image_pdfimage_print
27 apr

Veelvuldige (85x) onrechtmatige inzage dossier Barbie noodt tot notificatieplicht

log-in

Begin april 2018 bleek dat bij de opname van de “reality tv-ster”Samantha de Jong alias Barbie in het Haga-Ziekenhuis in Den Haag begin dit jaar meerdere personen onrechtmatig het elektronische medische dossier  inkeken. Vijfentachtig bleken het te zijn. Die komen er allemaal met een waarschuwing van af. Het gaat om mensen, die geen medische behandelrelatie hadden met deze patiënt. Er is dan naast het onfatsoenlijk handelen sprake van het overtreden van gedragsregels, het privacyreglement van het ziekenhuis en de beroepsnormen die voor diverse soorten werkers gelden. Ik doel in dat kader op artsen en verpleegkundigen. De overtredingen in het Haga-Ziekenhuis kwamen naar buiten na het opvragen van logging-gegevens van het ZiekenhuisInformatieSysteem(ZIS). Ondanks eerdere incidenten en waarschuwingen van de Autoriteit Persoonsgegevens heeft dit zeer grootschalige incident kunnen plaatsvinden. Het is mijns inziend derhalve noodzakelijk om naast passende maatregelen voor de toegang tot de dossiers ook een notificatieplicht in te voeren richting patiënt en wel direct bij elke inzage in het dossier.

Lees verder

25 apr

Orangeworm (hackersgroep) bedreigt medische software o.a. van scanners

MRI plus oranje worm

Sinds kort is de hackersgroep Orangeworm zeer actief om met het Kwampir-virus netwerken te besemetten. Men heeft het daarbij speciaal gemunt op de medische sector, omdat veertig procent van de besmettingen gevonden is in computersystemen van ziekenhuizen, medische apparatuur en toeleveringsbedrijven van zorginstellingen, maar ook farmaceutische bedrijven. Het Kwampir-virus, waarmee deze hackersgroep, waarvan eigenlijk nauwelijks iets bekend is, behoort tot de categorie van de Trojan-horse virussen en wordt meestal als Win32/Kwampir aangeduid. Het lijkt erop dat Organgeworm niet willekeurig te werk gaat, maar gericht zijn doelen uitzoekt om te besmetten.

Het virus is al in 2015 ontdekt. Symantec, één van de grote bedrijven die antivirus-software maakt, beschreef in 2016 al wat dit virus doet en hoe het verwijderd moet worden. Het virus creëert binnen de besmette hardware een zogenaamde “backdoor”, waardoor het toegang heeft tot een besmet systeem en ook bestanden kan downloaden.

Lees verder

24 apr

Groot, traag, duur en vol lucht en VZVZ pimpt het op: het LSP(deel 2)

opblaasschildpad 2

Dat valt tussen de regels door te lezen in het rapport over het Landelijk SchakelPunt (LSP) dat de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) op 19 april 2018 op haar website zette. Het heet “Rapport effecten en baten gebruik zorginfrastructuur”. Gisteren besprak ik de eerste helft van dit rapport. Vandaag het tweede deel. Daarin een bespreking van de rest van de grafieken en tabellen die de “groei” van het LSP-gebruik aantonen, maar waar veel gebakken lucht in zit.

Lees verder

23 apr

Groot, traag, duur en vol lucht en VZVZ pimpt het op: het LSP (deel 1)

opblaaschildpad 1

Op 19 april 2018 zette de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), verantwoordelijk voor het Landelijk Schakelpunt(LSP) een rapport online op haar website. De titel is: “Rapport effecten en baten gebruik zorginfrastructuur”. Met ronkende taal doet VZVZ voorkomen dat het LSP zeer goed draait en er boven verwachting gebruik van wordt gemaakt. Het lijkt erop dat VZVZ haar bestaansrecht aan haar financiers, de zorgverzekeraars, maar ook richting het zorgveld andermaal op wil poetsen. Diverse media berichtten er zonder kennis van zaken en zonder kritische blik over. 

VZVZ maakt gebruik van manipulatie van cijfers, die in suggestieve grafieken worden getoond. Negatieve informatie staat weggemoffeld op onopvallende pagina’s en nauwelijks vorderende projecten worden klein gebracht. Op de inhoud van het rapport is veel af te dingen. Met een nuchtere, kritische blik en kennis van eerdere door VZVZ zelf gepubliceerde getallen zijn grote gaten te schieten in rapport. Enkele vreemde vergissingen en aparte fouten zullen ook de revue passeren. In een tweetal artikelen zal ik met u het rapport doorlopen en de vinger op meerdere zere plekken leggen.

Lees verder

20 apr

De patiënt en het ziekenhuisinformatiesysteem EPIC: ervaringen

ziekenhuis ICT

Ziekenhuisinformatiesystemen(ZIS-sen) hebben als doel om ziekenhuisbreed werkprocessen en verslaglegging te elektronisch te faciliteren. Het is daarbij de vraag of de patiënt als persoon, waarom het eigenlijk allemaal draait in de zorg, daar net zo de vruchten van plukt als de degenen die ermee werken.  Nu is assortiment aan ZIS-sen niet bepaald groot te noemen. Eigenlijk zijn er maar twee hoofdspelers, Chipsoft en EPIC, terwijl nog enkele kleinere spelers als SAP en Nexus een zieltogend bestaan leiden. Vandaag wil ik u eens als ervaringsdeskundige wat buitenissigheden laten zien van één van de hoofrolspelers: EPIC.

Met de ervaringen van een half jaar polibezoek bij meerdere soorten specialisten die EPIC gebruiken komt een vast patroon terug dat zich eigenlijk tijdens elk spreekuurbezoek voordoet. Die ervaring kon ik opdoen omdat het St. Antoniusziekenhuis half oktober 2017 in al zijn vestigingen(Nieuwegein, Leidsche Rijn en Woerden) overging op EPIC als ZIS. In Nieuwegein en Leidsche Rijn werkte men voordien met IntraZIS, een 20 jaar geleden in eigen beheer ontwikkeld systeem. In Woerden ging men vanuit Chipsoft over. Aangezien ik alle vestigingen van het ziekenhuis met een patiëntbezoek mocht vereren kon ik het gebruik van meerdere kanten observeren. Uiteraard zullen er opmerkingen komen als “startproblemen”, maar sommige zaken lijken me toch niet daartoe te behoren.

Lees verder

18 apr

Wat als de CT- of MRI-scanner gekaapt is door malware?

gekaapte CT-scanner

In mei 2017 hebben we kunnen zien hoe het Wannacry-virus huishield bij de National Health Service(NHS) in het Verenigd Koninkrijk. Deze malware slaagde erin grote aantallen ICT-systemen van zorgaanbieders plat te leggen dan wel ernstig te verstoren. De National Audit Office bracht er verslag over uit op 24 oktober 2017.  Onder de aangedane systemen waren ook MRI-scanners, die evenals CT-scanners, een uiterst belangrijke rol spelen bij onderzoek met beeldvormend technieken in ziekenhuizen. Deze apparaten hebben vaak een op Windows gebaseerd eigen besturingssysteem en zijn gekoppeld aan het ziekenhuisnetwerk.

Een onderzoeksgroep aan de  Ben-Gurion University of the Negev,  in Beer-Sheva(Israël) publiceerde in maart 2018 een artikel over dit onderwerp, genaamd: “Know your enemy: Characteristics of Cyber-Attacks on Medical Imaging Devices.” In het artikel beschrijven de onderzoekers een uitgebreide risico analyse over de kwetsbaarheid van MRI- en CT-scanners, als Medical Imaging Devices(MID). Ze beschrijven een aantal kwetsbaarheden en potentiele doelen, waardoor met deze appraten niet meer gewerkt kan worden. Dat zou een ramp zijn, omdat MID’s zeer intensief in de zorg gebruikt worden voor diagnose, behandeling en preventie van ziekten. In mijn bijdrage zal ik de inhoud van het artikel in het kort bespreken.

Lees verder

16 apr

Parnassia groep zet wereld op zijn kop bij beantwoording Kamervragen over ROM

omgekeerde wereld

Bij de beantwoording van Tweede Kamer vragen van het SP-kamerlid Kooiman aan de minister van VWS blijkt de GGZ-instelling Parnassia Groep de wereld op zijn kop te zetten. Dit doet deze instelling in antwoorden op vragen van het ministerie over de hervatting van ROM-gegevens aanlevering aan de Stichting Benchmark Geestelijke Gezondheidszorg(SBG). Ze stelt dat het vragen van expliciete toestemming hiervoor aan de cliënten leidt tot een toename van de administratieve lasten. Parnassia probeert hier gebruik te maken van de pogingen tot bestrijding van onnodige regelgeving die op het ogenblik gaande is onder het auspiciën van (Ont)regel de zorg. Daarbij maakt Parnassia een zeer grote, maar essentiële fout door met een beroep op deze beweging een essentieel recht van de cliënt in de GGZ  om zeep te helpen. In de Kamervragen verzoekt het Kamerlid Kooijman aan de minister van VWS te antwoorden op het bericht dat de GGZ-instelling Parnassia Groep Routine Outcome Monitoring(ROM)-data deelt met SBG. Meer specifiek gaat het om de hervatting van de aanlevering van die gegevens aan SBG op basis van het zeer discutabel begrip “veronderstelde toestemming”.

Lees verder

13 apr

Ook na aanpassing Wiv blijft inbreuk in medische datasystemen mogelijk

agent met aesculaap

Afgelopen dinsdag 10 april 2018 discussieerde de Tweede kamer over de reactie van het kabinet op de uitslag van het raadgevend referendum over de Wet op de inlichtingen- en veiligheidsdiensten(Wiv2017). Het debat leverde nu niet bepaald een enorm vuurwerk op. Dat zou je wel verwachten bij de zeer magere, en waarschijnlijke vooraf al ingecalculeerde aanpassingen die kabinet in de brief met de reactie ventileerde.  De beloofde aanpassingen, nieuwe beleidsregels genoemd, betreffen enkele cosmetisch ingrepen, die de wet eigenlijk niet echt veranderen. In de “waarborgen in de uitvoeringspraktijk” komt in punt 5 de omgang met medische gegevens ter sprake. Op dat punt is helemaal niets gewijzigd en komt het kabinet met een uitleg die gerichte inzage in medische datasystemen niet uitsluit.  Men komt met een uitleg over het verwerken van medische gegevens die in de aanloop naar het referendum al vaker te horen was. Dat kwam dan uit de mond van bewindslieden en (oud)hoofden van AIVD en MIVD. Ondanks de geruststellend bedoelde formulering in punt 5 is er nog steeds met de Wiv2017 een duidelijk koerswijziging ingezet, namelijk het in principe legaal kunnen binnendringen in medische data(transport)systemen. Ik schreef over dit onderwerp een vijftal stukken. Zie voor de link ernaar aan het einde van dit artikel.

Lees verder

11 apr

Kwaliteitsstatuut GGZ faciliteert benchmarking met ROM en schending beroepsgeheim

papier met geheim en aeculaapNa de ophef over het verzamelen en verwerken van ROM-data door de Stichting Benchmark GGZ(SBG) in 2017 liet GGZ Nederland met veldpartijen uit de geestelijke gezondheids-zorg(GGZ)[i] op 18 oktober 2017 weten dat de verwerking van die data weer hervat kon worden. Het kon volgens hen gebeuren op basis van “veronderstelde toestemming”. Dat was een cosmetische operatie. Men veranderde gewoon op papier het doel van het verzamelen en be-/verwerken van Routine Outcome Monotoring(ROM)-data. Van benchmarking en zorginkoop als doel werd het nu kwaliteitsverbetering. Dat wil men bereiken door de resultaten van de ROM-verwerking terug te sluizen richting behandelaars.

In de marge meldde men dat het Kwaliteitsstatuut, vanaf 1 januari 2017 verplicht voor de gehele geneeskundige GGZ, opnieuw doorgelopen zou worden om te zien of men met de veranderde doelstelling het statuut niet moest aanpassen. Naar nu blijkt, bij het lezen van versie 1.1 (d.d. 26 maart 2018) van het model Kwaliteitsstatuut GGZ, staat nog steeds de verplichting tot aanleveren van ROM-data aan SBG overeind. Ook de doelstelling is onveranderd: het aanleveren van ROM-gegevens aan SBG die op geaggregeerd niveau beschikbaar zijn ten behoeve van benchmarking.

Lees verder

09 apr

IGJ schuift melding over ontbreken verificatieplicht VZVZ door naar AP

schuiver

Op 5 februari 2018 schreef ik op deze website een bijdrage met als titel “IGJ dient verificatieplicht tav toestemming delen medische data breder af te dwingen”. Het ging over de vraag van mij aan de Inspectie voor de Gezondheidszorg en Jeugd(IGJ) om de verificatieplicht die zij aan het Isala-ziekenhuis in Zwolle oplegde  breder te trekken. Daarbij vroeg ik de IGJ om stappen te zetten richting de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) vanwege het op enige schaal plaats vinden van onterechte opt-in-toestemmingen voor het delen van medische informatie via het Landelijk SchakelPunt(LSP).  Door een verificatieplicht kan het onterecht noteren van opt-in-toestemmingen voor het delen van medische gegevens over het LSP de kop ingedrukt worden. Over het onterecht doen noteren van opt-in-toestemmingen bij apotheken voor medicatiegegevens deed de burgerrechtenvereniging Vrijbit al in de herfst van 2017 twee handhavingsverzoeken aan de Autoriteit Persoonsgegevens(AP). In een reactie op mijn verzoek aan de IGJ heeft de coördinerend specialistisch inspecteur eHealth, drs. J.W. Krijgsman, mij op 15 maart 2018 laten weten dat de IGJ mijn verzoek niet in behandeling kon nemen en doorgeschoven heeft richting de AP.

Lees verder