Vitale informatie

Het regent problemen, ineens. Begin november werd bekend dat een verzekeringsmaatschappij beroofd was van een miljoen patiëntgegevens die ze onder haar hoede had. Het heeft er alle schijn van dat de diefstal, zoals overigens meestal het geval is wanneer persoonsgegevens worden gejat en verhandeld, een inside job was. De dieven chanteerden daarna de verzekeraar in kwestie: tenzij ze fiks betaald kregen, dreigden ze, zouden ze alle gegevens publiceren. Inmiddels werkt de FBI aan de zaak maar vooralsnog is niemand opgepakt, en zwerven ergens een miljoen patiëntgegevens rond.

Half november moesten in Londen drie ziekenhuizen hun computernetwerken uitschakelen: de systemen waren besmet geraakt met een computerworm die zichzelf kopieerde en die tevens een achterdeur in het systeem schiep waardoor derden heer en meester werden over de systemen. Dat het om een oud en bekend computervirus ging – het ding was al sinds begin 2005 bekend – bewijst dat de systemen buitengewoon slecht waren beveiligd: elke up-to-date virusscanner had het ding kunnen tegenhouden. De schade viel mee, beweerden de ziekenhuizen in een persbericht: ze hadden immers een back-up van de patiëntgegevens en die konden ze gewoon terugzetten.

Geen woord over de achterdeur die in het systeem had gezeten, geen woord over de mogelijke diefstal van gegevens, geen woord over de vraag sinds wanneer het ding er al rondzwierf. Zeggen dat je kunt overstappen op een back-upsysteem klinkt leuk, maar als je niet weet wanneer je besmet bent geraakt weet je ook niet hoe ver in de tijd je moet teruggaan – nog daargelaten hoe je dan de gegevens die sinds die laatste, ‘gezonde’ back-up zijn ingevoerd, weer in het systeem krijgt.

In oktober publiceerde het TNO haar afsluitende rapport over de twee jaar durende Twentse proef met het waarneemdossier (WND) voor huisartsen. Het was een zootje. De kleinste verandering – nieuwe paslezers, een software-update – maakt dat de hele informatieketen van huisarts naar het landelijk schakelpunt in elkaar stort. Het TNO meldt voorts dat het WND slecht schaalt, dat UZI-passen – waarmee zorgverleners zich moeten identificeren en die toegang tot het landelijk schakelpunt geven – geregeld onbeheerd zijn of standaard in de kaartlezers zitten, etc. De Twentse huisartsen zelf zijn het systeem volledig beu: het werkt vaker niet dan wel, zodat ze – als ze al contact krijgen met het landelijk schakelpunt – er niet op kunnen vertrouwen dat de gegevens die ze vinden inderdaad up to date zijn.

In november publiceerde de Inspectie een rapport over de beveiliging van elektronische patiëntendossiers: het was bar gesteld, concludeerde men. Weinig veiligheidsbesef, wachtwoorden en passen die afdelingsgewijs werden gebruikt en wat dies meer zij. Nu ken ik nogal wat ziekenhuizen die al met varianten op het EPD werken; zo ook het Erasmus MC, een van de weinig ziekenhuizen die beveiliging en training van al haar personeel op dit vlak hoog in het vaandel heeft. Het Erasmus is voorbeeldig. Maar ook daar ontdekte de Inspectie serieuze problemen. Als zelfs het Erasmus al niet goed genoeg presteert, dan houd ik mijn hart vast wat betreft die ruim honderd andere ziekenhuizen. Om nog maar niet te spreken over de huisartsenposten, die geregeld kampen met computervirussen.

De juiste patiënteninformatie hebben, kan levens redden. Omgekeerd kan slecht beveiligde patiënteninformatie, waarmee jan en alleman kan rommelen, levens kosten. Patiënteninformatie accuraat, betrouwbaar en strikt beveiligd beheren is derhalve van vitaal belang voor de gezondheidszorg, en al evenzeer voor het vertrouwen dat wij patiënten in onze artsen en verpleegkundigen stellen.

