A-EPD My Health Record slaagt niet in adequaat managen cybersecurity-risico’s
In The Guardian van maandag 25 november 2019 stond een interessant artikel over problemen bij het Australische Elektronische PatiëntenDossier(A-EPD), My Health Record. De verantwoordelijke instantie, de Australian Digital Health Agency(ADHA), blijkt fors te kort te schieten op het gebied van cybersecurity en interne controles. Het Australian National Audit Office(ANAO) stelt dat ADHA cybersecurity en privacy-risico’s niet adequaat managede. De auditorganisatie schreef dat ADHA voor het centrale A-EPD systeem op zich passende maatregelen nam om de cyberveiligheid te garanderen. Maar men stelde tegelijk vast dat men naliet voor afdoende bescherming te zorgen tegen cyberaanvallen via sites/apps van derden en via zorgaanbieders-organisaties. Het betekent dat als je de voordeur beveiligt, maar de achterdeur open laat staan er grote cybersecurity-risico’s bestaan voor in het systeem opgeslagen zorgdata. Het A-EPD is al jaren een bron van zorg en discussie in Australië. Ik schreef er al drie keer over. (In 2016, in 2017 , in 2018).
My Health Record
Het A-EPD startte al 2012. Het bestaat uit een centraal computersysteem waarnaar toe zorgdata van patiënten door zorgaanbieders opgestuurd worden. Het is dus totaal anders van opzet dan het Nederlandse Landelijke SchakelPunt(LSP). Daar blijven de data bij de bron. Men maakt die opvraagbaar door aan de patiënt een opt-in-toestemming er voor te vragen. Het Australische systeem kende aanvankelijk een opt-in-systeem. Dat veranderde men in een opt-out-systeem in 2018. Aanvankelijk zou de overgangsperiode van 16 juli tot 15 oktober 2018 duren. Door chaotische toestanden vanwege het grote aantal mensen dat niet in het systeem wilde, moest men de periode verlengen tot 31 januari 2019. In die periode kozen 2,5 miljoen Australiërs ervoor om niet in het systeem opgenomen te worden. Dat is ongeveer 10 procent van de bevolking.
Onvoldoendes
Naast de inadequate bescherming tegen cyberaanvallen via software van derden en via systemen van zorgaanbieders deelde de Australian National Audit Office ook een onvoldoende uit voor het niet uitvoeren van een end-to-end privacy-impact-assessment(PIA) van het systeem onder het opt-out model. De laatste PIA dateerde van 2017, onder het opt-in-model. Daarnaast bleken vier privacy-reviews die tussen oktober 2017 en juni 2019 gedaan waren nooit voltooid te zijn en dus geen rapportage te kennen.
Onvoldoende controle spoedinzage
Het Australische systeem kent een zogenaamde noodtoegang tot de medische data, waardoor inzage mogelijk is verder dan waarvoor de burger toestemming gaf. Dat mag alleen als de omstandigheden een serieuze bedreiging vormen voor het leven van de betrokkene, diens gezondheid of veiligheid. Maar ook als er een serieuze bedreiging is voor de volksgezondheid of publieke veiligheid. Met die laatste twee condities doelt men o.a. op inzage door politie en/of veiligheidsdiensten bij zaken als als een terrorisme-dreiging. Het staat allemaal in de My Health Records Act. Deze trad in november 2015 in werking. Ik schreef er ook over in 2016. De Australian National Audit Office constateerde dat maar 8,2 procent van de inzageverzoeken volgens de regels verliepen. Het aantal keren per maand dat men deze mogelijkheid gebruikte steeg van 80 in juli 2015 tot 2015 in maart 2019.
Geen controles
De toezichthouder zag wel dat de ADHA de spoedaanvragen monitorde, maar geen procedures had voor wat er daarna dient te gebeuren. Dat zijn extra controles op de rechtmatigheid van de aanvraag en op het ontbreken van een respons van de kant van de opvragende partij. Daarnaast had de ADHA in geen enkel geval van een spoedinzage gemeld aan de nationale Information Commissioner. Hetgeen men wel had moeten doen.
Daarnaast maakte de Audit Office belend dat niet alle Australische zorgverleners voldeden aan het minimaal nodig geachte niveau van cyber-beveiliging. Met daarbij de opmerking dat in de zorgsector de meest opvallende datalekken voorkwamen van alle industrie- en dienstensectoren.
Conclusie, ook voor hier
Uit het rapport van de Australian National Audit Office valt te concluderen dat er het nodige rammelt aan het Australische systeem dat zorgdossiers centraal opslaat om van daar uit inzage mogelijk te maken. Het Nederlandse systeem is anders van opzet maar daar weten we niets over het al dan niet adequaat zijn van het beveiligingsniveau van de op het LSP aangesloten systemen. Zorgaanbieders moeten bij aansluiting zelf verklaren te voldoen aan de eisen van een Goed Beheerd Zorgsysteem. De Vereniging van Zorgaanbieders Voor Zorgcommunicatie, verantwoordelijk voor het LSP, zegt steekproefsgewijs controles te doen bij zorgaanbieders. Hoe vaak men dat doet en hoe veel keren er gebreken zijn gevonden maakt men niet bekend. Het is daarbij de slager die zijn eigen vlees keurt. Er is hier geen onafhankelijke toezichthouder die daar op toeziet, zoals in Australië.
W.J. Jongejan, 28 november 2019
Afbeelding van cocoparisienne via Pixabay
“Er is hier geen onafhankelijke toezichthouder die daar op toeziet, zoals in Australië.”
Dat is onjuist. De Autoriteit Persoonsgegevens en de IGJ zijn toezichthouders op dit gebied. Wettelijk gezien moet de zorgverlener voldoen aan oa de NEN7510 norm voor informatiebeveiliging in de zorg. Aantonen dat men daaraan voldoet kan en mag op verschillende manieren. Het is mogelijk om te certificeren tegen de NEN7510 norm.
VZVZ is gecertificeerd, zoals blijkt uit: https://www-nen-nl.hu.idm.oclc.org/Normontwikkeling/Certificaten/Schemabeheer/Register-NEN-7510.htm
Het is heel grappig dat u de Autoriteit Persoonsgegevens en de IGJ noemt als toezichthouders. In theorie zouden ze dat moeten zijn maar zij geven er geen invulling aan. De AP wringt zich in allerlei bochten om geen beslissing te hoeven nemen over dingen die mis zijn tav het LSP. Ook de IGJ doet hetzelfde. Vanwege herhaaldelijke onrechtmatig genoteerde opt-in-toestemmingen deed ik handhavingsverzoeken bij de AP en IGJ die ook bij de bestuursrechter verdaagden. De IGJ doet er niets mee. Een collectieve zaak bij de AP wacht ip een uitspraak van de rechter. Wat betreft de NEN norm voldoet alleen het dataverkeer van het LSP aan die norm. Het is nl geen end-to-end versleuteld dataverkeer. In het LSP-systeem zijn de data kort tijd onversleuteld aanwezig.