Privé-gegevens zorgverleners in BIG-register veilig

2
499

42-16239515Fuzzy en Boolean searches in BIG-register beperkt
Wie in Nederland in de gezondheidszorg wil werken, krijgt met RIBIZ te maken. RIBIZ voert het BIG-register en handelt aanvragen voor erkenning van buitenlandse diploma’s af. Iedereen, van werkgever tot zorgconsument, kan bij RIBIZ het BIG-register raadplegen. Zorgverleners kunnen zich via deze site aanmelden. Eenmaal ingeschreven kunnen zij hun eigen registratie inzien en zelf een bevestiging van hun inschrijving aanmaken. Het BIG-register is verplicht om gegevens van het GBA (Gemeentelijk Basis Administratie) te voeren. Bij het GBA wordt achternaam partner geregistreerd en doorgegeven aan het BIG-register. Als iemand in het BIG-register een arts wilt opzoeken dan wordt er gezocht op geboorte achternaam én achternaam partner. Maar hoe veilig zijn die gegevens en wordt de privacy van zorgveleners wel goed beschermd. Samen met VEST INFORMATIEBEVEILIGING BV deden we onderzoek en kwamen tot de conclusie dat de database in de huidige vorm veilig is.

In mei 2009 maakte Medlog en  Medicalfacts melding van de ruime zoekmogelijkheden die door diverse artsen als ongewenst werden ervaren. Ik heb vandaag nog eens gespeeld met het BIG register en kwam tot de conclusie dat de zoekmogelijkheden waarbij je hele lijsten van artsen kon krijgen die op een bepaalde dag jarig waren, welke zorgverleners met een andere zorgverlener getrouwd waren flink zijn beperkt. Chapeau voor het BIG-register!

Het lijkt erop dat de Boolean zoek opdracht niet meer worden uitgevoerd. En ook het Fuzzy zoeken.. meestal zijn dit de laatste 3 letters wwerkt niet meer.

Even met een fictief voorbeeld van de Boolean:

Dokter Janssen (V) is getrouwd met Fysiotherapeut de Smool (M) in Lutjebroek
We zoeken op Janssen (M) in Lutjebroek -> Het systeem kent geen Janssen (M) in Lutjebroek maar omdat Janssen en Smool op één adres wonen geeft het RIBIZ als antwoord : Gevonden Fysiotherapeut Smool.

Een nog schokkender was de Fuzzy search:

Fysiotherapeut De Smool (M) in Lutjebroek is niet getrouwd.
We zoeken op De Smool (V) in Lutjebroek -> omdat er geen De Smool (V) geregistreerd staat in Lutjebroek gaat het systeem verder en vindt een een verpleegkundige met de naam School in Lutjebroek en presenteert dit als antwoord op de zoek opdracht. (Let op hier zijn de laatste 3 letters van de achternaam identiek!)

Deze “bugs” zijn de nieuwe RIBIZ database verdwenen en vreemde resultaten lijken tot het verlden te behoren. In Mei 2009 liet MedicalFacts nog een extern onderzoek door VEST INFORMATIEBEVEILIGING BV doen naar de veiligheid van de database. Toen bleek dat de database goed beveiligd is tegen hackers. En ook met de laatste aanpassingen in het systeem waardoor de Boolean en Fuzzy searches beperkt zijn, kunnen we concluderen dat de gegevens van zorgverleners veilig zijn.

Verklarende woorden:
Boolean search: Een zoekopdracht waarbij pagina’s met bepaalde woorden worden uitgesloten of waarop juist specifiek gezocht wordt. De woorden AND, NOT en OR worden hierbij vaak gebruikt maar ook de tekens ‘+’, ‘-’ en “”. Niet in alle zoekmachines is het mogelijk om te zoeken via boolean search. Google maakt bijvoorbeeld automatisch gebruik van boolean search waardoor je alleen een minteken (”-”) dient te gebruiken indien je een trefwoord uit wilt sluiten. “AND” bijvoorbeeld hoef je niet te gebruiken, Google zoekt automatisch op alle woorden die je in het zoekvlak opgeeft.

Fuzzy search: Een zoekopdracht waarbij ook resultaten gegeven kunnen worden indien woorden fout zijn gespeld of deels zijn ingevuld. Zoek je in op “appel moes” dan zal de zoekmachine de mogelijkheid geven om verder te zoeken op “appelmoes”.

Over VEST INFORMATIEBEVEILIGING BV
Vest is een onafhankelijk, gecertificeerd adviesbureau voor informatiebeveiliging. Vest begrijpt dat effectieve beveiliging van data en een efficiente bedrijfsvoering met elkaar op gespannen voet kunnen staan. Toch is Vest er van overtuigd dat niet eens zozeer het toevoegen van techniek als firewalls en encryptie, maar juist organisatorische maatregelen en het aanscherpen van procedures tot een daadwerkelijk betere informatiebeveiliging zal leiden.

Vest heeft oog voor de efficiency in uw bedrijfsvoering en de andere economische belangen. Het zal dus steeds met u de afweging maken tussen de graad van beveiliging en de toepasbaarheid in de dagelijkse bedrijfvoering. Vest is lid van het Platform voor InformatieBeveiliging (PvIB) en van de Information Systems Audit and Control Association (ISACA).

Vorig artikelZijn de regels bij promotie en verkoop van het H1N1-vaccin ook overtreden?
Volgend artikelQ-koorts breidt zich uit
Ik heb mij gespecialiseerd in interactief nieuws voor zorgverleners, zodat zorgverleners elke dag weer op de hoogte zijn van het nieuws wat voor hen relevant kan zijn. Zowel lekennieuws als nieuws specifiek voor zorgverleners en voorschrijvers. Social Media, Womens Health, Patient advocacy, patient empowerment, personalized medicine & Zorg2.0 zijn voor mij speerpunten om extra aandacht aan te besteden. Ik studeerde Fysiotherapie en Health Care bedrijfskunde. Ik heb veel ervaring in diverse functies in de medische- , farmaceutische industrie en de gezondheidszorg. En heb brede medische kennis van de meeste specialismen in de zorg. Ik ga jaarlijk naar de meeste toonaangevende medisch congressen in Europa en Amerika om mijn kennis up-to-date te houden en bij te blijven op de laatste ontwikkelingen en innovaties De berichten van mij op deze weblog vormen geen afspiegeling van strategie, beleid of richting van een werkgever noch zijn het werkzaamheden van of voor een opdrachtgever of werkgever.

2 REACTIES

  1. Mooi dat Vest, voor Medicalfacts, heeft kunnen bevestigen dat het Bigregister veilig is tav de privé gegevens van zorgverleners. Maar het CIBG heeft zich in 1997 met het BIGregister 2 gebruikersdoelen gesteld. Naast registreren heeft het ook een maatschappelijke functie namelijk: informeren. Het verstrekken van informatie aan publiek ( zie ook deze link naar site van MIN. VWS http://www.zorggegevens.nl/zorg/big-register/ ).
    De zorgconsument kan minder makkelijk de zorgverlener vinden als een werkgever, zorgverzekeraar omdat de patiënt/cliënt meestal niet over de benodigde gegevens beschikt, zoals geboortedatum en woonplaats. De site Bigregister geeft daar summiere toelichting op tav woonplaats en wel of niet ingevoerd werkadres. En adviseert om de BIG-informatielijn te bellen als men geen zooekresultaat heeft.

    In oktober schreef Medicalfacts al over de slechte vindbaarheid van vrouwelijke artsen op de zwarte lijst (NB de lijst vermeld nog steeds niet welk geslacht de geschorste persoon heeft). Hierbij wil ik een paar ‘gewone’ maatschappelijke situaties schetsen om aan te geven dat het BIGregister tekort schiet:

    1. Een stel as ouders wil de registratie van hun verloskundige opzoeken. Achternaam en woonplaats worden op de site ingevuld… er zijn geen zoekresultaten. Echtpaar onzeker: is onze verloskundige wel bevoegd? Hoe kaarten we dit aan? Het echtpaar vraagt de verloskundige hoe ze haar in het BIGregister kunnen vinden. De verloskundige zal het uitzoeken…. en ze ontdekt dat ze alleen op de achternaam die ze tot haar trouwen gebruikte te vinden is.

    2. In een avonddienst wordt de bezetting aangevuld met een uitzendkracht. Het is niet bekend van welk uitzendbureau want het eigen bureau kon niemand regelen en heeft viavia nog een verpleegkundige voor de avonddiensten gevonden. Het is Jan van Dijk en werkt meestal in Almere. Omdat hij wat stuntelt met de sondevoedingspomp besluit men om voor de zekerheid, de volgende dag, de BIGinformatie lijn te bellen. Er wordt géén J van Dijk in Almere gevonden. De medewerker van het Big geeft het advies om naar zijn woonplaats te vragen….Dus informeert men of hij ook in Almere woont of dat hij er alleen werkt. Jan stelt de wedervraag: waarom wil je dat weten? Eh, omdat het BIGregister geen J.van Dijk, verpleegkundige in Almere weer geeft. En daar komt “de aap uit de mouw” (of “uit de kast”): Jan heeft een geregistreerd partnerschap en zijn eigen naam is Groot.

