Cyber-veiligheid in ziekenhuizen
Datum: 07-08-2012
Cyber-veiligheid in ziekenhuizen
In de Volkskrant van 4 augustus 2012 stond een interessant interview met ‘cyber-beveiliger’ Ronald Prins over digitale aanvallen van landen op elkaar en risico’s die landen lopen. Hij noemde onder andere het voorbeeld van Stuxnet-virus, waarmee een deel van het nucleaire programma van Iran (door de USA?) werd vernietigd. Dat virus heeft ook een Nederlands bedrijf geraakt. Prins stelt de vraag wat er gebeurt als zo’n virus zich in een ziekenhuissysteem of een kerncentrale nestelt.
Zo’n artikel maakt dan bij mij iets los wat ik eigenlijk al wist, maar dat nu manifest wordt. We zijn in de zorg heel actief bezig met (patiënt)veiligheid, maar de ‘cyber safety’ in bredere zin komt nauwelijks aan de orde. Vorig jaar is door de Eerste Kamer het Landelijk Schakelpunt van het EPD om zeep geholpen, omdat de privacy van de patiënt niet voldoende gewaarborgd zou zijn. Daarmee is veel geld over de balk gegooid en een -mijns inziens- nuttige ontwikkeling geblokkeerd, maar er is niets opgelost.
Iedere zorgorganisatie heeft zijn eigen EPD of ECD dat intern wordt gebruikt en soms in ketenzorg wordt uitgewisseld. Het is maar de vraag of daar de privacy wel goed geborgd is. Karin Spaink heeft in 2005 beroepshackers opdracht gegeven om de beveiliging van twee ziekenhuizen te testen. De resultaten waren schokkend. De hackers hadden twee weken toegang tot 1,2 miljoen patiëntgegevens en niemand merkte het. Karin heeft dit ook gemeld aan de IGZ. Lees vooral Karin’s blog daarover. Ik was erbij toen de resultaten in het Nictiz-platform werden gepresenteerd en was verbaasd hoe daar kennis van werd genomen, zonder dat er een gevoel van urgentie ontstond om de zaak onmiddellijk te verbeteren. We zijn nu zeven jaar verder. Ik betwijfel of de situatie inmiddels echt verbeterd is. Te meer daar steeds meer onderzoeken aantonen dat Wifi-netwerken zo lek als een mandje zijn, wat het hacken eerder gemakkelijker dan moeilijker maakt.
Ik ben even gaan googlen wat ik over dit onderwerp kon vinden. In het Nederlands na het artikel van Spaink niets. Maar ook Engelstalig kon ik er geen recente fundamentele artikelen over vinden. Is cyber-safety in hospitals een probleem dat is opgelost of krijgt het te weinig aandacht? Ik vrees het laatste. In jaardocumenten van zorginstellingen en in managementletters van accountants wordt er nauwelijks over gesproken, behalve als het om financiële of administratieve processen gaat. De IGZ zegt alleen iets over data-uitwisseling. VWS neemt niet deel aan het Platform ‘Digitale Veiligheid’, dat doen Veiligheid&Justitie en ELI.
Waar de discussie maatschappelijk aan de orde komt is deze beperkt tot de privacy van de patiënt en sterk ingestoken door de bescherming van persoonsgegevens. Maar de voorbeelden die Karin Spaink noemt, zoals de mogelijkheid alle bloedgroepen in de medische dossiers in een ziekenhuis te veranderen, gaan verder dan alleen privacy. Prins noemt het voorbeeld dat het Stuxnetvirus in een ziekenhuissysteem komt ‘dan heb je geen idee of de metertjes op je apparatuur nog betrouwbaar zijn’.
Ziekenhuizen werken met heel veel verschillende softwareprogramma’s en ieder apparaat heeft tegenwoordig wel een microprocessor in zich. Dat biedt even zo vele mogelijkheden om bewust of onbewust iets te ontregelen. Zeker als de apparaten een op afstand bedienbare chip voor onderhoud in zich hebben, zoals een Chinese fabrikant deed. Het kan niet zo moeilijk zijn om in het ziekenhuis, op de parkeerplaats of ver weg programma’s of apparatuur te ontregelen. Wat als de analysers in het lab allemaal verkeerde uitslagen geven? Is de apparatuur op de hartbewaking bestand tegen aanvallen van een hacker? Weten we zeker dat allerlei apps op mobile phones niet onbewust iets ontregelen? Is het mogelijk om van buiten af het klimaatsysteem in een ziekenhuis te beïnvloeden? Naast de beïnvloeding van het EPD zijn dat een aantal risico’s voor de patiëntveiligheid. Er zijn er vast veel meer. Ik nodig de lezer uit me andere voorbeelden aan te reiken.
Vanuit governance bezien is de vraag of bestuurders voldoende weten van en voldoende zicht hebben op de cyber-veiligheid in hun organisatie. Ik betwijfel dat zeer. Ook is de vraag of toezichthouders er zicht op hebben of hun bestuurder daar een visie op heeft en daar maatregelen op neemt. Ik weet bijna zeker dat dit onderwerp nog nauwelijks in het toezicht aan de orde komt. Dus bestuurders en toezichthouders: het wordt tijd om de cyber-veiligheid meer aandacht te geven naast de fysieke veiligheid, waarin grote stappen zijn gezet.