Lies van Gennip (zelfstandig adviseur en toezichthouder en betrokken bij Informatieveilig Gedrag in de Zorg via ECP platform voor de innovatiesamenleving) en Gabriëlle Speijer (radiotherapeut-oncoloog en oprichter van CatalyzIT) maken zich ernstig zorgen over de gebrekkige aandacht in de zorg voor dataveiligheid. Er staat enorm veel op het spel om zorg te kunnen leveren in het vertrouwen dat medische data altijd en overal veilig zijn.
Speijer wil de kwaliteit van zorg verbeteren door de inzet van digitale technologie. Van Gennip heeft een lange geschiedenis bij Nictiz en is nu onder andere actief via ECP, dat werkt aan een verantwoorde vormgeving van onze digitale samenleving. De twee hebben dus een duidelijke gedeelde missie.
Het is volgens Van Gennip tenenkrommend om te moeten toezien hoe stakeholders in het bijna meest gedigitaliseerde zorgland bijna niets kunnen met die data, niet in het zorgproces en ook niet in onderzoek. “De verschillende systemen, afspraken en governancestructuren zitten dat in de weg. Recent met de covidpandemie en de onverklaarbare oversterfte hebben we de schadelijke gevolgen hiervan maar weer eens al te duidelijk kunnen zien.”
Vertrouwelijkheid
"Als arts heb ik de eed van Hippocrates afgelegd", stelt Speijer. "De patiënt mag dus verwachten dat ik insta voor de beste zorg in vertrouwelijkheid. Bij dat laatste staan we onvoldoende stil. De arts en patiënt moeten de patiëntdata samen duiden en daarbij moet de vertrouwelijkheid gegarandeerd zijn. Maar juist daarin rammelt het. De voorbeelden waarin de cybersecurity niet goed geregeld blijkt te zijn – die ransomware en die patiëntgegevens die op straat komen te liggen dus – maken duidelijk dat die vertrouwelijkheid zomaar gecompromitteerd kan worden.”
Patiëntdata moeten, benadrukt Speijer, beschikbaar gesteld worden voor die zaken die gezondheid verbeteren, en dus niet voor wat dit doel niet nastreeft, zoals een verdienmodel voor algoritmes die niet gespecificeerd en gevalideerd zijn door arts en patiënt. “Daarom moeten data ook als een algemeen nut (‘commons’) beschouwd gaan worden.”
Aanpak cybersecurity in zorg
De kern is dat dataveiligheid de aandacht gaat krijgen die het verdient, stelt Van Gennip. Dat begint ermee dat zorgbestuurders voldoende aandacht moeten geven aan het onderwerp. “Bestuurders weten dat het belangrijk is, maar ze weten niet hoe ze cybersecurity en privacy-risico’s moeten aanpakken. Vooral de gedragscomponent is lastig."
Speijer onderschrijft dit. “Ik zie wel bestuurders die dit begrijpen, maar een probleem is dat we in de zorg geen software gebruiken die up to date is. Overal en nergens worden data rondgepompt en ik hou mijn hart vast hoe we daarbij veilig zorg kunnen blijven leveren. We kunnen dit als artsen niet overlaten aan het bedrijfsleven of aan ICT’ers. We moeten er direct bij de start van de ontwikkelfase bij zijn om software te specificeren en valideren. Dit kan en moet met de nieuwste software die wél veilig is by design.”
Lees het hele interview met Lies van Gennip en Gabriëlle Speijer in ICT&health 3, die op 14 juni verschijnt.