IT-beleid GGZ-instellingen en ziekenhuizen achilleshiel e-health?

Achilles-resize
Dat e-health een innovatie is waar de zorg nog jaren mee vooruit kan is zo langzamerhand wel duidelijk. Nu er steeds meer instellingen aan de slag gaan met e-health, komen er ook steeds meer praktische problemen aan het licht. Een knellend probleem is de veiligheid van e-health, er wordt immers veel potentieel gevoelige data opgeslagen en getransporteerd; zomaar over het internet! De veiligheid van deze data mag gezien worden als een absolute voorwaarde voor het bedrijven van online zorg. Door alle betrokkenen wordt hard gewerkt te voldoen aan deze voorwaarde, maar hoe staat het er eigenlijk voor?

E-health gaat primair over contact tussen patienten en behandelaars, maar bij het leveren van e-health zijn meer partijen betrokken. Denk bijvoorbeeld aan de ontwikkelaar van de e-health toepassing, het datacentrum waar de gegevens opgeslagen worden en de IT-afdeling van de zorg-instelling.

Wat doen betrokken partijen aan veiligheid?
Ontwikkelaars zijn, naast het ontwikkelen van nieuwe functionaliteit, gebaat bij het leveren van veilige software. Hier wordt dan ook veel tijd en aandacht in gestoken. Een blik op de website van een aantal vooruitstrevende e-health initiatieven bevestigt dit. Ontwikkelaars streven naast databeveiliging ook systeembeveiliging na. Dataveiligheid wordt gegarandeerd door het werken met goed beveiligde datacentra, veilige verbindingen, deep packet inspection en versleutelde informatie. Systeembeveiliging wordt gerealiseerd door het invoeren van vergaande identificatie controle zoals DIGID, BSN of SMS-authenticatie en test driven software.

Net als voor software-ontwikkelaars is een van de hoofdtaken voor een datacentrum beveiliging. De fysieke beveiliging van een datacentrum overtreft die van een bank, met 24-uurs bewaking door veiligheidsbeambten, hermetisch afgesloten ruimtes en identificatie op basis van biometrie.
Browsers als Achilleshiel
Een van de voordelen van e-health is dat je altijd en overal toegang hebt tot je medische gegevens, via een simpele webbrowser. Helaas blijkt de browser steeds vaker de achilleshiel van het internet te zijn. Recente berichten in de media onderstrepen wat al langer bekend was; oude browsers zijn onveilig. De recente aanval op Google in China was gericht op een lek in Internet Explorer 6. De IT-afdeling van de Duitse regering is in januari 2010 afgestapt van het gebruik van Internet Explorer, uit veiligheidsoverwegingen. De Franse regering volgde snel. Verschillende internetdiensten maken recentelijk bekend dat ze de ondersteuning voor verschillende oude browsers opheffen.

In het Internet Explorer blog geeft Microsoft zelf toe dat Internet Explorer 6 een veiligheidsprobleem vormt, en raadt gebruikers dan ook aan over te stappen naar Internet Explorer 7 of 8. Met kunst- en vliegwerk wordt IE6 in de lucht gehouden, elke patch dicht een lek terwijl kwaadwillenden de volgende alweer gevonden hebben.

Tijd voor wat statistieken. Statcounter bericht dat Internet Explorer 6 in januari 2010 nog door 13.3% van alle internetgebruikers wordt gebruikt. Digg inventariseert dat 90% van IE6 gebruikers dit doet vanaf werk, en dat 76% van die gebruikers dat doet omdat hun werkgever ze geen keuze geeft.

Waarom doet het merendeel van de gebruikers van deze onveilige browser dat in de professionele sfeer? Op een huis, tuin en keuken computer is het moeilijk niet mee te gaan met de vernieuwingen op browser gebied. Microsoft, Mozilla en Google grijpen elke mogelijkheid aan hun browsers te updaten en behalve dat het tijd kost is er niet wat je belet hun vriendelijke aanbod op te volgen. Gevolg hiervan is dat de browsers thuis relatief goed beveiligd zijn tegen internetgevaren.

