Cybercrimineel profiteert van patiënten-empowerment

Er is een sterke lobby om zoveel mogelijk zorgverleners zover te krijgen dat zij hun patiënten met een eigen inlogcode inzicht geven in hun eigen elektronisch medisch dossier. Onder andere de minister van Volksgezondheid en de Nederlandse Patiëntenvereniging vechten hiervoor. Misschien ook wel logisch: patiënten raken zo nauwer betrokken bij hun ziekte en gezondheid. Dit gevoel van controle (of: empowerment) draagt positief bij aan herstel, zo wordt regelmatig bewezen bij wetenschappelijk onderzoek. Bovendien neemt de kans op fouten in het medisch dossier af, omdat de empowered patiënt de fout sneller zal vinden dan een medisch professional en de fout zal laten herstellen. Veel instellingen geven dan ook gehoor aan de oproep. Volgens Nictiz, het landelijke expertisecentrum dat ontwikkeling van ICT in de zorg faciliteert, bood in augustus 25% van de Nederlandse ziekenhuizen een patiëntenportaal aan via internet. Maar er zijn naast voordelen ook nadelen.

Het belangrijkste nadeel is dat de privacybescherming komt te vervallen. Tegenstanders van de nieuwe openheid vrezen dat derden hun kans ruiken. Werkgevers zouden werknemers onder druk kunnen zetten om hun dossier met de werkgever te delen, bijvoorbeeld in ruil voor meer vakantiedagen. Er is angst voor zorgverzekeraars die aspirant-klanten mooie kortingen bieden in ruil voor inzage in hun dossier vooraf. Ook zijn er andere commerciële partijen die bereid zijn om voor de medische gegevens van consumenten in de buidel te tasten om gerichte marketing te kunnen plegen en grootse big data plannen te kunnen verwezenlijken.

Het zou kunnen dat er consumenten zijn die voor dit soort tactieken vallen. Jan-Marc Verlinden, oprichter van het commerciële bedrijf MEDvision360, vertelde de redactie van Nieuwsuur dat hij verwacht dat 50% van de Nederlanders hun medische gegevens met een commercieel bedrijf als het zijne zullen gaan delen. Dat is voor privacyvoorvechters misschien een doemscenario, maar in ieder geval zit er nog iets van een eigen afweging achter: de consument kiest er zelf voor om de privacygevoelige gegevens te delen met derden in ruil voor voordeel.

Een nadeel waar ik nog maar weinig over heb gelezen, valt in dezelfde categorie van het vervallen van de privacybescherming. In de zorg gelden strenge NEN-normen voor het beveiligen en het veilig versturen van informatie. Er is een speciaal sub-internet gemaakt waar de communicatie over en het verkeer van patiëntengegevens veilig, namelijk extra geëncrypteerd over gaan (DCN). Het is niet voor niets dat zorgverleners die aangesloten zijn op het landelijk schakelpunt (LSP) uitsluitend met dit extra beveiligde internet mogen werken. Een aansluiting op algemene internet met de pc’s die zijn aangesloten op het LSP is volgens de voorwaarden van VZVZ, de autoriteit die de toegang tot het LSP regelt, zelfs strikt verboden. De hele borging van de veiligheid van dit systeem vervalt, zodra de informatie die veilige omgeving verlaat en via het algemene internet op de pc van de patiënt zelf terecht komt.

Er zijn uiteenlopende schattingen hoeveel pc’s er in Nederland besmet zijn met malware. We weten dat tussen 5% en 10% van alle Nederlandse pc’s deel uitmaakt van een botnet. Deze pc’s zijn dus per definiete besmet met malware. De meerderheid van deze pc’s staat bij mensen thuis en niet op het werk. Daarnaast zijn er ook besmette pc’s die niet in een botnet hangen. Laten we de schatting conservatief houden en ervan uitgaan dat circa 10% van alle consumenten-pc’s geïnfecteerd en dus onveilig zijn. Dit percentage verschilt sterk van het aantal mensen dat weet of denkt dat zijn pc geïnfecteerd is, want de meeste mensen geloven nog altijd dat hun pc niet geïnfecteerd is, als zij geen vreemde pop-ups of een sterke vertraging van de pc waarnemen. Probleem is, dat moderne malware bijna nooit pop-ups of vertraging veroorzaakt. We kunnen er dus van uit gaan dat die 10% besmette pc’s een volledig argeloze eigenaar heeft die gelooft dat zijn pc volkomen veilig is.

