Verslag Symposium IHE Europe 9 April 2019 Rennes: ‘Moving forward Digital Health with Cybersecurity’

Jurgen Brandstatter en Stephane Spahni

Jurgen Brandstatter en Stephane Spahni

 

Stephane Spahni en Jurgen Brandstatter, co-chairs van IHE-Europe openen het symposium en heten iedereen welkom. Hierna volgt een reeks sprekers die elk hun perspectief geven op nieuwe ontwikkelingen in eHealth met speciale aandacht voor de beveiliging van gegevens. De sprekers vertegenwoordigen diverse organisaties: Philips, de Europese Commissie, de Tsjechische regionale overheid, de Europese branche vereniging voor radiotherapeutische en medische beelduitwisseling industrie COCIR, IHE Europe, Kereval, ENISA en het Ierse Health Service Executive (HSE).

Costica Dumbrava

Costica Dumbrava

 

Een greep uit de presentaties:

De Europese Commissie was vertegenwoordigd door Costica Dumbrava, DG CONNECT: Transformation of Health and Care in the Digital Single Market. Hij illustreerde de samenhang tussen de vele programma´s, waaronder ook de Commission Recommendation (EU 2019/243 van 6 februari jl over de European Electronic Health Record Exchange Format, alsook het EU Horizon 2020 programma Pooling Health Data for Research and Personalised Medicine.

 

Klara Jirakova

Klara Jirakova

Klara Jirakova van de cross border eHealth information services (CBeHIS) vertegenwoordigt het Tsjechische national contact point (NCP). Ze toont de tabel met alle NCP’s in Europa en waar deze aan werken. Om goed met elkaar te kunnen samenwerken en gegevens uit te wisselen is de zogeheten ‘circle of trust’ erg belangrijk. Deze is cruciaal voor het slagen van de interactie tussen NCP’s. Hierbij kunnen de eHealth Digital Service en het Infrastructuur Governance Model (eHDSI) zeker helpen. Hierin zijn de criteria vastgelegd voor het veilig uitwisselen van medische gegevens over patiënten en er is een audit proces vastgesteld dat de NCP’s moeten doorlopen als ze deel willen uitmaken van de infrastructuur. Het adresseert onder andere de bescherming van persoonsgegevens door te voldoen aan de GDPR en de authenticatie van patiënten. Er zijn diverse tools beschikbaar om de invoer hiervan te ondersteunen, zoals testa.eu volgens ATNA en ook de IHE Gazelle testing tool. Dit alles om te zorgen dat de informatie zo goed mogelijk beveiligd wordt uitgewisseld.

Als je wilt meedoen aan de ‘Cross-border eHealth information services’ moet je de overeenkomst tekenen en hiermee voldoen aan alle gevraagde criteria Nederland sluit aan in 2021. Het is belangrijk om ons nu al te richten op deze afspraken.

 

Ben Kokx

Ben Kokx

Ben Kokx, Director Product security bij Philips en Chair van de Cybersecurity focus group (COCIR) gaf ons een inkijkje in de aspecten rond cybersecurity. Systemen zijn steeds meer in elkaar verweven en ook steeds meer draadloos. Veiligheid betekent niet alleen dat een systeem ‘hacker-proof’ moet zijn,  maar stelt hogere eisen aan goed management, interoperabiliteit tussen systemen, risicomanagement en het trainen van personeel dat met de systemen werkt.

Een aantal standaarden en wetgeving speelt hierbij een belangrijke rol, bijvoorbeeld de ISO 80.001 norm, ISO/IEC 29147 vulnerability disclosure , de ISO/IEC 30111 norm voor vulnerability handling process en de EU Medical Device Regulation (EU MDR). COCIR heeft een aantal aanbevelingen opgezet voor nationale en regionale overheden met betrekking tot het beveiligen van producten en diensten in de paper ‘Advancing Cybersecurity of Health and Digital Technologies’.

Het levert ook nieuwe vraagstukken op zoals ‘wie is verantwoordelijk als verschillende leveranciers één product maken? Ziekenhuizen moeten voldoen aan de GDPR, leveranciers aan de EU MDR: deze zijn soms in strijd met elkaar; hoe lossen we dit op?

Ben Kokx beveelt een ieder in elk geval aan om een gecoördineerde kwetsbaarheidsclausule te hebben.

 

Charles Parisot

Charles Parisot

Dan neemt Charles Parisot het woord en licht toe welke rol IHE speelt in de wereld van Cybersecurity.

Het belangrijkste IHE profiel hierin is het Audit Trail and Node Authentication profiel (ATNA). Inmiddels hebben 320 leveranciers dit profiel geïmplementeerd; het is IHE’s meest ingevoerde profiel. Op het totaal aantal leveranciers is het echter maar een druppel op de gloeiende plaat.

Om aan de nieuwe eisen voor cybersecurity te voldoen, was het nodig het profiel uit te breiden. Maar, zegt Parisot: wat werkt, niet aankomen! Laten we er iets opbouwen in plaats van het profiel helemaal te veranderen. Er zijn intussen drie aspecten aan het testproces toegevoegd:

  • Leveranciers moeten aantonen dat hun product voldoet aan de laatste cybersecurity best practice (BCP 195);
  • Gebruikers moeten beoordelen of interoperabiliteit is behaald met het hoogste niveau van cyberbescherming;
  • Overheden moeten zich bewust zijn van de verhoogde mate van cyber protectie binnen regelgeving.

Het profiel ATNA is al een van de 27 profielen die door de Europese Commissie worden aanbevolen.

Karima Bourquard

Karima Bourquard

Karima Bourquard van IHE Europe: wat is EURO CAS? Een Europees project om een sustainable Conformity Assessment Scheme for Europe te maken. Het doel van dit initiatief is de interoperabiliteit en het testen van eHealth oplossingen te bevorderen. Er wordt zoveel mogelijk gebruik gemaakt van standaarden van de verschillende standaardisatie organisaties, zoals gedefinieerd binnen het ‘Refined eHealth European Interoperability Framework (ReEIF).

Het Symposium wordt afgesloten door een rondleiding in vier groepen op de Connectathonvloer waar de deelnemers een kijkje kunnen nemen hoe het er nou echt op de vloer aan toe gaat.

---

Verslag Esther Peelen, voorzitster IHE Public Relation Groep / Sector manager Healthcare Providers at GS1 Netherlands