Artsen delen foto’s van patiënten via het slecht beveiligde WhatsApp, en daarmee komt hun beroepsgeheim in gevaar, meldt weekblad Elsevier in het laatste nummer. Daarmee doen die dokters iets wat niet mag. Dat lijkt op het eerste gezicht de onvermijdelijke conclusie van het artikel. Maar hoe zou een arts moeten weten welke apps en cloudtoepassingen wel of niet veilig zijn voor medisch gebruik? Bestaan er heldere richtlijnen? Is er een lijst van verdachte apps en diensten op te vragen bij de Inspectie voor de Gezondheidszorg (IGZ)? Eenvoudige vragen met een minder eenvoudig antwoord, zo leert de praktijk.
Dat artsen professioneel gebruik willen maken van handige apps als WhatsApp en clouddiensten als Dropbox is op zich niet verwonderlijk. Er is zelfs een woord voor: consumerization. Daarmee bedoelt men de ontwikkeling waarbij je als consument veel snellere en gebruiksvriendelijke smartphones en diensten gebruikt dan die je professioneel tot je beschikking hebt.
Welke apps en clouddiensten zijn nu echt taboe voor medische professionals?
Thuis swipe je op een iPad, op het werk zit je met een oude Windowsversie een onmogelijk patiëntenscherm in te vullen. Of moet je eerst formulier 134C invullen om een foto van een wond te mogen versturen via de centrale fotoverstuur-computer bij systeembeheer in gebouw K. Dat de verleiding groot is valt dus te begrijpen. Maar welke apps en clouddiensten zijn nu echt taboe voor medische professionals?
Verschuiving naar de cloud
Een voor de hand liggende richtlijn zou kunnen zijn: artsen mogen geen cloudtoepassingen als WhatsApp, Dropbox of Gmail gebruiken voor het versturen of bewaren van privacygevoelige informatie, en in ieder geval niet in combinatie met een app op hun smartphone. Maar is daarmee elk medisch systeem dat gebruik maakt van het openbare Internet en openbare clouddiensten ongeschikt voor verantwoord medisch gebruik? Dat lijkt geen haalbaar scenario. Clouddiensten zijn juist bezig aan een sterke opmars in de medische automatisering. Recent onderzoek van TNS-NIPO in opdracht van beveiligingbedrijf ON2IT laat bijvoorbeeld zien dat IT-professionals in de zorg binnen drie jaar een forse verschuiving voorzien van eigen systemen naar systemen in de cloud. Ook vandaag de dag zijn in Nederland er al veel aanbieders van medische systemen in de cloud, bijvoorbeeld een patiëntendossier toepassing voor huisartsen of een tele-consultatie app voor GGZ-instellingen. En gezondheidswerkers in het veld gebruiker smartphones en apps om bijvoorbeeld handelingen te registreren, ook via het openbare mobiele Internet.
Het ligt dus ingewikkelder. Kennelijk zijn er veilige, goedgekeurde cloudtoepassingen en toepassingen die minder veilig zijn. Wie bepaalt welke toepassingen in orde zijn en welke niet? En wat is precies ‘in orde’? Het voorbeeld van Elsevier handelt specifiek over één aspect, namelijk privacy. Dat is een belangrijk aspect, maar lang niet het enige. Andere goede vragen over cloudtoepassingen zijn bijvoorbeeld:
- Heb ik een garantie dat de toepassing 24 uur per dag en 7 dagen in de week beschikbaar is?
- Hoe weet ik zeker dat de opgeslagen gegevens niet worden gemanipuleerd, aangepast of kwijtraken?
- Wat gebeurt er met medische data bij een verkoop of faillisement van de cloud leverancier?
Veel van deze vragen zijn natuurlijk ook van toepassing op de bestaande systemen die ziekenhuizen, huisartsen of GGZ-instellingen nu al gebruiken, niet in de cloud, maar met eigen hardware en software. Hoe is het toezicht daarop dan geregeld?
Wetten en normen
Allereerst zijn er relevante wetten. De Wet bescherming persoonsgegevens (Wbp) stelt regels ter bescherming van de privacy van burgers en legt beperkingen op ten aanzien van de verwerking van gezondheidsgegevens. De Wet op de geneeskundige behandelingsovereenkomst (WGBO) regelt o.a. de dossierplicht en stelt regels over de geheimhouding van het dossier. Maar wetten zijn bij definitie algemeen. Ze zeggen niets over specifieke toepassingen als WhatsApp of Dropbox. De vraag is dus: welke richtlijnen houdt een instantie als de Inspectie voor de Gezondheidszorg aan bij het toetsen van informatiesystemen in de zorg? Kun je als arts in die richtlijnen houvast vinden of een bepaalde toepassing door de beugel kan?
