(HuisartsVandaag) Op 25 oktober 2022 maakten nieuwsmedia bekend dat een 19-jarige het zorgplatform CAREN(www.carenzorgt.nl) gehackt had. Het betreft een zorgplatform van de firma NEDAP waarop patiënten, familieleden, mantelzorgers en zorgverleners kunnen communiceren over de zorg. De hacker maakte gebruik van een kwetsbaarheid in de inlogprocedure. Dat valt op te maken uit een bericht van de directie van NEDAP. Volgens de politie heeft de hacker enkele tienduizenden dossiers buitgemaakt. NEDAP stelt zelf niet na te kunnen gaan hoeveel dossiers onrechtmatig verkregen zijn. NEDAP afficheert CAREN als een digitale gezondheidsomgeving(DGO). Tegelijkertijd is op het internet te zien dat NEDAP met CAREN een persoonlijke gezondheidsomgeving(PGO) ontwikkeld heeft met toegang op basis van MedMij-protocollen. Die regelen de toegang en daarmee de beschikbaarheid voor de patiënt van zorgdata met een hoge beveiligingsgraad. Het blijkt dat CAREN als zorgplatform(DGO) gehackt is en niet als PGO.

EÉN NAAM, TWEE TOEPASSINGEN
Het is nogal verwarrend dat de web-app CAREN eigenlijk twee eHealth-toepassingen representeert  op basis van de toegangsvoorziening. Namelijk een portaal, waar je zorgdata op kunt inzien en uitwisselen met mantelzorgers en andere zorgverleners, en een PGO waarmee je als patiënt  zorgdata naar jezelf toehaalt. Ingewikkeld is dus dat CAREN blijkbaar een hybride product is met twee toegangswegen. CAREN, het portaal is gehackt, maar CAREN als persoonlijke gezondheidsomgeving(PGO) is niet gehackt. Dat ik dat laatste in een eerdere versie van dit artikel stelde is dus niet zo. Om het helemaal ingewikkeld te maken noemt NEDAP zoals ik hierboven schreef de portaalversie een digitale gezondheidsomgeving(DGO). In publicaties op het internet(A ,B ) zie je dat er verwarrende berichtgeving is over het al dan niet PGO zijn van CAREN.

HOE VERWOORDT NEDAP DIT?
De commercieel directeur van NEDAP, Peter van Soolingen verwoordt het in een artikel in Medisch Contact op 28 oktober 2022 als volgt: “CAREN is voorzien van een MedMij-label. MedMij is de organisatie die een standaard heeft ontwikkeld om veilig gegevens uit te wisselen tussen PGO-gebruikers en verschillende soorten zorgaanbieders tegelijk. Volgens Van Soolingen vond de hack plaats in het eigen systeem van CAREN, en is de MedMij-koppeling voor CAREN nog niet actief. Op dit moment werkt CAREN volgens hem momenteel alleen met een rechtstreekse koppeling tussen een CAREN-account en één of meer zorgaanbieders uit één segment (dus ggz, ouderenzorg óf gehandicaptenzorg), dus zonder MedMij-infrastructuur.”

VERWARREND
Wat het voor mijn verwarrend maakt is dat tot vrijdagochtend 28 oktober 2022 op de website van MedMij CAREN vermeld stond als PGO met een MedMij label. Daarmee de indruk wekkend dat het als PGO reeds actief was. Dat is die dag verwijderd op de MedMij-website, maar dat het er stond is terug te zien met de Waybackmachine van het Internet. CAREN staat op de MedMij website ook vermeld in de categorie van PGO’s die een MedMij label hebben maar die (nog) geen zorggegevens uitwisselen. Uit de woorden van Peter van Soolingen is ook op te maken dat CAREN als PGO nog niet actief is. Dus kan CAREN als PGO nog niet gehackt zijn.  Ik heb inmiddels begrepen dat het technisch mogelijk is één webbased app twee verschijningsvormen te geven op basis van hun communicatiemogelijkheid. Dat kan dan door het back-end van het internet-product verschillend in te richten.

Lees meer