Elke arts die zich dat niet tot op het bot realiseert, is een Semmelweis-ontkenner après la lettre: iemand die weigert zijn handen te wassen voor een operatie, iemand die de hele dag met dezelfde naald prikt. We moeten datahygiëne werkelijk serieus gaan nemen. En nog eens heel goed nadenken over dat EPD.

18 november 2008 / MC, 28 november 2008

Author: Spaink

beheerder / moderator

31 thoughts on “Vitale informatie”

  1. Er gebeurt veel, zoveel is zeker. Maar dat is tegelijk ook heel nuttig en goed: het tegenovergestelde zou rampzalig en volksvernederend zijn. E.e.a. wordt ook wel, toch wel, in de hand gewerkt door a. omdat de wintersportvakanties en de après-ski’s nog niet begonnen zijn en b. omdat de zomersportvakanties toch al weer een hele tijd geleden afgelopen zijn. Als zodanig is er niet de minste reden voor ook maar de minste opwinding en zelf-sjokking.

    ‘^_^/’

    Gaat U toch allen rustig slapen zoo bid ik U dan voor de zoveelste keer.

  2. Laat ik eens andere woorden gebruiken.
    Het feit dat er zoveel misgaat, onaf is, gebrekkig verloopt, fout is en schade veroorzaakt en noem maar op, is niet een direct en logisch gevolg van verkeerde systemen ontwerpen of theoriëen. Noch zelfs van capaciteits- of perceptieproblemen.

    Het is een gevolg van gebrekkige en tekortschietende, faillerende arbeidsethiek en arbeidsmoraal.

    En die verander of verbeter je niet zomaar eventjes met wat stukkies in Medisch Contact, dat nog maar voor (klein) een deel door een (klein) deel van de studenten gelezen (en niet onthouden) wordt.

    Ieder doet in het arbeidsproces, welk ook, precies wat hij of zij moet doen en ook voor geen cent meer. Liever nog voor een cent minder.

    Niemand heeft er zin in.
    En niemand is van plan er iets mooiers en beters van te maken.

    In zo’n situatie krijg je overal, waar ook ter wereld en in welke sector ook, de productie- en arbeidskwaliteit gegarandeerd en binnen de kortste keren op de kniëen.

    Ik beweer niet, dat wanneer moraal en ethiek hoger waren, er geen fouten en tekortkomingen ontstonden maar het waren er in ieder geval minder en ze werden vlugger en vaardiger, “scha’lozer” gerepareerd en in de toekomst voorkomen.

    Dat was bijvoorbeeld de algemene situatie van vlak na de oorlog.

    De algemene situatie van nu en de nabije toekomst peilende, zal men kunnen vastellen dat moraal en ethiek niet snel breedfrontig zullen veranderen of verbeteren.

    Klagen helpt niet. Dat is onderhand wel algemeen bekend.
    Maar wat er dan wel moet gebeuren om waar dan ook (aan) ook maar iets te voorkomen, veranderen of verbeteren joost mag het weten.

    ‘°_°/’

    Niemand. Die het weet. Of die het kan.
    Dat is de toekomst.

  3. Hebben huisartsen toegang tot het elektronische patiëntendossier? (ik volg dit allemaal niet zo).
    M’n achterbuurman is namelijk huisarts en heeft een slecht beveiligd draadloos computernetwerk. Ik heb nooit de moeite genomen om er eens rond te snuffelen (schijnt ook niet heel legaal te zijn), maar dat moet ik misschien toch maar eens doen :)

    Als het gaat om databeveiliging dan is de zwakste schakel hetgeen waar op gelet moet worden; leuk dat ze bij dat WND kaartlezers hadden ingevoerd, maar zo’n kaart kwijtraken is zo gebeurd, en daarmee is de hele beveiliging dan weggevallen.

    Je kunt van huisartsen niet verwachten dat ze hun PC laten beveiligen door een professioneel security-bedrijf, daarom moet je ze gewoon niet toelaten tot databases met zulke gevoelige informatie. zo simpel zou het moeten zijn.
    Maar ik vrees dat niemand die daarover gaat genoeg kloten heeft om die huisartsen/ziekenhuisen/etc dan maar gewoon af te sluiten.

    Het is trouwens onbegrijpelijk dat TNO telkens maar word ingeschakeld om de beveiliging van dergelijke systemen te testen. Hebben diezelfde prutsers ook niet keer op keer de OV-chip goedgekeurd?!

  4. >Hebben huisartsen toegang tot het elektronische patiëntendossier?
    Waar denk je dat die patiënten-gegevens vandaan komen?

  5. Moos, alle zorgverleners krijgen toegang tot het EPD, dus ook huisartsen. Wel is het de bedoeling dat bijgehouden wordt wie welk dossier raadpleegt, en als iemand dat zonder reden doet, zou hij of zij berispt worden. Je krijgt met een UZI-pas toegang tot het landelijk schakelunt, en van daaruit tot alle EPDs.

    Maar bij die opzet wordt geen rekening gehouden met het feit dat UZI-passen slecht worden beveiligd en dat sommige afdelingen een gezamenlijk account en wachtwoord gebruiken. Ook met het vraagstuk van besmette computers is geen rekening gehouden, en reken maar dat je die – ook onder huisartsen en in ziekenhuizen – bij de vleet hebt.

  6. Op mijn site bevindt zich ter downloading een programmaatje,
    waarmee iedere iedere toegang, iedere computer, ieder netwerk, iedere subdirecotory,
    ieder programma, ieder bestand, iedere databank en iedere verbinding,
    -in ieder soort besturingssysyteem-, overal op de hele wereld,
    volmaakt perfect, en foutloos is te beveiligen.

    De beveiliging is niet te kraken en daarom in Noord-Amerika niet toegestaan.

    Het past op één disketje.

    Installatie kost twee minuten.
    Het werken ermee twee seconden.

    De bijbehorende toelichting plaatste ik een week geleden
    in een van de nieuwsgroepen (nl.overig):

    ===============================
    > Het is zò dat Jules Zollner. formuleerde :
    > Nu let even goed op.
    >
    > Je gaat naar
    >

    http://www.juzo777.nl/download/

    >
    > en haalt daar het bestandje pcsecuz.zip op.
    >
    >
    >
    > Dat bestandje zet je in z’n geheel in de rootdirectory van
    > je USB-stick, cdrw, dvdrw, diskette, computer, mainframe, server,
    elektronische kassa of -deurslot,
    of wat dan ook dat maar met systemen en computers te maken heeft.
    >
    > Aldaar, in de root-directory, pak je het uit.
    >
    > Er moeten nu aldaar enkele subdirectorietjes ontstaan,
    > en een bestandje PCSECU.COM.
    >
    > Als je op PCSECU.COM
    > klikt, verschijnt er een foutmelding.
    >
    > Je klikt daarin op “Negeren”.
    >
    > Daarna start PCsecure altijd gewoon op.
    > In ieder besturingssysteem, en geheel “standalone”.
    >
    > Ik heb een testbestandje encrypt en decrypt bijgevoegd.
    >
    > Bestudeer even de helpschermpjes van PCSecure,
    > en je ziet dat je zo (altijd!!!) alle subdirectorietjes
    > kunt (en moet!) encrypten en decrypten.
    >
    > Zelf heb ik daar een batch-bestandje voor gemaakt
    > zo dat bij opdrachten
    > de subdirectories worden gedecrypt (met pass!)
    > en vlak voor beeindigen de subdirs
    > worden ge-encrypt.
    >
    > Bij het testvoorbeeldje is de pass:
    >
    > testeen
    >
    >
    > Veel succes.
    >
    > Als er wat te vragen is: vraag meteen.
    >
    > Groeten, Jules.
    >
    >
    > ‘°_°/’
    >
    > Het programmaatje past in zijn geheel op een
    > (opstart)diskette.

    (daarmee kunnen systemen “opengekraakt” worden en gesloten).

    >
    > Het is zinvol, in verband met de onbetrouwbaarheid
    > van provider-personeel,
    > altijd alle uitgaande mail op bovenstaande wijze
    > te en-crypten.

