Door mr. B. Wallage en ir. J. Slobbe[1]

In de huidige informatiesamenleving worden steeds meer medische apparaten verbonden aan een netwerk. Enerzijds creëert dit kansen voor het leveren van betere en efficiëntere zorg. Bijvoorbeeld doordat mensen langer thuis kunnen blijven wonen door telemetrie[2]of beter geholpen kunnen worden door het ‘realtime’ monitoren van risicopatiënten. Anderzijds brengt deze innovatie in de gezondheidszorg risico’s met zich mee op het gebied van cybersecurity. Deze risico’s kunnen zich ook vertalen naar risico’s voor de patiënt. Uit onderzoek volgt zelfs dat kwetsbaarheden in de beveiliging van medische apparatuur tot ernstige schade aan de gezondheid van de patiënt kunnen leiden.[3]Uit deze onderzoeken blijkt bijvoorbeeld dat hackers medische apparatuur c.q. hulpmiddelen, zoals hartdefibrillatoren en infuuspompen, kunnen hacken en de instellingen van deze hulpmiddelen op afstand kunnen aanpassen. In de praktijk hebben hackers medische apparatuur aangevallen.[4]In april 2018 werd bijvoorbeeld bekend dat hackers ‘malware’ hebben ontwikkeld die zich richt op onder andere het aantasten van de werking van medische apparatuur.[5]Dit vormt een risico voor de patiëntveiligheid en roept de vraag op of er voor wat betreft de beveiliging van medische apparatuur een rol is weggelegd voor zorgaanbieders en wat de rol is van de Inspectie voor de Gezondheidszorg en Jeugd (hierna: ‘IGJ’).

  1. Het recht op goede zorg

Op grond van artikel 3 van de Wet kwaliteit, klachten en geschillen zorg (hierna: ‘Wkkgz’) is de zorgaanbieder verantwoordelijk voor de kwaliteit en veiligheid van de zorgverlening. Uit de parlementaire geschiedenis van deze wet volgt dat de zorgaanbieder niet alleen verantwoordelijk is voor de zorg die hij verleent maar ook voor de geschiktheid van de materiële middelen die hij daarbij gebruikt.[6]Ook het gebruik van geschikte en veilige medische apparatuur maakt derhalve onderdeel uit van de verplichting van de zorgaanbieder tot het leveren van goede zorg. Indien door de zorgaanbieder gebruik wordt gemaakt van onveilige medische apparatuur en dit de zorgaanbieder kan worden toegerekend, kan dit zelfs betekenen dat de zorgaanbieder met succes aansprakelijk wordt gesteld voor de geleden schade.[7]

  1. De toezichtsbevoegdheden en verplichtingen van de IGJ

Op grond van artikel 24 e.v. van de Wkkgz is de IGJ als toezichthouder bevoegd om handhavend op te treden indien de kwaliteit van de zorg en patiëntveiligheid in het geding komt. Op basis van de Gezondheidswet is de belangrijkste taak van de IGJ het waarborgen van de kwaliteit van de gezondheidszorg.[8]De IGJ waarborgt deze kwaliteit door toezicht te houden.

Uit het werkplan 2018 van de IGJ, waarin haar activiteiten voor het jaar 2018 staan beschreven, volgt dat de IGJ de verantwoordelijkheid bij het gebruik van e-Health en de mogelijke cybersecurity risico’s vooral bij de zorgaanbieder neerlegt.[9]In het werkplan staat in dat kader: “Naast de mogelijkheden die e-Health biedt, introduceert het ook nieuwe risico’s voor de patiëntveiligheid. (…) Van zorgaanbieders verwacht de Inspectie dat zij zorg dragen voor een verantwoorde toepassing van nieuwe technologie in de zorgverlening, met het oog voor de technische, procesmatige en organisatorische risico’s die zich daarbij kunnen voordoen”.[10]De IGJ heeft in november 2018 het document: ‘Toetsingskader IGJ: Inzet van e-health door zorgaanbieders’ gepubliceerd.[11]Dit toetsingskader sluit aan bij het voornoemde werkplan en vormt per september 2018 voor de IGJ het toetsingskader voor het toezicht ten aanzien van de inzet van e-health door zorgaanbieders.

