image

Column: EPD: het blijft Nee

dinsdag 20 april 2010, 10:52 door Peter Rietveld, 20 reacties

Een genante vertoning van het ministerie van VWS rond een beveiligingsonderzoek naar het EPD: onderzoeker Guido van ’t Noordende van de Universiteit van Amsterdam onderwierp het huidige EPD aan een nader onderzoek en kwam met een aantal bevindingen die er niet om liegen, die vervolgens door het ministerie onder de tafel werden weggeschoffeld. Van ’t Noordende werd weggezet als oppervlakkig en ondeskundig.

Volgens onderzoeker Van ’t Noordende kan iedereen met een UZI pas (de toegangspas voor alle medewerkers in de zorg) uiteindelijk bij alle patiëntgegevens, door een intrinsiek zwak ontwerp rond de delegatie van rechten. Ook de afwezigheid van technische middelen in de communicatie draagt aan dit probleem bij. “AORTA (het landelijke EPD) fully relies on security of the GBZ (Goed Beheerd Zorgsysteem) systems delegation tables, and, if required, on inspection of LSP (Landelijk SchakelPunt) audit logs after the fact”. De kern van dit probleem is dat het Landelijk Schakelpunt LSP feitelijk geen middelen heeft om een mandatering door een arts – de formele vereiste voor toegang – te verifiëren, maar wél de toegang tot de patiëntendossiers verschaft. Dus controle vóóraf is niet mogelijk en achteraf alleen als er een aanleiding toe is – en het kost een boel moeite. Dat is intrinsiek een zwakke aanpak; je zult niet structureel alle logentries bekijken. Dat is duur. Er zullen altijd financiële afwegingen meespelen als er het idee is dat een event in het EPD nader bekeken moet worden. Forensisch onderzoek is immers nog duurder. En dat idee moet ook nog eens ergens vandaan komen.

Minstens even dodelijk zijn de keuzes die gemaakt zijn in de toepassing van HL7 (het communicatieprotocol voor uitwisseling van patiëntgegevens). “An important assumption of the trust model that underlies authorization in the EPD, is that one can always address the responsible physician (overseer) when something goes wrong. However, our analysis of the internal protocols shows that this assumption does not hold, because any overseer can be filled in in a HL7v3 message without involving the physician”. “Employee UZI passes can be used to sign tokens on behalf of arbitrary overseers. In fact, the overseer field is not even included in the token, so it could be tampered with by anyone without the signer’s knowledge – a fact which could allow an employee who conspired with an attacker to deny involvement with the attack in court”. De “system delegation tables”, de kern van de toegangsbeveiliging, zijn hiermee irrelevant.

Omdat er geen end-to-end authenticatie bij het opvragen van patiëntgegevens gebruikt wordt, kan een aanvaller ook nog ongezien zijn werk doen. “The attack may be particularly powerful because delegation can also be used to claim a treatment relationship, as far as the LSP is concerned”. In de AORTA specificaties zijn wel oplossingen hiervoor opgenomen: “XML headers to support end-to-end authentication protocols and (payload) encryption” maar blijkbaar worden dit soort basale beveiligingsstappen op dit moment niet uitgevoerd.

De intrinsieke zwaktes van het EPD zijn dus de afgelopen jaren overeind gebleven en daarbovenop zijn zwakke implementaties gestapeld. Het systeem is uiteindelijk gebouwd op de veronderstelling dat de gebruikers betrouwbaar zijn en dat alle deelnemende partijen hun ‘Goed Beheerde Zorgsystemen’ 100% dichtgetimmerd houden. Een beveiliging die van dit soort veronderstellingen uitgaat, is geen beveiliging maar wat Bruce Schneier zo treffend aanduidt als ‘Security Theater’.