IT-beleid schiet tekort
Op de werkvloer is het helaas niet zo eenvoudig. Drie redenen worden genoemd als verklaring voor het hardnekkig vasthouden aan software uit 2001. Ten eerste zijn er in het verleden veel applicaties gebouwd op IE6 en is er toen niet heel streng vastgehouden aan webstandaarden. Dat veel documentatie screenshots en commando’s gebruikt uit IE6 is een tweede reden. De laatste reden is waarschijnlijk voor veel IT-afdelingen herkenbaar: de beslissingen worden genomen door iemand die de ‘duistere kanten’ van het internet niet begrijpt.

Deze redenen zijn valide in het kader waarin veel organisaties opereren, maar strict genomen slaan ze de plank compleet mis. Het is simpelweg onmogelijk een systeem te beveiligen met een browser uit 2001, die dus ook beschermt tegen de gevaren uit 2001. Door niet te updaten verworden GGZ instellingen tot de zwakke schakel in de ketting van e-health-veiligheid.
Stilstand is achteruitgang
Is er dan een oplossing? Zorg-instellingen willen nu eenmaal niet dat het updaten van hun software hun primaire bezigheid wordt. Ook willen ze niet teveel tijd investeren in software die over een half jaar toch weer achterhaald is. Dit beleid is achterhaald. Nicholas G. Carr, schrijver voor onder andere de Harvard Business Review, schrijft dat risico’s bestrijden de enige manier om een duurzaam IT-beleid te voeren is. Hoe langer er gewacht wordt met updaten, hoe onveiliger het systeem wordt én hoe moeilijker het wordt de schade in te halen. Continu updaten blijkt de enige manier te zijn kwaadwillenden bij te benen.

Eigenlijk zijn zorg-instellingen dit aan ons verplicht. Ethisch, maar ook juridisch gaat deze verantwoordelijkheid op. In de Wet Bescherming Persoonsgegevens staat:

“De verantwoordelijke [GGZ-instelling, DPdV] legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.”

De voorbeelden van Google en de Duitse regering weerleggen eventuele semantische discussie over “passende technische maatregelen”.

Het is dus tijd voor zorg-instellingen om hun IT-beleid aan te passen, zodat ze kunnen werken en blijven werken met het internet . Pas als deze aanpassing een feit is kan e-health, waar zij zelf zo naar verlangen, echt een succes worden.

IT-beleid GGZ-instellingen en ziekenhuizen achilleshiel e-health?
Geschreven door Daan Penning de Vries
vrijdag, 05 februari 2010 10:00

IPPZ

http://www.ippz.nl

Innovatie Psychologische en Psychiatrisch Zorg (IPPZ) is een in 2008 gestart bureau dat vernieuwing van de zorg binnen de GGZ stimuleert door projectondersteuning, innovatiemanagement en productontwikkeling. De expertise van de initiatiefnemers betreft zowel behandelinhoudelijke aspecten (behandelervaring in psychiatrie en psychotherapie) als ICT-aspecten (ontwikkeling, projectmanagement, beheer).

Bij IPPZ ligt het accent op innovatie van bestaande behandelingen en integratie van face-to-face en online behandeling. De werkwijze kenmerkt zich door bottom-up ontwikkeling: de gebruikersinterface/functionaliteiten worden ontwikkeld in nauwe samenwerking met ervaren behandelaars.

Visie
IPPZ komt voort uit enthousiasme voor de mogelijkheden van ICT en internet en uit de overtuiging dat professionals een sleutelrol moeten krijgen bij het inrichten van ICT-toepassingen voor de primaire zorg. Een belangrijk uitgangspunt daarbij is dat informatie-uitwisseling en communicatie tussen cliënt en hulpverlener(s) zich op de voorgrond afspelen en secundaire processen (registratie, administratie, verantwoording, financiële afwikkeling) op de achtergrond.