Beveiliging persoonlijke gezondheidsomgeving wordt een uitdaging
Minister Bruins van Medische Zorg en Sport wil vanaf volgend jaar iedereen de mogelijkheid geven om zijn of haar medische gegevens zelf te beheren. Leon Kuunders, informatiebeveiligingsspecialist bij Trusted-ID, duidt dit plan. Hij vindt het een sympathiek initiatief, maar zet vraagtekens bij de beveiliging van een dergelijk systeem.
In een interview met de Volkskrant laat minister Bruno Bruins (Medische Zorg en Sport) weten dat hij 3 miljoen euro uittrekt voor de ontwikkeling van een persoonlijke gezondheidsomgeving. Iedere Nederlander kan zelf beslissen welke informatie er in die omgeving komt te staan en welke informatie hij of zij wil delen met welke zorgverlener. Volgens informatiebeveiligingsexpert Kuunders is dit een mooi voorbeeld van de implementatie van de nieuwe Europese wetgeving: de Algemene verordening gegevensbescherming (AVG). Deze aankomende EU-brede wetgeving vereist dat burgers inzagerecht hebben in hun eigen persoonlijke gegevens die organisaties over hen opslaan.
Inzage in plaats van download
De vraag is hoe het systeem wordt opgebouwd en ingericht, vertelt de informatiebeveiligingsspecialist aan AG Connect. “Het gaat om gegevens die bij een zorgverlener worden gecreëerd en die dus geschikt moeten worden gemaakt om te kunnen downloaden op je computer of telefoon. Buiten het feit dat er honderden zorgaanbieders zijn die allemaal op een net iets andere wijze met hun patiëntgegevens omgaan, zie ik in potentie een heleboel veiligheidsrisico’s ontstaan.”
Daarnaast is er nog de vraag of het verstandig is dat burgers hun eigen medische gegevens opslaan. Kuunders laat zich daar niet direct over uit. Wel trekt hij een vergelijking met apps voor internetbankieren. “Mensen maken en masse gebruik van de mogelijkheid om hun eigen financiële gegevens in te zien op hun telefoon. Die worden beschikbaar gesteld door de bank, maar worden niet naar het device gedownload.”
Iedere bank heeft hierbij zijn eigen app. “En dat zie ik niet zo snel gebeuren in de zorg. Het is ondoenlijk dat iedere zorgverlener een eigen app gaat ontwikkelen om patiëntgegevens te delen. Bovendien heb je dan als burger straks talloze verschillende apps op je telefoon nodig om je gegevens in te zien.” Liever ziet Kuunders een systeem dat vergelijkbaar is met het huidige elektronisch patiëntendossier (EPD). Dat werkt met een landelijk schakelpunt dat gegevens verzamelt en aanbiedt. “Vooral inzichtelijk maken in plaats van downloaden zou wat betreft security al veel schelen.”
Sympathiek idee met veel risico’s
Hoewel Kuunders het absoluut een sympathiek idee vindt dat iedere burger vanaf volgend jaar bij zijn of haar eigen medische gegevens kan, ziet hij vooral beveiligingsrisico’s. “Een zorgaanbieder moet jouw gegevens via internet aanbieden, dat levert die aanbieder de nodige veiligheidsrisico’s op. Ik denk dat er eerst standaarden en normeringen moeten worden ontwikkeld voor de wijze waarop deze medische gegevens beschikbaar kunnen worden gemaakt."
Daar komt gelijk een forse hobbel in zicht: "Het ontwikkelen van standaarden en normen duurt vaak jaren, dus eigenlijk zie ik het nog niet gebeuren dat we volgend jaar en masse onze eigen medische informatie kunnen downloaden.” Tegen de Volkskrant zegt minister Bruins over de beveiligingsbezwaren dat de security van het systeem aan de hoogste eisen zal voldoen. Beter dan DigiD, maar wel zo dat de goede gegevens paraat zijn als ze nodig zijn en op een manier dat ook laaggeletterden ermee overweg kunnen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee