image

Minister maakt end-to-end encryptie niet verplicht voor versturen medische data

woensdag 20 oktober 2021, 11:38 door Redactie, 23 reacties

Het gebruik van end-to-end encryptie bij het uitwisselen van digitale gegevens in zorg wordt niet wettelijk verplicht, zo heeft demissionair minister De Jonge van Volksgezondheid laten weten. De minister reageerde op vragen over het wetsvoorstel voor de Wet elektronische gegevensuitwisseling in de zorg. Zorgverleners zullen straks medische gegevens verplicht elektronisch moeten uitwisselen.

De Partij voor de Dieren (PvdD) wilde van De Jonge weten of de regering end-to-end encryptie gaat vastleggen in deze wet en verplicht stelt voor het versturen van medische gegevens. "Gezien de systematiek van dit wetsvoorstel wordt end-to-end encryptie niet in het wetsvoorstel zelf verplicht gesteld", reageert de minister. Hij merkt op dat een dergelijke verplichting in de NEN-norm voor gegevensuitwisseling kan worden opgenomen en uitgewerkt, zoals bijvoorbeeld welke algoritmen en sleutellengtes moeten worden gebruikt.

De SP vroeg De Jonge hoe te garanderen is dat patiëntgegevens veilig elektronisch gedeeld kunnen worden, zonder dat er een risico is op datalekken. Volgens de minister zijn zorgaanbieders primair zelf verantwoordelijk voor de eigen informatiebeveiliging. Daarbij moeten zorgaanbieders aan de NEN 7510 en aanverwante normen voldoen, gaat De Jonge verder, die toevoegt dat datalekken nooit helemaal zijn te voorkomen. "Ik zet me in op het verkleinen van de risico’s en impact ervan door te zorgen voor meer bewustwording, voor meer kennis en voor snelle hulp als er toch iets gebeurt." Het is nog onbekend wanneer de Tweede Kamer over het wetsvoorstel gaat stemmen.

Reacties (23)
20-10-2021, 12:20 door Anoniem
Tja dom bezig als dat niet verplicht wordt,zo heb je juist kans dat alle medische gegevens juist niet veilig zijn opgeslagen.
20-10-2021, 12:24 door Anoniem
"ik zet me in op het verkleinen van de risico's" en "... wordt eind-tot-eind encryptie niet in het wetsvoorstel zelf verplicht gesteld" gaan niet samen.
20-10-2021, 12:35 door Anoniem
Ah weer zo minister met boter op zijn hoofd geen verstand van it zaken....minister van boterkoek wat een peen ..
Ps ik blijft het zeggen in Nederland spreken we over veilig maar we voeren het niet uit ....zijn we ook all vergeten? atoombom.
En Pakistan?????????
20-10-2021, 13:11 door Anoniem
Dus de zorgaanbeiders moet hun zaakjes op orde hebben. Een kleine nuance in deze wet kan niet gemaakt worden om end-to-end encryptie verplicht te stellen? wat een kolder is dat. Nu ben je overgeleverd aan de zorgaanbieders en schermen achter een NEN-norm. Werkelijk waar hoe meer digitalisering er komt, hoe slechter de overheid de grip er op houdt. blij dat er nog enigszins kamerleden zijn die er vragen over stellen.

Komt er een datalek. Tsja dan is het vervelend voor de zorgnemer, want daar liggen de gegevens van op straat. De zorgaanbieder krijgt een tik over de vingers en de dag gaat weer verder zoals die is. Hopelijk kom er dan nog wel kamervragen met een referentie naar dit debat. Ben geen PvdD fan maar dit is wel een goede opmerking.
20-10-2021, 13:45 door Anoniem
Natuurlijk kan end-to-end encryptie niet verplicht worden. Één van zijn collega-ministers wil in alles wat end-to-end encrypted is, altijd een achterdeur hebben. En end-to-end met een achterdeur is gewoon open. Daarmee is het niet veilig en dus in strijd met
"Ik zet me in op het verkleinen van de risico’s en impact ervan door te zorgen voor meer bewustwording, voor meer kennis en voor snelle hulp als er toch iets gebeurt."
20-10-2021, 13:54 door Reinder
@all hierboven:

