image

Experts: Elektronisch patiëntendossier onveilig

vrijdag 27 november 2009, 10:58 door Redactie, 21 reacties

Het elektronisch patiëntendossier is slecht beveiligd, zo blijkt uit de notulen van ICT-bedrijf Nictiz dat het EPD invoert en waar RTL Nieuws gisteren over berichtte. Volgens deskundigen gaan ziekenhuizen hun computers niet extra tegen hackers beveiligen en gaat minister Klink hier ook niets aan doen. Politici vragen zich dan ook af of het EPD er wel moet komen. In de notulen wordt de vraag gesteld of de beveiliging van computers in ziekenhuizen wel voldoende is. "Er wordt niet gevraagd om van binnenuit iets te doen en dit wordt dan ook niet gedaan. Het systeem wordt dus nauwelijks intern beveiligd", zo luidt het antwoord.

Bart Jacobs, Hoogleraar computerbeveiliging van de Radboud Universiteit, noemt de bekendmaking schokkend. "Uit verschillende onderzoeken blijkt dat er in die sector toch vrij rommelig met dit soort gegevens omgegaan wordt. Het is vrij makkelijk om een ziekenhuis binnen te lopen. Daar staan computers vaak de hele dag open."

Ook huisartsen hebben hun twijfels over het EPD. "Je moet zoveel dingen afschermen om alleen de relevante dingen beschikbaar te krijgen. Dat ik denk, daar zijn we niet zorgvuldig en precies genoeg voor, dat gaat nooit goed." Volgen voorstanders is de beveiliging wel goed geregeld, omdat dit via een pasjessysteem gebeurt. Op dit moment hebben 20.000 zorgverleners zo'n pas, dat worden er een half miljoen. Jacobs merkt op dat zo'n pas met pincode voor goede beveiliging kan zorgen, als die ook zorgvuldig gebruikt wordt. "Als een pasje met bijbehorende pincode kwijtraakt, dan liggen mogelijk alle dossiers in Nederland op straat." Ook de Eerste Kamer heeft grote twijfels over het EPD en noemt het een "waanzinnig avontuur". Volgende maand beslist de Eerste Kamer of het EPD er komt of niet.

Reacties (21)
27-11-2009, 11:10 door Anoniem
Oud nieuws toch? Het is al jaren bekend dat zorginstellingen niet of nauwelijks aan de CVIB voldoen of ook maar überhaupt iets van geïmplementeerd hebben. Bij ieder rapport erover ontstaan er weer verbaasde reacties bij de heren en dames politici. Volgens mij moet het maar gewoon eens gebeuren, al die patientendossiers op straat. Zou er dan iets veranderen of slaan ze dan weer door en krijgen we inderdaad allemaal ons BSN op de onderarm getatoeëerd?
27-11-2009, 11:17 door awesselius
Het is goed als dit soort 'notulen' de pers bereiken. Echter is het voldoende? Ik denk van niet. Want het gelobby van de pharmaceutische industrie liegt er niet om en van de verzekeraars ook niet. Er is heel wat geld gemoeid met het schenden van privacy door jan en alleman die een boterham met dikker beleg wil hebben.

Het kwijtraken is nog niet zo'n punt. Er zijn ook verhalen van katvangers genoeg in andere sectoren. Of inbrekers die wel het e.e.a. weten te bemachtigen. Zodra de zware criminaliteit hier lucht van gaat krijgen (dat is een kwestie van tijd), dan liggen de dossiers voor het oprapen (kijk maar naar creditcard gegevens).

Al met al, hangt er een erg groot risico boven het gebruik van het EPD. Een risico dat niet eens fysiek is en waar het EPD wel voor bedoeld is om een fysiek risico weg te nemen. De kans op misbruik van mijn EPD (als die er al komt) is groter dan het nut van het toegang hebben tot mijn medische verleden voor hulpverleners. Want het blijkt dat niet iedereen het kan interpreteren of kan bijhouden.

- Unomi -
27-11-2009, 11:27 door Anoniem
Ik heb er ook geen vertrouwen in. Naar verwachting krijgen één op de vijf Nederlanders toegang tot het EPD.
En de buurvrouw maar loeren in de dossiers van de hele straat.
Fuck Big Brother (R)overheid. Wat let je om ook je EPD te blokkeren?
27-11-2009, 11:33 door Anoniem
Dit is het gevaarlijkste avontuur dat we in nederland tot nu toe zijn begonnen, bijna alle lezers van security.nl en ingelezen experts beseffen hoe onveilig dit verhaal is. Het meest schokkende (en niet helemaal onverwacht) is de ongeïntreseerde houding van ziekenhuizen, verantwoordelijke politici en zo verder. Laten we hopen dat de Eerste Kamer dit verhaal doorprikt. De schaal van toegang kan niet anders dan een ramp veroorzaken.

enkele alternatieven:

1. zorgpas (met intern geheugen) met pincode aan de patient verschaffen.
2. behandelend arts moet code (en machtiging hoofdstuk relevante gegevens) geven bij doorverwijzing aan nieuw behandelend arts
3. wisselende codes
4. halve hardware sleutels, patient moet pas invoeren (met eigen code) en behandelend arts ook. Pas dan toegang tot gegevens.

Kraak maar af, of vul maar aan. Hopelijk wordt dit hogerop gelezen.

Het Orakel
27-11-2009, 11:46 door awesselius
Door Anoniem:
4. halve hardware sleutels, patient moet pas invoeren (met eigen code) en behandelend arts ook. Pas dan toegang tot gegevens.

......

Het Orakel

Dit zou mijn voorkeur hebben..... Als ik al behoefte heb aan geneuzel in mijn medische gegevens.

- Unomi -
27-11-2009, 12:04 door awesselius
Door Anoniem: Zou er dan iets veranderen of slaan ze dan weer door en krijgen we inderdaad allemaal ons BSN op de onderarm getatoeëerd?

Als je ziet hoe vaak het principe van Hegel wordt toegepast binnen de Westerse politiek, zou me dat niets verbazen eerlijk gezegd.

- Unomi -
27-11-2009, 12:05 door Anoniem
Door Anoniem: enkele alternatieven:

1. zorgpas (met intern geheugen) met pincode aan de patient verschaffen.
2. behandelend arts moet code (en machtiging hoofdstuk relevante gegevens) geven bij doorverwijzing aan nieuw behandelend arts
3. wisselende codes
4. halve hardware sleutels, patient moet pas invoeren (met eigen code) en behandelend arts ook. Pas dan toegang tot gegevens.
Ik vind ze wel aardig, hoewel er natuurlijk altijd op elk alternatief wel iets te vinden is. Maar op zich altijd het overwegen waard.

Waar je wel tegenaan loopt, is dat dit soort gegevens soms nodig zijn voor noodgevallen. De patient is misschien bewusteloos, is zijn deel van de sleutel kwijt, of is z'n pincode kwijt, terwijl hij misschien wel levensgevaarlijk gewond is, en er toch echt inzage van zijn medische historie nodig is. Als patient ben je het daar dan vast ook wel mee eens.

Zelf werk ik niet in de gezondheidszorg, maar er laatst wel eens een lezing over gehoord op een congres. Daar werd duidelijk dat als er een hoogste prioriteit is qua CIA (Confidentiality, Integrity, Availability), dan is dat toch zeker de beschikbaarheid van de data (in ieder geval tijdens dit soort noodsituaties). In andere industrieen kan dat wel eens anders liggen.

Maar goed, dat neemt absoluut niet weg dat privacy en correctheid van de data natuurlijk ook heel belangrijk zijn en blijven, vooral in de periode dat je niet levensgevaarlijk ziek of gewond bent...

Lastig probleem, zeker als je bedenkt dat je dossier nu in veel gevallen ook al regioneel gedeeld wordt door hulpverleners in de gezondheidszorg. Kortom, nu is het ook al niet veel beter, volgens mij...
27-11-2009, 12:23 door Spiff has left the building
Let op -

Denk er wel aan dat er ook nu al Regionale EPD systemen bestaan,
waar ook veel mee mis is.
Zie bijvoorbeeld:
http://www.cbpweb.nl/documenten/pb_20090527_reg_epd.shtml
http://webwereld.nl/nieuws/58748/regionaal-epd-schendt-privacywet.html

Dat de beroepsorganisaties in de huisartsenzorg voorstander zijn van uitbreiding van regionale EPD, ondanks de privacyproblemen, dat is mijns inziens zorgwekkend.
http://www.volkskrant.nl/binnenland/article1321192.ece/Centraal_dossier_patienten_uitgesteld


Heb je bezwaar gemaakt tegen uitwisseling van je gegevens via een landelijk EPD?
Vraag je huisartspraktijk dan eens of je gegevens mogelijk al via een regionaal EPD worden uitgewisseld.
27-11-2009, 12:57 door spatieman
goh.
no shit.
de zelfde overheid die de EPD erdoorheen gewurgt hebt, zegt dat het onveilig is....
27-11-2009, 13:10 door Preddie
Buiten de burger, is ook een huisarts niet blij met het systeem.

