risico is te beheersen door pluriformiteit en decentraal te organiseren, bijvoorbeeld met blockchain technologie. Daarnaast is de gebruiksvriendelijkheid essentieel. Als de gebruikersvriendelijkheid te wensen over laat, zullen zorgverleners gebruik in de verleiding komen gebruikt te gaan maken van onveilige alternatieven. Een strategie om dit risico te vermijden is om eerst vrijwillig gebruik van de publieke infrastructuur te stimuleren door te investeren in gebruiksgemak.

Cure

Binnen de cure maken veel zorgverleners gebruik van onder andere het LSP voor het opslaan en delen van medische gegevens. Op het LSP zijn huisartsen, apotheken, ziekenhuizen en zorggroepen aangesloten. Van de huisartsen is inmiddels 91 procent aangesloten. Het gebruik van LSP lijkt lager te liggen: 68 procent van de huisartsen geeft aan het LSP daadwerkelijk te gebruiken.

Care

De care maakt veelal gebruik van iStandaarden. Deze informatiestandaarden staan onder beheer van het Zorginstituut Nederland en zijn een verzameling van regels en afspraken over de uitwisseling van medische gegevens tussen gebruikers. Een variant van de iStandaard is de iWlz. Deze standaard wordt verplicht gebruikt door zorgverleners, het CAK, het CIZ en zorgkantoren om te communiceren over Wlz-zorg. Het gaat hierbij om medische gegevens. Voor zorg die wordt vergoed vanuit de Wmo is er de iWmo. De iWmo wordt gebruikt door aanbieders van zorg en ondersteuning, gemeenten en het CAK. Werken met de iWmo is niet verplicht. Daarnaast hebben zorginstellingen hun eigen informatiesystemen en vaak hun eigen patiëntenportalen.

Reputatie

Grote zorgorganisaties zoals ziekenhuizen, hebben een veel grotere prikkel om een goede reputatie op het gebied van informatiebeveiliging op te bouwen dan kleine poortwachters en zorgverleners. Een tweede probleem bij kleine organisaties is dat de kosten van beveiliging tegen sommige incidenten te groot kunnen zijn. Veel soorten beveiligingskosten zijn namelijk onafhankelijk van de schaal waarop ze worden toegepast. Daarnaast zijn de baten van preventie bij kleine organisaties lager vanwege beperkte aansprakelijkheid. De financiële schade voor de zorgorganisatie kan niet groter zijn dan de kosten van een faillissement.

Toezicht

De beperkte marktprikkels voor cyberveiligheid bij kleinere poortwachters en zorgverleners vergroot het belang van toezicht op deze categorie door de AP en de IGZ. De verscheidenheid aan informatiesystemen bij huisartsen en gemeenten maakt het daarbij wel kostbaar voor deze toezichthouders om te controleren of zij gegevens adequaat beschermen. Hierdoor ontstaat het risico dat poortwachters en zorgverleners onvoldoende investeren in cyberveiligheid.

Trefwoord dossier EPD/ZIS: epd

Dossier EPD/ZIS
Het elektronisch patiëntendossier staat vol waardevolle informatie over de patiënt. Zorgverleners zijn hierdoor snel op de hoogte over de status van patiënten. Ook worden er steeds meer intelligente toepassingen bedacht die gebruikmaken van deze informatie.
Lees meer >>

2 REACTIES

  1. Het is wel duidelijk dat het CBP in haar berichtgeving bijzonder tegenstrijdige informatie verschaft. aan de ene kant meldt ze dat als een centrale infrastructuur uitvalt er grote problemen ontstaan. Die zouden te beheersen zijn door pluriformiteit en decentraal organiseren met blockchaintechnologie. Aan de andere kant dringt men aan op gebruik van het LSP als "wapen" tegen cybercriminelen. (De kop boven uw artikel is overigens slecht gekozen omdat het om een defensief advies gaat.) Het LSP is helemaal niet decentraal georganiseerd en kent een centraal computersystem met een centrale verwijsindex. Het is een legacy-systeem, waarin de data korte tijd in de centrale computer onversleuteld aanwezig zijn. Blockchain-technologie kent nog geen echte toepassing in de zorg. De kwetsbaarheid van het LSP zit hem ook in de decentrale toegang met zeer vele pashouders.

  2. Lees alle reacties

Geef je reactie

Om te kunnen reageren moet je ingelogd zijn. Heb je nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.