Hoe cyberinsurance bij kan dragen aan betere ICT-mores in zorgland

/door

cyber-insuranceOp Twitter verscheen op 2 september 2019 een duidelijke waarschuwing van Matthijs R. Koot, cyberexpert werkzaam bij Secura B.V., een cybersecurity-bedrijf. Het gaat om een zeer recent bekend geworden kwetsbaarheid van bepaalde VPN-diensten, die o.a. in gebruik zijn bij onze overheid en andere instituties. Een kwetsbaarheid die inmiddels hersteld is door een “patch”, maar die wel de vraag opwerp of alle gebruikers van VPN-diensten wel adequaat die patch installeren. In zijn blog van 1 september geeft Koot een nauwkeurige beschrijving en wijst daarin een passant op een zeer recent artikel van de juriste Nynke M. Brouwer.  Zij werkt als advocaat bij Dirkzwager advocaten & notarissen en als buitenpromovenda verbonden aan het Onderzoekcentrum Onderneming & Recht van de Radboud Universiteit. Zij publiceerde in het magazine Aansprakelijkheid, Verzekering & Schade, het artikel ‘Vlijt en naarstigheid’ in een digitale wereld: eigen schuld en beredding in de context van de cyberverzekering’ ( AV&S 2019/23, afl. 4). Het lijkt een wat droge materie om als niet-jurist te lezen, maar er staan zeer goede observaties en conclusies in. Daarbij denk ik aan hoe in de cyberinsurance verzekeraars bij kunnen dragen aan betere ICT-mores bij hun klanten. Ik kijk in mijn artikel nu naar een deel van die klanten: zorgaanbieders met hun ICT-systemen.

Lees meer

Binnenkort buigt bestuursrechter zich over onrechtmatige opt-in-toestemmingen voor LSP

/door

bestuursrechterDonderdag 12 september 2019 om 11 uur is het zo ver. Dan dient voor de meervoudige kamer van de Rechtbank Midden-Nederland bij de sector bestuursrecht mijn zaak tegen de Inspectie Gezondheidszorg en Jeugd(IGJ). Het betreft een door mij ingediend handhavingsverzoek bij de bestuursrechter. De meerdere keren voorgekomen onrechtmatige notering van een opt-in-toestemming voor het Landelijk SchakelPunt(LSP) bij verschillende apotheken vormt de basis van dit verzoek. Aangezien de Autoriteit Persoonsgegevens waar dit ook gemeld is zeer afhoudend is heb ik ook de weg via de IGJ ook bewandeld. Mijn handhavingsverzoek bij de IGJ betreft alle apotheken in Nederland. Het  is ingegeven door het feit dat de IGJ krachtens de Wet kwaliteit klachten en geschillen zorg(Wkkgz) een handhavingsbevoegdheid heeft ten aanzien van zorgaanbieders, dus ook de apotheken. Ik schreef over dit onderwerp al zeker drie keer op deze website.(A, B, C  Lees meer

Gehackt Gmail-account van arts treft 7000 patiënten

/door

gehacktPatiënten medische informatie per gewone email toesturen als arts is niet zo verstandig. Afgelopen week, op 22 augustus 2019 maakte een bericht op het internet dat weer eens duidelijk. Het gaat over een voorval in Canada,  om precies te zijn in de stad Calgary, gelegen in de provincie Alberta. De arts, werkzaam in het Richmond Road Diagnostic Centre, verstuurde gedurende enige tijd medische informatie met Gmail, onbeveiligd naar patiënten. Zijn Gmail-account bleek recent al enige tijd terug gehackt te zijn.  In de email stonden persoonsgegevens zoals de namen, geboortedata, adressen, het unieke zorg-identificatienummer, en medische informatie zoals diagnosen en behandelingsgegevens. De arts deed dat terwijl het ziekenhuis informatiesysteem de mogelijkheid had emails versleuteld en op een beveiligde manier te verzenden. Het aantal mensen waarom het gaat bedraagt 7000.

Lees meer

Waarom bestuurders bij databases vaak onterecht het woord “anonimiseren” gebruiken

/door

waaromIn een recent interview in  het dagblad Het Parool op 16 augustus 2019 figureerde Jeroen Muller. Hij is de bestuursvoorzitter van de grootste GGZ-instelling van Amsterdam. Het interview vond plaats naar aanleiding van de vernietiging door Akwa GGZ van de ROM-database die afkomstig was van de opgeheven Stichting Benchmark GGZ. Het ging daarbij om gepseudonimiseerde zorgdata uit de geestelijke gezondheidszorg(GGZ). Jeroen Muller sprak in het interview over het “dubbel anonimiseren” van de data. Het gebruik van de term “anonimiseren” van data in plaats van “pseudonimiseren” is niet zo maar een verspreking. In de loop der tijd is het op gaan vallen hoe voorstanders, vaak afkomstig uit de bestuurslaag van de zorg, de pil van het op centraal(landelijk)  niveau  data verzamelen proberen te vergulden. Dat doen ze door te spreken over “anoniem”, “bijna anoniem” of “vrijwel anoniem” als het om gepseudonimiseerde data gaat. Ik zal in deze bijdrage ingaan op de vraag waarom ze dit doen.

Lees meer

Vraagtekens bij samenwerking Vektis en Zorgkaart Nederland

/door

vraagtekensOp 26 juni 2019 maakte Vektis op haar website bekend dat Zorgkaart Nederland en Vektis de krachten gaan bundelen. Het blijkt te gaan om de koppeling van een onderdeel van Vektis, het AGB-register met de database van de Zorgkaart. Die website beheert de Patiëntenfederatie Nederland. De koppeling lijkt onschuldig in de zin dat NAW-praktijkgegevens van individuele zorgverleners en zorginstellingen met behulp van het AGB-register nauwkeuriger en up-to-date zijn. Nergens staat echter iets over het omgekeerde. Dat betreft het koppelen van de uiterst subjectieve beoordelingsdata in de Zorgkaart-database aan enige Vektis-gegevensbank(en). Die data van individuele zorgverleners en zorginstellingen zouden dan als quasi-kwaliteitsgegevens automatisch  gekoppeld kunnen worden (of al zijn) aan andere zorgverlenersdata van Vektis. En bij die organisatie hebben de zorgverzekeraars een enorme vinger in de pap. Ze zijn de eigenaar van de pap-pot.

Lees meer