18 apr

Wat als de CT- of MRI-scanner gekaapt is door malware?

gekaapte CT-scanner

In mei 2017 hebben we kunnen zien hoe het Wannacry-virus huishield bij de National Health Service(NHS) in het Verenigd Koninkrijk. Deze malware slaagde erin grote aantallen ICT-systemen van zorgaanbieders plat te leggen dan wel ernstig te verstoren. De National Audit Office bracht er verslag over uit op 24 oktober 2017.  Onder de aangedane systemen waren ook MRI-scanners, die evenals CT-scanners, een uiterst belangrijke rol spelen bij onderzoek met beeldvormend technieken in ziekenhuizen. Deze apparaten hebben vaak een op Windows gebaseerd eigen besturingssysteem en zijn gekoppeld aan het ziekenhuisnetwerk.

Een onderzoeksgroep aan de  Ben-Gurion University of the Negev,  in Beer-Sheva(Israël) publiceerde in maart 2018 een artikel over dit onderwerp, genaamd: “Know your enemy: Characteristics of Cyber-Attacks on Medical Imaging Devices.” In het artikel beschrijven de onderzoekers een uitgebreide risico analyse over de kwetsbaarheid van MRI- en CT-scanners, als Medical Imaging Devices(MID). Ze beschrijven een aantal kwetsbaarheden en potentiele doelen, waardoor met deze appraten niet meer gewerkt kan worden. Dat zou een ramp zijn, omdat MID’s zeer intensief in de zorg gebruikt worden voor diagnose, behandeling en preventie van ziekten. In mijn bijdrage zal ik de inhoud van het artikel in het kort bespreken.

Lees verder

16 apr

Parnassia groep zet wereld op zijn kop bij beantwoording Kamervragen over ROM

omgekeerde wereld

Bij de beantwoording van Tweede Kamer vragen van het SP-kamerlid Kooiman aan de minister van VWS blijkt de GGZ-instelling Parnassia Groep de wereld op zijn kop te zetten. Dit doet deze instelling in antwoorden op vragen van het ministerie over de hervatting van ROM-gegevens aanlevering aan de Stichting Benchmark Geestelijke Gezondheidszorg(SBG). Ze stelt dat het vragen van expliciete toestemming hiervoor aan de cliënten leidt tot een toename van de administratieve lasten. Parnassia probeert hier gebruik te maken van de pogingen tot bestrijding van onnodige regelgeving die op het ogenblik gaande is onder het auspiciën van (Ont)regel de zorg. Daarbij maakt Parnassia een zeer grote, maar essentiële fout door met een beroep op deze beweging een essentieel recht van de cliënt in de GGZ  om zeep te helpen. In de Kamervragen verzoekt het Kamerlid Kooijman aan de minister van VWS te antwoorden op het bericht dat de GGZ-instelling Parnassia Groep Routine Outcome Monitoring(ROM)-data deelt met SBG. Meer specifiek gaat het om de hervatting van de aanlevering van die gegevens aan SBG op basis van het zeer discutabel begrip “veronderstelde toestemming”.

Lees verder

13 apr

Ook na aanpassing Wiv blijft inbreuk in medische datasystemen mogelijk

agent met aesculaap

Afgelopen dinsdag 10 april 2018 discussieerde de Tweede kamer over de reactie van het kabinet op de uitslag van het raadgevend referendum over de Wet op de inlichtingen- en veiligheidsdiensten(Wiv2017). Het debat leverde nu niet bepaald een enorm vuurwerk op. Dat zou je wel verwachten bij de zeer magere, en waarschijnlijke vooraf al ingecalculeerde aanpassingen die kabinet in de brief met de reactie ventileerde.  De beloofde aanpassingen, nieuwe beleidsregels genoemd, betreffen enkele cosmetisch ingrepen, die de wet eigenlijk niet echt veranderen. In de “waarborgen in de uitvoeringspraktijk” komt in punt 5 de omgang met medische gegevens ter sprake. Op dat punt is helemaal niets gewijzigd en komt het kabinet met een uitleg die gerichte inzage in medische datasystemen niet uitsluit.  Men komt met een uitleg over het verwerken van medische gegevens die in de aanloop naar het referendum al vaker te horen was. Dat kwam dan uit de mond van bewindslieden en (oud)hoofden van AIVD en MIVD. Ondanks de geruststellend bedoelde formulering in punt 5 is er nog steeds met de Wiv2017 een duidelijk koerswijziging ingezet, namelijk het in principe legaal kunnen binnendringen in medische data(transport)systemen. Ik schreef over dit onderwerp een vijftal stukken. Zie voor de link ernaar aan het einde van dit artikel.

