Zorgwekkende ziekenhuissite

Onbegrijpelijkerwijs heeft het Orbis-concern de elektronische aanmeldingsformulieren (en ook de bevestigingsmail terug) voor bijvoorbeeld huisartsen niet bepaald beveiligd. Gezien de aard van de gegevens die worden uitgewisseld lijkt me dat toch niet onverstandig. Dat die mail terug moeilijk te beveiligen is kan ik me goed voorstellen, tenslotte zou het niet makkelijk zijn certificaten/sleutels van alle verwijzende huisartsen in het systeem te krijgen (met name ook omdat het aantal huisartsen dat een e-mail certificaat heeft niet erg groot zal zijn), maar dat ze op de webform niet even een versleuteling loslaten is onbegrijpelijk...

Op zich lovenswaardig en potentieel snel en makkelijk dat patienten zo kunnen worden aangemeld, maar de manier waarop het gaat... Er zijn trouwens wel meer (en anderes geaarde) ICT-'problemen' in de zorg is mijn ervaring, maar dit is wel erg voor de hand liggend...

Ik hoop na carnaval antwoord op mijn mail aan orbis te krijgen naar de gedachte achter deze manier van werken.

Dit topic is misschien een leuke start voor een discussietje van hoe het anders geregeld zou kunnen worden, en over de achtergronden van dergelijk handelen. Met de ICT-kant van ziekenhuizien heb ik altijd wat minder te maken gehad, maar ik weet dat een aantal GoT-ers ervaring daarmee heeft.

Dit lijkt minder bezochte/actieve subforums. Nu is het misschien ook geen briljante discussiestart, maar wel een opgooi.

sanzut schreef op woensdag 06 februari 2008 @ 10:17:
Het is carnaval, niet carneval...

klopt helemaal, misschien dat het duits me nog wat teveel door het hoofd spookt

Ik snap verder ook niet precies wat je bedoeld.
Bedoel je SSL toepassen op de pagina, of dat er een login op zou moeten?

Ik vind het vreemd dat ze patientgegevens versturen en op laten sturen via ongecodeerde verbindingen, dat ze geen login maken is imho minder belangrijk, ze komen er uiteindelijk toch wel achter of daar iets van klopt, kost eventueel wat werk

Van een gebruiker weet ik dat je een bevestiging krijgt met alle opgegeven gegevens er weer in (dat is inderdaad niet echt nodig, alleen bericht terug dat het is aangekomen zou voldoen). Het staat ook niet per ongeluk open (dat mag je tenminste hopen, anders staat het al erg lang per ongeluk open) ( ik verwacht anders dat orbis misschien binnenkort wat zal laten weten daarover)

Inloggen is minder handig te regelen, omdat het ziekenhuis niet alle huisartsen die mensen op willen geven kan kennen, maar dat zullen altijd uitzonderingen zijn. Je zou best alle praktijken in de regio van inloggegevens kunnen voorzien, maar daar zal een behoorlijk prijskaartje aan hangen.

Ze zullen ook altijd met de patient of de arts contact opnemen voor de afspraak, dus dat zal over het algemeen het moment zijn waarop wordt gecontroleerd of het om een bestaande persoon met een bestaand probleem is. Ik denk trouwens wel dat als je een beetje weet hoe het werkt dit een 'sluiproute' zou kunne zijn om in het ziekenhuis op de poli te kunnen komen zonder dat je bent verwezen.

Maar het is onbegrijpelijk dat ze geen ssl of alternatief beveiligde verbinding gebruiken.

MBT digid/bsn voor van alles en nogwat vind ik het in principe ook niet echt lekker. Het eerste wat je tegenwoordig als zorgverlener moet doen is identificatie eisen.... ook is steeds algemenere toegang/koppeling van gegevens niet bevordelijk voor het voorkomen van misbruik van die gegevens.

[ Voor 7% gewijzigd door begintmeta op 01-11-2010 23:51 ]

Had orbis inderdaad al een tijdje terug gemaild, maar carnaval zit ertussen, ook in Sittard..., ook had ik niet in de colofon gekeken, dus ik weet niet hoe snel het bericht bij mensen die er wat mee kunnen aankomt.

SAP en IBM Business Consulting Services leveren (in ieder geval een deel) van de automatisering van Orbis, maar ik hoop dat dit soort dingen op de website in de vrije tijd door iemand zijn gemaakt... Voor intra en internet gebruiken ze een CMS.

Zo'n prijskaartje is niet prettig, tenslotte wordt op onder andere prijs geconcurreerd. Zo'n 'snelle&directe toegang om afspraken te maken via de nieuwste communicatiemiddelen vanuit de eerste lijn' laat zich wel lekker marketen&verkopen, het beveiligingsaspect komt als je het handig aanpakt niet ter sprake. Maar het prijskaartje van een SSL-certificaat is echt niet het grootste (op een omzet van pakweg 220miljoen €), dus dat moet zeker kunnen.

[ Voor 79% gewijzigd door begintmeta op 06-02-2008 14:01 ]

Klopt maar er komt ook een 'Wet gebruik burgerservicenummer in de zorg'. Het hele BSN=SoFi is natuurlijk al te gestoord voor woorden, alleen omdat de (privacy/gebruiks)waarborgen van het SoFi te groot zijn, maak je een 'nieuw' (gelijkluidend) nummer. Uiteindelijk zul je je BSN overal tegenkomen vermoed ik.

[ Voor 10% gewijzigd door begintmeta op 06-02-2008 13:36 ]

Orbis heeft niets op mijn bericht laten horen, de pagina's zijn nog onveranderd online. Ik vraag me af of ik wat directer contact op zal nemen of dat ik het er maar bij laat.

Vind het in ieder geval niet zorgvuldig.

Als er malware bij de dokter te vinden is is dat natuurlijk ook niet zorgvuldig, maar dat is een ander 'probleem'. In principe kan iedereen sniffen en bijvoorbeeld gmail (of welke provider dan ook) de e-mail met alle gegevens lezen/scannen wat dan ook. Als je ziet wat een moeite (vaak onzinnig, dat misschien wel) af en toe wordt gedaan om patiëntgegevens netjes te behandelen en te kunnen achterhalen wie toegang had, zou het een kleine moeite zijn om dit wat beter op te zetten.

Je zou als je zou willen ook poli's kunnen 'spammen' door handig gebruik te maken van dit systeem, wat dus centen zou kosten (en zorgverleners minder beschikbaar maken).

Dat iemand financieel voordeel behaalt zou ik inderdaad niet snel verwachten.

Ook is er een norm voor dit soort toepassingen (nen7510), ik kan me voorstellen dat de procedure zoals die nu is niet in lijn daarmee is, niet dat het iets zou zeggen over de waarde mocht dat zo zijn (ik ken die norm niet, dus het kan anders zijn). In ieder geval is die niet conform de NHG-richtlijn voor e-consulten.

[ Voor 29% gewijzigd door begintmeta op 14-02-2008 01:24 ]

burne schreef op donderdag 14 februari 2008 @ 08:51:
[...]

Maar je noemt zelf het probleem met webwinkels al: creditcard. Met bijna iedere Nederlandse creditcard kun je al voor 1000 euro aan het winkelen slaan. Maar de financiële winst van weten dat jij chronische zweetvoeten hebt en daarvoor naar de huidarts gestuurd bent zie ik nog niet 1, 2, 3.

De directe incentive om gegevens te onderscheppen is misschien lager, maar de gevoeligheid van de gegevens wordt vrij groot geacht. Ook is op verschillende manieren geld te verdienen met medische gegevens, als je een lekker smeuig verhaal kunt vertellen over de abortus van Maxima of de depressie van Balkenende (en dat kunt onder emer staven met medische gegevens) zul je daar wel een centje aan over kunnen houden, evenals aan het afpersen van mensen of het herkennen van een zieke werknemer of verzekerde, die je dan zsm vervangt door een gezonde (wegpesten, contract niet verlengen). Er zijn zeker een aantal redenen te bedenken waarom medische gegevens niet in vreemde handen zouden moeten vallen.

[...]

Stel dat ze besluiten gebruik te gaan maken van DigiD. Doktoren hebben allemaal een digid. Dan heb je duidelijke richtlijnen voor versleuteling en privacy. Nu hebben ze een handige website gemaakt door een stagiar op de afdeling interne automatisering en een applicatie die draait op een afgedankte bureau-PC. Ik vermoed dat er intern nog wel iets als webcalender en een planning-systeem aan vast zit. Handige, slimme tijdsbesparing als het goed gedaan is. En: in essentie gratis.

Een beheerde, extern gebouwde digid-gebruikende vergelijkbare applicatie begint bij 100.000 euro per jaar. Twee machines bij getronics, hosted Exchange en een applicatieserver met een dikke brij van .NET erop. Leuk voor mijn bedrijfstak, maar veel ziekenhuizen hebben liever vier verpleegsters extra dan 1 applicatie die 1 van de scenario's de schijn van veiligheid geeft. (er blijven artsen emailen en faxen en zoals je zelf al zegt: dat doet niet aan encryptie)

Je profile zegt dat je student bent. Een IT-richting? Misschien is het een mooie stageplaats voor je? Hun automatisering ziet er leuk uit, maar er kan best nog een kritische blik en wat goed gebruik van SSL en encryptie overheen, en dat is een leuk project voor 6 maanden stage..

