Het medisch geheim gehackt

De gezondheidszorg heeft een nieuwe droom: patiëntgegevens die altijd paraat zijn en vanaf elk bevoegd bureau oproepbaar. Met een paar muisklikken kan een specialist iemands röntgenfoto’s ophalen, de resultaten van onderzoek bekijken of een recept uitschrijven en dat elektronisch afleveren bij de apotheek. Apotheken kunnen zien wat een patiënt eerder voorgeschreven heeft gekregen. Handig als je op vakantie bent en een oude kwaal ineens weer opspeelt. Ook kun je zo voorkomen dat iemand een middel krijgt voorgeschreven dat bijt met andere medicijnen die hij slikt, of waarvoor hij allergisch is.

Met elektronische patiëntendossiers maakt het niet meer uit waar iemands medische gegevens fysiek worden bewaard. Het gesleep met papieren dossiers is dan voorbij, evenals de vraag of iemands dossier wel compleet is en niet deels elders ligt. Als artsen aan de hand van iemands patiëntnummer overal kunnen zoeken, is alle informatie immers altijd voorhanden en door meerdere zorgverleners tegelijkertijd te raadplegen.

De zorg wordt op die manier beter en efficiënter, hoopt men. Bovendien kunnen zo ‘medische missers’ worden voorkomen, oftewel fouten in de zorg die veroorzaakt worden door onvolledige informatie of door gebrekkige informatie-overdracht.

Met de invoering van zulke elektronische patiëntendossiers (EPD) en elektronische medicatiedossiers (EMD) zijn beleidsmakers en zorgverleners al een tijd bezig. Te lang, vindt de regering, die er vaart achter wil zetten. Minister Hoogervorst wil als eerste stap het EMD in de loop van 2006 overal invoeren, en wie niet meewerkt kan op maatregelen rekenen. ‘Als het niet goedschiks gebeurt, dan maar kwaadschiks,’ dreigde hij een half jaar geleden in een overleg met de Tweede Kamer. Het landelijk dekkend EPD moet in 2010 klaar zijn.

Bijna alle specialisten en huisartsen werken al met een elektronische versie van de oude patiëntenkaart, dat is het probleem niet. Waar het om gaat is dat zorgverleners elkaars gegevens over een patiënt elektronisch kunnen inzien. Je moet dus zorgen voor (internet)lijntjes tussen al die honderden locaties waar patiëntendossiers worden bijgehouden, je moet een systeem verzinnen om patiënten uniek te maken (zodat ze bij alle zorgverleners herkenbaar zijn), en een systeem om zorgverleners te autoriseren.

We zijn een eind op streek. Ik heb de afgelopen maanden prachtige EPD’s gezien waar je met een druk op de knop rats-rats alle informatie over een patiënt uit alle hoeken van het ziekenhuis ophaalt, er zijn regio’s waar huisartsenposten, ziekenhuizen en fysiotherapeuten elkaars gegevens eenvoudig en snel kunnen raadplegen, er zijn complexe identificatie- en autorisatieprocedures uitgedacht met pasjes en wachtwoorden en dikke pakken papier met normen en standaarden zijn gepubliceerd.

Beleidsmakers willen het EPD liefst snel verder uitbreiden. Sommigen hebben science-fictionachtige visioenen, getuige het artikel dat twee leden van de Raad voor de Volksgezondheid en Zorg vorige week in Medisch Contact publiceerden. Ze schilderden het beeld van een soort zelfdenkend dossier dat automatisch informatie verzamelt, waardes uitrekent en waarschuwingen rondstuurt en waar de patiënt thuis zelf allerlei gegevens aan kan toevoegen.

Maar EPD’s zijn nu al hoogst ingewikkelde systemen die gegevens uit diverse disciplines moeten combineren en interpreteren, en die bovendien met computersystemen van buiten moeten communiceren. Hoe meer functionaliteit je eraan koppelt, hoe kwetsbaarder je de gegevens maakt: elke toeter en bel erbij maakt de programmatuur onoverzichtelijker en onbeheersbaarder. De benodigde link naar de buitenwereld maakt de systemen extra gevoelig. Want alles waar externe zorgverleners bij mogen, is vrijwel altijd ook bereikbaar voor slimme onbevoegden.

*

Om de proef op de som te nemen, liet ik experts van de beveiligingsbedrijven ITSX, Fox-IT en Madison Gurkha de beveiliging van twee ziekenhuizen testen. De resultaten waren schrikbarend. Beide ziekenhuizen waren ernstig lek. Bij één ziekenhuis hebben ‘mijn’ hackers via internet twee weken lang toegang gehad tot 1,2 miljoen patiëntgegevens en niemand merkte dat op. Ik kon de gegevens bestellen die ik wilde en kreeg ze dan binnen tien minuten per e-mail aangeleverd. Namen, adressen, telefoonnummers, patiëntnummers, polisnummers, geslacht, geboortedatum, lengte, gewicht, dood of levend. Erbij zat ook een lijst met patiënten die een besmettelijke ziekte hadden. Bij het andere ziekenhuis konden de ze eveneens vrijelijk zoeken in alle interne gegevens.

Hoe gevoelig een dergelijke hoeveelheid data is, is evident. Met één enkele hack kregen we toegang tot de medische gegevens van bijna acht procent van de hele Nederlandse bevolking. We konden gegevens inzien, kopiëren, weggooien of veranderen. We hadden alle bloedgroepen kunnen veranderen: rhesus positief naar rhesus negatief. We hadden mensen kunnen chanteren: weet uw vrouw dat u in 1999 een geslachtsziekte had? Weet uw aanstaande baas dat in uw familie genetische kanker voorkomt?

Dat de hackers binnen konden komen, lag niet alleen aan de complexiteit van de systemen. Natuurlijk, er was een oude versie van Oracle hier en een niet gepatchte fout in SQL daar, maar ja, tegen de tijd dat je dat hebt gerepareerd is er weer een lek zus of een gat zo. Dat is dweilen met de kraan open. Het was vooral omdat beveiliging van de gegevens achteraf is bedacht: eerst zijn al die gegevens verzameld, daarna is er iets overheen gelegd met toegangscodes. Maar zo werkt databeveiliging niet, het is geen toefje slagroom waarmee je een taart bedekt als-ie af is. Beveiliging moet in het meel zitten waarmee je bakt.

Wie aan massale dataopslag doet, moet die data permanent monitoren, ook op het laagste niveau. Alle procedures die zijn ontworpen regelen de beveiliging op hoog niveau, via de gebruikersprogramma’s (de interfaces). Op dat niveau wordt keurig bijgehouden wie gegevens bekijkt of wijzigt. Wie echter op de command-line werkt – zeg maar: met de ruwe data – kan vaak overal bij zonder dat dat wordt bijgehouden. ‘Dat kan niet, als je alle databewegingen moet bijhouden worden de echte programma’s te traag en kunnen we al die extra dingen niet doen!’ zeggen beleidsmakers dan. Die redenering verkwanselt elementaire veiligheid voor ‘mooie’ functionaliteit, en het zijn de patiënten die daar de tol voor betalen.

Ziekenhuizen en huisartsen bewaren hun patiëntendossiers voorts open en bloot, zonder encryptie. Wie eenmaal zo’n systeem binnen is, heeft de data letterlijk voor het oprapen. Waarom eist niemand dat het medisch geheim ook op medisch gegevensbeheer wordt toegepast en dat zulke gegevens alleen versleuteld mogen bewaard?

*

Goed met data omgaan kost veel geld. Het vergt fikse investeringen en er komt sterk gespecialiseerde kennis aan te pas. Ziekenhuizen krijgen dat geld nu niet. Ter vergelijking: banken en dergelijke geven tegenwoordig zo’n 12% van hun budget uit aan IT, onder meer omdat de beveiliging van die gegevens centraal staat, en zulke beveiliging nu eenmaal kostbaar is. Ziekenhuizen, die vergelijkbare maatregelen zouden moeten nemen, mogen van de overheid echter maar 2% van hun budget aan al hun IT besteden.