Lees verder

11 apr

Kwaliteitsstatuut GGZ faciliteert benchmarking met ROM en schending beroepsgeheim

papier met geheim en aeculaapNa de ophef over het verzamelen en verwerken van ROM-data door de Stichting Benchmark GGZ(SBG) in 2017 liet GGZ Nederland met veldpartijen uit de geestelijke gezondheids-zorg(GGZ)[i] op 18 oktober 2017 weten dat de verwerking van die data weer hervat kon worden. Het kon volgens hen gebeuren op basis van “veronderstelde toestemming”. Dat was een cosmetische operatie. Men veranderde gewoon op papier het doel van het verzamelen en be-/verwerken van Routine Outcome Monotoring(ROM)-data. Van benchmarking en zorginkoop als doel werd het nu kwaliteitsverbetering. Dat wil men bereiken door de resultaten van de ROM-verwerking terug te sluizen richting behandelaars.

In de marge meldde men dat het Kwaliteitsstatuut, vanaf 1 januari 2017 verplicht voor de gehele geneeskundige GGZ, opnieuw doorgelopen zou worden om te zien of men met de veranderde doelstelling het statuut niet moest aanpassen. Naar nu blijkt, bij het lezen van versie 1.1 (d.d. 26 maart 2018) van het model Kwaliteitsstatuut GGZ, staat nog steeds de verplichting tot aanleveren van ROM-data aan SBG overeind. Ook de doelstelling is onveranderd: het aanleveren van ROM-gegevens aan SBG die op geaggregeerd niveau beschikbaar zijn ten behoeve van benchmarking.

Lees verder

09 apr

IGJ schuift melding over ontbreken verificatieplicht VZVZ door naar AP

schuiver

Op 5 februari 2018 schreef ik op deze website een bijdrage met als titel “IGJ dient verificatieplicht tav toestemming delen medische data breder af te dwingen”. Het ging over de vraag van mij aan de Inspectie voor de Gezondheidszorg en Jeugd(IGJ) om de verificatieplicht die zij aan het Isala-ziekenhuis in Zwolle oplegde  breder te trekken. Daarbij vroeg ik de IGJ om stappen te zetten richting de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) vanwege het op enige schaal plaats vinden van onterechte opt-in-toestemmingen voor het delen van medische informatie via het Landelijk SchakelPunt(LSP).  Door een verificatieplicht kan het onterecht noteren van opt-in-toestemmingen voor het delen van medische gegevens over het LSP de kop ingedrukt worden. Over het onterecht doen noteren van opt-in-toestemmingen bij apotheken voor medicatiegegevens deed de burgerrechtenvereniging Vrijbit al in de herfst van 2017 twee handhavingsverzoeken aan de Autoriteit Persoonsgegevens(AP). In een reactie op mijn verzoek aan de IGJ heeft de coördinerend specialistisch inspecteur eHealth, drs. J.W. Krijgsman, mij op 15 maart 2018 laten weten dat de IGJ mijn verzoek niet in behandeling kon nemen en doorgeschoven heeft richting de AP.

Lees verder

06 apr

LVVP vraagt leden voorlopig ROM-data niet aan te leveren, maar slaat de plank mis

hamer en spijkers

In een reactie op mijn artikel van 3 april 2018 over het uitzetten van de aanleverswitch voor ROM-data op zorgverlenersniveau bij de Stichting Vrijgevestigden ROM-men(SVR), liet Michiel Schiffers, beleidsmedewerker bij de Landelijke Vereniging van Vrijgevestigde Psychologen en Psychotherapeuten(LVVP), weten dat deze organisatie haar leden ‘vooralsnog’ afraadt om ROM-data naar de SVR te sturen. Dat staat ook in een ledenbrief van 29 maart 2018. Uit de argumentatie in die ledenbrief en het bewoordingen waarmee de LVVP de komst van de rechtsopvolger van de Stichting Benchmark GGZ(SBG), zijnde het AKWA instituut, verwelkomt blijkt dat men totaal niet door heeft wat er mis is aan het doorsturen van ROM-data als zijnde bijzondere persoonsgegevens aan een derde partij die deze data be-/verwerkt. AKWA is het nieuwe kwaliteitsinstituut voor de Geestelijke GezondheidsZorg(GGZ). De afkorting staat voor Alliantie Kwaliteit in de GGZ. Zoals de naam zegt is het oogmerk kwaliteitsverbetering. Het AKWA gaat echter door met het door-ontwikkelen van ROM data onder de naam ROM-nieuwe stijl. Men volhardt daarmee in een richting die door kernhoogleraren psychiatrie, maar ook de door de Algemene Rekenkamer één en andermaal als heilloos wordt gezien.

Lees verder

04 apr

Pilot Whitebox succesvol afgerond: het privacybeschermende alternatief voor het LSP in productie genomen

whitebox2In 2015 werd een pilot gestart om te onderzoeken hoe de Whitebox functioneert als decentraal zorgcommunicatie-systeem voor huisartsen. De pilot heeft laten zien dat de Whitebox goed functioneert in de productieomgeving van de Huisartsenposten Amsterdam (HpA). Vanwege de positieve reacties van gebruikers, nemen de HpA de Whitebox nu in productie. In 2011 werd de wet-EPD die als doel had om het LSP verplicht in te voeren onder de naam “Landelijk Elektronisch Patiëntendossier”, weggestemd door de Eerste Kamer. Het voorstel werd unaniem afgewezen vanwege zorgen over onder meer de mate van (onnodige) centralisatie van het systeem en privacybescherming en veiligheid. Nu het Landelijk Schakelpunt (LSP) in aangepaste vorm toch grootschalig is ingevoerd, zijn de genoemde zorgen niet weggenomen. Zo bleek uit een survey van de Huisartsenkring Amsterdam (HKA) in 2014 dat een overgrote meerderheid van de huisartsen (73%) – inclusief een ruime meerderheid van artsen die reeds het LSP gebruikten- liever een regionaal alternatief zou gebruiken. Ook recent bleek uit een enquête door Medisch Contact dat veel huisartsen die een LSP aansluiting hebben, het systeem niet gebruiken; er blijven zorgen privacy. De survey van de HKA was de directe aanleiding voor Whitebox Systems om een veilig, decentraal communicatiesysteem voor de zorg te ontwikkelen: de Whitebox.

Pilot

De pilot met de Whitebox toont aan dat privacy-by-design werkt als moderne standaard voor zorgcommunicatie. Kernpunt in de architectuur is het decentrale beheer van toegang. Dit eigenaarschap bij de (huis)arts en de patiënt is in het ontwerp van het systeem consequent doorgevoerd. De Whitebox is een kastje dat van de huisarts is en dat verbonden is met het lokale huisarts informatie systeem (HIS). De Whitebox introduceert push autorisatie waarbij de huisarts fijnmazig bepaalt wie toegang krijgt, zodat patiëntgegevens alleen worden uitgewisseld met andere zorgverleners als dat nodig is. Het gegevenstransport is end-to-end beveiligd (van begin tot eind versleuteld). Uniek is ook dat de huisarts en patiënt zelf een format voor gegevensuitwisseling kunnen kiezen. Patiënten krijgen zeggenschap over hun medische gegevens met onder meer een persoonlijke Whitebox account.

