Misleiding met Wet Bescherming Persoonsgegevens door PharmaPartners

Falschmeldung

PharmaPartners, leverancier van het huisartsinformatie-systeem(HIS) Medicom gebruikt een wel heel bijzondere methode om huisartsen over te halen aan te sluiten op het Landelijk SchakelPunt(LSP). Er bestaat een substantiële groep van huisartsen die op principiële gronden niet aangesloten wil zijn op het LSP. Huisartsen uit die groep, die Medicom gebruiken, kregen 31 mei 2018 een email van PharmaPartners om hen over te halen toch aan te sluiten. In deze mail wijst men op plichten die voortvloeien uit de Wet bescherming persoonsgegevens(Wbp). Om daarna te stellen dat het LSP voor een snelle en veilige gegevensuitwisseling zorgt. In de Wbp staat echter geen enkele plicht, die een aansluiting op het LSP noodzaakt. Het percentage huisartsen dat aangesloten is op het LSP is geen honderd procent, ook niet de negentig die de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), verantwoordelijk voor het LSP, iedereen lange tijd voorhield. Het blijkt rond de zevenenzeventig procent te zijn. Dat meldde  VZVZ, verstopt in een rapport,  recent. Via de leveranciers van HIS-sen wordt onder andere geprobeerd om het percentage te doen stijgen.

Misleiding

De tekst waarmee de niet aangesloten Medicom-gebruikers benaderd werden, bevatte de volgende passage:

Waarom?

De Wet bescherming persoonsgegevens legt aan de verantwoordelijke huisarts verschillende plichten op. Het Landelijk Schakelpunt zorgt voor snelle en betrouwbare elektronische uitwisseling van medische gegevens. Via het Landelijk Schakelpunt kunt u als zorgverlener actuele medische gegevens van de patiënt opvragen. Zo krijgt u snel een goed beeld van de patiënt en kunt u de juiste zorg bieden.”

De eerste zin suggereert iets, waarna in enkele zinnen erna een wervende tekst over het LSP volgt. De Wbp legt degenen die persoonsgegevens beheert/ verwerkt/ bewerkt bepaalde plichten op. Die plichten hebben echter niets van doen met de noodzaak, laat staan de plicht, om aan te sluiten op het LSP. Wat hier gebeurt is pure misleiding, omdat het één niet logischerwijs uit het ander voortvloeit. Het suggereert iets wat er niet is.

Belangen

HIS-leveranciers hebben zelf ook een aardig financieel belang bij het aansluiten op het LSP van gebruikers. Dat geldt trouwens voor elk HIS. Een huisarts krijgt namelijk voor het doen aansluiten op het LSP een eenmalige vergoeding van de zorgverzekeraars via VZVZ. Dat is een bedrag van 1862 euro per praktijk, dat voor dat doel bijna volledig doorgesluisd moet worden richting HIS-leverancier. Enkele dagen na de hierboven vermelde email ontvingen de Medicom-huisartsen die niet aangesloten zijn op het LSP een staatje met vergoedingen en aansluitkosten. U ziet hierbij dat voor een groepspraktijk van drie huisartsen een bedrag van 5586 euro als aansluitvergoeding wordt betaald. Dat is 3x 1862 euro.

De kosten die PharmaPartners aan haar gebruikers berekent voor het aansluiten op het LSP zijn 5583,60. Dat is dus 3x 1861,20 euro. Op 80 eurocent per eenheidsvergoeding na verdwijnt de aansluitsubsidie vrijwel volledig in de handen van de leverancier. Die hoeft voor de aansluiting van de praktijk geen ingewikkeld fysieke acties uit te voeren, maar een aantal softwarematige. Het is zeer de vraag of die handelingen dat bedrag rechtvaardigen. Het lijkt er meer op dat de prijs bepaald is naar aanleiding van de hoogte van de aansluitsubsidie.  Deze situatie waarbij de aansluitsubsidie vrijwel automatisch doorgesluisd wordt richting leverancier doet zich naar mijn weten bij alle HIS-sen voor.

