IT-abstractieniveau VECOZO voor de gemiddelde huisarts-praktijkhouder te hoog

huisarts-praktijkhouderHet valt te begrijpen dat VECOZO de beveiliging van het dataportaal voor zorgverleners eind 2021 opvoerde door twee acties. Het gaat om het controleren van de IP-adressen van de zorgverleners die inloggen op het VECOZO-dataportaal en om het introduceren van twee-factor-authenticatie(2FA). Ik schreef over het laatste op 10 januari 2022. Vanaf 1 november 2021 controleert VECOZO de IP-adressen van de inloggende zorgverleners. Vanaf 1 januari 2022 is het gebruik van een authenticatie-app verplicht. Concreet kregen geregistreerde contactpersonen tot 1 november de tijd om per systeemgebruiker te registreren met welke IP-adressen zij bij VECOZO aankloppen. Vanaf 1 november wordt de toegang tot de VECOZOdiensten geweigerd als er geen of een onjuist IP-adres geregistreerd is bij de betreffende systeemgebruiker. Na 1 januari 2022 kon er niet meer ingelogd worden door tekenbevoegde zorgverleners zonder de 2FA. Dit leidde tot een cumulatie van inlogproblemen door zorgverleners. Het IT-abstractieniveau lijkt daarbij te hoog.

Cumulatie van inlogproblemen

Vanuit het werkveld bereikten mij van meerdere kanten uit de huisartsenwereld signalen dat de vitale dienstverlening die VECOZO verzorgt stil lag door inlogproblematiek. Dat het niet alleen mijn perceptie is dat de zaken cumuleren moge blijken uit de heden(18-01-2022) nog steeds op de website van VECOZO aanwezige webpagina met de mededeling dat de wachttijd aan de telefoon bij de helpdesk langer dan een half uur kan bedragen. Op Twitter deed ik een kleine poll gedurende twee en een halve dag. Daarop antwoordden 21 respondenten. 38,1% was klaar met de koppeling authenticatie-app met het persoonlijke VECOZO-certificaat binnen 0,5 tot 1 uur. 14,3% gaf aan er enkele uren mee bezig te zijn geweest met helddesk-hulp, 14,3% was een volle werkdag bezig en 33,3% meer dan één werkdag. Hoewel het geen representatieve steekproef is, kan je wel zeggen dat de uitkomsten sporen met de lange wachttijden bij VECOZO.

Verschil in bedrijfsvoering/ICT-kennis   

Voor een deel zijn de verschillen in benodigde tijd terug te voeren op de wijze waarop praktijken werken. Van belang is te beseffen dat het voldoen aan de vereisten op de schouders ligt van de huisarts die de praktijkhouder is. Huisartsen in loondienst hebben hier nauwelijks bemoeienis mee. Huisarts-praktijkhouders die ICT-vaardig zullen sneller de portée van de communicatie door VECOZO door hebben en kunnen implementeren. Daarnaast maakt het ook veel uit of er sprake is van een solistisch werkende huisarts met de database van het huisartssysteem in eigen beheer. Groepspraktijken, praktijken die gebruik maken van een ASP-verbinding waarbij de database bij een datacenter(Futec, Danthas, etc)  staat en die het huisartsinformatiesysteem(HIS) via een beveiligde verbinding naar zich toe halen hebben het al weer lastiger. Daarnaast is er nog de mogelijkheid dat een huisartspraktijk het HIS in de vorm van Software As A Service bij de HIS-leverancier betrekt.

Pluriformiteit

Los van bovenstaand zaken bestaat in de huisartsenwereld een enorme pluriformiteit in de manier waarop men met de functionaliteit van VECOZO omgaat. Zo zullen er huisarts-praktijkhouders die met het persoonlijke VECOZO-certificaat tekenbevoegd zijn zelf de declaraties en andere onder de tekenbevoegdheid vallende zaken zelf afhandelen. Daarnaast zijn er praktijken waarbij de echtgeno(o)t(e), partner of de praktijkmanager deze zaken uitvoert namens de huisarts met gebruikmaking van diens persoonlijke certificaat. Dat leidde bij een mij bekende praktijk ook tot problemen rond de 2FA die twee en een halve werkdag duurden.

IP-adres controle

Die verschillende oplossingen om een HIS te gebruiken(eigen database, database elders) maken de controle op het IP-adres van de zorgverlener met tekenbevoegdheid niet simpel. Ten eerste heeft elke computer binnen een bedrijfsnetwerk een eigen intern IP-adres beginnend met 10.0.0 of 172.16.0 of 192.168.0. en dan nog een cijfer achter de punt, corresponderend met elke PC in het bedrijfsnetwerk.  In dat interne IP-adres is VECOZO niet geïnteresseerd. De verbinding van het bedrijfsnetwerk met het internet heeft een eigen specifieke IP-adres. Daar is VECOZO in geïnteresseerd vermits de database met het HIS op het bedrijfsnetwerk draait. Heeft men de database elders draaien dan wil VECOZO het vaste IP-adres van deze leverancier. Om het nog ingewikkelder te maken kan men ook een database in de cloud hebben staan via een leverancier, waarbij de leverancier gebruik maakt van dynamische IP-adressen. Advies van VECOZO dan: vraag bij de leverancier een vast IP-adres aan.

Wat wil ik hiermee zeggen?

Implementatie van ICT-zaken kan zeer weerbarstig zijn. Hoe goed een praktijkhouder zich ook kan laten adviseren op ICT-gebied, uiteindelijk ligt de verantwoordelijkheid voor het goed werken van de ICT-voorziening van de praktijk volledig op zijn/haar schouders. Het komt mij voor dat VECOZO de complexiteit van het invoeren van terechte veiligheidsmaatregelen fors onderschat heeft. Zeer problematisch in dit geheel is dat de bedrijfsvoering zeer zwaar leunt op VECOZO-diensten en dat uitval dus ernstige financiële en administratieve gevolgen heeft.

Daarnaast blijkt ook het peil van de helpdeskmedewerkers wisselend te zijn. Ik besluit dan ook met de woorden die een getergde huisarts mijn schreef

“Dit is een drama. Zou eerst aan het certificaat liggen. Toen dit vernieuwd, werkte nog niet. Toen bleek dat de combi met de authenticator verbroken moest worden en gereset. Nu werkt het. Dit heeft denk ik een dag aan werkuren gekost.De helpdesk had ook een gemis aan kennis tot ik iemand trof dat het hier aan lag.”

W.J. Jongejan, 18 januari 2022

Afbeelding van HitaJast via Pixabay