29 apr

Hoogleraar informatiebeveiliging acht opzet LSP achterhaald en onveilig

cyber-security-1186529_640

Op 5 april j.l. heeft de vaste Eerste Kamercommissie voor VWS een twee uur durend gesprek gevoerd met deskundigen over cliëntenrechten bij elektronische verwerking van gegevens. Het ging over de kansen en risico’s van de invoering van het wetsvoorstel 33509. Dit wetsvoorstel poogt de elektronische medische datacommunicatie een wettelijk fundament te geven. Het lijkt te gaan om alle vormen van die datacommunicatie, maar is volledig toegesneden op het gebruik van het Landelijk SchakelPunt(LSP). De inbreng van professor Eric Verheul, hoogleraar bij de Digital Security Group van de Radboud Universiteit van Nijmegen, was uitermate helder. Hij stelde in zijn betoog, dat de opzet van het LSP thans volledig achterhaald is. De huidige opzet beschouwt hij als kwetsbaar. De kern van het systeem acht hij onwenselijk en technisch niet noodzakelijk. Hij is niet zomaar iemand die dit zegt, maar een wiskundige met veel kennis van zaken betreffende cryptografie en veiligheidsmanagement op ICT-gebied.

Lees verder

28 apr

Zorgrobot Zora duikt op als hotelrobot Hugo

android-160575_640

Afgelopen dagen werd op vele websites gewag gemaakt van de introductie van een heuse hotelrobot in twee hotels van de Hampshire-keten. Het gaat om het Hotel-Savoy in Rotterdam en Hotel-The Manor in Amsterdam. De hotelrobot wordt Hugo genoemd en ingezet als conciërge en frontofficemedewerker, kwalificaties die met een korreltje zout genomen moeten worden. Hugo blijkt precies dezelfde robot te zijn als Zora, die de makers als zorgrobot propageren. Bij de introductie in de hotels hanteert men dezelfde argumenten als in de verpleeghuizen waar Zora figureert. Zie het persbericht. Men spreekt over technische innovatie en een verdere stap in de wereldwijde ontwikkeling van humanoïde robots. Is het wel zo dat hier sprake is van een betekenisvolle stap die ons verder brengt met robotica? Is hier niet gewoon sprake van een hype, waarbij met het toverwoord innovatie zorginstellingen en bedrijven als lemmingen achter elkaar aan lopen, bij iets wat in wezen eigenlijk alleen een “gimmick”, een technologische aardigheidje is. Gelukkig neemt de hotelmanager in Rotterdam dat woord ook in de mond in een artikel op de website van RTL Rijnmond als zij de plaats van de robot in de organisatie beschrijft. Ook geeft zij aan dat de robot geen personeel overbodig maakt omdat hij daarvoor te veel ondersteuning nodig heeft.

Lees verder

26 apr

Proof of Concept Ketenzorg oorzaak extra opt-in-toestemming

yes-1015480_640

Van de opt-in-toestemming bestaan diverse smaken. Ik berichtte hier al eerder op 2 juni 2015 en op 17 november 2015 over, Op 25 april 2016 liet de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), beheerder van het Landelijk SchakelPunt(LSP) via de website van SKIPR weten dat men een nieuwe fase in het berichtenverkeer ingeluid heeft. VZVZ laat weten dat binnenkort de Proof of Concept gaat plaatsvinden van de ” informatie-uitwisseling ketenzorg”. Anders gezegd, men gaat kijken of het idee hoe het ongeveer zou moeten gaan uitvoerbaar en haalbaar is. Vreemd genoeg meldt VZVZ het niet op de eigen website. Samengewerkt wordt met de ketenzorg-software leverancier Vital Health Software. De stappen die nu gezet worden vereisen een hernieuwde opt-in-toestemming van burgers die eerder hun goedkeuring gaven aan het delen van hun medische gegevens via het LSP.  Van het ketenzorg-programma dat in 2013 met het convenant en programma ketenzorg gestart werd had de Proof of Concept al in 2014 moeten plaatsvinden, daarna de pilotstudies in 2015 en de landelijke uitrol in 2016. Er is dus sprake van minstens twee jaar vertraging. Reeds in 2013 was te voorspellen dat het toen gelanceerde programma onrealistisch was qua planning. Het was gewoonweg veel te ambitieus van opzet. Lees verder