De vraag van de PvdD was verkeerd. Natuurlijk zitten technisch inhoudelijke details over de te gebruiken encryptie niet in die wet zelf, dat zou een warboel worden. Als die standaarden dan aangepast moeten worden moet je alle wetten aanpassen die dat opgenomen hebben. Dus nee: In die wet staat niet dat end-to-end encryptie verplicht is. Wat je doet is in de wet vastleggen dat het veilig moet gebeuren, en daarbij verwijs je eventueel naar een of andere externe norm of beleidsdocument. Je wil tenslotte ook niet dat als we volgend jaar allemaal ineens het "quantum-protocol-2022" gaan gebruiken, dat de gezondheidszorg die dan niet mag gebruiken omdat de wet een verouderde methode vastgelegd heeft.

Ter vergelijking: in de wet staat dat auto's ouder dan zoveel jaar APK gekeurd moeten zijn. In die wet zelf staat ook niet vastgelegd wat dan precies die APK-normen zijn.

Maar goed. Dit zal wel weer te genuanceerd zijn voor de gemiddelde anonieme reaguurder.
20-10-2021, 13:54 door DDK
nou ben je bezig met het opstellen van wetgeving wat dus een mogelijkheid bied om mitigerende maatregelen verplicht te stellen en een basis beschermings maatregel als encryptie wordt daar niet in meegenomen ??

Stelletje pannekoeken!

ow ennuh beste minister en alle adviseurs daar om heen; mitigeren="het verkleinen van de risico’s" .. = basis beveiliging op orde waar encryptie een hele logische maatregel is.

En dan aangeven dat "zorg verleners zelf verantwoordelijk zijn" ?? Waar is die wetgeving dan voor nodig ?

Stelletje poffertjes!
20-10-2021, 13:56 door majortom
Door Anoniem: Natuurlijk kan end-to-end encryptie niet verplicht worden. Één van zijn collega-ministers wil in alles wat end-to-end encrypted is, altijd een achterdeur hebben. En end-to-end met een achterdeur is gewoon open. Daarmee is het niet veilig en dus in strijd met
"Ik zet me in op het verkleinen van de risico’s en impact ervan door te zorgen voor meer bewustwording, voor meer kennis en voor snelle hulp als er toch iets gebeurt."
Het is maar goed dat ik in het LSP alle uitwisselingen tussen zorgverleners heb geblokkeerd. Heb totaal geen vertrouwen in de systemen, laat staan in het feit dat ik veel te weinig controle heb wie er toegang tot deze gegevens heeft. Er wordt gelogd, dus naderhand kan ik dit controleren. Alleen staat in die log op een veel te hoog niveau (ziekenhuisniveau) wie er gepoogd heeft om de gegevens te benaderen.
20-10-2021, 14:19 door Anoniem
Door Reinder: @all hierboven:

De vraag van de PvdD was verkeerd. Natuurlijk zitten technisch inhoudelijke details over de te gebruiken encryptie niet in die wet zelf, dat zou een warboel worden. Als die standaarden dan aangepast moeten worden moet je alle wetten aanpassen die dat opgenomen hebben. Dus nee: In die wet staat niet dat end-to-end encryptie verplicht is. Wat je doet is in de wet vastleggen dat het veilig moet gebeuren, en daarbij verwijs je eventueel naar een of andere externe norm of beleidsdocument. Je wil tenslotte ook niet dat als we volgend jaar allemaal ineens het "quantum-protocol-2022" gaan gebruiken, dat de gezondheidszorg die dan niet mag gebruiken omdat de wet een verouderde methode vastgelegd heeft.

