Next step

Op de pagina Transparantie wordt aandacht besteed aan passende technische en organisatorische maatregelen. Via de pagina Techniek worden bezoekers geattendeerd op de initiatieven van het Platform Internetstandaarden en Internet Cleanup Foundation om ondersteuning te bieden bij de beoordeling of de genomen technische maatregelen inderdaad passend zijn.

Verwerkersovereenkomst
De IT technische kennis waarover grote organisaties beschikken (en waarop het initiatief basisbeveiliging.nl zich met name richt), ontbreekt bij de kleine en middelgrote organisaties. Dat geldt ook voor financiële middelen om die kennis in te kopen. Door die kennisachterstand is ook de beoordeling van een (verwerkers)overeenkomst lastig. Niet zelden wordt dan getekend bij het kruisje, zonder dat men zich goed bewust is van de eigen verwerkingsverantwoordelijkheid. Pijnlijk, als blijkt dat de kwaliteit van de diensten van de organisatie, waarvan diensten worden afgenomen, ondermaats is en zich daardoor een incident voordoet. In het bijzonder ook voor de betrokkenen.

Gezondheidszorg
Als die betrokkenen patiënten zijn, kan, door de aard van de verwerkte gegevens en gelet op de belangstelling daarvoor uit criminele hoek, de impact van een incident voor de patiënt nog groter zijn. Onder de kopjes Ervaringen en Hall of Fame Hosters op de pagina Techniek is woorden gegevens aan enige praktijkervaringen. Dat er anno 2022 providers zijn, die zich onttrekken aan de ethische en maatschappelijke plicht om hun klanten in staat te stellen de passende maatregelen te nemen die de AVG voorschrijft is zorgelijk. Mede door mijn achtergronden, waaronder die als beleidsadviseur bij een grote koepelorganisatie in de zorg en als lid van de kerngroep van het Informatieberaad Zorg dringt zich bij mij het beeld op dat ook hier soms sprake is van een “vendor lock-in”. Een verstoring van een gezonde marktwerking die vergelijkbaar is met hetgeen in de tussenrapportage van een onderzoek door de ACM naar marktproblemen en oplossingen in de zorg onder 5.1 (ZIS/EPD-systemen: Marktproblemen en oplossingsrichtingen, een tussenstand (20-12-2021)) wordt geconstateerd. Dat onderzoek richt spijtig genoeg alleen op de ziekenhuizen. Maar ook in de 1e lijns zorg ontbreekt een gezonde marktwerking en is sprake “vendor lock-in”.

Ieder middel dat kleinere of middelgrote organisaties een steun in de rug geeft in de relatie met IT dienstverleners is meer dan welkom. De testomgeving internet.nl stelt die kleinere organisaties in staat stelt om die diensten wel te beoordelen en daardoor meer regie te nemen. En dat laatste is, gelet op bovengenoemde risico’s meer dan nodig.

Zorgaanbieders die met hun domein in de Hall of Fame Kampioenen staan, zullen dat kenbaar maken aan hun patiënten. Meer inzicht van patiënten zal er toe leiden, dat het niet toepassen van moderne standaarden op enig moment niet meer zal worden gedoogd. Voordat van die situatie sprake is, is nog wel wat te doen.

Om de nu zorgelijke situatie het hoofd te bieden kunnen de initiatieven van Internet Cleanup Foundation (gebruik van layers) en dat van het CIP (notificatie met het resultaat van een internet.nl test op het bij hun bekende domein) als inspiratie dienen. Zonder zicht te hebben op alle consequenties is het dan wellicht te overwegen om, in aanvulling op de bestaande layers van basisbeveiliging.nl te voorzien in een extra layer voor de (1e lijns) zorg. Die moet dan wel rechtstreeks (met een deeplink) kunnen worden benaderd. Als daarbij wordt voorzien in de mogelijkheid om (al dan niet tegen een bescheiden bedrag) het eigen domein toe te voegen. De authenticiteit van de aanvraag zou via het IP adres kunnen worden vastgesteld. De ter beschikking te stellen functionaliteiten zouden dan bijvoorbeeld een sterk uitgeklede versie zijn van datgene wat met de huidige Basis beveiliging plus geboden wordt en zich beperken tot 1 domein.

Rob Stadt, 15-02-2022