Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) veegt de vloer aan met het onderzoek van de Universiteit van Amsterdam (UvA) naar de beveiliging van het landelijke Elektronisch Patiëntendossier (EPD). Volgens VWS is het onderzoek gebaseerd op de ontwerpdocumentatie van het EPD en is niet gekeken naar maatregelen die bij de daadwerkelijke invoering worden genomen. De UvA-onderzoeker blijft van mening dat in het ontwerp van het EPD een aantal cruciale beveiligingsgaten zit.
Het ministerie stelt dat het wetenschappelijk onderzoek naar de beveiligingsinfrastructuur van het EPD geen nieuwe inzichten bevat en geen nieuwe problemen blootlegt. Informaticus Guido van 't Noordende, die namens de UvA onafhankelijk onderzoek uitvoerde naar de beveiligingsprotocollen van het EPD is verbaasd door die reactie. 'Dat vind ik vreemd want de genoemde beveiligingsrisico's zijn nooit eerder publiekelijk gemaakt.'
VWS vindt dat stellingen over de beveiligingsrisico's van het Landelijk Schakelpunt (LSP) – de beveiligde verbinding tussen zorginformatiesystemen – onvoldoende zijn onderbouwd. Van 't Noordende stelt in zijn onderzoek bijvoorbeeld dat een inbreker die het LSP binnendringt in feite alle patiëntendossiers kan opvragen. VWS reageert: 'Voor het LSP gelden strenge beveiligingseisen voor ontwikkeling, implementatie en beheer die jaarlijks door onafhankelijke derden worden getoetst door middel van audits en indringerstesten. De testen die tot op heden werden uitgevoerd, onder andere door gespecialiseerde hackers, hebben aangetoond dat de genomen maatregelen adequaat zijn.'
In strijd met de wet
De onderzoeker stelt verder dat het opslaan van loggegevens van patiëntinformatie die uit het EPD is verwijderd, niet overeenstemt met wat in het EPD-wetsvoorstel staat. Daarnaast concludeert de onderzoeker dat mandatering, artsen die toestemming geven aan medewerkers om gegevens in te zien, voor privacyproblemen kan zorgen.
Het VWS heeft op die punten gereageerd in het artikel: VWS en UvA steggelen over beveiliging EPD.
Typisch gevalletje van: “Wij van WC-eend adviseren: WC-eend”
Van ’t Noordende kletst ONZIN.
A) alle ssl sessies hangen aan een sha2 PKI, dan nog de controlles op het verkrijgen tot de authenticatie zelf. zoals pincodes van uzipassen zelf. Volgens mij weet van noorden niet wat een OSI layer 2 tunnel betekend. Als dit onveilig Volgens hem is , hoe zit het dan met de 1000de ssl sessies van internet bankieren.
b) LSP weet wie er verbind,een simpele IP policy is voldoende
c) Voor alsnog informatie ligt niet bij het LSP. LSP staat voor Landelijke schakel punt (wat is daar niet aan te snappen) en volgens mij hangt daar genoeg IDS apparatuur.
d) Elk software pakket wat zich verbind word geaudit.
e) sinds wanneer hebben onafhankelijk onderzoeks personen een UZI pas met pincode.
f) Arts is altijd verantwoordlijk voor de gegevens, evenals het gebruik van de client die bij hem staat.
Dit maakt het LSP systeem niet onveilig, en mbt tot de huidige situatie kan de assistente vaak ook bij de gegevens komen van patienten.
De man voert een onderzoek uit gebasseerd op aannames,
Waarzijn de feiten dan ? Als hij het LSP kan hacken, Laat hem dit proberen ipv beetje false info de media in te gooien, irri onrust stoker.
“Volgens VWS is het onderzoek gebaseerd op de ontwerpdocumentatie van het EPD en is niet gekeken naar maatregelen die bij de daadwerkelijke invoering worden genomen”
Als je ontwerp niet klopt dan pas je dit aan, en dus ook in je ontwerp documentatie.
Dit is dus weer duidelijk een niet te vertrouwen overheids hakkietakkie implementatie.
Helaas weer allemaal vertragende tactiek, erg jammer. NL loopt namelijk erg voorop hiermee maar wordt nu ingehaald door bijv. Zweden die net begonnen zijn.
Zsm invoeren en daarna eventueel bijsturen met het verkregen voortschrijdend inzicht, en niet in analysis paralysis verzanden.
Dit soort geneuzel is precies waarom ik destijds bezwaar tegen het EPD heb gemaakt. Overheden zijn gewoon incompetent om fatsoenlijke ICT oplossingen te implementeren of laten implementeren.
Overigens komt het in de US waar er allemaal eilandjes hun eigen EPD versies hebben vrij regelmatig voor dat er gegevens ‘lekken’ en door criminelen ten gelde worden gemaakt. Dat gaat hier straks ook gebeuren. Als het tegen zit dan zijn het ziektekosten verzekeraars die zo groot/machtig zijn dat ze er nog mee weg komen ook.
@Mike,
techniek is maar een aspekt. Je werkt met mensen. Aangezien de werkdruk in ziekenhuizen hoog is zal de toegang regelmatig open staan wat bij elektronische systemen wezenlijk meer risiko betekent. Een indringer loopt niet weg met een meter papier, wel met een USB-stick.
En iedereeen weet dat passen en IP-adressen te vervalsen zijn.
Wanneer leren ze bij ministeries eens verder kijken dan hun neus lang is, met alleen techneuten wordt dat EPD niet veilig.
Veegt de vloer aan… Ehm, de onderzoeker geeft zich niet gewonnen. En het schrikbeeld dat een malifide gebruiker eventjes een sloot dossiers download om te verkopen (of erger op bestelling levert) is niet afgedekt. Uiteraard zullen dergelijke misstanden met alle macht buiten de media worden gehouden. Immers het ministerie heeft nu verklaart dat er niets mis is. Om treurig van te worden. Wanneer komt er een systeem waarbij de burger toegang geeft aan verleners van zorg?
Nederland is toch een prijzenswaardig land, waarin de overheid mensen in dienst heeft die beter op de hoogte zijn van welk onderwerp dan ook dan specialisten op universiteiten, waar mensen zich jarenalng specialiseren in een wetenschappelijke omgeving waarin een kritische houding en wederzijdse beoordeling van niveau en resultaten de norm is.
Gelukkig weet een ambtenaar het beter dan de specialist.