SynthesHIS

Bart Jacobs is hoogleraar Computerbeveiliging in Nijmegen en Eindhoven. 'Dat is het leukste en spannendste onderdeel van de informatica. Je hebt te maken met de onderliggende wiskundige techniek, cryptografie (de wiskundige techniek van het versleutelen), met implementatietechnieken en met reguleringsvraagstukken waar vaak juridische haken en ogen aanzitten. Het is niet alleen wetenschappelijk interessant, het is ook maatschappelijk zeer relevant. Als er in de media aandacht wordt besteed aan informatica, betreft dat in 80 procent van de gevallen beveiligingsissues. Denk maar eens aan de OV-chipkaart of rekeningrijden. Security-problemen spelen zo'n cruciale rol dat zij een project kunnen maken of breken.'

‘Nederland was een voorloper met elektronisch stemmen. In 98 procent van alle gemeenten werden de stemhokjes, rode potloden en stembussen vervangen door elektronische stemkasten. Tot in 2006 een actiegroep erop wees dat het van de gekke was. Je drukt op een knop en weet vervolgens niet wat er gebeurt. Een computerprogramma telt de stemmen, maar daar heeft nog nooit een onafhankelijk persoon naar gekeken. Vertrouwen we onze democratie toe aan de enige twee mensen in Nederland die weten hoe het werkt, aan de makers? Deze vragen werden volkomen terecht gesteld. De actiegroep organiseerde er bovendien goed gekozen stunts omheen en binnen een jaar was het over met het elektronisch stemmen... Dit moet een waarschuwing zijn, ook voor het EPD!’

GEEN UITZONDERINGEN‘Veel grote IT-projecten mislukken, vooral in complexe organisaties. Bijvoorbeeld bij belastingdienst en UWV. Verwacht wordt dat de IT-problemen bij de belastingdienst op zijn vroegst in 2013 zijn opgelost, bij het UWV is onlangs 78 miljoen euro geïnvesteerd in een mislukt project. In feite is een computer een onnozel apparaat, waarvoor je exact moet beschrijven wat het IT-systeem moet doen. Je moet daarvoor regels heel secuur formaliseren. In de praktijk is er in elke organisatie altijd een bepaalde hoeveelheid smeerolie, dat is inherent aan mensenwerk. Mensen willen kunnen afwijken van officiële regels om iets toch voor elkaar te krijgen. Men zegt wel eens dat alle grote bedrijven ophouden te functioneren als de secretaresse niet meer de handtekening van haar baas mag zetten. Misschien is dat wat overdreven, maar het schetst de kern van het probleem.

Een computer kent geen uitzonderingen (tenzij voorgeprogrammeerd). Als je alle patiëntendossiers in een computer zet en je maakt zorgvuldig regels wie die in welk geval mag raadplegen, kun je in noodgevallen op problemen stuiten. Bij een project in het Radboud MC bleek hoe moeilijk het was om exact aan te geven wanneer er sprake is van een behandelrelatie. In de praktijk zal een arts vaak aan een collega vragen: ?Wil je even meekijken...?? Formeel gezien mag een collega die geen behandelrelatie heeft met de betreffende patiënt, diens dossier niet inzien.’

‘Een enkel schandaal kan al voldoende zijn om het EPD te doen wankelen’

COMPLEXITEIT ONTSTAAT‘Als besloten wordt om te automatiseren, wordt vaak gekozen aan te sluiten bij de bestaande dagelijkse praktijk, want het werkt niet als een IT-systeem totaal andere dingen wil dan mensen gewend waren. Het is moeilijk om die dagelijkse praktijk goed op papier te krijgen en daaruit de processen te destilleren die je wilt ondersteunen met IT. Omdat zo'n traject lang duurt, zie je tussentijds de wensen en eisen voor het systeem steeds veranderen en toenemen. De belastingdienst was er bijvoorbeeld op ingericht om geld binnen te halen. De politiek bedacht op een bepaald moment dat er ook geld uitgekeerd moest worden. Dat was vragen om problemen, dan wordt het te complex. Op zo’n moment moeten de hele organisatie en de hun ondersteunende IT-systemen worden omgegooid.’

