Top 10 beveiligingstips van Henk Gommans.

Beveilig uw patiënten-data tegen cybercriminelen

‘Ik zie veel onwetendheid in de huisartsenpraktijken als het om techniek gaat’.

‘De beveiliging van patiënten-data moet echt veel beter’.

Interview met Henk Gommans, voormalig ICT-beheerder bij de zorggroep IZER in Rotterdam, over de beveiliging van patiënten data in de huisartsenpraktijk.

Interview en foto: Bob van Heukelom, redacteur MedZ-Online

Henk Gommans was een graag geziene ICT-er in de Rotterdamse huisartsenpraktijken. Zijn taak was het om de meer dan 150 huisartsenpraktijken van de Zorggroep IZER in Rotterdam, te ondersteunen met hun ketenzorgsysteem (KIS).

Binnenkort stapt de Rotterdamse zorggroep IZER over op het No-KIS systeem van VIP Live.  Dat komt precies op tijd voor Henk. Met zijn kersverse eigen bedrijf 4CARE ICT kan hij nu zijn droom waarmaken.

Henk Gommans ICT consultant Rotterdam

Bij de Zorggroepen IZER en Cohaesie in Rotterdam was Henk medeverantwoordelijk voor de gehele kantoorautomatisering en de VoIP telefonie. Deze allround ervaring sterkte Henk in zijn al langer sluimerende plannen om voor zichzelf te gaan beginnen. Toen duidelijk werd dat de KIS-ondersteuning na 1 oktober zou gaan stoppen was zijn besluit snel genomen. We zijn benieuwd naar zijn ervaringen in zoveel huisartsprakijken en naar zijn tips en aanbevelingen over databeveiliging van patiënten-data in de praktijk.  Maar eerst willen we weten wat het No-KIS systeem inhoudt.

Het No-Kis systeem?

‘Ja, VIP Live is het No-KIS systeem of ook wel virtueel KIS systeem, de Rotterdamse zorggroep IZER zal dit jaar Portavita inruilen voor VIP live. Alle huisartspraktijken gaan weer in het HIS werken en alleen de berichten bestemd voor de ketenpartners gaan via VIP Live.

Is dat een landelijke trend?

Ik geloof het wel. Ik denk dat als IZER, als een van de grotere zorggroepen, over gaat en een paar grotere steden meegaan dat een Vital Health en een Portavita heel erg moeten gaan uitkijken.


‘De beveiliging van patiënten-data leeft niet echt bij huisartsen. Ze hebben er gewoon de tijd niet voor.’ 


Henk, heb jij het idee dat beveiliging van patiënten-data iets is wat al een beetje leeft bij huisartsen in de praktijk?

‘Nee, want dat is ook weer iets wat er bijkomt voor de huisartsen en ze hebben al zoveel op hun bordje liggen. De huisartsen krijgen het steeds drukker en de tijd ontbreekt gewoon om zich in daarin te verdiepen.’ Ik hoor vaak: “Dat is toch iets waar mijn HIS leverancier voor moet zorgen”.

Was er vanuit IZER aandacht voor de beveiliging in de praktijk?

‘Ja, wij letten wel heel goed op wat er over de mail wordt verstuurd. We keken onder andere naar welk mail account ze gebruiken. Voor mij was dat een speerpunt, want ik heb daar veel over geleerd bij de cursus “Dataprotection & Privacy”.
We merken dat veel huisartsen nog op een Gmail of Hotmail account zitten en dan denk ik bij mezelf: Dit is niet goed!’

Worden die zaken weleens besproken of is dat een aandachtspunt bij de IZER?

‘Nee, dat was niet mijn taak en bij de IZER gaan ze daar ook niet over, maar dat wordt nu wel mijn taak, want beveiliging van patiënten-data wordt wel een steeds belangrijker item.’

Denk je dat je dat huisartsen daar interesse voor hebben?

‘Ik denk het wel, omdat de kosten ervan ontzettend laag zijn en je kunt de beveiligingsstatus van je praktijk daarmee een sterk verbeteren. Als ik ze daarvan kan overtuigen dan denk ik dat ze er wel voor open zullen staan.’


‘Met een gmail of hotmail account privacy gevoelige mails sturen? Dat kan je beter niet doen’.


Wat zou je dan het liefst zien dat er gaat gebeuren?

‘Nou in ieder geval dat ze niet meer met die Gmail en Hotmail accounts gaan mailen, want je weet echt niet waar je data terecht komt. Google en Microsoft kunnen die data gewoon gebruiken!’

Is het niet zo dat het zelfs verboden is om privacy gevoelige berichten via buitenlandse providers te versturen?

‘Ja dat klopt, maar daar wordt nog weinig op gelet en de meeste praktijken zijn daarvan helemaal niet op de hoogte.’

Wat is dan het alternatief?

‘Een eigen domeinnaam aanschaffen bij een Nederlandse provider. Voor 40 euro per jaar krijg je voor de hele praktijk een x aantal eigen emailadressen en dan ben je klaar. Dan heb je in ieder geval al één stap gemaakt, je mailverkeer met patiëntengegevens gaan niet meer de grens over.’

‘Het gekke is dat ze meestal wel gebruik maken van Zorgmail voor de EDIFACT berichten naar andere partijen toe. Maar die zorgmail kan je ook koppelen aan je eigen mail via je eigen domein. De meeste praktijken weten eigenlijk niet goed hoe het allemaal werkt en het kost ook wat geld.’


‘Ik zie veel onwetendheid als het gaat om simpele ICT techniek in de huisartsen-praktijk’


Heeft de gemiddelde huisarts genoeg kennis van ICT?

‘Een enkeling, maar de meesten weten vaak niet eens wat er in het pand staat qua routers, centrales, servers en verbindingen. Ik zie zoveel onwetendheid als het om techniek gaat. Sommigen willen er zelfs niets mee te maken hebben. Eigenlijk is het hele technische gedeelte een black box voor de meesten. Dat is helemaal niet erg maar laat het dan doen door een professional.’

In welk percentage van de praktijken schat je dat ze van toeten nog blazen weten qua technische installaties?

‘Nou, ik zou durven zeggen wel in zo’n 75% van de gevallen. Vaak hebben ze zich laten overhalen door een verkoper die dan ‘alles’ in de Cloud zet, maar als er een update wordt gedaan of er moet wat aan de werkplekken gedaan worden dan komen ze niet langs, want ‘dat zit niet in het contract’.

Onbegrijpelijk vindt Henk het: ‘De meeste huisartsen willen er ook geen geld aan uitgeven. Ik ken een praktijk en die heeft nog een pc met Windows XP met een 14” CRT monitor. Dan zeg ik ‘Kom op, koopt toch een nieuwe computer! Het maakt je werk zoveel prettiger’, Maar nee, dat vinden ze dan zonde van het geld, want ‘hij doet het toch nog?’

Waar ligt dat dan aan? Zijn de kosten te hoog of hebben ze koudwatervrees?

‘Het interesseert de meeste niet of hebben het te druk. Het gaat zo nog goed voor hen en ze zien de noodzaak er niet van in. Of ze zijn bang dat ze hun gegevens kwijtraken. Maar ik ben bang dat ze zichzelf nog heel erg gaan tegenkomen.’


‘Speciale data-protectieprogramma’s bieden goede bescherming van de patiënten-data en zijn niet duur.’


Ben jij nog van plan om speciale beveiligings-producten aan te gaan bieden

‘Ik maak gebruik van speciale dataprotectie programma’s. Daarmee bied ik de praktijken uitstekende bescherming.  Via een speciaal dashboard kan ik alle aangesloten praktijken op afstand kan bijhouden. Zodra er een Trojan of andere Malware, zoals gijzelsoftware of Ransomware via de mail binnen komt krijg ik als eerste een melding. Ik zie direct wat er aan de hand is en kan dan snel ingrijpen.’

Henk benadrukt: ‘Inbraak in je systeem kan grote gevolgen hebben en de boetes die de overheid oplegt als er patiënten-data worden gehackt liegen er ook niet om. Maar het hangt ervan af wat je wilt beveiligen. Er zijn huisartsen die alles prima beveiligd hebben en daar ook wat voor willen investeren en je hebt anderen die daar helemaal niet mee bezig zijn. Die nemen het risico dat het niet gebeurd. Meestal hebben praktijken met meer dan 5 werkplekken dit al goed geregeld, maar voor de kleinere praktijken die minder dan 5 PC’s hebben staan, zal dat voorlopig nog een hele lastige klus worden. Maar ik probeer ze daarin wel te adviseren. Met een paar simpele aanpassingen kunnen ook zij zich beschermen.’


‘Vooral de kleinere praktijken hebben problemen met beveiligen van hun patiënten-data’.


Vindt je dat de overheid daarin mede een taak heeft?

‘Ja, ik kan me voorstellen dat op enig moment alle patiënten-data, net als het LSP centraal opgeslagen zullen gaan worden en dat de beveiliging niet meer de verantwoordelijkheid van de huisarts zelf meer is. Maar ik heb daar nog geen berichten over gelezen.’

Tot slot vragen we: ‘Wat zouden huisartsen zelf kunnen doen om de beveiliging van hun patiënten-data te verbeteren?

Moeiteloos somt Henk zijn top tien op:

LinkedIn foto van Henk Gommans

De top 10 beveiligingstips van Henk Gommans voor huisartsen.

  1. Neem een eigen domein, zodat je e-mail in ieder geval beveiligd is en niet over Amerikaanse servers loopt.
  2. Neem een betrouwbare virusscanner, die up-to-date is. Of liever nog: besteedt dat uit.
  3. Ben je bewust over alle data die je in je praktijk hebt. Weet of die goed opgeborgen zijn, het gaat niet alleen over computerdata, maar ook je papieren data zoals de ouderwetse kaartenbak, de specialistenbrieven en andere documenten met patiëntengegevens.
  4. Laat regelmatig alle hardware checken. Vraag of de routers voldoende zijn afgeschermd. Kijk of er Wi-Fi kanalen in het huis open staan en of de access points voldoende beveiligd zijn’
  5. Lock je PC als je wegloopt en laat hem niet open en bloot achter.
  6. Weet met wie je in zee gaat. Laat leveranciers, die toegang tot je patienten-data hebben, een geheimhoudingsverklaring tekenen.
  7. Weet waar al je digitale data staan opgeslagen. Negen van de tien praktijken weet niet waar hun data worden gehost.
  8. Weet wat je in huis hebt qua techniek. Dan bedoel ik dus niet alleen de werkplekken, maar weet ook wat voor verbindingen, servers, centrales, routers, modems, Wi-Fi acces points en telefoniesystemen en eventueel wachtkamerscherm je in huis hebt.
  9. Zorg dat je alle wachtwoorden netjes versleuteld hebt verzameld en weet waar die staan.
  10. Volg scholingen waardoor je op de hoogte bent van wet en regelgeving en van de nieuwe Europese regels betreffende data uitwisseling. De GDPR of AGV.

We danken Henk voor dit interessante interview en wensen hem veel succes met zijn stap naar zelfstandig ondernemerschap.

Wilt u meer weten over hoe u uw praktijk kunt beveiligen neem dan eens een kijkje op onze ICT & Datasupport pagina op de Medichain website. Daar kunt u zien welke mogelijkheden wij in samenwerking met Henk kunnen bieden.

Of neem contact op met ons ICT team.

Geplaatst in Beveiliging, Geen categorie, ICT, Innovatie, Organisatie, Wi-Fi.