En toen klonken inlogcode en wachtwoord over de polikliniek-balie

inlogcodeZo af en toe moet klein of groot onderhoud aan het lijf van schrijver dezes in een ziekenhuis plaatsvinden. Daartoe begeeft hij zich dan richting een polikliniek. Bij mijn laatste bezoek deed zich een opmerkelijke gebeurtenis voor. Een baliemedewerker had moeite om een recent geïmplementeerd onderdeel van het Ziekenhuis Informatie Systeem (ZIS) te openen en te hanteren. Staande voor de balie en met een plexiglas spatscherm tussen ons in zag ik de medewerker worstelen. De informatie op het beeldscherm en in de papieren handleiding was blijkbaar lastig te volgen. “Hoe moet ik inloggen?“ vroeg de medewerker aan een collega-baliemedewerker die ook een patiënt voor het spatscherm had staan. Toen klonk luid en voor iedereen verstaanbaar de inlogcode. “Wat is dan het wachtwoord?” was de volgende vraag. Nu klonk het wachtwoord overduidelijk door de ruimte. Als je het over informatieveiligheid(Infosec) hebt, dan moet het zo in ieder geval niet.

Toegang

Hoewel het “slechts” om de toegang gaat tot een applicatie binnen het gebruikte ZIS, heeft de maker ervan toch aan toegangsbeveiliging gedacht. Het inloggen met een inlognaam en een wachtwoord getuigt daarvan. Het is ook niet uitgesloten dat als men toegang heeft tot een applicatie er toch nog gevoeliger delen van het ZIS via een dergelijke applicatie benaderd kunnen worden. Voor de balie stonden op het moment dat het gebeurde, drie personen, mijn persoon incluis. Het is goed te begrijpen dat het lastig kan zijn onder het oog van een patiënt een inlogprocedure van papier uit te voeren. Het hardop verstrekken van de inlogcode en het wachtwoord was helemaal niet nodig geweest. De twee medewerkers zaten naast elkaar en hadden een briefje zo door kunnen geven.

Jelena Milosevic

In ziekenhuizen gaat men notoir slordig, onzorgvuldig en onnadenkend op met inlogcodes en wachtwoorden. Zelfstandig verpleegkundige Jelena Milosevic(Twitter: @_j3lena_ ) houdt zich al jaren met dit onderwerp bezig. Zij stelde en stelt herhaaldelijk het tekort aan informatieveiligheid aan de kaak.(A, B, C ). Bekende voorbeelden die ze herhaaldelijk tegenkomt is het noteren van inlogcodes en wachtwoorden op gele Post-It briefjes die op monitor zijn vastgeplakt zitten. Ook het onder elkaar doorgeven door zorgmedewerkers(verpleegkundigen en artsen van eigen inlogcodes en wachtwoorden is haar een doorn in het oog. Actief lid is ze van de groepen I am the cavalry en Women in cyberspace.(Twitter: @Iamthecvalry en @womenincyberspace). Aanvankelijk deed men er lacherig en afwerend over en wees men in de ziekenhuizen erop dat het belangrijkste was dat zorg verleend wordt. Inmiddels herkent men door alle datalekken die zich voordoen de problemen en geeft Jelena er nu in zorginstellingen presentaties over.

Medisch beroepsgeheim

Het zich bekommeren om informatieveiligheid is in wezen een onderdeel van het juist hanteren van het medisch beroepsgeheim. Immers, als door slordigheid een zorgdossier voor niet bevoegden of totale buitenstaanders in te zien is dan werkt men mee aan het doorbreken van het medisch beroepsgeheim. Informatie komt in onbevoegde handen. Het gaat om een attitude die men in zich moet hebben of bereid moet zijn die zich eigen te maken om zorgdata niet in verkeerde handen te laten vallen. Zorgwerkers moeten zich bij gebruik van digitale hulpmiddelen altijd afvragen hoe men er op verantwoorde wijze van gebruik dient te maken.

Apparatuur

Ook ten aanzien van medische apparatuur die uit gefaseerd is en tweede hands verkocht wordt dienen ICT-medewerkers in zorginstellingen zorgvuldig te handelen. Zo hoorde ik ooit van een collega-huisarts dat haar assistente thuis op een privé-computer opeens allerlei email van de praktijk ontving. De enige mogelijkheid om zoiets voor elkaar te krijgen is als je een praktijk-PC opdoekt en tweedehands aan een medewerker verkoopt of geeft ZONDER op zeer degelijke wijze de inhoud van de harde schijf volledig te wissen. Dat wat ik vermoedde was dan ook gebeurd bij die collega. Alleen formatteren van een harde schijf bijvoorbeeld is een verre van afdoende methode,

Een ander fraai voorbeeld is de actie van een groep infosec-geinteresseerden, waaronder Jelena Milosevic op een HackInThe Box-conferentie in Amsterdam in mei 2019.

Dataresten

Tijdens die conferentie legde de groep waar Jelena in zat een tweedehands intelligente radiologie-monitor op de elektronische pijnbank. Het bleek mogelijk in de nog opgeslagen data het ziekenhuis te herleiden waar het gebruikt was plus patiëntengegevens. Ik beschreef dat op 19 juni 2019.

Geen sluitpost

Uit het bovenstaande moge blijken dat ik informatieveiligheid geen sluitpost acht in het medische circuit. Met gezond verstand en een gezonde portie achterdocht en waakzaamheid kom je al een heel eind. Het veilig omgaan met zorgdata moet een vast onderdeel zijn van de werkroutine van elke zorgwerker die met digitale toepassingen werkt.

W.J. Jongejan, 17 augustus 2020

Afbeelding van Pete Linforth via Pixabay