Onlangs maakte Elsevier bekend dat artsen en verpleegkundigen berichtenservice Whatsapp volop inzetten om vertrouwelijke patiëntdata met elkaar te delen.
Vanuit een nobel hart, want advies vragen en gezamenlijk een oplossing bedenken is in de zorgsector gelukkig al lange tijd geaccepteerd.
Het voorbeeld van Whatsapp is illustratief voor een bredere ontwikkeling: medisch professionals maken graag gebruik van technologische innovaties om de zorg te verbeteren. eHealth en mHealth (mobile health) zijn termen die bij menig zorgprofessional aan de orde van de dag zijn. Maar zijn deze ontwikkelingen een kans of bedreiging? Zorgorganisaties moeten op zoek naar een methode om dit op verantwoorde manier te faciliteren, omdat privacy-issues een belangrijke rol blijven spelen in elk dossier. Identity & access management biedt uitkomst.
De manier waarop gezondheidszorg zowel door patiënten als zorgprofessionals benaderd wordt, ontwikkelt zich razendsnel met één centraal thema: patient empowerment. Zorgbehoevenden participeren actiever in hun eigen zorgtraject en mobiele devices en apps hebben hier een groot aandeel in. Via hun smartphone blijven patiënten up-to-date van hun weg naar genezing. Met name de millennial-generatie (1980 – 2000) gebruikt in grote mate een verscheidenheid aan mobiele apparaten om hun eigen lichaam te monitoren. De nieuwe generatie artsen en zorgprofessionals zet deze mogelijkheden dus ook in voor patiëntinformatie en informatie-uitwisseling met collega en cliënt. Al deze digitale ontwikkelingen worden gebruikt voor één doel: het genezingsproces van de patiënt versnellen.
Ondanks de goede bedoelingen is het een kwalijke zaak dat medici gebruikmaken van een open en onbeschermd medium zoals bijvoorbeeld Whatsapp of Dropbox. Want hoe eenvoudig is het voor kwaadwillenden om bij de verzonden gegevens te komen en waar blijft de patiëntinformatie op het moment dat een dossier is gesloten? Dit zijn vragen die aandacht zouden moeten krijgen vóórdat tablets en smartphones een rol mogen gaan spelen in de behandelkamer. Dit gebeurt echter al met enige regelmaat en in de toekomst zijn mobiele devices niet meer uit de wandelgangen van zorginstellingen weg te denken. Het is de uitdaging om de nieuwe technologische middelen te benutten om de kwaliteit van de zorg te verbeteren, zonder dat patiënten en zorgverleners risico lopen.
Gevaren rondom mobile healthcare
De voordelen zijn er, zoveel is duidelijk. Er is echter wel behoefte aan goede beveiliging en privacy-eisen rondom mobile healthcare en het zou niet uit mogen maken of de artsen en verzorgenden de patiëntgegevens nu met hun eigen device of een door de zorginstelling verstrekte smartphone/tablet versturen. De oplossing is één digitaal systeem die niet aan duidelijkheid te wensen overlaat als het aankomt op het delen van (mogelijk gevoelige) patiëntinformatie. Medische professionals gaan immers zelf op zoek naar een werkvorm als ze door hun werkgever niet worden gefaciliteerd. Als het verhaal van Elsevier iets bewijst, dan is het dat.
Privacy blijft een gevoelig onderwerp als het om technologische ontwikkelingen gaat, zeker in de zorg. Want hoewel patiënten snelle en inzichtelijke zorg verlangen, weegt de eis van een vertrouwelijke behandeling nog zwaarder. Bij veel aandoeningen wordt getreuzeld met een gang naar de dokter, juist vanwege de gevoeligheid van het ziektebeeld. Het risico dat jouw probleem – dat om wat voor reden dan ook gevoelig ligt – in handen kan komen van derden, zal voor veel patiënten reden zijn om nog voorzichtiger te zijn met de gang naar een arts. Patiëntgegevens blijken uit onderzoek van PWC namelijk een hoop geld waard op de zwarte markt, iets waar je als patiënt én zorginstelling niet op zit te wachten.
