‘Er waren Chinezen op de site aan het schieten’

Privacywet Elk ziekenhuis verwerkt duizenden patiëntgegevens. Hackers vinden die interessant. Timo Schipperen bewaakt ze in Amphia: „Er waren Chinezen op de site aan het schieten.”

Het engst voor individuele patiënten zijn hacks of lekken die over hen persoonlijk gaan. Zoals bij Barbie in Den Haag: 85 ziekenhuis-medewerkers hadden in haar elektronisch dossier gekeken. Foto Getty Images/Beeldbewerking NRC

Timo Schipperen heeft een groot cirkeldiagram op zijn scherm waar hij in één oogopslag ziet hoe veilig de data in zijn ziekenhuis zijn. Of alle maatregelen om de duizenden patiëntgegevens te beschermen, goed werken. Er zit nog maar één gaatje in zijn cirkeldiagram: het gebruik van de cloud. En dat baart hem zorgen. Artsen zijn steeds meer geneigd gegevens van hun patiënten op te slaan in Dropbox, WeTransfer of andere clouds. Maar die clouds zijn vaak niet goed beveiligd.

Wie zou er dan bij die patiëntendossiers in de cloud willen? Breek Timo Schipperen de bek niet open. Hij is, al jaren, cybersecurityexpert en nu functionaris gegevensbescherming van het Amphia Ziekenhuis in Breda. Schipperen: „We hebben hier meegemaakt dat Chinese hackers op onze site aan het schieten waren. Waarom zouden zij kostbaar marktonderzoek doen als ze heel veel medische dossiers kunnen kraken? Dat levert hun een schat aan informatie”. Symptomen, diagnose, behandeling, complicaties – alles per patiënt.

Nog lang niet alle organisaties die dat moeten, hebben een privacy-functionaris aangesteld: Er is een tekort aan privacy-experts

Amphia heeft ook, een tijd terug alweer, ervaren hoe het hele e-mail-verkeer (4.300 medewerkers) één dag lang werd platgelegd. De internetprovider had het ziekenhuis geblokkeerd omdat er plotseling duizenden identieke mailtjes vanaf één ziekenhuisadres werden verstuurd. Hackers hadden ‘foute’ mails aan het personeel gestuurd en er is altijd wel íémand die ze per abuis opent. Gevolg was dat dit ene mailadres ging spammen en de provider ingreep. Niemand kon nog medicatie bestellen, berichten aan de huisarts versturen en alle andere noodzakelijke mailverkeer lag stil.

‘Doordrongen zijn van gevaren’

Daarom, zegt Schipperen, is zijn belangrijkste taak: bewustwording. Het personeel moet de gevaren beseffen. Van voedingsassistent tot medisch specialist. Hij hamert er voortdurend op in toespraken: open nooit een vreemd mailtje, meld ze bij mij. Laat je scherm nooit openstaan als je naar de wc gaat. Doe de deur dicht in ruimtes waar computers staan. Want overal in het ziekenhuis zijn elektronische patiëntendossiers. En een ziekenhuis is nu eenmaal een semi-openbare omgeving.

Hij heeft zelfs gemene trucjes, lacht Schipperen, om personeel op te voeden: ziet hij een scherm onbeheerd openstaan, dan tikt hij er een mailtje naar een niet-bestaand adres. ‘Bij dezen bied ik mijn ontslag aan.’ Dat werkt. Als ze terugkomen van de wc, schrikken ze zich kapot van het teruggekaatste mailtje.

Schipperen is blij met de invoering volgende week van de AVG: een wet uit Brussel die alle organisaties dwingt om beter met gegevens van klanten en medewerkers om te gaan. „Nu er grote boetes kunnen worden gegeven voor datalekken vindt iedereen het opeens urgent.” Zijn uitgebreide veiligheidsbeleid wordt nu weer „volwassener”, zegt hij. De boetes die de Nederlandse Autoriteit Persoonsgegevens voortaan kan geven, kunnen oplopen tot 4 procent van de jaaromzet; bij Amphia zou dat gaan om 18 miljoen euro.

Schipperen is een „beschermde klokkenluider”, legt hij uit. Het is een verplichte functie binnen elke zorginstelling. Is er een lek van medische data dan móét hij dat melden bij de Autoriteit Persoonsgegevens – zoals onlangs in het HagaZiekenhuis gebeurde doordat medewerkers in het dossier van realitysoapster Barbie hadden geneusd. Ook als de leiding van het ziekenhuis dat om pr-redenen liever onder de pet houdt. Hij geniet ontslagbescherming.

Ook kleine lekjes moeten gemeld

Maar Schipperen moet, op grond van de AVG, ook kleine lekken melden: een fax over medicatie die per ongeluk naar een groenteboer is gestuurd in plaats van naar de apotheek. Dat gebeurt regelmatig („het blijft mensenwerk”) en om dat allemaal te melden, vindt hij tijdverspilling: „Ik zou zeggen: een keer per maand álle kleine lekjes melden.”

En dan zijn er de 350 verwerkingen van patiëntendata samen met externe partijen. Schipperen en de huisjurist moeten contractueel vastleggen dat ook zij veilig met de patiëntengegevens omgaan. Op de servers van bijvoorbeeld de voedingsleverancier, de röntgenreparateur, het elektronisch knooppunt waar alle rekeningen worden verstuurd aan verzekeraars, softwareleveranciers van elektronische patiëntendossiers en nog 346 anderen.

Elke nacht draaien de computers in Amphia overuren om back-ups te maken van alle medische data. Dat moet omdat het ziekenhuis, net als andere ziekenhuizen, in het verleden ransomware binnenkreeg, via de mail. Criminelen versleutelen dan je data zodat je niks meer kunt lezen. Alleen als je geld betaalt, geven ze je sleutel. Een back-up maken voorkomt dat. Probleem, zegt Schipperen, is wel dat er inmiddels zoveel data zijn – 30.000 patiëntencontacten per jaar in dit ziekenhuis – dat het niet is bij te houden. De computers maken nu ’s nachts alleen een back-up van de veranderingen in dossiers, de grote back-up gebeurt in de weekends.

Het engst voor individuele patiënten zijn hacks of lekken die over hen persoonlijk gaan. Zoals bij Barbie in Den Haag: 85 ziekenhuismedewerkers hadden in haar elektronisch dossier gekeken. Dat kan overal gebeuren, zegt jurist Frank de Haan van Amphia. „Iedereen die hier werkt en patiënt is, woont in de omgeving Breda. Dus moet je je nieuwsgierigheid bedwingen als je ziet dat de buurman van je moeder wordt opgenomen.” Om die reden mogen alleen leden van het medisch behandelteam in een medisch dossier kijken. Alle anderen moeten vragen beantwoorden voordat ze bij het elektronische dossier kunnen. Elke inzage wordt elektronisch vastgelegd.

Lees ook: Barbie-zaak toont zwakte elektronisch patiëntendossier.

Diefstal dossiers om af te persen

In de Verenigde Staten stelen hackers medische dossiers – een dossier is op straat zo’n 60 dollar waard – om die patiënt vervolgens af te persen of een schadeclaim in te dienen op hun naam. Zo ver gaat het hier niet, zegt De Haan, maar het is wel een waarschuwing. „Die hackwereld is een schimmige wereld.”

Patiënten begrijpen de privacymaatregelen zelf niet altijd, zegt hij. De Haan: „Als een patiënt binnenkomt uit een ander ziekenhuis en de arts moet allerlei tests doen, dan zegt de patiënt: ‘Waarom moet dat? Dat vroegen ze me gisteren ook allemaal.’ Dat moet omdat we die elektronische dossiers niet met elkaar delen. Alleen het behandelteam binnen ons ziekenhuis en met de huisarts of apotheker.”

Hoe moet het verder met de patiënteninformatie in de onbeveiligde clouds? Schipperen wil eigenlijk dat niemand die clouds gebruikt. „Ik kan Dropbox blocken maar dan wijken artsen uit naar een andere cloud. Ze willen gewoon snel en efficiënt bij relevante informatie kunnen.” Is er niet een beveiligde cloud te krijgen? Schipperen: „Jawel maar die kost tonnen. En wat doet een ziekenhuis dat moet kiezen tussen geld uitgeven aan apparatuur voor patiëntenzorg of een beveiligde cloud? Juist.”

    • Frederiek Weeda