De beveiligingsarchitectuur van het Elektronisch Patiëntendossier (EPD) bevat een aantal kritieke lekken. Bovendien wordt onvoldoende rekening gehouden met mogelijke inbraken in zorginformatiesystemen of de beveiligde verbinding die de uitwisseling van patiëntgegevens coördineert, het Landelijk Schakelpunt (LSP). Dat stelt de Universiteit van Amsterdam (UvA) na wetenschappelijk onderzoek naar de beveiligingsarchitectuur van het EPD. Volgens de UvA is de privacy van patiënten onvoldoende gewaarborgd.
Onderzoeker Guido van 't Noordeinde heeft vooral kritiek op de beveiliging van mandatering. Artsen kunnen andere medewerkers toestemming geven om patiëntgegevens in te zien. Maar de controle van die toestemming vindt alleen plaats bij het eigen patientinformatiesysteem. Voor de informatieuitwisseling met systemen bij andere zorginstellingen via het LSP wordt geen bewijs van toestemming meegestuurd als een medewerker namens de arts gegevens opvraagt.
De onderzoeker stelt: 'Ziekenhuizen hebben een systeem dat mandatering regelt maar die kunnen ook aangevallen worden door hackers. Een arts zou daarom een bewijs voor toestemming moeten geven aan de gemandateerde dat meegestuurd wordt naar het LSP als een dossier wordt opgevraagd.'
Volgens de onderzoeker zitten er meer fouten in de beveiligingsarchitectuur van het systeem voor de uitwisseling van patiëntgegevens. De waarborging dat er een behandelrelatie moet zijn tussen de arts die gegevens opvraagt en de patiënt die behandeld wordt, is volgens de onderzoeker ook niet waterdicht. Van 't Noordeinde: 'Die toestemming is, net als de toestemming die de arts aan de medewerker geeft voor het opvragen van een dossier, decentraal geregeld en niet zichtbaar voor het LSP, dat de toestemming dus niet kan controleren.'
Inbraak LSP
Van 't Noordende voorziet ook een probleem bij een mogelijke inbraak in het LSP. Hij stelt: 'Op dit moment kan de aanvaller dan in feite alle patiëntendossiers opvragen. Er kan decentraal (bij de systemen die de opgevraagde dossiers bevatten) niet gezien worden of er een zorgverlener achter de aanvraag zit. De protocollen bij het LSP geven hiervoor niet voldoende veiligheid. Inbreken in het LSP is niet eenvoudig, maar ook niet uit te sluiten. Dat ziekenhuissystemen te hacken zijn is in het verleden al aangetoond.'
De onderzoeker bekritiseert ook dat gewiste patiëntgegevens voor een bepaalde periode (reconstructiehorizon) bewaard worden. Hij vind dat patiënten die informatie versleuteld moeten ontvangen en in eigen beheer moeten krijgen. Volgens de informaticus is dat de beste manier om ervoor te zorgen dat die gegevens bij een inbraak bij het LSP niet meer terug te vinden is.
Nictiz, het expertisecentrum dat de landelijke invoering van het EPD begeleidt, is om een reactie gevraagd maar verwijst voor woordvoering over het EPD door naar het ministerie van VWS. Nictiz-directeur Gert-Jan van Boven zegt tegen NRC Handelsblad dat hij de studie van de UvA 'zeer zorgvuldig' vindt. Hij verzekert die krant sommige aanbevelingen mee te nemen bij komende aanpassingen. Maar hij stelt: 'vooralsnog is Nictiz tot andere conclusies gekomen in de afwegingen tussen beveiliging en gebruiksvriendelijkheid van het EPD. Wij hebben een afweging gemaakt op basis van de praktijk. Dat is iets anders dan de theorie.'
EPD
Het landelijk EPD wordt stap voor stap opgebouwd. Het elektronisch uitwisselen van medicatiegegevens en huisartswaarneemgegevens tussen ziekenhuizen, huisartspraktijken, huisartsposten en apotheken zijn de eerste toepassingen van het landelijk EPD. De gegevensuitwisseling wordt op termijn uitgebreid.
Het EPD is een beveiligde verbinding naar een index die verwijst naar medische informatie. Die informatie is lokaal opgeslagen bij de zorgverlener. Het EPD is dus geen dossier waarin alle informatie ligt opgeslagen maar een netwerk via het Landelijk Schakelpunt (LSP) waarmee medische informatie wordt uitgewisseld.
De verplichte gegevensuitwisseling had op 1 september 2009 moeten werken, maar minister Klink van Volksgezondheid, Welzijn en Sport besloot begin 2009 om die datum op te schuiven. Dat deed hij na kritiek van betrokken artsen, apothekers en ziekenhuispersoneel over de haalbaarheid van die termijn.
De praktijk is nu al dat de controle wens van het bedrijfsleven belangrijker is dan de privacy van de burgers.
Dat is geen theorie, en de studie laat zien dat de bedrijven nog eenvoudiger en slechter controleerbaar dan nu inzage kunnen krijgen in onze medische gegevens.
In theorie is dit erg eenvoudig op te lossen. Zorg aan de voorkant voor positieve identificatie, dus geen inzage op mandaat, maar elk individu dat gegevens mag opvragen of inzien doet dit op basis van een persoonlijke identificatie sleutel (smartcard oid). Op basis van bevoegdheden van die persoon wordt bepaald wat wel en wat niet ingezien mag worden.
