Omgaan met medische behandelplannen

Door Robert Metsemakers 5 apr 2018

Lessons learned voor security actieplannenVroeg of laat krijgen we allemaal zelf of voor een dierbare te maken met een medisch behandelplan. Ik bedoel daarmee een combinatie van medicijnen, ingrepen, operaties, diëten en/of fysiotherapie.

Als leek op medisch gebied die de behandeling moet ondergaan, is het moeilijk zo’n behandelplan op nut en noodzaak te beoordelen. Voor mezelf heb ik daarbij een vuistregel, die ik graag met u deel.

Wanneer de behandeling als ‘werkend’ wordt geadviseerd door een ervaren (meestal oudere) arts, accepteer ik dat advies meteen. Immers, deze doctor heeft al jarenlang ervaring met deze aanpak, het is proven technology. Hij heeft die ene ingreep al vaak met succes uitgevoerd en de positieve resultaten van een bepaald dieet al vele malen mogen aanschouwen. Als de man/vrouw met ervaring aangeeft dat iets werkt, dan geloof ik dat dus direct en ben ik ook bereid om het te gaan doen of te ondergaan.

Maar bij een advies van een ervaren arts dat een bepaalde aanpak niet werkt, ben ik voorzichtiger. Want het aantal medische artikelen met onderzoeksresultaten en nieuwe inzichten dat dagelijks in de vakliteratuur verschijnt, zelfs binnen een specialisme, is te groot om bij te houden voor één persoon. De allernieuwste technieken en medicijnen die tegenwoordig op de medische faculteit worden onderwezen, zijn mogelijk of eigenlijk vrijwel zeker niet bij hem/haar bekend. Maar goed, in een behandelplan staan dan ook vrijwel nooit de zaken opgesomd die niet worden geadviseerd. Een uitzondering daarbij is wanneer de patiënt zelf overstapt van geneesheer A naar geneesheer B. In dat bijzondere geval zal geneesheer B adviseren om meteen te stoppen met de aanpak van A, of bijvoorbeeld de medicijndosering verhogen of verlagen. Dit ‘negatieve advies’ is dan volkomen logisch, want als de patiënt tevreden was over de werking van aanpak A (en dus indirect ook over doctor A), dan was hij/zij niet geswitcht. En het past bij de uitspraak: “Insanity: doing the same thing over and over again and expecting different results”.

Omgekeerd: wanneer een minder ervaren (vaak jongere) arts aangeeft dat een bepaalde aanpak juist niet werkt, geloof ik dat ook meteen. Tijdens zijn/haar relatief recent afgeronde opleiding tot medisch professional heeft hij/zij uitgebreid geleerd van de eerdere fouten van andere artsen. Het briljante idee om je handen met zeep te wassen tussen twee operaties door, was namelijk niet van de eerste dokter ooit, maar is pas later door schade en schande bedacht. Zoals ook de bedenker van het basketbalspel in eerste instantie de bodem van de manden (zie de naam van de sport) had laten zitten. Zodat na elk gescoord punt de bal met een ladder uit de mand gehaald moest worden – maar dat is een heel ander onderwerp. Als zelfs de pas afgestudeerde arts, voorzien van de nieuwste kennis en inzichten en nog geheel bij met het lezen van de medische vakbladen, geen enkel sprankje hoop (meer) ziet in een bepaalde aanpak, dan neem ik dat voor waarheid aan.

Maar wanneer een minder ervaren arts op de proppen komt met een nieuwe effectieve aanpak, therapie, medicijn of dosering, ben ik juist voorzichtig. Voor je het weet, zit je drie keer per dag met je voeten in lauwwarm water naar rustige muziek (André Rieu) te luisteren met een cocktail van 14 medicijnen in je mik, terwijl je (‘geaard’ en wel) je holistische genezing visualiseert. Ik overdrijf hier natuurlijk een beetje. Ik bedoel dat de kans bestaat dat met goed bedoeld enthousiasme een not-yet-proven technology wordt aanbevolen, die mogelijk ook helemaal niet werkt voor de betreffende patiënt. Dat kost geld en belangrijker nog: tijd. En bij bepaalde ziektes is helaas juist die tijd nauwelijks meer voorhanden.

Een ideale combinatie is daarom voor mij een behandelplan opgesteld door een ervaren arts met daarin een opsomming van positieve adviezen, met daarbij een second opinion van een minder ervaren arts die er de inmiddels achterhaalde, antieke of niet meer optimale onzin uitschrapt. Twintig jaar geleden moest je na een herniaoperatie zes weken plat in bed blijven liggen; nu ga je de volgende dag lopend het ziekenhuis uit. Weliswaar naar de taxistandplaats, dat dan nog wel. Fruit blijft gezond; maar eet geen appel meteen na het tandenpoetsen, om het zojuist gepolijste glazuur enige hersteltijd te gunnen. Want met tandpasta kun je middeldiepe krassen wegpoetsen uit een compact disc (dit was na de langspeelplaat en nog voor Spotify-streaming).

Maar een ongewenste volgorde is voor mij om het behandelplan te laten maken door een onervaren arts, met de kans op allerlei nieuwe, exotische aanpakken en in Nederland nog niet goedgekeurde ,maar in “Amerika” al wel op knaagdieren geprobeerde, medicijnen. En dat behandelplan daarna te laten challengen (jeukwoord) door een ervaren arts. Daarbij bestaat helaas de kans op twee soorten fouten. De tweede arts kan een nieuwe, maar ineffectieve aanpak ten onrechte in het behandelplan laten staan, bijvoorbeeld omdat hij niet over wil komen als een aanhanger van OLM (Oude L** Methode). En de tweede (ervaren) arts kan ook een nieuwe nog niet uitgebreid toegepaste maar uiteindelijk voor die patiënt toch effectieve aanpak ten onrechte afkeuren. Zodat de patiënt geen (tijdige) genezing vindt, en dat is natuurlijk nog veel erger.

Security lessons learned

Het bovenstaande geldt eigenlijk precies hetzelfde bij security. Stel, u werkt op een afdeling met een stuk of tien middelgrote en kleine security-problemen, die de komende twee tot drie jaar nu toch echt eens een keer opgelost moeten gaan worden. Het opstellen van een totaal actieplan met volgorde, prioriteiten, budgetten, bemensing en geplande oplossingen ligt dan voor de hand. Op basis van bovenstaande is mijn advies: laat de meest ervaren medewerkers van uw afdeling per uitdaging (issue, threat, dreiging et cetera) vanuit hun ervaring een proven oplossing bedenken. Bijvoorbeeld: elk nieuw te bouwen systeem moet als logische toegangsbeveiliging minstens één password van voldoende lengte en ingewikkeldheid hebben. En laat daarna die voorgestelde oplossingen kritisch bekijken door de minder ervaren medewerkers met al hun actuele kennis van wat wel en niet (meer) werkt. Bijvoorbeeld: op een mobiel apparaat kan door misbruik van de overlay-functionaliteit in Android relatief eenvoudig, na een besmetting via phishing waarbij een .APK van buiten Googleplay wordt geïnstalleerd, een man-in-the-middle aanval opgezet worden, die het door de gebruiker ingevoerde wachtwoord onderschept en daarna misbruikt in de onderste app. De second opinion toevoeging kan dan zijn: “… maar bij apps zijn naast het wachtwoord nog deze aanvullende maatregelen nodig…”. Een op ervaring gebaseerde proven technology kan natuurlijk ook compleet geschrapt worden uit het actieplan, maar dan wel graag goed gemotiveerd. Dit ook gelet op de toekomstige werksfeer tussen beide groepen medewerkers op de afdeling.

Het actieplan laten opstellen door de ‘jonkies’, gevolgd door een review door de ‘oude rotten' heeft, om de hiervoor genoemde medische redenen en mogelijke fouten, zeker niet mijn voorkeur.

Drs. Robert Metsemakers RA RE CISSP heeft een rijk arbeidsverleden bij Achmea en diens voorgangers in verschillende security en audit functies. Deze column is op persoonlijke titel geschreven. Robert is bereikbaar via metsemakers@live.com.