W.J. Jongejan, 13 juni 2018

 




40 % korting op aansluitkosten en desperate oproep om LSP te gebruiken

kortingVolgens informatie op de website van de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), die verantwoordelijk is voor het Landelijk SchakelPunt(LSP), is 91 procent van de huisartspraktijken aangesloten op het LSP. Het aantal niet aangesloten praktijken is vrij stabiel, met name omdat een aantal huisartsen om principiële redenen niet een aansluiting op dit systeem wenst te hebben. Op diverse manieren wordt geprobeerd om niet aangesloten huisartsen over te halen. Enerzijds gebeurt dat door in te spelen op de gevoelens van professionals, anderzijds wordt ook het inzetten van financiële “lokkertjes” niet geschuwd.  Niet op het LSP aangesloten huisartsen, die gebruik maken van het huisartsinformatiesysteem(HIS) Medicom kregen recent een aansluitaanbod van de leverancier PharmaPartners, waarbij een korting van veertig procent gegeven wordt in een actie die tot eind juni 2017 loopt. Niet is te dol om te proberen de laatste groep niet-aangeslotenen over te halen. Het probleem voor VZVZ is echter dat het aantal aangeslotenen op het LSP niet alles zegt. Burgens dienen hun opt-in-toestemming te geven bij een aangesloten huisarts om hun gegevens beschikbaar te stellen voor inzage. Dat gebeurt massaal niet. Tot nu toe is maar één derde van de Nederlanders bereid de gegevens  te doen delen.

Emotiemanagement

De sociologen Tim ten Ham en Christian Broërs kwamen in 2016 in een analyse van de private doorstart van het LSP onder VZVZ tot de conclusie dat het LSP-gebruik na die doorstart door een drietal mechanismen  vorm krijgt. In de eerste plaats is de technologie op veel manieren gedepolitiseerd. In de tweede plaats wordt ingewerkt op de gevoelens van de zorgaanbieders en in de derde plaats benadert men de mensen niet als burger maar als patiënt, op het moment dat ze op zijn zwakst zijn en zich in een afhankelijkheidsrelatie bevinden. Het inwerken op de gevoelens van zorgaanbieders heeft onder andere ten doel dat zorgaanbieders elkaar gaan aanspreken op het al dan niet aangesloten zijn op het LSP en op het al dan niet actief aanzitten achter het vragen om opt-in-toestemmingen. Eén en ander staat beschreven in het hoofdstuk 4.2 “Emotiemanagement” van het artikel van de sociologen.

Voorbeeld

Een uiting van dat emotiemanagement is een recent artikel op de website van het online-magazine SKIPR. Daar stond op 10 mei 2017 een artikel met de kop “LSP valt of staat met deelname van huisartsen”. Het was geschreven door Roanda Fokkens, klinisch informaticus bij het Regionaal Zorg Communicatie Centrum(RZCC) uit de regio Zuidoost Brabant. Dat is een samenwerkingsverband van zorgverleners uit die regio. Het initieert, faciliteert en stimuleert elektronische informatie-uitwisseling tussen zorgverleners onderling en tussen zorgverleners en de patiënt. In het blog-artikel doet Roanda een dringend, bijna wanhopig klinkend, appel op huisartsen om het LSP vooral te gebruiken. Het is juist de communicatie van huisartsendata die het meest stagneert bij het LSP. Het is dus niet voor niets dat de kop van haar artikel een eigenlijk nogal desperate kreet bevat, want bij het RZCC , maar ook bij VZVZ realiseert men zich terdege dat het stagneren van de uitwisseling van huisartsendata de dood in de pot is voor het LSP.

