Lies van Gennip (zelfstandig adviseur, toezichthouder en betrokken bij Informatieveilig Gedrag in de Zorg via ECP platform voor de innovatiesamenleving) en Gabriëlle Speijer (radiotherapeut-oncoloog en oprichter van CatalyzIT) maken zich ernstig zorgen over de gebrekkige aandacht in de zorg voor dataveiligheid. Er staat enorm veel op het spel om zorg te kunnen leveren in het vertrouwen dat medische data altijd en overal veilig zijn.
Speijer wil de kwaliteit van zorg verbeteren door de inzet van digitale technologie. Van Gennip heeft een lange geschiedenis bij Nictiz en is nu onder andere actief via ECP, dat werkt aan een verantwoorde vormgeving van onze digitale samenleving. De twee hebben dus een duidelijke gedeelde missie. Gelet op de frequente berichtgeving in de media over ransomware en patiëntgegevens die op straat komen te liggen, zullen ze echter toch met enige scepsis te maken krijgen als ze tijdens een feestje over die gedeelde missie vertellen. Hoe leggen ze dan uit dat die toch echt essentieel is?
“Dat kan ik heel goed”, zegt Van Gennip. “Via diverse familieleden die ziek werden, heb ik meegemaakt hoe dingen mis kunnen gaan als informatie niet wordt gedeeld of teruggekoppeld, en hoezeer dat het vertrouwen van de patiënt in de zorg schaadt. Patiënten moeten erop kunnen vertrouwen dat de in hun dossier vastgelegde data compleet zijn, juist en niet worden misbruikt. In mijn tijd bij Nictiz heb ik hierover eens het verhaal verteld over mijn zus die na nare ervaringen maar besloot haar eigen EPD bij te houden.”
Het is volgens Van Gennip tenenkrommend om te moeten toezien hoe stakeholders in het bijna meest gedigitaliseerde zorgland bijna niets kunnen met die data, niet in het zorgproces en ook niet in onderzoek. “De verschillende systemen, afspraken en governancestructuren zitten dat in de weg. Recent met de Covid-pandemie en de onverklaarbare oversterfte hebben we de schadelijke gevolgen hiervan maar weer eens al te duidelijk kunnen zien.”
Vertrouwelijkheid
Speijer reageert: “Je verdedigt het belang voor het benutten van data voor patiënten en burgers heel goed. Ik durf nog een stap verder te gaan. Als arts heb ik de eed van Hippocrates afgelegd. De patiënt mag dus verwachten dat ik insta voor de beste zorg in vertrouwelijkheid. Bij dat laatste staan we onvoldoende stil. De arts en patiënt moeten de patiëntdata samen duiden en daarbij moet de vertrouwelijkheid gegarandeerd zijn. Maar juist daarin rammelt het. De voorbeelden waarin de cybersecurity niet goed geregeld blijkt te zijn – de ransomware en die patiëntgegevens die op straat komen te liggen dus – maken duidelijk dat vertrouwelijkheid zomaar gecompromitteerd kan worden.”
Patiëntdata moeten, benadrukt Speijer, beschikbaar gesteld worden voor die zaken die gezondheid verbeteren, en dus niet voor wat dit doel niet nastreeft, zoals een verdienmodel voor algoritmes die niet gespecificeerd en gevalideerd zijn door arts en patiënt. “Daarom moeten data ook als een algemeen nut (‘commons’) beschouwd gaan worden.”
Menselijk handelen
De kern is dat dataveiligheid de aandacht gaat krijgen die het verdient, stelt Van Gennip. Dat begint ermee dat zorgbestuurders voldoende aandacht moeten geven aan het onderwerp. “Bestuurders weten dat het belangrijk is, maar ze weten niet hoe ze cybersecurity en privacy-risico’s moeten aanpakken. Vooral de gedragscomponent is lastig. Dat een zo groot aandeel van incidenten terug te voeren is op menselijk handelen, heeft natuurlijk meestal niets te maken met moedwillig fouten maken of slordigheid. Maar het heeft wel enorme gevolgen voor de zorg én voor het vertrouwen in de toepassing van data in de zorg.”
Precies dát wantrouwen zorgde ervoor dat de Eerste Kamer in 2011 het voorstel voor de Wet op het landelijk EPD verwierp. In de twaalf jaar sinds die tijd hebben veel partijen hard gewerkt om dat vertrouwen terug te krijgen. Van Gennip: “We mogen nu níet laten gebeuren dat dit toch weer mis gaat. De zorg kan zich dat niet veroorloven. Dan laten we essentiële kansen voor de patiënt en voor wetenschappelijk onderzoek liggen.”
