Even snel de Citrix ADC-server patchen is niet de hele oplossing

patchenDe afgelopen week heeft het probleem met de onveilige Citrix ADC servers Nederland bezig gehouden. Op deze website waarschuwde ik er op 14 januari 2020 ook voor. Opeen was thuis werken met inloggen op de systemen van de baas niet meer mogelijk in veel gevallen. Zelfs het woord “Citrix-file” ontstond. Het is de benaming voor de autofiles die vandaag langer zijn door werknemers die naar kantoor gaan i.p.v. op afstand inloggen. Vanaf vandaag levert Citrix software patches uit om de kwetsbaarheid CVE-2019-19781 te repareren. Die patches zijn niet voor alle kwetsbare apparaten. Voor een deel moeten de patches deze week nog komen. Citrix zegt de uiterste termijn van 31 januari naar 24 januari naar voren gehaald te hebben. Het bedrijf waarschuwt ervoor zeer zorgvuldig op te letten dat men de juiste patch voor het juiste apparaat gebruikt. Daarnaast heeft ook het Nationaal Cyber Security Center(NCSC) een extra waarschuwing afgegeven.

NCSC

Vandaag laat het NCSC weten dat het patchen alleen effectief is als het onderliggende netwerk niet gecompromitteerd is. In alle gevallen adviseert het NCSC om ook na het nemen van mitigerende maatregelen, waaronder patches, te blijven monitoren en detectie toe te passen op de kwetsbaarheden. Onder de mitigerende maatregelen verstaat het NCSC de adviezen die Citrix gaf voor 9 januari 2020 om het risico van besmette systemen sterk te verminderen voordat er patches beschikbaar zouden komen. Het NCSC beschrijft twee scenario’s. Het eerste gaat ervan uit dat de gebruiker de mitigerende maatregelen heeft genomen. Dan kan men de patches gaan installeren. Het tweede gaat uit van de situatie dat de mitigerende maatregelen niet of pas na 9 januari 2020 zijn uitgevoerd. Dan kan men er gevoeglijk van uitgaan dat het computersysteem gecompromitteerd is. Dat vanwege het publiek bekend worden van aanvalsmogelijkheden(exploits). In dat geval moet men een herstelplan volgen.

Herstelplan

In dat geval adviseert het NCSC  u om een herstelplan op te stellen, met daarin onder andere de volgende acties:

  • De gecompromitteerde systemen afkoppelen van het internet.
  • De gecompromitteerde systemen aanbieden bij een partij voor forensisch onderzoek.
  • De Citrix-systemen her-installeren en deze te voorzien van de mitigerende maatregelen en de patches zodra die beschikbaar zijn.
  • Het implementeren van monitoringsmaatregelen om misbruik van de kwetsbaarheid te detecteren, zodat verdere compromittatie kan worden opgespoord. Vergeet hierbij niet de systemen die verbonden zijn geweest met de kwetsbare systemen gedurende het tijdsvenster van compromittatie.

Trage afkoppeling

De afgelopen week zagen we hoe in Nederland organisaties/bedrijven, instanties die de gewraakte Citrix ADC-servers gebruikten langzaam reageerden op het nieuws. Gaande de week koppelden grotere en kleinere gebruikers hun Citrix-servers af en konden medewerkers niet meer vanuit huis werken. Ook het NCSC droeg daar aan bij door het actief waarschuwen van niet-vitale infrastructuur niet tot haar takenpakket te beschouwen. Vanuit het bedrijfsleven kwam dan ook de roep om een breder mandaat voor het NCSC. Pa sop 17 januari kwam het NCSC met de oproep om Citrix-systemen uit te schakelen of mitigerende maatregelen te nemen.

Lering

Wat leert dit alles ons? Ten eerste dat een gerenommeerd bedrijf als Citrix op zijn minst steken heeft laten vallen door het lek bekend te maken zonder dat er een patch was. In de tweede plaats dat het NCSC niet zo slagvaardig is als de naam doet vermoeden. In de derde plaats dat zeer veel inspanning om Citrix-gebruikers te waarschuwen gekomen is van cybersecurity-mensen van verschillende pluimage en deels werkend bij gerenommeerde bedrijven op dit terrein.  Ik wil daarbij nogmaals het door hen opgerichte Dutch Institute of Vulnerability Disclosure(DIVD) noemen en het Nederlands Security Meldpunt (in oprichting). Die zagen wel waar de problemen lagen en hoe groot het probleem was. Chapeau.

W.J. Jongejan, 20 januari 2020

Afbeelding van Alexas_Fotos via Pixabay




If it looks like benchmarking, sounds like it, quacks like it, it must be benchmarking

IfOp 16 januari 2020 riep Akwa GGZ het uit: “Het GGZ-dataportaal is geopend”.  Akwa GGZ stelt dat het er is voor zorgprofessionals die van elkaar willen leren en hun behandeling willen verbeteren. Het betreft weer het verzamelen van Routine Outcome Monitoring(ROM)-gegevens. Net als bij de voorganger van Akwa GGZ, de Stichting Benchmark GGZ(SBG) gaat het weer om benchmarking, ook al ontkent men het officieel. Uit één van de voor promotie bedoelde tekenfilmpjes wordt duidelijk dat men ROM-gegevens weer wil gaan gebruiken om zorginstellingen met elkaar te vergelijken, dus voor benchmarking.  In het verleden maakten tegenstanders van gebruik van ROM-data voor die doeleinden duidelijk dat ROM-data daar absoluut niet voor geschikt zijn. Toch laat men weer de wrakke olietanker, genaamd “ROM voor kwaliteitsdoeleinden” te water. Het zijn krachten vanuit de zorgverzekeraars, het ministerie van VWS en de grote werkgevers in de GGZ die dit model blijven omarmen.

Tekenfilmpjes

Akwa GGZ heeft de opening van het dataportaal opgeluisterd met een tweetal tekenfilmpjes. De eerste over het dataportaal en de tweede over de toestemmingsverlening. In het eerste tekenfilmpje maakt men duidelijk dat er sprake is van het vergelijken van instellingen met informatie op basis van ROM-data. Op 1 minuut 18 seconden in de tekenfilm over het portaal  vertelt men dit. Data aan zorgverzekeraars leveren voor zorginkoop staat niet op de tekenfilm, maar wel verhuld op de website

Benchmarking

Sinds de ondergang van SBG, waarvan veel restanten toch weer opgingen in Akwa GGZ mijdt men bij de laatste instelling de woorden “benchmarking” en “zorginkoop” angstvallig. Op de webpagina waarop Akwa GGZ haar doelen bekend maakt, vier in totaal, prijkten deze woorden aanvankelijk wel als doel 3 en 4, met daarbij de opmerking dat men de informatie er vooralsnog niet voor zou gebruiken. Men communiceerde de wens om de ROM -informatie daarvoor door te ontwikkelen  ook naar buiten toe. Na de deconfiture van SBG verwijderde men het van de webpagina. Men verving het met de mooie kreet: “transparantie van kwaliteit”. Bij het nauwkeurig bekijken van het schema dat Akwa GGZ geeft over haar doeleinden staat “benchmarking” omschreven als “informatie voor keuze patiënten” en doel 4 als “informatie voor zorgverzekeraars. Het moge duidelijk zijn dat Akwa GGZ op termijn gewoon hetzelfde wil gaan doen als SBG.