Praktijktest

De Whitebox is getest door circa 70 procent van de huisartsen in Amsterdam die Tetra-HIS als huisartsensysteem gebruiken. Technisch functioneert het systeem naar behoren. Dat de controle over gegevensuitwisseling geheel bij de arts en de patiënt worden gelegd met de Whitebox wordt op prijs gesteld door de deelnemers. Artsen geven aan dat het systeem eenvoudig in gebruik is, en dat het model goed aan patiënten is uit te leggen. Naast de primaire koppeling met de huisartsenpost vonden huisartsen extra toepassingen van de Whitebox zoals een visite-App en een dag-/vakantie-waarneming-App erg handig. Optimale bescherming van het medisch beroepsgeheim in elektronische communicatie kan dus hand in hand gaan met gebruiksgemak.

Onderzoek UvA

Met het pilotverslag wordt ook onafhankelijk onderzoek van de Universiteit van Amsterdam over opvattingen over elektronisch uitwisselen van medische gegevens gepresenteerd. Uit het onderzoek onder patiënten blijkt dat zij meer zeggenschap willen, en dat een systeem zoals de Whitebox toegevoegde waarde heeft ten opzichte van (alleen) het LSP. Hiermee onderschrijft het onderzoek onze stelling dat het bieden van een Whitebox én een LSP binnen de huisartsenpraktijk belangrijk is.

De decentrale standaard van de Whitebox wordt nu verder ontwikkeld om ook doorverwijzingen en gezamenlijk beheer van het medicatiedossier door huisarts en de eigen apotheek te ondersteunen. Ook wordt gewerkt aan bijvoorbeeld koppelingen met wearables. Whitebox Systems verwacht dat koppelingen met andere huisartssystemen eenvoudig uitgevoerd kunnen worden wanneer HIS-leveranciers de koppeling willen ondersteunen. We hopen dat de release van de pilot zal zorgen voor brede adoptie van de Whitebox in Nederland. Want patiënten en artsen verdienen een privacybeschermende optie om elektronisch medische gegevens uit te wisselen.

W.J. Jongejan

Persbericht van HuisartsenKring Amsterdam(LHV)/Huisartsenposten Amsterdam dd 03-04-2018

Management-samenvatting van de pilotresultaten

Uitgebreide samenvatting van de pilot resultaten

Het onderzoek van de Vrije Universiteit naar de minimale Professionele Samenvatting.

Het artikel met daarin het ontwerp van de minimale Professionele Samenvatting

 

 

03 apr

Onhoudbare constructie over hervatting ROM-levering bij SVR

wrong way

Op 29 maart 2018 liet de Landelijke Vereniging van Vrijgevestigde Psychologen en Psychotherapeuten(LVVP) weten dat bij de Stichting Vrijgevestigden ROM-men(SVR) de automatische aanlevering van ROM-data aan de Stichting Benchmark GGZ(SBG) eenmalig is uitgezet. De bedoeling is dat daarna het aan de individuele GGZ-zorgverlener is om de geautomatiseerde aanlevering weer aan te zetten. Middels een bericht op het klantenportaal van de website van de SVR was dat op 23 maart ook al kenbaar gemaakt maar minder makkelijke zichtbaar.  De SVR beheert  sinds 2016 een centrale infrastructuur voor aanlevering van ROM-data van vrijgevestigde GGZ zorgverleners op een beveiligde manier. Ik publiceerde trouwens al eerder een stuk over SVR op 16 juni 2017. Dat ging over het drie jaar(!) bewaren van de ROM-data in de database van SVR als deze niet door geleverd worden aan SBG. Vanwege alle onrust die er sinds begin 2017 is ontstaan over de ROM-data staat de doorlevering van de data van SVR aan SBG sterk onder druk. SVR heeft door het standaard uitzetten van de aanleverswitch en het voor individuele zorgverleners mogelijk maken die switch zelf om te zetten, de verantwoordelijkheid voor  de aanlevering weggehaald bij haarzelf en neergelegd bij de individuele  zorgverlener. Dat lijkt een loffelijke gedachte, maar er wordt daarbij wel een principiële denkfout gemaakt.

