Er is nogal wat rumoer rondom het elektronisch patiënten dossier (epd). De tegenstanders roepen ‘brand’ en de voorstanders, die wel beperkt lijken te zijn tot degenen die zelf bij de invoering betrokken zijn, gaan onverstoorbaar door met de taak die zij uit te voeren hebben, zonder echt in te gaan op de vele bezwaren die worden aangevoerd. Die houding lijkt olie op het vuur van de tegenstanders, die uitzinnig van woede bewegingen opzetten tegen het epd, of, zoals het project inmiddels heet, het landelijk schakelpunt (lsp).
Want, zo wordt veelal beargumenteerd, de voorstanders van het epd leggen niet alleen alle maatschappelijke kritiek klakkeloos naast zich neer. Ook de ferme tik op de vingers die de Eerste Kamer aan het project heeft uitgedeeld in april 2011 wordt totaal genegeerd. De Nederlandse senaat vond het plan niet veilig genoeg en sommeerde de minister om zich uit het project terug te trekken. Zonder de minister ging het plan echter op dezelfde voet verder. Er werden geen aanpassingen aan de infrastructuur aangebracht en hetzelfde gammele systeem wordt nu alsnog doorgevoerd. De beveiliging van databases is nooit 100 procent, zelfs niet bij het Pentagon, dus wat geeft je het idee dat een stelletje Nederlanders wel het ultieme Fort Knox kan bouwen? Als je dat gelooft, ben je wel bijzonder naïef, aldus de kritiek.
Wie zich iets verder in de materie verdiept, komt er al snel achter dat deze argumenten eigenlijk geen steek houden. De reden dat de Eerste Kamer het epd afschoot had weinig met de infrastructuur van het epd te maken. De Eerste Kamer heeft zich in april 2011 gekeerd tegen aanvullende wetgeving rondom het epd en de positie van het burgerservicenummer daarin. Dus dat de invoerders van het epd de bezwaren van de Eerste Kamer naast zich neerleggen is een feitelijke onjuistheid. Het andere punt, dat het lsp een grote database is met zeer privacygevoelige informatie die niet goed te beveiligen valt, is ook onjuist.
Er bestaat geen grote database met epd’s en er bestaan geen plannen om deze database aan te leggen. Er bestaan wel in Nederland duizenden kleine databases met epd’s, namelijk op de servers van huisartsenpraktijken, apotheken, ziekenhuizen en andere zorgverleners. Het lsp beoogt alleen dat de informatie op al deze duizenden databases door elke beëdigde zorgverleners potentieel opvraagbaar wordt, zonder tussenkomst van de betreffende (huis)arts of diens telefonist, die de gevraagde gegevens nu meestal gewoon per e-mail toestuurt.
Voorwaarden
Is het lsp dan bij nader inzien dan toch een veiliger systeem dan het systeem dan er nu al is? Niet per definitie. Deze vraag zou alleen kunnen worden beantwoord met ‘ja’, als aan twee voorwaarden wordt voldaan. Ten eerste moet het versturen van de dossiers op een veiligere manier gebeuren dan de huidige manier. Zijn de gegevens tijdens het versturen bijvoorbeeld voldoende versleuteld (beter dan bij normale e-mail)? Hierover bestaat veel onduidelijkheid. Ten tweede moet het moeilijker worden om als onbevoegd persoon aan dossiers te komen met het nieuwe systeem, vooral nu de minister van plan is om het lsp toegankelijk te maken voor alle burgers, zodat iedereen zijn eigen dossier kan inzien.
Vooral over dat tweede punt heb ik mijn bedenkingen. Begrijpelijkerwijs is er gekozen voor een systeem waarbij niet eerst toestemming van de patiënt nodig is (een patiënt buiten bewustzijn kan deze toestemming nu eenmaal niet verlenen, zelfs al zou het zijn leven redden). In plaats daarvan wordt de patiënt achteraf geïnformeerd over het feit dat een arts zijn medische gegevens heeft opgevraagd. Bij ongeautoriseerd gebruik kan dit dus pas worden vastgesteld nadat de gegevens al verstrekt zijn. Dit moet artsen zonder behandelrelatie met een burger ervan weerhouden om zomaar wat dossiers op te vragen en in te zien. Aangezien ik artsen over het algemeen beschouw als mensen met een redelijk stel hersenen en goede bedoelingen, wil ik meegaan in deze redenatie. Mijn zorgen richten zich op de niet-medici die zich toegang tot epd’s willen verschaffen. Hoe verifieert het lsp dat degene die een epd opvraagt ook werkelijk de arts is die hij beweert te zijn? Daar zit wat mij betreft de achilleshiel van het systeem: met een tweetal codes die over een lange periode gelijk blijven.
Er liggen bij dit verificatiesysteem twee gevaren op de loer. Allereerst het gevaar dat gemakzucht met zich meebrengt. Pincodes en wachtwoorden worden in de praktijk met het grootst mogelijke gemak op een papiertje geschreven en op de rand van een beeldscherm geplakt. Ook worden inloggegevens van artsen vaak gedeeld met verplegend personeel en met degene die achter de balie zit, toonde NOVA in november van 2008 spectaculair aan. Het is, denk ik, een illusie om te denken dat die situatie inmiddels is veranderd en dat het met de inloggegevens voor het lsp anders zal gaan. Buiten de mogelijk slechte intenties die deze niet beëdigde medewerkers zelf mogelijk zouden kunnen hebben, maak ik mij ook zorgen om de oplettende ‘binnenloper’, die het briefje met de inloggegevens gewoon kan zien hangen en vervolgens zijn slag kan slaan.
Phishing
Daarnaast lijkt iedereen te vergeten dat er zoiets bestaat als phishing, zelfs al staan de kranten momenteel ook daarmee vol. Wanneer banken – of politici – aankondigen dat consumenten zelf voor de kosten moeten gaan opdraaien als het geld van hun rekening is gehaald na een succesvolle poging van phishing, lijkt het land te klein. We kunnen van consumenten niet verwachten dat als zij een persoon aan de telefoon krijgen die van de bank zegt te zijn, onraad ruiken en hun mond houden over eventueel gevoelige informatie. Wat geeft mensen het idee dat artsen niet in phishing kunnen trappen? Vooral bij een project als het lsp, dat nog erg nieuw is, en nu al wordt aangevallen op zijn mogelijke onveiligheid, zijn de mogelijkheden voor succesvolle phishingpogingen enorm. Op elke – enigszins legitiem uitziende – e-mail aan de dokter met een tekst als ‘Om tegemoet te komen aan de publieke kritiek rondom de veiligheid van het lsp, hebben wij besloten het systeem aan te scherpen. U verliest uw toegang aan het einde van de week, als u niet op deze link klikt en uw inloggegevens invoert en wijzigt’ zal – naar mijn idee – een indrukwekkend percentage van de artsen ingaan. En zelfs al trapt slechts één arts in de val: met zijn inloggegevens kunnen in een korte tijd zeer veel epd’s ongeautoriseerd worden aangevraagd.
In deze beide scenario’s geldt dat er geen 100 procent overeenkomst is tussen degene die de epd’s aanvraagt en de aanvrager die het lsp registreert. Als ik op een dag ontdek dat een arts uit Zierikzee mijn epd gisteren heeft opgevraagd, kan ik er niet zeker van zijn dat hij dat zelf heeft gedaan. Misschien was het wel zijn receptioniste, haar vriend, een nieuwsgierige ziekenhuisbezoeker of een ordinaire phisher. En wie kan ik dan aankijken?
Een twee-factorautenticatie zou een grote verbeterig zijn. Dat zijn we in Nederland al gewend bij internetbankieren. Er zou een token kunnen worden ontwikkeld die de arts altijd bij zich heeft en waar hij eenmalige (TAN)codes op ontvangt, waarmee hij zijn aanvraag bevestigt. Hiermee wordt het phishinggevaar en het gevaar van het delen van het apparaat met medewerkers helaas niet volledig uitgeschakeld. Om dat te bereiken zouden we toe moeten naar een autenticatiesysteem met behulp van biometrische gegevens, zoals een vingerafdruk of een irisscan. Maar dat vereist een database met biometrische gegevens van medici, die weer niet 100 procent beveiligd kan worden. En daarmee is het epd-dilemma compleet.
Daniëlle van Leeuwen, G Data Benelux
Allereerst mijn reactie dat ik dit een prettig leesbaar stuk vind, waar een aantal goede punten worden gemaakt.
Wat betreft het “phishing” gevaar wordt geschetst wil ik nog wel wat opmerken. Hoewel de pincode zeker via phishing achterhaald kan worden, kan die alleen misbruikt worden i.c.m. met de UZI pas (beter nog het certificaat dat op de UZI pas staat) die gebruikt wordt i.c.m. een informatiesysteem waarop een geldig UZI server certificaat aanwezig is en de betreffende zorgverlener toegang heeft.
Daarnaast is het LSP dusdanig ontwikkeld dat er door een arts slechts de Professionele Samenvatting (dus niet het hele dossier) van 1 patient tegelijkertijd kan worden opgevraagd.
Wanneer het aantal achtereenvolgende bevragingen te groot wordt (groter dan x aantal keer binnen een bepaalde periode) wordt de communicatie afgesloten.
Deze maatregelen voorkomen niet dat er helemaal geen misbruik mogelijk is, maar verkleinen wel de “opbrengst” van een succesvolle aanval.
Gegevens opvragen via het LSP kan alleen met een persoonlijke UZI-pas (smartcard) en bijbehorende pincode. Er wordt dus al gewerkt met two factor authentication. Er zijn trouwens geen duizenden servers van huisartenpraktijken. Alle huisartsen werken met een ASP-oplossing. In nederland zijn daarvoor enkele leveranciers actief. Vrijwel alle EPD’s van huisartsen staan dus gehost bij 4 grote leveranciers. Dit staat los van het landelijk epd of LSP.
Goed en helder verhaal, zou inderdaad aangevuld moeten worden met de UZI-pas.
Wat ontbreekt op landelijk niveau zijn een aantal zaken:
1. De behandelrelatie tussen de arts en de patient zou digitaal geregeld moeten zijn. Dus de patiënt geeft toestemming tot inzage. De patiënt moet deze autorisatie kunnen delegeren.
2. Inzage in het dossier wil niet zeggen dat informatie wordt onttrokken, dus dat zou op de een of andere manier geregeld moeten worden en dat is astig. Je kunt een printscreen doen, maar ook een foto maken van een scherm.
Ik denk verder dat de politiek zou moeten kijken naar de huidige papieren situatie:
1. Dossier slingeren rond in zorginstellingen, raken kwijt of liggen publiekelijk ter inzage
2. Dossiers worden gefaxt, dit is totaal onveilig
3. Dossier worden gescand en via email verstuurd, ook niet veilig
4. Dossier worden per post verstuurd
5. Daarnaast zullen bovenstaande zaken in delen door elkaar heen gebruikt worden.
In de nieuwe situatie is dat allemaal veel beter geregeld. er zal een cultuuromslag moeten komen om zorginstellingen optimaal en veilig digitaal te laten samenwerken met elementaire persoonlijke patiënt gegevens. De crux ligt met name op dat niveau en niet zozeer op ICT niveau.