Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) en informaticus Guido van 't Noordende hebben een verschil van mening over de beveiligingsarchitectuur van het Elektronisch Patiëntendossier (EPD). De UvA-onderzoeker constrateert gaten in de beveiliging van het EPD. Volgens het ministerie kloppen die bevindingen niet.
Een van de twistpunten is de mandatering. Een ziekenhuismedewerker kan van een arts toestemming krijgen om patiëntgegevens in te zien. Dat gebeurt op naam van de arts. Die toestemming is decentraal geregeld maar wordt gelogd via het Landelijk Schakelpunt (LSP), de beveiligde verbinding tussen zorginformatiesystemen bij zorgverleners.
Van 't Noordende vindt die procedure niet veilig omdat bij het opvragen van gegevens via het LSP een medewerker niet om autorisatie wordt gevraagd. Onrechtmatige toegang tot gegevens kan volgens de informaticus alleen achteraf worden vastgesteld door analyse van loggegevens. De onderzoeker pleit voor een extra beveiligingslaag.
VWS stelt: 'In het licht van een zorgvuldige afweging tussen het potentiële risico van misbruik van mandatering en werkbaarheid van procedures in de praktijk, is gekozen voor decentrale registratie van mandateringsrelaties. Hierbij is uitgegaan van een goede balans tussen een adequaat beveiligingsniveau en een werkbare praktijksituatie.
Gewiste gegevens
De onderzoeker stelt verder aan de kaak dat het bewaren van loginformatie van gewiste patiëntgegevens in strijd is met het recht op het verwijderen van informatie. Van 't Noordende: 'Uit die informatie zijn behandelrelaties af te leiden. Dat is privacy-gevoelige informatie. Volgens de voorgestelde kaderwet EPD hebben patiënten het recht om die gegevens te verwijderen.' De onderzoeker stelt voor dat patiënten de loginformatie versleuteld moeten ontvangen en in eigen beheer moeten krijgen. Volgens de informaticus is dat de beste manier om ervoor te zorgen dat die gegevens bij een inbraak van het LSP niet meer terug te vinden zijn en privacy gewaarborgd is.
VWS schrijft: 'Ten behoeve van het toezicht op het gebruik van het EPD door de IGZ (Inspectie voor de Gezonheidszorg, red.) en het CBP (College Bescherming Persoonsgegevens, red.) wordt het gebruik gelogd. De loggegevens worden alleen bewaard om na het signaleren van onregelmatigheden te kunnen reconstrueren welke gegevens zijn aangemeld of opgevraagd. Hierbij heeft een noodzakelijke afweging plaatsgevonden tussen de totale verwijdering van loggegevens en de noodzaak van het bewaren van loggegevens in het kader van toezicht.
De onderzoeker stelt dat het bewaren van loggegevens zoals vastgelegd in de ontwerptekst van het EPD in strijd lijkt met de voorgestelde wet. VWS houdt een slag om de arm: 'Wanneer hiertoe aanleiding bestaat, zal deze afweging opnieuw plaatsvinden.'
Een grote uitdaging met het landelijk EPD – ziekenhuizen hebben vaak hun eigen EPD’s – is dat de pas die de gebruiker autoriseert om toegang te krijgen tot het landelijk schakelpunt en aanpalende applicaties, de UZI-pas, geen echte waarde vertegenwoordigt voor de zorgverlener. Het is dus zeer laagdrempelig om deze aan een assistent te geven, inclusief de pincode. Hierdoor kunnen mensen die er geen recht toe hebben, bij gevoelige patiëntinformatie. Dat probleem is in hoge mate te ondervangen met een alternatieve pas die meer waarde heeft voor de zorgverlener, zodat hij/zij hem niet uit handen geeft. Pasfuncties zoals toegang tot gebouwen en ruimtes, portemonnee voor het restaurant, toegang tot eigen HRM-gegevens en single sign on voor snelle toegang tot ziekenhuisapplicaties vergroten de waarde van de pas en verlagen de behoefte om deze uit te lenen. Deze eigenschappen kunnen helaas niet worden toegevoegd aan de UZI-pas, gezien dit een gesloten systeem is.
Ik kan niet anders zeggen dat ik het volledig eens ben met de heer van t noordende. Er is geen preventieve maatregel genomen om de autorisatie vast te stellen en dat lijkt mij een zeer kwalijke zaak. Vindt de reden die het VWS noemt over werkbare situatie een bullshit reden. Het gaat hier om patient gegevens en niet om Albert Heijn bonuscard gegevens.
Over het loggen van gegevens, ik zou graag de vraag willen stellen aan VWS: Hoe vaak worden loggegevens daadwerkelijk gecontroleerd? Er wordt vaak van alles gelogd, maar daadwerkelijke controle vind bijna niet plaats tenzij er ‘per ongeluk’ ergens een keer een constatering wordt gedaan van ongeautoriseerd gebruik. Dit vindt vaak alleen plaats als gegevens van iemand met een hoge functie opgevraagd worden, zoals de koningin of de premier.
Zo blijkt de controledrang uiteindelijk ook een aantasting van de privacy op te leveren? Waarom zou je willen controleren wat je door niet op te slaan kunt veiligstellen?
Had de beveiligingsarchitectuur van het EPD er anders uit gezien indien de patiënt (meer) centraal had gestaan tijdens de ontwikkeling ervan?
Bij navraag bij een willekeurige kritische patiënt naar de ideale situatie m.b.t. zijn gegevens in het EPD was een opmerking in de trend van “ik zou niet willen dat een willekeurig persoon toegang krijgt tot mijn EPD omdat deze persoon toevallig toegang heeft gekregen tot een UZI pasje” denk ik zeker wel gemaakt. Een vervolg hierop was dan denkelijk geweest “Ik wil graag zelf bepalen wie toegang krijgt tot mijn EPD”.