Het ministerie van VWS verwijst de kritiek echter naar de prullenbak en stelt dat het onderzoek slecht onderbouwd is en verkeerde conclusies trekt. "Voor het LSP gelden strenge beveiligingseisen voor ontwikkeling, implementatie en beheer die jaarlijks door onafhankelijke derden worden getoetst door middel van audits en indringerstesten. De testen die tot op heden werden uitgevoerd, onder andere door gespecialiseerde hackers, hebben aangetoond dat de genomen maatregelen adequaat zijn". Helaas maakt dit pijnlijk duidelijk dat het ministerie van Volksgezondheid weinig kaas heeft gegeten van de waarde van penetratietesten en audits. Een penetratietest kan namelijk alleen bewijzen dat er op een specifiek moment een gat in de beveiliging zit, nooit dat er géén gaten zijn. Als er geen gat wordt gevonden kan de tester hooguit aangeven welke gaten er – op het moment van de toetsing - niet zijn, wat echt iets heel anders is dan dat er geen gaten zijn. En dat laatste is nu net wat VWS wél veronderstelt.

Van ’t Noordende: “Bovengenoemde toetsmethoden geven geen enkele garantie voor de veiligheid van het systeem. Als het EPD waterdicht zou zijn, zou dit het eerste systeem ter wereld zijn. Het punt is dat wanneer er een inbraak in het systeem plaatsvindt, de beveiligingsarchitectuur van het EPD de mogelijke schade moet kunnen beperken. Dit is in het huidige ontwerp niet het geval”.

Ook de kritiek dat de controle op door artsen gemandateerde medewerkers onvoldoende is, veegt het ministerie van tafel. De huidige, decentrale, registratie van mandatering is een bewuste keuze geweest, juist omwille van de veiligheid, schrijft het ministerie.

Informaticus Van 't Noordende kan zich terecht niet vinden in de kritiek van het ministerie. Hij beraadt zich op een reactie waarin hij de stellingname van het ministerie zal weerleggen. Opvallend in de hele affaire is dat de Nictiz, het landelijke expertisecentrum dat ontwikkeling van ICT in de zorg faciliteert en dat vanaf het prille begin betrokken is bij de technische realisatie van het EPD, het onderzoek in NRC Handelsblad juist "zeer zorgvuldig” noemt.

Het ministerie stelt verder dat doorvoeren van de end-to-end authenticatie (wat Van ’t Noordende bepleit) zal leiden tot een “significante toename van de complexiteit van de implementatie GBZen met mogelijke nieuwe implementatie-, beheer- en beveiligingsrisico's.” Met andere woorden zeggen ze dat ze niet kundig genoeg zijn om een standaardbeveiligingsfunctie aan te zetten. We hoeven dus ook niet te rekenen op end-to-end versleuteling, wat blijkbaar op dit moment ook niet nodig – of te moeilijk - wordt gevonden.

Nu wil de nieuwste loot in ons politieke landschap, de piratenpartij, van het hele EPD af. Begrijpelijk, als je deze vertoning ziet. Daarmee zou het EPD dat andere prestigeproject, de kilometerheffing, volgen. In Engeland is het landelijk EPD al begraven, omdat het de macht van de bouwers te boven ging. Dat risico lopen we hier te lande ook, gezien de keuzes om ‘moeilijke’ beveiliging maar achterwege te laten. Echter, niet alleen de beveiliging is lastig – in een groot systeem als het EPD zijn er wel meer moeilijke dossiers. Hieruit concludeer ik dat een compleet projectfalen niet uit te sluiten is.

Dat moeten we hier niet willen. Het is immers niet dat een landelijk EPD geen goed plan is, het is dat het huidige EPD niet goed is. Het moet op een aantal kritieke punten keihard op de schop, onder meer rond de toegangsbeveiliging. En als dat te moeilijk is voor de mensen die het nu moeten regelen, dan moeten er maar andere, meer competente mensen op gezet worden.

Van de opmerkingen van beveiligingsgoeroe van der Staaij in het NRC over het EPD moeten we het in ieder geval niet hebben. Hij stelt dat het allemaal best wel meevalt met het EPD, en heeft zulks ongetwijfeld ook in de Kamercommissie gemeld: “Stel, een corrupte ziekenhuismedewerker is uit op de medische gegevens van een bekende Nederlander. Wat zou die persoon moeten doen om die gegevens te achterhalen? Allereerst zou hij een UZI-pas van iemand moeten zien te bemachtigen, de pas waarmee toegang tot het EPD kan worden verkregen”. “Dan zijn er echter ook nog het loggingmechanisme van het EPD en een keur aan forensische technieken, waarmee achteraf kan worden nagegaan wie wanneer welke gegevens heeft benaderd”. Van der Staaij veronderstelt dat de corrupte medewerker blijkbaar zelf geen pasje heeft, dat de auditoren helderziend zijn en dus weten wanneer en waar ze moeten onderzoeken dat er iets mis is gegaan. Bovendien wordt de corrupteling geacht technisch een onbenul te zijn. Een indrukwekkend aantal aannames.

Bovendien, stelt Van der Staaij, is er in de praktijk weinig echte dreiging, omdat hem weinig gevallen bekend zijn van diefstal van medische gegevens. “Op dit moment – nu er nog geen EPD is – is het namelijk veel gemakkelijker om aan vertrouwelijke patiëntgegevens te komen. Papieren dossiers liggen letterlijk voor het opscheppen, veel pc’s in zorginstellingen voldoen nog lang niet aan de moderne beveiligingseisen en het risicobewustzijn bij zorgverleners, zoals al eerder is aangehaald, is laag”.

Ik zie alleen niet hoe het EPD dit zal veranderen. Het risicobewustzijn van medewerkers in de zorg zal met het EPD niet spontaan stijgen, en de pc’s in zorginstellingen zullen niet structureel veilig worden – daar zorgt het EPD niet voor. Het GBZ gaat immers over servers in het koppelvlak naar het EPD, en helemaal niet over pc’s of de rest van het netwerk. Het betoog van Van der Staaij snijdt dus geen hout.

Ik zal mijzelf nog eens herhalen: papier is in alle gevallen oneindig veel veiliger dan digitaal, zelfs als iedereen altijd alles laat slingeren – inclusief USB-sticks en op pc’s die wijd openstaan. Wil een aanvaller een papieren dossier stelen, dan zal hij het eerst moeten vinden en er fysiek de hand op moeten leggen om het te kopiëren of te ontvreemden. Digitalisering maakt het geheel veel kwetsbaarder, omdat kopiëren simpeler wordt. Het probleem dat overblijft is het vinden van de digitale data, een probleem dat de verwijsindex van het landelijk EPD echter keurig oplost. De aanvaller hoeft dus alleen een netwerkverbinding en enige technische skills te hebben – waar de informatie is, is duidelijk.

Als je op dit moment een enkel medisch dossier op papier of uit een slecht beveiligd systeem wilt stelen, zal het nog wel lukken, maar alle dossiers van alle Nederlanders krijg je niet bij elkaar. In het EPD-tijdperk werkt het anders: als je er één hebt, kun je ze maar zo allemaal hebben. De UZI-pas met pincode is overigens alleen nodig als je via de voordeur aan wilt vallen. De praktijk van 30 jaar hacken is dat de meeste mensen het raam wel weten te vinden.

In plaats van een persoon die het pand binnenloopt of er al werkt, zijn er bij een digitaal systeem twee miljard mogelijke aanvallers die met z’n allen technisch veel meer kunnen dan welke set pentesters dan ook. Het gaat ook niet alleen om technisch begaafde hackers. In plaats van enkele tientallen personen die een papieren of USB-variant kunnen laten slingeren, zijn er immers enkele honderdduizenden die slordig met hun sleutels kunnen zijn, sleutels die toegang geven tot alle patiëntendossiers, in plaats van tot een beperkte set. Daarom moet centraal bewaarde gedigitaliseerde informatie per definitie heel veel beter bewaakt worden dan dezelfde informatie op papier of in decentrale vorm. Hiervoor is een beetje klassiek autorisatiebeheer voor systemen waar de informatie op zou moeten staan, zoals in het huidige EPD, zelfs in de beste vorm al een erg magere aanpak.

En eigenlijk missen we het grootste probleem; de beveiligers kijken maar naar een beperkt aantal scenario’s. Diefstal van informatie is heus niet het enige aanvalsscenario waar je bij de beveiliging van het EPD rekening mee moet houden. Met het weghalen van een allergie voor pinda’s uit iemands medisch dossier kun je een perfecte moord plegen. En er is ongetwijfeld meer te verzinnen. Maar dat licht is zo te zien nog niet gaan branden bij de goegemeente die zich over het EPD heeft gebogen.

Als klap op de vuurpijl stelt Van der Staaij in het NRC: “tegen corrupte medewerkers is vrijwel geen enkel informatiesysteem bestand”, waarmee hij impliceert dat je daar dan ook maar niet al te veel moeite voor moet doen. Het is met een systeem met uiteindelijk een paar honderdduizend gebruikers – zoals het EPD – dan ook een feitelijk advies om de beveiligingsillusie maar helemaal op te geven. Als dat echt zo is, dan kun je de hele EPD exercitie maar beter begraven, samen de digitale belastingaangifte en alle bancaire systemen voor betalingen.

Nu zul je dergelijke complexe systemen inderdaad nooit 100% waterdicht krijgen, maar je kunt een heel eind komen. Het is in ieder geval geen reden standaard zaken achterwege te laten. Er bestaat een hele categorie van systemen die niet alleen geacht worden tegen de gebruikers bestand te zijn, maar zelfs tegen de beheerders. Dit is wat wel aangeduid wordt als Military Grade Security. Zo ver hoef je wellicht niet te gaan, maar reken maar dat je de huidige inherent zwakke en indirecte beveiliging van het EPD een stuk beter kan krijgen.

Van ‘t Noordende doet hiervoor een aantal zeer waardevolle aanbevelingen, onder meer:

  1. Zorg voor 'end-to-end' authenticatie van berichten, zodat het informatiesysteem dat een verzoek om een dossier ontvangt kan controleren of dit verzoek daadwerkelijk van een zorgverlener afkomstig is. Dit teneinde aanvallen vanuit het LSP voorkomen.
  2. Versleutel deze berichten end-to-end.
  3. Gebruik vooraf door de arts ondertekende -beperkt geldige- mandateringscertificaten als bewijs van autorisatie, voordat medewerkers toegang wordt verleend tot het EPD.
  4. Bevestig behandelrelaties expliciet, (eventueel achteraf middels het klantenloket), ten behoeve van effectiever toezicht.
  5. Ook kan na bevestiging bepaalde privacygevoelige loginformatie uit het LSP worden verwijderd of versleuteld.
  6. Voer een smartcard voor patiënten in die veilig inloggen mogelijk maakt, en die ook het versleutelen van gevoelige patiëntgegevens in het LSP mogelijk maakt.

Vooral met het vierde punt slaat Van ’t Noordende de spijker op zijn kop. De keuze om centraal te autoriseren op basis van informatie die centraal niet beschikbaar is, is wellicht een aardige weergave van de politieke realiteit in de zorg, maar een gruwel vanuit beveiligingsoogpunt. Met de toevoeging ‘eventueel achteraf’ toont Van ’t Noordende zich veel te mild – dat werkt niet en het hoeft niet.

Wat je moet doen is de behandelrelaties herleiden uit andere systemen. Immers, als organisatie heb je je informatiehuishouding op orde en houd je bij wat je mensen zoal doen. Op basis hiervan zouden dan dynamisch autorisaties toegekend (‘geprovisioned’) moeten worden. Voor de hand liggend is aan te sluiten op DOT 2010, de opvolger van het DBC-systeem (Diagnose-Behandel-Combinatie) dat in het kader van de “prestatiebekostiging” ingevoerd wordt. Als je daarin vastlegt welk behandelteam – of zelfs maar welke afdeling – bij een patiënt (lees BSN+DOT-code) betrokken is en van wanneer tot wanneer, dan heb je voldoende broninformatie voor dynamische autorisaties. Als je je informatiehuishouding hiervoor niet voldoende op orde hebt, is een geavanceerd systeem als een lokaal EPD al niet te verantwoorden.

