Waar zit het EPD lek?

Het was geen goede week voor het landelijk EPD. Deze week kwam de Eerste Kamer opnieuw met experts bij elkaar, met een matige uitkomst. Er zijn nog veel misverstanden, men ziet de toegevoegde waarde van een landelijk systeem nog niet, en het kan nog wel tot het najaar duren voordat het wetsvoorstel afgehandeld wordt.

Een dag later werd breed uitgemeten dat cruciale EPD diensten als het UZI formulierenregister en de dienst om Burger Service Nummers (BSN) op te vragen te kampen hadden met storingen. Critici hadden het antwoord al klaar: “zie je wel…” leek de tendens. De quote “Maar er zijn ook wel eens maanden geweest dat er helemaal niets aan de hand was” werd regelmatig aangehaald. En dat was nog niet alles.

Het landelijk EPD is veel veiliger dan regionale netwerken, is altijd de stelling. Regionale netwerken zijn onderzocht. Nu is ook het landelijk EPD onder de loupe genomen. Guido van ’t Noordende, wetenschapper aan de Universiteit van Amsterdam, was een nieuw gezicht bij de rondetafel bijeenkomst afgelopen maandag. Hij presenteerde daar al de  weinig opbeurende resultaten van een onderzoek naar de veiligheid van het landelijk EPD. De basis voor dat onderzoek werd al in 2008 gelegd door student Niels Sijm in het “Onderzoeksrapport LSP:  Privacy en security in het Landelijk Schakelpunt“. Vandaag werd het onderzoek gepubliceerd.  De media pikten het massaal op: “EPD gewoon lek” kopte Nu.nl, “EPD niet goed beveiligd” volgens NRC en volgens Joop.nl is het “EPD gekraakt door onafhankelijk onderzoek“. Alleen door ingrijpende hervorming van de huidige AORTA architectuur zou daar iets aan te doen zijn. NICTIZ reageerde: het onderzoek was zorgvuldig en er zullen zeker aanbevelingen worden meegenomen, maar “Wij hebben een afweging gemaakt op basis van de praktijk. Dat is iets anders dan de theorie.” Maar wat is er nu eigenlijk mis? Waar zit dat lek dan? Samengevat de belangrijkste knelpunten die het onderzoek signaleert:

  • Mandatering,  waarmee artsen hun medewerkers namens henzelf toegang geven tot het EPD, blijkt erg eenvoudig te misbruiken. Het LSP heeft geen mogelijkheden om te controleren dat de medewerker écht is gemandateerd;
  • Er is geen end-to-end authenticatie: informatie over de authenticiteit van een zorgverlener wordt wel naar het LSP gestuurd, maar niet doorgestuurd naar het systeem aan de andere kant. Zo weet dat systeem niet met zekerheid dat het werkelijk met die andere zorgverlener communiceert. Bij een kraak van het LSP is dat een ernstig risico;
  • De controle op het feit of er een door de patiënt goedgekeurde behandelrelatie bestaat is niet in het LSP geregeld, maar decentraal, in de zorginformatiesystemen. Het LSP kan dit niet controleren;
  • Er wordt beperkt rekening gehouden met inbraken in zorginformatiesystemen of het Landelijk Schakelpunt (LSP);
  • Patiënten hebben in het huidige model geen mogelijkheid om nieuwe informatie die wordt toegevoegd te blokkeren voor opname in het EPD. Gepleit wordt voor een fijnmaziger manier om toestemming en bezwaar aan te tekenen;
  • Opgenomen gegevens kunnen verwijderd worden, maar nooit helemaal: het LSP bewaart deze gegevens voor een bepaalde periode, de zogenaamde “reconstructiehorizon”.

Het geheel aan aandachtspunten overziend, bekruipt je het gevoel: dit is niet goed. Dit is niet alleen maar een klein beetje concessies doen aan praktische bezwaren tegen beveiligingsmaatregelen, dit is ernstiger. Hoe kan dit, na zoveel jaren werk? Tunnelvisie? Ik ben heel benieuwd naar een weerwoord van NICTIZ. Of welke aanbevelingen NICTIZ concreet gaat overnemen om de geconstateerde tekortkomingen aan te pakken.

Email this to someoneShare on Facebook0Tweet about this on TwitterShare on Google+0Share on LinkedIn0