Lees verder

30 mrt

VZVZ verspreidt gebakken lucht in persbericht over LSP

feestje?

Iedereen gun ik zijn feestje, maar dan moet het wel een echt feestje zijn. Juichend nieuws produceerde de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), beheerder en verantwoordelijke voor het Landelijk SchakelPunt(LSP) op 27 maart 2017. “1 miljard berichten verstuurd via LSP” was het heuglijke bericht. Dat klinkt als heel veel, maar zoals zoveel berichten van de communicatieafdeling van VZVZ, is dit ook getrukeerd nieuws. Bij nadere beschouwing van het bericht en met een beetje kennis van hoe het LSP op dit moment functioneert, besef je al gauw dat hier sprake is van een hoop gebakken lucht. Dat komt door het meetellen van veel nietszeggende data-uitwisselingen. Het LSP is voor het half miljard euro, dat er tot nu toe in gestoken is, helemaal niet zo’n groot succes als VZVZ wil doen voorkomen. Een zelf gegenereerd juichbericht komt dan wel uit. Eigenlijk worden vooral medicatieoverzichten heen en weer gestuurd. Die overzichten zijn ook niet eens altijd sluitend en dienen voor de zekerheid met de patiënt doorgelopen te worden op volledigheid. Twee derde van de Nederlanders wil bovendien niet dat de samenvatting van het huisartsdossier via het LSP gedeeld wordt met andere zorgaanbieders. VZVZ probeert met het huidige persbericht haar bestaan weer wat op te poetsen, maar op het persbericht is veel af te dingen.

Lees verder

29 mrt

Model Privacyreglement GGZ doet medisch beroepsgeheim en toestemming cliënt verdwijnen

AVG EuropaIn verband met het ingaan van de Algemene Verordening Gegevensbescherming(AVG) op 25 mei 2018 kwam GGZ Nederland, als brancheorganisatie van de werkgevers in de geestelijke gezondheidszorg(GGZ) in januari 2018 met een nieuw model privacyreglement voor de zorginstellingen. Het moet als voorbeeld dienen voor privacyreglementen, die zorginstellingen vanwege de AVG, die het gevolg is van Europese privacy-wetgeving, moeten vernieuwen. Daarin blijken de bestuurders van de zorginstellingen tot verwerkingsverantwoordelijke van persoonsgegevens gemaakt te worden. Zij kunnen dan met voorbijgaan van in hun dienst zijnde zorgverleners bepalen welke gegevens voor enig doel kunnen worden verstrekt aan een derde. Met dit model privacyreglement wordt de facto een einde gemaakt aan het medisch beroepsgeheim en komt toestemming door de patiënt volledig buiten spel te staan. Het heeft alles te maken met doorleveren van Routine Outcome Monitoring(ROM)-data aan de Stichting Benchmark GGZ(SBG) en de beoogde opvolger daarvan, het Kwaliteits Instituut voor GGZ. Omdat de hier naar doorgestuurde data gepseudonimiseerd zijn, dienen die beschouwd te worden als bijzondere persoonsgegevens en moet daarvoor expliciet toestemming door de patiënt gegeven zijn. Dat is veelal niet gebeurd en gebeurt nu ook vaak niet. Men poogt het op dit moment te omzeilen met het begrip “veronderstelde toestemming”. Daarbij heeft men de constructie bedacht dat men  toestemming verondersteld acht als het gaat om gebruik van deze data voor kwaliteitsverbetering. Men vergeet voor het gemak dat de data vanwege de verwerking wel de instelling verlaten. GGZ Nederland lijkt te denken dat met het nieuwe privacyreglement de problemen over het toestemming vragen voorbij zijn. Niets is minder waar.

Lees verder