Van eHealth naar eHell door hacken chatplatform

heaven-hell

Je zal maar op een online-platform je gevoelens en gedachten over je psychische problemen met zorgprofessionals delen en te horen krijgen dat de site gehackt is? Met daar bovenop dat hackers losgeld vragen voor de gekaapte data. Het is of je van de eHealth in de eHell terecht gekomen bent. Precies datgene meldden RTL Nieuws en de Volkskrant gisteren nadat een klokkenluider via de website Publeaks de datadiefstal gemeld had. Het is helaas een gebeurtenis die je kon voorspellen dat die ooit zou gaan gebeuren. Alleen het moment waarop niet. Bij het op enorme wijze pushen van eHealth door het ministerie van VWS zijn allerlei online hulpmiddelen, zoals chatplatforms en apps, voor mensen met psychische problemen als paddenstoelen uit de grond geschoten. Een cruciaal punt bij dat soort elektronische vormen van  professionele hulp is de beveiliging van de website of app en de onderliggende database. Daarbij dient een zorgprofessional die aan zoiets mee werkt te beseffen dat meewerken inhoudt dat men ook verantwoordelijkheid draagt voor die beveiliging. En dus ook dat men aan te spreken is bij het falen van die beveiliging.

Wat gebeurde er?

Uit bovengenoemde bronnen is het duidelijk dat het chatplatform voor jonge mensen met psychische problemen, www.pratenonline.nl gehackt is en de onderliggende database gecompromitteerd is. Het chatforum is een initiatief van de jeugd-RIAGG Noord Holland Zuid en richt zich met name op jongeren tussen de 12 en 23 jaar die kampen met angst- en depressieve klachten. In eerste instantie werd gemeld dat alleen mailadressen en telefoonnummers in handen van de hackers waren gekomen.  De Volkskrant meldde echter dat men van de hackers inzage had gehad in de inhoud van chats van een drietal personen. Daarbij was het onduidelijk of die gegevens niet gefingeerd waren. Het is de vraag of de mensen achter de website in eerste instantie naar buiten toe de schade beperkt wilden doen lijken of niet wisten tot op welk niveau men doorgedrongen was. Het lijkt te gaan om ruim 14.000 persoonsprofielen en 16.631 chatgesprekken. Ook bleek er losgeld gevraagd te worden om openbaarmaking te voorkomen.

Eisen

Cruciaal bij alle pogingen om on-line psychische hulp te verlenen is het beveiligingsniveau van de betreffende website/chatforum/app. Alleen een zeer stringente beveiliging kan voorkomen dat er makkelijk ingebroken kan worden in de systemen. Daarnaast zal binnen die systemen door compartimentering ervoor gezorgd moeten worden dat indringers niet het hele systeem in één keer binnendringen en leegroven. Het is daarbij de vraag of de overheid en in het bijzonder het ministerie van VWS niet eisen moet stellen aan het beveiligingsniveau van dergelijke dienstverlening en een controlerende taak daarin moet hebben. Zeker als vanuit dit ministerie eHealth aangejaagd wordt ligt daar een bijzondere verantwoordelijkheid voor het ministerie.

Verantwoordelijkheid deelnemende professionals

Als psychotherapeuten, psychologen of psychiaters meewerken aan een website als www.pratenonline.nl  dan dienen zij te beseffen dat zij een medeverantwoordelijkheid dragen voor het geval de website gehackt wordt.  Voor een organiserende instanties geld dat uiteraard in de eerste plaats. Naar mijn gevoel zijn zorgprofessionals bij een aantoonbare zwakke opzet van de beveiliging van de website ook tuchtrechtelijk aan te spreken. Men kan er zich dan niet vanaf maken door te stellen dat ICT-ers steken hebben laten vallen of dat de hackers te slim waren. Als zorgprofessional dien je het medisch beroepsgeheim te bewaken en dat betekent ook je vergewissen van het beveiligingsniveau van iets waar je aan mee werkt.

Moet je het willen?

Het lijkt allemaal heel mooi en laagdrempelig als met chatforums of apps mensen met psychische problemen geholpen worden. Gezien het risico dat er altijd een vorm van datalekkage of diefstal door hacken op de loer ligt moet men zich ook serieus afvragen of men altijd maar moet willen wat technisch kan. Want alles heeft zijn voor en tegen. Er bestaat niet zoiets als alleen maar win-winsituaties op dat vlak. Of zoals ik weleens in mijn werkzame bestaan zei: “Het is net als met deeg dat je uitrolt. Wat je wint in de lengte verlies je in de breedte”

W.J. Jongejan, 28-11-2018

 




De arts en de AVG: soms roomser dan de paus

pausVoor de bescherming van bijzondere(medische) persoonsgegevens is sinds 25 mei 2018 de uitvoeringswet Algemene Verordening Gegevensbescherming(AVG) van kracht. Hij is afgeleid van Europese regelgeving. Tot mei 2018 was de Wet bescherming persoonsgegevens(Wbp) van kracht. Deze was op 1 september 2001 in werking getreden. Alle informatie-bewerking / -verwerking valt er onder; dus ook die in de zorg. De AVG richt zich op papieren en elektronische gegevensverzamelingen, waarin tot een persoon herleidbare data zich bevinden. De uitvoering van de AVG levert volgens Hans Gimbel, huisarts te Heerhugowaard, grote problemen op. Hij schreef een opiniestuk in de Volkskrant van 4 september 2018 met de titel: ’Brusselse privacyregels frustreren zorgverlening’. De inhoud geeft aan dat een aantal artsen de AVG verkeerd interpreteren.