Financieel

Bij de huisarts wordt blijkens de kortingsactie bij Medicom het financiële instrument weer eens in stelling gebracht. Bij veertig procent korting gaat het om een substantieel bedrag. Aan het LSP gebruik zitten meerdere kosten vast. Eén daarvan zijn de initiële aansluitkosten. Die variëren van HIS tot HIS, maar bedraagt bij Medicom tussen de twee en drieduizend euro. De korting gaat dus om een substantieel bedrag. Het is niet voor te stellen dat er geen coördinatie is geweest tussen PharmaPartners, die Medicom levert, en VZVZ. Omdat Medicom in tegenstelling tot andere HIS-sen werkt met clusters van huisartsen en apothekers die per cluster op één systeem werken zal het voor hen lastig zijn als er LSP-weigeraars bij de Medicom-gebruikers zijn. Zoiets zal  extra systeemaanpassingen vereisen. Het is echter maar helemaal de vraag of de actie enig succes zal opleveren. De groep die nu na vijf jaar privaat gebruik van het LSP niet aangesloten is, betreft een verzameling van hardcore-weigeraars. Het is niet te verwachten dat die zich door een handvol zilverlingen laten overhalen om toch hun praktijk aan te sluiten op het LSP. De vraag is trouwens hoe leuk de reeds aangeslotenen deze plotselinge korting vinden die hen niet ten deel gevallen is.

Desperaat

Zowel het voorbeeld van het emotiemanagement als uit de financiële actie bij Medicom blijkt hoe desperaat men is om het LSP-gebruik een positieve draai te geven in huisartsenland. Het loopt echt niet zo van een leien dakje als VZVZ continu voorspiegelt. Elke keer probeert men met weer een “final push” een momentum te genereren. De komende tijd zullen we wel weer meer van dit soort pogingen blijven zien.

W.J. Jongejan




Overstap naar ander datacentrum wil maar niet vlotten bij Medicom

datacentrum

De overstap naar een ander datacentrum van het huisartsinformatiesysteem(HIS) Medicom wil maar niet vlotten. PharmaPartners besloot eerder dit jaar over te stappen van het KPN Cyber Center Flevoland naar een datacentrum binnen het eigen concern bij Pink Roccade Healthcare. Naar aanleiding van uitstel van het overzetten van een aantal aanvullende diensten schreef ik de woorden: “wordt vervolgd”. Inderdaad zit er weer een vervolg aan. Aangezien Medicom-gebruikers in clusters georganiseerd zijn rond apotheken moeten deze clusters gefaseerd worden overgezet naar het andere datacentrum. Gebruikers kregen bericht dat hun aanstaande clustermigratie uitgesteld werd met daarna weer een uitstelbericht.

Kwaliteits- en stabiliteitsproblemen

Het is soms aardig om de taal van PR-medewerkers te lezen. In een bericht aan de gebruikers op 9 november stelde PharmaPartners dat het uitstel van de clustermigratie te maken had met een aantal verbeteringen, optimalisatieactiviteiten genaamd. Deze hadden te maken met de door PharmaPartners  gestelde hoge kwaliteits- en stabiliteitseisen. In gewoon Nederlands staat hier dat na de migratie van een aantal clusters de zaken niet optimaal werkten en dat er sprake was van kwaliteits- en stabiliteitsproblemen. Voor de betrokken huisartspraktijken is dat best een vervelend probleem. Elke werkonderbreking door niet goed werkende ICT-zaken verstoort het werk in hoge mate, terwijl de zorgverlener zelf verantwoordelijk blijft voor de kwaliteit van de geleverde zorg.

Nieuwe versie

Uit het bericht op 14 november aan de gebruikers valt af te leiden dat het nodig is om een nieuwe versie van de progammatuur te maken die de bestaande problemen moet oplossen. Voor clusters die nog naar het nieuwe datacentrum overgezet gaan worden betekent dat uitstel. Behalve het overzetten van de nog resterende clusters naar een nieuwe versie zullen ook de al overgezette groepen die versie nog moeten gaan krijgen. Het gesignaleerde probleem lijkt te zitten in een softwaredeel aan de apotheekkant van de clusters. Men meldt dat een verbetering gemaakt is in de aanspreekbuffer van Pharmacom. Dat is namelijk het softwarematige deel van de cluster dat in de apotheek gebruikt wordt. Een aanspreekbuffer heeft overigens te maken met de medicatievoorziening.

Testen

Gezien de opgedoken problemen lijkt het er welhaast op dat de migratie naar een ander datacentrum niet volledig uitgetest of voorbereid is. Niemand heeft op deze problemen zitten wachten, want men stapte over omdat het juist bij het KPN Cyber Center niet lekker liep(A, B, C, D, E, F, G).