Doel 1 en 2

Doel 1 staat omschreven als het ondersteunen bij de individuele behandeling voor zowel de behandelaar als de patiënt.  Bij doel 2 staat het intercollegiaal ermee leren van elkaar om de kwaliteit van de zorg te verbeteren. Tegen doel 1 hebben ook de tegenstanders geen bezwaar, want het laten invullen van ROM-vragenlijsten door de patiënt zijn juist daarvoor bedoeld. Het gaat er namelijk om de voortgang van de therapie / het functioneren van de patiënt te evalueren in de loop van de behandeling. Met het onderdeel intercollegiaal leren van elkaar hebben tegenstanders ook geen grote problemen zolang je maar niet gaat praten over het begrip “kwaliteit van zorg”. Want dat meet je namelijk niet met het ROM-men. Patiëntfactoren bepalen vele malen meer de getallen die men uit het ROM-men denkt te distilleren dan verschillen tussen behandelaars.

Waar gaat het fout?

Het probleem met Akwa GGZ is daarbij ook dat de ROM-data de praktijk van de zorgaanbieder, c.q. de zorginstelling verlaten. De genoemde doelen kunnen makkelijk binnen de instellingen bereikt worden. Daar is geen inzameling door een bedrijf er buiten voor nodig. Bovendien is Akwa GGZ zelf geen zorg aanbiedend bedrijf. De doelen 1 en 2 worden extra door Akwa GGZ belicht om de data binnen te halen en vervolgen te gaan bewerken. Met de met doel 1 en 2 als alibi verkregen data wil men gewoon weer benchmarken en zorgverzekeraars van informatie voorzien voor zorginkoop. Zodra Akwa GGZ het woord kwaliteit gaat gebruiken en daar verder op doorborduurt gaat het mis.

Geen verplichting?

Op de website van Akwa GGZ staat dat een overeenkomst met de organisatie geen verplicht criterium is voor het goedkeuren van het kwaliteitsstatuut dat elke zorgaanbieder in de GGZ moet hebben. Het suggereert dat er voor deelname aan Akwa GGZ geen verplichting speelt. M.b.v. een ingewikkelde, in de loop van enkele jaren zorgvuldig door VWS, Zorgverzekeraars Nederland en GGZ-Nederland(werkgeversorganisatie GGZ), opgebouwde constructie is het wel verplicht. Iedere zorgaanbieder in de GGZ is namelijk verplicht een kwaliteitsstatuut te hebben en openbaar te maken. In het kader van dat statuut is men verplicht te ROM-men. En was men verplicht dat op te sturen naar de verzamelende instantie. Dat is ook vastgelegd in de contracten met zorgverzekeraars. Dat opsturen gold voor 1 januari 2019 richting SBG. Toen in de loop van 2017 en 2018 de discussie over de rechtmatigheid van de ROM-verzameling door SBG hoog opliep, staakten veel zorgaanbieders de aanlevering.

Tolerantie zorgverzekeraars?

Gedurende die roerige periode “tolereerden” de zorgverzekeraars het niet-aanleveren van de ROM-data. Als Akwa GGZ nu een voorzichtige start denkt te maken met de aankondiging van de start van het GGZ Dataportaal, is het te verwachten dat vroeg of laat die verplichting weer uit de ijskast gehaald wordt. Het blijft bij nadere beschouwing nog steeds voor een kritische beschouwer allemaal de dezelfde poppenkast als met SBG maar dan met andere spelers. Waarbij de dood van Pierlala een wat andere naam heeft, maar hetzelfde inhoudt als voorheen.

En o, ja, waar komt de kop van dit stuk vandaan. Die is een kleine variatie op de bekende uitspraak die afkomstig lijkt van de dichter Witcomb Riley. De uitspraak luidt: “If it looks like a duck, swims like a duck, and quacks like a duck, then it probably is a duck.

W.J.Jongejan, 17 januari 2020

Afbeelding van Manfred Richter via Pixabay




Systeembeheerders in de zorg: Wakker worden! Enorme kwetsbaarheid in Citrix Application Delivery Controller

systeembeheerdersVanaf half december 2019 is bekend dat er een forse kwetsbaarheid zit in de software van een aantal apparaten van de firma Citrix. Het gaat om de Citrix Application Delivery Controller (ADC). Die stond eerder bekend als de Netscaler ADC. Ook betreft het de Citrix Gateway die eerder bekend stond als de Netscaler Gateway. Door de kwetsbaarheid kan een niet geauthenticeerde indringer willekeurige commando’s uitvoeren. Sinds  9 januari 2020 is bekend dat aanvallers actief gebruik proberen te maken van dit lek. Voor die tijd waren er nog geen kwaadwillige exploits gevonden. Op 11 januari 202 werd duidelijk dat het kinderlijk eenvoudig was om van de kwetsbaarheid gebruik te maken. In Nederland zou het om ruim 700 via het publieke internet bereikbare Citrix ADC servers gaan. Daar zitten naast overheidsinstellingen, meerdere zorginstellingen, zorgverzekeraars ook zorgaanbieders bij. Een patch is vanaf 20 januari beschikbaar, maar systeembeheerders kunnen nu al maatregelen nemen.

CVE-2019-19781

Kwetsbaarheden in hard- en software worden bijgehouden in een Amerikaanse database. Dat is de National Vulnerability Database(NVD) die de Common Vulnerabilities and Exposures(CVE) bijhoudt. De genoemde Citrix-kwetsbaarheid kreeg als nummer CVE-2019-19781. Deze informatie deelt men wereldwijd. Daarop kan dan geacteerd worden. De praktijk wijst helaas uit dat het handelen hiernaar door organisaties vaak niet de hoogste prioriteit heeft. Systeembeheerders kunnen of zelf laks zijn, of door de leiding afgehouden worden van alert reageren. Zulks op basis van het korte termijn denken dat de werking van de systemen voor de klanten niet door dit zeer noodzakelijk onderhoud onderbroken mag worden. Helaas is zeer recent duidelijk geworden dat zoiets tot grote narigheid leidt.

Gevaar van niet reageren

Op 3 september 2019 schreef ik een artikel waarin ik refereerde aan een hot item: een kwetsbaarheid in kwetsbare Pulse Connect Secure SSL-VPNs in Nederlandse IP-adresruimte. Een aantal mensen uit de Nederlandse cybersecurity-scene die de gevaren ervan zagen, deden veel moeite om systeembeheerders van bedrijven te waarschuwen. Daar zaten overheidsinstellingen bij, maar ook instellingen en bedrijven van allerlei pluimage, ook uit de zorg. Heel recent bleek dat het grenswisselkantoor GWK Travelex getroffen was door ransomware.  Bij onderzoek kwamen zeven ungepatchte Pulse Connect servers aan het licht. En dat terwijl de softwarepatch beschikbaar was en men gewaarschuwd was. Het toont genadeloos aan hoe kortzichtig het kan zijn om niet meteen  in te grijpen. Nu zit GWK Travelex met een volledig versleuteld netwerk. Daarnaast is meer dan 5 GB aan persoonlijke data gestolen, waaronder geboortedata, social-security-nummers, betaalkaartgegevens en andere zaken. Voor het ontsleutelen van de data eisen de aanvallers 3 miljoen dollar.

Welke soorten instellingen nu?

