De Nederlandse ziekenhuizen hebben hun eigen versie van de film Groundhog Day, waarin weerman Bill Murray elke dag opnieuw beleeft. Bij de ziekenhuizen werkt het zo: bijna elk jaar komt er één of ander rapport uit waarin staat dat de beveiliging van de websites of IT-systemen van ziekenhuizen niet deugt. De ziekenhuizen beloven er wat aan te gaan doen, en voor je het weet is er weer een jaar voorbij. En blijven de meeste ziekenhuis-sites onveilig.
"Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm", concludeerde de voorganger van de Autoriteit Persoonsgegevens in een rapport in 2007, tien jaar geleden. Plannen van aanpak, die moesten er komen!
Fast forward naar 2016. De Autoriteit Persoonsgegevens (AP) bevestigt tegen Trouw dat Nederlandse ziekenhuizen sinds de invoering van nieuwe wetgeving begin dit jaar gemiddeld elke dag één datalek hebben gemeld, uiteenlopend van hackpogingen tot verloren USB-sticks.
Nictiz onderzocht dit najaar patiëntportalen bij ziekenhuizen. Op basis van die gegevens concludeerde de AP vorige maand dat bij een aanzienlijk aantal ziekenhuizen de inlogprocedure niet voldoet aan de richtlijnen.
"Wie is die gek die tegen Nictiz de waarheid heeft verteld?"
Smakelijk detail: het onderzoek van Nictiz vond plaats op basis van door de ziekenhuizen zelf verstrekte gegevens. Ik zie het tafereel na ontvangst van de waarschuwingsbrief van de AP al voor me: "Wie is die gek die tegen Nictiz de waarheid heeft verteld?"
En volgens ander recent onderzoek van de beveiligingsspecialisten van WICS moeten patiënten bij één op de drie ziekenhuizen hun gegevens via een slecht beveiligde verbinding versturen. Bij een kwart van de sites ontbreekt een beveiligde verbinding zelfs helemaal, waardoor gegevens die een patiënt op een webformulier invult onversleuteld worden verstuurd. Dat hebben ze bij Thuisbezorgd.nl beter geregeld, maar een pizza bestelling luistert misschien nauwer dan patiëntgegevens.
We voeren hem niet uit!
Prima werk van al die onderzoekers, daar niet van, maar deze lekken zijn zo zichtbaar en komen al zo lang voor dat het eigenlijk te bizar voor woorden is dat ze nu weer nieuwswaarde hebben. Welk excuus hebben ziekenhuisbestuurders om de bestaande regelgeving te negeren? Vinden ze de bestaande beveiligingsnormen eigenlijk flauwekul? Daar is overigens best wel een leuke case voor te maken, maar in het openbaar zeggen de bestuurders dat ze zich aan hun eigen veldnormen willen houden. Hebben ze geen geld?
"Een sexy operatierobot interessanter dan security"
Dat lijkt me een kwestie van prioriteiten stellen. Een sexy high-tech operatierobot of een nieuwe vleugel is misschien interessanter dan fatsoenlijke beveiliging.
Dat is in ieder geval wat ik hoor van de meeste IT-beveiligers die ik uit de zorg ken. Natuurlijk moet die site goed beveiligd worden, maar er moet zo veel van de directie. En tot nu toe waren de consequenties bij een overtreding nog te overzien. Toch zijn bestuurders zich dit jaar wel op het achterhoofd gaan krabben. Vanaf dit jaar kunnen zij immers in theorie persoonlijk aansprakelijk worden gesteld voor onbehoorlijk bestuur dat privacyschendingen tot gevolg heeft. Zo'n website zonder groen slotje lijkt me geen prettige start van een eventuele rechtszaak. Alsof je je de deur naar de voorraad morfine open hebt staan, maar dan digitaal.
Er is hoop
Een woordvoerder van de Nederlandse Vereniging van Ziekenhuizen (NVZ) zegt tegen Skipr dat "de beveiliging van ziekenhuissites nog wel te wensen overlaat", maar benadrukt dat er hard aan wordt gewerkt om die te verbeteren. "We weten het, we werken eraan", zegt de voorlichter in het artikel.
Hoe dan? De woordvoerder noemt een ziekenhuisbreed project waar de minister vorig jaar 100 miljoen euro voor heeft uitgetrokken. Daarmee kan "tegelijk de cybersecurity op orde wordt gebracht".
Kijk, zo gaat dat dus. Het ministerie van VWS gaat in de komende jaren inderdaad 35 miljoen per jaar uitgeven in het zogeheten VIPP programma (Versnellingsprogramma Informatie-uitwisseling Patiënt en Professional). Het idee erachter is om burgers op een veilige manier via slimme apps toegang te geven tot hun medische gegevens. Het is een kroonjuweel in het eHealth beleid van het minister van VWS.
Ik vraag me af of VWS wel weet dat met het geld voor de nieuwe serre eerst nog de oude CV-installatie en de waterleidingen moeten worden vernieuwd. Voorlopig is alle aandacht weer afgeleid door het nieuwe, glimmende speeltje. Totdat we in 2018 lezen dat die nieuwe apps weer zo lek als een mandje zijn.
Privacy en ICT-security moeten in je cultuur zitten, en niet in het eerstvolgende subsidieprogramma.
Plaats een Reactie
Meepraten?Draag gerust bij!