Security en privacy cruciaal in succes van gezondheidstoepassingen

Wat is de digitale wachtkamer? Het is een randapplicatie, niet eens mobiel, waarmee de arts de afspraken en consultaties kan beheren. Het geeft de patiënt toegang tot de agenda van de arts. De eerste maal dat de patiënt de website van de dokter bezoekt maakt de patiënt éénmalig een gebruiker aan. Met zijn/haar e-mailadres en het paswoord kan de patiënt inloggen en met enkele muisklikken een afspraak vastleggen.
Het is dus geen EMD, het is geen medische toepassing, het is geen mobile health toepassing, het is niet verbonden met een medical device, enz...
De digitale wachtkamer is blijkbaar een web-applicatie die het niet nodig vindt om de paswoorden van haar gebruikers te versleutelen. Er zijn zo van die toepassingen die de meest elementaire regels van security en privacy aan hun laars lappen. En toch veel succes hebben blijkbaar. Meer dan een half miljoen patiënten zien de combinatie van hun email adres en paswoord zomaar bij een crimineel terecht komen.
Het gaat dus niet om een medische applicatie, maar toch zijn het patiënten die de dupe zijn. Het bewijst minstens 2 zaken. Iedereen moet zeer voorzichtig blijven bij het selecteren van websites waar met paswoorden wordt gewerkt. Maar vooral dit voorval komt zeer dicht in de buurt van medische gegevens. Het is cruciaal dat alle applicaties die met medische gegevens werken voldoen aan een aantal minimale vereisten. Alle EMD, alle EPD, eGezondheidstoepassingen, alle mobiele gezondheidsapplicaties moeten minstens hetzelfde beveiligings- en privacyniveau hebben als het eHealth platform. Het is dringend nodig dat naast de EMD-pakketten, ook alle EPD-pakketten en alle mobile health toepassingen, maar dus ook de rand applicaties à la digitale wachtkamer in staat worden gesteld een security label te behalen. Als dat algemene digital health security label er is, dan kan ook campagne gevoerd worden om nog enkel toepassingen met dat label te gebruiken.
Wat zou straks de boete zijn die de digitale wachtkamer zou krijgen als GDPR van toepassing is?
Zouden alle betrokken patiënten al verwittigd zijn? De lijst van betrokken dokters is in elk geval nog niet gepubliceerd op de website van de digitale wachtkamer. Evenmin zijn er verontschuldigingen terug te vinden.
We mogen wel niet vergeten dat de echte crimineel hier natuurlijk de hacker is. Maar de voordeur openzetten en de binnendeuren niet vergrendelen is niet direct beheer als een goede huisvader.