Tot nu toe zijn ruim 700 via het publieke internet bereikbare kwetsbare Citrix ADC servers bekend. Net zoals bij de Pulse Connect kwetsbaarheid zitten er bij het Citrix-gebeuren veel zorgaanbieders bij. Ziekenhuizen, GGZ-instellingen (waaronder een verslavingskliniek), een paar zorgverzekeraars, en meerdere doelgroep-zorgaanbieders (bijv. ouderen). Uiteraard zijn er ook weer een aantal hits bij Rijksoverheid-systemen. Hoewel de softwarepatch voor de Citrix-kwetsbaarheid nog niet voorhanden is kunnen systeembeheerders de configuratie van de Citrix ADC en andere hierboven genoemde apparaten wel zodanig wijzigen dat het gevaar substantieel minder is. Ook kan men voorbereidingen treffen om de binnenkort beschikbare patch te installeren. Op Nu.nl was op 13 januari 2020 hierover ook een item te zien.

Dutch Institute of Vulnerability Disclosure

Juist voor dit soort situaties is zeer recent, in de herfst van 2019 het Dutch Institute of Vulnerability Disclosure(DIVD) opgericht. Het is een netwerk van cybersecurity-researchers, vrijwilligers die voornamelijk online werken. Er is geen fysiek kantoor . Bij kwetsbaarheden in hard- of software is gebleken dat het Nationaal Cyber Security Centrum(NCSC) zich eigenlijk voornamelijk richt op de overheid en vitale infrastructuur. Juist ten aanzien van acties richting een brede groep gebruikers in bedrijfsleven, dienstensector en non-profit-organisaties is gerichte actie nodig om kwetsbaarheden dringend onder de aandacht te brengen. Binnen DIVD is men gestart met het Nederlands Security Meldpunt (in oprichting). Het is een groep vrijwilligers, onderdeel van het DIVD, die het zich tot taak heeft gesteld eigenaren van Nederlandse netwerkblokken en websites te informeren over (cyber)security-zaken die bij het meldpunt gemeld worden. Over de Citrix-kwestie verscheen op 13 januari 2019 ook een bericht. Het zijn loffelijke initiatieven.

Actie

Het is nu zaak dat systeembeheerders en cybersecurity-specialisten in de zorg in de eerste plaats nagaan of ze Citrix ADC apparaten in hun configuratie hebben staan en in de tweede plaats actie ondernemen om het gevaar te beperken en op scherp te staan als de beveiligingspatch zeer binnenkort beschikbaar is.

W.J. Jongejan, 14 januari 2020

Afbeelding van Sarah Richter via Pixabay




Radiologiebeelden wereldwijd steeds vaker open en bloot op internet

radiologebeeldenRuim een miljard bestanden van radiologiebeelden zijn over de hele wereld vrij toegankelijk voor derden. Het klinkt onwaarschijnlijk, maar is het niet.  Ondanks uitgebreide waarschuwingen in september 2019 blijkt het aantal bestanden dat vrij toegankelijk is op het internet toch toe te nemen. Nederland maakt daarbij een goede beurt. De eerder gevonden servers waarop de beelden in DICOM-formaat te vinden waren zijn nu afdoende beveiligd. Helaas de op de Nederlandse Antillen openstaande server niet. Het online magazine Techcrunch publiceerde op 10 januari 2020 een artikel, genaamd: “A billion medical images are exposed online, as doctors ignore warnings” Het artikel beschrijft een vervolgonderzoek dat twee maanden na het geruchtmakende eerste onderzoek in september plaats vond. Publicatie van het rapport vond plaats op de website van het bedrijf Greenbone Networks. Dat houdt zich bezig met netwerkbeveiliging. De vrij toegankelijke bestanden vormen om meerdere redenen een gevaar voor de patiënt.

Hoe is het mogelijk?

Radiologiebeelden, zoals röntgen-, MRI-, CT-, ultrageluid-bestanden slaat men op zogenaamde PACS-servers op. PACS staat voor Picture Archiving And Communication. Het protocol waarmee die foto’s op die servers staan is het DICOM-protocol. (Digital Imaging and Communications in Medicine). Dit alles maakt het mogelijk om de beelden makkelijk uit te wisselen. Te makkelijk dus, want veel zorginstellingen en radiologen negeren cybersecurity-adviezen en richtlijnen. Ze koppelen de PACS-servers zonder wachtwoord op het internet. Via openbaar toegankelijke zoekmachines zijn die servers benaderbaar. Het gaat bijv. om www.shodan.io en www.censys.io. Even op de eerste zoekmachine zoeken op DICOM levert meteen een aantal hits op. Je kunt gelijk zien dat er machines zijn die zelfs nog op Windows XP draaien. Zie daarvoor de kolom links op de gevonden webpagina.

The Good, The Bad and The Ugly

Het vervolgonderzoek laat zien dat aan de ene kant instellingen hun cybersecurity serieuzer zijn gaan nemen. Aan de andere kant zijn er servers met grote hoeveelheden bestanden bij zijn gekomen. Het vervolgrapport van Greenbone had dan ook de toepasselijke nevenkop gekregen: The Good, The Bad and The Ugly. The Good zijn de landen die alle in het eerste onderzoek gemelde PACS-servers offline haalden en waar geen nieuwe gevonden waren. Tot die groep van elf landen behoorden o.a. Nederland, Duitsland, het V.K.. Bij The Bad gaat het om in totaal 50 landen, waarvan er 45 verbeteringen hadden laten zien, maar waar soms toch nieuwe openstaande PACS-servers gevonden waren. Nummer 1 in The Ugly-groep waren de Verenigde Staten, met verder India, Zuid -Afrika Brazilië en Equador. Voor de V.S. is het des te bizarder dat zij in deze groep zitten aangezien er duidelijke federale wetgeving(HIPAA uit 1996) is die beveiliging verplicht stelt.

Onaanvaardbare risico’s

Het grootste probleem met de openstaande servers is de diefstal van iemands (medische) identiteit. In een uitgebreid artikel gaat het online-magazine The Mighty op 11 januari 2020 in op alle consequenties daarvan. Bestanden kunnen ook gewijzigd worden. Niet alleen ten aanzien van de te naam stelling maar ook de radiologie-beelden kunnen gemanipuleerd worden. Door beide methodes  kunnen patiënten diagnoses toebedeeld krijgen die niet conform de werkelijkheid zijn. Er kan ook verzekeringsfraude mee gepleegd worden, naast misbruik bij apotheken bijv. in de vorm van malicieuze prescriptie van opiaten. Door al deze narigheid kan er zelfs een situatie ontstaan waarbij de burger minder bereid is medische informatie te delen of hulp te zoeken uit angst dat die data in verkeerde handen terecht kunnen komen. De schrijfster van het artikel doet ook een oproep aan patiënten om hun zorgaanbieders te bevragen en aan te spreken op onveilige opslag van radiologiebeelden.

Onverminderde actie nodig

Het vervolgonderzoek van Greenbone  laat enerzijds zien dat na waarschuwen zorginstellingen en toezichthouders in landen hun taken serieuzer zijn gaan oppakken. Anderzijds blijkt er nog steeds sprake te zijn van een onbegrijpelijke verwaarlozing van de principes van cybersecurity. Het feit dat er wereldwijd veel meer bestanden vrij toegankelijk zijn dan na de eerste waarschuwing van Greenbone stemt de mens somber.

W.J. Jongejan, 13 januari 2020

Afbeelding van toubibe via Pixabay




FDA niet transparant over sterfgevallen geassocieerd met via catheter ingebrachte hartkleppen

FDAOp 24 december 2019 verscheen op Kaiser Health News een interessant artikel met behoorlijke implicaties. Christina Jewett schreef  “Reports Of Patients’ Deaths Linked To Heart Devices Lurk Below Radar”. In het artikel maakt zij duidelijk dat de controlerende Food and Drug Administration(FDA), gebruik maakt van een rapporteringssysteem dat haar onvoldoende zicht geeft op die data. Het gaat  om via de bloedbaan m.b.v. een katheter ingebrachte hulpmiddelen in het hart of grote vaten. Het betreft op deze wijze verrichtte hartklep-vervanging, hartklep-aanpassing en vaatverwijding. De overlijdensgevallen die daaraan gerelateerd zijn zitten in registratiesystemen die vallen onder een “registry exemption program” van de FDA. De vorm van rapporteren is zodanig dat het zowel voor de FDA als voor onderzoekers en publiek het tot twee jaar kan duren om inzage te krijgen. Overlijdensrapporten t.g.v. “medical devices”  horen open te  zijn voor onderzoekers om hun collega’s te  kunnen volgen en te waarschuwen voor veiligheidsproblemen.

Delegeren

Dat “registry exemption program” van de FDA is een vorm van delegatie van verantwoordelijkheden richting de markt. Ik schreef over speciale vormen van delegatie van verantwoordelijkheden door de FDA al eerder over op 30 december 2019. De nu besproken regeling is in 2010 in gang gezet. Overlijdensgevallen die verband houden met de per catheter ingebrachte “medical”devices hoefden dan niet rechtstreeks aan de FDA gerapporteerd te worden, maar richting particulier medische verenigingen. Die leveren de data in spreadsheets aan bij de fabrikanten. Vervolgens leveren die de data aan bij de FDA. Volgens standaard FDA-rapportageregels is de fabrikant verplicht die sterfgevallen te onderzoeken. Men moet dan een gedetailleerd openbaar rapport sturen over elk apparaat- gerelateerd overlijdensgeval. De fabrikanten die onder het “exemption” programma werken stellen dat de aanleverende organisaties in de verslaglegging sleutelgegevens(persoonskenmerken) verwijderen. Gegevens die de fabrikanten nodig hebben om elke dood volledig te onderzoeken.

Hoofdmoot

Hoofdzakelijk gaat het bij de onder deze regeling vallende fabrikanten om hartkleppen die m.b.v. een katheter ingebracht worden om een defecte te vervangen. In haar artikel gaat Christina Jewett uitgebreid in over de registratiepraktijk van mensen waarbij het overlijden gerelateerd was aan het inbrengen van een hartklep via de vaten. Ze noemt daarbij expliciet de CoreValve van Medtronic. Dit is een kunstklep die de aortaklep vervangt. Aanvankelijk gebruikt voor mensen die te ziek waren voor open-hart-operatie, maar geleidelijk aan ook bij mensen die ook dat soort chirurgie konden doorstaan.

De gegevens die Medtronic kreeg van de Society of Thoracic Surgeons/American College of Ccardiology transcatheter valve therapy registry bestond echter uit informatie die niet tot personen herleidbaar was. Het rapport dat Medtronic vervolgens richtin FDA stuurde bevatte daardoor niet die informatie die de FDA had behoren te ontvangen, namelijk op persoonsniveau. In het vierde kwartaal 2018 ging het bijv. om 472 personen.

Identiek

Een vrijwel identiek verhaal gaat op voor de Sapien 3 transcatheterklep van de firma Edwards Lifesciences. De leiding van die firma klaagt er ook over dat de registrerende organisatie onvoldoende informatie levert om op persoonsniveau aan de FDA door te kunnen geven wat er mis was bij de overlijdensgevallen waar hun klep in het geding was.

Onder zelfde protocol vallend

In het artikel staat vermeld dat het gewraakte protocol gaat om zes “devices” in drie registratiedatabases.  De schrijfster geeft aan dat het verder gaat om de Mitraclip van de firma Abbott  Dat is een klemmetje om een lekkende mitraalklep te repareren. Ook om de Watchman, een “device” om een uitgezet deel van één van de hartboezems op te vullen. Daarnaast om de Medtronic’s Valiant Thoracic Stent Graft,  bedoeld om een defect stuk van de aorta te verhelpen en tenslotte om een speciale katheter van Medtronic om plotselinge blokkering van grote slagaderen te verhelpen als die door een groot stolsel acuut verstopt zijn geraakt.

Betekenis

Wat betekent dit voor de beoordeling van de FDA van via de grote vaten ingebrachte kunstkleppen en gelijkende “medical devices”? Het wonderlijke is dat een systeem dat door de FDA bedacht was om snel te kunnen reageren op sterfgevallen en complicaties bij dit soort nieuwe medische ontwikkelingen zich zelf in de staart bijt. Het blijkt dat de registratie eerder moeilijker dan makkelijker is geworden. Daardoor niet transparant is. Het betekent ook dat mogelijk te gevaarlijke nieuwe ontwikkelingen te laat ontdekt worden. En dat was nu juist nooit de bedoeling. Internationaal heeft het ook consequenties omdat vanuit de rest van de wereld het eventueel toelaten, maar ook afwijzen van medische uitvindingen door de FDA nauwgezet in de gaten wordt gehouden. De transparantie van de FDA is dus duidelijk in het geding met het op een dergelijke manier delegeren van verantwoordelijkheden.

Acties FDA

Nadat Kaiser Health News in juni 2019 al meldde dat het mis ging met het delegeren van verantwoordelijkheden bij toelating van medische hulpmiddelen stopte de FDA al met het delegeren van verantwoordelijkheid bij ruim 100 “medical devices”. Daarbij bleven de zes hierboven genoemde buiten schot. Uit het artikel van Jewett blijkt niet dat FDA daar een definitief besluit over genomen heeft. Het is zeer aannemelijk dat het ook voor deze hulpmiddelen wordt afgeschaft.

W.J. Jongejan, 10 januari 2020.

Afbeelding van burlesonmatthew via Pixabay




Hoe het ministerie van VWS een kritische beweging in de zorg koest knuffelde

hoe VWSHoe krijg je een kritische beweging in korte tijd rustig? Incorporeer die beweging zo gauw mogelijk in je eigen handelen. Neem het initiatief over en buig dat vervolgens om naar eigen model. Dat is wat er de afgelopen twee jaar gebeurde met de beweging Het Roer Moet Om, maar evengoed met het initiatief van de “de paarse krokodil.  Op 11 maart 2015 stelden een groep uiterst bezorgde huisartsen een manifest op, genaamd ”Het Roer moet om”. Bezorgd om het vastlopen van de zorg door de doorgeschoten marktwerking en de steeds maar uitdijende bureaucratie met absurde regeldruk tot gevolg.  De beweging Het Roer Moet Om(HRMO) was geboren. Samen met de Vereniging van Artsen Automobilsten(VVAA), waar zeer veel zorgverleners hun verzekering hebben lopen, initieerde HRMO de beweging (Ontregel) de zorg. Die beweging ging vooral onzinnige regels in de zorg te lijf.

Regeerakkoord

Bij de formatie bleek dat de regering in het regeerakkoord drie regels had opgenomen over het bestrijden van de regeldruk. Het programma van (Ont)regel de zorg werd over genomen. Na de formatie pakte het ministerie van VWS het op en nam zodoende het initiatief van HRMO en VVAA over. De VVAA berichtte er met HRMO toen nog trots over. Het leek erop dat VWS grote stappen zou gaan maken. Dat pakte toch wat anders uit. VWS tuigde er een hele organisatie voor op met website en al. Zelfs een Ontregelbus stuurt men één jaar het land in. Opvallend was wel direct de focus op het bestrijden van perifeer ontstane overbodige regels en niet op de regelgeving vanuit VWS en de zorgverzekeraars. En dat was nu juist de kern van de kritiek van HRMO en (Ont)regel de zorg toen het initiatief nog bij de VVAA lag.