Het gevolg is dat er dan niet in alle situaties optimaal gebruik kan worden gemaakt van het EPD. De keuze is dan echter gemaakt door (m.i.) de eigenaar van de informatie.
Het nare gevoel dat bijvoorbeeld de tandartsassistente inzage kan hebben in de rapporten van de psycholoog waar de patiënt ook onder behandeling is, wordt dan misschien weggenomen.
Transparantie (weliswaar achteraf) naar de patiënt in de wijze waarop het individuele EPD gebruikt wordt zou ook een mooie stap kunnen zijn. De transacties op mijn mobiele nummer krijg ik maandelijks netjes toegestuurd. Dat zou met mijn patiëntennummer toch ook tot de mogelijkheden moeten behoren?
“Waarom zou je willen controleren wat je door niet op te slaan kunt veiligstellen?”
Omdat die gegevens gebruikt kunnen worden in een eventueel onderzoek als geconstateerd wordt dat er onterecht gegevens zijn aangepast/gewist (d.m.v. gaten in de beveiligingen of wangedrag van een arts).
Ik neem even aan dat ’t EPD via het internet gaat. Tenminste ’t lijkt mij niet dat ze er een apart fysiek netwerk voor gaan aanleggen.
Aangezien bijna alle ziekenhuizen vnl. Windows-bakken hebben staan met browsers erop die lek zijn (er worden zowat dagelijks softwarefouten/lekken gevonden in Windows-software), kan er sowieso niet van een adequaat beveiligingsniveau worden gesproken.
En wat als een stagiair-arts of technisch medewerker een hardwarekeylogger met wireless zendertje tussen het toetsenbord en de PC/thin client aansluit? En bij iemand die alle rechten in ’t EPD-systeem heeft? Dan kan je precies hetzelfde krijgen in de USA: dat er veel geld voor gaat worden gevraagd, anders worden de gegevens allemaal op internet gezet.
Blij dat ik niet meedoe aan het EPD. Typisch de overheid weer, de vijand van het volk.
Van ’t Noordende heeft een “eerste brede wetenschappelijke studie” gepubliceerd waar o.a. een artikel aan gewijd op Computable. Hoewel het ministerie al jaren druk doende is om het EPD te realiseren en de tweede kamer reeds akkoord is met dit dossier, is er nu al een eerste studie naar de veiligheid van het systeem? Het nieuwe vliegtuig staat op de startbaan en nu gaan we nadenken over de veiligheid?
Graag wil ik als specialist in informatiebeveiliging graag een aantal kanttekeningen maken.
Security dient een onderdeel te zijn van het ontwerp.
Bij ieder systeem waar de veiligheid van informatie in het geding is, wordt in de ontwerpfase nagedacht over de toegangscontrole en de beveiliging. Dit dient een fundamenteel onderdeel te zijn van een ontwerp. Voor het ontwerp van een vliegtuig, een auto, een gebouw of een bankkluis vinden we dit vanzelfsprekend. Zodra het informatiebeveiliging betreft in de IT sector, is dit blijkbaar niet meer zo vanzelfsprekend. Waarom? Politieke druk is een belangrijke factor om beveiliging van onze privacy maar even te vergeten.
Patienten hebben toegang tot eigen gegevens
Het plan is om patiënten toegang te geven tot hun eigen gegevens. Hoe gaat dit geregeld worden. Via Internet en een pasje? In dat geval wordt het de hackers wel erg makkelijk gemaakt. Nictiz moest schaamteloos toegeven dat ze daar nog geen oplossing voor hebben. Maar het gaat wel om de privacy gegevens van iedere burger.
Is zorgverlener verantwoordelijk?
De zorgverlener krijgt de verantwoordelijkheid voor de toegang tot het LSP (landelijk schakel punt). Hij blijft verantwoordelijk als hij zijn autorisatie aan een medewerker overdraagt. Identiteitsfraude is het huidige schrikbeeld in security land. Toegang krijgen tot de gegevens via identiteitsfraude is zeer reëel, bewust of onbewust.
Is zorgverlener ook systeembeheerder?
Het systeem van de zorgverlener is onderdeel van het landelijke netwerk en de informatie wordt via het LSP beschikbaar gesteld. Omgekeerd geldt dat het systeem van de zorgverlener direct gekoppeld is aan het LSP. De zorgverlener krijgt de taak om zijn eigen systeem te beveiligen. Dit is zeer bedenkelijk. Een zorgverlener moet optimale zorg bieden en niet de taak toebedeeld krijgen van systeembeheerder in een landelijk gedistribueerd netwerk. Het scheelt de overheid kosten voor een centrale database, dat wel.
Hoe zinvol is het EPD
Is er onderzoek gedaan naar de zin van het landelijk EPD. En is dit een rechtvaardiging om zoveel privacy gevoelige informatie op te slaan met landelijke toegang. Er zijn medici die hier hun twijfels bij hebben.
Uiteindelijk zal er onrechtmatig toegang verkregen worden tot de gegevens. Mag de overheid dit risico lopen met onze privacy.
Laten we hopen dat de eerste kamer beter nadenkt over de zin van landelijke toegang tot privacy informatie en de beveiliging als sluitstuk van het project. Security zou uitgangspunt behoren te zijn.
Hans Doornbosch, oprichter en directeur Pinewood
Impactanalyses Nictiz n.a.v. expertdiscussies in Eerste Kamer http://ht.ly/1M5Bf