Ter vergelijking: in de wet staat dat auto's ouder dan zoveel jaar APK gekeurd moeten zijn. In die wet zelf staat ook niet vastgelegd wat dan precies die APK-normen zijn.

Maar goed. Dit zal wel weer te genuanceerd zijn voor de gemiddelde anonieme reaguurder.

Nope voor mij is deze niet te genuanceerd. Dit is precies mijn denkwijze en je hebt er helemaal gelijk in!
20-10-2021, 14:29 door Anoniem
Eigenlijk bestaat deze verplichting al, zoals al wordt opgemerkt in het artikel. Aan de ene kant heb je de NEN7510, aan de andere kant NTA7516.
20-10-2021, 14:31 door Bitje-scheef - Bijgewerkt: 20-10-2021, 14:32
Door majortom:
Door Anoniem: Natuurlijk kan end-to-end encryptie niet verplicht worden. Één van zijn collega-ministers wil in alles wat end-to-end encrypted is, altijd een achterdeur hebben. En end-to-end met een achterdeur is gewoon open. Daarmee is het niet veilig en dus in strijd met
"Ik zet me in op het verkleinen van de risico’s en impact ervan door te zorgen voor meer bewustwording, voor meer kennis en voor snelle hulp als er toch iets gebeurt."
Het is maar goed dat ik in het LSP alle uitwisselingen tussen zorgverleners heb geblokkeerd. Heb totaal geen vertrouwen in de systemen, laat staan in het feit dat ik veel te weinig controle heb wie er toegang tot deze gegevens heeft. Er wordt gelogd, dus naderhand kan ik dit controleren. Alleen staat in die log op een veel te hoog niveau (ziekenhuisniveau) wie er gepoogd heeft om de gegevens te benaderen.

Ik niet en heb er tot nu toe voordelen van gehad. Nog geen nadeel van ondervonden.
20-10-2021, 14:32 door Anoniem
Door majortom: [...]
Alleen staat in die log op een veel te hoog niveau (ziekenhuisniveau) wie er gepoogd heeft om de gegevens te benaderen.
De organisatie is verplicht om dit bij te houden (NEN7513).
20-10-2021, 14:46 door Briolet
Door Anoniem: Tja dom bezig als dat niet verplicht wordt,zo heb je juist kans dat alle medische gegevens juist niet veilig zijn opgeslagen.

Hoe veilig iets opgeslagen is, heeft absoluut niets met end-to-end encryptie te maken. Lijkt me hetzelfde onbegrip van wat end-to-end betekent bij de discussie over het melden van whatsap berichten.

end-to-end gaat alleen over het transport. Als de data gearriveerd is, is deze encryptie weer weg, aders kun je de data niet eens gebruiken.
20-10-2021, 14:52 door Anoniem
"niet verplicht bij wet"? Valt dit niet onder de AVG dan?
20-10-2021, 14:55 door Anoniem
Door Anoniem: Ah weer zo minister met boter op zijn hoofd geen verstand van it zaken....minister van boterkoek wat een peen ..
Ps ik blijft het zeggen in Nederland spreken we over veilig maar we voeren het niet uit ....zijn we ook all vergeten? atoombom.
En Pakistan?????????

Denk eerder aan Diginotar
Op papier alles op orde, maar ze voldeden er in de praktijk niet aan.
20-10-2021, 16:32 door majortom - Bijgewerkt: 20-10-2021, 16:33
Door Anoniem:
Door majortom: [...]
Alleen staat in die log op een veel te hoog niveau (ziekenhuisniveau) wie er gepoogd heeft om de gegevens te benaderen.
De organisatie is verplicht om dit bij te houden (NEN7513).
Jammer dat dat dan niet inzichtelijk wordt gemaakt in het LSP. Daar staat alleen "ziekenhuis X" heeft een poging gedaan je gegevens te bekijken of iets in die trant. Dan zou ik weer bij ziekenhuis X moeten aankloppen om te kunnen controleren of het een bevoegd persoon was. Dat ziekenhuis ziet me al aankomen, en zal neem ik aan die gegevens niet verstrekken, Totdat het fatsoenlijk geregeld is dat ik zelf in control ben van wie er toegang heeft, geef ik geen toestemming.
20-10-2021, 19:35 door Anoniem
Door Anoniem: "niet verplicht bij wet"? Valt dit niet onder de AVG dan?

