Hier zie ik alleen maatregelen om ervoor te zorgen dat externe mensen (jij en ik; niet zijnde het ziekenhuispersoneel e.d.) niet zomaar toegang kunnen krijgen. Of de voorgestelde maatregelen voor die externe mensen voldoende zijn, kun je van alles over zeggen. Maar in ieder geval zegt het niets over de interne mensen die vanuit medische redenen toegang moeten hebben (ziekenhuispersoneel e.d.). Wie zegt dat zij niet zelf gaan rondstruinen in al deze verzamelde informatie van alle Nederlanders. Alle informatie mooi op 1 hoop bij elkaar. Wel erg handig natuurlijk...
Die ziekenhuismedewerker moet van ons weer toegang krijgen tot ons dossier, geloof ik (behalve in noodgevallen, neem ik aan). Maar wie controleert dat? Hoeveel mensen hebben zowiezo toegang op dit EPD? Er zijn nogal wat ziekenhuizen, huisartsen, thuisverplegers, apothekers, etc. die de betreffende gegevens toch (na toestemming) zouden moeten kunnen benaderen... Dat zijn er wel erg veel, nietwaar... Wie gaat hen controleren?

Minister, peperdure onderzoekers, hoeveel van onze inwoners maakt er gebruik van een mobiele telefoon en zal u een plezier doen met deze oplossing? Zeg nu zelf, voor wie is dat EPD en het kunnen inzien nu bedoeld? Voor de inwoners van Nederland, of de techneuten die zich daaronder bevinden? Of hebben die personen die buiten de boot vallen gewoon pech?

Het gebruik van DigID bleek voor de oudere bevolking al omslachtig en lastig, nu gooien de jeugdig georienteerde bestuurders en beleidsonderzoekers er nog eens een combinatie in om het nog makkelijker en begrijpelijker te kunnen gebruiken.... Niet dus. Het beschikbaar zijn van de medische gegevens leek mij te gaan om de toegankelijkheid voor alle inwoners. Nee, dat is niet hetzelfde als slechte authenticatie, maar je kan dat wel slecht implementeren. En dat gaat hiermee gebeuren.

Mag ik er even op wijzen dat de overheid de zorgplicht draagt om iedereen zo goed mogelijk te dienen, en niet slechts dat deel van de bevolking dat makkelijk met techniek en combinaties daarmee kan omgaan!

Daarnaast: ik ben misschien niet zo enorm oud maar ik heb ook geen mobiel en zelfs als ik een mobiel nummer zou hebben heb ik dat niet omdat de overheid of welke andere organisatie daar gebruik van denkt te kunnen maken. Men claimt mobiele technologie als algemeen middel waar dat het niet is.

Ik blijf erbij dat een smartcard (dat kan een identieteitskaart of rijbewijs zijn) met een combi van PIN en een "challenge response" systeem de enige oplossing is, daarnaast moeten alle gegevens als gesplitste en encrypted files opgeslagen worden (denk Wuala).

Voorlopig doe ik niet mee met het EPD.

Er is veel te vinden op het internet over de toegangsbeveiliging van het EPD. Enkele zaken die daarin naar voren komen of ooit gekomen zijn (ik ken de laatste versies niet)
- Niet elke medewerker in de zorg kan overal bij. Een voorbeeld hiervan is dat een cardioloog geen toegang hoeft te hebben, of überhaupt kan zien dat iemand op de afdeling psychiatrie in dagbehandeling zit
- Bij spoedgevallen moet meer dan één medewerker aangeven dat ze er bij moeten. De betreffende patient krijgt daar een melding van, alsmede het management van een afdeling/ziekenhuis. Onopgemerkt blijft het dus niet. Sterker nog, het wordt beter geregeld dan dat het nu is. Waarschijnlijk weten heel veel mensen nu niet dat het, zeker voor personeel, makkelijker is binnen de muren van een ziekenhuis ergens bij te kunnen.
- Het inzien van het EPD is voor de inwoners van Nederland, maar ook voor het medisch personeel.


Met betrekking tot het mobiele technologie als algemeen middel, daag ik de anonieme poster (doe ik ook omdat ik geen account heb , maar zet wel mijn naam eronder) uit te dagen een alternatief te noemen. Een smartcard al dan niet met een additionele challenge/response, is dat al helemaal niet, hoewel het wel veiliger is. Grappig genoeg, zou ik die *niet* willen combineren met een telefoon. De veiligheid van Windows Mobile en ook Android gaan mij niet ver genoeg. Liever een losse smartcaard.

Face-to-face (ik ken de details niet) is eigenlijk niet anders dan nu ook mogelijk is. Iedereen mag naar een zorginstelling toe gaan en daar zijn/haar dossier inzien, sterker nog, daar zelf wijzigingen in aanbregen als hij/zij het ergens niet mee eens is (voor zover ik me herinner).

De toegangsbeveiliging voor mederwerkers in de zorg is een heel ander punt. Daar is de wrijving tussen gebruiksgemak en beveiliging extreem hoog. Eén pc delen met meerdere personen, vaak weglopen en weer toegang moeten krijgen.... Daar is voor mij een smartcard met een challenge-respose een goede oplossing. Wel met enkele kanttekeningen. De challenge-response hoeft alleen bij b.v. begin van de dienst ingevoerd worden. Daarna kan door het in de smartcard reader steken van de card toegang gekregen worden en bij het weglopen (card aan keyholder doen) is de sessie van de gebruiker geblokkeerd voor anderen (met natuurlijk een maximale duur van b.v. een uur). Het systeem moet dan wel zo veilig zijn dat sessies niet van elkaar overgenomen kunnen worden en ook meerdere gebruikers aan kan. Nog geheel los van de tijdelijke werknemers... hoe makkelijk/moeilijk krijgen die toegang? Ook hier zijn best manieren/procedures voor te verzinnen, sterker nog, daar zijn uitputtende sessies voor gehouden...

Rondom de opslag, decentraal (gesplitst) met verwijsindex of centraal is ook al heel veel tijd besteed. Ik zou iedereen hier dan ook willen adviseren die stukken eens te lezen (sorry, links niet bij de hand) . Het lijkt me dan leuk en interessant een inhoudelijke discussie te starten.

Ronald van Kuijk

Kaczynski krijgt langzaamaan... zijn gelijk.

Ik begrijp niet waar de aanname vandaan komt dat SMS veilig is. Het is niet veilig en je kunt de afzender vervalsen.

Link het aan Ideal. Bij de Abn-Amro heb je nu al de mogelijkheid om een digitale kluis te gebruiken, dan kan je het net zo goed gebruiken voor je patienten dossier. Iedereen heeft inmiddels zo'n handige cardreader in huis (behalve de losers van de postbank), de praktijk heeft uitgewezen dat het redelijke veilig is, je hoeft geen nieuwe infrastructuur op te zetten. Een kekke autorisatie slag erover heen waarin je aangeeft dat arts x toegang heeft tot 1,2 en 3 en klaar.

Ik heb geen smartcard reader.. en nu? :-)
Inderdaad dit is een goede authenticatie methode, maar voordat iedereen die smartcard reader heeft aangeschaft en ook nog eens juist heeft geinstalleerd.. nope.. ain't gonna work...

Het probleem is dat je rekening moet houden met mensen die niets van computers weten, dus het moet zo eenvoudig mogelijk zijn... mijn vraag blijft echter, is het echt nodig dat EPD?

Ik zeg outsourcen die hele hap aan korea!

Het gevoel wat ik bij dit systeem krijg is zodra het live gaat, dat de hackers al klaar staan om het zo hard te misbruiken dat je er bang van wordt!

bron: http://minvws.nl/kamerstukken/meva/2008/elektronisch-patientendossier.asp

Reagerend op eerste posting: Oneigenlijk gebruik. Iets als een ziekenhuis medewerker gaat rond kijken in de documenten. Ik las hier op de site net ook iets over een ober die credit kaart gegevens verzamelde... Volgens mij kan je daar nooit iets tegen doen. Als mensen iets willen kunnen ze het krijgen, hoe lang of moeilijk het is maakt niet uit. Ze krijgen die informatie wel. Denk maar eens een deur is om mensen naar binnen te laten en mensen buiten te sluiten. Dat werkte niet goed dus is er een sleutel bedacht. Daar zitten ook weer problemen aan enz uit eindelijk komt het erop neer dat niks veilig is. Het probleem zit in de mensheid zelf, het verzamelen van gegevens, net als wat we ooit lang geleden deden verzamelen van voedsel enz.

Vandaag 15/12/2008, de laatste dag om je formulier op te sturen waarin je EPD kunt afzeggen!
Hoewel, ik heb begrepen dat er nog een gelegenheid komt om met behulp van internet af te zeggen.

De mijne is in ieder geval vanochtend op de bus gegaan.

Het is veel eenvoudiger: wacht even tot de overheid alle gegevens op straat heeft gegooid, dan heb je geen beveiliging meer nodig.

Ab Klink, de minister die de burger eerst tot van alles verplicht en dan pas gaat kijken of hij het ook werkbaar kan maken.

Ik ben het helemaal met Eerde eens. En wie nou nog geen cardreader heeft omdat hij bij de postbank zit, moet dan maar dit nadeel accepteren.

"Met betrekking tot het mobiele technologie als algemeen middel, daag ik de anonieme poster (...) uit te dagen een alternatief te noemen."

een alternatief voor toegang tot het EPD? ik wil in ieder geval dat er geen toegang is voor wie dan ook in mijn EPD, in plaats van te vragen naar een alternatieve toegangsmethode, vraag eens naar een alternatief voor het gehele EPD...

ik wil dat alleen ik en de mensen die ik toestemming geef erbij kunnen komen, en op het moment dat ik op sterven na dood ben dan beslist mijn familie daarover of mijn arts die normaal dan al toestemming van mij zou hebben. kunnen ze mij niet indentificeren dan hebben ze in geen 1 van die gevallen wat aan het EPD omdat men niet weet wie ik ben, dus in die gevallen hoeft er ook geen toegang te zijn...

dus:
1. mijn persoonlijke toestemming
2. men weet (in noodgevallen) wie ik ben en kan dus
A mijn partner/familie toestemming vragen,
B mijn arts (die al toestemming heeft) om de benodigde gegevens vragen
3. men weet niet wie ik ben en zal dus ook nooit wat aan het EPD hebben, dus toegang niet nodig.

dus de enige toegangsmethode waar ik akkoord mee zou kunnen gaan is mijn persoonlijke toestemming, en in alle andere gevallen dus geen toestemming in wat voor geval ook!

even voorop gesteld, ik heb dus protest ingediend, en ik blijf erbij dat ik het risico te groot vind, het nut zwaar overdreven is (ik ben in mijn hele leven in 2 verschillende ziekenhuizen geweest, waarom zou ieder ziekenhuis mijn gegevens moeten hebben?) en het grootste probleem, de toegang via internet, het is een kwestie van tijd voordat zoiets gekraakt word, het risico van centrale databases of centrales die allemaal lokale databases aan elkaar koppelen is onvoorstelbaar groot...

er zijn mensen die evenveel vertrouwen hebben in telebankieren als wat ze in het EPD hebben, waarvan ik er 1 ben ;)
ik wil ook graag de keuze hebben, in plaat van maar gewoon "iedereen doet het zo, dus dan doe jij dat ook maar", ik ben geen kuddedier, en kan de weinige bankzaken die ik moet doen ook nog prima zonder doen...

wat een ander wil doen moeten ze helemaal zelf weten, laat mij dan ook mooi mijn ding doen :)
ik hoef het EPD ook niet, dus kunnen ze dat belastinggeld alvast besparen...

Minister Ab Klink denkt zeker dat hij de Kerstman is.
Hij blijft belastingcenten uitgeven terwijl de Kamer nog moet beslissen of het EPD uberhaupt wel in deze vorm ingevoerd gaat worden.
En voor diegenen die het bezwaarschrift nog niet hebben ingezonden, dat kan altijd nog gedaan worden, met dat verschil, dat verschillende zorgverleners hun dossiers nu wel kunnen onderbrengen in het EPD, maar deze zijn voor niemand meer toegankelijk zodra een bezwaar wordt ingediend op een latere datum.
Het ingediende bezwaar voor 15 december sluit het hele EPD af voor zorgverleners, het is dan niet mogelijk om ook maar 1 dossier onder te brengen in het EPD.

Groeten, RonaldO

Hooo... als je dat in eerste instantie had gezegd, was ik gelijk mee gegaan. Ik ben ook tegen (tot nu toe), hoewel ik best wat voordelen zie.

Dat wil iedereen, vandaar ook de discussie hoe dat goed geregeld kan worden

Dat zijn ook niet de gevallen waar het voordeel gaat opleveren. Maar daarnaast.... heb je nu al enig idee wie er in het ziekenhuis allemaal elektronisch bij jou informatie kan? Een lokaal EPD is er al heel lang. Waarom denk je dat als je een SOA onderzoek in een UMC laat doen je dat 'anoniem' kan doen? (Bijna) iedereen kan bij die infomatie.

1 is altijd nodig
2A dat valt tegen in de praktijk... om ze te pakken te krijgen of zo
2B In een ziekenhuis in weet ik veel waar? Het gaat ook om elektronisch uitwissen van die info, dus niet meer alles via de post of zo...

Dat is ook helemaal de bedoeling. Als jij bij een huisarts komt en die verwijst je naar een specialist, dan moet jij toestemming geven om die informatie voor de betreffende specialist toegankelijk te maken. Dat gaat zeker niet zomaar automatisch, gelukkig niet zeg

Ik nu ook nog

Mooi voor je, ik gelukkig ook maar in 3. Er zijn echter vele gevallen waar de uitwisseling van deze informatie zwaar geoptimaliseerd kan worden EN tegelijkertijd beter beveiligd dan nu het geval is.

Net als nu dus... nu is het niet gekoppeld en dus ook voor altijd verloren of weet je helemaal niet wie het allemaal inziet... tja...

ik kan nu wel een heel betoog gaan houden maar heb ook betere dingen te doen, voor mij is het heel erg simpel, wat voor tegenargumenten je er ook naast legt...

ik wil die gegevens niet op of aan het internet, ik wil het niet toegankelijk voor wie dan ook zonder enige controle (en wie belooft mij dat ik volledig inzage heb in het dossier en wie het heeft bekeken) ik zie geen heil in de zogenaamde voordelen en ga maar door...

ik wil het gewoonweg niet, laat die keuze dan ook open, in plaats van een systeem wat eerder aan big brothers database doet denken dan aan een patientendossier, kijk ook naar het kleine broertje EKD en iedereen met gezond verstand kan hier gewoon geen voorstander van zijn...

Het ziekenhuispersoneel moet zich - net als alle andere zorgverleners - identificeren door middel van de zgn. UZI-pas (een smart card met een PKI chip erop, beveiligd met een PIN code). Voor meer info zie http://www.uziregister.nl/watisdeuzipas/