Regiegroep en zo

Een regiegroep met vertegenwoordigers van vrijwel alle koepels van zorgaanbieders en andere grote stakeholders in de zorg, bestaande uit zestien personen tuigde men op. Voorzitter werd Gerlach Cerfontaine, voorzitter van de Vereniging VVAA. Ingewijden vertelden recent over die regiegroep dat het een ramp werd. Iedere organisatie had zijn eigen agenda en veelal bleven belangrijke spelers gewoon weg bij vergaderingen. Van die regiegroep kon men in 2019 nauwelijks meer iets vernemen, waarop VWS enkele  speciale adviseurs aanstelde. De voormalige politica Rita Verdonk plus de onbekende Martijn Leijsink  benoemde men tot adviseurs voor Wet maatschappelijke ondersteuning en jeugdzorg en Gerlach Cerfontaine als speciaal adviseur voor specialistische hulp.

Mechanisme

Wat we dan zien gebeuren is dat die adviseurs als afgezanten van VWS neerdalen in de periferie. Men komt even op werkbezoek, hit and run dus. Zij bezoeken gemeenten en (jeugd)zorgorganisaties(Verdonk) en zorginstellingen(Cerfontaine) en houden peptalks op vergaderingen over hoe men zaken kan schrappen. Kekke verslagen verschijnen op de website van (Ont)regel de zorg. De adviseurs beloven dat de gemelde problematiek, oplossingen en oplossingsrichtingen mee terug te nemen naar het ministerie. En passant laat men zich nog even rondleiden op bijv.  een katheterisatie-kamer van een ziekenhuis, alsof het een inspectiebezoek betreft.

Het gevoel bekruipt me dat door de aanpak van VWS er teveel een focus ligt op regelgeving die zorgaanbieders zelf en voor elkaar veroorzaken. En niet op regelgeving die centrale organisaties zoals VWS, zorgverzekeraars, Zorgautoriteit en kwaliteitsorganen opleggen.

Wat zien we gebeuren?

Op 14 december 2019 hield HRMO gefaciliteerd door VVAA een groot publiek debat in Den Haag met als titel “Zorg voor samenhang” om aandacht te vragen voor de genoemde problemen in de zorg. Enkele dagen later al weer, op 19 december om 07.45u staat men in alle vroegte om  weer op de stoep van het ministerie van VWS voor een wake-up-call. Wake up omdat de stem van HRMO blijkbaar niet meer voldoende gehoord wordt bij VWS.  Niet één van de bewindslieden nam hun “kerstpakket” in ontvangst, maar de directeur-generaal curatieve zorg Bas van der Dungen. Toch maar weer een actie buiten het vergader- en werkbezoekencircuit om.

Paarse krokodil  

Met HRMO zien we hier hetzelfde gebeuren als met het initiatief van de stempels met de paarse krokodil. Het was een idee van de Zwolse huisartsen Ellen Brand-Piek en Marco Blanker. Bureaucratische post zoals formulieren van vooral zorgverzekeraars met onzinnige vragen voorzagen zij van een stempel met de paarse krokodil. De actie werd meteen een groot succes. De gedachte achter het aldus gekleurde reptiel is afkomstig uit een OHRA-reclame. Binnen zeer korte tijd haalde zorgverzekeraar Zilveren Kruis de ontsteking uit deze bom door zelf aan huisartsen stempels van krokodillen en stempelkussens met paarse inkt te sturen. Minister Hugo de Jonge liet zich in zijn werkkamer met een paarse opblaaskrokodil fotograferen. Zelfs Rita Verdonk heeft bij haar ontregel-sessies dit opblaasgeval bij zich.

Moraal van het verhaal

Bij kritische acties in de zorg die (potentieel) veel bijval krijgen, zullen de zeer grote stakeholders zoals het ministerie van VWS en zorgverzekeraars er alles aan doen om de bom in een vroeg stadium te ontmantelen. Dat verwijderen van de ontsteking gebeurt door de activisten of de symbolen ervan in een vroeg stadium dicht tegen zich aan te drukken. En zo de activisten koest te knuffelen en de eigen agenda af te blijven werken.

W.J. Jongejan, 6 januari 2020

Afbeelding van Sarah Richter via Pixabay. Bewerkt door W.J. Jongejan.




Interessante uitspraak tuchtrechter: geen inzage in rapport extern medisch adviseur verzekeraar

tuchtrechterOp 11 december 2019 deed het Regionaal Tuchtcollege Eindhoven een opmerkelijk uitspraak. Het betrof een zaak waarbij een patiënt een tuchtklacht instelde tegen een arts die als extern  medisch adviseur van een aansprakelijkheidsverzekeraar een rapport uitbracht aan dat bedrijf. In dat rapport ging het om de vraag of er volgens de regels der geneeskunst(lege artis) gehandeld was in een ziekenhuis waar de patiënt behandeld was door een gynaecoloog. Met het maken van een medische fout als gevolg. Het Regionaal Tuchtcollege stelde in de uitspraak dat de patiënt geen recht had op inzage in het rapport dat de externe arts, ook gynaecoloog, maakte voor de verzekeraar. Het college stelde dat iedere partij een eigen recht heeft om haar verdediging in vrijheid en beslotenheid voor te bereiden. Aan dat recht zou afbreuk worden gedaan in geval er een verplichting zou bestaan tot het openbaar maken van (lees: het verlenen van inzage in) correspondentie en (medische) adviezen.

Wringen

Het tuchtcollege stelt dat vaststaat dat externe rapporteur de klaagster niet zelf heeft beoordeeld. De arts gaf ook aan dat zijn medisch advies niet zag op het beoordelen van klaagsters gezondheidstoestand, maar op de vraag of lege artis was gehandeld door de betrokken behandelaar. Volgens verweerder is hem gevraagd een advies voor intern gebruik door de verzekeraar, op te stellen. Daar gaat het Regionaal Tuchtcollege in mee. Deze uitspraak wringt toch behoorlijk. De reden is dat bij het beoordelen van het lege artis handelen door de behandelend gynaecoloog de gezondheidstoestand van de patiënte voor, tijdens en na de behandeling altijd onderdeel zal zijn van de beoordeling door de rapporteur. Het handelen van de gynaecoloog in het ziekenhuis kan nooit los gezien worden van het subject van de behandeling, de patiënt.

Rechtsartikelen

Bij de uitspraak komen twee artikelen uit het Burgerlijk Wetboek(BW) ter sprake. In de eerste plaats gaat het om artikel 7:456 BW dat bepaalt dat een hulpverlener een patiënt desgevraagd inzage in en afschrift van de gegevens uit het dossier verstrekt. Dit artikel is van toepassing als sprake is van een behandelrelatie. Er is geen sprake (geweest) van een behandelrelatie tussen klaagster en de arts die extern rapporteur was voor de verzekeraar. In de tweede plaats gaat het om artikel 7:464 lid 1 BW. Daarin staat dat artikel 7:456 BW ook van toepassing is indien in de uitoefening van een geneeskundig beroep of bedrijf anders dan krachtens een behandelingsovereenkomst handelingen op het gebied van de geneeskunst worden verricht, voor zover de aard van de rechtsbetrekking zich daartegen niet verzet.

