Als je patiëntgegevens uitwisselt, dan moet dat natuurlijk veilig zijn. Daar is volgens Albert Vlug iedereen het wel over eens. Als manager ontwerp en onderhoud bij NICTIZ is Vlug verantwoordelijk voor de infrastructuur van het landelijk elektronisch patiëntendossier (EPD). “Beveiliging is een integraal onderdeel van die architectuur en daarop mag je mij dus aanpspreken.”

 

Wat de beveiliging van de landelijk infrastructuur ingewikkeld maakt, is dat je te maken hebt met verschillende systemen: de systemen van de zorgverleners, het landelijk schakelpunt en de communicatienetwerken. En de totale infrastructuur is net zo veilig als de zwakste schakel. “De eisen die hieraan worden gesteld gaan dan ook verder dan wat gangbaar is”, aldus Vlug. “Voor de zorgverleners gelden de eisen voor een goed beheerd zorgsysteem (GBZ) en voor de bedrijven die zorg dragen voor de communicatie gelden de eisen voor een zorgserviceprovider (ZSP).”

 

De focus van NICTIZ ligt op het elektronisch beschikbaar stellen van de benodigde gegevens voor zorgverleners. Vlug: “Onze eisen voor een goed beheerd zorgsysteem gelden alleen voor het deel van bijvoorbeeld een ziekenhuisinformatiesysteem dat betrokken is bij de externe uitwisseling van patiëntgegevens. Dus zodra een PACS hier onderdeel van gaat uitmaken, moet het voldoen aan de eisen voor een goed beheerd zorgsysteem. En deze eisen gelden ook voor de koppelvlakken tussen het deel dat voldoet aan de GBZ-eisen en de rest van het ziekenhuis informatiesysteem.”

 

De veiligheidseisen van NICTIZ gaan zowel over techniek, organisatie als cultuur. Vlug: “Bij techniek worden bijvoorbeeld eisen gesteld aan de uzi-pas en het versleutelen van gegevens. Bij organisatie wordt geëist dat medewerkers zich houden aan bepaalde veiligheidsprocedures en bij cultuur moet je bijvoorbeeld denken het besef bij medewerkers dat ze hun wachtwoord niet op een geeltje zetten en op hun beeldscherm plakken.”
Vlug ziet het vooralsnog als de taak van NICTIZ om toe te zien op de beveiliging van de landelijke EPD-infrastructuur. “Het is niet zo dat als een zorginstelling of ict-bedrijf voldoet aan de beveiligingseisen, dat dit eeuwig blijft gelden. Zodra zich wijzigngen voordoen, gaan we opnieuw testen. Maar ook periodiek, eens in de drie jaar bijvoorbeeld.”

 

 

Het College Bescherming Persoonsgegevens (CBP) heeft zich kritisch uitgelaten over de bescherming van de privacy van patiënten bij het landelijk EPD. Vlug memoreert het rapport over informatiebeveiliging in de zorg van Interpay waarin geadviseerd wordt om de juiste balans te zoeken tussen privacybescherming enerzijds en het recht doen aan de eisen van beschikbaarheid en betrouwbaarheid anderzijds. “Dat maakt de zorg juist zo complex. We zijn bijvoorbeeld met de Inspectie voor de Gezondheidszorg bezig om invulling te geven aan intelligente logging waarbij we niet alleen passief bijhouden wie allemaal inlogt, maar ook bepaalde patronen kunnen herkennen die duiden op misbruik. Is dat het geval, dan kunnen we een signaal geven richting de toezichthouder.”

 

Informatiebeveiliging maakt dus integraal onderdeel uit van de landelijke EPD-infrastructuur, benadrukt Vlug. Hij durft daarom te beweren dat de architectuur van de informatiebeveiliging “op hetzelfde vertrouwensniveau” zit als dat van de banken. “Terwijl het in de zorg om een complexere omgeving gaat.”