    Beste Jules,

    Bedankt voor het programma. Het werkt prima.
    Je krijgt echt weer het DOS gevoel van vroeger terug.

    Nogmaals bedankt!

    Sievert.

    ============================

    Dat men het niet gebruikt, heeft iets te maken met
    a. verantwoordelijkheidsgevoel;
    b. arbeidsethiek;
    c. arbeidsmoraal.

  7. Kom je nog wel achter. Systeemtechnici perfectioneren. – ‘^_^/’ –
    Daar worden ze voor betaald. En goed ook.

  8. Juzo: batchbestandjes, nu vraag ik je… Dat is kleuterschoolniveau. Ik zeg dat niet om je te beledigen, alleen om aan te geven dat beveiligen iets complexer is dan je schijnt te denken. Servers werken überhaupt niet met batchbestanden, Macs ook niet, en het is voor een binnendringer een fluitje van een cent om een batchbestand te wijzigen (‘schrijf de encryptiesleutel in een bestand weg en maak dat onzichtbaar’).

  9. Je leest niet. En je hebt niet goed bestudeerd.

    a. Ik zeg: systeemtechnici perfectioneren.

    b.

    P C S E C U R E . E X E dat aangeroepen wordt door
    het batchbestand P C S E C U . C O M

    is geen batchbestand. Het werkt via DES algorythmes.

    c. Iemand die ook maar ergens toegang wil hebben, zal dat met z’n USB-stick moeten doen.

    Die dingen zijn tegenwoordig zo klein, die stop je in je oor.
    Als hij of zij de stick uitleent, kan hij of zij niks anders meer doen,
    en wordt de gebruiker via de HD-pc-identity als illegaal geidentificeerd.

    Maar ik hou erover op.
    Je bent niet deskundig.

    Dat neem ik je niet kwalijk, maar je zou je wat meer bezonnen diepgang kunnen aanmeten, overal.

    ‘^_^/’

  10. eerste regel van de computerbeveiliging: neem alleen het allerbeste.
    Centerpoint was en is de directe en enige gelijkwaardige concurrent van Peter Norton’s Symantec.

    Vandaar dat PCSECURE.EXE super en super perfect werkt.

    ‘Ô_Ô/’

    automatiseerders perfectioneren.

  11. Ik vind het inderdaad een serieus probleem. Hoewel ik helemaal gek word van alle ingrepen op de privacy die onder het mom van terrorisme-preventie gerechtvaardigd worden, zou ik me goed kunnen voorstellen dat met een terroristisch oogmerk mutaties in dit soort bestanden worden aangebracht, al weet ik niet hoe ver de gegevens in die bestanden gaan. Als bijvoorbeeld ook de hoeveelheden medicijn worden aangegeven in de computerbestanden, vind ik dat zeer goed denkbaar.

    Ook vind ik de dubbelheid van de rechtvaardiging van die aantastingen van de privacy zo vreemd. Uitwisseling van datagegevens tussen landen, met bijvoorbeeld openbaarmaking van creditcard gegevens stuit nauwelijks op weerstand, want het zou kunnen dienen ter preventie van terroristische aanvallen. Het uitsluitend uit efficiency overwegingen invoeren van een EPD, waarbij een heel ander soort terroristische aanval denkbaar zou zijn, stuit ook nauwelijks op weerstand.

    Dat in elk geval elk gegeven van een particulier langzaam aan bekend raakt, uit welke overweging dan ook, vind ik een onprettig bijverschijnsel. De historie van de mensheid geeft geen aanleiding te denken dat nooit misbruik van dit soort gegevens zal worden gemaakt. Het lijkt me dus dat beveiliging van datagegevens en een gegarandeerde afscherming van onbevoegd gebruik een grotere prioriteit zou moeten hebben dan overhaaste invoering van een systeem dat die garanties nog niet biedt.

  12. JuZo> Vandaar dat PCSECURE.EXE super en super perfect werkt.

    De naam van het programma suggereert dat je dat progje op een PeeCee draait en de toevoeging .exe doet het ergste vrezen: het draait niet op UNIX.

