ID: S202606030935
Status: school
Tags: avans 2-4, avans 2-4 LU2, security
avans 2-4 gastcollege Software security en compliance
Gastcollege Ziekenhuis informatisysteem: architectuur en informatiebeveiliging; van Máxima MC.
Chipsoft hack mentioned, daardoor zijn ze geraakt.
cybersecurity quote 101
“Het is niet de vraag of je gehacked wordt, maar wanneer je gehacked wordt.”
Link to original
Millennium bug.
Ziekenhuis Informatiesysteem - ZIS. Hiervan is het elektronisch patiëntendossier - EPD een onderdeel. Een ZIS is modulair opgebouwd in:
- vragenlijsten
- orders
- brieven
- planning / logistiek
Een EPD is de subset van patientgegevens die gebruikt worden in het ZIS. Er zijn ook apps waarbij je kan meekijken in je dossier, hierbij kan je dus een gedeelte inzien van jouw EPD.
HiX is een ZIS, dit is hetgene van Chipsoft wat het Máxima MC gebruikt.
Al deze inrichting en patientgegevens staat in 1 unit van een SQL database, denk aan 10K tabellen en 12TB data.
HiX Suite is best wle groot.
- Mobile app voor bijvoorbeeld magazijnscanning in een apotheek, of een verpleegkundige app.
- Een Windows desktop environment
- Een patientenportaal, hier kan je inloggen met DigiD en kan de paiteint zijn gegevens inzien, maar ook vragenlijsten voorgaand aan operaties etc.
- COMEZ Koppelingen zijn zo’n 150 koppelingen naar andere systemen toe zoals laboratorium systemen, om zo de uitslagen en requests te delen. Huisarts informatie zoals je medicijnen.
- Uitwisseling naar externe applicaties, het zorgplatform. Dit is een landelijke omgeving waar elke burger AL zijn gegevens kan inzien.
- Data warehouse, enorme bakken met data.
Chipsoft kan dus heel veel, en kan dus niet zomaar aanpassingen maken omdat het een massive UNIT is.
Iedere functie in Chipsoft HiX heeft losse authorisatie niveaus: printen, inzien, wijzigen, toevoegen, verwijderen. Het recht van verwijderen mag bijna niemand want dat is blijkbaar strafbaar als je je eigen aantekening verwijdert? lol je krijgt rechtne op basis van je opleiding en studie. Dit doen ze met een groepenstructuur, van ziekenhuisniveau tot functiegroepen. Functiegroepen zijn per specialisme. Verder kan iedereen overal op elke patient zoeken, maar je kan dat alleen inzien in een noodprocedure. “breaking glass principle”. Hierbij moet je aangeven om welke rede je het nodig hebt.
Medewerkers kijken best wel vaak in hun eigen dossier of die van hun kinderen, dat mag niet. dan krijg je een gele kaart van de privacy officer. Zo mag je ook niet kijken bij collega’s of bekende nederlanders. Hier wordt je op aangesproken of in het ergste geval je contract verbroken.
De patient mag ook zien of er inzage is geweest in jouw dossier, niet op naam basis, maar wel op specialisatie.
Ook de testomgevingen die niet geanonimiseerd zijn worden gelogd.
Er zijn steeds meer wetten waar je aan moet voldoen
-
Medical device regulation - MDR is een europese verordening.
-
NEN-7510
- Chipsoft, maar ook de ziekenhuis zelf
-
Integraal Zorgakkoord - IZA en Wet electronische gegevensuitwisseling in de zorg - Wegiz : Landelijke toestemmingsregistratie en Basisgegevensset zorg - BGZ
-
Ze moeten jaarlijks een DigiD audit doen en een NEN-7510 audit.
Alles wat je opschrijft moet je kunnen laten zien, kunnen aantonen. Dus je kan beter eerlijk zijn dan liegen.
De NIS2 komt er aan binnenkort :D