image_pdfimage_print
19 jun 2019

Extra aandacht voor “refurbished” medische hardware nodig bij ontdekking kwetsbaarheden

infuuspompElektronische medische apparatuur is al enige tijd een prooi voor hackers. Ik schreef er op deze website al meerdere keren over(A, B, C). Op de website van het online magazine The Register stond op 13 juni 2019 een artikel waarin men duidelijk maakte dat een elektronisch werkstation dat infuuspompen aanstuurt en data naar een centrale computer verstuurt twee flinke kwetsbaarheden blijkt te hebben. Daardoor kunnen kwaadwilligen de aansturing overnemen en de patiënt schade berokkenen dan wel daarmee dreigen. Het gaat om het ALARIS Gateway Workstation van de firma Becton Dickinson, beter bekend onder de afkorting BD. Eén van de ontdekte kwetsbaarheden betreft de firmware van het apparaat die door een aanvaller op afstand vervangen kan worden door een eigen bedachte variant. De andere kwetsbaarheid zit in de web-based interface van het werkstation. Die aansluiting van het werkstation op een lokaal netwerk maakt de apparatuur kwetsbaar voor aanvallen. Zeker als het lokale netwerk nog ergens in de organisatie op het internet is aangesloten. Zorginstellingen zullen hun cybersecurity moeten aanscherpen en nieuwe firmware moeten installeren. Inmiddels bestaat er ook een levendige officiële handel in tweede hands medische apparatuur. Door “refurbishing” maakt men die dan opnieuw klaar gemaakt voor de markt. Ook in die sector dient men zeer alert te zijn op het installeren van zeer recente firmware.

Lees verder

17 jun 2019

Kansloos betoog SG VWS over oplossing gebrekkige interoperabiliteit zorgICT

interoperabiliteitOp de HIMMS-Europe conferentie die van 11 t/m 13 juni 2019 in Helsinki gehouden werd viel de secretaris-generaal(SG) van het ministerie van VWS, Erik Gerritsen, op met een op het oog krachtig betoog. Hij stelde dat de zorgsector worstelt met een wereldwijde interoperabiliteitscrisis in de zorgICT.  Alleen krachtdadig, internationaal gecoördineerd overheidsingrijpen kan volgens hem een einde maken aan de falende elektronische gegevensuitwisseling. Het online magazine SKIPR berichtte er op 14 juni 2019 over. Volgens Gerritsen is het de hoogste tijd het roer om te gooien. Omdat marktpartijen er volgens hem niet uitkomen zullen overheden moeten ingrijpen en dwingend internationaal verplichte standaarden voor interoperabiliteit moeten opleggen. De facto geeft Gerritsen hier het failliet aan van het marktmodel ten aanzien van zorg-ICT. Hij schrok er niet voor terug te stellen dat veel marktpartijen misbruik hadden gemaakt van de situatie door een eigen winst gedreven agenda te volgen. Maar kan je dat bedrijven kwalijk nemen als eerst jarenlang internationaal, maar ook zeker nationaal marktwerking geprofeteerd is. Wil je marktwerking dan introduceer je automatisch winst gedreven handelen. Het ministerie van VWS is daarbij jarenlang een groot onderdeel van het probleem geweest. Daarbij vermeldt hij niet dat zijn eigen ministerie altijd de marktwerking op het gebied van zorgICT gepredikt heeft en doof was voor geluiden over vendor-lock-in. Dat is de wurgende afhankelijkheid van gebruikers van hun ICT-leverancier ten aanzien van aanvullende dienstverlening.

Lees verder

14 jun 2019

Langdurige hack bij medisch incassobedrijf in VS toont kwetsbaarheid keten

hackMet een  zogeheten advanced peristent threat(APT) heeft een hacker in de Verenigde Staten acht maandenlang ongestoord toegang gehad tot de database van een medisch incassobedrijf. Het gaat om American Medical Collection AgencyAMCA). Dit werd begin deze maand bekend. Dit bedrijf doet incassowerk voor derden. De data die aan de hack zijn bloot gesteld zijn o.a. van twee zeer grote bedrijven, die bloedonderzoek en andere diagnostische onderzoeken doen bij patiënten, namelijk Labcorp en Quest Diagnostics. De hack betreft overigens alle klinische laboratoria en zorgverleners die AMCA als incasseerder voor niet door henzelf te innen rekeningen gebruiken. Potentieel gaat het om data van rond de twintig miljoen mensen, zeven miljoen klanten van Labcorp en 12 miljoen van Quest Diagnostics. Van minimaal 200.000 mensen is creditkaartinformatie op het Dark Web aangetroffen. Naast het hacken van zorginstellingen of aanvallen met malware is het duidelijk dat ook de financiële afhandeling buiten die instellingen een aantrekkelijke prooi geworden is.   Lees verder

