19 sep 2019

323000 radiologiebeelden van 25000 Nederlanders op 4 systemen open en bloot

image_pdfimage_print

323000Diverse media meldden op 17 september 2019 dat radiologie-beelden makkelijk toegankelijk zijn voor derden via het internet. Het betreft een in Duitsland gestart onderzoek dat de Tagesschau van de Bayerischer Rundfunk en de Amerikaanse organisatie ProPublica naar publiceerden. Daarbij gaat het wereldwijd om 400 miljoen medische radiologische beelden van vele miljoenen mensen in minimaal 52 landen. In Nederland gaat het om 323000 radiologiebeelden van 25000 Nederlanders op 4 systemen. Voorwaar geen geringe aantallen. Het gaat om Röntgenfoto’s, MRI- en CT scans en mammografieën  . Het verbazingwekkende is dat het niet  echt gaat om het hacken van systemen. Het gaat gewoon om het kunnen inkijken omdat de deur tot die data wagenwijd openstaat. Berichtgeving in Nederland( op de website van  ICT&Health en Security.nl)   tot nu toe vermelden niet om welke aantallen het in ons land gaat. Wat diepgaandere bestudering van de onderliggende publicatie levert die gegevens wel op.

Lees verder

18 sep 2019

VZVZ op VolgJeZorg toont geen zorgverlener meer die inzage via LSP in dossier had

image_pdfimage_print

VZVZEen  zorgverlener die inzage had  in medische gegevens van een patiënt via het Landelijk SchakelPunt(LSP) was  tot voor kort direct te achterhalen op www.volgjezorg.nl. Na 7 augustus 2019 toont deze website niet meer welke zorgverlener inkeek. Men toont alleen de instelling/praktijk waar de zorgverlener werkt. VZVZ, als verantwoordelijke voor het LSP, stelt dat je zelf dan maar binnen de instelling op zoek moet gaan naar wie de data opvroeg.  Het betekent dat als je op voorhand niet zeker weet of de persoon die inzage had wel een behandelrelatie met je heeft. En dat je zelf binnen de instelling moet gaan vragen wie dat deed. In aanmerking nemend dat specialisten buiten spreekuren om niet tot nauwelijks bereikbaar zijn voor de patiënt betekent het dat het praktisch onmogelijk is om inzage vlot te verifiëren.

Lees verder

16 sep 2019

Witte Huis overweegt knotsgek plan voor massasurveillance

image_pdfimage_print

knotsgekBij het lezen van nieuwsberichten over en uit het Witte Huis in de V.S. fronst menigeen de laatste twee jaar veelvuldig de wenkbrauwen. Een bericht van 9 september 2019 in de Washington Post doet veel berichten verbleken als je bedenkt wat de consequenties zijn bij uitvoering. De kop luidt: “White House weighs controversial plan on mental illness and mass shootings”. Het is een zeer controversieel voorstel om te gaan bestuderen of massa-schietpartijen voorkomen kunnen worden door het monitoren van geesteszieken. De bedoeling is dan om kleine veranderingen op het spoor te komen die geweldsuitingen zouden kunnen voorspellen. De bedenkers ontkennen sterk dat men er mee ook maar in de verste verte aan profiling en massa-surveillance zou gaan. Het hele plan riekt er echter niet alleen naar. Het stinkt ernaar. En wat wil men ervoor o.a gebruiken? De Apple Watch, de Fitbit polsmeter, de Google Home en de Amazon Echo. Deze laatsten uiteraard als een soort geavanceerde luisterpost bij mensen thuis.

Lees verder

12 sep 2019

Houtje-touwtje oplossingen kenmerken communicatie van/naar ziekenhuis via LSP

image_pdfimage_print

Houtje-touwtjeHet elektronische berichtenverkeer van en naar ziekenhuizen via het Landelijk SchakelPunt(LSP) omvat niet veel. Het gaat om het binnenhalen van medicatiegegevens voor specialisten en het in sommige regio’s versturen van een soort recept naar de apotheek. Daarmee bedoel ik de zogenaamde vooraankondiging van een recept. Na de start in 2008 van het LSP in publieke handen(VWS) en na 2011 in private handen(VZVZ) kunnen zorgaanbieders maar bijster weinig uitwisselen met ziekenhuizen. De medicatiegegevens kunnen specialisten op  de polikliniek nog steeds niet met goed fatsoen real-time ophalen. Dat komt door de foutgevoeligheid en de traagheid van de verbindingen. Het recept dat de specialist vanuit het ziekenhuis in sommige  regio’s, dus nog niet landelijk, verstuurt is geen echt digitaal recept met een digitale handtekening, maar een vooraankondiging . Het is allemaal houtje-touwtje werk.

Lees verder

09 sep 2019

Deel UZI-certificaten voor toegang zorgsystemen voldeden niet aan basiseisen browserpartijen

image_pdfimage_print

UZI-certificatenVersneld laat het UZI-register ongeveer 3000 UZI-certificaten van zorgaanbieders vervangen door nieuwe. Daartoe hebben die eind augustus 2019 een email en een brief ontvangen om uiterlijk voor 17 september 2019 een aanvraag voor een nieuw certificaat te doen. Het komt omdat meerdere grote webbrowserpartijen, zoals Google, Apple en Mozilla aangaven dat die servercertificaten niet voldoen aan basiseisen die ze stellen. Het gaat om de UZI-register Server CA G21-certificaten. De reden is dat de standaarden voor certificaten verplichten dat die over een 64-bit serienummer moeten beschikken. Twee certificaatautoriteiten betreft het: het CIBG van het ministerie van VWS waar het UZI-register onder valt en KPN. Die hebben certificaten uitgegeven die effectief over een 63-bit serienummer beschikten. Dit kwam door een onjuiste standaardinstelling van de gebruikte uitgiftesoftware EJBCA. De deadline voor het vervangen zijn van de certificaten is 1 oktober 2019. Beroepsverenigingen als de Landelijke HuisartsenVereniging roepen hun leden op snel te handelen

Lees verder

05 sep 2019

Gevaarlijke oprisping over datasolidariteit van directeur zorgdata-gaarder Vektis

image_pdfimage_print

oprispingDe afgelopen twee jaar borrelt het begrip “datasolidariteit” af en toe op in de discussie over het gebruik van zorgdata. Op 2 september 2019 gebeurde dat weer eens door een verbale oprisping van directeur Herman Bennema van Vektis. Het telkens te berde brengen van datasolidariteit is ingegeven door het feit dat grootschalig onderzoek met zorgdata, bijv. bij big-data-analyse aan een flink aantal beperkingen gebonden zijn. Dat vinden onderzoekers en met name Vektis lastig. Daarbij moet men zich wel bedenken dat Vektis het informatie instituut van Zorgverzekeraars Nederland is.  Vektis legt al veel vast aan data in/over de zorg, voornamelijk in de vorm van declaratiegegevens. Bennema stelt dat het koppelen van data uit verschillende bronnen vaak niet lukt. Bijvoorbeeld omdat het té ingewikkeld is om de juiste datavelden uit de verschillende bronnen met elkaar in verband te brengen.  Het liefste zou hij dat doen met een unieke koppelsleutel, zoals het Burgerservicenummer (BSN). Dat willen maakt zijn  verhaal tot een gevaarlijke poging meer tot op een persoon herleidbare informatie te gaan be-/verwerken en beheren.   Lees verder

03 sep 2019

Hoe cyberinsurance bij kan dragen aan betere ICT-mores in zorgland

image_pdfimage_print

cyber-insuranceOp Twitter verscheen op 2 september 2019 een duidelijke waarschuwing van Matthijs R. Koot, cyberexpert werkzaam bij Secura B.V., een cybersecurity-bedrijf. Het gaat om een zeer recent bekend geworden kwetsbaarheid van bepaalde VPN-diensten, die o.a. in gebruik zijn bij onze overheid en andere instituties. Een kwetsbaarheid die inmiddels hersteld is door een “patch”, maar die wel de vraag opwerp of alle gebruikers van VPN-diensten wel adequaat die patch installeren. In zijn blog van 1 september geeft Koot een nauwkeurige beschrijving en wijst daarin een passant op een zeer recent artikel van de juriste Nynke M. Brouwer.  Zij werkt als advocaat bij Dirkzwager advocaten & notarissen en als buitenpromovenda verbonden aan het Onderzoekcentrum Onderneming & Recht van de Radboud Universiteit. Zij publiceerde in het magazine Aansprakelijkheid, Verzekering & Schade, het artikel ‘Vlijt en naarstigheid’ in een digitale wereld: eigen schuld en beredding in de context van de cyberverzekering’ ( AV&S 2019/23, afl. 4). Het lijkt een wat droge materie om als niet-jurist te lezen, maar er staan zeer goede observaties en conclusies in. Daarbij denk ik aan hoe in de cyberinsurance verzekeraars bij kunnen dragen aan betere ICT-mores bij hun klanten. Ik kijk in mijn artikel nu naar een deel van die klanten: zorgaanbieders met hun ICT-systemen.

Lees verder

30 aug 2019

Binnenkort buigt bestuursrechter zich over onrechtmatige opt-in-toestemmingen voor LSP

image_pdfimage_print

bestuursrechterDonderdag 12 september 2019 om 11 uur is het zo ver. Dan dient voor de meervoudige kamer van de Rechtbank Midden-Nederland bij de sector bestuursrecht mijn zaak tegen de Inspectie Gezondheidszorg en Jeugd(IGJ). Het betreft een door mij ingediend handhavingsverzoek bij de bestuursrechter. De meerdere keren voorgekomen onrechtmatige notering van een opt-in-toestemming voor het Landelijk SchakelPunt(LSP) bij verschillende apotheken vormt de basis van dit verzoek. Aangezien de Autoriteit Persoonsgegevens waar dit ook gemeld is zeer afhoudend is heb ik ook de weg via de IGJ ook bewandeld. Mijn handhavingsverzoek bij de IGJ betreft alle apotheken in Nederland. Het  is ingegeven door het feit dat de IGJ krachtens de Wet kwaliteit klachten en geschillen zorg(Wkkgz) een handhavingsbevoegdheid heeft ten aanzien van zorgaanbieders, dus ook de apotheken. Ik schreef over dit onderwerp al zeker drie keer op deze website.(A, B, C  Lees verder

27 aug 2019

Gehackt Gmail-account van arts treft 7000 patiënten

image_pdfimage_print

gehacktPatiënten medische informatie per gewone email toesturen als arts is niet zo verstandig. Afgelopen week, op 22 augustus 2019 maakte een bericht op het internet dat weer eens duidelijk. Het gaat over een voorval in Canada,  om precies te zijn in de stad Calgary, gelegen in de provincie Alberta. De arts, werkzaam in het Richmond Road Diagnostic Centre, verstuurde gedurende enige tijd medische informatie met Gmail, onbeveiligd naar patiënten. Zijn Gmail-account bleek recent al enige tijd terug gehackt te zijn.  In de email stonden persoonsgegevens zoals de namen, geboortedata, adressen, het unieke zorg-identificatienummer, en medische informatie zoals diagnosen en behandelingsgegevens. De arts deed dat terwijl het ziekenhuis informatiesysteem de mogelijkheid had emails versleuteld en op een beveiligde manier te verzenden. Het aantal mensen waarom het gaat bedraagt 7000.

Lees verder

23 aug 2019

Wat te doen als je leerstoel onder je voeten wegzakt

image_pdfimage_print

leerstoelJe zult een leerstoel bij een gerenommeerde universiteit bekleden met een leeropdracht die als zand door je vingers glijdt. U vraagt zich af waar ik het over heb? Het betreft de leerstoel ROM en Benchmarken die de hoogleraar Edwin de Beurs bekleedt. De afgelopen weken is duidelijk geworden dat het benchmarken met Routine Outcome Monitoring-data niet meer salonfähig is. De Stichting Benchmark GGZ(SBG) die deze activiteit zelfs in de naam had staan is ter ziele. Opvolger Akwa GGZ wil het eigenlijk op termijn stiekem nog wel, maar heeft het woord op haar website vervangen door “kwaliteitstransparantie”. Saillant gegeven is dat de leerstoel Routine Outcome Monitoring en Benchmarken bij de sectie klinische psychologie  van de Universiteit Leiden ingesteld is door sponsoring van SBG. Overigens kreeg SBG haar geld volledig van Zorgverzekeraars Nederland. Eigenlijk is het dus een door de zorgverzekeraars gekochte leerstoel. Deze analyse laat zien dat de leerstoel in 2020 definitief zal kunnen gaan omvallen.

Lees verder