2 maart 2009

Medische gegevens zijn via P2P-netwerken makkelijk te vinden. Een Amerikaanse hoogleraar Operations Management, Eric Johnson, heeft via file sharing-netwerken gezocht naar medische gegevens. Johnson heeft in januari twee weken lang op P2P-netwerken onderzoek gedaan naar de aanwezigheid van illegale medische gegevens. Tot zijn verbazing werden vele duizenden patientendossiers en –gegevens gevonden, compleet met naam, Social Security-nummer, verzekeringsmaatschappij en diagnoses. Bronnen zijn niet alleen de slecht beveiligde PC’s van huisartsen of laptops van verpleegkundigen. Grootste vangst is een database van een ziekenhuis met de dossiers van 20.000 patienten. De resultaten van dit onderzoek zijn geanonimiseerd en gepubliceerd in een paper. Met de gegevens is het mogelijk om fraude te plegen, dus gezondheidsinstanties en verzekeraars hebben ook reden om zich zorgen te maken.Johnson is directeur van het Centre for Digital Strategies aan het Amerikaanse Dartmouth College. In die hoedanigheid heeft hij in 2007 al over file-sharing ‘getuigd’ voor een Senaatscommissie. De nieuwe Amerikaanse president heeft net een grootschalig plan goedgekeurd voor brede invoering van het EPD in de Verenigde Staten. President Obama heeft hiervoor 19 miljard gebudgetteerd.

Dat wordt in de komende vijf jaar gespendeerd, volgens een flink pakket richtlijnen en vereisten voor de beveiliging. Ook in Nederland is er veel aandacht voor zowel de beveiliging van als het geld voor het EPD. Experts maken zich ongerust over de beveiliging van die verzameling persoonlijke gegevens. Het gaat daarbij niet alleen om de beveiliging van het EPD zelf, maar ook om hoe mensen omgaan met informatie. 'Each of these constituents was exposed in this disclosure', zo schreef Johnson in een paper over het onderwerp, die hij op 23 februari op een conferentie presenteerde. 'The exposure of sensitive patient health information may be most alarming to citizens'. Deborah Peel, oprichter van de belangengroep Patient Privacy Rights, zei dat 'Johnson's study shows that the idea that data contained in a health IT system can be secure and safe is a fantasy'. Peel, een psychiater, zei dat de studie aantoont dat 'the supporters of a national health IT system are engaged in wish fulfillment rather than reality when it comes to system security'. En ze zei dat schendingen zoals Johnson die heeft ontdekt 'will lead trial lawyers to sue over such breaches'. 'Over the next several years we are going to see major breaches in health IT systems', zegt Tom Hughes, die Chief Information Officer was bij de Social Security Administration onder Bush. Johnson zei dat 'it was not difficult to find patient records or medical databases using peer-to-peer networks such as Limewire, which is widely used to share music files'. Door gebruik te maken van een zoekdienst, beschikbaar gesteld door Tiversa Inc., een forensisch analysebedrijf voor P2P-netwerken, zocht hij de netwerken af en vond 3.328 bestanden en documenten. Na het schonen van dit materiaal van brochures en ander voorlichtingsmateriaal, alsmede van medische teksten, bleven er 161 bestanden over 'containing sensitive health care information linked with personal identifiers'. Johnson stelde in zijn presentatie: 'The peer-to-paper file search also uncovered a spreadsheet from an AIDS clinic with personally identifiable information on 242 patients including address and Social Security numbers, psychiatric evaluations from a mental health clinic and a 1,718-page document from a medical testing laboratory containing patient names, Social Security numbers and diagnosis codes'. 'The basic technology that runs peer-to-peer networks inadvertently exposed the files probably without the computer user's knowledge', zo stelde Johnson. 'A health care worker might have loaded patient files onto a laptop, for example, and taken it home where a son or daughter could have downloaded a peer-to-peer client onto laptop to share music. Once the client is installed, in most cases it exposes every file on a computer's hard disk to anyone on the file-sharing network'. Veel bedrijven verbeden hun medewerkers de installatie van P2P-netwerken op hun computers, maar dat verbod wordt veelal genegeerd.