11 jun 2019

Kwaliteit in de GGZ prijzig gemaakt. AKWA GGZ huurt erg duur

duur

Achter een drie traveeën brede, symmetrische voorgevel, met als risaliet uitgevoerde, hoger opgetrokken middelste travee met tympaan en aangekapt zadeldak met breed overstek, huist sinds kort AKWA GGZ. De rechtsopvolger van de Stichting Benchmark GGZ, AKWA GGZ, en het bijbehorende Dataportaal GGZ is sinds 1 januari 2019 in Utrecht gevestigd. Niet zoals SBG op een gewone kantoorlocatie, maar op een heel bijzondere plek in Utrecht. Het mag blijkbaar wat kosten, want het gaat om een bijzonder pand namelijk een monumentale kantoorvilla aan de Museumlaan 7 in Utrecht. De eerste regel van deze bijdrage komt dan ook uit de monuments-beschrijving. De jaarlijkse huurkosten voor het monumentale pand met 550 m2 oppervlakte komen inclusief BTW op minimaal 169.400 euro per jaar. Eenzelfde kantooroppervlakte is in een kantorenwijk voor bijna de helft van dat bedrag te huren. Blijkbaar is de behoefte om behoedzaam om te gaan met publieke middelen niet zo groot bij de bestuurders die verantwoordelijk zijn voor AKWA GGZ. AKWA GGZ staat als opvolger van SBG nogal in de aandacht. Met name vanwege de wens om toch Routine Outcome Monitoring(ROM)-data uit de GGZ te willen blijven gebruiken voor “kwaliteits”-doeleinden. Ook al staat dat enorm ter discussie. Afgelopen week nog kreeg AKWA GGZ nog de kous op de kop van de Autoriteit Persoonsgegevens(AP), toen men oude SBG-data alsnog raadpleegbaar wilde maken voor onderzoek. De AP stak daar een stokje voor.

Lees verder

06 jun 2019

Slordige governance: statuten VZVZ nooit aangepast op website na ontnemen stemrecht LHV

governanceOp 11 oktober 2018 meldde ik dat de Landelijke HuisartsenVereniging(LHV) door verandering van de  governance bij VZVZ vrijwel buiten spel was komen te staan t.a.v. van het LSP. VZVZ is de Vereniging van Zorgaanbieders Voor Zorgcommunicatie die het landelijk SchakelPunt beheert. De LHV was één van de vier rechtspersonen die aan de basis van VZVZ stonden eind 2012. Toen ging het LSP over van publieke in private handen. Naast de LHV waren dat de koepel van huisartsenposten InEen, de Koninklijke Nederlandse Maatschappij ter bevordering van de Pharmacie(KNMP) en de Nederlandse Vereniging van Ziekenhuizen(NVZ). Op 8 oktober 2018 liet de voorzitter van VZVZ, Antoon Kuijpers, weten dat de governance van VZVZ fors gewijzigd was. Het aantal personen die diverse raden bemanden werd terug gebracht van 80 tot 27 personen. De algemene vergadering perkte men in tot 17 personen. Het opvallende daarbij was  de mededeling dat mede-oprichter LHV “toegelaten werd” tot die vergadering zonder stemrecht. Zeer opvallend is dat VZVZ tot op heden geen gewijzigde statuten op haar website plaatste. Daar prijken nog de oude statuten waarin staat dat de LHV wel stemrecht in de Algemene Vergadering heeft.

Lees verder

03 jun 2019

TRACE-studie(AMC) gebruikt onjuiste juridische argumentatie voor toegang huisartsdossiers

toegang huisartsdossiersOp 24 mei 2019 publiceerde ik een artikel met de titel “Huisartsdossiers in kader project inzien met opt-out-toestemming ontoelaatbaar”.  Hierin bracht ik ter sprake dat in het kader van een onderzoeksproject, TRACE genaamd, vanuit het Amsterdam UMC locatie AMC, onderzoekers toestemming vroegen aan patiënten om hun huisartsdossiers te mogen inzien op opt-out-basis. Dat is een zeer ongewone en ongewenste gang van zaken. Na publicatie van mijn artikel had ik contact met de hoofdonderzoeker van dit project. Die verbaasde zich over mijn kritiek en gaf aan op welke juridische gronden de onderzoekers  de opt-out-vraag gerechtvaardigd vinden. Die argumenten zijn volgens hem verwoord in een artikel dat op 28 januari 2019 verscheen in het Tijdschrift voor Gezondheidswetenschappen. Het is geschreven door  Scholte, Kranendonk, Paardekooper en Ploem, allen in dienst van het AMC te Amsterdam. De titel is: “Hergebruik van patiëntgegevens voor wetenschappelijk onderzoek: op weg naar eenduidige spelregels. “. Bij lezing van dit artikel valt meteen op dat het artikel absoluut niet van toepassing is op patiëntgegevens in huisarts-informatie-systemen(HIS-sen). Daar zal ik nader op ingaan  Lees verder