Neen, AVG zegt ook niets over "encryptie" want dat is niet het doel van de AVG.
20-10-2021, 19:55 door Anoniem
Door Briolet:
Door Anoniem: Tja dom bezig als dat niet verplicht wordt,zo heb je juist kans dat alle medische gegevens juist niet veilig zijn opgeslagen.

Hoe veilig iets opgeslagen is, heeft absoluut niets met end-to-end encryptie te maken. Lijkt me hetzelfde onbegrip van wat end-to-end betekent bij de discussie over het melden van whatsap berichten.

end-to-end gaat alleen over het transport. Als de data gearriveerd is, is deze encryptie weer weg, aders kun je de data niet eens gebruiken.

Veel mensen weten inderdaad niet wat "end-to-end" encryptie betekent en het is helemaal niet beperkt tot het transport.
https://en.wikipedia.org/wiki/End-to-end_encryption

Belangrijk is om te weten wat het "end" precies is. Je moet dat eerst definiëren, anders kan je niets zinnigs zeggen. (Is het de database die de gegevens opslaat, of is het de applicatie die de gegevens verwerkt? Of de interface van de gebruiker die de applicatiegegevens raadpleegt?
Verder moet je ook goed voor ogen houden dat er mogelijk meer dan 2 "ends" zijn, vb Whatsapp groepsgespreken, of de verplichte afluistermogelijkheden die een telecomoperator moet kunnen verlenen aan justitie.

Het gebruik van "end-to-end" encryptie heeft consequenties. Zowel positieve als negatieve.

Zolang je geen garantie kan geven of je wel met het juiste end te maken hebt, heeft encryptie weinig zin.
Vandaar dat endpoint validatie (HTTPS certificaat, CRL checks, ...) veel belangrijker is dat het gebruikte encryptie algoritme op zich. Praktisch is er (op dit moment) voor de encryptiesterkte niet echt een verschil tussen AES128 & AES256. (Ik zei praktisch, niet theoretisch.)

Leuk om te weten: PCI DSS (Bankkaart transacties) verplicht ook niet eens om versleuteld communucatiepad, zoals HTTPS, tussen systemen op te zetten, enkel om tijdens de communicatie bepaalde data te versleutelen. Daar zijn redenen voor, want meestal wil je helemaal geen encrypted tunels over je firewall toelaten waarin vanalles onder de radar kan gebeuren.
(Voor client systemen die wel via HTTPS met het internet communiceren gebruik je ook end-point protection of een web proxy die communicatie onderschept.)
20-10-2021, 20:41 door Anoniem
Door Reinder: @all hierboven:

De vraag van de PvdD was verkeerd. Natuurlijk zitten technisch inhoudelijke details over de te gebruiken encryptie niet in die wet zelf, dat zou een warboel worden. Als die standaarden dan aangepast moeten worden moet je alle wetten aanpassen die dat opgenomen hebben. Dus nee: In die wet staat niet dat end-to-end encryptie verplicht is. Wat je doet is in de wet vastleggen dat het veilig moet gebeuren, en daarbij verwijs je eventueel naar een of andere externe norm of beleidsdocument. Je wil tenslotte ook niet dat als we volgend jaar allemaal ineens het "quantum-protocol-2022" gaan gebruiken, dat de gezondheidszorg die dan niet mag gebruiken omdat de wet een verouderde methode vastgelegd heeft.

