De zorgsector loopt achter de feiten aan wat betreft het borgen van security en privacy. Banken en overheden zijn hier veel verder mee. Oorzaken zijn te weinig bewustwording bij zorgverleners en het werken met verschillende systemen die vaak ook verouderd zijn. Het gaat jaren duren voordat zorginstellingen op het gebied van dataprotectie en privacy hun zaakjes op orde hebben.

Tot deze opvallende conclusie komen Computable-experts en experts uit de markt tijdens het Computable-debat over it-beveiliging van patiëntgegevens dat vandaag plaatsvond op de beurs Zorg & ICT in Jaarbeurs Utrecht.

Maurice Drost, functioneel applicatiebeheerder EPD & ECD Consultancy, Bastiaan Bakker, directeur business development Motiv, Hans Reterink, managing consultant Berenschot, Herman van den Tempel, director healthcare Atos Nederland en legal consultant Ilham Ouajna bij Cure 4 gaven hun visie op it-onderdelen die in de zorg een rol spelen op het gebied van security en privacy. Computable-hoofdredacteur Sander Hulsman en journalist/schrijfster Maria Genova leiden de discussie waar zo’n tachtig belangstellenden op afkwamen.

Bewustwording ontbreekt

Zorginstellingen en -verleners zijn zich nog onvoldoende bewust van de gevaren van datalekken en cybercrime. Bakker: ‘De bescherming van de patiënt is na de digitalisering van de zorg achtergebleven. In 2016 waren er 1.600 meldingen van datalekken; zestig procent daarvan komt voort uit het onbewust lekken van data.’ Een it-dienstverlener uit het publiek illustreert dit met een anekdote over een chirurg die ’s ochtends op alle systemen inlogde, waarna álle medewerkers toegang hadden tot deze systemen. Ook het plakken van de bekende ‘gele briefjes’ met inloggegevens bij computers en algemene gemakzucht speelt een grote rol, zo ondervinden zowel de experts als de toehoorders in het publiek.

Geen IT-budget

Een andere veelgenoemde oorzaak voor datalekken en onvoldoende beschermde gegevens is (het gebrek aan) geld. De komst van de privacywet GDPR in mei 2018 zou volgens de experts een impuls moeten zijn om wel tot een volledige beveiliging van de it in zorginstellingen te komen, omdat de boetes voor datalekken vele malen hoger zijn dan de uitgaven aan it.

Een andere ontwikkeling die mogelijk het tij kan keren, wordt genoemd door Maurice Drost. Hij stelt dat ziekenhuizen gebruik zouden moeten maken van al bestaande en goedkope opensourcesecurity-oplossingen zoals de Google Authenticator. Een toehoorder uit het publiek, werkzaam bij de Rijksoverheid, wijst er op dat het ministerie van Volksgezondheid, Welzijn en Sport een infrastructuur moet creëren, onder andere met een beveiligde datacenter dat uitwisseling over een veilig netwerk tussen verschillende ziekenhuizen mogelijk moet maken. ‘Hierdoor is er binnen de Nederlandse zorg goedkoper in te kopen en gebruikt elke instelling dezelfde instrumenten die allemaal beveiligd zijn.’