Het feit dat straks hij in de gegeven van mede artsen kan kijken en andersom zou een bedreiging kunnen zijn voor de klanten kring van de arts.

Daarnaast heb je nog met een andere feit te maken en dat is interpretatie. Een geschreven stuk tekst kan door mensen op verschillende manieren gelezen worden met verschillende emoties. Wanneer een arts iets in het EDP schrijft kan dit totaal andere opgevat worden dan de bedoeling is. De tekst die vervolgens in het EPD staat krijg je er met geen mogelijkheid uit, hoe ga je dat recht laten zetten ?
27-11-2009, 13:17 door awesselius
In theorie is het de bedoeling dat de overheid het het beste voor heeft met het volk dat zij vertegenwoordigen. Ook zou je dan verwachten dat ze daarvoor de beste middelen en expertise inschakelen om tot een zo effectief mogelijk resultaat te komen.

Met dit uitgangspunt, namelijk een effectief mogelijk resultaat, kun je destileren wie er baat bij heeft. Zo niet, dan zouden ze heel snel naar de tekentafel terug gaan, ze zouden dan gefaald hebben. Maar juist omdat het resultaat effectief gunstig is voor een bepaalde doelgroep (who gains), want zo zorgvuldig zijn ze helaas wel, ruikt het naar een heel vies systeem. En helaas past dit sjabloon niet enkel op het EPD......(OV-chipkaart anyone?).

- Unomi -
27-11-2009, 14:11 door Anoniem
"Het elektronisch patiëntendossier is slechts beveiligd" ???

Slechts beveiligd tegen wat?
27-11-2009, 14:18 door Anoniem
Door Un0mi: In theorie is het de bedoeling dat de overheid het het beste voor heeft met het volk dat zij vertegenwoordigen. Ook zou je dan verwachten dat ze daarvoor de beste middelen en expertise inschakelen om tot een zo effectief mogelijk resultaat te komen.

Met dit uitgangspunt, namelijk een effectief mogelijk resultaat, kun je destileren wie er baat bij heeft. Zo niet, dan zouden ze heel snel naar de tekentafel terug gaan, ze zouden dan gefaald hebben. Maar juist omdat het resultaat effectief gunstig is voor een bepaalde doelgroep (who gains), want zo zorgvuldig zijn ze helaas wel, ruikt het naar een heel vies systeem. En helaas past dit sjabloon niet enkel op het EPD......(OV-chipkaart anyone?).

- Unomi -

onveilig:
EPD: toch doordrukken ondanks etc...............
OVchipkaart: toch doordrukken ondanks etc...............
paspoort met vingerafdrukken: toch doordrukken ondanks etc...............
BSNummer toch doordrukken ondanks etc...............
Camilometerheffing :toch doordrukken ondanks etc................

Controle van de burger!!!!!!!!!!!!!!
27-11-2009, 19:28 door [Account Verwijderd]
[Verwijderd]
27-11-2009, 19:31 door [Account Verwijderd]
[Verwijderd]
27-11-2009, 20:42 door Anoniem
De overheid heeft icm met uw BSN directe inzage in uw dossier ...

Kleine wijziging of verandering medicatie maakt dat zij uw uitkering niet meer hoeven uit te keren.
Kassa voor de overheid en uw nabestaanden gaan uit van een natuurlijke dood.
Ook kunnen kritische Nederlanders op deze manier 'stilletjes' verdwijnen.

