AMSTERDAM - Specialisten van drie internetbeveiligingsbedrijven zijn er deze week in geslaagd om 1,2 miljoen patiëntgegevens van twee Nederlandse ziekenhuizen te openen. De 'hackers' deden dat op verzoek van publiciste Karin Spaink en hadden toestemming van de ziekenhuizen. Spaink waarschuwt voor schendingen van het medisch beroepsgeheim en pleit voor betere beveiliging.

De Nederlandse Vereniging van Ziekenhuizen verwijst naar het Nationaal ICT Instituut in de Zorg (NICTIZ) dat in opdracht van het ministerie van Volksgezondheid de invoering van landelijke electronische medische dossiers, electronische patiëntendossiers en electronisch declareren begeleid.

Verantwoordelijk

Het NICTIZ stelt dat de beveiliging van medische informatie de verantwoordelijkheid van ziekenhuizen zelf is. Het ministerie van Volksgezondheid wil eerst weten wat er precies is gebeurd, alvorens het reageert, meldde een woordvoerster vrijdag in een reactie.

Beide ziekenhuizen bleken 'lek', vertelt Spaink. De specialisten haalden zonder veel moeite namen, adressen, telefoonnummers, patiëntnummers, polisnummers, maar ook besmettingen te voorschijn. "Toen ik een lijst met op de persoon terug te voeren MRSA-besmettingen kreeg, werd ik misselijk en heb ik de test laten afbreken."

Gaatjes dichten

Minister Hoogervorst (Volksgezondheid) wil volgend jaar het electronisch medisch patiëntendossier invoeren en wil daarna ook zo snel mogelijk een electronisch patiëntendossier. Wat Spaink betreft maakt hij pas op de plaats om eerst de beveiliging van de ziekenhuizen te verbeteren. "Het moet absoluut niet overhaast gebeuren, want het is niet een kwestie van een paar gaatjes dichten."

Chanteren

De 'hackers' van beveiligingsbedrijven ITSX, Fox-IT en Madison-Ghurka konden gegevens inzien, kopiëren, weggooien of veranderen. "We hadden bloedgroepen kunnen veranderen, mensen kunnen chanteren over geslachtsziektes of erfelijke ziektes." Spaink waarschuwt verder voor virussen en een te groot vertrouwen van medici in computerprogramma's en de juistheid van gegevens.

Anonimiteit

De ziekenhuizen bedongen anonimiteit voor dit project. Het gaat om een academisch ziekenhuis en een ziekenhuis dat een soort regionaal patiëntendossier onderhield, waar ook andere hulpverleners gebruik van konden maken. Volgens de auteur zijn ze erg geschrokken. De ziekenhuizen wilden zelf niet de pers te woord staan en willen de kwestie eerst intern bespreken. Bij van de ziekenhuizen zitten de 'krakers' al aan tafel om noodoplossingen te zoeken, aldus Spaink.

Gestopt

Bij dat ziekenhuis zijn de 'hackers' gestopt toen ze tot in het intranet waren doorgedrongen. Het ziekenhuis is blij dat er geen toegang is verkregen tot kritieke systemen of patiëntgegevens.

Spaink: "Dat komt omdat we zijn opgehouden, als we de tijd hadden gehad was dat wel gelukt." Het ziekenhuis laat weten voorstander van het testen van de beveiliging te zijn. Daarom heeft het meegewerkt. Het laat ook zelf jaarlijks een beveiligingstest uitvoeren door derden.

"De Nederlandsche Bank stelt onder meer technische beveilingseisen aan de financiële instellingen, alleen wie daaraan voldoet mag zich bank noemen. In de gezondheidszorg moet je dat misschien ook overwegen", stelt de auteur.

Budget

Overigens hangt daar wel een prijskaartje aan. "Banken besteden 12 procent van hun budget aan beveiliging van gegevens. Ziekenhuizen mogen niet meer dan 2 procent van hun budget aan automatisering besteden."

Spaink presenteert maandag het boek Medische Geheimen, over het gebruik van electronische dossiers en voorschrijfsystemen. Dat boek is onderdeel van een serie van internetprovider XS4ALL en uitgeverij Nijgh & Van Ditmar over maatschappelijke veranderingen door de nieuwe technologie.