EIGENAAR?Kunnen we in de zorg soortgelijke problemen verwachten? ‘De gezondheidszorg is gebaseerd op het idee van de arts als autoriteit: de patiënt luistert naar de arts en doet wat zij of hij zegt. Maar dat model begint scheurtjes te vertonen. Patiënten worden mondiger en zijn steeds beter geïnformeerd. Artsen moeten zich steeds vaker verantwoorden. Er ontstaan nieuwe vormen van communicatie. Artsen worden steeds meer onderdeel van netwerkstructuren. Of de architectuur hierdoor fundamenteel wordt aangetast, durf ik niet te beweren. Maar het is voorbarig om te roepen dat dat niet zal gebeuren. Een cruciale kwestie is het bezit van de medische gegevens. Juridisch is dat niet geregeld, met andere woorden de gegevens zijn noch van de betreffende patiënt, noch van de arts. De arts doet alsof het zijn gegevens zijn. De patiëntenorganisaties vinden dat de gegevens van de patiënten zijn. Het EPD wordt nu opgetuigd en daarbij is gekozen voor een structuur met de professional als eigenaar van de dossiers. Ik weet niet of daar over een aantal jaren misschien anders over gedacht wordt...’

‘Er is grenzeloos geloof in de mogelijkheden van IT, en te weinig oog voor de beperkingen ervan’

VERTROUWEN‘Vroeger bewaarde mijn huisarts mijn gegevens netjes in een mapje in een afgesloten kast in zijn praktijk. Ik had er vertrouwen in dat mijn huisarts daar redelijk zorgvuldig mee omging. Maar misschien is de praktijk inmiddels wel overgestapt op een HIS onder ASP. Daar is mij nooit iets over verteld. Wat ik zorgelijk vind is dat huisartsen zomaar zo'n overstap maken, en daarbij mijn gegevens in andere handen geven waar zij en ik geen controle en zicht op hebben. Ik vind dat niet netjes. Misschien wil ik dat helemaal niet. Misschien houd ik mijn dossier dan wel liever thuis.

Veruit de meeste mensen hebben een groot vertrouwen in medici. Maar je ziet dat vertrouwen in automatisering snel over is als er beveiligingsincidenten optreden. Wie heeft er nog vertrouwen in de OV-chipkaart? Ondertussen worden hele sectoren afhankelijk van automatisering. Denk aan internetbankieren. De kantoren zijn gesloten, we kunnen niet meer terug. Als de servers onderuitgaan en we gaan massaal over op overboekingen per post, kunnen de banken dat helemaal niet meer aan. Er is grenzeloos geloof in de mogelijkheden van IT, en te weinig oog voor de beperkingen ervan.

Ik heb het idee dat er bij huisartsen twee dingen door elkaar lopen. Het is niet de beroepsgroep die het meest enthousiast meewerkt aan de invoering van het landelijke EPD. Er is sprake van verzet. Maar op welke grond? Spelen er oprechte argumenten vanwege veiligheid en privacy of hebben ze geen zin om hun systemen daarvoor geschikt te maken? Dat is niet helder, maar het maakt de discussie lastig. Eerst moet boven tafel komen waar het precies om gaat en wat de exacte zorgpunten zijn.’

‘Het gaat om een principiële keuze tussen gefragmenteerde en gedistribueerde dossiers of een landelijk EPD...’

IDENTITEITSFRAUDE‘Zelf maak ik me grote zorgen over het gebruik van het BSN in de zorg, vanwege het gevaar op identiteitsfraude. In de Verenigde Staten is dat de snelst groeiende vorm van misdaad. Het punt is dat er steeds meer transacties elektronisch plaatsvinden en via internet is het moeilijk vast te stellen wie er aan de andere kant van de lijn zit. Als iemand mijn creditkaartgegevens heeft kan hij daar betalingen mee verrichten. Naarmate er meer gegevens over mij op meer plaatsen bekend zijn, loop ik een groter risico dat daar misbruik van wordt gemaakt. Vergeet niet dat er in Nederland behoorlijk veel mensen onverzekerd rondlopen, maar wel graag zorg krijgen als ze iets mankeren. De gemakkelijkste manier om die te krijgen is op naam van iemand anders. Ik schets een scenario. Zo'n onverzekerde scant zijn paspoort en zet daar photoshoppend een ander BSN in. In het ziekenhuis laat hij ter controle van zijn identiteit een kopie van dat paspoort zien. Als daar een opmerking over komt, vertelt hij met veel misbaar dat de afgelopen jaren zijn paspoort al drie keer is gestolen en de kopie overal wordt geaccepteerd... Stel dat iemand met mijn BSN bloed laat afnemen, dan wordt er aan mijn dossier een verkeerde bloedgroep gekoppeld. En als ik dan een paar dagen later een bloedtransfusie nodig heb... Is daar voldoende over nagedacht? Als er nu iemand in Bolsward mijn BSN misbruikt en een verkeerde bloedgroep in een dossier weet te krijgen, heb ik daar in Nijmegen geen last van. Maar als alle medische gegevens straks gekoppeld zijn in het EPD, ligt dat toch anders. Dan propageren fouten door het hele systeem. Het gaat om een principiële keuze tussen gefragmenteerde en gedistribueerde dossiers of een landelijk EPD...’

‘Ik pleit ervoor dat mensen een eigen datakluis krijgen voor al hun persoonlijke gegevens, inclusief medische’

TOEGANG‘Een andere zorgwekkende kwestie. Iedereen in een witte jas kan bij ieder dossier. Computers staan de hele dag open, artsen hebben geen zin om steeds opnieuw in en uit te loggen. Regulering van de toegang is ontzettend belangrijk bij het EPD en vraagt om cruciale keuzen. Wie mag onder welke omstandigheden welke gegevens inzien? En ook: hoeveel mensen kunnen straks bij dat EPD? Denk maar eens terug aan het incident met de VECOZO-database vorig jaar. Daar mochten zo’n 100.000 mensen in. Dus lagen de verzekeringsgegevens feitelijk op straat, inclusief geheime adressen van bekende Nederlanders. Pas na een bericht in Trouw zijn de adressen eruit gehaald en is de toegang sterk beperkt.

Ik pleit ervoor dat mensen een eigen datakluis krijgen voor al hun persoonlijke gegevens, inclusief medische. Alleen zij zelf hebben de sleutel en zij bepalen aan wie ze toegang verlenen. Voor noodsituaties is er een rode knop. Iedereen krijgt een gebruiksvriendelijke standaardkluis die op een verstandige manier is ingericht. Bijvoorbeeld in samenspraak met de patiëntenorganisaties. Maar iedereen kan ook zijn eigen keuzen maken. Zelf zou ik hooguit twee artsen die ik ken, toegang verlenen. Anderen moeten het zo nodig maar vragen of de rode knop gebruiken. Ik ben niet bang dat dit te ingewikkeld is. Dit soort zaken worden onvermijdelijk en we hebben ook allemaal in no time leren omgaan met mobiele telefoon, pinpas en internet.

Ik heb echt niet het idee dat ik als relatieve buitenstaander weet hoe het allemaal moet. Desgevraagd houd ik de zorgsector een spiegel voor in de hoop dat ze gevoeligheid voor deze issues ontwikkelen. Die vragen om serieuze aandacht. Want het is geen louter lastige kwestie, het raakt de fundamenten van het vak: de verhouding tussen arts en patiënt.

