Blog: 'veilige' zorgmessenger apps zorgen voor data silo’s

SmartHealth publiceert regelmatig een bijdrage van gastbloggers. Deze week: Fabio Catarinella van Brightfish.

Communiceren per app met je dokter, en tussen dokters onderling, is booming business. Op de Zorg & ICT vakbeurs afgelopen maart waren een dozijn messaging apps vertegenwoordigd, die allemaal claimen veilig en volgens wet- en regelgeving te werken. In Medisch Contact verscheen onlangs het artikel Veilig appen doe je zo, waarin de regels voor digitale communicatie over patiënten nog eens op een rij werden gezet. De angst die wordt gecreëerd door te schermen met de meldplicht datalekken en ingewikkelde encryptie technieken leidt af van het feit dat die apps op hun beurt ook weer silo's van data worden, stelt Fabio Catarinella van Brightfish.

Met het artikel in Medisch Contact geven jurist Sjaak Nouwt (KNMG) en Joost Bruggeman (oprichter van Siilo, een messenger-app voor de zorg) een aantal voorbeelden uit de praktijk. Het artikel haalt de wet op de geneeskundige behandelovereenkomst (Wgbo) aan voor de wet- en regelgeving omtrent de behandelovereenkomst tussen zorgverlener en patiënt, maar zegt niets over artikel 454. In lid 1 van dit artikel wordt de plicht van de hulpverlener om een dossier te voeren beschreven. In dit dossier moeten aantekeningen over de gezondheid van de patiënt, uitgevoerde verrichtingen en “andere stukken, bevattende zodanige gegevens” worden opgenomen, "een en ander voor zover dit voor een goede hulpverlening aan hem noodzakelijk is”.

Dit artikel 454 over goede dossiervoering impliceert dus dat patiënt-specifieke berichten die uitgewisseld worden met messaging apps tussen zorgverleners of tussen zorgverlener en patiënt, ook onderdeel uit zouden moeten maken van het dossier en zodoende ook onderhavig zijn aan de wet- en regelgeving die op dit dossier van toepassing is. Daar hoor je de makers van messenger apps in de zorg echter nooit over.

Multidisciplinair werken

Tegenwoordig is het nog maar zelden één enkele hulpverlener die zich met de patiënt bezig houdt: steeds vaker werkt men in multidisciplinaire teams, regionaal overleg of tussen zorginstellingen en ziekenhuizen. Daarom is het belangrijk dat de inzichten, conclusies en overwegingen van de verschillende leden van dit (multidisciplinaire) team - ook als deze via berichten worden uitgewisseld - kunnen worden teruggevonden in het elektronisch patiënten- of cliëntendossier, zodat ze later ook nog voor naslag beschikbaar zijn.

Ook juridisch is het zeer wenselijk om dit soort digitaal overleg bij te houden. Er moet immers altijd (veelal achteraf) de mogelijkheid zijn om beslissingen en beleid te verantwoorden. Praktisch gezien betekent dit een koppeling tussen het instant-messaging platform en het elektronisch patiëntendossier (EPD).

Om weer terug te komen op het artikel in Medisch Contact; als voorbeeld wordt in het artikel de situatie geschetst van een CT-scan in een acute setting, waarbij een specialist in een academisch centrum om een mening wordt gevraagd. Het is niet geheel ondenkbaar dat er in deze spoedsituatie geen tijd meer is om de mening van deze specialist ook nog eens apart te gaan registreren in het lokale elektronische patiëntendossier in het ziekenhuis waar de patiënt in kwestie behandeld wordt. Deze informatie zit vervolgens dus 'opgesloten' in de messaging app van de zorgverlener die de oorspronkelijke vraag stelde en is niet beschikbaar voor bijvoorbeeld de dagdienst, die de zorg van de patiënt de volgende dag overneemt. Wanneer deze app ook nog eens het bericht automatisch vernietigd na een bepaalde periode is de informatie onherstelbaar verloren. Kortom, het is maar zeer de vraag of een volledig gesloten en versleutelde messaging app in lijn is met de geldige wet- en regelgeving omtrent het voeren en bijhouden van een medisch dossier.

De term “encryptie”

Het sleutelwoord bij veel instant messaging applicaties en platformen is encryptie. Deze term wordt in verschillende hoedanigheden gebruikt, waarbij end-to-end encryptie (E2EE) door veel leveranciers als de heilige graal wordt gezien. Hierbij is alle data versleuteld tijdens de gehele communicatieketen en alleen maar inzichtelijk op de twee 'uiteindes' van de keten, dus voor de zender en de ontvanger. De belofte is dat het, met de juiste encryptie, niet mogelijk is om uitgewisselde berichten tussentijds te onderscheppen.

De opzet van deze beveiliging is inderdaad handig in het geval van privéberichten, zoals bij WhatsApp, als een ingebouwde garantie dat een dienst als Facebook (eigenaar van WhatsApp) niet mee kan lezen. Bij zorgtoepassingen is dit juist een manco van end-to-end encryptie. Er is hierdoor namelijk geen mogelijkheid om de informatie centraal op te slaan of te routeren, bijvoorbeeld in een centraal EPD, zoals ik eerder schetste.