    Zonder verder naar de functionaliteit van het progje te kijken (kan helaas niet, want hier draait een Solaris-laptop) ben ik bang dat “pcsecure.exe” niets te zoeken heeft in rekencentra e.a. zware omgevingen.

    Overigens is het genoemde DES algorithme ook zwaar uit de tijd. Niet vanwege trendy ofzo, maar vanwege kraakbaarheid door snelle processors. Moet op z’n minst 3DES zijn.

    Dit is niet om je af te zeiken, maar eeh.. ieder z’n vak.

  13. JuZo> Zonder dat je iets hebt gezien, kan je niets zeggen. – ‘\=_=/’

    Tuurlijk wel.
    Zonder jou ooit gezien te hebben, vind ik je (in tegenstelling tot dat griezelige programmaatje van je) best wel een toffe vent.

  14. Dat griezelige programmaatje werkt natuurlijk niet alleen. Het werkt in combinatie met de name identity verifier (authentication) van de USB-key- en codepages (4 minuten refresh) zoals ze die bij de militaire verbindings en inlichtingendienst nog altijd in gebruik hebben. Maar daar zal ik het maar niet over hebben. Dit is allemaal nu al erg en treurig genoeg.

    We eindigen met mijn automatisch opvrolijkend gegenereerde sneltoets:
    ________________________________________________

    ***** Eventuele reacties en vragen op bovenstaand bericht
    ***** beantwoord ik niet. *****

    ‘ô_ô/’

    Dat komt er nou van. Daar heb je het nou al. Daar zaten we nou net op te wachten.

  15. Gelukkig zijn er nog wat mensen die zelf na willen blijven denken over ‘de vooruitgang’. Misschien kunnen zij de ernstigste gevolgen afwenden of neutraliseren.
    Misschien, maar ik ben bang van niet.
    De belangen zijn te groot, de lobby’s te sterk en de mensen die de beslissingen lijken te nemen te dom/omkoopbaar.
    Onze, ook mijn, soort is eigenlijk niets meer dan foutje in de evolutie dat snel zal worden rechtgetrokken.
    De mens als ‘kroon op de schepping’ ?
    We zijn hier net en we blijven maar even.
    Voor mij een geruststellende gedachte. Je zult maar eeuwig geconfronteerd worden met, bijvoorbeeld, Juzo… :-)

  16. Feit is ook gewoon dat heel veel nederlandse artsen eigenlijk nog maar heel kort werken met computer in hun praktijk. Dat alleen al kan veel fouten en chaos geven. Daar is een netwerk op grote schaal inderdaad een heel grote stap.

    En stevig ziek zijn moet ook gewoon, desgewenst, ook gewoon strikt vertrouwelijk blijven.

  17. HenK en Sjaak, jullie hebben gelijk, we leven nog maar kort, en daarna is gelukkig alles opgelost. Een uiterst tevredenstellende gedachte en, laat het eigenlijk dan maar zo vlug mogelijk gebeuren hier is toch eigenlijk goed beschouwd nergens meer een aardigheid aan hoe eerder het afgelopen is hoe beter en het was nog beter geweest als het allemaal helemaal nooit begonnen was maar ja, daar is helaas een beetje weinig aan te doen we zitten jammer genoeg met z’n allen in het schuitje en we zullen dan maar zo’n beetje mee moeten varen zo goed en zo kwaad als het gaat maar veel zal het niet worden en als het heel binnenkort niet meer gaat nou ja dan moet het maar afgelopen zijn er is geen haar die ertnaar kraait en geen vlieg die erom treurt over 250 jaar is iedereen vergeten dat de wereld bestond bla blaa, bla blaa, bla BLAA BEBLAA BLAA BLAA.

    ‘~_~/’

    Wat een naargeestig zooitje toch altijd in deze nieuwsgroep.

