Letterlijk schrijft ze: "Gezien de diversiteit aan (regionale) systemen is het niet mogelijk een algemeen oordeel te geven over de veiligheid en het beheer." Een opmerkelijke benadering, vindt IT-journalist Brenno de Winter. "Als het met medische gegevens eenmaal verkeerd gaat dan loop je achter de feiten aan en dat is het in handen van criminelen en dat is het laatste wat we moeten willen."
Schippers beroept zich op de inspectie gezondheidszorg (IGZ) en het college bescherming persoonsgegevens (CBP), maar die kunnen alleen vaststellen of je je wel aan regels houdt en of privacyregels voldoende gewaarborgd zijn. Een veiligheidsgarantie biedt dat allerminst, zegt De Winter. "Wat je wilt hebben is dat je een bepaald volwassenheidsniveau bereikt."
Standaarden
De minister geeft er volgens De Winter mee aan dat ze het echt niet weet. "Op zich is het wel degelijk mogelijk om een oordeel te geven, want er zijn standaarden waaraan je kunt voldoen en als je daaraan voldoet en die drempel neemt, dan heb je in ieder geval een minimaal gevoel van beveiliging."
Toch liggen die standaarden als uitgangspunt te nemen. Zo hanteert Deloitte een schaal van vijf niveaus, die volgens De Winter prima aanknopingspunten biedt voor de minister. Toch houdt Schippers hardnekkig vast aan de rol van de toezichthouders bij het controleren van de inrichting en het beheer van de informatiesystemen."
Kwaadaardige software
"De toezichthouder komt meestal pas in het vizier op het moment dat er aanwijzingen zijn dat er iets niet goed is of het is fout gegaan. Wat je wilt is dat je vooraf een minimaal niveau hebt en dan pas mag meespelen op zo'n EPD. Wat nou als een arts opeens allemaal kwaadaardige software op zijn computer heeft staan?"