Een verplichte publieke infrastructuur voor gegevensuitwisseling in de zorgsector (vergelijkbaar met het bestaande LSP) kan de cyberveiligheid, en dus ook de privacy, in de zorgsector vergroten en kan ook de kwaliteit van de zorgverlening verbeteren. Dat is een van de conclusies van de Risicorapportage Cyberveiligheid Economie die het Centraal Planbureau (CPB) gisteren publiceerde. Het CPB is een onderzoeksinstituut dat economische beleidsanalyses maakt.
Volgens Bastiaan Overvest, één van de auteurs van de notitie, is het CBP zich bewust van het gegeven dat de Eerste Kamer in 2011 de plannen voor een landelijke systeem voor uitwisseling van medische gegevens in de ijskast plaatste, vooral vanwege de privacy-aspecten daarvan. Sindsdien is zo’n landelijk systeem (bijvoorbeeld het LSP) politiek zeer beladen, en gaf minister Edith Schippers meerdere malen aan dat een verplicht landelijk systeem een gepasseerd station is.
"De wereld is veranderd sinds 2011"
Maar Overvest stelt dat de wereld sinds 2011 veranderd is. “We zien dat er in de praktijk op allerlei niveau’s dagelijks grote hoeveelheden medische gegevens worden uitgewisseld, en we zien ook dat onze opvattingen over de relatie tussen veiligheid en privacy zijn veranderd. Wij stellen niet dat een verplicht landelijk systeem de enige juiste oplossing is, maar we vinden wel dat de maatschappelijke discussie over het LSP opnieuw gevoerd kan worden met nieuwe argumenten.”
De publicatie van de notitie valt samen met de eerste werkdag waarop een nieuwe wet voor elektronische gegevensuitwisseling in de zorg van kracht is geworden. Die wet regelt onder meer op welke manier zorgaanbieders medische data moeten beschermen tegen computercriminelen en dataverlies. Een overzicht van gemelde datalekken over 2016 laat zien dat de zorgsector relatief veel datalekken rapporteert. Het CPB-rapport stelt vast dat “incidenten bij ziekenhuizen en gemeenten laten zien dat risico’s op datalekken juist bij decentrale administratieve gegevensstromen liggen.”
Huisartsen en kleinere gemeenten kwetsbaar
Waar grotere ziekenhuizen of verzekeraars op papier de financiële en organisatorische middelen hebben om hun databeveiliging goed aan te pakken, is dat bijvoorbeeld voor huisartsen en kleinere gemeenten moeilijk, stelt de notitie. Dit brengt volgens de opstellers het risico met zich mee dat “huisartsen medische gegevens onvoldoende beveiligen zodat informatiesystemen kwetsbaar blijken voor bijvoorbeeld ransomware-aanvallen”. Daarnaast kunnen datalekken ontstaan die onopgemerkt blijven. Ook bij gemeenten bestaat een risico dat zij zich onvoldoende bewust zijn van het belang van een beveiliging van medische gegevens. Zelfs bij grote gemeenten zoals Rotterdam en Eindhoven is geconstateerd dat informatiebeveiliging tekort schiet, zeggen de onderzoekers.

Schaalgrootte nodig voor adequate beveiliging? (Foto: Jeroen Bosch Ziekenhuis)
Burgers hebben het recht om te bepalen wie inzicht in hun medische gegevens krijgt, maar kunnen volgens het CPB niet nagaan of poortwachters (als huisartsen) en zorgverleners in de praktijk aan hun wensen voldoen. Ook kunnen zij niet controleren hoe hun medisch dossier beveiligd is.
Bij kleine zorgorganisaties kunnen de kosten van beveiliging tegen sommige incidenten te groot zijn. Hier zijn volgens het CPB twee redenen voor. Ten eerste zijn veel soorten beveiligingskosten onafhankelijk van de schaal waarop ze worden toegepast. Ten tweede zijn de baten van preventie bij kleine organisaties lager vanwege beperkte aansprakelijkheid: "de financiële schade voor de zorgorganisatie kan niet groter zijn dan de kosten van een faillissement", aldus het rapport.
Verplichte landelijke infrastructuur ook risico's
Een verplicht gebruik van een publieke infrastructuur brengt volgens het CBP twee risico’s met zich mee. Een eerste risico is dat bij het wegvallen van een infrastructuur grootschalige problemen kunnen ontstaan - er is een risico op een zogeheten single point of failure. Dit risico kan volgens de auteurs beperkt worden door zo’n systeem decentraal te organiseren - bijvoorbeeld met blockchain technologie. Een tweede risico is dat als verplichte infrastructuur niet gebruikersvriendelijk is ontworpen, zorgverleners gebruik zullen gaan maken van onveilige alternatieven.
Daarom is het volgens het CBP verstandig om vooral te investeren in het gebruiksgemak van zo’n publieke infrastructuur. Daarmee stimuleer je immers vrijwillig gebruik. In een later stadium zou de dienst dan verplicht kunnen worden gesteld.

Steeds meer gezondheidsdata van gezonde mensen
De notitie geeft aan dat de opkomende digitalisering zorgt voor nieuwe producten en diensten die ook een medische toepassing kunnen hebben. Met de digitalisering van de samenleving groeit volgens de notitie ook het scala aan apparaten en databronnen dat inzicht kan geven in iemands gezondheid. De bescherming van gezondheidsgegevens is daardoor niet langer de exclusieve verantwoordelijkheid van de zorgsector, maar strekt zich volgens het CBP uit naar bedrijven met uiteenlopende achtergronden, zoals Apple, Google, Amazon en Facebook. De gehele notitie is hier te downloaden.
Plaats een Reactie
Meepraten?Draag gerust bij!