
Beveiliging medische dossiers wordt nauwelijks getoetst
Zorgaanbieders moeten zich houden aan zogeheten NEN-normen voor informatiebeveiliging, maar die worden nauwelijks getoetst.
Zorgaanbieders moeten zich houden aan zogeheten NEN-normen voor informatiebeveiliging, maar er is geen lijst van zorgverleners en -instellingen waar die normen zijn getoetst.

Beveiliging medische dossiers wordt nauwelijks getoetst
Zorgaanbieders moeten zich houden aan zogeheten NEN-normen voor informatiebeveiliging, maar er is geen lijst van zorgverleners en -instellingen waar die normen zijn getoetst.
Zorgaanbieders moeten zich houden aan specifiek voor de informatiebeveiliging in de zorg opgestelde normen, maar een overzicht van instellingen waar die NEN-normen zijn getoetst is er niet. Mochten zorgaanbieders zich willen aansluiten op de uitwisseling van medische dossiers, moeten ze zich wel aan die normen houden. Daarbij komen ook nog aanvullende eisen, verwoord in het Goed Beheerd Zorgsysteem. Maar in antwoorden op Kamervragen aan Henk Krol, fractievoorzitter van 50Plus, blijft minister Opstelten vaag of die normen en eisen ook worden getoetst voordat een zorgverlener zich aan mag sluiten bij het voormalige Landelijke Schakel Punt.
Vragen naar aanleiding van hack Groene Hart
Krol heeft vragen gesteld aan de ministers van Volksgezondheid en van Veiligheid en Justitie omtrent de veiligheid van medische gegevens bij zorginstellingen. Dat mede naar aanleiding van de hack bij het Groene Hart Ziekenhuis in Gouda, waarvoor een verdachte is opgepakt. Deze zou meer dan 7 GB aan data gestolen hebben vanaf een server waar medische gegevens van patiënten van dat ziekenhuis waren opgeslagen.
Overigens weigert Opstelten op die zaak in te gaan omdat “het onderzoek nog niet is afgerond.” Een aantal vragen van Krol gaan specifiek in op het verzoek van de politie om journalist Brenno de Winter als getuige in deze zaak te horen, en dan met name op het recht van journalisten om hun bronnen te beschermen. Opstelten zegt dat het verzoek aan De Winter op basis van vrijwilligheid is gedaan, dat er rekening wordt gehouden met bronbescherming, maar dat de hacker, die al bekend heeft, al heeft laten weten dat hij de bron is waarop De Winter zijn publicaties baseerde.
Krol is ervaringsdeskundige
Krol zelf is inmiddels gedeeltelijk veroordeeld vanwege het bekijken van medische dossiers via de systemen van medisch onderzoekscentrum Diagnostiek voor U. De rechtbank twijfelde niet aan de goede bedoelingen van de politicus, maar vond dat Krol de grenzen overschreed door vaker in te loggen en te snel naar de media te stappen. Over het meerdere malen inloggen en verzamelen van gegevens vond de rechtbank dat Krol "zich had moeten beperken tot het hoogst noodzakelijke." Krol kreeg 750 euro boete.
Een en ander was voor Krol dus wel aanleiding om vragen te stellen over de beveiliging van zorgaanbieders. Maar Opstelten stelt meerdere malen in zijn antwoord aan de 50Plusser dat die beveiliging primair de verantwoordelijkheid is van de zorgaanbieder zelf. De Inspectie voor de Gezondheidszorg (IGZ) moet toezicht houden en voert soms inspecties uit.
Ziekenhuizen lekten massaal medische dossiers
Zulke inspecties in 2003 en 2007 bij 20 ziekenhuizen heeft ertoe geleid dat alle ziekenhuizen is gevraagd zich extern te laten auditen. Dit is in 2010 gedaan. Dat leverde uiteindelijk na wat bijspijkerwerk op dat alle ziekenhuizen een voldoende scoorden voor de informatiebeveiliging, zegt Opstelten. Hij zwijgt in zijn antwoord over de hack op het Groene Hart ziekenhuis die niettemin toch mogelijk bleek.
Opstelten vindt dat het toezicht op de informatiebeveiliging bij zorgaanbieders “momenteel voldoende belegd is” bij IGZ en het College bescherming persoonsgegevens. “De huidige wettelijke bepalingen en bestaande veldnormen bieden voldoende aanknopingspunten voor toezicht op de beveiliging van medische dossiers.”
Ben benieuwd of de "NEN-toetsers" onregelmatigheden ontdekken wanneer het gaat over patriot-act + LSP + CSC
Laatste keer dat ik hier reageer. Ongelooflijk dat je op 'n techsite niets kunt wijzigen.
2 moet natuurlijk zijn:
Omdat er bepaald is dat het veilig moet zijn, is het veilig.
Jakkes, al dat wantrouwen.
1) Er is bepaald dat het veilig moet zijn.
2) Omdat er bepaald is dat het veilig moet zijn.
3) Omdat het veilig is, zijn controles overbodig.
4) Omdat er niet gecontroleerd wordt, komen problemen niet aan het licht.
5) Omdat er geen problemen zijn, blijkt dat de bepaling dat het veilig moet zijn afdoende werkt.
Dat is toch waterdicht?
Inb4 MS-extremisten met hun 'professionele' uitleg!
Opstelten stelt: "dat die beveiliging primair de verantwoordelijkheid is van de zorgaanbieder zelf".
Dan kun je op de klompen aanvoelen dat dat in het vergeethoekje komt.
1. Het ontgaat het gewoon aan je aandacht.
2. Beveilingverantwoordelijkheid bij de dezelfde leggen als functionele verantwoordelijkheid is veelal tegenstrijdig.
3. Het is niet je corebusiness.
4. Als je het al niet ontgaat, weet je dat je eigenlijk toch niet gecontroleerd wordt.
Alle voorwaarden aanwezig om het hier mis te laten gaan.
Aansluiting op het Landelijk SchakelPunt(LSP) maakt ook inzage in (delen van) dossiers mogelijk. Daarbij is het voldoen aan de Nen-normen wel heel apart geregeld. Als een huisarts zich laat aansluiten op het LSP wordt er niet actief gecontroleerd of zijn huisartsinformatiesysteem voldoet aan de NEN 7510 maar er wordt van uit gegaan dat door het aanmelden de huisarts impliciet aangeeft een GBZ(Goed Beheerd Zorgsysteem) te hebben dat aan de NEN 7510 voldoet. Hooguit wordt dat steekproefsgewijs gecheckt.
Je kunt er dus praktisch gesproken van uit gaan dat een groot deel niet voldoet aan die Nen-norm. De meeste huisarsten kennen niet eens de NEN-7510 norm.
W.J.Jongejan, huisarts niet meer praktiserend, kritisch LSP-volger
Reageer
Preview