In een reeks verschillende opiniebijdragen behandel ik de komende tijd verschillende facetten van het EPD (Elektronisch Patiëntendossier). In deze bijdrage ga ik in op twee andere interessante modules van het LSP: de autorisatiemodule (AUT) en de logmodule (LOG).
De autorisatieprofielen (APF) zijn niet simpel. Wie mag wat wanneer opvragen in welke functie en in welke hoedanigheid wat ook nog per moment kan veranderen. En aangezien met behulp van het opvragingslog de situatie in het verleden te reconstrueren moet zijn, dient elke wijziging bijgehouden te worden. In de eerste fase wordt het autorisatieprofiel aangepast door een centrale verwerker, later moet dat door de burger zelf online kunnen gebeuren. De complexiteit doet mij vermoeden dat het beheer daarvan niet zo snel bij de burger zal komen te liggen. Ook vanwege het integriteitsrisico, omdat de potentie voor een aanval via dit pad waarschijnlijk groot is. De burger heeft hier namelijk rechtstreeks invloed op het systeem en als het identificatieproces om zeep geholpen kan worden, is de volgende stap van het creëren van een complete chaos in de autorisatieprofielen niet ondenkbaar. Herstel zal in verband met de vereiste consistentie niet zo snel kunnen, maar de beschikbaarheid is cruciaal. Ik kan mij voorstellen dat er momenten zullen zijn dat het APF (tijdelijk) buiten werking wordt gezet met als resultaat dat de burger op dat moment de controle over z'n privacy rond het EPD volledig kwijt is.
Als we de complexiteit van de het APF gehad hebben, komen we bij een graadje erger: de logging (LOG) en daarbij vooral de eis tot reconstructie. Hier wordt het duidelijk dat de keuze van een gedistribueerd systeem een enorme complexiteit met zich meebrengt waardoor de integriteit van de data misschien nog wel bij te houden is, maar de integriteit en volledigheid van de logging en daarmee de reconstrueerbaarheid zou net een brug te ver kunnen zijn.
De logging van opvragingen ligt bij het LSP en dat lijkt dus eenvoudig, maar de logging binnen het LSP mag uitsluitend op het niveau van transactie van informatiesoorten, dus zonder de inhoud van de transactie. Een systeemeis is namelijk dat er centraal geen medische informatie wordt vastgelegd (en dus ook geen logs waarin die informatie terug te vinden is) en toch moet dat op een of andere manier gelogd worden. De gekozen oplossing is dat de inhoudelijke logging gebeurt bij de betreffende GBZ's (zorgaanbieder) lokaal. Dat vereist wel een systeem dat de logtransacties consistent houdt omdat anders de integriteit van de reconstucties in gevaar komt.
Daarnaast worden de UZI-certificaten beheerd door het CIBG. Daar wordt dus gelogd wie wanneer welk geldig certificaat had. Dus als ik een reconstructie wil maken van wie welke wijziging wanneer met welke rechten heeft gedaan, dan heb ik te maken met drie logsystemen die op verschillende systemen staan en door verschillende partijen worden onderhouden.
Ik ben geen flexibiliteit tegen gekomen in de eis tot reconstructie (het enige was de vast te stellen horizon, tot hoe ver moet je terug kunnen) dus het log moet sluitend zijn (en terecht want anders heb je een juridisch probleem). Kortom, dat deel van het systeem lijkt mij zo gevoelig dat een aanval daarop de hele integriteit van de reconstructies (en daarmee een cruciale functie voor de privacy borging van het Klink-EPD) onderuit kan halen. Als dat zo is, dan is het een aantrekkelijk doelwit.
Om een indruk te geven van het logsysteem hierbij een diagram die in de architectuurdocumentatie te vinden is. Daar wordt de logging van de Certificate Authority achterwege gelaten aangezien het in het diagram om de registratie en niet om een juridisch complete reconstructie gaat.
Nadat ik deze drie subsystemen heb bekeken heb ik gezien dat het ‘simpel ogende' LSP complexer is dan het lijkt. Als je je wat gaat verdiepen, dan worden er zo op het eerste gezicht uitdagende constructies zichtbaar. Als je dan ook nog meeneemt dat straks de burger opvragingen kan doen van het eigen dossier, maar ook de autorisatietabel naar believen kan aanpassen, dan is de uitdaging compleet. Ik ben erg benieuwd welke hackers er zijn ingehuurd bij het evalueren van deze architectuur, want zeker dit deelsysteem roept om diepgaande analyses.
De laatste twee artikelen behandelden drie belangrijke componenten van het Landelijk Schakelpunt. Identificatie is een erg belangrijk aspect in de zorg dat opvragingen uitsluitend worden gedaan door geautoriseerde mensen. Dat is gekoppeld aan identificatie met de UZI-pas. Dat onderwerp wordt het thema van het volgend artikel.
Serie EPD
In een serie van negen delen behandelt Computable-expert Bernhard van der Feen van Microsoft verschillende facetten van het Elektronisch Patiëntendossier (EPD). Dit deel gaat over Het Landelijk Schakelpunt en of het een knooppunt of knelpunt is (deel 2). Eerder verschenen delen:
1 – De keerzijde van de EPD-brochure
2 – Inleiding van het Klink-EPD
3 – De architectuur van het Nederlands EPD
4 – Het Landelijk Schakelpunt, knooppunt of knelpunt?
Reeds verschenen andere delen:
6 – De UZI-pas, wondermiddel of schijnveiligheid?
Hierna volgen nog:
7 – Discussie rond de veiligheid van het EPD (verschijning 12 mrt. ‘09)
8 – De volgende patiënt, het GBZ (verschijning 16 mrt. ‘09)
9 – Alternatieve benadering van het EPD (verschijning 19 mrt. ‘09)
Relevante links
– Ministerie van VWS, onderwerp EPD
– www.infoepd.nl (informatiepunt BSN in zorg en landelijk EPD)
– www.nictiz.nl (kenniscentrum ICT in de zorg)
– Heel veel downloads
– Verslag van NOVA (15 januari 2009)
– Bezorgde uitingen over het EPD
– Bezorgde huisartsen
– Brochure EPD
– Informatiesysteemarchitectuur Aorta
– Abonnee van het UZI-register, en dan?
Ha das mooi, door wie is dit systeem eigenlijk gemaakt. Enige tijd geleden heb ik daar iets over gelezen, het was een net nieuwe directeur die vol trots de media opzocht om dit systeem de hemel in te prijzen. Is er iemand die mij kan uitleggen waarom we niet gekeken hebben naar onze buurlanden (dit draait daar al enige tijd). Moet dit LSP monster nu weer opnieuw gemaakt worden, ook aardig is dat men verwacht dat ik daar mijn ziekte patroon op plaats. Is een public web pagina niet goedkoper, iets waar iedereen toegang toe heeft ?
leg dit nu eens uit.
@Architectuur:
Ik moet – als (technische beta) – toegeven dat deze serie een van de weining kwalitatieve goede artikelen zijn die hier gepubliseerd worden. Het geeft ons allen – als techneuten – in kijkje in de keuken van de techniek achter de schermen die gebruikt word om het EPD systeem uit te rollen.
Als VRIJE? burger – dus als (aplha) – zie ik in deze EPD serie – een goed gepland “technologisch media offensief” voor ons als lezers door de partijen achter het EPD die belang hebben bij haar invoering.
“Als we op Computable maar lekker veel informatie geven over de INHOUD van het systeem, word daar de media aandacht ook NAAR AFGELEID” is de verborgen boodschap. En zolang mensen afgeleid zijn door de media naar een plek waar hun aandacht geen kwaad kan voor het EPD is iedereen heppy, en kan de invoering ervan, zonder al te veel weerstan gewoon doorgedrukt worden!
Maar.. wanneer je ZELF gaat nadenken en DOOR dit verhaal heen leest (je breekt dus bewust uit het mediacircus-microsoft-windows) van het venster waarbinnen men je aandacht probeert te vangen, Hoe kijk je dan aan tegen het EPD?
VRAAG, OEFENING:
Verplaats je aandacht eens naar HET OOGPUNT van de ALLE BELANGHEBBENDE PARTIJEN achter het EPD:
– Het Koningshuis
– De Regering /
– De Lokale Overheden
– Ziektekosten verzekeringen maatschappijen
– Ziekenhuisen, Apotheken,
– Het klassieke medische “geneestkunst” circuit
– De Pharmaceutische industrie
– Werkgevers
–
Kijk dan nogmaals naar een EPD en wat JIJ vanuit dat oogpunt ermee zou kunnen gaan doen. Laat hierbij rustig je eigen donkere kant eens aan het woord! Laat hierbij al je innerlijke beschaving eens varen voor een paar minuten….