Als ziekenhuizen, die vanwege hun omvang een fatsoenlijke IT-afdeling kunnen opzetten, er al niet in slagen medische geheimen goed te beschermen, hoe moeten individuele huisartsen dat doen? Ook zij werken steeds vaker mee aan regionale EPD’s en leggen daartoe via internet contact met andere zorgverleners. Ze hebben derhalve diezelfde kwetsbaarheid, maar dan zonder een IT-afdeling die de ergste problemen oplost en die hun computer beheert. Wat als de computers van een huisartsenpraktijk gehackt worden, een virus binnenkrijgen, of erger: spyware? (Spyware zijn programma’s die slinks via webpagina’s je computer binnenkomen en opgeslagen gegevens kapen, zoals creditcard gegevens en wachtwoorden.)

Blijven we laks met de beveiliging van medische gegevens, dan gaan we een tijdperk van grootschalige medische spionage tegemoet. Want patiëntgegevens zijn machtig interessant. Voor verzekeraars. Voor bedrijven die in een overname verwikkeld zijn en willen weten hoe het staat met de conditie van de te kopen werknemers. Voor bedrijven met veel personeel: als je op personeelskosten kunt besparen door iedereen die een familiale aandoening heeft op voorhand te weren, bespaar je fors op ziekte- en arbeidsongeschiktheidskosten. Natuurlijk mogen bedrijven sollicitanten niet op zulke zaken screenen; maar de kosten van verzuim en arbeidsongeschiktheid zijn zo hoog dat dergelijk vuil spel aantrekkelijk wordt.

Waar beleidsmakers zich te weinig rekenschap van geven, is dat een kwetsbaar EPD individuele patiënten en de gezondheidszorg zelf in het hart raakt. Mensen beschouwen hun medische gegevens als strikt vertrouwelijk en wensen ze met dezelfde hoge mate van beveiliging behandeld te zien als hun financiële data. Zodra patiënten denken dat hun medische gegevens niet veilig zijn, zullen ze zich (tenminste gedeeltelijk) van de zorg afkeren. Wie gaat nog een vertrouwelijk gesprek met de huisarts aan over alcoholmisbruik, gokverslaving of relatieproblemen als derden erbij kunnen? Zou u nog een aidstest laten doen als u wist dat de uitslag ervan op straat kan komen te liggen?

Moet trouwens niet het hele concept van het medisch geheim herzien worden? Schending van het beroepsgeheim wordt nu als een één-op-één probleem gedefinieerd: arts A die de medische privacy van patiënt B schendt. De straf erop is een berisping van de tuchtraad. In moderne maatschappijen is dat een nogal oubollig concept. Het medisch geheim moet worden uitgebreid naar al diegenen die zich beroepsmatig met medische data bezighouden; ook datatypistes en systeembeheerders in de zorg dienen er bijvoorbeeld onder te vallen. Schending van het beroepsgeheim kan tegenwoordig bij honderdduizendtallen tegelijk gebeuren, en wordt daarmee – naast een ethische kwestie – vooral een economisch delict.

Onder deze beveiligingsvraagstukken gaat een ander probleem schuil. We verzamelen data vaak simpelweg omdat we het kunnen, zonder ons af te vragen hoe nuttig, noodzakelijk of correct ze zijn. Het zit in de computer, dus verlaten we ons erop. Het gevolg is dat eenmaal ingevoerde gegevens makkelijk een eigen leven gaan leiden (herinnert iemand zich nog hoeveel moeite het studenten kostte om foutieve gegevens te corrigeren toen de studiefinanciering ging automatiseren?), en dat mensen meer naar het scherm kijken dan naar de werkelijkheid. Juist bij artsen wil je dat niet: die zijn er om onbevangen naar ons haperende lichaam te kijken.