Juist om die beoordeling van de aard van de rechtsbetrekking gaat het.

Inequality of arms

Het feit dat het een interne rapportage is voor de verzekeraar bepaalt volgens het tuchtcollege dat de rechtsbetrekking zich verzet tegen openbaarmaking c.q. delen met de eisende partij. Het standpunt van het tuchtcollege is mijns inziens onjuist en op zijn zachtst gezegd tamelijk formalistisch. Het miskent dat er in de rapportage altijd sprake zal zijn van informatie over de gezondheidstoestand van de patiënt en veranderingen daarin door gewraakte acties van de behandelend specialist. Doordat die aan de patiënt gerelateerde informatie niet terechtkomt bij de patiënt als eisende partij is er sprake van een ongelijke informatiepositie, een “inequality of arms” dus.

Parallel met zorgverzekeraars?   

In dit geval gaat het om een externe medisch adviseur van een schadeverzekering, een aansprakelijkheidsverzekering. Het is de vraag hoever dit oordeel van het Regionaal Tuchtcollege doorwerkt naar andere verzekeringen. Binnen de verzekeringsmarkt zijn zorgverzekeraars ook spelers waar medische adviseurs het handelen van zorgaanbieders beoordelen. Daar zou de zorgverzekeraar kunnen stellen dat de medisch adviseur in bepaalde gevallen slechts het handelen van de zorgaanbieder beoordeelt en niet noodzakelijkerwijs de gezondheidstoestand van de patiënt. In dat geval zou de zorgverzekeraar met de uitspraak van het tuchtcollege in de hand  kunnen  zeggen geen informatie hoeven te verstrekken over de achtergronden van een standpunt van de medisch adviseur. Dat zou heel vervelende financiële gevolgen voor de  patiënt kunnen hebben.

Hoger beroep

De berichtgeving rond deze zaak vermeldt niet of er bij het Centraal Tuchtcollege voor de Gezondheidszorg in Den Haag in deze zaak hoger beroep is aangetekend. Het is namelijk maar de vraag of dit oordeel van het Regionaal Tuchtcollege stand houdt in geval van een hoger beroep. Deze uitspraak blijft dus voorlopig één die vragen oproept.

W.J. Jongejan, 2 januari 2020

Afbeelding van succo via Pixabay




Overhaaste invoering kunstmatige intelligentie in zorg verhoogt risico’s voor patiënt

overhaasteEr zijn duidelijk tekenen dat overhaaste invoering van “artificial intelligence”(AI), ook weleens “deep learning” genoemd, in de zorg tot grotere risico’s leidt voor patiënten. Dat concludeert de journaliste Liz Szabo op 24 december 2019 in een artikel in een artikel in Kaiser Health News (KHN). Het is een non-profit nieuwsdienst die over onderwerpen betreffende gezondheid en zorg gaan . Het magazine is een onderdeel van de Kaiser Family Foundation, die niet verbonden is met de grote Amerikaanse zorgverzekeraar Kaiser Permanente. Het artikel gaat in op de haast waarmee AI-toepassingen in de race om het grote geld in de zorg geïntroduceerd worden. Daarbij gaat zij ook in op de rol die de overheid in de V.S speelt bij de versnelde toelating van AI-toepassingen. Een versnelling die vaak niet in het belang van de patiënt is.

Problemen

In het artikel gaat Liz Szabo in op de problemen die al eerder speelden met AI-toepassingen in de zorg. Toepassingen die bedacht waren voor een bepaalde patiëntenpopulatie bleken in andere populaties, bijv. oin andere zorginstellingen opeens niet meer correct diagnoses te voorspellen. Raciale vooroordelen bleken nogal eens in een algoritme te zitten. Soms bleken de algoritmes meer gebaseerd op het merk MRI-scanner die gebruikt was, op het tijdstip van bloedafname of op het al dan niet bezocht zijn van de patiënt  door een geestelijke.  Het lijkt lachwekkend, maar is het niet.

Een bekende cardioloog, Eric Topol, stelt dat van de AI-producten die in de V.S. verkocht worden, er geen één getest is in een dubbelblind gerandomiseerd klinisch onderzoek. De enige gerandomiseerde trial van een AI-systeem betrof een onderzoek naar poliepen in de dikke darm.

Zorg om mentaliteit ICT-branche

De mentaliteit in de gezondheidszorg is totaal anders dan in de ICT-branche. In de zorg staat veiligheid en zorgvuldigheid van handelen altijd voorop. In de ICT-brache heerst vaak een mentaliteit van “fail fast and fix it later”, betoogt de journaliste. Meerdere keren algoritmen updaten en al  lerend van je fouten tot een werkend iets te komen komt vaak voor in de ICT-branche. Het is een manier van werken die in de zorg erg gevaarlijk is en die menigeen vreest.

Facilitatie door de overheid

In de V.S is in 2016 zijn in  wetgeving uitzonderingen tot stand gekomen op aandringen van de tech-sector om medische software, waar onder fitness-apps, elektronische patiëntendossiers(EPD”s) en “tools” die dokters helpen om diagnoses te stellen uit te zonderen van federale controle. Men maakte in 2017 een zogenaamd “precertificatie”-programma. Dat was opgezet door de toezichthouder, de Food and Drug Adminstration (FDA), om tijd en kosten van marktintroductie te verminderen voor software-ontwikkelaars. Het argument was dat in die sector veranderingen veel vaker plaats vonden dan in de traditionele medische apparaten-sector. Men zei dat zo de vooruitgang geremd zou worden.

Vergaande delegatie aan bedrijven

De bedrijven die onder deze verregaande regeling van de FDA vallen zijn: Apple, FitBit, Samsung, Johnson & Johnson, Pear Therapeutics, Phosphorus, Roche, Tidepool and Verily Life Sciences. Deze bedrijven kunnen hun algoritmen dan met een “gestroomlijnd” FDA-controle of helemaal geen FDA-controle gaan vermarkten. Als de producten op de markt komen, zijn de firma’s zelf verantwoordelijk voor de veiligheid van het product en hebben een terug-rapporteer-verplichting richting FDA. Dat is wel een zeer vergaande delegatie van bevoegdheden. In feite verlegt de FDA de controle over de certificatie voor een belangrijk deel naar het producerende bedrijf zelf toe. We hebben recent kunnen zien hoe dat in de vliegtuigindustrie misging. Boeing kreeg daar van de Federal Aviation Agency(FAA) verregaande controlebevoegdheden gedelegeerd. Bevoegdheden die helaas tot gevolg hadden dat twee 737-Max toestellen crashten door software-problemen.

Zwakkere controle FDA

Een groot aantal producenten van AI-software melden hun  product aan voor een verzwakte regeling die in 2011 tot stand kwam. Daarbij kan een bedrijf een “medical device” onder klasse II van de classificering van dat soort apparaten laten vallen. Het betreft dan een “device” dat een matig risico vormt voor de gebruiker. Het AI-product valt dan onder de zog. “premarket notification (510(k)”. Die laatste getal/lettercombinatie slaat op het wetsartikel waarop die regel berust. Dan hoeft men alleen maar de werkzaamheid van een product, dus een AI-programma, te vergelijken met een “medical device” dat al goedgekeurd op de markt is. Je krijgt dan soms de gekke situatie dat een AI-programma om op róntgenfoto’s bepaalde tumoren op te sporen vergeleken wordt met röntgenapparatuur uit 2007. En wat de FDA dan toelaat(=permission). Het product is dan ook letterlijk slechts toegelaten. Dat is geen officiële  goedkeuring (approval))van de FDA.