Wilt u reageren?
Jeroen van der Lugt, e-mail: lugtkus - AT - gmail.com
Gerda Mensink, e-mail: tweespraak - AT - tiscali.nl


	In essentie draait beveiliging om het reguleren van de toegang tot waardevolle gegevens Jeroen van der Lugt en Gerda Mensink

			Bart Jacobs is hoogleraar Computerbeveiliging in Nijmegen en Eindhoven. 'Dat is het leukste en spannendste onderdeel van de informatica. Je hebt te maken met de onderliggende wiskundige techniek, cryptografie (de wiskundige techniek van het versleutelen), met implementatietechnieken en met reguleringsvraagstukken waar vaak juridische haken en ogen aanzitten. Het is niet alleen wetenschappelijk interessant, het is ook maatschappelijk zeer relevant. Als er in de media aandacht wordt besteed aan informatica, betreft dat in 80 procent van de gevallen beveiligingsissues. Denk maar eens aan de OV-chipkaart of rekeningrijden. Security-problemen spelen zo'n cruciale rol dat zij een project kunnen maken of breken.' ‘Nederland was een voorloper met elektronisch stemmen. In 98 procent van alle gemeenten werden de stemhokjes, rode potloden en stembussen vervangen door elektronische stemkasten. Tot in 2006 een actiegroep erop wees dat het van de gekke was. Je drukt op een knop en weet vervolgens niet wat er gebeurt. Een computerprogramma telt de stemmen, maar daar heeft nog nooit een onafhankelijk persoon naar gekeken. Vertrouwen we onze democratie toe aan de enige twee mensen in Nederland die weten hoe het werkt, aan de makers? Deze vragen werden volkomen terecht gesteld. De actiegroep organiseerde er bovendien goed gekozen stunts omheen en binnen een jaar was het over met het elektronisch stemmen... Dit moet een waarschuwing zijn, ook voor het EPD!’ GEEN UITZONDERINGEN‘Veel grote IT-projecten mislukken, vooral in complexe organisaties. Bijvoorbeeld bij belastingdienst en UWV. Verwacht wordt dat de IT-problemen bij de belastingdienst op zijn vroegst in 2013 zijn opgelost, bij het UWV is onlangs 78 miljoen euro geïnvesteerd in een mislukt project. In feite is een computer een onnozel apparaat, waarvoor je exact moet beschrijven wat het IT-systeem moet doen. Je moet daarvoor regels heel secuur formaliseren. In de praktijk is er in elke organisatie altijd een bepaalde hoeveelheid smeerolie, dat is inherent aan mensenwerk. Mensen willen kunnen afwijken van officiële regels om iets toch voor elkaar te krijgen. Men zegt wel eens dat alle grote bedrijven ophouden te functioneren als de secretaresse niet meer de handtekening van haar baas mag zetten. Misschien is dat wat overdreven, maar het schetst de kern van het probleem. Een computer kent geen uitzonderingen (tenzij voorgeprogrammeerd). Als je alle patiëntendossiers in een computer zet en je maakt zorgvuldig regels wie die in welk geval mag raadplegen, kun je in noodgevallen op problemen stuiten. Bij een project in het Radboud MC bleek hoe moeilijk het was om exact aan te geven wanneer er sprake is van een behandelrelatie. In de praktijk zal een arts vaak aan een collega vragen: ?Wil je even meekijken...?? Formeel gezien mag een collega die geen behandelrelatie heeft met de betreffende patiënt, diens dossier niet inzien.’ ‘Een enkel schandaal kan al voldoende zijn om het EPD te doen wankelen’ COMPLEXITEIT ONTSTAAT‘Als besloten wordt om te automatiseren, wordt vaak gekozen aan te sluiten bij de bestaande dagelijkse praktijk, want het werkt niet als een IT-systeem totaal andere dingen wil dan mensen gewend waren. Het is moeilijk om die dagelijkse praktijk goed op papier te krijgen en daaruit de processen te destilleren die je wilt ondersteunen met IT. Omdat zo'n traject lang duurt, zie je tussentijds de wensen en eisen voor het systeem steeds veranderen en toenemen. De belastingdienst was er bijvoorbeeld op ingericht om geld binnen te halen. De politiek bedacht op een bepaald moment dat er ook geld uitgekeerd moest worden. Dat was vragen om problemen, dan wordt het te complex. Op zo’n moment moeten de hele organisatie en de hun ondersteunende IT-systemen worden omgegooid.’ EIGENAAR?Kunnen we in de zorg soortgelijke problemen verwachten? ‘De gezondheidszorg is gebaseerd op het idee van de arts als autoriteit: de patiënt luistert naar de arts en doet wat zij of hij zegt. Maar dat model begint scheurtjes te vertonen. Patiënten worden mondiger en zijn steeds beter geïnformeerd. Artsen moeten zich steeds vaker verantwoorden. Er ontstaan nieuwe vormen van communicatie. Artsen worden steeds meer onderdeel van netwerkstructuren. Of de architectuur hierdoor fundamenteel wordt aangetast, durf ik niet te beweren. Maar het is voorbarig om te roepen dat dat niet zal gebeuren. Een cruciale kwestie is het bezit van de medische gegevens. Juridisch is dat niet geregeld, met andere woorden de gegevens zijn noch van de betreffende patiënt, noch van de arts. De arts doet alsof het zijn gegevens zijn. De patiëntenorganisaties vinden dat de gegevens van de patiënten zijn. Het EPD wordt nu opgetuigd en daarbij is gekozen voor een structuur met de professional als eigenaar van de dossiers. Ik weet niet of daar over een aantal jaren misschien anders over gedacht wordt...’ ‘Er is grenzeloos geloof in de mogelijkheden van IT, en te weinig oog voor de beperkingen ervan’ VERTROUWEN‘Vroeger bewaarde mijn huisarts mijn gegevens netjes in een mapje in een afgesloten kast in zijn praktijk. Ik had er vertrouwen in dat mijn huisarts daar redelijk zorgvuldig mee omging. Maar misschien is de praktijk inmiddels wel overgestapt op een HIS onder ASP. Daar is mij nooit iets over verteld. Wat ik zorgelijk vind is dat huisartsen zomaar zo'n overstap maken, en daarbij mijn gegevens in andere handen geven waar zij en ik geen controle en zicht op hebben. Ik vind dat niet netjes. Misschien wil ik dat helemaal niet. Misschien houd ik mijn dossier dan wel liever thuis. Veruit de meeste mensen hebben een groot vertrouwen in medici. Maar je ziet dat vertrouwen in automatisering snel over is als er beveiligingsincidenten optreden. Wie heeft er nog vertrouwen in de OV-chipkaart? Ondertussen worden hele sectoren afhankelijk van automatisering. Denk aan internetbankieren. De kantoren zijn gesloten, we kunnen niet meer terug. Als de servers onderuitgaan en we gaan massaal over op overboekingen per post, kunnen de banken dat helemaal niet meer aan. Er is grenzeloos geloof in de mogelijkheden van IT, en te weinig oog voor de beperkingen ervan. Ik heb het idee dat er bij huisartsen twee dingen door elkaar lopen. Het is niet de beroepsgroep die het meest enthousiast meewerkt aan de invoering van het landelijke EPD. Er is sprake van verzet. Maar op welke grond? Spelen er oprechte argumenten vanwege veiligheid en privacy of hebben ze geen zin om hun systemen daarvoor geschikt te maken? Dat is niet helder, maar het maakt de discussie lastig. Eerst moet boven tafel komen waar het precies om gaat en wat de exacte zorgpunten zijn.’ ‘Het gaat om een principiële keuze tussen gefragmenteerde en gedistribueerde dossiers of een landelijk EPD...’ IDENTITEITSFRAUDE‘Zelf maak ik me grote zorgen over het gebruik van het BSN in de zorg, vanwege het gevaar op identiteitsfraude. In de Verenigde Staten is dat de snelst groeiende vorm van misdaad. Het punt is dat er steeds meer transacties elektronisch plaatsvinden en via internet is het moeilijk vast te stellen wie er aan de andere kant van de lijn zit. Als iemand mijn creditkaartgegevens heeft kan hij daar betalingen mee verrichten. Naarmate er meer gegevens over mij op meer plaatsen bekend zijn, loop ik een groter risico dat daar misbruik van wordt gemaakt. Vergeet niet dat er in Nederland behoorlijk veel mensen onverzekerd rondlopen, maar wel graag zorg krijgen als ze iets mankeren. De gemakkelijkste manier om die te krijgen is op naam van iemand anders. Ik schets een scenario. Zo'n onverzekerde scant zijn paspoort en zet daar photoshoppend een ander BSN in. In het ziekenhuis laat hij ter controle van zijn identiteit een kopie van dat paspoort zien. Als daar een opmerking over komt, vertelt hij met veel misbaar dat de afgelopen jaren zijn paspoort al drie keer is gestolen en de kopie overal wordt geaccepteerd... Stel dat iemand met mijn BSN bloed laat afnemen, dan wordt er aan mijn dossier een verkeerde bloedgroep gekoppeld. En als ik dan een paar dagen later een bloedtransfusie nodig heb... Is daar voldoende over nagedacht? Als er nu iemand in Bolsward mijn BSN misbruikt en een verkeerde bloedgroep in een dossier weet te krijgen, heb ik daar in Nijmegen geen last van. Maar als alle medische gegevens straks gekoppeld zijn in het EPD, ligt dat toch anders. Dan propageren fouten door het hele systeem. Het gaat om een principiële keuze tussen gefragmenteerde en gedistribueerde dossiers of een landelijk EPD...’ ‘Ik pleit ervoor dat mensen een eigen datakluis krijgen voor al hun persoonlijke gegevens, inclusief medische’ TOEGANG‘Een andere zorgwekkende kwestie. Iedereen in een witte jas kan bij ieder dossier. Computers staan de hele dag open, artsen hebben geen zin om steeds opnieuw in en uit te loggen. Regulering van de toegang is ontzettend belangrijk bij het EPD en vraagt om cruciale keuzen. Wie mag onder welke omstandigheden welke gegevens inzien? En ook: hoeveel mensen kunnen straks bij dat EPD? Denk maar eens terug aan het incident met de VECOZO-database vorig jaar. Daar mochten zo’n 100.000 mensen in. Dus lagen de verzekeringsgegevens feitelijk op straat, inclusief geheime adressen van bekende Nederlanders. Pas na een bericht in Trouw zijn de adressen eruit gehaald en is de toegang sterk beperkt. Ik pleit ervoor dat mensen een eigen datakluis krijgen voor al hun persoonlijke gegevens, inclusief medische. Alleen zij zelf hebben de sleutel en zij bepalen aan wie ze toegang verlenen. Voor noodsituaties is er een rode knop. Iedereen krijgt een gebruiksvriendelijke standaardkluis die op een verstandige manier is ingericht. Bijvoorbeeld in samenspraak met de patiëntenorganisaties. Maar iedereen kan ook zijn eigen keuzen maken. Zelf zou ik hooguit twee artsen die ik ken, toegang verlenen. Anderen moeten het zo nodig maar vragen of de rode knop gebruiken. Ik ben niet bang dat dit te ingewikkeld is. Dit soort zaken worden onvermijdelijk en we hebben ook allemaal in no time leren omgaan met mobiele telefoon, pinpas en internet. Ik heb echt niet het idee dat ik als relatieve buitenstaander weet hoe het allemaal moet. Desgevraagd houd ik de zorgsector een spiegel voor in de hoop dat ze gevoeligheid voor deze issues ontwikkelen. Die vragen om serieuze aandacht. Want het is geen louter lastige kwestie, het raakt de fundamenten van het vak: de verhouding tussen arts en patiënt. Wilt u reageren? Jeroen van der Lugt, e-mail: lugtkus - AT - gmail.com Gerda Mensink, e-mail: tweespraak - AT - tiscali.nl
	naar boven