Als uitgangspunt mag geen enkele zorgverlener in een dossier kijken, behalve als de patient daarvoor toestemming geeft. Voor noodgevallen is er een noodprocedure.
Vervolgens geef je de patient de mogelijkheid zelf in het systeem te kijken welke gegevens er in staan, welke hij wil afschermen, en welke zorgverleners welke informatie hebben opgevraag cq. uitgewisseld.
Dat zal wel betekenen dat elke nederlander met een zorgverzekering een smartcard oid moet gaan krijgen om toegang tot het systeem te krijgen, maar daar ontkomen we op termijn toch niet aan, nu ook blijkt dat DigiD niet echt werkt.
Maak de eigenaar van de informatie (de patient) ook echt eigenaar, en geef hem de mogelijkheid e.e.a. te controleren.
@Erwin
Mooie theorie maar smartcards kunnen gestolen of nagemaakt worden, net als creditcatds.
Volgend citaat is verbazingwekkend . . . .
“Vooralsnog is Nictiz tot andere conclusies gekomen”
wat hadden we anders verwacht, het gaat om hun brood.
Mijns inziens kunnen we de studie meer vertrouwen en dat EPD voorlopig vergeten. Het probleem is dat diegenen die de besluiten willen nemen of gaan nemen meestal niet voldoende kennis van zaken hebben. Of zijn de politici inmiddels geen digibeten meer? Ik ben bang dat de experten en de politici daarover van mening verschillen.
Dat wordt dus weer net zoiets als de OV-Chipcard, waarbij aangegeven onvolkomenheden op het gebied van privacy systematisch gebagatelliseerd worden.
Dit kon je jaren vantevoren aan zien komen. Niet voor niets dat ik ook bezwaar heb gemaakt destijds.
Het is een kwestie van tijd dat al deze gegevens op de zwarte markt terecht komen en door oa verzekeringmaatschappijen/pharmaceuten gaan worden misbruikt. Waarschijnlijk zal dat zelfs gedoogd gaan worden onder het mom van algemeen belang.
@Jan
Natuurlijk kunnen smartcards gestolen of nagemaakt worden. Maar momenteel is dit wel de enige beveiliging van het hele EPD. Een UZI-pas is niets meer dan een Smartcard, alleen momenteel kan een hoofd-zorgverlener (praktijkhouder) algemene ‘Medewerker’ passen ‘niet op naam’ aanvragen (of nog erger, een server-certificaat). Met zo’n algemene pas is het niet meer na te gaan wie de informatie opgevraagd heeft. En ja, als je Smartcard gestolen of verloren is, moet je hem zo snel mogelijk blokkeren.
Als we het al over de veiligheid van de informatie hebben, staan we dan wellicht ook even stil bij de huidige situatie. Veel zorgverleners werken met slechts zeer beperkt beveiligde systemen (simpelweg omdat men zelf geen kaas heeft gegeten van systeembeveiliging) en ook de ouderwetse kaartenbak, die door een inbreker zomaar mee te nemen is, is nog veelvuldig in gebruik. Elke extra vorm van informatiebeveiliging is welkom, ook al is die niet 100% waterdicht. Wie garandeert nu dat een zorgverlener bepaalde gegevens niet aan verzekeraars doorspeelt ? Wie regelt nu inzage in je eigen dossier ? Juist, dan ben je dus afhankelijk van de zorgverlener. Als dit centraler geregeld wordt, zodat je zelf inzage in je eigen gegevens hebt, kan nagaan wie er in gekeken heeft, en zelf kan bepalen welke gegevens je voor wie afschermt, dat is mijns inziens een betere zaak dan hoe e.e.a. momenteel is geregeld.
“…Wij hebben een afweging gemaakt op basis van de praktijk. Dat is iets anders dan de theorie.”
Als ’t in de praktijk niet veilig kan zoals de theorie eist, dan moet ’t (nog) niet ingevoed worden. Simpel.
Stel een halve gare bedenkt een heel slecht bankpassysteem (bijv. een magneetstrip, die eenvoudig te kopiëren is. Je moet er maar op komen, maar ja… Sommige mensen zijn echt zo onverschillig.).
De theorie schrijft allerlei veiligheidsmaatregelen voor. In de praktijk blijkt dat (nog) niet mogelijk (bijv. omdat het te duur zou zijn). Dan kan je ook niet roepen ‘Ach, laten we ’t toch maar invoeren.’. Nee. Absoluut niet! Als het in de praktijk niet veilig kan: dan mogen de ego’s van de betrokkenen belanghebbenden niet van doorslaggevend belang _kunnen_ zijn.
In dit geval kan, als het systeem dus niet flink verbeterd gaat worden, de conclusie worden getrokken dat de verantwoordelijkheidsstructuur hier dus niet deugt. Zij het dat die structuur simpelweg niet goed in elkaar steekt, danwel dat men hun verantwoordelijkheid niet neemt.
Met dit onderzoek is de vloer aangeveegd. Er zijn namelijk teveel aannames gemaakt in het onderzoek van Guido van ‘t Noordende. Zijn onderzoek blijkt slechts gebaseerd te zijn op de ontwerpdocumentatie en hij heeft niet gekeken naar maatregelen die bij de daadwerkelijke invoering worden genomen.
https://www.computable.nl/artikel/ict_topics/development/3304007/1277180/vws-kritiek-op-epd-is-ongegrond.html#ixzz0kSAxTTOk