image_pdfimage_print
19 apr 2016

Bezwaren tegen het LSP. In gesprek met Gerard Freriks

GerardFriksWJ

Op 4 maart 2016 publiceerde het NRC-Handelsblad op de opiniepagina een artikel, geschreven door de arts Gerard Freriks en mij. Het ging over het door de huisarts kunnen handhaven van de afgelegde eed van Hippocrates in het huidige ICT-tijdperk. We leven in een tijd dat niet alleen hackers pogingen doen medische data te vergaren, maar ook overheidsinstellingen bij wet het recht tot hacken proberen te verwerven. Gerard Freriks is actief in de ICT sinds 1972 en is 20 jaar huisarts geweest. Vanaf 1996 is hij actief betrokken bij het maken van Internationale standaarden voor de zorg ICT en stond daarbij aan de wieg van elektronische medische datacommunicatie. Enkele van deze standaarden zijn:

  • NEN 7510 Informatie Beveiliging in de Zorg
  • ISO 13606 EPD Communicatie
  • ISO 12934 System of Concepts for Continuity of CareIn Nederland is overigens door VWS en NICTIZ niet gekozen voor het gebruik van die Europese/Internationale EPD norm, maar is gekozen voor HL7 (Health Level 7) als basis voor berichtenverkeer in de zorg. In de USA wordt deze HL7 berichtenstandaard langzaam vervangen door een nieuwe ontwikkeling (FHIR) die beter past bij de ISO 13606 EPD norm.
  • Bij de voorbereiding voor het artikel sprak ik Gerard uitgebreid. Daarbij kwam ook het Landelijk SchakelPunt (LSP) ook ter sprake. Door zijn werk en kennis van achtergronden van het LSP is hij bij uitstek iemand die met een kritische blik naar het LSP kijkt.

Lees verder

04 jan 2016

Kwetsbaarheid decentrale systemen achilleshiel voor LSP

general-hazard-909910_640

Op 23 december 2016 verscheen op website Skipr een opmerkelijk artikel over de kwetsbaarheid van het Landelijk SchakelPunt(LSP) voor cyberaanvallen via de computersystemen van aangesloten zorgaanbieders. Het verschijnt ook in het januari 2016-nummer van het Skipr-magazine. Gesteld wordt dat: “het kwetsbaar is voor cyberaanvallen door onvoldoende beveiliging van PC’s, laptops, tablets en smartphones van eindgebruikers zoals huisartsen. Hierdoor kunnen computers die met honderden virussen en malware besmet zijn toegang krijgen tot het digitale informatienetwerk.” De teneur van het stuk is dat menigeen geen idee heeft hoe onveilig de computers van op het LSP aangesloten zorgaanbieders zijn (bijv. huisartsen en apothekers) en hoe onveilig met de UZI-pas waarmee de aangesloten zorgaanbieder verbinding maakt met het LSP, gewerkt wordt. Tot voor kort werden de risico’s van de decentrale delen van het LSP-netwerk als beperkt en goed hanteerbaar geschetst. Nu echter komen er in genoemd artikel meerdere mensen vanuit de databeveiliging en de bedrijfsrecherche aan het woord die hun zorgen uitspreken. Kritiek op het LSP is blijkbaar salonfähig geworden.

Lees verder

24 sep 2015

Toegenomen aansprakelijkheid voor VZVZ eigenlijk een wassen neus

filler-587248_640

In de afgelopen zomer meldden de Landelijke Huisartsen Vereniging(LHV) en de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), dat de aanvankelijk als zeer mager gekenschetste aansprakelijkheid van VZVZ, verhoogd was. Thans is het addendum, waarin de verhoging overeengekomen is, openbaar gemaakt. Het gaat om een addendum bij de Algemene Voorwaarden behorend bij de Gebruiksovereenkomst, die een zorgaanbieder sluit met VZVZ als die gaat communiceren via het Landelijk SchakelPunt(LSP). Dat het niet zonder slag of stoot ging, werd duidelijk door de wat warrige berichtgeving, die er aan vooraf ging. Daarbij meldde de LHV zeer kortdurend(krap één dag) dat er geen overeenstemming te bereiken was, met daarna het bericht dat men nog in gesprek was met VZVZ. Lees verder

10 jul 2015

Geen informatie VZVZ over controles Goed Beheerd Zorgsysteem

fear-441402_640

Zeer recent (08-07-2015) schreef ik over de vraag hoe goed beheerd een Goed Beheerd Zorgsysteem)GBZ) is in het kader van het gebruik van het Landelijk SchakelPunt(LSP).  In dat artikel was al duidelijk dat er over de frequentie van steekproefsgewijze controle door de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) niets in openbare bronnen te vinden is. Ook over de evaluatie van dergelijke controles is niets te vinden. Navraag bij VZVZ maakt duidelijk dat ze dat als geheime bedrijfsinformatie beschouwen. Eens te meer is duidelijk dat men er blindelings op moet vertrouwen dat belangrijke onderdelen van de keten waarin medische informatie wordt verstuurd via het LSP ook daadwerkelijk correct beheerd worden.

Lees verder

08 jul 2015

Hoe goed beheerd is een Goed Beheerd Zorgsysteem?

fear-441402_640

In de systematiek van het gebruik van het Landelijk SchakelPunt(LSP), dat door de Vereniging van Zorgaanbieders voor Zorgcommunicatie(VZVZ) wordt beheerd, is een Goed Beheerd Zorgsysteem(GBZ) een zorginformatiesysteem, waarmee een zorgaanbieder patiëntgegevens kan uitwisselen met andere zorgaanbieders. Via een Goed Beheerd zorgNetwerk(GBN) wordt een GBZ aangesloten op het LSP. Aan een GBZ worden een drietal groepen van eisen gesteld: applicatie-eisen, implementatie-eisen en exploitatie-eisen. De eerste twee groepen kunnen aardig goed gecontroleerd worden, maar de exploitatie-eisen zijn de verantwoordelijkheid van de aangesloten zorgaanbieder en maar beperkt controleerbaar. Er blijkt geen enkel gegeven vrij toegankelijk te zijn over de controle inzake het voldoen aan deze laatste groep eisen. Of de daartoe vereiste steekproeven en andere controles überhaupt plaatsvinden is totaal onduidelijk. De vraag is of het vertrouwen op het goed beheerd zijn wel terecht is.   Lees verder