eHealth is hip en IT-security is saai

Er komen ongeveer wekelijks nieuwe gadgets en apps op de markt die een positieve bijdrage (kunnen) leveren aan de zorg. Zelfmonitoring is een begrip geworden. Van eenvoudige dagboek-apps waarin gebruikers kunnen noteren hoe zij zich voelen, wat zij hebben gegeten en hoe vaak ze bepaalde gedachten hebben gehad tot ingewikkelde gadgets die bloeddruk meten, hartfilmpjes maken en je slaap analyseren. De voordelen van deze apparaten zijn duidelijk. Niet alleen geeft het zowel de patiënt als de arts een veel dieper inzicht in de (geestelijke) gezondheid van de zorgconsument, maar ook raakt de patiënt veel meer betrokken bij zijn eigen gezondheid. Dit kan een zeer positief effect hebben op die gezondheid. Juist door dit effect en omdat de gadgets voor thuisgebruik maar een fractie kosten van de professionele meetinstrumenten, kan eHealth een indrukwekkende besparing van de zorgkosten veroorzaken. En daar is de gehele maatschappij bij gebaat.

Buiten nuttig, zijn dit soort gadgets en apps ook uitermate trendy. Ik was laatst bij een conferentie waar meerdere break out sessies tegelijkertijd plaatsvonden. Veel sessies gingen over nieuwe technologieën rondom EPD’s (ook vaak voor de hippigheid ‘Persoonlijke Gezondheidsdossiers’ genoemd), meestal manieren om de informatie in de dossiers benaderbaar te maken voor patiënten zelf. Vooral wanneer dat laatste het geval was, waren de sessies populair (bij één sessie waren alle stoelen bezet, maar dat weerhield ongeveer 20 mensen er niet van om de sessie staand mee te pikken). Nog meer sessies gingen over nieuwe apps en gadgets. Er werden programma’s gepresenteerd voor virtuele consults, portals voor lotgenoten, apps voor ambulante zorgverleners en serious games die patiënten helpen om de juiste keuzes te maken ten aanzien van voeding en medicijngebruik. Er waren gadgets die allerlei vitale gegevens en activiteitsgegevens registreren en opslaan in de cloud. Dat klinkt interessant en dat bleek ook uit de enorme populariteit van de sessies.

Tijdens het hele congres was er slechts één sessie die ging over de mogelijke gevaren van de toenemende digitalisering van de zorg en van patiëntgegevens. Het is niet geheel toevallig dat die presentatie werd gegeven door ondergetekende. In de sessie zette ik uiteen hoe malware de deur naar al die privacygevoelige patiëntgegevens open kan zetten. Bovendien besteedde ik aandacht aan het gebrek aan bewustzijn voor deze gevaren niet alleen bij de gebruikers (dat zijn de zorgverlener en eventueel de zorgconsument), maar vooral ook bij de ontwikkelaars van alle aan eHealth gerelateerde soft- en hardware. Klinkt pessimistisch en saai, nietwaar? Dat bleek ook wel uit de zaal die zo goed als leeg was. Met het gevaar nu wat zuur en jaloers over te komen, geef ik eerlijk toe dat mijn sessie slechts een tiental geïnteresseerden had weten aan te trekken. Uiteraard is het niet fijn als je een presentatie zorgvuldig hebt voorbereid en er nauwelijks animo voor blijkt te zijn. Maar erger is eigenlijk om te moeten vaststellen dat security en databescherming voor zorgverleners maar een vervelende bijzaak is, waar zo min mogelijk aandacht naar uitgaat. En het allerergste: ik begrijp dat volledig. Als ik de keuze had tussen een half uur luisteren naar een nieuwe app waarmee patiënten zelf regie krijgen over hun eigen herstel na een operatie en een half uur luisteren naar het gevaar dat schadelijke code wellicht kan veroorzaken binnen het Landelijk Schakelpunt, dan wist ik het ook wel. Het is volstrekt vergelijkbaar met het feest van Sint Maarten. Iedereen die als kind met een lampion door de stromende regen langs de deuren uit de buurt is gegaan, weet dat er idioten zijn die de kinderen mandarijnen proberen aan te bieden in plaats van kleine Marsjes en Snickers. Die deuren worden het jaar erna overgeslagen.

Toch weten we als volwassene dat ons dieet niet alleen uit chocola, chips en zuurtjes kan bestaan. En ik zou hopen dat zorgverleners beseffen dat het negeren van gevaren van eHealth er niet voor zorgt dat de situatie dan opeens veilig is.

Ter illustratie kijken we even naar die leuke apps die – al dan niet in combinatie met een gadget – bepaalde waarden meten. Deze apps bieden vaak een gemakkelijke optie voor cybercriminelen om aan de gegevens te komen, omdat er slecht over security is nagedacht. Authenticatie is soms slechts éénmalig nodig, als er überhaupt al met een wachtwoord gewerkt wordt. Aan de kwaliteit van wachtwoorden worden meestal te weinig eisen gesteld. Dit soort apps, met veel privé-data, moet veel veiliger worden ontwikkeld.

In die richting denkt ook de Online Trust Alliance, een samenwerkingsverband van IT-security en technologiebedrijven dat momenteel werkt aan ‘the Internet of Trust Framework’. Dit raamwerk wil een richtlijn bieden aan fabrikanten en ontwikkelaars om het aantal en de omvang van aanvalsvectoren te verkleinen en het aantal zwakke plekken te minimaliseren. Daarnaast probeert de organisatie verantwoorde omgang met privacy en data te bewerkstelligen en van security een ‘state of mind’ te maken bij fabrikanten en ontwikkelaars. ‘Privacy & Security by Design’ moet het model worden van een in te voeren bindende gedragscode. Helaas is dit voorlopig nog toekomstmuziek.

Gebruikers kunnen gelukkig zelf ook iets doen om hun privacy te beschermen. Om te beginnen moeten zij hun smart devices met sterke wachtwoorden beveiligen en de apparaten zoveel mogelijk uitzetten wanneer deze niet worden gebruikt. Daarnaast moeten zij de lastige vragen beantwoord zien te krijgen alvorens een app te gebruiken. Vragen als ‘Hoe veilig is de verbinding waarover alle verzamelde gegevens worden verstuurd?’, ‘Hoe veilig is de cloud waarin deze gegevens worden bewaard?’, ‘Mag de aanbieder mijn gegevens aan derden verkopen?’ en ‘Hoe betrouwbaar is het authenticatiesysteem waarmee ik mij aanmeld bij de gegevens?’. De zorgverlener kan hierbij helpen door dit na te gaan voor alle apps die hij aan zijn cliënten aanbeveelt. Dat is saai en extreem onhip. Maar wel heel erg belangrijk.

Daniëlle van Leeuwen is Communicatie Manager Benelux bij G DATA

email

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *