Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Beveiliging EPD schiet ernstig tekort

zaterdag 27 maart 2010, 17:47 door Redactie, 11 reacties

Onderzoek van de Universiteit van Amsterdam wijst uit dat de beveiliging van het Elektronisch Patiëntendossier ernstig tekort schiet. Zo wordt onvoldoende rekening gehouden met inbraken in zorginformatiesystemen of het Landelijk Schakelpunt (LSP). Bovendien is de mandatering waarmee artsen hun medewerkers namens henzelf toegang geven tot het EPD, erg eenvoudig te misbruiken om toegang te krijgen tot een dossier. Informaticus Guido van 't Noordende onderzocht de beveiligingsarchitectuur van het EPD. Hij komt tot de conclusie dat de beveiliging en daarmee de confidentialiteit en privacy van patiëntgegevens in het EPD, niet afdoende gewaarborgd is.

Voor het opvragen van een dossier hebben zorgverleners zoals artsen een eigen smartcard (‘UZI-pas') waarmee ze toegang krijgen bij het LSP. Dit schakelpunt zoekt vervolgens het dossier op bij de informatiesystemen die de EPD's beheren. Van 't Noordende stelt dat in het geval van een inbraak in het LSP of de ziekenhuissystemen die de mandatering regelen, de beveiliging onvoldoende is.

Inzage
Zorgverleners kunnen andere medewerkers toestemming geven voor toegang tot het LSP en dossiers. Maar het LSP heeft geen mogelijkheden om te controleren dat de medewerker echt gemandateerd is. Er wordt geen bewijs meegestuurd op het moment dat de medewerker namens de arts iets opvraagt. Ziekenhuizen hebben een systeem dat mandatering regelt, maar die zouden ook aangevallen kunnen worden door hackers.

Een ander probleem is dat een patiënt moet aangeven dat hij of zij een behandelrelatie heeft met de arts voordat die het EPD van die persoon kan raadplegen. Deze toestemming is, net als de toestemming die de arts aan de medewerker geeft voor het opvragen van een dossier, decentraal geregeld en niet zichtbaar voor het LSP, dat de toestemming dus niet kan controleren.

Van 't Noordende ziet ook een probleem bij een inbraak in het LSP, want op dit moment kan de aanvaller dan in feite alle patiëntendossiers opvragen. Er kan decentraal (bij de systemen die de opgevraagde dossiers bevatten) niet gezien worden of er een zorgverlener achter de aanvraag zit. De protocollen bij het LSP geven hiervoor niet voldoende veiligheid. Inbreken in het LSP is niet eenvoudig, maar volgens de onderzoeker ook niet uit te sluiten. Dat ziekenhuissystemen te hacken zijn is in het verleden al aangetoond.

Smartcard
Verder waarschuwt Van 't Noordende dat een patiënt zijn of haar EPD wel kan inzien om bijvoorbeeld ongewenste te dingen te verwijderen, maar dat die bewuste gegevens nooit helemaal verdwijnen. Het LSP bewaart de gewiste gegevens namelijk voor een bepaalde periode (reconstructiehorizon).

De onderzoeker stelt daarom dat patiënten zeggenschap moeten krijgen over welke informatie in hun EPD wordt opgeslagen. Een aanvullende oplossing is dat iedere patiënt een smartcard krijgt. Dan wordt de verwijderde informatie versleuteld waardoor alleen de patiënt ooit nog bij de gewiste informatie kan. Op die manier is verwijderde informatie niet meer terug te vinden bij een inbraak in het LSP.

Gerichte aanval gebruikt WK voetbal als lokaas
Schoolcomputers zo lek als een mandje
Reacties (11)
27-03-2010, 18:26 door [Account Verwijderd]
[Verwijderd]
27-03-2010, 21:08 door Anoniem
Schadalig. Het wachen is dus op een zorgverlener die wat bij wil verdienen en de informatie doorverkoopt aan een verzekeraar.....
27-03-2010, 22:34 door Maartenh
Eigenlijk is dit al het zoveelste project waarbij de "staat" is vergeten de veiligheid te toetsen.
Daarom zou het goed zijn als er een onafhankelijke onderzoekscommissie komt die al deze projecten onder de loep neemt. In deze commissie moeten onder anderen beveiliging experts en cryptologen komen.
28-03-2010, 11:36 door Anoniem
En er moet een duidelijke regel komen (liefst opgenomen in de (grond)wet) dat dit soort projecten niet uitgevoerd mogen worden TENZIJ de veiligheid en privacy van de burger van te voren al goed geregeld zijn. Pas als die toesing doorstaan is, mag het project zelfs maar gestart worden.
En omdat ministers er nog al eens een handje naar hebben om de wet aan de kant te schuiven, zal dit waarschijnlijk in de grondwet verankerd moeten worden. Belachelijk maar waar.

Of anders gezegd: het probleem zijn niet dit soort projecten, maar de personen die ze bedenken en er politiek vervolgens doorheen duwen.
PICNIC (Problem in chair, not in computer)
28-03-2010, 12:06 door wizzkizz
Door unaniem: Wat arrogantie speelt daar zeg. Comfort wordt boven beveiliging gekozen.
Beetje kort door de bocht, want dat is in vrijwel alle IT-projecten het geval. Altijd moet er gezocht worden naar een balans tussen veiligheid aan de ene kant en gebruikersgemak aan de andere kant. Deze twee vereisten staan namelijk lijnrecht tegenover elkaar. Als je het systeem "heel erg veilig" wilt maken, kan het daardoor wel eens onwerkzaam worden en dan heb je de doelstelling natuurlijk ook niet bereikt.
29-03-2010, 08:58 door Anoniem
Surprise, surprise..... Goh, dat had ik nou nooit verwacht. Gelukkig heb ik me dit niet door de strot laten duwen. Had niemand dit zien aankomen dan ?
29-03-2010, 10:45 door Anoniem
Wat ook vreemd is dat je wel toegang kan verlenen aan een zorgverlener tot je gegevens maar dat er geen mogelijkheid geboden wordt deze toestemming ook in te trekken als jij dat wilt.
29-03-2010, 11:07 door Anoniem
@wizzkizz (veiligheid en gebruikersgemak staan lijnrecht tegenover elkaar)


Nee. Veiligheid is onderdeel van gebruiksgemak. Alleen ICT'ers hebben het idee dat veiligheid een gevaar is voor het gebruiksgemak. Een auto heeft voor de veiligheid een stevige constructie. Een kast met documenten kan op slot. Een liftdeur gaat dicht voordat de lift in beweging komt. Al deze veiligheid is geen gevaar voor het gebruiksgemak.

Dat kan omdat veiligheid als eis bij het ontwerp wordt meegenomen.


Dus vanaf het moment dat gebruiksgemak en veiligheid niet als tegenpolen worden gezien, kan een bruikbaar systeem ingevoerd worden.

Tot die tijd wordt een half product afgeleverd. Gek dat we een lift zonder deuren niet accepteren, en een patientensysteem zonder deuren wel.


ArnoF
30-03-2010, 16:20 door Anoniem
@Anoniem (ArnoF)

Helaas gaan je stelling en je voorbeelden niet goed (of zelfs gewoon niet) op.

De constructie van een auto is niet stevig, hoogstends stevig genoeg om niet al te veel te hinderen bij het rijden. Als de constructie echt stevig zou zijn, zou de auto als een baksteen op de weg liggen. Wat ten koste van het gebruiksgemak gaat (minder snelheid, minder plezier van het rijden)

Ook de kast die op slot kan is een slechte vergelijking, want dat slot hindert het gebruiksgemak aangezien je eerst het slot moet losmaken voordat je in de kast kunt. En hoe zwaarder het slot (lees: hoe veiliger), hoe meer moeite het kost om het slot open te maken (lees hoe minder comfort)

En de liftdeur is ook al alleen een hinder voor het gebruiksgemak, aangezien er bijna 5 seconden niks gebeurt voordat de deuren dicht gaan.

Zolang mensen denken dat ze van beide wallen kunnen eten, zal ieder systeem afgekraakt worden om één of andere reden.

Wat niet wegneemt dat de veiligheids-aspecten verbeterd kunnen worden ten behoeve van het gemak (zoals een electronisch slot op de kast die opengaat als een geauthoriseerd persoon dichtbij komt, of een liftdeur die na slechts 1 sec dicht gaat omdat er bijvoorbeeld niemand in de gang is)
07-04-2010, 15:59 door [Account Verwijderd]
[Verwijderd]
14-04-2010, 15:41 door Anoniem
Inderdaad...
Typische ambtenarenreactie.
Als er een probleem is, dan verbied je het probleem, toch...?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Wat baart jou momenteel meer zorgen, traditionele criminaliteit of cybercrime?

11 reacties
Aantal stemmen: 659
Image
De verkiezingsprogramma's doorgelicht: Deel 1 cybersecurity
25-01-2021 door Redactie

Op woensdag 17 maart mogen alle Nederlanders van achttien jaar en ouder weer naar de stembus voor de Tweede Kamerverkiezingen. ...

29 reacties
Lees meer
De verkiezingsprogramma's doorgelicht: Deel 2 privacy
29-01-2021 door Redactie

Nog een aantal weken en dan gaat Nederland weer naar de stembus om een nieuwe Tweede Kamer te kiezen. In aanloop naar de ...

20 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 3 Big Tech
14-02-2021 door Redactie

Het aftellen naar de verkiezingen is begonnen. Nog vier weken en dan mag Nederland in de stemlokalen en per post bepalen wie de ...

9 reacties
Lees meer
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter