Zorg-ICT Zorgen - Kritische blik op zorg-ICT

19 jun 2019

Extra aandacht voor “refurbished” medische hardware nodig bij ontdekking kwetsbaarheden

Elektronische medische apparatuur is al enige tijd een prooi voor hackers. Ik schreef er op deze website al meerdere keren over(A, B, C). Op de website van het online magazine The Register stond op 13 juni 2019 een artikel waarin men duidelijk maakte dat een elektronisch werkstation dat infuuspompen aanstuurt en data naar een centrale computer verstuurt twee flinke kwetsbaarheden blijkt te hebben. Daardoor kunnen kwaadwilligen de aansturing overnemen en de patiënt schade berokkenen dan wel daarmee dreigen. Het gaat om het ALARIS Gateway Workstation van de firma Becton Dickinson, beter bekend onder de afkorting BD. Eén van de ontdekte kwetsbaarheden betreft de firmware van het apparaat die door een aanvaller op afstand vervangen kan worden door een eigen bedachte variant. De andere kwetsbaarheid zit in de web-based interface van het werkstation. Die aansluiting van het werkstation op een lokaal netwerk maakt de apparatuur kwetsbaar voor aanvallen. Zeker als het lokale netwerk nog ergens in de organisatie op het internet is aangesloten. Zorginstellingen zullen hun cybersecurity moeten aanscherpen en nieuwe firmware moeten installeren. Inmiddels bestaat er ook een levendige officiële handel in tweede hands medische apparatuur. Door “refurbishing” maakt men die dan opnieuw klaar gemaakt voor de markt. Ook in die sector dient men zeer alert te zijn op het installeren van zeer recente firmware.

Lees verder →

17 jun 2019

Kansloos betoog SG VWS over oplossing gebrekkige interoperabiliteit zorgICT

Op de HIMMS-Europe conferentie die van 11 t/m 13 juni 2019 in Helsinki gehouden werd viel de secretaris-generaal(SG) van het ministerie van VWS, Erik Gerritsen, op met een op het oog krachtig betoog. Hij stelde dat de zorgsector worstelt met een wereldwijde interoperabiliteitscrisis in de zorgICT. Alleen krachtdadig, internationaal gecoördineerd overheidsingrijpen kan volgens hem een einde maken aan de falende elektronische gegevensuitwisseling. Het online magazine SKIPR berichtte er op 14 juni 2019 over. Volgens Gerritsen is het de hoogste tijd het roer om te gooien. Omdat marktpartijen er volgens hem niet uitkomen zullen overheden moeten ingrijpen en dwingend internationaal verplichte standaarden voor interoperabiliteit moeten opleggen. De facto geeft Gerritsen hier het failliet aan van het marktmodel ten aanzien van zorg-ICT. Hij schrok er niet voor terug te stellen dat veel marktpartijen misbruik hadden gemaakt van de situatie door een eigen winst gedreven agenda te volgen. Maar kan je dat bedrijven kwalijk nemen als eerst jarenlang internationaal, maar ook zeker nationaal marktwerking geprofeteerd is. Wil je marktwerking dan introduceer je automatisch winst gedreven handelen. Het ministerie van VWS is daarbij jarenlang een groot onderdeel van het probleem geweest. Daarbij vermeldt hij niet dat zijn eigen ministerie altijd de marktwerking op het gebied van zorgICT gepredikt heeft en doof was voor geluiden over vendor-lock-in. Dat is de wurgende afhankelijkheid van gebruikers van hun ICT-leverancier ten aanzien van aanvullende dienstverlening.

Lees verder →

14 jun 2019

Langdurige hack bij medisch incassobedrijf in VS toont kwetsbaarheid keten

Met een zogeheten advanced peristent threat(APT) heeft een hacker in de Verenigde Staten acht maandenlang ongestoord toegang gehad tot de database van een medisch incassobedrijf. Het gaat om American Medical Collection AgencyAMCA). Dit werd begin deze maand bekend. Dit bedrijf doet incassowerk voor derden. De data die aan de hack zijn bloot gesteld zijn o.a. van twee zeer grote bedrijven, die bloedonderzoek en andere diagnostische onderzoeken doen bij patiënten, namelijk Labcorp en Quest Diagnostics. De hack betreft overigens alle klinische laboratoria en zorgverleners die AMCA als incasseerder voor niet door henzelf te innen rekeningen gebruiken. Potentieel gaat het om data van rond de twintig miljoen mensen, zeven miljoen klanten van Labcorp en 12 miljoen van Quest Diagnostics. Van minimaal 200.000 mensen is creditkaartinformatie op het Dark Web aangetroffen. Naast het hacken van zorginstellingen of aanvallen met malware is het duidelijk dat ook de financiële afhandeling buiten die instellingen een aantrekkelijke prooi geworden is. Lees verder →

11 jun 2019

Kwaliteit in de GGZ prijzig gemaakt. AKWA GGZ huurt erg duur

Achter een drie traveeën brede, symmetrische voorgevel, met als risaliet uitgevoerde, hoger opgetrokken middelste travee met tympaan en aangekapt zadeldak met breed overstek, huist sinds kort AKWA GGZ. De rechtsopvolger van de Stichting Benchmark GGZ, AKWA GGZ, en het bijbehorende Dataportaal GGZ is sinds 1 januari 2019 in Utrecht gevestigd. Niet zoals SBG op een gewone kantoorlocatie, maar op een heel bijzondere plek in Utrecht. Het mag blijkbaar wat kosten, want het gaat om een bijzonder pand namelijk een monumentale kantoorvilla aan de Museumlaan 7 in Utrecht. De eerste regel van deze bijdrage komt dan ook uit de monuments-beschrijving. De jaarlijkse huurkosten voor het monumentale pand met 550 m2 oppervlakte komen inclusief BTW op minimaal 169.400 euro per jaar. Eenzelfde kantooroppervlakte is in een kantorenwijk voor bijna de helft van dat bedrag te huren. Blijkbaar is de behoefte om behoedzaam om te gaan met publieke middelen niet zo groot bij de bestuurders die verantwoordelijk zijn voor AKWA GGZ. AKWA GGZ staat als opvolger van SBG nogal in de aandacht. Met name vanwege de wens om toch Routine Outcome Monitoring(ROM)-data uit de GGZ te willen blijven gebruiken voor “kwaliteits”-doeleinden. Ook al staat dat enorm ter discussie. Afgelopen week nog kreeg AKWA GGZ nog de kous op de kop van de Autoriteit Persoonsgegevens(AP), toen men oude SBG-data alsnog raadpleegbaar wilde maken voor onderzoek. De AP stak daar een stokje voor.

Lees verder →

06 jun 2019

Slordige governance: statuten VZVZ nooit aangepast op website na ontnemen stemrecht LHV

Op 11 oktober 2018 meldde ik dat de Landelijke HuisartsenVereniging(LHV) door verandering van de governance bij VZVZ vrijwel buiten spel was komen te staan t.a.v. van het LSP. VZVZ is de Vereniging van Zorgaanbieders Voor Zorgcommunicatie die het landelijk SchakelPunt beheert. De LHV was één van de vier rechtspersonen die aan de basis van VZVZ stonden eind 2012. Toen ging het LSP over van publieke in private handen. Naast de LHV waren dat de koepel van huisartsenposten InEen, de Koninklijke Nederlandse Maatschappij ter bevordering van de Pharmacie(KNMP) en de Nederlandse Vereniging van Ziekenhuizen(NVZ). Op 8 oktober 2018 liet de voorzitter van VZVZ, Antoon Kuijpers, weten dat de governance van VZVZ fors gewijzigd was. Het aantal personen die diverse raden bemanden werd terug gebracht van 80 tot 27 personen. De algemene vergadering perkte men in tot 17 personen. Het opvallende daarbij was de mededeling dat mede-oprichter LHV “toegelaten werd” tot die vergadering zonder stemrecht. Zeer opvallend is dat VZVZ tot op heden geen gewijzigde statuten op haar website plaatste. Daar prijken nog de oude statuten waarin staat dat de LHV wel stemrecht in de Algemene Vergadering heeft.

Lees verder →

03 jun 2019

TRACE-studie(AMC) gebruikt onjuiste juridische argumentatie voor toegang huisartsdossiers

Op 24 mei 2019 publiceerde ik een artikel met de titel “Huisartsdossiers in kader project inzien met opt-out-toestemming ontoelaatbaar”. Hierin bracht ik ter sprake dat in het kader van een onderzoeksproject, TRACE genaamd, vanuit het Amsterdam UMC locatie AMC, onderzoekers toestemming vroegen aan patiënten om hun huisartsdossiers te mogen inzien op opt-out-basis. Dat is een zeer ongewone en ongewenste gang van zaken. Na publicatie van mijn artikel had ik contact met de hoofdonderzoeker van dit project. Die verbaasde zich over mijn kritiek en gaf aan op welke juridische gronden de onderzoekers de opt-out-vraag gerechtvaardigd vinden. Die argumenten zijn volgens hem verwoord in een artikel dat op 28 januari 2019 verscheen in het Tijdschrift voor Gezondheidswetenschappen. Het is geschreven door Scholte, Kranendonk, Paardekooper en Ploem, allen in dienst van het AMC te Amsterdam. De titel is: “Hergebruik van patiëntgegevens voor wetenschappelijk onderzoek: op weg naar eenduidige spelregels. “. Bij lezing van dit artikel valt meteen op dat het artikel absoluut niet van toepassing is op patiëntgegevens in huisarts-informatie-systemen(HIS-sen). Daar zal ik nader op ingaan Lees verder →

31 mei 2019

Voorlopige beslissing AP over oude SBG-database bij AKWA raakt veel databases

Op 21 april 2019 maakte ik op deze website melding van het feit dat AkWA GGZ ROM-data, verkregen van de opgeheven Stichting Benchmark GGZ, opnieuw raadpleegbaar had gemaakt. Dat was met ingang van 15 maart 2019. Daarbij wees ik op het laakbare van deze openstelling, omdat het om veelal zonder toestemming verkregen bijzondere persoonsgegevens ging. 29 mei 2019 maakte AKWA GGZ bekend dat zij met onmiddellijke ingang de toegang tot die data op slot gedaan heeft. Dat doet AKWA op last van de Autoriteit Persoonsgegevens(AP). Men laat weten dat dit gebeurt naar aanleiding van een voorlopig standpunt van AP over de status van deze informatie. De AP beschouwt een deel van de verarmde dataset vooralsnog als persoonsgegevens. Blijkbaar heeft de AP dus kort geleden contact gezocht met AKWA GGZ over deze materie. Dat is zeer opvallend te noemen, omdat de AP al ruim twee jaar bezig is onderzoek te doen over de status van door derden geaggregeerde gepseudonimiseerde zorgdata. De demarche van de AP richting AKWA is van grote betekenis voor andere grote verzamelingen van zorgdata. Niet alleen in de sector van de GGZ maar ook in de somatiek. Overigens rept de AP op de eigen website met geen woord over deze stap richting AKWA.

Lees verder →

30 mei 2019

Stoppen Microsoft HealthVault toont dat PGO geen levenslang hulpmiddel is

Begin april 2019 liet software-gigant Microsoft weten te stoppen met de online persoonlijke gezondheids-omgeving(PGO) Microsoft HealthVault. Per 20 november 2019 gaat de stekker er definitief uit. Microsoft vraagt dan ook aan gebruikers om de data er uit te exporteren en elders op te slaan. Gelanceerd in 2007 in beta-versie en in 2009 officieel in gebruik genomen was HealthVault een PGO avant la lettre. Lang voordat via stimuleringsregelingen van het ministerie van VWS PGO’s geforceerd in ontwikkeling kwamen, was Microsoft al met zoiets begonnen. Het stoppen van HealthVault is een teken aan de wand. Ook anderszins was er over PGO-misère recent een artikel te lezen bij het online magazine Skipr : “ Meeste PGO-leveranciers over twee jaar verdwenen”. DIrecteur Mohammad Al-Ubaydli van het van oorsprong Britse PGO Patients Know Best (PKB) komt daarin met deze boude uitspraak over het Nederlandse PGO-landschap. Het aparte is dat zowel het ministerie van VWS als veldorganisaties stellen dat de PGO’s een levenslang hulpmiddel zijn voor de patiënt om er zorgdata in op te slaan. Uit het bovenstaande moge duidelijk zijn dat er geenszins sprake is van een levenslang bestaan van een PGO. Ik berichtte eerder over drie(A, B, C) omvallende PGO’s in 2018.

Lees verder →

28 mei 2019

Presentatie zorgprestatiemodel voor GGZ. Het roer kan nog andermaal om

Afgelopen week, op 20 mei 2019, kondigde de Nederlandse Zorgautoriteit(NZa) mede namens twaalf veldpartijen een nieuw bekostigingsmodel voor de geestelijke gezondheidszorg(GGZ) aan. Het nieuwe model heet het zorgprestatiemodel. Tot voor heel kort, namelijk tot in maart 2019 hield de NZa zich, tenminste voor de buitenwereld, bezig met dat zorgclustermodel naar Engels voorbeeld. Uit een brief van minister Bruins aan de Tweede Kamer op 19 maart j.l. blijkt dat de NZa tot dat moment bezig is met de ontwikkeling van het zorgclustermodel. De minister spreekt daarin over verbeteringen een gefaseerd implementatie-pad. De aankondiging van het zorgprestatiemodel is dan wel gepresenteerd op 20 mei 2019, maar draagt als datum (op de tweede pagina) 30 april. In een maand tijd lijkt het oude plan verlaten en een nieuw plan opgetuigd. Dat wijst erop dat veel, zo niet bijna alles, wat in de publicatie van de NZa staat, nog in de steigers staat en uitgewerkt moet worden. Het is dan ook reëel om te veronderstellen dat de grootste problemen met het vers beoogde model nog moeten komen. Even reëel is het om te veronderstellen dat het nu gelanceerde model ook weer niet het definitieve zal zijn.

Lees verder →

24 mei 2019

Huisartsdossiers in kader project inzien met opt-out-toestemming ontoelaatbaar

In Noord-Holland is de huisartsenpost van de HONK in Alkmaar gevestigd. HONK staat voor Huisartsenorganisatie Noord-Kennemerland. In verband met een flink aantal, achteraf onnodig beschouwde, spoedritten van de ambulance vindt daar een onderzoek plaats. In het kader van dit onderzoek proberen externe onderzoekers bij huisartsen van deze patiënten naderhand de huisartsdossiers in te zien. Dat doen ze met een opt-out-constructie. Daarbij krijgt de patiënt dertig dagen de tijd krijgt om bezwaar te maken. Reageert de patiënt niet binnen die termijn, dan gaat men uit van een gegeven toestemming. Dat is een ontoelaatbare gang van zaken. Indien er sprake is van het inzien of een afschrift krijgen van een medisch dossier dient de patiënt daar ondubbelzinnig en vrijwillig toestemming toe te geven na uitgebreide voorlichting. Dat heet een “informed consent”. Het gebruik van een opt-out-constructie daarentegen is daarbij uit den boze.

Lees verder →