Welterusten Nederland.
27-11-2009, 22:54 door cryptomannetje
Een arts heeft een medisch beroepsgeheim. Hoe denkt een arts hieraan te kunnen voldoen zonder dat er waarborgen zijn voor adequate beveiliging van het patientendossier? Volgens mij kan je een arts die zijn beroepsgeheim schendt voor het tuchtcollege slepen. Hij/zij mag zich dan niet kunnen beroepen op het EPD en de slechte beveiliging daarvan. Hij/zij is daar namelijk persoonlijk voor verantwoordelijk. Ik ben geen jurist, wellicht dat iemand op dit forum met een meer juridsche achtergrond hier zijn/haar licht eens over zou kunnen laten schijnen. Als ik arts zou zijn, zou ik me zorgen maken hoe ik aan mijn beroepsgeheim kan blijven voldoen. Dit geldt echter ook al voor de huidige informatiesystemen bij huisartsen, doktersposten en natuurlijk ook de ziekenhuizen. Die wisselen onderling nu ook allerlei patienteninformatie uit. Kortom het probleem is niet nieuw, maar wordt wel veel omvangrijker op deze manier met het EPD.
28-11-2009, 00:01 door Anoniem
Ik merk dat er hier vele experts zijn over de beveiliging van het EPD. Zou iemand mij uit de doeken kunnen doen hoe het EPD gaat werken, wat de beveiliging is (inclusief alle mogelijk rollen) en hoe het beter kan (ook in detail graag)?
28-11-2009, 03:09 door Anoniem
Vraagje voor wie het weet

Ik heb enkele maanden terug al bezwaar aangetekend om opgenomen te worden in het EPD, en hier ook een brief over
ontvangen.

Nu lees ik hier: "Volgende maand beslist de Eerste Kamer of het EPD er komt of niet."

Hoe zit het nu in elkaar ???

Staan er nu mensen al geregistreerd in een systeem dat er misschien helemaal niet gaat komen of misschien wel gaat komen ?
En wat gebeurd er met die gegevens [ als die als in dat systeem staan ] en het gaat straks niet door ?

Beetje raar naar mijn inziens, eerst iets opzetten, mensen al registreren, dan kijken of het hele systeem er nog wel gaat komen.
Maar goed, wie weet hoe het werkelijk in elkaar zit.

Zitten er hier mensen die er iets meer van weten, zonder maar wat te gaan roepen ?

bedankt
28-11-2009, 23:19 door ArjanDJ
Door Anoniem: Vraagje voor wie het weet

Ik heb enkele maanden terug al bezwaar aangetekend om opgenomen te worden in het EPD, en hier ook een brief over
ontvangen.

Nu lees ik hier: "Volgende maand beslist de Eerste Kamer of het EPD er komt of niet."

Hoe zit het nu in elkaar ???

Staan er nu mensen al geregistreerd in een systeem dat er misschien helemaal niet gaat komen of misschien wel gaat komen ?
En wat gebeurd er met die gegevens [ als die als in dat systeem staan ] en het gaat straks niet door ?

Beetje raar naar mijn inziens, eerst iets opzetten, mensen al registreren, dan kijken of het hele systeem er nog wel gaat komen.
Maar goed, wie weet hoe het werkelijk in elkaar zit.

Zitten er hier mensen die er iets meer van weten, zonder maar wat te gaan roepen ?

bedankt

Dit is inderdaad juridisch zeer dubieus, omdat er werk verricht wordt op basis van een wet die nog niet aangenomen is. Staatsrechtelijk is dit dan ook zeer onbehoorlijk. De gevolgen hiervan zullen pas zichtbaar zijn als de Eerste Kamer daadwerkelijk het voorstel afschiet. Dit laatste zou wat mij betreft wel passend en een duidelijk signaal naar de regering zijn dat dit niet de manier is waarop er met de Senaat (Eerste Kamer) omgegaan dient te worden,
01-12-2009, 10:54 door Anoniem
de beveiliging dat een patient zijn hardware moet aanbieden in de vorm van een pas, en zijn software in de vorm van een pincode is tegen het principe waarvoor het EPD is ontwikkeld.

Namelijk: als jij niet meer aanspreekbaar bent dat de artsen over je dossier beschikken.
Zodat ze antwoord krijgen op vragen als: waar ben je allergisch voor, wat is je medische verleden, welke medicijnen en hoeveelheden gebruik je.

Als je wel aanspreekbaar bent kun je het ze toch vertellen???
Dan heb je heel dat EPD en pinpasoplossingen niet nodig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.