Ernst Kuipers | oud-minister van VWS Ernst Kuipers vindt dat de verhoogde NAVO-norm voor defensie-uitgaven ook naar het beschermen van de digitale infrastructuur van ziekenhuizen moet gaan. „Kijk naar Syrië en Oekraïne. Ziekenhuizen zijn een doelwit geworden.”
Oud-minister Ernst Kuipers, nu bestuurder van de NTA University in Singapore: „Houd alsjeblieft in gedachten dat ziekenhuizen, labs en apotheken een cruciaal onderdeel zijn van de infrastructuur. Ziekenhuizen zijn in tijden van oorlog gewoon een doelwit.
Vanuit Singapore volgt oud-minister van VWS (D66) Ernst Kuipers, die daar bestuurder is van een grote technisch-medische universiteit, met bovengemiddelde aandacht de hack bij Clinical Diagnostics. Al is het maar door de vele raakpunten met zijn huidige en vroegere werkzaamheden.
Kuipers was als bestuurder een van de drijvende krachten achter het landelijke darmkankeronderzoek waarvoor om de twee jaar inmiddels 2,2 miljoen mensen tussen de 55 jaar en 75 jaar worden uitgenodigd. Ook dit is een potentiële goudmijn voor hackers, met namen, leeftijden, adressen en uitslagen.
Soortgelijke onderzoeksdata, van een half miljoen vrouwen die meededen aan baarmoederhalskankeronderzoek van Bevolkingsonderzoek Nederland, zijn in juli in handen van criminelen gevallen.
Bij de hack in Rijswijk zijn burgerservicenummers gekopieerd, evenals privé-adressen van patiënten én hun onderzoeksuitslagen. Moet dit niet apart van elkaar bewaard worden en dan later via een codering aan elkaar worden gekoppeld?
„Érgens moet de koppeling tussen die gegevens gemaakt worden en op díe plekken zitten de risico’s. Wat je als arts en onderzoeker altijd nodig hebt, is een unieke identificatie van een individu. Kijk, ik ben E. Kuipers, mijn broer heet ook E. Kuipers. Toen we nog thuis woonden, waren er twee E. Kuipers op één adres. De geboortedatum kan uniek zijn, maar niet als we een tweeling zouden zijn. Het burgerservicenummer is nooit hetzelfde. Dus het is vrij gebruikelijk om dat te gebruiken als een unieke identificatie.”
Kuipers zegt dat Nederland wat betreft het voorkomen van hacks een voorbeeld kan nemen aan de San Diego University.
„Die hebben een systeem opgezet waarbij ze alle Amerikaanse ziekenhuizen regulier en volgens mij zelfs elk uur testen op de mogelijkheid van een inbraak of een cyberaanval. Dat doen ze op afstand, gewoon vanuit San Diego. Daar hebben ze slimme systemen voor ontwikkeld die dag en nacht op zo’n website van een ziekenhuis schieten. Op die manier kunnen ze in een heel vroeg stadium de indruk krijgen dat er iets mis is. Vervolgens nemen ze contact op met de instellingen om te informeren of er misschien iets aan de hand is, en of ze hulp nodig hebben. Een ingenieus systeem voor vroegtijdige detectie van mogelijke digitale zwakheden.”
Is alles in de zorg gedigitaliseerd?
„Ja, al lang. Of je nou naar een huisarts gaat, of naar een ziekenhuis. Dat geldt voor de elektronische patiëntendossiers en de onderzoeksuitslagen bij een lab. Maar ook voor beademingsapparatuur, infuuspompen, CT-scanners, afspraaksystemen, voorraadbeheer, luchtmonitoring: alles is digitaal.
„Toen ik vroeger nog praktiseerde als Maag-Darm-Leverarts en een endoscopie deed [een inwendig onderzoek met een camera via een flexibele slang], was er al een geautomatiseerde controle op desinfectie en kon je achteraf snel voor iedere patiënt achterhalen welke dokter, verpleegkundige en apparatuur betrokken waren bij de endoscopie. Als dokter hoefde ik alleen maar mijn ziekenhuispas langs de endoscopie-apparatuur te halen, een soort barcodesysteem, en al die informatie was veiliggesteld. Dat was vijftien jaar geleden al zo.”
Veel data bij elkaar dus. Hoe groot kunnen de gevolgen zijn als daar wordt ingebroken?
„Het gaat niet alleen om privacy. Hackers kunnen een heel ziekenhuis platleggen. Vorig jaar was er in Londen een grote hack bij een pathologiecentrum dat bloedtesten deed. Dat leidde ertoe dat duizenden operaties moesten worden uitgesteld, want vooraf kon er geen bloed meer getest worden, ook niet van donoren. De enige bloedgroep die je aan iedereen kunt geven is O-negatief. Ongeveer 7 procent van de mensen heeft die bloedgroep. Toen was er dus een oproep nodig of mensen met die bloedgroep alsjeblieft bloed wilden doneren. Daarom is digitale veiligheid zo belangrijk en kunnen de gevolgen groot zijn als daar wat mis gaat.”
De voormalig minister vindt dat bij de onlangs verhoogde NAVO-norm, om 5 procent van het nationaal inkomen te investeren in cruciale infrastructuur behalve naar defensie, wegen en bruggen, ook naar ziekenhuizen moet worden gekeken.
„Houd alsjeblieft in gedachten dat ziekenhuizen, labs en apotheken een cruciaal onderdeel zijn van de infrastructuur. Dat hebben we bij de covid-pandemie gezien. Ziekenhuizen zijn in tijden van oorlog gewoon een doelwit. Kijk naar Syrië, waar de Russen ziekenhuizen bombardeerden. En we zien het nu in Oekraïne. Dat is niet collateral damage, dat is heel gericht. Cyberaanvallen zijn daar onderdeel van. Je kunt dan minder goed zorgen voor gewonde militairen. Dus dat beïnvloedt je slagkracht. En het kan een demoraliserend effect hebben op gewone burgers als zorg niet meer mogelijk is. Dat vereist crisisparaatheid in de zorg.
Moet de overheid dat organiseren?
„Je hebt in ieder geval centrale support nodig. Het is onmogelijk voor zorginstellingen, zeker voor de kleinere, om volledig paraat te zijn, alles up-to-date te houden voor alle mogelijkheden van een aanval. Dan helpt het om een hoofdkwartier te hebben dat coördineert, en zo nodig met een crisisteam kan uitrukken, net zoals er tijdens de pandemie een landelijk zenuwcentrum was. Het is wel logisch als de overheid dit betaalt. Ik heb zelf destijds als minister 300 miljoen euro uitgetrokken voor pandemische paraatheid. Dat is door het laatste kabinet Rutte teruggedraaid – erg onverstandig.”
Is de schaalvergroting in de zorg niet onderdeel van het probleem – dat het systeem te kwetsbaar wordt en de zorg te afhankelijk wordt van slechts een paar partijen?
„We zijn in de zorg in Nederland op veel terreinen afhankelijk van een beperkt aantal spelers. Ruim 80 procent van onze medicijnen komt uit India. We hebben slechts enkele leveranciers voor ict voor onze elektronische patiëntendossiers. Voor de ziekenhuizen zijn er maar twee softwaresystemen verkrijgbaar. Dat betekent dat je op veel terreinen kwetsbaar bent. En het is moeilijk daar meer diversiteit in aan te brengen.
De crux is: telkens weer kijken hoe we met die risico’s om moeten gaan en die zoveel mogelijk minimaliseren, terwijl we beseffen dat we ze niet naar nul kunnen brengen.”
De spannendste stukken over de toekomst van tech, economie, klimaat en megatrends
Source: NRC