We kunnen beter koersen op een summier EPD waarin de kern van iemands gezondheidsprobleem wordt samengevat. Een soort landelijk nooddossier met alleen de hoogstnodige gegevens: of iemand diabetes heeft, een hoge bloeddruk, een penicilline-allergie, of hartproblemen. Condities die snel en alert ingrijpen kunnen vergen en die cruciaal zijn juist omdat iemand die daaraan lijdt, bewusteloos kan zijn. In alle andere situaties is die patiënt er zelf altijd nog bij. Dat die patiënt met zijn arts kan praten en zelf informatie kan verschaffen, verliezen we uit het oog.

Adequate zorg staat of valt niet met massale dataopslag. Adequate zorg staat en valt met de privacy van patiënten, met hun vertrouwen in hun artsen en in het voortbestaan van het medisch geheim.

We zijn volstrekt niet gewend om met zulke enorme hoeveelheden gevoelige gegevens om te gaan. Terwijl we enerzijds wonderen verwachten van het verzamelen en structureren van medische data, is anderzijds onze wetgeving rond het medisch geheim ronduit ouderwets, ons beheer ervan slordig, ons besef van de gevoeligheid van al die data rudimentair en onze greep erop slecht. Zolang dat probleem niet is opgelost, kunnen we het EPD beter maar zo beperkt mogelijk houden, en zijn fantasieën als die de Raad voor de Volksgezondheid en Zorg vorige week ventileerde, ronduit gevaarlijk.

Kader:

Twee ziekenhuizen lieten hun computersystemen op verzoek van Spaink testen door een groep beveiligingsexperts. Werknemers van ITSX, Fox-IT en Madison Gurkha voerden deze testen gratis uit. Iedereen gaf zijn belangeloze medewerking vanwege het inzicht dat de maatschappelijke acceptatie van het elektronisch patiëntendossier staat of valt met de veiligheid ervan.

De beveiligingstest is onderdeel van het project The Next Ten Years, een serie boeken opgezet door internetprovider XS4ALL in samenwerking met uitgeverij Nijgh & Van Ditmar. De serie behandelt de maatschappelijke veranderingen teweeg gebracht door nieuwe technologie, met name door internet. Spaink is hoofdredacteur van de serie en auteur van het eerste boek, Medische geheimen. Het tweede boek, over on-line gaming, verschijnt in maart 2006.


Aantal reacties: 4

  1. Bram B. ≡ 17 Oct 2008 ≡ 16:41

    Wat een drukte over medisch geheim. Dit bestaat helemaal niet. Uit mijn woning zijn in 1997 dossiers gestolen, waaronder mijn medisch dossier. In 2002 was ik slachtoffer van een moordaanslag. Op wonderbaarlijke wijze was de advocaat van de dader in het bezit van mijn medisch dossier. Ik heb niemand toestemming gegeven dit medisch dossier van mij te stelen. Via een kort geding heb ik geprobeerd mijn medisch dossier terug te krijgen en de advocaat te verhinderen hieruit te citeren. Dat kort geding heb ik verloren en de advocaat mocht mijn (gestolen) medisch dossier behouden, de informtie met derden delen en onbeperkt gebruiken. Het hoger beroep heb ik verloren en dus heb ik mijn medisch dossier niet teruggekregen. De dader van de moordaanslag kreeg in 2004 overigens negen jaar gevangenisstraf. Toch eng, dat zijn advocaat nog steeds rechtmatig mijn gestolen medisch dossier in zijn la heeft liggen en anderen mag plezieren met de inhoud daarvan. Hoezo medisch geheim?

    Bram

  2. Yvonne ≡ 05 Nov 2008 ≡ 11:27

    Belachelijk , de overheid wil iets en wij moeten actie ondernemen omdat we iets NIET willen.

    Vergeet ook niet de kosten daaraan verbonden. 3 keer een uitreksel halen voor mijn kinderen, wie gaat dat betalen.

    Kortom weer een log en burocratisch wanproduct erbij.

    Leuker kunnen we het niet maken wel moeilijker. Voor een EPD -basissysteem zouik wel zijn, kan gelijk de donorregistratie in meegenomen worden.

