Van eHealth naar eHell door hacken chatplatform
Je zal maar op een online-platform je gevoelens en gedachten over je psychische problemen met zorgprofessionals delen en te horen krijgen dat de site gehackt is? Met daar bovenop dat hackers losgeld vragen voor de gekaapte data. Het is of je van de eHealth in de eHell terecht gekomen bent. Precies datgene meldden RTL Nieuws en de Volkskrant gisteren nadat een klokkenluider via de website Publeaks de datadiefstal gemeld had. Het is helaas een gebeurtenis die je kon voorspellen dat die ooit zou gaan gebeuren. Alleen het moment waarop niet. Bij het op enorme wijze pushen van eHealth door het ministerie van VWS zijn allerlei online hulpmiddelen, zoals chatplatforms en apps, voor mensen met psychische problemen als paddenstoelen uit de grond geschoten. Een cruciaal punt bij dat soort elektronische vormen van professionele hulp is de beveiliging van de website of app en de onderliggende database. Daarbij dient een zorgprofessional die aan zoiets mee werkt te beseffen dat meewerken inhoudt dat men ook verantwoordelijkheid draagt voor die beveiliging. En dus ook dat men aan te spreken is bij het falen van die beveiliging.
Wat gebeurde er?
Uit bovengenoemde bronnen is het duidelijk dat het chatplatform voor jonge mensen met psychische problemen, www.pratenonline.nl gehackt is en de onderliggende database gecompromitteerd is. Het chatforum is een initiatief van de jeugd-RIAGG Noord Holland Zuid en richt zich met name op jongeren tussen de 12 en 23 jaar die kampen met angst- en depressieve klachten. In eerste instantie werd gemeld dat alleen mailadressen en telefoonnummers in handen van de hackers waren gekomen. De Volkskrant meldde echter dat men van de hackers inzage had gehad in de inhoud van chats van een drietal personen. Daarbij was het onduidelijk of die gegevens niet gefingeerd waren. Het is de vraag of de mensen achter de website in eerste instantie naar buiten toe de schade beperkt wilden doen lijken of niet wisten tot op welk niveau men doorgedrongen was. Het lijkt te gaan om ruim 14.000 persoonsprofielen en 16.631 chatgesprekken. Ook bleek er losgeld gevraagd te worden om openbaarmaking te voorkomen.
Eisen
Cruciaal bij alle pogingen om on-line psychische hulp te verlenen is het beveiligingsniveau van de betreffende website/chatforum/app. Alleen een zeer stringente beveiliging kan voorkomen dat er makkelijk ingebroken kan worden in de systemen. Daarnaast zal binnen die systemen door compartimentering ervoor gezorgd moeten worden dat indringers niet het hele systeem in één keer binnendringen en leegroven. Het is daarbij de vraag of de overheid en in het bijzonder het ministerie van VWS niet eisen moet stellen aan het beveiligingsniveau van dergelijke dienstverlening en een controlerende taak daarin moet hebben. Zeker als vanuit dit ministerie eHealth aangejaagd wordt ligt daar een bijzondere verantwoordelijkheid voor het ministerie.
Verantwoordelijkheid deelnemende professionals
Als psychotherapeuten, psychologen of psychiaters meewerken aan een website als www.pratenonline.nl dan dienen zij te beseffen dat zij een medeverantwoordelijkheid dragen voor het geval de website gehackt wordt. Voor een organiserende instanties geld dat uiteraard in de eerste plaats. Naar mijn gevoel zijn zorgprofessionals bij een aantoonbare zwakke opzet van de beveiliging van de website ook tuchtrechtelijk aan te spreken. Men kan er zich dan niet vanaf maken door te stellen dat ICT-ers steken hebben laten vallen of dat de hackers te slim waren. Als zorgprofessional dien je het medisch beroepsgeheim te bewaken en dat betekent ook je vergewissen van het beveiligingsniveau van iets waar je aan mee werkt.
Moet je het willen?
Het lijkt allemaal heel mooi en laagdrempelig als met chatforums of apps mensen met psychische problemen geholpen worden. Gezien het risico dat er altijd een vorm van datalekkage of diefstal door hacken op de loer ligt moet men zich ook serieus afvragen of men altijd maar moet willen wat technisch kan. Want alles heeft zijn voor en tegen. Er bestaat niet zoiets als alleen maar win-winsituaties op dat vlak. Of zoals ik weleens in mijn werkzame bestaan zei: “Het is net als met deeg dat je uitrolt. Wat je wint in de lengte verlies je in de breedte”
W.J. Jongejan, 28-11-2018
Hét probleem is:
Ontwikkelaars knutselen een programma in elkaar en besteden aandacht aan wat je met de data kan doen en hoe het zich toont op een scherm. Ze hebben daarbij geen aandacht voor Data en hoe dat beveiligd moet worden. Ook slaan ze de data op met eigen oplossingen..
Het resulteert altijd in data-breuken met privacy implicaties. Maar ook dat de data niet goed herbruikbaar is door derden.
Applicaties in en buiten de zorg zouden gemaakt moeten worden door echte software ingenieurs ipv knutselaars.
Wanneer op grote schaal e-Health applicatie gemaakt worden dan zouden niet alleen software ingenieurs nodig zijn maar ook een infrastructuur gebaseerd op gedeelde standaarden.
Zonder software ingenieurs en zonder gedeelde infrastructuur zal eHealth nimmer van de grond komen en altijd tot problemen leiden.