Mag InformatieKnooppunt Zorgfraude bij bestrijding zorgfraude straks zelf wel winst maken?

InformatieKnooppunt Het doorlezen van 67 pagina’s van een Nota van Toelichting op een Algemene Maatregel van Bestuur(AMvB) is geen sinecure. Ook niet het doorploegen van 15 pagina’s tekst van die AMvB. Toch levert het onverwachte informatie op. Het betreft stukken die behoren bij het wetsontwerp Wet bevorderen samenwerking en rechtmatige zorg(Wbsrz). Op woensdag 9 september begint in een procedurevergadering van de commissie voor VWS in de Tweede kamer de parlementaire behandeling. Bij zorgfraude gaat het bijvoorbeeld om de vraag of er sprake is van het onevenredig winst maken door een zorgaanbieder dan wel zorginstelling.  De genoemde onverwachte informatie nam ik waar in een zin in de Nota van Toelichting waarin VWS hardop zich iets afvraagt. Namelijk of de instelling die de signalen van mogelijke zorgfraude verzamelt en die gegevens “verrijkt”, het maken van winst al dan niet tot doel mag hebben. Een dergelijke zin roept namelijk een hele serie vragen op. Lees meer

HIS-portaal-leverancier pusht openstelling zorgdata via portaal flink

HIS-portaal-leverancierOp  1 juli 2020 ging de Wet cliëntenrechten bij elektronische verwerking van gegevens in.  Op basis daarvan moest vanaf 1 juli 2020 de patiënt kosteloos inzage krijgen in de bij een zorgverlener elektronisch vastgelegde zorgdata. De bedoeling was dat zulks zou gebeuren met PGO’s (Per-soonlijke GezondheidsOmgevingen). Omdat de daarvoor benodigde overkoepelende informatiestandaard die het zorgICT-standaardisatie-instituut Nictiz maakt nog niet af is, kregen zorgverleners uitstel tot 1 januari 2021 om inzage van zorgdata via een PGO te regelen. Prompt doken leveranciers van HuisartsInformatieSystemen(HIS-sen) en portaal-leveranciers op de mogelijkheid rond juli 2020 hetzelfde inzichtelijk te maken voor de patiënt via het huisartsenportaal. Aan de inspanningen van de HIS-leveranciers hiervoor besteedde ik op 2 juni 2020 al aandacht. Aangezien het inzage bieden via een portaal ook voor een HIS-portaal-leverancier, zoals Pharmeon.B.V., financieel aantrekkelijk is, is nu in berichtgeving aan huisartsen te zien dat die deze route zeer actief promoot, zonder wettelijke noodzaak.(A,B)  Lees meer

Medische data zichtbaar te koop op World Wide Web: een waarschuwing

Medische Het is de grootste angst van zorgmedewerkers en IT-beveiligingsspecialisten die zich om veilig gebruik van zorgdata bekommeren dat een hacker medische verwerft en te koop aanbiedt. In de krochten van het internet is nu een voorbeeld daarvan te zien. Het betreft een aanbod op een forum op het internet waar illegale handel in gegevens plaatsvindt, waaronder inloggegevens en databases. Iemand met de naam “Databox” biedt daar een forse database te koop aan. Daarin: “Fields: Gender, Full name, Phone-number, Mobile-number, Address, Email, medication and more.” Die laatste twee wijzen op een gestolen database met medische informatie. Matthijs Koot, IT-beveiligings-specialist, bezorgt als hij is over privacy-kwesties, tipte mij over het bestaan van deze “advertentie”. Zijn proefschrift uit 2012, genaamd “Measuring and Predicting Anonimity”, beantwoordde vragen als “Hoe anoniem zijn geanonimiseerde gegevens?’ en ‘In hoeverre is het mogelijk geanonimiseerde gegevens te de-anonimiseren?”. Lees meer

Dwang/drang Coronamelder-app gebruiken alleen strafbaar als bewijsbaar door toezichthouder

Dwang/drangOp maandagmiddag 31 augustus 2020 vond in de Tweede kamer een technische briefing plaats voor de leden van de vaste Kamercommissie voor VWS omtrent de CoronaMelder-app. Voor VWS zat de directeur informatiebeleid/Chief Information Officer Ron Roozendaal aan tafel. Mevrouw Laura Ghirlanda, wetgevingsjurist vergezelde hem. Uitgebreid kwamen technische aspecten aan bod evenals de verschillende reviews en commentaren die in het kader van de app aan VWS uitgebracht waren. In het wetsontwerp bij de app heeft de minister van VWS expliciet een artikel opgenomen over de strafbaarstelling bij dwang om de app te gebruiken. De regering acht het van groot belang dat het gebruik te allen tijde vrijwillig is. Mensen mogen nooit, direct dan wel indirect, door wie dan ook worden gedwongen tot het gebruik van CoronaMelder of van andere vergelijkbare digitale middelen. Dat het pas strafbaar als het bewijsbaar is, lijkt een open deur, maar heeft wel degelijk consequenties. Lees meer

IT-beveiligingsbedrijf Secura vindt inconsistenties in broncode CoronaMelder

SecuraOp verzoek van het ministerie van VWS doen IT-bedrijven onderzoek naar de veiligheid van de app voor corona-contact=opsporing, de CoronaMelder. Dat zijn: NFIR, Secura, Radically Open Security, Privacy Management Partners en FoxIT. Sinds vandaag, 29 augustus 2020 staat het rapport van het IT-beveiligingsbedrijf Secura.B.V. op de website van de Tweede Kamer. Daarin staat dat de app wel voldoet aan een aantal vereisten, zoals verwoord op pagina 4 en 5 van het rapport, maar toch inconsistenties bevat. Deze zijn weliswaar klein(minor), maar zijn uit het oogpunt van cybersecurity toch niet bepaald onbelangrijk. Ook waarschuwt Secura voor een potentieel probleem bij een onderdeel dat niet onder haar opdracht viel, maar waar een ander bedrijf over gaat. Dat gaat over de zogenaamde backend-voorziening. Vanuit de eigen expertise waarschuwt men dat daar een potentiële kwetsbaarheid aanwezig is door het tegelijkertijd aanwezig zijn van de tijdelijk blootstellingscodes en het IP-adres van de gebruiker. Lees meer