    Ik ben dus TEGEN, jammer van al die vele drempels die dan weer genomen moeten worden om dat aan te geven.

  3. Dick Boons ≡ 19 Apr 2009 ≡ 10:50

    19-04-09
    Gezien het artikel van Karin ben ik tegen .Je zou wel een goed veilig systeem willen hebben om je gegevens voor behandelend artsen toegankelijk te maken maar dat ( dat vond ik zelf n.l. ook al) lukt nog niet en dan moet je het niet doen .Ik werk bij een sociale dienst en het is werkelijk hemelschreiend hoeveel medische details ik in de dossiers tegenkom.Dat hoort m.i. gescheiden gehouden te worden maar bij ons wordt werkelijk alles op een hoop gegooid dus de ene keer lees je over bijz bstnd brilkosten en de andere keer lees je dat client antidepressieva gebruikt en waarvoor en wat er in het verleden allemaal niet is gebeurd waarom dit is .Als werknemer heb ik te maken met ArboNed pas op met Arboned zij werken als je ziek bent met blokjesrapportage en efficiente kreten zoals”: tijdelijk sprake van verminderde concentratie wegens die en die medicijnen”dat gaat allemaal richting werkgever voor het goede doel (lees zsm.weer a.d. slag) en dat schijnt ook nog te mogen .Gevolg zij krijgen van mij geen informatie meer dan zeggen ze weer dat ik mijn behandeling tegenwerk maar dat neem ik op de koop toe.Na vijf jaar is een situatie ontstaan dat ze helemaal t spoor bijster zijn en zelf maar met wat diagnoses op te proppen komen en dat staat ook in mijn medisch dossier- van Arboned -wel te verstaan. .Dus volgens de Arbo arts van Arboned heb ik iets wat verder geen enkele arts diagnotiseert (maar ik wordt ook niet doorgestuurd wat dan wel moet eigenlijk) om maar te verklaren waarom ik weleens ziek ben. En dat speelt-tie door naar mijn baas (echt, echt gebeurd) Ik dien een klacht in en ik krijg 5 kantjes van Arboned waarom t allemaal toch niet zo is als ik denk .Connotatie noemen ze dat d.w.z. emotie die bij jouw als patient speelt waardoor je zaken niet ziet en ander zaken emotioneel kleurt .Mooi dossierwoord ” connotatie”
    Dus mijn boodschap is instanties zoals sociale diensten en arbodiensten lichten massaal de hand met de medische vertrouwelijkheid en dit moet veranderen .Bedankt voor de aandacht en mij lucht dit op! Dick B.

  4. J. de Vries ≡ 28 Jan 2010 ≡ 10:45

    Het EPD zorgt ervoor dat zeer veel mensen die werkzaam zijn in de gezondheidszorg of zelfs daarbuiten toegang hebben tot uw medische gegevens. Dit dient geen edel doel zoals beweerd door Klink maar heeft alles te maken met marktwerking in de zorg. Doordat ook andere (lager geschoolde en dus goedkopere) medisch medewerkers toegang hebben tot deze gegevens ipv alleen de medisch specialist en huisarts, kunnen ze beschikken over de informatie om taken over te kunnen nemen van die huisarts. De zogenaamde “functionele bekostiging”. Deze is in gegaan afgelopen 1 januari voor een 4 tal chronische ziekten (COPD, Hartfalen, Diabetes en Cardiovasculair risicomanagement). Hierdoor kunnen en zullen de zorgverzekeraars contracten over de behandeling van deze ziektes in de markt zetten met de goedkoopste aanbieder. Dit zal in de toekomst dus waarschijnlijk niet de relatief dure (want hoogopgeleide) huisarts zijn, maar de eenvoudiger geschoolde Praktijkverpleegkundige of erger nog elke willekeurige ondernemer die een soort van applicatiecursus heeft gevolgd. Die noemen we dan de ‘zorgmanager”. Dit betekent op termijn naar ik inschat dat circa 40% van de huisartsen overbodig wordt. Dit is de echte reden voor het zonodig moeten invoeren van het EPD en niet omdat u dan beter behandeld kunt worden en dat er minder fouten gemaakt kunnen worden. Weet u trouwens dat WETTELIJK geregeld is dat honderden beroepen inzicht mogen hebben in uw medische geheimen inclusief uw mondhygieniste? Dat zijn geen beroepen waar het gaat om leven en dood lijkt mij. Kortom van levensbelang dat EPD? Dat is een farce. Daarnaast zal volgens het ministerie de zorgverzekeraar wel uitkijken om stiekum mee te kijken in uw dossier (interessant voor hen natuurlijk als u die levensverzekering voor bij uw hyotheek wil afsluiten0 wat de straffen zijn vreselijk. Indien u namelijk zou constateren dat uw zorgverzekeraar uw medisch dossier heeft ingezien dan heeft u het recht om voortijdig uw jaarcontract op te zeggen. Ik meen het. Dat moet een afschrikwekkende werking van uitgaan die de zorgverzekeraar zal doen huiveren. Not! Kortom, laat u niets wijs maken. Zonder invoering van de EPD komt de verschrikkelijke markwerking tot staan en blijven de artsen voor uw behandeling verantwoordelijk en krijgt u de beste behandeling die u verdient en niet alleen de goedkoopste. Nu u de ware reden kent van het EPD zou ik zeggen: Teken allen bezwaar aan!!!!