Identity & access management
Mobiele gezondheidszorg werkt goed, maar moet dus nog wel enkele kinderziektes overwinnen. Een goed beheer van de vele verschillende digitale identiteiten is hierbij essentieel. Identity & access management (IAM) biedt uitkomst. Identity & access management is een verzamelnaam voor het beheren van processen en technieken rondom identiteiten. Niet alleen identiteiten en autorisaties van personeel, maar ook van externe relaties, waaronder stakeholders of patiënten. Hierbij is het de IT-afdeling die verantwoordelijk is voor het goed beveiligen van bedrijfsapplicaties en publieke diensten op ieder device, zonder dat het voor gebruikers een onnodige drempel vormt. Wie heeft toegang tot de applicatie en tot welke subonderdelen heeft deze gebruiker toegang? Het wordt allemaal bepaald met goed identity & access management.
De twee aspecten die bij identity & access management centraal staan, zijn gebruiksgemak en veiligheid. Hoewel het vaak lastig is om hierin een goede balans aan te brengen, is dit wel noodzakelijk bij een succesvolle IAM-implementatie. Als een dienst niet eenvoudig te gebruiken is, dan wordt er door zorgprofessionals gezocht naar een manier om deze te omzeilen. Voldoen bedrijfsapplicaties niet aan de behoeftes van gebruikers, dan is de kans groot dat zij overstappen naar alternatieve en publieke diensten. Als een arts de resultaten van een röntgenfoto of bloedmonster wil delen, is Dropbox of Whatsapp ondanks de beveiligingsissues een logische keuze voor hen. Gebruiksgemak is dus essentieel. Een matige beveiliging die gemakkelijk in gebruik is, werkt vaak beter dan een lastig te gebruiken beveiliging, want daar werken gebruikers omheen.
Toegang
Inloggen bepaalt tot welke dienst gebruikers toegang hebben. Er moet echter ook onderscheid gemaakt worden tussen wie welke informatie te zien krijgt. Een patiënt krijgt net als diens behandelend huisarts alle informatie te zien, maar ten behoeve van de privacy krijgt een doktersassistent of anesthesist selectieve delen van het dossier te zien. Deze rollen moeten goed verdeeld én bewaakt worden. Wie krijgt toegang tot wat? Momenteel vullen veel IT-afdelingen hun IAM-beleid in met een strikt beveiligingsbeleid. Dit stuit echter veel medewerkers tegen de borst, wat leidt tot frustratie, improductiviteit en gebruik van onveilige publieke applicaties.
Naast deze uitdagingen, speelt ook locatie een grote rol bij identity & access management. Logt een medewerker met zijn account normaliter in met diens tablet op één vaste locatie en probeert hetzelfde account dit vervolgens in Korea met een smartphone, dan zou toegang ontzegd moeten worden. Een goed IAM-beleid handelt direct op sterk afwijkend gedrag van personeel en waarborgt hierdoor bedrijfskritische gegevens.
Pluk de vruchten
Anno 2015 dragen patiënten en zorgbehoevenden zelf bij aan hun genezings- en behandelproces. Het gebruik van mobiele apps en devices wordt hierbij de normaalste zaak van de wereld en zorginstellingen moeten hierop inspelen. De voordelen zijn eindeloos, maar alle informatie die dit met zich meebrengt moet goed beveiligd worden. Goed identity & access management zorgt ervoor dat deze data goed beschermd wordt en alleen geselecteerde en geautoriseerde gebruikers toegang hebben tot patiëntspecifieke informatie. Pluk de vruchten van mHealth, maar bescherm je patiënten tegen rotte appels.
Door: Peter Jurg, Managing Director Innovation & Consultancy, Capitar IT Group
Dit artikel is onlangs gepubliceerd in FMT Gezondheidszorg, magazine. Wilt u een abonnement?