Het is voor de Medicom-gebruikers te hopen dat de problemen snel voorbij zijn.

Wordt mogelijk vervolgd.

W.J. Jongejan

 




Overstap datacentrum verloopt niet vlekkeloos voor Medicom

datacentrum

Het huisartsinformatiesysteem(HIS) Medicom van PharmaPartners stapt over van het KPN Cyber Center Flevoland naar een datacentrum van Pink Roccade Healthcare. Ik berichtte daar op 20 juli 2016 over.  Het overzetten van de Medicom-clusters heeft al plaats gevonden. Bij Medicom werkt men in groepen van huisartsen en apothekers, clusters genaamd. Naast het overzetten van deze data zouden deze week een aantal centrale componenten overgezet gaan worden. Op de eerste dag, 24 oktober, trad een storing op in het datacentrum, waar wel een oplossing voor gevonden werd maar onzeker was of er een stabiele situatie bestond. De migratieactiviteiten die de rest van de week gepland stonden zijn nu tot nader order uitgesteld tot men zeker is van een stabiele omgeving. Het probleem speelt niet alleen voor het HIS Medicom maar ook voor het huisartsenpostsysteem Hapicom en het apotheeksysteem Pharmacom. Deze problematiek maakt weer eens duidelijk dat het overzetten van een HIS naar  een ander datacentrum een kwetsbare operatie is. Niet alleen voor Medicom. Het kan alle HIS-sen overkomen.

Centrale componenten

Dit zijn allerlei externe toepassingen waar dit HIS-gebruik van maakt. Een HIS al langere tijd niet meer iets wat op zich zelf staat maar veel koppelingen heeft programmatuur er buiten.

Daarbij gaat het bij Medicom om:

  • Qualizorg. Daarbij moet u denken aan patiënte-ervaringsonderzoek in het kader van kwaliteitsbewaking.
  • De Stichting Inschrijving Op Naam. (ION). Deze stichting bevordert dat alle Nederlandse ingezetenen ingeschreven staan bij een BIG-geregistreerde en dus erkende huisarts. Bovendien faciliteert ION het versturen van zorgdossiers van de oude huisarts naar de nieuwe middels beveiligde zorgmail.
  • Het rechtstreeks aanleveren van declaraties.

 

Ook voor Hapicom en Pharmacom zijn er meerdere centrale componenten die nu wachten op het overzetten naar het nieuwe datacentrum.

Kerstboom

Zoals hierboven vermeld speelt de aanwezigheid van veel externe koppelingen bij alle HIS-sen. In wezen is een HIS een kerstboom die met een piek en een paar ballen geleverd wordt maar waar in de loopt van tijd veel meer ballen en slingers gehangen zijn. Daarbij ging het in de eerste plaats om koppelingen met apotheken om recepten elektronisch te versturen. Daarna volgden de verwijsbrieven, de laboratoriumuitslagen etc.. Elektronisch declareren is sinds een aantal jaren ook de standaard en vereist berichtenverkeer met VECOZO. Ook de communicatie met het Landelijk SchakelPunt is erbij gekomen en vereiste nogal wat programmeerwerk en logistiek. Er zijn nog veel meer toepassingen te noemen.  Het gevolg is dat bij veranderingen in de infrastructuur waarop een HIS draait zeer nauwgezette maatregelen genomen moeten worden om de continuïteit te waarborgen voor de praktijken.

Vroeg of laat zal elk HIS tegen het probleem dat Medicom nu treft een keer aanlopen.

Wordt vervolgd dus.