    3. Voor een oudtante regelt mijn zwager een particuliere nachtzuster want tante is een snelontregelde diabetespatiënt en kan ‘s nachts niet alleen zijn. De controle bezoekjes van de ambulante thuiszorg-(nacht)dienst waren niet voldoende. Er wordt geen indicatie voor intensieve nachtzorg gegeven dus moet het uit eigen vermogen betaald worden (voor tante geen bezwaar..). Via een advertentie bied M. Jansen uit Amsterdam zich aan. Mijn zwager kent (door mij) het Bigregister en controleert ‘even’ of zij echt geregistreerd verpleegkundige is. Op de site ontdekt hij 8x een verpleegkundige Jansen in Amsterdam met een M bij de voorletter(s). Twee dames vallen af want die hebben een ander werkadres: zijn Marja Jansen doet alleen nachtdiensten. Welke van de 6 is dus de juiste? Mijn zwager vraagt Marja om haar BIGnummer, ze zal het de volgende keer doorgeven …..

    4. EN MARJA DEED HET ZELFDE ALS MIJN ZWAGER: zij heeft op de site van het Bigregister bij zoeken op naam zorgverlener M. Jansen Amsterdam ingevoerd en kon kiezen welk nummer ze zal doorgeven…. Want deze Marja is niet gediplomeerd en had ontdekt dat bij het invoeren van een BIGnummer men als zoekresultaat alléén de naam en het beroep van deze persoon krijgt te zien. En niet zijn/haar woonplaats. Dus Marja uit Haarlem dacht zo een paar centjes extra te kunnen verdienen….. totdat iemand haar vraagt om haar paspoort te tonen en daarna met haar geboortedatum in het Bigregister gaat zoeken !

    En zo zijn er nog veel meer praktijk situaties te bedenken.

    Op de vorige site RIBIZ stond voorheen in de TOELICHTING: HOE KAN IK ZOEKEN dat men ook de partnernaam van een zorgverlener kan invullen. Deze toelichting is op de nieuwe site verdwenen. Want de software van het BIGregister is (nog steeds) niet zo ver dat ze beide achternamen (indien van toepassing) vanuit het BGA koppelen aan het invulveldje ZOEKEN OP NAAM van het BIGregister.

    Mijn bezwaar is dat er, anno maart 2010, geen TOELICHTING gegeven wordt dat men zorgverleners moet zoeken op geboortenaam. Want de, soms dagelijks gebruikte, via de burgelijke stand verkregen achternaam is niet oproepbaar op de huidige site BIGregister. En ik ontdekte: ook niet telefonisch bij de BIG-informatielijn verkrijgbaar. En zelfs als men wel beschikt over de geboortedatum van de zorgverlener, maar niet over de geboortenaam, dan krijgt men geen bevestiging van de informatielijn of iemand in het BIGregister staat.

    Eigenlijk denk ik dat een zorgconsument alleen met stellige zekerheid zijn/haar zorgverlener in het BIGregister kan controleren als men zijn/haar geboortenaam én geboortedatum vanaf de identiteitspapieren heeft kunnen overnemen. Uiteraard werkt het in de maatschappij zo niet… je gaat niet bij elk bezoek de zorgverlener naar zijn/haar IDkaart vragen. Mogelijk is dit op te lossen door instellingen en organisaties te verplichten om een certificaat te behalen dat al hun hun gediplomeerde zorgverleners BIG-geregistreerd zijn.

  2. NB Het zoeken op BIGnummer geeft niet de zekerheid dat de gevonden naam ook van de persoon is die het BIGnummer heeft doorgegeven als zijnde zijn/haar registratie. Het ‘M. Jansen’-verhaal is hier een voorbeeld van. Voetnoot: M. Jansen is een fictieve naam.

    Tot slot: gelukkig mogen we er vanuit gaan dat zorgverzekeraars alleen behandelingen vergoeden die door BIGgeregistreerden zijn uitgevoerd.

Comments are closed.