Barbie wees ons op ontwerpfout in Elektronisch Patiëntendossier
Waarom krijgen wij niet iedere keer een appje als een zorgverlener zich toegang verschaft tot ons medische dossier, vraagt zich af.
Over natuurkundige vraagstukken krijg ik graag gelijk, maar liever niet over het Elektronisch Patiëntendossier (EPD). Toch gebeurde dat toen bleek dat onbevoegden zich toegang hadden verschaft tot de medische gegevens van Samantha de Jong, beter bekend als realityster Barbie. Ik voorspelde zoiets al in 2008 in mijn boekje Gullivers Web. Ook waarschuwde ik ervoor in een hoorzitting in de Eerste Kamer.
Hoewel onbevoegd, waren de inbrekers werkzaam in het HagaZiekenhuis waar mevrouw De Jong opgenomen was. Maar zij bekeken haar EPD niet als behandelend arts, maar als voyeur van een BN’er.
Het bijzondere van digitale gegevens is dat ze niet tastbaar zijn. Een elektronisch dossier is fundamenteel anders dan een kaartenbak. Papier kun je vernietigen, maar zodra digitale informatie ons ontglipt en online verspreid wordt, is het nauwelijks meer te verwijderen. Digitale datastromen, en de opslag ervan, vormen een nauwelijks begrepen, immens maatschappelijk gevaar. Dat geldt niet alleen voor gegevens die worden verzameld door internetmonopolies, als Facebook en Google, maar ook wanneer die gegevens door overheden worden gesprokkeld en beheerd in persoonsdossiers.
Mevrouw De Jong is niet enkel slachtoffer van strafbaar gedrag. Ze is vooral slachtoffer van een ontwerpfout. Elektronische dossiers zijn niet absoluut te beveiligen vanwege hun netwerkkarakter. Zo’n systeem is intrinsiek onveilig, al was het maar omdat uitgewisselde gegevens bij de transmissie op vele knooppunten in het netwerk aanwezig zijn.
Een minder proactieve vorm wordt gebruikt door het Bureau Krediet Registratie. Wie een consumentenkrediet aanvraagt, wordt via de productvoorwaarden geïnformeerd over opname in het register. Dat bestand voorkomt dat er leningen worden verstrekt aan mensen die ze niet kunnen aflossen of daar eerder problemen mee hadden. De verstrekker kan, voordat het krediet daadwerkelijk wordt verleend, inzien bij wie de aanvrager nog meer schulden heeft uitstaan en hoe hoog die zijn. Via BKR.nl kan de schuldenaar, op zijn beurt, nagaan welke kredietverlener zijn dossier heeft bekeken (de toetshistorie) of gewijzigd (toevoegen/afmelden schuld). Daarvan krijgt hij steeds per e-mail een bericht.
Waarom heeft het EPD dit allemaal niet? Waarom krijgen wij niet iedere keer bericht als een zorgverlener zich toegang verschaft tot ons medisch dossier? Geef ons een app waarmee we de log van ons EPD kunnen inzien: naam zorgverlener, reden van inzage, tijd, plaats, et cetera. Benieuwd welke ziekenhuismedewerker dan nog stiekem in Barbies, of uw dossier, durft te snuffelen.
Het bericht Vincent Icke: waarom geen app bij inzage medisch dossier, nav Barbie Hagaziekenhuis verscheen eerst op SIN-NL.