Elektronische informatie: de angst regeert

Vertrouwen komt te voet en gaat te paard. Intussen regeert de angst. De scheidslijn tussen angst en vertrouwen is erg dun. Ik geef u enkele waar gebeurde voorbeelden.

In de trein zit een man met een (rubberen) zwaard. Tien jaar geleden zou de controlerende conducteur de man hebben gevraagd wat dat is. Vervolgens blijkt het iets geheel onschuldigs te zijn. Anno 2011 vraagt de conducteur niets maar belt 1-1-2. De trein stopt, de politie arriveert en pas na een uur kunnen alle passagiers hun reis voortzetten.

Een ander voorbeeld. Een tas wordt onbeheerd op een NS-station aangetroffen. Tien jaar geleden zouden we de tas openen en zoeken naar gegevens over de eigenaar. Vervolgens zouden we de tas naar de afdeling Gevonden Voorwerpen brengen. Anno nu wordt het station volledig ontruimd en de Explosieven Opruimings Dienst ingeschakeld die vervolgens vaststelt dat de tas geen explosieven bevat.

Veiligheid
Ook in de Tweede Kamer lijkt de angst te regeren. Niet alleen voor het onbekende (vreemdelingen), maar ook voor techniek. In 2009 nam de Tweede Kamer de Wet op het EPD aan. Twee jaar later lijkt de Tweede Kamer ineens niets meer te willen weten van die veilige(re) en betrouwbare informatie infrastructuur waarvan men eerst voorstander was. De SP ziet zelfs liever de geïnvesteerde 300 miljoen euro down the drain verdwijnen, dan dat zorgverleners er nog langer gebruik van maken. Alsof de overheid voor 300 miljoen een autosnelweg heeft aangelegd waar automobilisten vervolgens niet over mogen rijden.

Natuurlijk kan de beveiliging van informatie altijd beter. Informatiebeveiliging is nooit voor honderd procent absoluut. Maar we kunnen daar op een manier mee omgaan die de angst vermindert en het vertrouwen vergroot. Zo voel ik wel iets voor de invoering van een ‘meldplicht datalekken’ in de zorg. Staatssecretaris Teeven kondigde op 29 april 2011 in een brief aan de Kamer aan dat hij in de Wet bescherming persoonsgegevens ‘een meldplicht voor doorbrekingen van de beveiligingsmaatregelen voor persoonsgegevens’ wil invoeren. Ik denk dat DigiNotar niet failliet was gegaan als het bedrijf niet zo lang had verzwegen dat er was ingebroken in hun systemen. Bedrijven die soortgelijke diensten aanbieden en hetzelfde is overkomen, gaven wel meteen openheid van zaken. Zij bieden hun diensten nog steeds aan.

Voorts lijkt het mij een goed idee om, ter optimalisering van de informatiebeveiliging in de zorg, zogeheten ‘ethische hackers’ in te schakelen. Nodig deze hackers uit om de zwakke plekken in de informatiesystemen bloot te leggen. Daarvoor hoef je niet al je vertrouwelijke en strategische bedrijfsgegevens openbaar te maken. Je stelt je wel kwetsbaar op, maar dan heb je ook wat.

Belgen doen het beter?
Overigens heeft België al sinds 2008 een landelijk schakelpunt, aldaar heel fraai ‘verwijzingsrepertorium’ geheten. De beveiliging bestaat onder andere uit het gebruik van dubbele geëncrypteerde sleutels die slechts gedurende één sessie geldig blijven. Ook hanteert men tijdelijke autorisaties voor zorgverleners die kunnen bewijzen dat zij een ‘therapeutische relatie’ hebben met een patiënt. Wie in een ziekenhuis zo’n therapeutische relatie heeft, krijgt maximaal drie maanden recht op toegang. Ook huisartsen krijgen slechts tijdelijk recht op toegang. De Belgen zijn dan weliswaar al een tijd regeringloos en naar het EK voetbal mogen ze ook al niet, maar een landelijke infrastructuur (eHealth-platform geheten) hebben zij wel.

Angst is een slechte raadgever. Vertrouwen moet je verdienen. Of het landelijk schakelpunt nu wel of niet wordt doorgestart door de zorgaanbieders: het kan altijd veiliger, maar laten we het kind niet met het badwater weggooien.

Sjaak Nouwt, beleidsadviseur gezondheidsrecht KNMG

Reageer op de site: www.knmg.nl/columns