W.J. Jongejan




Huisartsinformatiesysteem Medicom weer naar ander datacentrum

datacenter-286386_640

Vanaf augustus zullen in het najaar van 2016 gebruikers van het huisarts-informatie-systeem(HIS) Medicom in fasen overgezet worden naar een ander datacentrum. Het bedrijf PharmaPartners dat Medicom beheert en ontwikkelt, heeft aan gebruikers laten weten dat men van een ander datacentrum gebruik gaat maken: Pink Roccade Healthcare. Medicom is een van andere HIS-sen wat afwijkend systeem, omdat er gewerkt wordt met clusters. Dat zijn groepjes huisartspraktijken die aan een apotheek gekoppeld zijn met gebruik van een gemeenschappelijke database. Voor Medicom-gebruikers wordt het de tweede verhuizing in 5 jaar tijd. Het heeft er alle schijn van dat PharmaPartners genoeg heeft van het KPN Cyber Center Flevoland waar het sinds 2011 Medicom liet hosten. De afgelopen twee jaar waren er herhaaldelijk problemen waarover ik berichtte.(A, B, C, D, E, F, G). In augustus worden pilot-tests gedaan met het verhuizen van Medicom-clusters naar het nieuwe datacentrum, waar naar verluidt nieuwe servers voor Medicom geïnstalleerd worden. Vanaf september zou de reguliere verhuizing van start gaan.

Datacenters

Tot 2011 werd Medicom gehost op de servers van Getronics in Apeldoorn. Deze KPN-dochter was al vanaf 2009 volledig eigenaar van PharmaPartners. Toch laat PharmaPartners in april 2011 weten dat besloten is in 2011 alle Medicom-clusters te verhuizen naar het KPN Cyber Center Flevoland te Almere. Op het internet is te lezen wat hoe geavanceerd PharmaPartners deze faciliteit vond. Duidelijk is wel dat men nu een datacentrum buiten eigen bedrijfs-/concernstructuur kiest. Dat is opvallend omdat PharmaPartners in januari 2011 door Getronics verkocht wordt aan Total Software Slutions(TSS), een conglomeraat van ICT-bedrijven dat eigendom is van de participerings-maatschappij Strikwerda Investments. Tot dat conglomeraat behoort op dat moment al Pink Roccade Healthcare, dat binnenkort de Medicom-clusters gaat hosten. Eind 2013 neemt dan weer de Canadese softwaremaker Constellation Software  voor 240 miljoen het TSS-concern over.

Eigen datacenter

Na de stap buiten het eigen concern richting KPN Cyber Center Flevoland maakt men dus nu weer de stap terug naar een datacentrum dat binnen het eigen concern ligt. Voor de verhuizing van de clusters wordt gesproken van het gedurende één avond niet beschikbaar zijn van het systeem voor de betrokken huisarts. Hoewel iedereen alles in het werk zal stellen om naadloos over te gaan kan een dergelijke verhuizing altijd leiden tot onverwachte verstoringen van de bedrijfsvoering bij huisartsen.

Het is te hopen dat dit voorlopig de laatste verandering van datacentrum is en dat de nieuwe hostende organisatie niet die problemen kent die bij het KPN Cyber Center Flevoland ervaren zijn.

W.J. Jongejan

 

 




Opgevraagde informatie via LSP bij Medicom doordeweeks niet direct compleet

network-cables-494654_640

Uit doorgaans goed ingelichte bron vernam ik, dat teveel bevragingen via het Landelijk SchakelPunt(LSP) momenteel tot overbelasting kunnen leiden van de centrale servers van het huisartsinformatiesysteem(HIS) Medicom. Die overbelasting kan dat HIS trager doen werken en de communicatie via het LSP doen uitvallen. Om dit tegen te gaan wordt de komende tijd de verse informatie, die een huisarts vastlegt in zijn elektronische dossier pas ’s-avonds beschikbaar gesteld voor bevraging via het LSP. Het betekent dat als de patiënt voor dat tijdstip een andere arts bezoekt bij opvraging de data niet volledig kunnen zijn. Door Medicom wordt een soort workaround voorgesteld. Er wordt gewerkt aan een upgrade van de LSP-omgeving om dit probleem uit de wereld te helpen, maar absoluut geen termijn genoemd in de informatie die de gebruikers toegestuurd kregen.. Tot die tijd is het dus behelpen.

Servers

Pharmapartners, de producent van Medicom, heeft de servers voor het onder ASP(Application Server Provider) draaiende HIS staan in het KPN CyberCentrum Flevoland te Almere. Als een patiënt de opt-in-toestemming voor het bevragen van zijn medische dossier via het LSP heeft gegeven wordt informatie daaruit (in de vorm van de Professionele Samenvatting) beschikbaar gemeld aan het LSP. Als de patiënt op het spreekuur is geweest wordt op de achtergrond automatisch aan het LSP gemeld dat het dossier gewijzigd/aangevuld is. Deze meldingen veroorzaken de huidige overbelasting. Als oplossing heeft men bedacht dat dat de wijzigingsmeldingen doordeweeks pas tussen 17.00 en 20.00u uitgevoerd worden. In de weekenden en in de avonden gebeurt het iedere vijf minuten. Dat kon ook haast niet anders omdat in deze perioden de kans op een hernieuwd contact met de huisarts bij spoedgevallen of ernstige ziekten vrij groot is. Het uitstellen van de wijzigingsmelding gebeurt niet bij dossiers van patiënten die nog niet eerder bij het LSP bekend waren en waarvan voor het eerst na hun opt-in-toestemming gemeld wordt aan het LSP dat gegevens beschikbaar zijn voor bevraging.

Gevolgen

Medicom werkt met clusters van huisartsen en apotheken. Binnen een cluster communiceert men met elkaar zonder het LSP. De gegevens zijn dan altijd up to date. Als een patiënt in de ochtend naar een huisarts of apotheker gaat die met Medicom werkt en hij gaat in de middag naar een zorgaanbieder met Medicom buiten het cluster of naar een zorgaanbieder met een ander HIS, dan mist die bij het inzien via het LSP de informatie die in de ochtend is ingevoerd. Bij handmatige bevraging via het LSP wordt de ontbrekende informatie WEL opgehaald.

Het advies aan de huisartsen en apothekers, die met Medicom werken is, om aan de patiënt te vragen of die eerder op de dag nog bij een andere zorgverlener is geweest of medicatie voorgeschreven heeft gekregen. Is de patiënt of zijn omgeving niet in staat om daar iets over te melden dan krijgt de zorgaanbieder het advies van PharmaPartners om dan altijd handmatig het LSP te bevragen.

Incompleet

Het moge duidelijk zijn dat doordeweeks de informatie die bij een Medicom-zorgaanbieder(huisarts of apotheker) via het LSP automatisch wordt opgevraagd incompleet kan zijn. Het kan nooit de bedoeling zijn geweest van een systeem als het LSP dat handmatig geverifieerd moet gaan worden of de getoonde informatie die verkregen is via het LSP wel compleet is. Het is juridisch ook een interessante zaak hoe het ligt met de verantwoordelijkheid voor de gevolgen van het incompleet zijn van informatie in deze casus. De HIS-leverancier verlegt namelijk de verantwoordelijkheid voor het krijgen van de meest recente informatie naar de opvragende zorgaanbieder. Deze zou er echter vanuit moeten kunnen gaan dat er geen extra handelingen nodig zijn om de informatie compleet te maken.

Het betekent weer hoe de performance van het LSP verzwakt door een zwakke schakel aan de kant van de huisartsinformatiesystemen.

W.J. Jongejan




Wat is er toch met het huisartsinformatiesysteem Medicom aan de hand?

road-sign-63983_640

Vandaag kregen huisartsen, die het huisartsinformatiesysteem(HIS) Medicom gebruiken, voor de derde keer in een week per email een bericht van de leverancier, dat er actie nodig was in het KPN CyberCentrum Flevoland om de performance te verbeteren. U moet dan denken aan een ontoelaatbare trage werking van Medicom, waardoor in huisartspraktijken het vastleggen en oproepen van gegevens zeer traag verloopt. Medicom is een HIS, waarbinnen huisartsen en  apotheken in clusters samenwerken. De clusters hebben hun Medicom-software draaien in het KPN CyberCentrum in Almere. Eerder op 9 juli zag u op deze website al een artikel daar over.

Technisch onderhoud

Vandaag werd door PharmaPartners, dat Medicom beheert en ontwikkelt,  aan aangesloten huisartsen gemeld dat er in de voormiddag technisch onderhoud op de zorgapplicaties nodig was vanwege ernstige performance-problemen. Daardoor kon Medicom tijdelijk niet beschikbaar zijn. Ook zouden er bij een werkend Medicom foutmeldingen kunnen ontstaan bij het gebruik van enkele koppelingen, die het HIS heeft met andere applicaties zoals het Landelijk SchakelPunt(LSP). Men verwachtte dat na de acties in de loop van de middag de traagheidsproblemen opgelost  zouden zijn.

Eerdere acties

In het artikel op 9 juli meldde ik al dat eerst de firewall van de Medicom-servers binnen het KPN-CyberCentrum herstart is. Daarna werden de gevirtualiseerde servers herstart en tenslotte werd in de nachtelijke uren een extra firewall geïnstalleerd. Het lastige is dat er telkens alleen de melding komt van ondernomen en te ondernemen acties naar aanleiding van traagheidsproblemen, maar nooit wat er precies aan de hand is.

Niet simpel

Dat het niet om een eenvoudig probleem gaat, wordt wel duidelijk door de maatregelen die tot nu toe genomen zijn. Ook is niet duidelijk of PharmaPartners de enige huurder van servercapaciteit in het KPN CyberCentrum Flevoland is, die problemen met zijn applicatie ervaart. Mocht het om meer klanten van KPN gaan, dan is de omvang van het probleem aanzienlijk groter. In dat geval moet men bijvoorbeeld denken aan het compromitteren van servers door externe invloeden.

Wordt mogelijk vervolgd.

W.J. Jongejan




Wat is er aan de hand bij Medicom op KPN CyberCentrum Flevoland?

security-152690_640

De gebruikers van het huisartsinformatiesysteem(HIS) Medicom hebben twee dagen achtereen een mail van de leverancier PharmaPartners gehad die vragen oproept. Er zijn performance-problemen waardoor de snelheid, waarmee Medicom werkt achteruit loopt. Die lijken te maken  te hebben met firewall-problemen. Dit HIS werkt in de vorm van clusters van huisartsen en apotheken die met elkaar regulier samenwerken. Deze clusters worden voor PharmaPartners gehost door een datacentrum van KPN in Almere. In 2011 ging PharmaPartners over van een groot aantal servers in Apeldoorn bij het datacentrum van Getronics naar het KPN CyberCentrum  Flevoland.  Daar werden de servers gevirtualiseerd en  werd met name het dagelijkse systeembeheer een stuk makkelijker.

Eerste melding

Op 7 juli werd aan de gebruikers van Medicom gemeld dat er actuele performanceproblemen waren. Blijkbaar hadden huisartsen en apothekers gemeld dat de snelheid van hun systeem terugliep. Er is toen een herstart van de firewall gedaan waarop de situatie wel wat verbeterde, maar niet voldoende. Daarna zijn de gevirtualiseerde servers herstart. Na die herstart was er een verbetering, maar nog geen optimale toestand.

Tweede melding

Op 8 juli krijgen de gebruikers een nieuwe melding dat de performance op het gewenste niveau gekomen was, maar dat de belasting van de firewall toch weer begon op te lopen. Om die reden wordt in de nacht van 8 op 9 juli een extra firewall geïnstalleerd om opnieuw traagheid te voorkomen.

Overwegingen  

Bij de eerste melding is het nog voorstelbaar dat er sprake is van een soft- of hardwareprobleem  van Medicom zonder dat er sprake is van compromitteren van systemen van buitenaf. Na de tweede melding, die van het installeren van een extra firewall, dringt zich toch de gedachte op dat er sprake is van een eventuele cyberaanval. Immers, als er hard aan de deur gerammeld wordt, zet je er ook een extra slot op. Het KPN Cybercentrum Flevoland is niet uitsluitend de host van Medicom, maar kent zeer vele klanten. Bij een cyberaanval op een dergelijk centrum is het voorstelbaar dat de firewalls van subsystemen het gigantisch druk hebben om de toegang van reguliere gebruikers mogelijk te maken naast het afslaan van aanvallers. Het plaatsen van een extra firewall kan het reguliere gebruik dan ook verbeteren.

Wat er precies gaande is, wordt meestal niet aan de buitenwacht gemeld.

Het zal dus voorlopig gissen blijven.

Wordt mogelijk vervolgd.

W.J. Jongejan