Speijer onderschrijft dit. “Ik zie wel bestuurders die dit begrijpen, maar een probleem is dat we in de zorg geen software gebruiken die up to date is. Overal en nergens worden data rondgepompt en ik hou mijn hart vast hoe we daarbij veilig zorg kunnen blijven leveren. We kunnen dit als artsen niet overlaten aan het bedrijfsleven of aan ICT’ers. We moeten er direct bij de start van de ontwikkelfase bij zijn om software te specificeren en valideren. Dit kan en moet met de nieuwste software die wél veilig is by design.”
Initiatieven
Vanuit Europa worden mogelijkheden geboden voor de overheid om meer regie te pakken op het dossier. “Heel hard nodig”, zegt Van Gennip, “de bestaande versnippering in combinatie met marktwerking is echt een probleem. Opnieuw beginnen is geen optie, maar er moeten nu wel snel stappen worden gezet en dat vraagt om regie.”
Daarnaast heeft het ministerie van VWS het project Informatieveilig gedrag in de zorg gestart. Dat helpt instellingen effectief het gedrag van hun medewerkers te veranderen zodat risico’s worden beperkt. “We moeten zuinig zijn op de mensen die werken in de zorg”, zegt Van Gennip. “We moeten ze goed meenemen in het proces van veilig werken met patiëntdata en dat doen we niet door hen eens per jaar een verplichte e-learning aan te bieden. We weten dat twintig procent van deze mensen digistarters zijn en juist die helpen we niet met een e-learning.”
Vooral de gedragscomponent is lastig bij cybersecurity
Het is zaak iedereen bewust te maken hoe het fout kan gaan, benadrukt Van Gennip. En dat lukt niet door hen alleen te zeggen niet op phishing mails te klikken. Die mails worden steeds slimmer en dat kan je nooit volledig vermijden. “Belangrijker is dat ze weten dat als het hun overkomt, ze dat direct moeten melden en weten hoe dat moet. En door maatregelen te nemen, zodat als er een infectie is, die plek kan worden afgeschermd van de rest van het ziekenhuis.”
Kortom, de medewerkers moeten echt de partners in het verhaal zijn. Ze moeten begrijpen wat de risico’s zijn waarop het mis gaat en wat hun rol is om die risico’s te beperken, meent Van Gennip. “Informatieveilig gedrag in de zorg helpt mensen in de zorg die met dataveiligheid bezig zijn, zoals de chief information security officers, met een concrete gedragsaanpak en cursussen hoe die toe te passen. We merken dat dit hen helpt, dat ze effectiever worden in de aanpak van risicovol gedrag. Belangrijk is dat deze mensen steun krijgen van bestuurders en afdelingshoofden. Die spelen een belangrijke rol om het onderwerp cybersecurity op de werkvloer serieus op te pakken.”
Inzicht vragen
Van Gennip is ook actief als toezichthouder in de zorg. “Ik draag in die rol bij aan het op de agenda zetten van cybersecurity en privacy risico’s. Zo vraag ik inzicht in datalekken en incidenten en hoe daarmee is omgegaan”, vertelt ze. “Het is heel belangrijk dat de raad van bestuur dit belangrijk vindt. Als die het aandacht geeft, wordt het vanzelfsprekend belangrijk in de organisatie.”
Speijer zegt te hopen dat er meer van zulke toezichthouders en bestuurders in de zorg zijn. “Dat helpt ons als professionals ook”, zegt ze. “De bestuurder krijgt in nieuwe Europese wetgeving op dit punt inmiddels ook een persoonlijke verantwoordelijkheid. Ik kan me voorstellen dat onder bestuurders en zorgprofessionals een shake-out gaat plaatsvinden als hier niet snel op wordt geacteerd.”
Hiermee kan Van Gennip het alleen maar eens zijn: “Zorgbeveiliger Z-cert heeft recent een dreigingsbeeld over cybersecurity verspreid. Daaruit blijkt dat het aantal hacks in Nederland nog niet stijgt, maar internationaal wel. In Nederland neemt de impact ervan wel toe. Hackers vinden de zorg een interessante markt omdat die zo kwetsbaar is. Bestuurders kunnen zich voorbereiden op een hack door een cybercrisis te oefenen. Dat is een eyeopener voor ze. Het helpt om het onderwerp hoger op de agenda te krijgen. Z-Cert en Informatieveilig gedrag in de zorg bieden handvatten hoe je daarop goed kan voorbereiden en die bruikbaar zijn in diverse zorgsectoren.”