In een reeks verschillende opiniebijdragen behandel ik de komende tijd verschillende facetten van het EPD (Elektronisch Patiëntendossier). In deze bijdrage ga ik in op de methode waarop zorgverleners toegang krijgen tot het EPD en of er ook ongeautoriseerd toegang kan worden verkregen.
Met certificaten voor de drie gescheiden functies (encryptie, authenticatie, digitale handtekening) op de Philips-chip (P8WE5033) en het gebruik van SHA-1, RSA 1024 (en de op handen zijnde overgang naar SHA-2, RSA 2048) zit dat qua techniek wel redelijk dicht volgens de huidige maatstaven. Elke zorgverlener moet dan ook naar het postkantoor en zich daar legitimeren om zijn UZI-pas op te halen
Dus wat is het probleem zou je zeggen. Nou, sterke certificaten of niet, een identificatie is zo sterk als de zwakste schakel. Die zwakste schakel is in dit geval het bij je houden van je pas en het geheimhouden van de PIN. Met straks enkele honderduizenden UZI-passen uitgereikt aan allerlei zorgverleners is het minstens een uitdaging te noemen om de boel veilig te houden. Denk maar even aan verloren passen, even een pas kwijt zijn, per ongeluk een pas omgeruild hebben, even niemand aanwezig die rechten kan delegeren… Allemaal korte termijn show-stoppers, maar het werk moet ook op korte termijn doorgaan. Ook bewust misbruik moet je meenemen als mogelijkheid.
Vertrouwen
In hoeverre kun je de professionele mens met toegang tot medische dossiers vertrouwen? Dat is zoals iedereen onderhand wel weet in ieder geval bij het dossier van Van Persie duidelijk geworden. En dat deze vertrouwensschending niet alleen bij de politie gebeurt maar ook bij medische instellingen is vastgesteld, zal ook niemand verbazen. Om dit punt te tackelen wordt er logging gedaan van opvragingen. Zo kunnen achteraf mensen die onterecht informatie hebben opgevraagd aangewezen worden voor vervolging (zie hier de reden voor absoluut sluitende logging, anders kun je er juridisch niet veel mee).
Passen niet op naam
Een uitdaging zit ook in de passen die niet op naam staan (ja die schijnen er ook te zijn, maar wel met standaard wat minder rechten). De verantwoordelijkheid ligt daar natuurlijk bij de persoon (bijvoorbeeld de arts) die rechten delegeert aan een gebruiker van die pas (bijvoorbeeld een tijdelijke assistent), maar hoe transparant is dit model in de praktijk als bijvoorbeeld meerdere leden in het team die pas gaan gebruiken?
Illegale toegang
Kan iemand die geen rechten heeft op illegale wijze wel toegang krijgen? Op een of andere manier altijd wel, maar je hebt dan wel wat zaken nodig:
– Een koppeling met het LSP (Landelijk Schakelpunt) via het ZSP (Zorg service provider) met het IP-adres zoals dat is geregistreerd bij het LSP.
– Een XIS dat met behulp van een UZI-pas voor de XIS-applicatie zich identificeert bij het LSP.
– Een UZI-pas voor de applicatie-identificatie, met de PIN.
– Een UZI-pas van een zorgverlener met voldoende rechten, met de PIN.
Laten we enkele scenario's bekijken:
1) Dat de ene werknemer van een zorgaanbieder de pas van een ander gaat gebruiken (met of zonder expliciete toestemming) ligt erg voor de hand. Hoe lang mag een pas ongebruikt in de lezer zitten voordat automatisch wordt afgesloten? Pincodes die bij de pas behoren worden maar al te vaak gedeeld met anderen. Bewust misbruik hoeft het in zo'n geval zeker niet te zijn, maar het kan in principe wel. Aangezien het collega's betreft zal de sociale controle een sterk beperkende factor zijn, maar als je minder sociaal karakter hebt en iemand een hak wilt zetten is dit natuurlijk een ideale manier.
2) Een andere mogelijkheid met een beperkt risico voor de aanvaller, is natuurlijk om remote te gaan werken op een zorginformatiesysteem van een zorgaanbieder. Als dat bij het betreffende systeem kan tenminste, maar een zorgverlener wil tegenwoordig ook wel eens onderweg of thuiswerken dus wie weet. Het enige wat je dan nodig hebt is een geldige UZI-pas met PIN. Met zoveel passen en zoveel mensen die niets met ict hebben maar alles met de zorg voor patiënten (gelukkig maar) zal dat niet zo moeilijk zijn.
3) Als dat remote-gebruik niet lukt, dan is er natuurlijk het punt van de systemen van de zorgaanbieder die nu 24X7 aan moeten staan, inclusief het weekend dus. De NEN7510 geeft wel voorschriften voor de bescherming maar dat is niet indrukwekkend, zeker niet voor de kleinere praktijken. Ik heb verder nog weinig tralies, camera's en honden bij de zorgaanbiedersgebouwtjes gezien. Let wel, elk gebouwtje heeft een doorlopend live-gekoppelde server staan en geeft potentieel toegang tot 16 miljoen medische dossiers, dus een goede bescherming zou niet gek zijn.