Niet iedereen weet precies wat malware allemaal doet, dus hier even een korte omschrijving van de meest voorkomende functies. Na de initiële infectie, meestal door een zogenaamde exploit die misbruik kan maken van een beveiligingslek in het besturingssysteem, de software of de browser, wordt een pakket van aanvullende malware gedownload. Zo zal er een programmaatje worden geïnstalleerd dat razendsnel alle documenten, foto’s, video’s en andere bestanden kopieert en naar het ‘Command & Control Center’, zeg maar het moederschip stuurt. Soms wordt er nog een extra zoekfunctie gebruikt, die de inhoud van de documenten op relevantie kan analyseren. Documenten waarin bijvoorbeeld het woord paspoort, BSN of creditcard voorkomen zijn extra interessant. Vervolgens blijft er meestal spyware op de pc actief. Wanneer er een interessant document gemaakt, gedownload of zelfs slechts alleen ingekeken wordt, kunnen screenshots worden gemaakt. Wanneer wordt ingelogd op websites die met wachtwoorden beveiligd zijn, kunnen toetsaanslagen worden vastgelegd door keyloggers, waarmee inloggegevens gestolen kunnen worden. Zelfs wanneer gebruik gemaakt wordt van tweefactor-authenticatie, waarbij voor het inloggen een éénmalig wachtwoord wordt verstuurd naar bijvoorbeeld een mobiele telefoon of een speciale token, is dat niet per definitie veilig. Banktrojanen – zo genoemd in het tijdperk dat banken bijna de enige waren die gebruik maakten van tweefactor-authenticatie – kunnen met behulp van een Man in the Browser-aanval meeliften op de (eenmalige) inloggegevens van de gebruiker en zich zo toegang verschaffen tot de informatie. Deze malware is erg lastig te herkennen of tegen te houden en de malware-analisten van G DATA zien er steeds meer opduiken. Banktrojanen kunnen uitsluitend effectief worden gestopt door een technologie die het opbouwen van Man in the Browser-aanvallen voorkomt, zoals G DATA BankGuard.

Kort gezegd: als de pc van de consument niet veilig is, is medische informatie voor de eigenaar van de pc niet veilig te bekijken. Net zoals is gebeurd bij andere waardevolle informatie, zoals kopie-paspoorten, creditcardgegevens, Paypal-rekeningen, inloggegevens enzovoorts, zullen medische dossiers vandaag of morgen in groten getale te koop worden aangeboden op illegale marktplaatsen. Commerciële partijen die het lastig en duur vinden om patiënten te overtuigen om mee te werken, hebben dan de mogelijkheid om de gegevens in bulk in te kopen. Zonder instemming van de consument. En wie nu denkt dat legitieme ondernemers toch niet zo ver zullen gaan om confidentiële informatie onrechtmatig te verkrijgen of te verhandelen, heeft het recente schandaal van het Belgische Gendia gemist. Dat bedrijf misbruikte de medische vragenlijsten die zwangere vrouwen moesten invullen voor het ondergaan van een prenataal onderzoek om kankerrisicotests te slijten.

Ik wil mij niet te sterk mengen in de morele discussie over de (on)wenselijkheid van het beschikbaar stellen van elektronische patiëntendossiers aan patiënten. Maar het malware-aspect moet absoluut niet over het hoofd worden gezien. In algemenere zin ben ik fel pleitbezorger van een speciale NEN-norm voor alle consumenten die kiezen voor een digitale toegang tot hun patiëntengegevens. Onder die norm is het verplicht voor de consument om een effectieve antivirus-oplossing op zijn pc te hebben draaien en om kritieke beveiligingsupdates te hebben geïnstalleerd. Is dat niet het geval? Dan zou bij de inlogpoging de toegang moeten worden geweigerd.

Daniëlle van Leeuwen, Communications Manager G DATA

email

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *