Article

Waarom de cloud bij uitstek een veilige plek is voor patiëntgegevens

NAVIFY veilige plek voor data
Waarom de cloud bij uitstek een veilige plek is voor patiëntgegevens

De cloud. Wat roept dat woord bij jou op? Leuk voor privégebruik zoals je email en backup van je foto’s, maar niet zo geschikt voor professionele toepassingen? En al helemaal niet voor opslag van privacy-gevoelige informatie rond bijvoorbeeld patiënten? Je bent niet alleen in die gedachte, in de zorg worden ICT applicaties nog steeds regelmatig binnen de muren van zorginstellingen geïnstalleerd en up-and-running gehouden. Cijfers laten echter een ander beeld zien, namelijk dat 86%1 van de Nederlandse zorgorganisaties gebruik maakt van de cloud.

 

Dat roept de vraag op hoe (on)logisch het eigenlijk is om data en applicaties binnen de (ziekenhuis) muren te houden. Laten we eens een muzikale invalshoek kiezen als vergelijking. Nog niet zo lang geleden kocht je CD’s of LP’s, maar wat doe je sinds streaming in het spel kwam? Ik moet eerlijk bekennen dat ik zelf nog steeds de neiging heb om vanuit Spotify te downloaden en om te zetten naar MP3’s: hebben is hebben, toch? Stel dat het internet uitvalt, dan kan ik die muziek nog steeds beluisteren. Maar er gaan kopzorgen gepaard met mijn houding: ik moet een goede backup hebben, liefst ook eentje in de cloud (!) want stel dat mijn huis in de brand vliegt?

 

Software as a Service als de nieuwe manier van werken

 

Terug naar de software-wereld: Denk bijvoorbeeld eens aan CRM systemen, waar grote bedrijven vaak niet meer kiezen voor een eigen “on-premise” installatie, maar een cloud applicatie zoals Salesforce zijn gaan gebruiken. Die bedrijven zijn vaak concurrenten van elkaar, en toch slaan ze met een gerust hart allerlei privacy-gevoelige en concurrentie-gevoelige informatie op in “hun stukje” Salesforce. De stabiliteit en continue beschikbaarheid van internet zorgen ervoor dat dit een heel goede oplossing is geworden. Hoe vaak gebeurt het nou nog eigenlijk dat je geen internet connectie hebt, in dit tijdperk van overal Wifi en 4G? En is dat vaker het geval dan dat je in-huis storingen aan het netwerk of servers hebt, als je eerlijk bent? En inhoudelijk levert de cloud ook veel voordelen op het gebied van samenwerken met andere partijen, thuiswerkers en “anywhere, anytime” toegankelijkheid van gegevens.

 

In de gezondheidszorg is er veel hardware en personeel nodig om alle interne systemen van een ziekenhuis operationeel te houden. Het geeft een gevoel van zekerheid en controle om de data in de serverruimtes van je eigen ziekenhuis te hebben. Maar is dat gevoel wel terecht, en met welke kosten gaat het gepaard, zowel financieel als op het vlak van beveiliging? Medische gegevens zijn privacy-gevoelig – het vereist extra maatregelen om de informatiebeveiliging goed op orde te houden. Mijn stelling is dat dat veel beter in de cloud geregeld kan worden dan in ziekenhuizen.

 

Een cloud applicatie is juist veilig voor patiëntdata

 

De cloud biedt veel voordelen op het gebied van continuïteit en schaalbaarheid; flexibiliteit in het opvangen van piekbelastingen en “failover” mechanismen horen helemaal bij een cloudapplicatie. Daarnaast is een van de grootste pijlers onder de cloud nu juist beveiliging van data. Cloud aanbieders:

  • zijn er vanaf de grond af op toegespitst om meer dan 1 klant op gedeelde services te laten werken: multi-tenancy vereist dat het gehele security model erop is gericht dat elke klant alleen toegang heeft tot de eigen gegevens.
  • beschikken over gespecialiseerde hardware en services op het gebied van informatiebeveiliging, die meestal voor een ziekenhuis te duur of bijzonder zijn. Bijvoorbeeld een Key Management Service met bijbehorende Hardware Security Module.
  • beschikken over voldoende gespecialiseerde medewerkers om de IT-systemen conform de laatste beveiligingsstandaarden in te richten, continu te monitoren en te onderhouden.

Cloud aanbieders laten minstens elk jaar een externe audit doen, waarbij alle veiligheidsmaatregelen grondig worden gecheckt, van technische configuratie tot en met naleving van allerlei procedures. Ik denk dat dat bij ziekenhuizen aanzienlijk minder vaak en/of minder diepgaand gebeurt.

 

Illustratief voor dit laatste is wat er gebeurde bij een externe audit door PWC bij mijn vorige bedrijf. De auditor vertelde dat ze meestal bij een ziekenhuis alleen de hoogstnoodzakelijke dingen konden checken van de paar-honderd servers en hoe het ICT personeel daar mee omging. Bij ons kon hij de 6 servers waarmee we al onze klanten bedienden en de veel kleinere gespecialiseerde organisatie vele malen diepgaander analyseren en beoordelen. Een diepgaand beeld versus “scratching at the surface” dus.

 

Bedenk verder eens wat er gebeuren moet in het geval van een noodzakelijke security-update, die doorgaans erg urgent zijn. Het is veel (specialistisch) werk om servers in ziekenhuizen bij te werken, terwijl cloud aanbieders slechts enkele server(s) hoeven te updaten om alle klanten te bedienen. De kans op fouten is daardoor kleiner en de tijd totdat de update is aangebracht vele malen korter. De gevolgen van niet snel genoeg aangebrachte updates zijn groot - weet u nog van de gijzelings-software "Wannacry" die het Engelse healthcare systeem ernstig heeft platgelegd, en ook in Nederland de nodige ellende heeft achtergelaten? Die aanval was op on-premise systemen gericht, net als de recente hack in 2020 van een Nederlands ziekenhuis. 



Dit zijn allemaal redenen waarom security experts steeds meer de overtuiging hebben dat de cloud minstens zo veilig is als on-premise, en waarschijnlijk zelfs aantoonbaar veiliger.

 

Data in de cloud – houd ik dan nog wel de controle?

 

Bedenk dat “data in de cloud zetten” niet hetzelfde is als data publiceren op een website, via een publiek toegankelijke dropbox of via Facebook. Je geeft je (patiënt-)gegevens niet over aan de aanbieder van een cloud applicatie: contractueel staat vastgelegd en middels audits wordt geborgd dat zij jouw data alleen technisch gezien mogen beheren voor jou, en dat zij de data niet eens kunnen inzien tenzij jij daar expliciet toestemming voor geeft. Dus ja, je hoeft niet bang te zijn dat je de controle kwijtraakt.

 

Wat doet dit met jouw eventuele twijfels over de cloud? Hoe veilig zijn de patiëntdata van jouw ziekenhuis? Daar ben ik wel benieuwd naar - heb je hier ervaring mee, of wil je op mijn blog reageren?  Mail me gerust. 

 

 

References:

  1. ICT Magazine, ‘Onderzoek: 86% zorgorganisaties zit in de cloud’, 4 april 2019.
Banner_Column_Martin_van_Middelkoop

Wie is Martin van Middelkoop?

 

De combinatie kennistechnologie en zorg vormt al meer dan dertig jaar de rode draad in het leven van Martin van Middelkoop.  Na zijn studie Bedrijfskundige Informatica aan de TU Twente, met als specialisatie kennistechnologie en decision support systems, werkte hij vanuit enkele softwarebedrijven voor klanten in de zorg. Zo’n dertien jaar geleden vroegen twee artsen hem en een collega om een patiëntportaal te bouwen. Doel: patiënten meer inspraak geven in het eigen ziekteproces. Toen dat portaal begon te lopen, richtten ze gezamenlijk een startup op. Al gauw werd de dienstverlening uitgebreid naar technologische ondersteuning voor oncologische netwerken. Twee jaar geleden was het voor Martin tijd voor een nieuwe stap: Roche Diagnostics Information Solutions. Martin bleek prima in het Navifyteam te passen met zijn kennis, ervaring en betrokkenheid bij de zorg. “Ik kende Roche al en was diep onder de indruk van hun visie op personalized health. In mijn functie binnen Navify komt alles bij elkaar!”