Diepgaande kritiek

Zowel  de American Medical Association(AMA) als een groep senatoren stelden scherpe vragen aan de regering over het overlaten van vormen van certificering aan bedrijven zelf. Drie senatoren, waaronder de democratisch presidentskandidate Elizabeth Warren agendeerden  in oktober 2019 indringende vragen over het “Software Precert Pilot Program” van de FDA. Ze stelden vragen over de veiligheid en efficiency van AI- toepassingen in de zorg, de zogenaamde “Software as a Medical Device”(SaMD). Met name gaat het hen erom of de bij de precertificatie betrokken bedrijven wel alle onderliggende data ter beschikking stellen bij overheidscontrole achteraf.

Aan het eind van het artikel brengt Liz Szabo nog een aantal mislukkingen van AI-toepassingen ten tonele. A ,B ,C , D.

In het licht van de eerder in dit stuk vermelde zeperd die luchtvaartcontrole orgaan FAA haalde door precertificering aan fabrikant Boeing over te laten zou het me niets verbazen als het precertificering-programma binnenkort teruggedraaid gaat worden.

W.J. Jongejan, 30 december 2019

Afbeelding van kalhh via Pixabay

 




Keuze minister voor digitaal beschikbare medische gegevens bij spoed op voorhand problematisch

keuzeOp 20 december 2019 stuurde minister Bruins van VWS een brief naar de Tweede Kamer. De brief heeft als titel “Digitaal beschikbare gegevens bij spoed”. De minister wil er naar toe werken dat bij spoedeisende hulp een basisset van medische en persoonsgegevens beschikbaar is voor behandelende artsen. Daartoe wil hij dat de zogenaamde Basis gegevensset Zorg(BgZ) opvraagbaar gemaakt gaat worden bij de bron: de huisarts, apotheek en ziekenhuis, waar ze beschikbaar zijn. Met krachtige taal schetst de bewindsman het pad dat hij voor ogen heeft. Het klinkt alleen allemaal mooier dan het in werkelijkheid is. Op het pad dat hij wil gaan bewandelen zijn nu al veel grote hobbels en (val)kuilen te voorzien die de realisatie tot een lang meerjarenplan lijken te maken, zo het al lukt. Het gaat weer om het beschikbaar maken van zorgdata voor toekomstig gebruik. Met een toestemming die ook voor toekomstig gebruik bedoeld is.

Basis gegevensset Zorg

Wat houdt die gegevensset nu precies in? Hoe ver is men thans met de ontwikkeling ervan? Welke standaarden gebruikt die dataset? Het zijn vragen die ik zal trachten te beantwoorden. De BgZ is door het zorgICT-standaardisatie-instituut Nictiz vorm gegeven. Het is de minimale set van patiëntgegevens die specialisme-, ziektebeeld- en beroepsgroep overstijgend relevant is en van belang voor de continuïteit van zorg. De BgZ is eigenlijk een “patient summary” van (medische) gegevens waarvan zorgverleners hebben bepaald dat ze in elk onderdeel van het geplande of ongeplande zorgproces van belang is. (info Nictiz).  Het beheer van deze standaard is sinds begin 2019 belegd bij Nictiz. De laatste versie dateert van 19 april 2018 en vermeldt de opbouw die volledig bestaat uit zogenaamde zorginformatiebouwstenen(zib’s). Dat zijn datablokken die eenduidig zijn voor iedereen in de zorgICT.

Wat staat zoal in de Bgz?

Een karrenvracht aan data staat in de BgZ.. Zie hiervoor pagina in de voorgaande link.

NAW gegevens, BSN, geboortedatum, geslacht, overlijdensinformatie, contactgegevens van de patiënt, burgerlijke staat, laatst bekende burgerlijke staat, de verzekeringsgegevens van de patiënt, bekende behandelaanwijzingen, bekende wilsverklaring, relatie/contactpersoon, laatst bekende functionele/mentale status, bekende problemen van alle probleemtypen(hiermee bedoelt men de hoofddiagnosen bij de patiënt), laatst bekende woonsituatie, bekend drugsgebruik, bekend alcoholgebruik, bekend tabaksgebruik, bekende voedingsadviezen, bekende alerts, bekende allergieën, bekende medicatieafspraken, bekende toedieningsafspraken, bekend medicatiegebruik, bekende medische hulpmiddelen, bekende vaccinaties, laatst bekende bloeddruk, laatst bekende lichaamsgewicht, laatst bekende lichaamslengte, bekende klinische chemie bepalingen, laatste uitslag, bekende operatieve verrichtingen, bekende ziekenhuisopnames (niet poliklinische contacten), bekende geplande zorgactiviteiten (medicatietoediening, voorgenomen verrichtingen, voorgenomen verpleegkundige acties, voorgenomen vaccinaties, afspraken, gewenste medische hulpmiddelen, overige), wie is de huisarts(NAW-data).

Enorme omvang

Wat erin staat is de facto veel meer dan in de Professionele Standaard, die bij de huisarts via het Landelijk SchakelPunt opvraagbaar is door een andere zorgverlener indien de patiënt ooit daar een opt-in-toestemming er voor gaf. De minister zet dus in op een maximale hoeveelheid aan data.

Grote problemen

Bruins zet als eerste in op uitwisseling van de Bzg tussen ziekenhuizen. De enige manier om dit soort data beschikbaar te doen zijn in ziekenhuizen, op de afdeling Spoedeisende en Eerste Hulp(SEH) is via het LSP en eventueel via elektronische communicatie tussen twee ziekenhuizen onderling. Bij dat laatste begint het eerste probleem. De verschillende ziekenhuisinformatiesystemen(ZIS-sen), zoals Chipsoft en Epic, kunnen op dit moment nauwelijks met elkaar communiceren. Ook tussen twee ziekenhuizen met hetzelfde ZIS is niet zonder moeite elektronische zorgdata-uitwisseling mogelijk. Via het LSP als communicatiekanaal kunnen ziekenhuizen op dit moment alleen medicatiegegevens ontvangen. En dat ook alleen maar met prefetching( het twee dagen tevoren ophalen) en niet real time. Real time opvragen via het LSP werkt thans voor ziekenhuizen te traag en te foutgevoelig. Voor spoedzorg is een foutloze momentane opvraag een absolute noodzaak. Dat zit er op dit moment nog lang niet in.

Huisartsenkant    

In de specificaties van de gebruikte standaarden staat de ICPC-2 genoteerd. Dat is het coderingssysteem van ziekten voor huisartsen, de International Classification of Primary Care. Een groot probleem is dat alle HIS-sen op dit moment nog steeds de ICPC-1 gebruiken. Het Nederlands Huisartsen Genootschap(NHG) schreef  in september 2013 ook de argumentatie om niet over te stappen op de ICPC-2. Nog ingewikkelder maakt de komst van ICPC-3 het. De reden voor Nictiz om de ICPC-2 te kiezen is, omdat voor die versie een zogenaamde mapping is naar het ziekte-coderings-systeem SNOMED. Dat zou de toekomstige eenheid van taal moeten zijn t.a.v. het coderen van ziekten en klachten. De incompatibiliteit van de ICPC-1 met SNOMED is een majeure belemmering voor het realiseren van de BgZ. Daarnaast zullen alle huisartsinformatiesystemen(HIS-sen) aangepast moeten worden door hun leveranciers om aan de hand van de specificaties van de zorg-informatie-bouwstenen de gewenste output te geven.

