Datalek van de maand

Wij hadden de Nieuwsbrief bijna af toen het nieuws over de ‘Wannacry ransomware’ verscheen. Zoals bekend leidde Wannacry er toe dat over de hele wereld talloze systemen op slot gingen. Ook ziekenhuizen van de National Health Service (NHS) in Engeland werden zwaar getroffen. Operaties moesten worden uitgesteld.

Is zulke ransomware nu een datalek? De Autoriteit Persoonsgegevens (AP) meldde recent niets over Wannacry op diens site. Straks meer over de AP en datalekken. Het nationale centrum voor cybersecurity uiteraard wel al zijn de disclaimers (bij doorklikken) haast even lang als de aanwijzingen. Over hoe (zonder disclaimer) gijzeling door ransomware in huis, tuin en keuken software kan worden voorkomen, zie een bericht op de NOS site. Sorry, ja met cookies.

Bij goede software gaat het vanuit een beveiligingsperspectief om drie uitgangspunten: integriteit van de gegevens, beschikbaar en vertrouwelijkheid. Het laatste uitgangspunt was bij deze ransomware niet aan de orde. Het tweede element des te meer. De richtsnoeren van de AP over melden datalekken staan voornamelijk in het teken van het laatste uitgangspunt. Toch vermeldt artikel 13 onder bescherming  van persoonsgegevens (waar een datalek een inbreuk op is) ook bescherming tegen verlies. Mij dunkt, als je er niet bij kunt (anders dan een ongewisse bitcoin betaling) is dat ook verlies. Artikel 32 van de AVG is uitvoeriger over de bescherming van persoonsgegevens. Aan de drie uitgangspunten wordt zelfs een vierde toegevoegd, namelijk ‘weerbaarheid’.  Maar de daarop volgende meldplicht in artikel 33 AVG staat weer voornamelijk in het teken van een inbreuk op de vertrouwelijkheid in plaats van minder ideologisch en meer techniekneutraal, hoe wij in een verknoopte digitale wereld software moeten kunnen vertrouwen waarvan wij afhankelijk zijn en waartoe onze persoonsgegevens veelal wel moeten worden verwerkt.

Tijdig updaten is trouwens het devies om besmetting door ransomware te voorkomen. Bij de NHS werkte dat alleen al daarom niet omdat pc’s daar nog vaak op Windows XP draaien waar al tijden geen updates meer voor beschikbaar komen.

Dat updaten overigens soms juist een averechts effect kan hebben, bleek in een eerdere UK casus.

Bij een nachtelijke update van het besturingssysteem door de echtgenoot  van een barrister (zeg maar advocaat) kwam vertrouwelijke informatie van 250 mensen online beschikbaar. In Engeland bestaat de boetebevoegdheid van de Engelse variant van de AP, de Information Commissioner’s Office (ICO), al veel langer en minder geclausuleerd dan hier. Wie geabonneerd is op de gratis update van PDP, ziet regelmatig forse boetes na datalekken langskomen en zo zagen we ook deze casus.  In dit geval kwam deze barrister er met een boete van £1.000 na een datalek overigens nog mild van af. Vraag mij niet hoe na de update die vertrouwelijke informatie online beschikbaar kwam. Gekker is eigenlijk dat een professional diens cliëntgegevens op een huis, tuin en keuken systeem verwerkt in plaats van daartoe bijvoorbeeld een SaaS dienst in te schakelen die de nodige waarborgen biedt.

 

SaaS is uiteraard geen oplossing voor ziekenhuis systemen. Dat moet je dataveiligheid anders borgen en voor de Nederlandse gezondheidszorg is dat NEN Norm 7510, al geldt die formeel niet voor beroepsbeoefenaren die geen zorg verlenen in de zin van de (thans) Wet gebruik BSN in de zorg. En voor wie wel, lijkt het ook nogal vaak mis te gaan getuige de meldingen aan de AP, met voorshands nog geen boete (tenzij men het wel heel bont heeft gemaakt).  Maar mogelijk is daar sprake van een zekere over-rapportage, namelijk ook melding van incidenten die geen datalek zijn. Bij de niet NEN Norm 7510 beroepsbeoefenaren en bij vele andere branches is zeer waarschijnlijk sprake van een forse onderrapportage. Opvallend is de ‘framing’ in het bericht in Zorgvisie. Waar sprake is van ongeautoriseerde toegang (bijvoorbeeld account was niet tijdig afgesloten na uit dienst) of het verzenden van patiëntgegevens aan de verkeerde hulpverlener is niet snel sprake van “buitmaken” van patiëntgegevens zoals Zorgvisie het noemt en van “stelen” al helemaal niet. Gebrek aan nuancering zoals deze kan twee kanten opwerken. Het kan professionals voorzichtiger maken.  Dat is op zich toe te juichen. Het kan er ook toe leiden dat de patiënt het niet meer vertrouwt terwijl de moderne zorg niet meer zonder gegevensuitwisseling kan. En dat zou te betreuren zijn.

Ik ben benieuwd hoe Zorgvisie komende week zal berichten over de Wannacry aanval.  Nederlandse zorginstellingen lijken niet te zijn aangedaan. Dat is toch een pluim of hoed voor de Nederlandse zorg en in het bijzonder de Information Security Officers die trouwhartig ook al die meldingen aan de AP hebben gedaan.

Voorontwerp Wet zeggenschap lichaamsmateriaal

Op 24-4 is het langverwachte voorontwerp wet zeggenschap lichaamsmateriaal (WZL) gepubliceerd als internetconsultatie. Nou ja, langverwacht. Het onderzoeksveld heeft eerder een voorstel gedaan voor samenhangende regelgeving rond observationeel onderzoek. Daarin komt de WZL als zodanig niet voor. Onderzoek met lichaamsmateriaal is een van de manieren op weg naar een betere gezondheidszorg en preventie door met name meer personalised medicine. Zonder continu onderzoek wordt dat niet bereikt. Uitgangspunt moet zijn ‘onderzoek bij default’ of het lerend zorgsysteem zoals ik dat al een tijd noem. In plaats van afzonderlijke regelingen voor gegevens of lichaamsmateriaal en dan weer onderscheiden naar ‘nader gebruik’ of speciaal ten behoeve van het onderzoek bevragen of afnemen, met daarnaast een aparte regeling voor het interventie onderzoek (de WMO) zou daartoe een overkoepelend kader moeten komen.

Maar de regering had nu eenmaal al tijden ingezet op iets speciaals voor lichaamsmateriaal en zoals verwacht valt zo’n trein kennelijk niet te stoppen. Doel van de WZL is “het versterken van de autonomie en de zeggenschap van de donor en tegelijkertijd onnodige belemmeringen voor wetenschappelijk onderzoek te voorkomen”. (MvT, p. 2). Zoals ook elders uit de MvT blijkt, worden zulke belemmeringen niet onnodig geacht die het gevolg zijn van meer autonomie en zeggenschap. Dat is een keuze waar ook de eerdere versies van de WZL op waren gebaseerd. En ook al bevat het huidige voorontwerp minder belemmeringen dan voorheen, het is een keuze waar een gerede discussie over mogelijk is.  Autonomie en zeggenschap mogen en moeten worden afgewogen tegen andere waarden zoals onze verantwoordelijkheid jegens onze naasten en toekomstige generaties. Dat klinkt haast ouderwets, buiten het milieubeleid dan waar deze invalshoek toch grotendeels gemeengoed is geworden. De ethicus Heather Widdows maakt in “The connected self” overigens die vergelijking.

Van de filosofie naar de praktijk. Opvallend is dat de WZL (het ‘voorontwerp’ wordt hierna weggelaten) de knip voor de toestemming legt bij het ‘bewaren’ ten behoeve van wetenschappelijk onderzoek en niet bij het gebruik ten behoeve van wetenschappelijk onderzoek . Dat is bij geen van de mij bekende wetten uit andere landen het geval. Daar ligt de knip bij het gebruiken. Of als lichaamsmateriaal speciaal ten behoeve van wetenschappelijk onderzoek wordt afgenomen, uiteraard bij dat afnemen.

Waarom is dat een probleem. In de eerste plaats omdat met de knip in de WZL deze een uiterst complexe, niet werkbare en voor de patiëntenzorg waarschijnlijk nadelige regeling bevat wanneer lichaamsmateriaal voor wetenschappelijk onderzoek wordt bewaard. Want als er daarvoor geen toestemming is gegeven, moet je het dus vernietigen en kan je het dus later niet alsnog voor de patiëntenzorg gebruiken.

Dit staat los van de vraag wanneer je toestemming voor gebruik ten behoeve van wetenschappelijk onderzoek vraagt. Dat moet je op een geschikt moment doen en dat is in de regel als je patiënt nog in het vizier hebt. Of dat dan bij de opname of eerste bezoek aan de poli moet gebeuren, is weer een andere vraag. Het hangt er van af maar veel patiënten hebben dan toch echt wat anders aan hun hoofd. Althans is mijn ervaring. Het Amerikaanse systeem waarbij je een x aantal formulieren moet invullen voordat je eindelijk je arts te zien krijgt, moeten we absoluut vermijden. Dat is nu echt onethisch en voorzover men tekent voor consent, is dat schijnconsent. Een andere ethicus, Ruth Macklin, noemde dit indekken eens ingegeven door ‘enemies of patients’.

Het moment wanneer en waarvoor toestemming speelt ook bij de bevolkingsonderzoeken. Bijvoorbeeld bij de hielprikscreening worden de kaartjes na het eerste jaar bewaard ten behoeve van wetenschappelijk onderzoek. Overigens dan slechts 4 jaar. Toch worden die kaartjes incidenteel ook opgevraagd ten behoeve van de behandeling van het kind. En als al voor het bewaren schriftelijke (want dat vereist de WZL ook) toestemming moet worden gevraagd, moet die toestemming worden gevraagd aan ongeveer 170000 ouders op hun roze wolk wanneer de hielprik wordt afgenomen. Nu wordt gevraagd of er geen bezwaar is tegen het bewaren voor die paar extra jaren ten behoeve van anoniem wetenschappelijk onderzoek (velen vinden die termijn te kort) en bij niet volstrekt onherleidbaar wordt voor het specifieke onderzoek toestemming gevraagd. Ouders kunnen via de basisregistratie personen altijd worden bereikt. Bij het overgrote merendeel van de kaartjes vindt zulk onderzoek overigens nooit plaats. Toch zou dan volgens de WZL aan alle ouders tevoren toestemming moeten worden gevraagd.

De WZL bevat overigens ook goede elementen zoals de mogelijkheid van brede toestemming en de rol van beheerder, beide duidelijk ontleend aan de Gedragscode Goed Gebruik. Had al eerder kunnen worden bereikt indien VWS eerder die Gedragscode als voorlopige veldnorm had genoemd in plaats van het bestaan er van lange tijd te ontkennen.

Maar dat klinkt mogelijk te narrig. Wij zijn echt een stap verder maar een fundamentele discussie moet nog volgen. Naar mijn mening moet de knip voor de toestemming worden verlegd van toestemming voor bewaren naar toestemming voor gebruik, zoals in andere landen (waar die toestemming inderdaad nodig is, niet in alle). En nogmaals, dat is een andere vraag dan wanneer je die toestemming vraagt. Dit kan zijn wanneer zelfs bewaren nog niet aan de orde is of pas als gebruik daadwerkelijk wordt gevraagd. Hangt van de omstandigheden af. En hoe die toestemming wordt gevraagd, is weer een andere kwestie. Schriftelijk zoals de WZL lijkt te willen, zou de klok een halve eeuw terug draaien.

Velen zullen nog reageren. Het onderzoeksveld ook meer uitvoerig. Maar hiermee naar ik hoop al een aanzet voor de discussie. Het zou toch een beetje raar zijn om in deze Nieuwsbrief dit onderwerp waar ik (EB) mij al jaren mee bezig houd, niet aan de orde te stellen.