EPD hacken voor dummies?

Minister Klink beschrijft zelf hoe je het EPD moet hacken:

Mocht iemand er dus in slagen een UZI-pas te ontvreemden en ook de beschikking te hebben over de pincode van de pashouder, dan is er feitelijk sprake van identiteitsdiefstal. Om misbruik van de pas en de pincode te kunnen maken is bovendien toegang tot een GBZ noodzakelijk. Voorts moet de rechtmatige eigenaar verzuimen de pas onmiddellijk in te trekken. Het misbruik van de pas wordt gelogd onder de naam van de rechtmatige eigenaar van de pas. Bij inzage zal dit de patiënt opvallen. Bovenstaande waarborgen bevorderen mijn inziens een goed gebruik van het EPD. Mocht iemand er desondanks in slagen op deze wijze misbruik te maken van het EPD, dan ben ik voorstander van forse sancties, waaronder het strafrecht.

Niets is 100% te beveiligen, maar deze opsomming klinkt als een forse barrière waar hackers niet zomaar doorheen hobbelen. Hoewel, het risico op lekken in deze hele keten wordt wel groter als het gebruik ook toeneemt. Vroeger was het allemaal veel simpeler. Zo was er jaren terug een huisartseninformatiesysteem dat via inbellen (gewoon een modem dat opnam) bereikbaar was voor de buitenwereld. Heel handig voor beheer/onderhoud op afstand en thuiswerkers. Nog handiger was dat ieder systeem op dezelfde manier beveiligd was én dezelfde dienstingang bevatte, zodat je er altijd in kon, zelfs al wist zelfs de praktijk het wachtwoord niet meer. Die achterdeur zit er bij het LSP vast niet meer in.

Tip 800-CALL-FBI en verdien een miljoen

netTijdje terug meldde ik hier over de gijzeling van medische data bij het bedrijf Express Scripts. Nog niet duidelijk is of er nou schot zit in de zaak, maar mocht je iets weten… Bel dan 800-CALL-FBI en meldt je tip! Het bedrijf looft een beloning 1 miljoen dollars uit voor de gouden tip. Interessant is dat het bedrijf voor eventueel gedupeerde klanten zogenaamde “identity restoration services” aanbiedt via het bedrijf Knoll. Voor het geval je last hebt van een gevalletje “identity-theft”. De een zijn beveilingsprobleem is de ander zijn brood.

Bezwaar EPD via Internet?

Een mega ICT operatie en patiënten moeten bezwaar tegen deelname maken via de post. Kan het niet wat moderner? Gelukkig: als al eens voorgesteld hier, laat Klink nu onderzoeken of het mogelijk is met je DigID bezwaar aan te tekenen. Eerder werd hier gereageerd dat online bezwaar aantekenen/intrekken eind 2009 was voorzien.

De zuurpruimen zullen ongetwijfeld ook DigID weer niks vinden, want het DigID is natuurlijk ook zo lek als een mandje en dus niet veilig…

Update: op de oude papieren wijze hebben nu volgens nu.nl 95.000 mensen hun bezwaar ingediend. Dat is wel een enorme pens werk om netjes te verwerken. Allemaal papieren formulieren die netjes in het Landelijk Schakelpunt opgevoerd moeten worden, ga er maar aan staan…

"Patiëntendossiers niet veilig in ziekenhuiscomputers"

BOEM! De informatiebeveiliging in ziekenhuizen is niet op orde. Vanavond citeerde Nova al uit een morgen te publiceren rapport van de Inspectie voor de Volksgezondheid en het College Bescherming Persoonsgegevens. Het rapport beschrijft hoe het is gesteld met informatiebeveiliging in ziekenhuizen. En dat ziet er niet best uit.
Sinds de actie van publiciste Karin Spaink (alweer drie jaar terug), signalen van anderen én een complete norm (NEN7510) is er niet veel veranderd.

Twintig ziekenhuizen werden onderzocht en nergens was de informatiebeveiliging helemaal op orde. De informatiebeveiliging is zo slecht dat bij alle onderzochte ziekenhuizen de wettelijke norm overtreden wordt.

Zolang de ziekenhuizen de patiëntengegevens niet goed beveiligd hebben kan er volgens de onderzoekers ook niet gewerkt worden met het elektronisch patiëntendossier (EPD). Daar moeten alle zorgverleners eind volgend jaar op aangesloten zijn.

Ondertussen pikken diverse media het al op (AD, Volkskrant) zonder dat het rapport is te lezen. Morgen meer, als het rapport – neem ik aan – wel online komt te staan. Wat een geweldige timing ook weer. Dit geeft de burger niet veel moed…