Aangezien de ‘core business’ van zorgaanbieders het leveren van zorg betreft, is proactief toezicht van de inspectie, door bijvoorbeeld zorgaanbieders actief te informeren, ons inziens van belang. Dit belang wordt benadrukt door de eerste inspectieonderzoeken die in 2018 door de IGJ zijn uitgevoerd.[12]Van de tien zorginstellingen die door de IGJ zijn bezocht hadden slechts twee zorginstellingen de informatiebeveiliging ‘op orde’. De IGJ controleert hierbij in het bijzonder of de zorgaanbieder voldoet aan de NEN-normen, meer specifiek de in de zorg gerespecteerde NEN-norm 7510. De NEN-normen zijn sterk als het gaat om de informatiebeveiliging binnen een zorgomgeving maar waarborgen de patiëntveiligheid in het bijzonder onvoldoende, aangezien de link tussen medische apparatuur en de cybersecurity hiervan enerzijds en de gevolgen voor de patiënt anderzijds in deze normering onvoldoende wordt gelegd.

Voordat de IGJ effectief toezicht kan houden op de kwaliteit en patiëntveiligheid van het gebruik van medische apparatuur door de zorgaanbieder, is het ons inziens van belang dat zowel de IGJ, als de zorgaanbieder op de hoogte zijn van de actuele cybersecurity gevaren. Meer aandacht voor dit onderwerp is dan ook nodig. Op de website van de IGJ staat in dat kader slechts een enkele waarschuwing vermeld in het kader van veiligheidsrisico’s voor de patiënt veroorzaakt door verouderde software.[13]Dit terwijl er de afgelopen jaren een veelvoud aan meldingen van kwetsbaarheden in medische apparatuur is gedaan die ook relevant zijn in Nederland.[14]

Het is gezien het voorgaande maar de vraag of de IGJ als toezichthouder voldoende op de hoogte is van de actuele gevaren om effectief toezicht te kunnen houden. Alhoewel het uitgangspunt van de IGJ inhoudende dat de zorgaanbieder verantwoordelijk is voor het leveren van veilige en goede zorg begrijpelijk is, ontslaat dit de IGJ niet van de verplichting om effectief toezicht te houden.[15]Sterker nog, in het geval dat er ernstige en concrete aanwijzingen zijn dat een risico kan leiden tot grote schade bij de patiënt en de IGJ niet acteert of tekortschiet in het uitvoeren van haar toezichtfunctie, kan dit onder uitzonderlijke omstandigheden zelfs leiden tot overheidsaansprakelijkheid.[16]

  1. Ten slotte

Alhoewel de veiligheid van het gebruik van medische apparatuur in de zorg niet volledig door de zorgaanbieder en/of de IGJ valt te garanderen kunnen er wel degelijk beschermingsmaatregelen worden genomen die de risico’s van het gebruik van medische apparatuur binnen een zorginstelling kunnen beperken.[17]Hierbij valt te denken aan het segmenteren van netwerken, het veranderen van gestandaardiseerde wachtwoorden en het regelmatig updaten van de software.[18]Indien de zorgaanbieder dergelijke maatregelen niet treft, of in het bijzonder bepaalde updates niet doorvoert, nemen de cybersecurity risico’s toe. Uiteindelijk kan dit vergaande gevolgen hebben voor de patiënt.

De opkomst van netwerk verbonden medische apparatuur in de zorg, waaronder innovatieve medische hulpmiddelen, is ons inziens een positieve ontwikkeling die zowel de levensduur als de levenskwaliteit van patiënten aanzienlijk kan vergroten. Om de vruchten van deze innovatie duurzaam te kunnen plukken is het echter van belang dat zowel de IGJ, als de zorgaanbieders op de hoogte zijn van de risico’s die deze ontwikkeling met zich kunnen meebrengen, zodat effectief toezicht kan worden gehouden en de kwaliteit van de zorg en de patiëntveiligheid voor zover mogelijk wordt gewaarborgd.