  18. Nou, en als ik dan eens even een voorspelling maak over het jaar 2009 dat er aankomt dan zal ik je wel vertellen dat dat helemaal niks wordt nog minder dan niks er komt zoveel rottigheid narigheid en ellende op ons af dat is onvoorstelbaar en bovendien ook helemaal niks anders meer dan rottigheid, narigheid, dingen die foutgaan en zijn prutswerk knoeiwerk volledig verkeerde zaken niet deugende procedures en systemen mensen die niet wel denken toestanden die hoogst noodzakelijk aan de kaak gesteld moeten worden en het ergste van alles is nog Nederland doet een plas, en alles blijft zoals het was het is een afschuwelijke, afgrijselijke wereld waarin wij volgend jaar komen te leven en de mensen daar deugt er werkelijk ook helemaal geen ene van nergens, en nooit. Dat is mijn voorspelling en de hartelijke groeten.

    ‘~_~/’

    Báh.

  19. Let wel JUZO, computer is prachtig. Ook in medische wereld. Waar het om gaat is toch dat vertrouwensrelatie met een arts strikt gewaarborgt bljft. Een stevige schaalvergroting op komputergebied in medische wereld, doet daar makkelijk stevig wat van af. Daar heeft Karin gelijk aan.

    Deze wereld is dus prachtig, men moet alleen niet zo overdrijven met de mooie dingen.

  20. Daar heb je gelijk in. Ik ben dan ook van nature zo, dat ik heel graag overdrijf en alleen maar kijk naar de lelijke, de afschuwelijke dingen. Volgens mij bestaan er geen mooie dingen. Laat staan mooie personen. Ze zijn allemaal even lelijk. Niemand, maar dan ook helemaal niemand uitgezonderd. En m’n huisarts, met wie ik iedere woensdag trainingstoshten fiets, is het meest onbetrouwbaar van allemaal. Dat is een pure booswicht. Ik kijk uitsluitend naar mezelf. En dat al m’n hele leven lang. En ik ben het minst betrouwbaar van al. Het is ‘n bedonderd-belazerde wereld waarin we leven. Bah.

    ‘Ô_Ô/’

    Snert.

  21. “Ik ben dan ook van nature zo, dat ik heel graag overdrijf…”.

    Dat deel van je tekst klopt in ieder geval. :-)
    En de rest komt ongeveer overeen met wat ik verwachtte, als naargeestig persoon.

    Voor de rest…
    “La terre est couverte de gens qui ne méritent pas qu’on leur parle”, zei Voltaire al. Op wat jij schrijft reageren, doe ik niet meer.
    Het ga je goed.

  22. Dat is inderdaad de beste aanpak denk ik, HenK. Alleen al bij dit onderwerp zijn 14 van de 28 reacties van JuZo. Als die ooit iets zinnigs zouden toevoegen, dan maakte het niet zoveel uit. Maar dat doen ze niet, nooit, het is alleen maar spam. Dan is negeren denk ik inderdaad het meest verstandig, tenzij het JuZo ook niks uitmaakt om eindeloos met zichzelf te zitten spammen.

  23. 132 Teletekst wo 17 dec
    ***************************************
    Nieuws in het kort

    ***************************************
    ` Staatssecretaris De Vries (Defensie)
    doet aangifte tegen het weekblad Revu
    wegens inbreuk op zijn privacy.Het blad
    meldt dat het heeft ingebroken in de
    privé-mailbox van De Vries om aan te
    tonen dat het gevaarlijk kan zijn als
    bestuurders gevoelige informatie in hun
    privébox bewaren.Overigens heeft Revu
    geen gevoelige informatie aangetroffen.

    ***************************************

    Tot mijn verbazing blijkt, dat men nog steeds niet beveiligt en versleutelt zoals ik het heb aangegeven.

    Hoe eigenaardig en bovedien, hoe eigenwijs en onverstandig nou.

    ‘°_°/’

    De tijd zal ‘t leren, en wel, nadat heel veel scherts-hoogst belangrijke ict’ers zich met hun geweldige dikke dure pompa-pompa beveiligings en versleutelings programma’s zelf hebben opgeblazen. Met een heel erg akelig harde dikke dure knal.

Leave a Reply

Your email address will not be published. Required fields are marked *

Hou me per e-mail op de hoogte van nieuwe reacties op dit artikel.
      (U kunt zich hier abonneren zonder zelf te hoeven reageren.)

This site uses Akismet to reduce spam. Learn how your comment data is processed.