Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Via LSP gedeelde patiëntgegevens niet end-to-end versleuteld

maandag 11 februari 2019, 14:23 door Redactie, 14 reacties

Patiëntgegevens die via het Landelijk Schakelpunt (LSP) worden gedeeld zijn niet end-to-end versleuteld, zo heeft minister Bruins voor Medische Zorg en Sport laten weten op vragen van de PvdD en SP. Het LSP is de infrastructuur voor het uitwisselen van vertrouwelijke medische patiëntgegevens.

Tijdens het Algemeen Overleg over Gegevensuitwisseling in de zorg stelde PvdD-Kamerlid Teunissen dat de data-uitwisseling tussen zorgverlener en patiënt, of zorgverleners onderling, van begin tot eind versleuteld zou moeten zijn. Het Kamerlid wilde van minister Bruins weten of het mogelijk is dat iemand tussen zorgverlener A en B, bijvoorbeeld de Amerikaanse operationeel beheerder CSC, inzage kan hebben in de medische gegevens van mensen.

Het Kamerlid vertelde dat er "geluiden" zijn dat de Amerikaanse beheerder CSC ertussen zou kunnen zitten. "Dit betekent dat gegevens die bij een zorgverlener liggen, weleens in handen van die beheerder kunnen komen. Dus het is cruciaal dat we weten of er momenteel sprake is van versleuteling. Zo niet, dan stelt mijn fractie voor om de NEN-normen aan te scherpen, zodat dit wel het geval is. Ik zou toch graag willen weten - misschien kan dit niet nu - of er sprake is van versleuteling", aldus Teunissen.

Ook werd de minister gevraagd of hij kon bevestigen dat medische gegevens met het LSP niet van zorgverlener tot zorgverlener versleuteld zijn. "Is hij bereid de NEN-normen die de veiligheid van gegevensuitwisseling moeten regelen op dit punt aan te scherpen?", aldus de vraag van het PvdD-Kamerlid. De minister laat nu weten dat er inderdaad geen end-to-end-encryptie wordt toegepast.

"Versleuteling is niet end-to-end, maar op de verbindingen. NEN-7512 schrijft geen end-to-end encryptie voor. Er zijn meerdere manieren om tot een sterke beveiliging te komen. De norm biedt die ruimte. De veiligheid is nu gewaarborgd via alle benodigde aanvullende maatregelen", aldus Bruins (pdf). Wel zal de minister het Nederlands Normalisatie Instituut (NEN) vragen of het nodig is om de normen hierover aan te passen.

Microsoft bevestigt privacy-update voor Office Pro Plus
Zwitserland verplicht publieke penetratietest voor digitaal stemmen
Reacties (14)
Reageer met quote
11-02-2019, 14:33 door Anoniem
Dat gegevens van Patiënten in een ander land dan Nederland ingelezen worden is allang bekend. Advies is geen gegevens verstrekken via LSP.
Reageer met quote
11-02-2019, 14:39 door Anoniem
Goh... het EPD... LSP... hoe het morgen ook heten mag is lek.
Je verwacht het niet he?
Reageer met quote
11-02-2019, 15:16 door Bitwiper
Als patiëntgegevens niet end-to-end versleuteld worden uitgewisseld (met fatsoenlijke ciphers en public key cryptografie voor authenticatie), kunnen we net zo goed fax-apparaten blijven gebruiken.
Reageer met quote
11-02-2019, 15:20 door Anoniem
Amateuristisch gedoe. Dit zou hoe dan ook met E2E encryptie opgezet moeten worden *ongeacht* of de NEN norm dat voorschrijft. Je mag best *beter* beveiligen dan de norm.
Reageer met quote
11-02-2019, 15:34 door Anoniem
Alle verbindingen van en naar het LSP zijn end-to-end versleuteld. VZVZ levert de dienstverlening op het LSP (waar VZVZ verantwoordelijke voor is in de zin van de AVG). Het LSP voegt berichten van verstrekte medicatie van afzonderlijke apotheken samen in een medicatie-overzicht. Daarvoor is het nodig dat de berichten tijdens de samenvoeging ontsleuteld zijn. Ten overvloede: het samengestelde medicatie-overzicht wordt versleuteld verstuurd naar de opvrager.
Reageer met quote
11-02-2019, 15:57 door Anoniem
Door Bitwiper: Als patiëntgegevens niet end-to-end versleuteld worden uitgewisseld (met fatsoenlijke ciphers en public key cryptografie voor authenticatie), kunnen we net zo goed fax-apparaten blijven gebruiken.
Fax apparaten vallen tenminste nog onder het telefoon en telegraaf geheim...
Reageer met quote
11-02-2019, 16:57 door Anoniem
Dat het Landelijk SchakelPunt geen end-to-end-encryptie heeft tussen aanvrager en ontvanger maar alleen tussen aanvrager en LSP en tussen LSP en brondocumenthouder was al in 2012 bekend bij het presenteren van het businessplan van VZVZ, dat het LSP beheert. Er werd namelijk een vertaalservice van berichten aangekondigd waarmee met data van het ene type bericht een ander gemaakt kon worden. Dat kan uitsluitend als het bericht binnen de LSP-computer onversleuteld aanwezig is. Deze bewindsman wist dat blijkbaar niet. Het verhaal dat het voldoet aan de NEN 7512 komt wat koddig bij wat thans onder veiligheidsexperts als noodzakelijk wordt beschreven. Blijkbaar is het toch ook in de ogen van Bruins niet veilig genoeg omdat hij het heeft over benodigde aanvullende maatregelen.
Reageer met quote
11-02-2019, 17:07 door Anoniem
Door Anoniem: Je mag best *beter* beveiligen dan de norm.

Helemaal mee eens. Maar dit geldt ook voor wettelijke normen voor bijvoorbeeld vervuiling. "We voldoen aan de wet/norm" hoor je dan. En daar mee zijn we goed bezig.
Dus niet per definitie, wie zegt dat de norm goed is en nog van deze tijd ook?

Beter dan de norm, wat voor norm dan ook. gaat dus noooooooit gebeuren.
Reageer met quote
11-02-2019, 17:14 door spatieman
sarcasme: niet zijken, de NSA wil simpelweg snel toegang tot de data hebben om medicatie aan te kunnen passen en de bevolking te kunnen uitrotten.
Reageer met quote
11-02-2019, 18:15 door Anoniem
Door Anoniem: Alle verbindingen van en naar het LSP zijn end-to-end versleuteld. VZVZ levert de dienstverlening op het LSP (waar VZVZ verantwoordelijke voor is in de zin van de AVG). Het LSP voegt berichten van verstrekte medicatie van afzonderlijke apotheken samen in een medicatie-overzicht. Daarvoor is het nodig dat de berichten tijdens de samenvoeging ontsleuteld zijn. Ten overvloede: het samengestelde medicatie-overzicht wordt versleuteld verstuurd naar de opvrager.

Hier worden versleutelde verbindingen en versleutelde inhoud door elkaar gehaald: versleutelde verbindingen verhinderen geen bewerken van inhoud (dan zou ik bijvoorbeeld niet eens dit commentaar kunnen invoeren want mijn browser praat HTTPS met security.nl). Versleutelde inhoud moet inderdaad ontsleuteld worden voordat het bewerkt (of samengevoegd, of zichtbaar gemaakt) kan worden.

Van de 3 voornaamste plekken waar je kunt versleutelen (connectie, content of disk) bestaat er gerede twijfel bij mevrouw Teunissen (en bij mij) over de *connectie*.
Reageer met quote
11-02-2019, 19:29 door Anoniem
Als er ook maar iemand op dit forum is die zich hier over verbaasd, dan zou mij dat verbazen.
Reageer met quote
12-02-2019, 09:52 door Anoniem
Door Anoniem:
Hier worden versleutelde verbindingen en versleutelde inhoud door elkaar gehaald: versleutelde verbindingen verhinderen geen bewerken van inhoud (dan zou ik bijvoorbeeld niet eens dit commentaar kunnen invoeren want mijn browser praat HTTPS met security.nl). Versleutelde inhoud moet inderdaad ontsleuteld worden voordat het bewerkt (of samengevoegd, of zichtbaar gemaakt) kan worden.

Van de 3 voornaamste plekken waar je kunt versleutelen (connectie, content of disk) bestaat er gerede twijfel bij mevrouw Teunissen (en bij mij) over de *connectie*.
Ik heb gehoord van encryptie op data-in-transit en op data-at-rest, maar encryptie op content is me nog niet bekend. Kun je hierover uitweiden?
Reageer met quote
12-02-2019, 13:21 door Anoniem
Door Anoniem:
Door Bitwiper: Als patiëntgegevens niet end-to-end versleuteld worden uitgewisseld (met fatsoenlijke ciphers en public key cryptografie voor authenticatie), kunnen we net zo goed fax-apparaten blijven gebruiken.
Fax apparaten vallen tenminste nog onder het telefoon en telegraaf geheim...

Faxen hangen tegenwoordig ook aan het IoT, ik zou er niet op rekenen. Ook niet op het briefgeheim. En wat boeit het nog?
Reageer met quote
13-02-2019, 07:21 door Anoniem
Door Anoniem:
Faxen hangen tegenwoordig ook aan het IoT, ik zou er niet op rekenen.
Licht off-topic ten aanzien van het artikel, maar wel interessant ten aanzien van de relatieve (on)veiligheid van fax-apparaten: Blik op de zaak door twee onderzoekers van Check Point - eerder ook op DEF CON 26.
https://media.ccc.de/v/35c3-9462-what_the_fax
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search

Hergebruik jij wachtwoorden?

16 reacties
Aantal stemmen: 1166
Google reset hergebruikte wachtwoorden van 110 miljoen mensen
05-02-2019 door Redactie

Google heeft de afgelopen twee jaar van meer dan 110 miljoen mensen het wachtwoord van het Google-account gereset omdat het om ...

19 reacties
Lees meer
Juridische vraag: Is de AVG van toepassing op het filmen van personen in een niet-openbare ruimte?
13-02-2019 door Arnoud Engelfriet

In 2013 blogde je over de vraag: Mag een cliënt de thuiszorg met een webcam filmen? Toen was een eenduidig antwoord met ja of ...

15 reacties
Lees meer
Google Chrome en privacy
13-02-2019 door Anoniem

dag, google chrome heb ik niet geinstalleerd vanwege de afstand die ik wil bewaren tot google. ik gebruik firefox. maar chrome ...

15 reacties
Lees meer
Ik wil stoppen met het gebruik van Whatsapp maar mijn vrienden-kennissen niet.
10-02-2019 door Anoniem

Beste Security vrienden, Ik zit met een dilemma die mij al een aantal jaren bezig houd. Ik heb mijzelf al meerden malen ...

34 reacties
Lees meer
Juridische vraag: Wanneer is het hebben van een Remote Access Tool en een Keylogger strafbaar?
06-02-2019 door Arnoud Engelfriet

Wanneer is het hebben van een Remote Access Tool (RAT) nu strafbaar? Wij gebruiken dit in de organisatie voor intern beheer op ...

21 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2019 Security.nl - The Security Council
RSS Twitter