Angst voor datalek

De argumenten die worden aangevoerd om dan toch de techniek van end-to-end encryptie in te zetten zijn inhoudelijk wisselend maar eenduidig in hun thema: angst voor het lekken van gevoelige informatie naar onbevoegde personen. Maar zoals vaker geldt bij cybersecurity problematiek: de zwakste schakel is niet de technische beveiliging (zelfs niet zonder e2ee) maar de menselijke gebruiker. Er zijn vele manieren om aan patiënt-informatie te komen, variërend van de patiënt simpelweg opbellen en doen alsof men van het ziekenhuis is tot inbreken in de serverruimte van het ziekenhuis en daar een harde schijf uit een rack trekken. De meeste datalekken worden dan ook eerder veroorzaakt door een menselijke factor (een verloren USB-stick bijvoorbeeld, of per ongeluk data delen met de verkeerde persoon), dan door een technisch probleem (gebrekkige of beperkte encryptie).

Zwakste schakel bij cybersecurity is niet de technische beveiliging maar de menselijke gebruiker

De gebruikelijke manier van data encryptie gedurende het moment dat de data onderweg is - "Transport Layer Security" (TLS), het protocol dat websites en apps van banken en overheid gebruiken - is praktisch onbreekbaar voor derden en zou afdoende moeten zijn voor de beveiliging van chatberichten in de zorg. Om in staat te zijn om deze verbinding af te vangen en te onderscheppen moet men eerst toegang krijgen tot de centrale infrastructuur van het ziekenhuis of de serviceprovider. Als een aanvaller al zo ver kan komen, zal hij op dat punt het individuele berichtenverkeer tussen hulpverleners niet meer interessant vinden en zich eerder richten op het 'kroonjuweel' van het ziekenhuis: de database van het elektronisch patiëntendossier met daarin alle medische gegevens van alle patiënten, onversleuteld en al. Kortom, een reguliere TLS beveiliging van het berichtenverkeer ‘onderweg’ is al voldoende bescherming om het voor hackers onaantrekkelijk te maken (ten opzichte van andere ‘juwelen’ in het ziekenhuis).

Beleid voor mobile devices

Encryptie wordt ook vaak gebruikt om te beschrijven hoe data op een telefoon of tablet wordt opgeslagen. De twee grootste mobiele platformen (Apple’s iOS en Google's Android) gebruiken bijvoorbeeld een versleuteld (encrypted) bestandssysteem. Dit betekent dat de data op de 'harde schijf' van het toestel niet te lezen is zonder een 'sleutel'. Die sleutel is meestal een pincode of vingerafdruk.

Een ander veel genoemd probleem is informatie die vanuit een 'veilige' applicatie overloopt naar een 'onveilige' applicatie, bijvoorbeeld van de interne messenger-app van je smartphone naar het externe WhatsApp. Via policies kan men afdwingen dat het besturingssysteem dit niet toestaat. Veel ziekenhuizen en instellingen maken gebruik van een zogenaamde 'Mobile Device Management' (MDM) oplossing, waarin deze functionaliteit standaard is.

Door binnen de instelling een duidelijke beleid voor mobiele apparaten op te stellen kan men afdwingen dat toegang tot de messenger gekoppeld wordt aan deze policies. Er zijn verschillende white papers en handleidingen voor dit soort inrichtingen beschikbaar, veelal afkomstig van overheid en defensie. Kortom, een goed beleid omtrent mobile devices in combinatie met een MDM oplossing, zorgt ervoor dat de data op het apparaat van de gebruiker veilig is.

Wil je toch per se end-to-end encryptie inzetten, dan is een hybride model wenselijker, waarbij er een tussenstation is binnen de muren van een ziekenhuis. Op dit tussenstation (een server of software die berichten kan routeren) kunnen berichten dan worden ontcijferd en opgeslagen in het EPD, voordat ze weer versleuteld doorgestuurd worden naar de ontvanger. Uiteraard stelt dit wel eisen aan de beveiliging van dit tussenstation, maar die eisen zijn identiek aan de rest van de EPD-infrastructuur.

De echte uitdaging

Volgens mij is het beveiligen van instant messaging in de zorg niet de grote uitdaging. De echte uitdaging zit hem erin dat we nu en in de toekomst geen (nieuwe) silo’s van messaging apps krijgen. 'Echte' end-to-end encryptie heeft zijn nut in specifieke situaties, maar is niet praktisch in een medische setting waarbij berichten ook in onversleutelde vorm beschikbaar moeten zijn voor centrale opslag en naslag door andere zorgverleners. Mocht je het toch nodig vinden, kies dan voor de hybride vorm zoals ik hierboven suggereer.

Interessanter is de stelling dat instant messaging dezelfde classificatie als een medisch dossier zou moeten hebben, inclusief de bijbehorende wet- en regelgeving. Dit is een aspect dat mijn inziens door de huidige leveranciers vaak onderbelicht blijft en ook niet benoemd wordt in hun communicatie. De angst die wordt gecreëerd door te schermen met de meldplicht datalekken en ingewikkelde encryptie technieken leidt hiervan af en is ook onterecht. Meestal is het niet de techniek maar ontbrekend beleid dat datalekken en onveiligheden tot gevolg heeft. Een terechte angst daarentegen is die voor nieuwe silo’s van waardevolle medische data die niet terecht komt in het daarvoor bestemde EPD.

Mijns inziens kunnen zowel de eisen van de Wgbo en de wetten omtrent de bescherming van privacy worden ingewilligd door de instant messaging service te hosten in een veilige omgeving, al dan niet binnen het ziekenhuis, en de verbindingen van en naar de dienst te versleutelen volgens gangbare principes zodat een centrale messaging hub de data kan 'wegschrijven' naar het EPD.

Over de gastauteur: Fabio Catarinella is arts en werkt bij softwarebedrijf Brightfish. Tevens is hij bezig met het behalen van een Ph.D. bij het Maastricht UMC+, met als onderwerp uitkomstmetingen van zorg, waarbij zijn focus ligt op de kwaliteit van leven effecten van vaatchirurgische ingrepen.