Vertrouwelijkheid
Speijer reageert: “Je verdedigt het belang voor het benutten van data voor patiënten en burgers heel goed. Ik durf nog een stap verder te gaan. Als arts heb ik de eed van Hippocrates afgelegd. De patiënt mag dus verwachten dat ik insta voor de beste zorg in vertrouwelijkheid. Bij dat laatste staan we onvoldoende stil. De arts en patiënt moeten de patiëntdata samen duiden en daarbij moet de vertrouwelijkheid gegarandeerd zijn. Maar juist daarin rammelt het. De voorbeelden waarin de cybersecurity niet goed geregeld blijkt te zijn – de ransomware en die patiëntgegevens die op straat komen te liggen dus – maken duidelijk dat vertrouwelijkheid zomaar gecompromitteerd kan worden.”
Patiëntdata moeten, benadrukt Speijer, beschikbaar gesteld worden voor die zaken die gezondheid verbeteren, en dus niet voor wat dit doel niet nastreeft, zoals een verdienmodel voor algoritmes die niet gespecificeerd en gevalideerd zijn door arts en patiënt. “Daarom moeten data ook als een algemeen nut (‘commons’) beschouwd gaan worden.”
Menselijk handelen
De kern is dat dataveiligheid de aandacht gaat krijgen die het verdient, stelt Van Gennip. Dat begint ermee dat zorgbestuurders voldoende aandacht moeten geven aan het onderwerp. “Bestuurders weten dat het belangrijk is, maar ze weten niet hoe ze cybersecurity en privacy-risico’s moeten aanpakken. Vooral de gedragscomponent is lastig. Dat een zo groot aandeel van incidenten terug te voeren is op menselijk handelen, heeft natuurlijk meestal niets te maken met moedwillig fouten maken of slordigheid. Maar het heeft wel enorme gevolgen voor de zorg én voor het vertrouwen in de toepassing van data in de zorg.”
Precies dát wantrouwen zorgde ervoor dat de Eerste Kamer in 2011 het voorstel voor de Wet op het landelijk EPD verwierp. In de twaalf jaar sinds die tijd hebben veel partijen hard gewerkt om dat vertrouwen terug te krijgen. Van Gennip: “We mogen nu níet laten gebeuren dat dit toch weer mis gaat. De zorg kan zich dat niet veroorloven. Dan laten we essentiële kansen voor de patiënt en voor wetenschappelijk onderzoek liggen.” Speijer onderschrijft dit. “Ik zie wel bestuurders die dit begrijpen, maar een probleem is dat we in de zorg geen software gebruiken die up to date is. Overal en nergens worden data rondgepompt en ik hou mijn hart vast hoe we daarbij veilig zorg kunnen blijven leveren. We kunnen dit als artsen niet overlaten aan het bedrijfsleven of aan ICT’ers. We moeten er direct bij de start van de ontwikkelfase bij zijn om software te specificeren en valideren. Dit kan en moet met de nieuwste software die wél veilig is by design.”
Initiatieven
Vanuit Europa worden mogelijkheden geboden voor de overheid om meer regie te pakken op het dossier. “Heel hard nodig”, zegt Van Gennip, “de bestaande versnippering in combinatie met marktwerking is echt een probleem. Opnieuw beginnen is geen optie, maar er moeten nu wel snel stappen worden gezet en dat vraagt om regie.” Daarnaast heeft het ministerie van VWS het project Informatieveilig gedrag in de zorg gestart. Dat helpt instellingen effectief het gedrag van hun medewerkers te veranderen zodat risico’s worden beperkt. “We moeten zuinig zijn op de mensen die werken in de zorg”, zegt Van Gennip. “We moeten ze goed meenemen in het proces van veilig werken met patiëntdata en dat doen we niet door hen eens per jaar een verplichte e-learning aan te bieden. We weten dat twintig procent van deze mensen digistarters zijn en juist die helpen we niet met een e-learning.” Het is zaak iedereen bewust te maken hoe het fout kan gaan, benadrukt Van Gennip. En dat lukt niet door hen alleen te zeggen niet op phishing mails te klikken. Die mails worden steeds slimmer en dat kan je nooit volledig vermijden. “Belangrijker is dat ze weten dat als het hun overkomt, ze dat direct moeten melden en weten hoe dat moet. En door maatregelen te nemen, zodat als er een infectie is, die plek kan worden afgeschermd van de rest van het ziekenhuis.”
Kortom, de medewerkers moeten echt de partners in het verhaal zijn. Ze moeten begrijpen wat de risico’s zijn waarop het mis gaat en wat hun rol is om die risico’s te beperken, meent Van Gennip. “Informatieveilig gedrag in de zorg helpt mensen in de zorg die met dataveiligheid bezig zijn, zoals de chief information security officers, met een concrete gedragsaanpak en cursussen hoe die toe te passen. We merken dat dit hen helpt, dat ze effectiever worden in de aanpak van risicovol gedrag. Belangrijk is dat deze mensen steun krijgen van bestuurders en afdelingshoofden. Die spelen een belangrijke rol om het onderwerp cybersecurity op de werkvloer serieus op te pakken.”