Ter vergelijking: in de wet staat dat auto's ouder dan zoveel jaar APK gekeurd moeten zijn. In die wet zelf staat ook niet vastgelegd wat dan precies die APK-normen zijn.

Maar goed. Dit zal wel weer te genuanceerd zijn voor de gemiddelde anonieme reaguurder.

Hee, een reactie die goed beredeneerd is en niet vanuit de onderbuik komt. Kom je hier hiet vaak tegegn.
20-10-2021, 20:50 door Anoniem
Door Reinder: @all hierboven:

De vraag van de PvdD was verkeerd. Natuurlijk zitten technisch inhoudelijke details over de te gebruiken encryptie niet in die wet zelf, dat zou een warboel worden. Als die standaarden dan aangepast moeten worden moet je alle wetten aanpassen die dat opgenomen hebben. Dus nee: In die wet staat niet dat end-to-end encryptie verplicht is. Wat je doet is in de wet vastleggen dat het veilig moet gebeuren, en daarbij verwijs je eventueel naar een of andere externe norm of beleidsdocument. Je wil tenslotte ook niet dat als we volgend jaar allemaal ineens het "quantum-protocol-2022" gaan gebruiken, dat de gezondheidszorg die dan niet mag gebruiken omdat de wet een verouderde methode vastgelegd heeft.

Ter vergelijking: in de wet staat dat auto's ouder dan zoveel jaar APK gekeurd moeten zijn. In die wet zelf staat ook niet vastgelegd wat dan precies die APK-normen zijn.

Maar goed. Dit zal wel weer te genuanceerd zijn voor de gemiddelde anonieme reaguurder.

Precies dit dus.
20-10-2021, 22:16 door Briolet
Door Anoniem: …Veel mensen weten inderdaad niet wat "end-to-end" encryptie betekent en het is helemaal niet beperkt tot het transport.
https://en.wikipedia.org/wiki/End-to-end_encryption

Belangrijk is om te weten wat het "end" precies is. Je moet dat eerst definiëren, anders kan je niets zinnigs zeggen. (Is het de database die de gegevens opslaat, of is het de applicatie die de gegevens verwerkt? Of de interface van de gebruiker die de applicatiegegevens raadpleegt?

In dit geval is het wel duidelijk. De wet gaat over het transport van data. Dan is het end-to-end alleen tussen de zender en ontvanger. Het regelen van opslag valt buiten die wet. Bovendien is het wettig al vrij lang geregeld dat medische gegevens versleuteld opgeslagen moeten worden. De kamerbrief noemt dat ook expliciet als de reeds bestaande NEN 7510 en 7512 norm voor informatiebeveiliging.
21-10-2021, 08:20 door Anoniem
Door majortom:
Het is maar goed dat ik in het LSP alle uitwisselingen tussen zorgverleners heb geblokkeerd. Heb totaal geen vertrouwen in de systemen, laat staan in het feit dat ik veel te weinig controle heb wie er toegang tot deze gegevens heeft. Er wordt gelogd, dus naderhand kan ik dit controleren. Alleen staat in die log op een veel te hoog niveau (ziekenhuisniveau) wie er gepoogd heeft om de gegevens te benaderen.
Ok het LSP, Het was me al een klein raadsel geworden via wie/welk formulier dat geregeld moest worden daar ik er destijds niet aan toegekomen was. https://www.volgjezorg.nl/toestemming
22-10-2021, 08:21 door Anoniem
Prima antwoord van De Jonge, juist omdat hij geen minister van IT zaken is. Regel de mate van verplichte IT beveiliging gewoon in de NEN7510, dan kan er ook op die manier worden gecontroleerd. Daarbij, het treffen van cryptografische maatregelen en beveiliging van informatietransport is sowieso al een onderdeel van de NEN7510.

Alles valt en staat met een gedegen risico analyse en het treffen van bijpassende maatregelen om de kans en impact zo klein mogelijk te maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.