Toestemmingswijze

Voor de beoogde oplossing voor de spoedzorg ziet de minister een systeem van toestemming vooraf, een opt-in dus. Dat kan ook haast niet anders gezien de opt-in plicht die de privacy-toezichthouder ooit gaf bij de start van het LSP. Het ziet er naar uit dat de minister gebruik denkt te gaan maken van het Mitz-systeem, dat onder de vleugels van de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), de verantwoordelijke voor het LSP, nu in een voorstadium van ontwikkeling is. Voor verschillende typen van informatieuitwisseling(LSP, XDS etc) en voor verschillende doelen is aparte toestemming noodzakelijk. Daarin zou Mitz gaan voorzien.

Grote hobbels en (val)kuilen 

Zoals hierboven geschetst zullen er nog veel hobbels en (val)kuilen op het pad, dat minister Bruins koos, opdoemen in de zeer nabije toekomst. Eén en ander maakt dat er ondanks de ferme woorden, “het nemen van de regie” en “forse stappen in 2020” alles een veel langer tijdspad zal gaan kennen, als het allemaal al gerealiseerd kan worden als voorzien.

O,ja, het adagium blijft toch: bij spoedhulp: eerst behandelen. Daarna pas kijken of een dataopvraag bijv. van BgZ succesvol  is geweest en iets toe kan voegen.

W.J. Jongejan, 24 december 2019

Afbeelding van Gerd Altmann via Pixabay

Vanaf deze plaats wens ik al mijn lezers goede feestdagen toe en een goed en vooral gezond 2020




Uitspraak Autoriteit Persoonsgegevens gaat ook andere be-/verwerkers zorgdata aan

uitspraakOp 16 december 2019 deed de Autoriteit Persoonsgegevens(AP) uitspraak over het gepseudonimiseerd verzamelen van zorgdata. Het betrof de Routine Outcome Monitoring(ROM)-gegevens uit de geestelijke gezondheidszorg(GGZ). De Stichting Benchmark GGZ(SBG) verzamelde die en overhandigde die bij bedrijfsbeëindiging aan de opvolger Akwa GGZ  De uitspraak van de AP was vernietigend. De vraag is of de uitspraak van de AP geen consequenties heeft voor allerhande dataverzamelingen in de zorg waarbij sprake is van be-/verwerking van gepseudonimiseerde zorgdata. De AP stelde vast(pag.19 punt 4.2.3  in link) dat SBG op hun gepseudonimiseerde dataset onvoldoende technische waarborgen en/of maatregelen had genomen om de risico’s op herleidbaarheid, koppelbaarheid en deduceerbaarheid in voldoende mate weg te nemen. Om zo te kunnen spreken van een anonieme dataset. Het risico op indirecte herleidbaarheid was in onvoldoende mate weggenomen. Het is de vraag of andere bedrijven en instellingen die zich met zorgdata-verzamelen bezig houden ook niet fout bezig zijn.

Gepseudonimiseerde data verzamelen     

Met zorgdata legt men op diverse plaatsen gigantische dataverzamelingen aan om daarop allerlei be-/verwerkingen uit te voeren. Een voorbeeld van een dergelijke dataverzamelingen is het DBC Informatie Systeem(DIS) waarin alle Diagnose-Behandel-Combinaties(DBC) van alle Nederlanders die in een ziekenhuis behandeld worden staan. Het DIS be-/verwerkt ook gepseudonimiseerde data. De wijze van pseudonimiseren is onbekend. Een andere grote dataverzamelaar is het Dutch Institute for Clinical Auditing(DICA). Daarnaast bestaan vele anderen.   DICA doet naar eigen zeggen het volgende. “DICA verricht klinische registraties en levert daarmee betrouwbare analyses en vergelijkingen aan de zorgverleners en eventuele andere partijen. Met de verzamelde gegevens kan DICA clinical audits uitvoeren die tot doel hebben om onderzoek/metingen naar kwaliteit van zorg te doen.” DICA maakt daarbij gebruik van het bedrijf Medical Research Data Management(MRDM) als IT-partner en gegevensbewerker van het ziekenhuis, in het kader van DICA-registraties. MRDM bewerkt de patiëntgegevens zodanig dat DICA alleen gecodeerde (pseudoniem) gegevens ontvangt.

Hoe gepseudonimiseerd?

Het rapport n.a.v. het onderzoek naar gegevensverwerking door SBG van de AP gaat vrij ver in op de technische wijze waarop SBG de pseudonimisering liet verrichten. De AP stelt bijv. dat er geen gebruik wordt gemaakt van enige vorm van randomisatietechnieken op het moment dat SBG de dataset ontvangt. Men stelt vast dat t. a.v. het zogenaamde generaliseren de techniek van aggregeren (niet k-anonimiteit) wel gezien is, maar niet toegepast. De eindconclusie was dat door risico’s als herleidbaarheid, koppelbaarheid en deduceerbaarheid niet met het door SBG gebruikte anonimiseringsproces weggenomen werd. Daardoor was de herleidbaarheid tot de persoon nog steeds mogelijk doordat de persoon geïdentificeerd wordt door  een unieke waarde na pseudonimisering. Aangezien dezelfde unieke (gepseudonimiseerde) waarden door de tijd samengevoegd
dienen te worden is risico op koppelbaarheid even groot.  Tot zover de technische details. Het is volmaakt onduidelijk of alle rond de zorg actieve data-verzamelaars en be-/verwerkers wel voldoen aan de eis van afdoende blokkering van de herleidbaarheid van een individu.

Uitzonderingsgronden

De bedrijven die de data be-/verwerken zullen veelal aan te merken zijn als verwerkingsverantwoordelijke in de zin van artikel 4, onderdeel 7 van de Algemene Verordening Gegevensbescherming(AVG). Als er niet sprake is van een afdoende vorm van pseudonimisering dan is er sprake van de verwerking van bijzondere persoonsgegevens . Het is dan de vraag of de bedrijven die grootschalig  data verwerken net als SBG zich niet kunnen beroepen  op één van de algemene uitzonderingen zoals opgenomen in artikel 9, tweede lid, onderdeel j van de AVG (juncto artikel 24 UAVG) op het verwerkingsverbod van bijzondere categorieën. De data verwerkende bedrijven zijn namelijk geen instelling voor gezondheidszorg of maatschappelijke dienstverlening.

Wat gaat de AP doen?

De vraag is wat de AP na deze uitspraak gaat doen. Laat men het erbij en hoopt men dat de uitspraak een zelfregelend effect gaat hebben op bedrijven in de zorg die gepseudonimiseerde data be-/verwerken? Of spreekt de AP die sector nu actief aan teneinde de huidige uitspraak meer kracht te kunnen bijzetten. En controleert ze. Het zou best eens kunnen zijn dat SBG als bedrijf het topje is van een ijsberg waarvan het grootste deel nog buiten zicht is.

Medische data worden tegenwoordig als het nieuwe goud gezien. Bedrijven als Google en Apple storten zich erop. Het dus van groot belang dat medische data in wat voor soort database dan ook goed beschermd zijn en bij be-/verwerking er niet sprake kan zijn van enige directe of indirecte herleidbaarheid tot een individu.

De zaak rond SBG en Akwa GGZ dient een les te zijn. Waarbij we dan wel moeten bedenken dat het boven water komen ervan het gevolg is van de vasthoudendheid van één persoon.

W.J. Jongejan, 20 december 2019

Afbeelding van Okan Caliskan via Pixabay