IK heb dit reeds gedaan en hieronder staat een gedeelte van een lijstje van de mogelijkheiden die een EPD mij zou kunnen bieden, kijkend door de ogen van de EPD belanghebbenden.
[WARNING – niet schrikken als je verder leest]
1. Dataminings facility door overheid:
Als je weet hoe gezond iemand NU is, kun je
– zijn levensverwachting uitrekenen aan de hand van statestieken van ziektebeelden
– zijn gezondheid beinvloeden (via voedsel, eten, drinkwater, gsm straling)
2. Dataminings facility door verzekeraars:
Als je weet hoe gezond iemand NU is, kun je
– risicio berekeningen uitvoeren m.b.t. premies
– mensen weigeren om dat ze JOUW strak veel te veel kosten op gaan leveren
– chronisch zieken gaan afknijpen als verzekerings risico
3. Dataminings facility door werkgevers:
Als je weet hoe gezond iemand NU is, kun je uitrekenen
– hoelang iemand “gezond meegaat in je bedrijf”
– hem ontslaat met een smoes, voordat ie jouw ziektenkosten gaat kosten
– kijken semi-realtime (na ieder bezoek aan een doktor)…hoever je ‘m nog verder kunt belasten op de werkvloer, voordat iemand bezwijkt.
Dit zijn slechts een paar ideetjes die ik hier publiceer op eigen persoonlijke titel, uit mijn eigen geest.
Maar bedenk wel.. als IK het kan bedenken, kunnen anderen – met minder goede bedoelingen het ook!
Dus om de rest van de lezers niet verder af te schrikken, bewust te maken.
Onder een van de volgende artikelen in deze reeks komt een link naar mijn eigen website. Hier kun je dan de rest van het verhaal lezen wat er MOGELIJK gedaan kan worden als een EPD ingevoerd is, en de nederlandse bevolking is afgericht om haar gezondheidsdata WET en DWANGMATIG af te geven aan de overheid.
Dit hele EPD verhaal doet me ook denken aan een artikel online wat ik hier gelezen het, wat niet van mijzelf is.
http://huizen.daxis.nl/~henkt/holocaust-facts.html
Het gaat over de duistere kant van IBM, die in WOII de NAZIES van computers heeft voorzien die, gegeven de hoeveelheid lichaamsgewicht en wat andere kenmerken m.b.t. joodse krijgsgevangen, precies kon uitrekenen hoelang iemand nog als werkslaaf te gebruiken was in de concentratiekampen voordat ie strief!!!.
Besef je eens, dat deze ict-technologie de kans heeft gekregen om bijna 60 jaar doorontwikkeld te worden. Wat denk je dan “de belanghebbende partijen” nu – ann0 2009 – kunnen UITREKENEN met alle data die opgeslagen gaat worden in het EPD????? Waar ze NIETS voor hoeven te doen, waartoe ze straks gratis toegang toe hebben ondanks alle PUBLIEKE! politieke debatten hierover???
Zeker weten dat deze kant van het EPD in de volgende reeks NIET belicht gaat worden. En er zijn nu a wetten in de maak (sinds 1960!) die globaal aan het regelen zijn (op VN, EU nivo) hoe jij TE ETEN KUNT KRIJGEN -> Google op CODEX ALIMENTARIS en wake the f**** up allemaal..
De overheid (big brother, monsate) bepaald straks ook de kwaliteit van jouw eerste levensbehoefte genaamd VOEDSEL!!! En het EPD is in werkelijkheid een gezondheids feedback database, die hun inzicht geven hoever jij nog uit te persen bent als loonslaaf!
WOII is happening all over again (achter de schermen), alleen nu met de gehele Nederlandse Bevolking als labrat voor de overheid en pharma industrie!
Free health and food for everyone!
Dat schijnt een basisrecht te zijn van ieder hard werkend mens die onder de wet leeft toch? of stiekum helemaal niet.