Trackbacks & Pingbacks 7

  1. From “Patiëntendossiers niet veilig in ziekenhuiscomputers” « ICT Zorgen on 13 Nov 2008 at 00:41

    […] informatiebeveiliging in ziekenhuizen. En dat ziet er niet best uit. Sinds de actie van publiciste Karin Spaink (alweer drie jaar terug), signalen van anderen én een complete norm (NEN7510) is er niet veel […]

  2. From Voice or exit » Feiten en fabels deel 2: het Elektronisch Patiëntendossier on 08 Jan 2009 at 13:11

    […] zelf op grote schaal informatie digitaliseren en de beveiliging van hun eigen systemen nogal eens rammelt […]

  3. From VBDS beta » Blog Archive » EPD en IT: het blijft behelpen on 16 Apr 2011 at 18:21

    […] toezichthouder zich niet bezighoudt, zijn gedoemd te mislukken. Wellicht moest Karin Spaink's hack van 2005 nog maar eens worden overgedaan. Ik denk dat de uitkomsten niet fundamenteel anders zullen […]

  4. From Zorgbestuur en maatschappij » Blog Archive » Cyber veiligheid in ziekenhuizen on 07 Aug 2012 at 11:55

    […] soms in ketenzorg wordt uitgewisseld. Het is maar de vraag of daar de privacy wel goed geborgd is. Karin Spaink heeft in 2005 beroepshackers opdracht gegeven om de beveiliging van twee ziekenhuizen te testen. De resultaten […]

  5. From Hardleers - Sargasso on 28 Jan 2016 at 08:00

    […] jaar, of in behandeling bij dokter Y, of wonend in postcodegebied Z. Alle patiëntendossiers kon ik vrijelijk inzien, kopiëren, wissen, ja zelfs veranderen. Het ziekenhuis merkte […]

  6. From Cyber-veiligheid in ziekenhuizen on 16 Jan 2017 at 15:48

    […] soms in ketenzorg wordt uitgewisseld. Het is maar de vraag of daar de privacy wel goed geborgd is. Karin Spaink heeft in 2005 beroepshackers opdracht gegeven om de beveiliging van twee ziekenhuizen te testen. De resultaten […]

  7. From Bestuurders moeten tegenkracht organiseren on 16 Jan 2017 at 15:50

    […] soms in ketenzorg wordt uitgewisseld. Het is maar de vraag of daar de privacy wel goed geborgd is. Karin Spaink heeft in 2005 beroepshackers opdracht gegeven om de beveiliging van twee ziekenhuizen te testen. De resultaten […]

Schrijf een reactie

E-mail adressen worden niet getoond noch aan derden doorgegeven.
Verplichte velden zijn gemarkeerd met een *