image

Overheid houdt beveiliging EPD geheim

maandag 28 juni 2010, 15:54 door Redactie, 10 reacties

Het Ministerie van VWS wil niet vertellen hoe de beveiliging van het landelijke elektronische patiëntendossier is geregeld, waarbij het zich lijkt te verschuilen achter security through obscurity principe. Dat melden Medisch Contact en BigWobber Brenno de Winter, die een verzoek in het kader van de Wet openbaarheid van bestuur (Wob) hadden ingediend. Niet alleen wordt een deel van de beveiliging geheim gehouden, deels bevindt die zich in een pril stadium. Het gaat dan om intelligente logging en een belangrijke indringerstest, (de EIS). De intelligente logging laat toezichthouders controleren of er ongeoorloofde inzage is in medische dossiers heeft plaatsgevonden.

Volgens VWS wordt de beveiliging jaarlijks door onafhankelijke derden getest. Daarnaast is het principe van security through obscurity geen uitzondering. "In het artikel wordt gesuggereerd dat het een uitzonderlijke situatie is dat niet alle beveiligingsmaatregelen van een infrastructuur bekend worden gemaakt. Dit is echter vrijwel bij alle infrastructuren het geval en ook bij het landelijk EPD", aldus Stephan Koole, directeur Voorlichting en Communicatie.

Documenten
De Winter laat weten dat de ernstige verdenking bestaat dat er meer documenten bestaan dan er daadwerkelijk zijn geleverd en ook worden er documenten geweigerd. "Opvallend is ook dat veel van de ‘geopenbaarde documenten’ reeds publiek zijn en daardoor niet verstrekt hadden moeten worden. Al met al grond genoeg voor het starten van een bezwaarprocedure, die op dit moment nog loopt."

Wat betreft het niet verstrekken van alle documenten is Koole duidelijk: "Het Nederlands elftal traint ook wel eens zonder publiek." Volgens Secretaris-Generaal G. Van Maanen worden sommige documenten bewust niet openbaar gemaakt, omdat dit "nadelige gevolgen voor de verdere implementatie van het EPD en de bij het EPD traject betrokkenen" zou kunnen hebben.

Morgen stemt de Eerste Kamer over een motie om het landelijk EPD stil te leggen. Begin juni waren verschillende Senatoren nog zeer kritisch en werd er voor stopzetting gepleit.

Reacties (10)
28-06-2010, 17:01 door Anoniem
EPD MOET worden stilgelegd. Het is ongrondwettelijk. De eerste kamer moet eerst goedkeuring geven voordat er uberhaupt gestart had mogen worden. Klink en vrienden denken nog steeds dat zij de macht hebben in dit land. Nog meer van dit soort akkefietjes en ze zullen zien waar dat toe leidt. Dat de PVV de grootste partij wordt is dan nog het minste van hun problemen. CDA leert in ieder geval niet van hun fouten, iig te laat.

Verder heb ik bezwaar gemaakt tegen opneming van mijn gegevens en wat blijkt nu? Mijn gegevens zijn toch opgenomen en worden slechts geblokkeerd. Bovendien was het ageren tegen opname toch al een farce, met je kopie ID bewijs via post naar een of ander vaag postadres sturen? Welke bedrijven (ambternarij kan dat zowiezo niet zelf) hebben ze daar voor ingehuurd om die gegevens te verwerken? Zijn DIE wel te vertrouwen?

Bovendien wil tussen de 30 en 60% van de artsen zelf niet in dat EPD. Wat weten zij wat wij niet weten? Of weten zij misschien ook wat wij wel weten.

Security through obscurity werkt niet. Security in Numbers wel. Is bewezen in de natuur. Vissen zwemmen in scholen omdat wanneer 1 uit de 10 miljoen gepakt wordt het niet in verhouding staat. Zo ook met patienten dossiers. De kans dat iemand met mijn papieren dossier het ziekenhuis uit loopt is minimaal. Het is teveel moeite, een relatief groot risico voor die moeite en het potentieel misbruik is in mijn geval nul. De kans dat iemand straks op z'n USB stick 17 miljoen Nederlanders heeft is mega-groot. Het potentieel misbruik is dan gigantisch.

ASL
28-06-2010, 17:44 door Anoniem
CSC doet het EPD/LSP:

http://www.csc.com/nl/press_releases/5382-bouw_landelijk_schakelpunt_voor_de_zorg_van_start
http://www.zorgvisie.nl/Nieuws/Artikel/Nieuw-EPD-van-CSC-Veel-ziekenhuizen-ontevreden-over-bestaande-EPDs.htm

Saillant detail: CSC heeft ook een vaccinatietoko in hun bezit, genaamd Dynport: http://www.csc.com/dvc
(wat doet een automatiseerder met een vaccinatietoko??)
29-06-2010, 08:43 door WhizzMan
Alleen al de manier waarop de authenticatie en de delegatie daarva van het EPD werkt, betekent dat er tienduizenden mensen die geen individuele login hebben, toegang hebben tot *alle* dossiers. Iedere "externe partij" moet daar al van zeggen dat de accountability zwaar beneden de maat is en adviseren het project te beeindigen. Als iedere uitzendverpleegkundige met de "afdelingslogin" zomaar dossiers in kan kijken, betekent dat in de praktijk dat je via-via iedereens dossier gewoon in kan zien als belangstellende.

Gelukkig ligt de boel zwaar achter op schema en is er nog (bijna) niets gekoppeld. Als dat wel zo was, had Alberto Stegeman ongetwijfeld al lang het dossier van Beatrix of zo opgevraagd.
29-06-2010, 09:01 door Anoniem
Niet dat ik veel op heb met de beveiliging van het EPD maar ik vindt het toch vrij normaal dat het geheimhouden van een deel van de informatie over de beveiliging onderdeel is van de totale set aan beveiligingsmaatregelen. Je zet als bedrijf ook niet op je website alle software met de exacte patchlevels die je gebruikt, of de hele interne indeling van je netwerk en je firewall ruleset. Security by obscurity is een slechte zaak als het de enige of voornaamste maatregel is die je treft, maar het kan een goede aanvulling zijn op je primaire beveiligingsmaatregelen.
29-06-2010, 09:46 door Anoniem
het is ook wel een beetje vreemd dat er niets verteld word over de beveiliging, wat doet vermoeden dat er geen beveiliging (adequaat) is. Of dat ie nog verzonnen moet worden. Zelfs bij geldtransporten staat groot op de auto vermeld 'ik vervoer geld'. Toch is mijn geld vrij zeker. Betekent gewoon dat ze de beveiliging zelf al niet vertrouwen.
29-06-2010, 10:52 door Anoniem
Het gaat dan om intelligente logging en een belangrijke indringerstest, (de EIS). De intelligente logging laat toezichthouders controleren of er ongeoorloofde inzage is in medische dossiers heeft plaatsgevonden.

En wat gaan ze dan doen met die informatie? Mijn medisch dossier uit diegene zn geheugen wissen? Je kan dan iemand straffen wat je wilt, maar je medisch dossier is dus al op straat.
29-06-2010, 11:31 door Anoniem
Aan de ene kant is het voor controle vitaal om toegang te krijgen tot de documentatie, aan de andere kant is het publiekelijk vrijgeven evenzeer een risico. Immers kunnen diegenen die misbruik willen maken dergelijke informatie ook gebruiken om uit te zoeken hoe ze de beveiliging kunnen doorbreken. Oog voor deze kant van de discussie lijkt bij velen te ontbreken.

Ik zou zeggen: Onafhankelijk onderzoek is nodig, waarbij de beoordeling publiek gemaakt moet worden, maar tegelijkertijd is het volledig vrijgeven van al deze informatie een risico op zich, en daar moet je ook zorgvuldig mee om gaan.
29-06-2010, 13:02 door Anoniem
"Het Ministerie van VWS wil niet vertellen hoe de beveiliging van het landelijke elektronische patiëntendossier is geregeld, waarbij het zich lijkt te verschuilen achter security through obscurity principe."

Security through obscurity is wellicht van toepassing op specifieke vulnerabilities, wanneer je het hebt over het volledig vrijgeven van alle documentatie m.b.t. de beveiliging dan is het een leeg en zinloos argument. Immers zal geen enkele overheidsinstantie, en geen enkel bedrijf, alle details over hun beveiliging op straat gooien, gezien de risico's die dit met zich meebrengt. Wat dat betreft vind ik de argumentatie van Brenno zwak, want die kant van de medaille negeert hij volkomen.
29-06-2010, 22:24 door brenno
Ook hier geldt weer dat het niet gaat om alle documenten en bij een boel zaken ga ik niet in bezwaar. Wat VWS hier stelt is dat er een serieus risico speelt dat staat of valt met geheimhouden. Dat is de zuivere security through obscurity. Lees de beslissing op het Wob-verzoek en het bezwaar. Hier staat keihard dat we risico lopen. Ofwel: fundamenteel risico in het systeem.

Ik wil niet alles weten, maar wil wel begrijpen welke mechanismes er werken. Zoiets is niet te vergelijken met een bedrijf. Daar heb ik keuze om zaken te doen, maar hier niet. Dit gaat wel om medische gegevens en bij herhaling staan er allerhande mensen op van enig statuur die twijfelen aan de beveiliging. Daarnaast is er nog iets uit te leggen rond de documenten, want er lijken toch echt zaken te missen. Behoorlijk twijfelachtig dus.

Nee ik negeer niet zaken
30-06-2010, 09:56 door Preddie
Sja er valt natuurlijk weinig uit te leggen over de beveiliging als het niet beveiligd is ........ :X

btw .... goed werk brenno ! +1
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.