ZorgTech innovatie heeft baat bij security & privacy by design

22 maart 2016 Consultancy.nl

De ontwikkeling van nieuwe, innovatieve zorgoplossingen gaat stevig door. Een prachtig gegeven omdat in de zorg nog veel onopgeloste vraagstukken zijn waar in onze optiek de huidige technologie ontzettend goed bij kan helpen.

Veel innovaties worden vanuit een individu of instelling bedacht en ontwikkeld maar er zijn ook initiatieven, zoals Dutch Hacking Health en de MS Hackathon die door onder andere Mobile Doctors georganiseerd wordt, waarbij de krachten van zorgprofessionals en andere disciplines zoveel mogelijk worden gebundeld. Dit jaar heeft ook Deloitte de daad bij het woord gevoegd en zal de Dutch Hacking Health Hackathon niet alleen “patients proof” maar ook geholpen worden bij “security en privacy proof”. Wij bieden assistentie op o.a. security en privacy gebied om de teams te helpen om direct belangrijke keuzes weloverwogen te maken.

Security / privacy included een belemmering?
Wij denken van niet. Een open deur is natuurlijk om te zeggen dat security en privacy direct in het design van een (met het internet verbonden) product meegenomen dient te worden maar dit is en blijft wel de kern. Om collega Kees Plas te quoten “alle experts zijn het er over eens: security & privacy by design moet het uitgangspunt zijn bij de ontwikkeling van nieuwe producten die met het internet in verbinding staan.” Dit alleen al om te voorkomen dat je nooit je eigen kind terug ziet door simpelweg te zoeken op het internet zoals onlangs in het nieuws kwam.

Security en privacy by design, dit is echter nog wel een behoorlijke uitspraak, zeker voor een startup met een briljant idee zonder kennis van regelgeving op dit gebied (vaak). Vanuit onze rol als coach van Rockstart Accelerator teams hebben wij dit ook wel geleerd. Als je tegen deze teams zegt dat ze na moeten denken over hun security design dan heb je ze niet goed genoeg geholpen. Het is niet eenvoudig om je antwoord hierin concreter te maken. Want wat bedoel je nu precies als je tegen een developer van Tinybots (één van de voorbeelden) zegt: heb je wel aan privacy / security by design gedacht?

Dat is nu precies de crux en persoonlijk vinden wij dit ook het leuke aan ons vak. De vertaling maken van het product en daarop passende antwoorden vinden die horen bij het risicoprofiel van deze startup of deze innovatie. We gaan hier op zoek naar concrete antwoorden en voorbeelden die gebruikt kunnen worden in hun specifieke situatie. Denk hierbij aan “bestaande regelgeving” maar ook zaken als “vergelijkbare producten” of “jurisprudentie over soortgelijke zaken” of “doelgroepen”.

Als je hierin meedenkt en bij de teams aangeeft wat ze kunnen doen om privacy en security serieus te nemen dan blijkt dat binnen iedere situatie het direct adresseren van security/privacy in hun design absoluut geen belemmering hoeft te zijn. Gelukkig maar!

Maar is security & privacy proof kostbaar?
Jazeker. Het is behoorlijk kostbaar, maar alleen op het moment dat je hier GEEN rekening mee hebt gehouden. Een goed voorbeeld zijn de boetes naar aanleiding van de Meldplicht Datalekken. Deze worden uitgedeeld als je niet kunt aantonen dat je security en privacy op orde zijn en niet weet dat er een lek is wat je had moeten melden. Belangrijker vinden wij echter de verplichting naar de maatschappij (of lees patiënten). Je bent het simpelweg verplicht hun persoonsgegevens te beschermen. Binnen Nederland, maar ook daarbuiten.

Iedereen die apps of applicaties ontwikkeld heeft een blueprint of designtekening gemaakt. Gebruik deze als basis om eens te kijken wat er nu echt mis kan gaan (risico analyse) en schrijf deze risico’s op. Deze risico’s bespreek je vervolgens met je team en daaropvolgend neem je passende maatregelen. Dit is niet kostbaar maar een verplichting wat ons betreft. In aanvulling hierop is er voldoende geschreven of geblogd over passende, relatief basis security en privacy in gezondheidsapplicaties. Een aardig overzicht van passende regelgeving is opgenomen in deze blogreeks. Iedereen kan deze doornemen en betrekken in hun eigen risicoanalyse. Een directe onafhankelijke test is op dat moment nog echt niet nodig, maar blijft natuurlijk altijd een extra blijk van vertrouwen aan je gebruikersgroep.

Security / privacy proof tips
Het is niet mogelijk om volledig zijn omdat de wetgeving en externe risico’s steeds veranderen maar toch zijn er basistips die wij willen meegeven. Zorginnovatie kan met onderstaande tips stap voor stap meer volwassen worden. Het is zeker geen volledig overzicht maar helpt je al aardig op weg.

  1. Betrek de doelgroep bij je design. Niet alleen voor usability maar betrek ze ook bij de risicoanalyse op security / privacy. Wat jij belangrijk vindt is voor hun misschien wel minder belangrijk en andersom;
  2. Gebruik bij patiëntdata altijd een versleutelde verbinding;
  3. Sla patiëntdata altijd encrypted op (zelfs op je ontwikkel-, test- en acceptatieomgeving);
  4. Gebruik tijdens je ontwikkeling altijd de OWASP guidances en kijk ook naar de beschikbare top 10 van meest geïdentificeerde security risico’s binnen de ontwikkeling;
  5. Kom de belofte aan je gebruikers na. Als je aangeeft dat je bijvoorbeeld geen data opslaat of verstrekt aan derde partijen doe dit dan ook niet;
  6. Wees transparant aan je gebruikers. Vertel welke data je gebruikt en waarom je deze gebruikt. Zorg daarnaast dat alle elementen die noodzakelijk zijn in je privacy mededeling zijn opgenomen. (Een toetsing of professionele hulp hierbij is een pré maar is niet altijd direct budget voor).
  7. Documenteer je design, niet alleen security en privacy overwegingen. Documenteer de uitkomsten van je risicoanalyse en overwegingen hierin. Dit zodat je altijd je onderbouwing voorhanden hebt. Wellicht heb je het niet goed gedaan maar je hebt er tenminste over nagedacht.

Het tegengestelde van do’s zijn de dont’s. Dit zijn de valkuilen waarbij ontwikkelaar denken dat ze alle problemen overwinnen. Eén van de veelgehoorde uitspraken is ‘Dan maak ik data toch gewoon anoniem?’

Als een ontwikkelaar zijn data anoniem wil delen met de gemeenschap om zo te helpen om inzichtelijk te maken waar problemen of juist oplossingen liggen, is dat in de regel een nobel streven. Dit is echter niet zonder gevaar omdat data anoniem maken heel moeilijk is. Dit vanwege het risico dat her-identificatie op basis van anonieme gegevens makkelijker is dan men denkt. Het inzicht geven in trends, veelgekozen opties, effectiviteit van behandelingen en statistieken hebben een bepaalde mate van herleidbaarheid nodig om waarde toe te voegen. Wil je dit doen dan kan het een strategische keuze zijn maar dan zal de patiënt zal hiervan op de hoogste gesteld dienen te worden of kies een veilige optie.

Security / privacy proof op welk niveau binnen de organisatie?
Risicoanalyses en gedegen keuzes maken ten aanzien van security moet niet alleen op de ontwikkelafdeling gebeuren maar ook niet alleen op boardroomniveau. De juiste mix van verantwoordelijken binnen je organisatie, hoe klein of groot dan ook, is de enige manier om alle juist risico’s boven water te krijgen. Onze ervaring leert dat als je mensen met de juiste mindset in een kamer zet, er binnen het eerste half uur de meest belangrijke risico’s op tafel komen.

Voor privacy is het geheel iets complexer aangezien dit letterlijk een vak apart is. Het werken met (bijzondere) persoonsgegevens is een complex geheel en gezien de implicaties van verkeerd gebruik is ons advies om een expert in te schakelen als de kennis niet in huis is.

Conclusie
Het implementeren van security en privacy zonder in te boeten op innovatie voelt als een vrije val. Net als bij een vrije val is het een kwestie van de juiste voorbereiding, controles uitvoeren en tijdens die sprong op het juiste moment je mitigerende maatregel, je parachute, inzetten. Hierbij is behalve de timing het kennisniveau dus van belang. De zorg innoveert en de voorbeelden zijn ontelbaar, maar alleen door security & privacy by design kunnen we garanderen dat de innovatie ook bestendig is voor de toekomst. Security en privacy zijn onlosmakelijk verbonden met innovatie en samen ervaringen delen en het inzetten van specialisten op het goede moment zal ervoor zorgen dat zorginnovatie naar een volgend niveau gaat. Zelfs in deze tijd!

Een artikel van Robert Jan Willems en Rob Peters, adviseurs bij accountancy- en consultancyorganisatie Deloitte. Dit artikel is eerder geplaatst op de site van MobileDoctors.nl, een initiatief van VvAA, een ledenorganisatie en dienstverlener voor de zorgmarkt.

Nieuws

Meer nieuws over