Hij schrijft:

Als de huisarts bij een patiënt met een enkelletsel een foto laat maken en deze patiënt heeft een gebroken enkel, dan mag de chirurg niet kennis nemen van de foto, tenzij de patiënt schriftelijk toestemming heeft gegeven. Klinkt absurd, maar het is helaas de werkelijkheid.” 

Hij beschrijft dat de patiënt voor elk wissewasje schriftelijk moet verklaren in te stemmen met het delen van informatie. Samengevat stelt collega Gimbel dat de AVG desastreus uitpakt voor de zorg. Indien men in zijn regio de AVG zo interpreteert en toepast, dan zien de collegae iets aan voor een probleem dat in principe niet bestaat.

Roomser dan de paus

De vraag is of de wet (AVG) niet deugt, of dat men de wet verkeerd en te rigide interpreteert. Naar onze mening is er in Gimbel’s zorgregio sprake van een misinterpretatie van deze wet en wordt die dus onjuist toegepast. Men is roomser dan de paus. Indien men zich realiseert wat aan een verwijzing van een patiënt ten grondslag ligt, is het niet nodig om ingewikkelde procedures op te tuigen.

Impliciete toestemming

Bij verwijzing van de patiënt naar een andere arts kan en mag men automatisch uitgaan van de impliciete toestemming van de patiënt voor het gericht delen van, voor een behandeling, relevante informatie met en tussen zorgverleners die direct betrokken zijn bij een behandeling. Het is geen toestemming die telkens een aparte schriftelijke vastlegging vereist. Naar onze mening dient iedereen te beseffen dat in het voorbeeld sprake is van ‘ketenzorg’. Rond het door Gimbel genoemde probleem zijn de verwijzende huisarts, het ziekenhuis, de röntgenoloog en chirurg etc. betrokken. Als de huisarts verwijst, geeft de patiënt impliciet toestemming om gericht voor de behandeling relevante informatie te delen binnen het hele behandeltraject. Er is geen apart contract in het kader van de AVG voor nodig.

Beroepsgeheim en artseneed

Alles wat de zorgverlener communiceert met derden in het kader van een behandeling valt bovendien onder het medisch beroepsgeheim. Die bestaat uit de zwijgplicht en het verschoningsrecht. Elke interactie tussen de arts als zorgverlener en patiënt wordt erdoor beschermd. De eed van Hippocrates is een tweede grondslag. Deze twee grondslagen vereisen ook geen apart contract tussen zorgverlener en patiënt en tussen zorgverleners onderling.

Garanties

Zorgverleners dienen op gepaste en aantoonbare wijze de patiëntgegevens te beschermen. Dat houdt in dat bijvoorbeeld duidelijk moet zijn wie, binnen een praktijk, waar toegang toe heeft. Dat gegevens niet in handen van onbedoelde derden terecht komen. Dat wanneer de database bij een leverancier staat, er een contract is waarin staat dat deze zich verplicht de data volgens de wet te beschermen. Daarnaast dient de zorgverlener zijn doen en laten te documenteren in een patiënten dossier. Meestal zullen het elektronische systemen zijn waar patiënt gerelateerde informatie in opgeslagen wordt.

Disclaimer

Om expliciet en transparant te zijn zou de patiënt bij inschrijving in de praktijk van de huisarts uitgelegd kunnen krijgen dat bij verwijzing slechts gericht en beperkt (medische) gegevens gedeeld worden met, binnen een keten, samenwerkende zorgverleners en dat deze de privacy zullen bewaken. Op deze wijze is aan de informatieplicht en de AVG ruim voldaan.

Gerard Freriks, huisarts niet praktiserend en jarenlang betrokken bij het maken van een standaard voor informatiebeveiliging in de zorg (NEN7510).

Wim J. Jongejan, huisarts niet praktiserend en jarenlang werkzaam in de huisartsautomatisering

2 november 2018

Dit artikel verscheen in verkorte versie op 30 oktober 2018 op de website van Medisch Contact.

 

 




Nictiz verwart diagnoses stellen met hypochondrie bevorderen

gezond?

In samenwerking met Nictiz verscheen op 18 maart 2017 in de Volkskrant een artikel van Ellen de Visser en Bard van de Weijer met al titel: “Iedereen kan eigen gezondheid in de gaten houden; maar is de arts daarbij gebaat?” en als subkop: “De moderne patiënt stelt zijn eigen diagnose”. De programmaleider van de eHealth-monitor Johan Krijgsman van Nictiz was verantwoordelijk voor de inhoud, zo blijkt op de Nictiz-website. Bij lezing van het artikel in de Volkrant valt op dat inhoud geenszins de conclusie rechtvaardigt dat de moderne patiënt zijn eigen diagnose stelt. Het verhaal gaat meer over het vastleggen van parameters van  eigen lichaamsfuncties met wearables door de “worried well”, dan om het stellen van diagnoses.  Waar het dan in het artikel wel gaat om een diagnose stellen haalt men een voorbeeld uit een Amerikaans onderzoek aan, dat de toets der kritiek absoluut niet kan doorstaan. De facto staat in het artikel in de Volkskrant eigenlijk niets zinnigs over het zelf diagnoses stellen. In het artikel van de journalisten Ellen de Visser en Bard van den Weijer komt wel ter sprake dat het met veel apps vastleggen van lichaamsfuncties het gevaar in zich draagt dat hypochondrie een serieus risico is.

eHealth

Het artikel in de Volkskrant dat in samenspraak met Nictiz tot stand is gekomen heeft overduidelijk als doel om ICT-toepassingen in de zorg te promoten. Het is ook te plaatsen in een publiciteitscampagne op instigatie van het ministerie van VWS in de laatste weken om eHealth te promoten. Zelf heb ik het gevoel dat het artikel in de Volkskrant de zaak van eHealth niet een grote dienst bereidt.

Wearables

De vele voorbeelden die Johan Krijgsman laat noteren variëren van sensors in de toiletpot tot een smart-luier die aangeeft dat er in geplast is. De wearables genereren data over lichaamsfuncties met sensors die vaak niet erg specifiek zijn en slechts beperkte parameters verschaffen over lichaamsfuncties. Het stellen van diagnoses is echter in veel gevallen niet alleen het voorhanden hebben van meetwaarden maar deze ook in de context plaatsen van de klachten die een patiënt ventileert en die bijvoorbeeld relateren aan de levensfase waarin deze zich bevindt. Het in het artikel genoemde verzamelen van data is niet synoniem met het stellen van een diagnose. Het is hooguit een onderdeel ervan. Het is een zeer beperkte, reductionistische visie op het diagnostiseringsproces.

Ziekte van Lyme

De enige plaats in het artikel waar het stellen van een diagnose echt ter sprake komt, gaat om een uiterst discutabele casus uit een Amerikaans onderzoek van de Stanford University. Dat onderzoek, valt slechts als slordige wetenschap( “sloppy science “) te karakteriseren. Het onderzoek besprak ik al eerder op deze website op 25 januari en 17 maart 2017. Onderzoeker Michael Snyder uit dat onderzoek wordt ten tonele gevoerd met een “perfecte zaak” ter faveure van de wearables. Bij deze onderzoeker was het zo dat tijdens een vliegreis zijn wearable afwijkende waarden liet zien van lichaamstemperatuur, hartfrequentie en zuurstofverzadiging. De wearable liet hooguit zien dat zijn onwel bevinden klopte met die data. De data wezen geenszins in de richting van Lyme ziekte(tekenbeetziekte). Deze diagnose werd pas gesteld met een specifieke laboratoriumtest die in een laboratorium uitgevoerd werd naar aanleiding van zijn herinnering aan het werken in een bosrijke omgeving enkele weken eerder.

Hypochondrie

Het gros van de wearables is in gebruik bij mensen die in wezen gezond zijn en de data verzamelen om te zien of er geen negatieve signalen zijn over hun gezondheidstoestand. Het verkoopargument bij deze wearables gaat dan ook precies over die gedachte. Hypochonders hebben een overdreven preoccupatie of overmatige angst om een (ernstige) ziekte te hebben. De wearables bevorderen dat in hoge mate. Het trieste is dat de sensors in wezen maar een beperkte mate van zeggingskracht hebben voor het vaststellen van bepaalde ziektetoestanden. Zo zal een hartfrequenties of ECG-sensor prachtig ritmestoornissen kunnen vastliggen maar zal zelfs met een sophisticated algoritme niet met zekerheid de diagnose diabetes gesteld kunnen worden op basis van die data. Resultaten van bewerking van sensordata met algoritmen zullen onvermijdelijk grote aantallen fout-positieven( als ziek gekenschetst zonder dat het zo is) en fout-negatieven( ten onrechte gekenschetst als niet-ziek) hebben.

eHealth

Het gebruik van ICT in de zorg heeft zeker belangrijke veranderingen tot stand gebracht en zal dat ook in de toekomst ongetwijfeld hebben. Daar ben ik niet tegen en zie ik het nut van in. Het tegen beter weten in en zonder kritisch oog onzin vertellen valt mijns inziens niet onder eHealth. Zoals Nictiz nu bezig is met een dergelijk artikel in de Volkskrant getuigt niet van een gezonde kritische houding tegenover eHealth. Nictiz toont zich hiermee een slaafs volger van het ministerie van VWS dat koste wat kost eHealth wil promoten.

W.J. Jongejan