Ik denk dat er geen webcalender achter zit, maar gewoon een mailtje naar het beteffende secretariaat, die de boel handmatig inplannen (in een elektronisch systeem). DigiDs zijn niet echt nodig, je kunt makkelijk via gekoppelde HISsen logingegevens verdelen., 't hoeft niet heel veel meer te kosten dan het nu doet, en als je zit dat ze 2 medewerkers voor de website hebben zal er zeker met een capabele stagiair erbij ook voldoende menskracht voor zijn.

Ik weet niet wat Orbis inmiddels bij onder andere SAP-dienstverleners en IBM BCS heeft besteed, maar het zal niet weinig zijn. Waarom denk je dat deze applicatie draait op een afgedankte bureau-PC? (in ieder geval bedroegen de investeringen in inventaris, apparatuur en informatisering in 2006 € 8,2 mln.)

Artsen e-mailen over het algemeen geen patiëntgegevens onversleuteld (is mijn ervaring en is ook een richtlijn), maar er zijn natuurlijk uitzonderingen. Fax en telefoon, en ook gesprekken op de afdeling zijn inderdaad onversleuteld, en gezien de hoeveelheid taps in Nederland is dat ook onverstandig, maar de regelgeving mbt telefonie en post is wel duidelijker, en de infrastructuur gecontroleerder.

ben geen ict-er, dus misschien dat ik daarom wat naief ben...

[ Voor 4% gewijzigd door begintmeta op 14-02-2008 12:56 ]

xtra schreef op donderdag 14 februari 2008 @ 12:35:
...
Als de stap tussen een onveilige applicatie en een wel veilige applicatie 100.000 euro is dan kun je overwegen om het helemaal niet te doen. Wederom geen reden om de norm te laten vallen. Wie weet is er nog een tussenweg. Wie weet is ook die 100.000 euro snel terugverdiend.
...

Inderdaad, ;t zijn ook een beetje fictieve keuzes en bedragen lijkt me.

Verder zal de applictie dan vaker worden gebruikt door artsen die geen zin hebben in onveilige webcommunicatie, dus als gebruik van die applicatie voordeel heeft, zal het totaalvoordeel groter worden.

Ik vraag me trouwens ook af of doktoren allemaal een digid hebben.

[ Voor 17% gewijzigd door begintmeta op 14-02-2008 12:47 ]

Bericht van orbis: het was een soort experimentje om te kijken of behoefte hieraan bestond. Ze willen dit soort dienstverlening vortzetten en dan ook op beveiligingsaspecten en overige zaken genoemd in de norm die ik al had gepost.

Ze zijn er dus mee bezig, dat is positief, maar intussen is natuurlijk eventueel al wat kwaad geschied

Ondanks een uitgebreide restyling (incl. typefouten) van de website is niets gedaan aan de beveiliging van de aanmeldingsformulieren. Ik blijf dit een kwalijke zaak vinden (al is blijkens dit topic niet iedereen overtuigd van het belang van zorgvuldigere beveiliging van deze formulieren (zoals altijd zijn er argumenten voor en tegen natuurlijk)). Met name jammer dat wel gezegd wordt dat gestreefd wordt naar het werken volgens 'de normen', maar dit dan niet wordt gedaan.

Het 'experiment' loopt inmiddels kennelijk al meerdere jaren. De paginalayout is wel aangepast aan nieuwe omstandigheden, het beveiligingssysteem niet... Onbegrijpelijk waarom men zich niet aan de eisen/normen houdt (nou ja budgettaire krapte en weinig exposure/belangstelling voor het probleem wellicht)

Zou helemaal niet ingewikkeld moeten zijn om een ssl / s/mime of weet ik veel wat voor fatsoenlijkere oplossing te bedenken lijkt me.

Enkele links voor mensen die het onderwerp interesseerd: NEN7510 natuurlijk, maar ook:
http://www.cbpweb.nl/docu...omgang_med_gegevens.shtml
en
http://www.cbpweb.nl/documenten/av_23_Beveiliging.stm

bijvoorbeeld.

[ Voor 21% gewijzigd door begintmeta op 21-05-2010 12:17 ]

Interessant om de teneur in dit topic met die in nieuws: Orthodontist krijgt AVG-boete van 12.000 euro wegens formulier zonder... te vergelijken. Het lijkt erop dat dit soort zaken tegenwoordig vergeleken met ~tien jaar geleden vaker als problematisch worden gezien.

[ Voor 26% gewijzigd door begintmeta op 11-06-2021 13:56 ]