23 apr

Big data analyse ongeoorloofd voor gemeenten in het sociale domein

large-895563_640WJ2

Al vanaf 2014 maakt de gemeente Zaanstad duidelijk dat zij veel werk gaat maken van het gebruik van “big data” om in het sociale domein beter beleid te kunnen voeren. Zelf spreekt men van de overgang van processturing naar monitoring. Het aandachtsveld is huiselijk geweld. Men wil tot een “monitor huiselijk geweld komen” om data te kunnen genereren waardoor de gemeente het vóórkomen van huiselijk geweld kan meten, vergelijken en wellicht voorspellen. Een jaar lang werd met het bedrijf Big Fellows, later BIG Data Company geheten, gewerkt aan die monitor huiselijk geweld. Die meldt in een conclusie in het najaar van 2015 dat het doel niet bepaald gehaald is. Desondanks kondigt Saskia de Man, strategisch adviseur Maatschappelijk Domein in Zaanstad, begin april 2014 aan dat Zaanstad met deze resultaten reden genoeg te zien om op dit dossier samenwerking te zoeken met Vereniging Nederlandse Gemeenten(VNG) en het Kwaliteits Instituut Nederlandse Gemeenten(KING) en de monitor door te ontwikkelen. Het is daarbij maar zeer de vraag of wat de gemeente Zaanstad wil, wel geoorloofd is op basis van de Wet bescherming persoonsgegevens(Wbp) en als je kijkt naar de bronnen waar de big data vandaan komen. Lees verder

20 apr

Autoriteit Persoonsgegevens blaft, maar gaat ze ooit bijten?

dogs-567257_640

Gisteren publiceerde de Autoriteit Persoonsgegevens een vernietigend rapport over de abominabele manier waarop het overgrote deel van de Nederlandse gemeenten omgaat met de privacy van de burger. Onderzocht werd hoe bij de transitie van de (jeugd)zorgtaken van de centrale overheid naar de gemeenten de privacy van de hulp vragende burger geborgd is. De titel van het rapport luidt: :” Verwerking van persoonsgegevens in het sociaal domein: De rol van toestemming”. Terwijl het wijd en zijd bij de burger bekend is dat de privacy binnen sociale wijkteams onvoldoende geborgd is, en onderzoeksjournalistiek op de televisie er al in 2015 uitgebreid aandacht aan besteedde (de Monitor 22 november 2015), besluit de AP geen op handhaving gerichte bevindingen per gemeente op te stellen. In plaats daarvan heeft zij een overkoepelend, beschrijvend, rapport opgesteld. In het rapport vermeldt de AP onder punt 1.1 op pagina 4 dat zij voor de transitie meermalen op verschillende manieren het ministerie van binnenlandse zaken en koninkrijksrelaties(BZK) en de Vereniging van Nederlandse Gemeenten(VNG) ingelicht en gewaarschuwd heeft voor te verwachten problemen. Toch kiest zij er voor om de gemeenten eerst een spiegel voor te houden in de hoop dat zij hun leven gaan beteren. Het rapport laat in het midden wanneer en hoe de AP gaat handhaven. Lees verder

19 apr

Bezwaren tegen het LSP. In gesprek met Gerard Freriks

GerardFriksWJ

Op 4 maart 2016 publiceerde het NRC-Handelsblad op de opiniepagina een artikel, geschreven door de arts Gerard Freriks en mij. Het ging over het door de huisarts kunnen handhaven van de afgelegde eed van Hippocrates in het huidige ICT-tijdperk. We leven in een tijd dat niet alleen hackers pogingen doen medische data te vergaren, maar ook overheidsinstellingen bij wet het recht tot hacken proberen te verwerven. Gerard Freriks is actief in de ICT sinds 1972 en is 20 jaar huisarts geweest. Vanaf 1996 is hij actief betrokken bij het maken van Internationale standaarden voor de zorg ICT en stond daarbij aan de wieg van elektronische medische datacommunicatie. Enkele van deze standaarden zijn:

  • NEN 7510 Informatie Beveiliging in de Zorg
  • ISO 13606 EPD Communicatie
  • ISO 12934 System of Concepts for Continuity of CareIn Nederland is overigens door VWS en NICTIZ niet gekozen voor het gebruik van die Europese/Internationale EPD norm, maar is gekozen voor HL7 (Health Level 7) als basis voor berichtenverkeer in de zorg. In de USA wordt deze HL7 berichtenstandaard langzaam vervangen door een nieuwe ontwikkeling (FHIR) die beter past bij de ISO 13606 EPD norm.
  • Bij de voorbereiding voor het artikel sprak ik Gerard uitgebreid. Daarbij kwam ook het Landelijk SchakelPunt (LSP) ook ter sprake. Door zijn werk en kennis van achtergronden van het LSP is hij bij uitstek iemand die met een kritische blik naar het LSP kijkt.

Lees verder

18 apr

En opeens kon de openbare apotheker niet bij het LSP

pharmacy-728171_640

Begin april liet het CIBG(Centraal Informatiepunt Beroepen Gezondheidszorg) aan de Koninklijke Nederlandse Maatschappij ter bevordering van de Pharmacie(KNMP) weten dat het onder haar vallende UZI-register nieuwe UZI-passen ging uitgeven. Het ging op passen waarop de rolcode “openbare apotheker” geïmplementeerd is. Voor het hanteren van deze passen bij het gebruik van het Landelijk SchakelPunt(LSP) zijn softwarematige aanpassingen nodig van het LSP en van de Apotheek Informatie Systemen(AIS-sen). Dat was nog niet gebeurd, waardoor de openbare apothekers die deze nieuwe passen kregen geen gebruik kunnen maken van het LSP bij het maken van medicatieoverzichten. Pas na aanpassing van die software is gebruik van het LSP door openbare apothekers weer mogelijk. Ondanks de toezegging van een impact-analyse door de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), die het LSP beheert, blijken er nu toch problemen op de werkvloer te bestaan. Op de website van EZDA, voluit: Stichting Elektronisch Zorg Dossier Amsterdam, is dit te lezen. Op de website van het CIBG, het UZI-register, de KNMP en VZVZ zult u er vergeefs naar zoeken. Men beschouwt het blijkbaar als vuile was die je niet buiten hangt. Lees verder

16 apr

Zorgaanbieder ontvanger gegevens datalek Amersfoort?

hands-718558_640

In de gemeente Amersfoort mailde een ambtenaar een bestand met adres-, burgerservicenummer- en (jeugd)zorggegevens naar een niet bedoeld persoon. Op 13 april j.l. schreef ik hierover op deze website. Hierdoor ontstond een datalek dat 1900 burgers betrof. Na eerst zelf een radiostilte afgekondigd te hebben tot het raadsdebat op dinsdag 19 april, blijkt de verantwoordelijke wethouder Fleur Imming vandaag via het Algemeen Dagblad opeens gedeeltelijke opening van zaken te geven. De radiostilte vanuit de gemeente tot het debat maakte een vreemde indruk, omdat bij geopenbaarde datalekken juist openheid van het grootste belang is. Lees verder

14 apr

Autoriteit Persoonsgegevens luidt weer noodklok

scale-311336_640

In het jaarverslag over 2015, dat op 14 april 2016 verscheen, geeft de Autoriteit Persoonsgegevens(AP) een opsomming van de werkzaamheden in dat jaar, maar ook een inkijk in de enorme beperkingen van dit instituut. De voorzitter Jacob Kohnstamm gaf in een interview op 30 december 2015 ter gelegenheid van de naamsverandering van het College Bescherming Persoonsgegevens(CBP) reeds aan dat het vijfvoudige budget noodzakelijk is om adequaat te kunnen reageren op inbreuken op de privacy. Budgetverruiming kreeg hij echter niet. In het voorwoord van het jaarverslag geeft Kohnstamm andermaal zeer duidelijk aan met welke beperkingen de AP moet werken in een wereld waarin steeds meer dataverkeer plaatsvindt en persoonsgegevens vaak niet afdoende beschermd zijn. Hij doet een beroep op de verantwoordelijke bewindslieden om het budget te verruimen en de teruggang in de personele bezetting van de AP te keren. In 2015 was die 72,5 FTE. Dat was weer twee FTE lager dan in 2014. Het budget van de AP bedroeg in 2015 8,2 miljoen euro. Lees verder

13 apr

Je kon er op wachten: groot datalek zorggegevens gemeente Amersfoort

firefighters-808901_640

Terwijl in de huisartsenwereld inmiddels wijd en zijd inmiddels bekend is dat persoons-/zorggegevens van patiënten niet per gewone e-mail verstuurd moeten worden, blijkt men bij gemeenten er een andere moraal op na te houden. Bij de gemeente Amersfoort verstuurde een ambtenaar meerdere weken geleden gegevens van 1900 burgers, afkomstig van de sociale wijkteams per mail naar een verkeerde persoon. De gegevens betreffen naam, adres, burgerservicenummers, maar gaan ook om de omschrijving van geleverde (jeugd)zorg. Op diverse websites zoals van SKIPR, RTVUtrecht en het Algemeen Dagblad wordt er melding van gemaakt. Nog kwalijker is dat men het voor de eigen wethouder en burgemeester geheim hield. Ook meldde men het niet aan de Autoriteit Persoonsgegevens. Op niet melden staat sinds 1 januari 2016 een boete van ruim achthonderdduizend euro. Uit de berichten blijkt dat de verantwoordelijke wethouder pas enkele dagen geleden is ingelicht. Het is te hopen dat die inmiddels aangifte heeft gedaan van dit datalek bij de Autoriteit Persoonsgegevens.

Lees verder