Dat heeft oud-minister van Volksgezondheid E. Borst maandag gezegd tijdens de presentatie van het boekje Medische geheimen, over de risico’s van het elektronisch patiëntendossier van publiciste K. Spaink.

Borst kreeg bijval van F. Garnier van de Landelijke Huisartsen Vereniging (LHV). Hij vond dat de politiek moet bepalen welke gegevens in welke mate beveiligd moeten worden. Directeur I. van Bennekom van de Nederlandse Patiënten en Consumenten Federatie (NPCF) kondigde aan dinsdag minister Hoogervorst (Volksgezondheid) aan de kaak te voelen over de veiligheid van patiëntgegevens. Volgens Van Bennekom wordt veel te laconiek over veiligheid en privacy gedaan. „Het wordt niet serieus genoeg genomen en dat baart ons grote zorgen".

Een groot academisch ziekenhuis dat toestemming gaf aan ICT-beveiligingsspecialisten om op initiatief van Spaink het computersysteem te ‘hacken’ stelt dat beveiliging van ICT moet worden opgenomen in de ziekenhuistarieven. Nu is dat niet zo. Volgens het ziekenhuis zou beveiliging van de computersystemen ook moeten worden opgenomen in de zogenoemde ‘prestatie-indicatoren’, de criteria waarop ziekenhuizen kunnen worden afgerekend. J. Vesseur van de Inspectie voor de Gezondheidszorg vindt dat ziekenhuizen zelf prioriteiten moeten stellen. Dat doen ze ook als er vanwege de veiligheid nieuwe schuifdeuren of andere verlichting nodig is, stelde hij.

Vrijdag maakte Spaink bekend dat medewerkers van beveiligingsbedrijven ITSX, Fox-IT en Madison-Ghurka er in geslaagd waren om 1,2 miljoen patiëntgegevens te ‘hacken’. Dat lukte bij een ziekenhuis dat een soort regionaal patiëntendossier beheerde. Een medewerker van ITXS vertelde maandag dat het beveiligingsniveau bij dit ziekenhuis vergelijkbaar was met dat van een MKB-bedrijf. „Wij slaagden er in de grootste beheerder binnen alle netwerken van het ziekenhuis te worden. Bij grote bedrijven, zoals banken of de KPN komen we dit niet tegen". Als dat wel zou was, zou de bank in kwestie in grote problemen komen.

Het andere, academische, ziekenhuis dacht vrijdag de dans ontsprongen te zijn. Op dat moment waren de ‘hackers’ alleen tot het intranet doorgedrongen. Door echter met behulp van een telefoonlijst van dat intranet medewerkers van het ziekenhuis te benaderen en zich voor te doen als enquêteur of helpdeskmedewerker, slaagden ze er in wachtwoorden te krijgen en kregen ze toegang tot zo’n 8000 patiëntgegevens. Bovendien konden ze zonder pasjes zo het ziekenhuis binnenlopen en een kamer bezetten. Het academisch ziekenhuis erkent dat de mens de zwakste schakel is in het systeem en benadrukt dat er in het ziekenhuis juist een campagne gaande is om medewerkers met posters te wijzen op de risico’s.

Overigens verwees geen van de aanwezigen de plannen om elektronische medische patiëntendossiers in het leven te roepen naar de prullenbak. Ze vonden echter bijna allemaal dat daarbij meer aandacht moet komen voor de veiligheid en dat de wetgeving over het medisch beroepsgeheim aangepast moet worden.