Berichten

A-EPD My Health Record slaagt niet in adequaat managen cybersecurity-risico’s

/door

A-EPDIn The Guardian van maandag 25 november  2019 stond een interessant artikel over problemen bij het Australische Elektronische PatiëntenDossier(A-EPD), My Health Record. De verantwoordelijke instantie, de Australian Digital Health Agency(ADHA), blijkt fors te kort te schieten op het gebied van cybersecurity en interne controles. Het Australian National Audit Office(ANAO) stelt dat ADHA cybersecurity en privacy-risico’s niet adequaat managede. De auditorganisatie schreef dat  ADHA voor het centrale A-EPD systeem op zich passende maatregelen nam om de cyberveiligheid te garanderen. Maar men stelde tegelijk vast dat men naliet  voor afdoende bescherming te zorgen tegen cyberaanvallen via sites/apps van derden en via zorgaanbieders-organisaties. Het betekent dat als je de voordeur beveiligt, maar de achterdeur open laat staan er grote cybersecurity-risico’s bestaan voor in het systeem opgeslagen zorgdata. Het A-EPD is al jaren een bron van zorg en discussie in Australië. Ik schreef er al drie keer over. (In 2016, in 2017 , in 2018). Lees meer

Controle VZVZ op onrechtmatige opt-in-toestemmingen voor LSP stelt niets voor

/door

controleSoms levert het bijwonen van een rechtszaak meer informatie op dan je anderszins kunt verkrijgen. Op 15 oktober 2019 dienden bij de rechtbank Midden-Nederland twee bestuursrechtelijke zaken. Het ging daarbij om het afwijzen door de Autoriteit Persoonsgegevens(AP) van twee handhavingsverzoeken die de burgerrechtenvereniging Vrijbit daar indiende. Het betrof in het eerste verzoek het niet handhaven bij onrechtmatig genoteerde opt-in-toestemmingen voor het Landelijk SchakelPunt(LSP) door apothekers. Het tweede verzoek ging over het niet handhaven bij ondeugdelijke procedures voor het verkrijgen van toestemmingen. De Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), verantwoordelijk voor het LSP, heeft altijd gezegd steekproefsgewijs controle uit te voeren op het verkrijgen van en noteren van opt-in-toestemmingen. Als toehoorder, niet als procespartij, bij beide zittingen aanwezig kreeg ik eindelijk een inkijk in de “controle”-methodes. Desgevraagd gaf men daar mij eerder nooit antwoord op. Antwoorden op vragen van de rechters tonen dat controles, vooraf aangekondigd bij zorgaanbieders, nauwelijks iets voorstellen.

Lees meer

Minister Bruins in mijnenveld verdaagd door standstill rond gespecificeerde toestemming

/door

mijnenveldVanmiddag om 14.00u vindt een Algemeen Overleg(AO) van de vaste Tweede Kamercommissie voor VWS plaats. Het onderwerp is de elektronische gegevensuitwisseling in de zorg en gegevensbescherming. Het lijkt een gewoon overleg maar rond dit overleg is een gigantisch krachtenspel gaande met aan de ene kant de minister en aan de andere kant de verzamelde zorgverzekeraars en belanghebbenden bij het Landelijk SchakelPunt(LSP). Kernpunt in de opstelling van de minister is dat hij pas op de plaats wil maken bij het realiseren van een Online-ToestemmingsVoorziening(OTV) voor opvraagbaar gemaakte zorgdata.  De aanvankelijke 160 keuzemogelijkheden ging iedereen in de zorg te ver. Na reductie van het aantal keuzemogelijkheden tot 28 ontstond een zeer verwaterde invulling van het begrip “gespecificeerde toestemming”. Daar wil de minister ook niet aan. Hij wil pas op de plaats maken en ook de bij de gespecificeerde toestemming horende wetsregel niet in 2020 doen ingaan. Voorstanders willen echter koste wat kost de marscolonne door laten marcheren.

Lees meer

VZVZ op VolgJeZorg toont geen zorgverlener meer die inzage via LSP in dossier had

/door

VZVZEen  zorgverlener die inzage had  in medische gegevens van een patiënt via het Landelijk SchakelPunt(LSP) was  tot voor kort direct te achterhalen op www.volgjezorg.nl. Na 7 augustus 2019 toont deze website niet meer welke zorgverlener inkeek. Men toont alleen de instelling/praktijk waar de zorgverlener werkt. VZVZ, als verantwoordelijke voor het LSP, stelt dat je zelf dan maar binnen de instelling op zoek moet gaan naar wie de data opvroeg.  Het betekent dat als je op voorhand niet zeker weet of de persoon die inzage had wel een behandelrelatie met je heeft. En dat je zelf binnen de instelling moet gaan vragen wie dat deed. In aanmerking nemend dat specialisten buiten spreekuren om niet tot nauwelijks bereikbaar zijn voor de patiënt betekent het dat het praktisch onmogelijk is om inzage vlot te verifiëren.

Lees meer

Houtje-touwtje oplossingen kenmerken communicatie van/naar ziekenhuis via LSP

/door

Houtje-touwtjeHet elektronische berichtenverkeer van en naar ziekenhuizen via het Landelijk SchakelPunt(LSP) omvat niet veel. Het gaat om het binnenhalen van medicatiegegevens voor specialisten en het in sommige regio’s versturen van een soort recept naar de apotheek. Daarmee bedoel ik de zogenaamde vooraankondiging van een recept. Na de start in 2008 van het LSP in publieke handen(VWS) en na 2011 in private handen(VZVZ) kunnen zorgaanbieders maar bijster weinig uitwisselen met ziekenhuizen. De medicatiegegevens kunnen specialisten op  de polikliniek nog steeds niet met goed fatsoen real-time ophalen. Dat komt door de foutgevoeligheid en de traagheid van de verbindingen. Het recept dat de specialist vanuit het ziekenhuis in sommige  regio’s, dus nog niet landelijk, verstuurt is geen echt digitaal recept met een digitale handtekening, maar een vooraankondiging . Het is allemaal houtje-touwtje werk.

Lees meer