Het wordt allemaal wat moeilijker als je een IP-adres moet gaan imiteren en de ZSP en LSP voor de gek moet gaan houden, dus dat zal misschien niet de eerste aanval zijn. Maar ook dat is voor sommigen een leuke uitdaging.
De UZI-pas is waardevol. Er is veel gedaan om ongeautoriseerd gebruik van het klink-EPD tegen te gaan. Maar de architectuur met een 24X7-gekoppeld deelsysteem op negenduizend locaties in het land in combinatie met een groot aantal gebruikers die deels persoonlijk geïdentificeerd worden en deels een pas-niet-op-naam hebben, maakt mij ongerust. Als dan ook nog de mensen in de zorg bewezen prioriteit bij de zorg leggen (gelukkig maar) en niet echt bij ict, dan heb je een gevaarlijk mengsel. De UZI-pas is een prima hulpmiddel, maar als we ons in slaap sussen met de specificaties van de chip dan spreken we over schijnveiligheid.
Na deze toelichting op de risico's rond de UZI-pas, benoem ik in het volgende artikel nog een aantal andere veiligheidsaspecten die het waard zijn om te bekijken.
Serie EPD
In een serie van negen delen behandelt Computable-expert Bernhard van der Feen van Microsoft verschillende facetten van het Elektronisch Patiëntendossier (EPD). Dit deel gaat over de UZI-pas en of het een wondermiddel is of schijnveiligheid. Eerder verschenen delen:
1 – De keerzijde van de EPD-brochure
2 – Inleiding van het Klink-EPD
3 – De architectuur van het Nederlands EPD
4 – Het Landelijk Schakelpunt, knooppunt of knelpunt?
5 – Vervolg: het Landelijk Schakelpunt, knooppunt of knelpunt?
Hierna volgen nog:
7 – Discussie rond de veiligheid van het EPD (verschijning 12 mrt. ‘09)
8 – De volgende patiënt, het GBZ (verschijning 16 mrt. ‘09)
9 – Alternatieve benadering van het EPD (verschijning 19 mrt. ‘09)
Relevante links
– Ministerie van VWS, onderwerp EPD
– www.infoepd.nl (informatiepunt BSN in zorg en landelijk EPD)
– www.nictiz.nl (kenniscentrum ICT in de zorg)
– Heel veel downloads
– Verslag van NOVA (15 januari 2009)
– Bezorgde uitingen over het EPD
– Bezorgde huisartsen
– Brochure EPD
– Informatiesysteemarchitectuur Aorta
– Abonnee van het UZI-register, en dan?
De UZI-pas is een noodzakelijk onderdeel van de beveiligingsarchitectuur van het EPD, maar het is niet voldoende. De autorisatie van toegang vindt in principe plaats op basis van het type zorgverlener. Dat is mijns inziens te grofmazig. Er zijn inderdaad scenario’s dat het zinvol is voor een huisarts om het dossier van een patient bij een andere huisarts in te zien. Maar nu is het zo dat dit betekent dat ALLE huisartsen ALTIJD ALLE dossiers kunnen inzien. Dat mag natuurlijk niet maar de controle is louter achteraf. Ik zie meer in een systeem waar een patient toestemming moet geven om het dossier op te halen.
Schijnveiligheid! Ieder vorm van hardware security is te hacken, te reverse engineren, als je genoeg middelen en motivatie hebt om dit te gaan doen.
Mensen, vertrouwen, verantwoordelijkheid en bewustzijn – daar begint en eindigt iedere vorm van security. De techniek kan hooguit een verlengstuk zijn van menselijk security bewustzijn, geen doel op zich
Een systeem is inderdaad zo veilig als de zwakste schakel en dat zijn de mensen die er mee werken. Onderzoeken hebben aangetoond dat die verschrikkelijk slordig met dossiers omgaan. Eigenlijk is dat ook niet zo verwonderlijk het is voor hun een map met papiertjes of een scherm met tekst. Dat degene die daar mee werkt niet altijd bij stil staat dat daar een persoon met privacy rechten achter zit kan ik mij enigzins voorstellen. Die mentaliteit is er met papieren dossiers en zal met elektronische dossiers niet anders zijn. Op dat gebied zal er een enorme mentaliteits verandering moeten plaats vinden.
Een andere kwestie de systeembeheerders. Ik hoor of lees daar nooit iets over. Volgens mijn kunnen die alle dossiers lezen, zonder dat ze behandelend zorgverlener zijn.
En hoe zit het met harde schijven die vervangen zijn. Worden deze schijven grondig schoon gemaakt, of kunnen wij deze schijven in de kringloopwinkel compleet met dossiers opkopen?
Hoeveel backups worden er gemaakt en staan die in het zelfde gebouw of niet en wie kan daar bij.
Ik durf de stelling aan: Digitale kluizen bestaan niet.