Gaat het dan echt gebeuren? Het heeft er zowaar alle schijn van: het landelijk elektronisch patiëntendossier lijkt definitief in aantocht; en dat zal tijd worden ook!
   Met de informatievoorziening in de gezondheidszorg is het al decennia een rommeltje. De eerste keer dat ik daarmee werd geconfronteerd, was toen ik een tijdje bij een medisch specialist had gelopen en het mij jaren later duidelijk werd dat de uitkomst van het door hem gedane onderzoek in geen enkele vorm bleek te zijn teruggekoppeld naar mijn huisarts. Ik was oprecht verbaasd. Nog verbaasder was ik toen ik meemaakte dat mijn vader bij herhaling het slachtoffer werd van heftige allergiereacties doordat hij in het ziekenhuis meermalen dezelfde verkeerde antibiotica kreeg toegediend.
   Naarmate de jaren verstreken is mijn verbazing over dit soort zaken volledig verdwenen. In 2007 constateerde de Inspectie voor de Gezondheidszorg (IGZ) in haar rapport 'Staat van de gezondheidszorg' dat er in Nederland per jaar enkele duizenden mensen overlijden door onbedoelde incidenten in de zorg. Uit ander onderzoek - het zogeheten HARM-onderzoek (Hospital Admissions Related to Medication) - kwam naar voren dat er in Nederland door 'problemen met geneesmiddelengebruik' per jaar rond de 19.000 mensen in het ziekenhuis belanden, waarvan zo'n 1200 dat avontuur niet overleven.
   De oorzaken die ten grondslag liggen aan deze onthutsende cijfers zijn natuurlijk divers. Neemt u echter van mij aan: slecht functionerende ICT-systemen zijn er voor een groot deel debet aan.
   Het meest recente voorbeeld betreft een waarschuwing (eind april) van de Inspectie voor de Gezondheidszorg aan het adres van alle ziekenhuisapotheken betreffende de schijnveiligheid van elektronische apotheekinformatie. Het IGZ-onderzoek dat hiertoe aanleiding gaf, is nog niet eens afgerond, maar de voorlopige bevindingen zijn zo alarmerend, dat de IGZ direct een waarschuwing heeft doen uitgaan. Men ontdekte onder meer dat computersystemen in diverse gevallen geen medicatiebewakingssignalen blijken af te geven op momenten dat dit wel zou moeten. Zo'n signaal moet voorkomen dat patiënten medicijnen die niet goed samengaan door elkaar gaan slikken of per abuis middelen krijgen die bij hen allergische reacties veroorzaken. Verder blijkt dat de noodzakelijke patiëntenbestanden die wel aanwezig zijn in de bronapotheek, in de dienstapotheek vaak ontbreken. Anderzijds wordt er weer te weinig gedaan om te voorkomen dat er onnodig dubbele patiëntbestanden ontstaan...
   Het nu (eindelijk) in aantocht zijnde landelijke elektronische patiëntendossier is een essentiële schakel op weg naar een gezondheidszorg die ons behoedt voor fouten en gevaren zoals hierboven beschreven. Cruciaal voor het welslagen van dit EPD is wel dat de privacy van de patiëntgegevens voldoende gewaarborgd wordt. Dát goed te regelen is op zich al een opdracht voor huzaren.

Dick Schievels
Hoofdredacteur Infosecurity

Thursday, May 15, 2008 9:29:22 AM (GMT Standard Time, UTC+00:00)      Comments [1]  

In het laatste (mijn eerste) nummer van vorig jaar had ik het over een in september 2007 gehouden voordracht van Bruce Schneier. Schneier wees op het punt dat we soms banger zijn dan nodig en ons op een ander moment veilig wanen terwijl de grond daarvoor volstrekt ontbreekt. Mensen zijn in het algemeen heel slecht in het goed inschatten van risico’s, was de kern van zijn betoog, en daardoor lopen, als het om veiligheid gaat, gevoel en realiteit nogal uiteen.
   Sindsdien is er een en ander gebeurd. Uit de elke twee maanden af te lezen ICT Barometer van Ernst & Young blijkt dat Nederland niet is voorbereid op een digitale aanval. Vooral de overheid laat het afweten. Driekwart van alle overheidsinstellingen heeft geen enkel noodplan, zo geven de onderzoeksresultaten aan. In de Trend Barometer 2008 van G Data wordt de verwachting uitgesproken dat 2008 ‘het jaar van het losgeld’ gaat worden. Men doelt daarbij op trojans die bestanden, folders of hele delen van de harde schijf kunnen versleutelen, hetgeen vervolgens alleen tegen betaling van een X-bedrag weer ongedaan wordt gemaakt. Uit het onlangs uitgebrachte Mobile Security Report 2008, gebaseerd op een door Datamonitor uitgevoerd onderzoek onder 2000 mobiele bellers in de Verenigde Staten, het Verenigd Koninkrijk en Japan, komt naar voren dat een groot deel van deze consumenten zijn mobiele telefoon niet echt vertrouwd als het gaat om zaken als online bestellen van tickets of mobiel betalen. Bevindingen van weer een ander onderzoek – het X-Force Security Report gepubliceerd door IBM – tonen aan dat er een complexe en geraffineerde economie is ontstaan die munt slaat uit de zwakke plekken van Internet Explorer en Firefox. Verder blijkt dat een razende reporter van SBS drie maanden lang op Schiphol dagelijks de kans heeft gehad om een of meer bommen in vliegtuigen achter te laten, en is de ov-chipkaart ‘zo goed als’ gekraakt. En, oh ja! Daarnet viel mijn oog op een voorpagina-artikel in de Telegraaf (ik lees die krant eigenlijk nooit, behalve als het over Bokito gaat) waarin wordt beweerd dat door de diefstal van laptops de geheimen van het Nederlandse bedrijfsleven letterlijk op straat belanden.
   Het bovenstaande is slechts een greep uit de gestage stroom van ‘gevaarlijke’ berichten die een doorsnee mens maandelijks binnen krijgt. En weet u wat nu het gekke is, ik lig er geen minuut van wakker, al doe ik nog zo mijn best.
   Over gevoel en werkelijkheid gesproken...

Dick Schievels
Hoofdredacteur Infosecurity

Thursday, February 28, 2008 9:31:48 AM (GMT Standard Time, UTC+00:00)      Comments [1]  

Soms voelen we ons volstrekt veilig, terwijl we dat objectief gezien helemaal niet zijn. Op een ander moment voelen we ons kwetsbaar, terwijl daar in de realiteit totaal geen reden voor is. Ziehier in een notedop het thema van de keynote speech van Bruce Schneier op de eind september gehouden RSA-conferentie in Londen. Die RSA-conferentie vindt jaarlijks plaats en heeft in de loop der tijd een sterke reputatie opgebouwd bij collega’s die er eerder waren. Dit jaar was ik er voor het eerst zelf en inderdaad, RSA maakte zijn reputatie dubbel en dwars waar: uitstekende locatie, prima organisatie en een zeer interessant lezingenprogramma. Waar kun je als ‘herintredende’ hoofdredacteur van Infosecurity je kennis beter bijspijkeren?
   Maar even terug naar die keynote van Schneier. Schneier is een vermaard man op gebied van securitytechnologie en auteur van een handvol best sellers als ‘Beyond Fear’, ‘Secrets and Lies’ en ‘Applied Cryptography’. Hij is technologisch uitstekend onderlegd, maar het leuke is dat hij daarnaast ook een heel goed oog heeft voor de psychologische kant van informatiebeveiliging. Zijn speech raakte vooral de essentie van een van de lastigste problemen van ons vakgebied: het inschatten van risico’s.
   Dat dat zo lastig is komt onder meer, aldus Schneier, doordat mensen slecht met zowel hele grote als hele kleine getallen kunnen omgaan. De meesten van ons kunnen zich bijvoorbeeld totaal geen voorstelling maken van wat een risico van 1 op 100.000 precies inhoudt. Daarnaast, zo betoogde hij, ontbreekt het ons bij voorvallen waar we weinig ervaring mee hebben aan de noodzakelijke data om überhaupt een goede risico-inschatting te kunnen maken. Neem ‘11 september’. Was de kans dat zoiets ooit zou gebeuren nu groot of klein? En wat is de kans nú dat iets dergelijks zich herhaalt? We kunnen het slecht inschatten, omdat er gewoon geen genoeg data voor handen zijn waarop zo’n inschatting gedaan zou kunnen worden. Misschien is die kans in werkelijkheid heel klein, terwijl subjectief gezien de angst voor herhaling bij veel Amerikanen heel groot is. En dat is een gegeven waar je, aldus Schneier, niet zomaar overheen kunt stappen.
   In Schneiers optiek gaat het er in ons vakgebied om zoveel mogelijk te streven naar convergentie van gevoel en realiteit, die kloof zoveel mogelijk te dichten, opdat we wél een goede inschatting kunnen maken van welke beveiligingsmaatregelen wel en niet noodzakelijk zijn, welke securityproducten we wel of beter niet kunnen aanschaffen en of de prijs die voor die producten betaald moet worden reëel is of niet. Want, zo waarschuwde Schneier: er wordt een hoop securitytheater in de markt opgevoerd.
   Goed verhaal! Ik zag weer even haarscherp wat wij met ons blad als missie hebben.

Dick Schievels
Hoofdredacteur Infosecurity

Wednesday, December 12, 2007 4:39:25 PM (GMT Standard Time, UTC+00:00)      Comments [0]