Minister Schippers van Volksgezondheid reageerde enkele weken geleden op conclusies van het College Bescherming Persoonsgegevens: geen enkele van de door het college recent onderzochte zorginstellingen voldoet aan de vereisten van de Wet bescherming persoonsgegevens (Wbp). Let wel: het gaat hier helemaal niet om de cloud of hippe apps, maar om de reguliere, bestaande automatiseringssystemen van ziekenhuizen. In een reactie stelt Edith Schippers dat de IGZ toeziet op informatiebeveiliging in de zorg op basis van de norm NEN 7510 (en de verwante 7512 en 7513). Zij meldt ook dat de IGZ de mogelijkheden bekijkt om haar toezichtactiviteiten gericht op
Kun je als arts in die richtlijnen houvast vinden of een bepaalde toepassing door de beugel kan?
naleving van deze norm intensiveren. Hiermee lijken we een concreet handvat te hebben voor artsen en ander zorgprofessionals. Er is kennelijk een norm. Maar de betreffende NEN-norm 7510 biedt 148 pagina’s aan algemene richtlijnen voor beveiliging van zorg-informatiesystemen en geen concrete lijsten met goedgekeurde systemen of applicaties. Leveranciers van cloud-infrastructuren of cloud-applicaties kunnen zich individueel wel laten auditen om te bewijzen dat ze werken volgens de richtlijnen die de NEN-norm beschrijft. Maar als alle medische instellingen, toepassingen en systemen die nog niet geheel aan deze norm voldoen morgen zouden worden stilgezet, zouden heel wat mensen in de zorg hun werk opeens niet meer kunnen doen.
De NEN-7510 publicatie bevat echter wel een ander belangrijk leidend principe: de directie of Raad van Bestuur van een zorgaanbieder is verantwoordelijk voor de informatiebeveiliging. En daarmee ligt de vraag naar het mogelijk verbod van WhatsApp voor medisch gebruik vooralsnog bij het bestuur van zorginstellingen. Zij zouden moeten zorgen voor een helder lijstje met richtlijnen voor hun medische staf. Het bestuur van een zorginstelling heeft immers ook de wettelijke verantwoordelijkheid ervoor te zorgen dat medewerkers in de betreffende instelling zorgvuldig omgaan met de medische gegevens die patiënten aan hun hulpverleners toevertrouwen. Of zoals het CBP stelt: “De patiënt moet kunnen rekenen op én een goede medische behandeling én een zorgvuldige omgang met zíjn vertrouwelijke gegevens. Van het bestuur van een zorginstelling mag worden verwacht dat het zijn medewerkers bewust maakt van de privacyrisico’s die een onzorgvuldige omgang met patiëntgegevens met zich meebrengt. “
Maar mag WhatsApp nu wel of niet?
Een eenvoudige richtlijn voor bestuurders zou kunnen zijn: alleen maar apps en toepassingen voorschrijven die door de eigen automatiseringsafdeling zijn ingekocht of ontwikkeld én die voldoen aan de NEN-normen. Daarmee ga je wel voorbij aan het feit dat sommige cloud-toepassingen misschien wel veiliger zijn dan eigen toepassingen. Bij Google werken honderden hoge voorhoofden dagelijks aan het beveiligen van Gmail; in een zorginstelling moet een kleine club systeembeheerders alles doen, van beamers instellen tot applicatiebeheer. En waarschijnlijk heeft Google meer te verliezen met een openbaar datalek dan een kleine GGZ-instelling in Nederland.
Je zou je als directie ook kunnen afvragen: voldoen bedrijven als Dropbox, Google of WhatsApp aan onze NEN-7510 norm voor zorginformatiesystemen en de wettelijke eisen zoals vastgelegd in de Wet bescherming persoonsgegevens en de Wet op de geneeskundige behandelingsovereenkomst? Het is evident dat je deze vraag niet in zijn algemeenheid, maar alleen per geval kunt beantwoorden. Cloudbedrijven die juridisch in de VS zijn gevestigd hebben bijvoorbeeld te maken met de Patriot-act, die veiligheidsdiensten een wettelijke basis voor extreem veel inzage in feitelijk alle gegevens biedt. De leveringsvoorwaarden (terms and conditions) van veel cloudbedrijven (ook WhatsApp) staan ook op gespannen voet met onze Nederlandse privacy-wetgeving. De meeste consumenten realiseren zich bijvoorbeeld nauwelijks waarmee ze instemmen als ze Facebook, Twitter of LinkedIn gebruiken.
Maar wat te denken van Figure1, een specifiek op medici gerichte app om onderling foto’s te kunnen delen, zeg maar een WhatsApp voor dokters. Uit hun voorwaarden blijkt dat dit bedrijf zich terdege bewust is van de privacy-issues en ook tal van maatregelen heeft genomen. Maar zijn die goed genoeg voor onze Nederlandse wetgeving? Of moeten we maar helemaal afzien van het via een app delen van foto’s, en teruggaan naar beveiligde fax-verbindingen? Of alleen in Nederland ontwikkelde software gebruiken? “Het blijft een lastige zaak om de beveiligingssmaatregelen van een buitenlandse cloudleverancier echt te controleren”, zegt Lieuwe Jan Koning, chief technology officer van het eerder genoemde IT-beveiliginsbedrijf ON2IT. “Je wilt eigenlijk de garantie dat een bepaalde dienst voldoet aan specifieke Nederlandse normen en wetgeving. Daarvoor zou je bijvoorbeeld ook met
“Het blijft een lastige zaak om een audit te doen bij een grotere buitenlandse cloudleverancier”
enige regelmaat een audit bij ze willen doen, of regelmatig steekproeven nemen met de beveiliging." Maar het is niet aannemelijk om ervan uit te gaan dat een bedrijf als Google zich door een Nederlands streekziekenhuis laten auditen op hun beveiliging volgens onze NEN 7510, aldus Koning. Volgens hem zegt dat op zich niet dat Google slechter met je privacy omgaat dan een systeem van een kleinere Nederlandse aanbieder. “De medaille heeft twee kanten: grote cloudaanbieders hebben er extreem veel bij te winnen dat ze niet gehackt worden, en werken dus dag- en nacht met grote teams aan beveiliging. Dat is voor een lokaal softwarebedrijfje met tien man personeel natuurlijk onmogelijk”, aldus Koning.
De conclusie is duidelijk. Het verbieden van alle apps en cloudtoepassingen in de zorg is inmiddels onmogelijk geworden. Maar een zwarte lijst met verboden apps of een witte lijst met gecertificeerde cloudtoepassingen is nog niet in zicht voor artsen die meer willen weten. De Inspectie laat in het eerder genoemde artikel van Elsevier bij monde van woordvoerder Silvie de Peijper weten dat er vooralsnog ook geen nieuwe, meer specifieke regels op komst zijn. Zij wijst op de verantwoordelijkheid van de beroepsgroepen zoals de KNMG.
Artsen en social media
De KNMG publiceerde in 2011 al “Artsen en Social Media” , een handreiking voor het gebruik van social media door artsen. Die goed ontvangen handleiding gaat echter voornamelijk in op een prudent en verantwoord gebruik van social media, met veel nadruk op privacy-aspecten. Over de kwaliteit en betrouwbaarheid van specifieke social media diensten als WhatsApp zelf wordt niets gezegd. Sterker nog: met de KNMG handleiding bij de hand zou je WhatsApp op een verantwoorde manier moeten kunnen gebruiken, bijvoorbeeld door alle verwijzingen naar patiënten anoniem te maken. De handreiking van de KNMG is niet de enige publicatie op dit gebied. Ook het CBP publiceerde bijvoorbeeld zogeheten richtsnoeren, en het Nictiz publiceerde onlangs een Handreiking patiëntauthenticatie voor aanbieders van patiënt portalen. Wat deze richtsnoeren en handreikingen gemeen hebben is dat ze algemene (en doorgaans nuttige) richtlijnen bieden, maar de detaillering overlaten aan IT-professionals en/of security-consultants. Dat is begrijpelijk, want het afturven van alle beschikbare apps en cloudtoepassingen is niet uit te voeren door dergelijke instanties.
Kortom: zolang directies en beroepsgroepen geen specifiekere richtlijnen bieden dan nu op veel plaatsen het geval is, zullen medische professionals soms op basis van het eigen gezonde verstand en generieke richtlijnen moeten beoordelen wat wel of niet door de beugel kan. En dat is moeilijk als je geen IT-deskundige bent, want zelfs de experts komen er lang niet altijd uit.
Bronnen:
Toegang tot digitale patientendossiers binnen zorginstellingen
Nictiz Programma van eisen organisatie goed beheerd systeem
Plaats een Reactie
Meepraten?Draag gerust bij!