[1]Bastiaan Wallage is advocaat bij Van Benthem & Keulen te Utrecht en als buitenpromovendus verbonden aan de Universiteit van Leiden. Jeroen Slobbe is manager in het ICS & IoT security team van Deloitte en heeft zijn scriptie geschreven over het hacken van medische implantaten.

[2]Telemetrie is het op afstand meten van bepaalde parameters, bijvoorbeeld het meten van het hartritme.

[3]Dan Goodin, Insulin pump hack delivers fatal dosage over the air, 27 oktober 2011, www.theregister.co.uk/2011/10/27/fatal_insulin_pump_attack/en Dean Takahashi, Excuse me while I turn off your pacemaker, 9 oktober 2008, www.venturebeat.com/2008/08/08/defcon-excuse-me-while-i-turn-off-your-pacemaker/

[4]Darren Pauli, Thousands of directly hackable hospital devices exposed online – hackers make 55416 logins to MRIs, defibrillator honeypots, 25 september 2015, www.theregister.co.uk/2015/09/29/thousands_of_directly_hackable_hospital_devices_found_exposed/?mt=1443524487087

[5]Symantec, New orangeworm attack group targets the healthcare sector in the U.S., Europe, and Asia, 23 april 2018, www.symantec.com/blogs/threat-intelligence/orangeworm-targets-healthcare-us-europe-asia

[6]Kamerstukken II2009/10. 32402, 3, p. 105

[7]R.P. Wijne, Aansprakelijkheid voor zorggerelateerde schade(diss.), Den Haag: Boom Juridische uitgevers 2013.

[8]A.C. Hendriks e.a., Bestuursrechtelijk gezondheidsrecht, Wolters Kluwer: Deventer 2018, p. 51 e.v.

[9]Inspectie voor de Gezondheidszorg en Jeugd, Werkplan 2018, 18 december 2015, webeditie https://www.rijksoverheid.nl/documenten/rapporten/2017/12/18/werkplan-2018

[10]Idem, p. 15.

[11]Inspectie voor de Gezondheidszorg en Jeugd, Toetsingskader IGJ “Inzet van e-health door zorgaanbieders”, november 2018, webeditie: https://www.igj.nl/documenten/toetsingskaders/2018/11/15/toetsingskader-inzet-van-e-health-door-zorgaanbieders

[12]Inspectie voor de Gezondheidszorg en Jeugd, Verkennend toezicht op e-health bij zorgaanbieders, mei 2018, webeditie: https://www.igj.nl/documenten/rapporten/2018/05/14/verkennend-toezicht-op-e-health-bij-zorgaanbieders

[13]Zie het waarschuwingenregister van de IGJ: https://www.igj.nl/documenten/waarschuwingen/2017/04/3/field-safety-notice-st-jude-medical_-abbott—merlin-at-hometm-software

[14]Zie het waarschuwingenregister van de Amerikaanse inspectie (ICS-CERT), https://ics-cert.us-cert.gov/advisories/ICSMA-17-227-01

[15]Zie ook: artikel 36 e.v. van de Gezondheidswet.

[16]Zie bijvoorbeeld: B.J. Ettekoven e.a., Overheidsaansprakelijkheid anno 2018: de stand van de rechtsontwikkeling, O&A 2018/23en HR 2 juni 2017, ECLI:NL:HR:2017:987 NJB2017/1286

[17]Jeroen Slobbe en Kelly van der Woning, ‘Cybersecurityrisico’s medische apparatuur’, deitauditor.nl,30 maart 2015, www.deitauditor.nl/informatiebeveiliging/cybersecurityrisicos-medische-apparatuur/

[18]Idem.