Een goede technische methode zou zijn om een Claims Based aanpak te plaatsen bovenop het bestaande statische rollenmodel, waarbij het landelijk schakelpunt alleen valideert (met een token) of een aanvrager op dat moment een behandelrelatie met de patiënt heeft, alvorens toegang te geven. Daarmee houdt het ziekenhuis nog steeds grip op de data. Het gaat wat ver om hier Claims Based Autorisation uit te leggen, voor degenen die er nooit van gehoord hebben, maar het biedt een hele zwik mogelijkheden die ten tijde van het bedenken van het EPD (in 2003) nog niet ‘bewezen’ waren, maar inmiddels wel. En ruimschoots.

Op dit moment vragen de beveiligingseisen voor het EPD niet om een dynamische autorisatie op basis van actuele gegevens. Bij deze oorspronkelijke eisen ligt uiteindelijk de oorzaak van het zich verder ontvouwende EPD beveiligingsdrama: om te beginnen zijn er vanaf het begin lage beveiligingseisen gesteld. Deze zijn bepaald naar het belang van de gebruikers van het systeem in plaats van naar het belang van de informatie in het systeem. In deze discussie hebben de zorginstellingen zich als informatie-eigenaren opgesteld, terwijl de echte informatie-eigenaren – de patiënten – niets gevraagd werd. Vervolgens is er te weinig kennis, terughoudendheid bij zaken die ‘moeilijk’ klinken, te weinig budget en tijd, zodat er steeds meer zaken ‘uitgesteld’ zijn naar ‘een volgende release’ dan wel openlijk geschrapt. Het EPD lijdt sterk onder de klassieke projectdynamiek waarbij alles wat ingewikkeld of moeilijk is omwille van het champagnemoment (de deadline) overboord gaat. Er is immers een minister bij betrokken, en die wil resultaten zien. In deze lijn past het afserveren van een degelijke analyse, zoals die van Van ’t Noordende, naadloos.

Met andere woorden: eerst is een beveiligingsniveau gekozen dat ver onder het minimum ligt, waar dan met de kaasschaaf nog wat vanaf werd bezuinigd. Vervolgens zijn er tijdens de daadwerkelijke implementatie nog hele stukken beveiliging vervallen omdat het niet op tijd lukte. Door de looptijd is de beveiligingsarchitectuur intussen ook nog zwaar verouderd en irrelevant geworden. Alle alarmbellen zijn vakkundig genegeerd. Het resultaat van dit alles is om ziek van te worden. Niet te ziek hoop ik, want dan kom je in het EPD, en dat kan ik je voorlopig dringend afraden.

Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Laatste 10 columns


Meer columns van Peter Rietveld.
Reacties (20)
20-04-2010, 11:04 door Anoniem
Indrukwekkende samenvatting, dank.
20-04-2010, 11:46 door Anoniem
Heel mooi stuk, en wat moet je je als automatiseerder eigenlijk schamen als je aan het EPD hebt meegewerkt... ook al ben je niet verantwoordelijk voor het schaven aan de specs, je bouwt wel mee aan een torenflat die gegarandeerd omgaat bij het eerste zuchtje wind. Niet iets om thuis een trots gevoel over te hebben...
20-04-2010, 11:55 door Eerde
Punt 6. is wat ik vanaf dag 1 ook al heb geroepen (vooral hier).

Kijk zorgverleners kunnen inloggen net als bij de Rabobank met tweefactor authenticatie via een random reader en de patiënt via zijn smartcard en pin, bij de arts of in 't ziekenhuis of apotheek (tip: alle cards combineren op een smartcard met uitgebreide chip).

Log alle gebruik en stuur eventueel achteraf een email naar patiënt. Spoedeisende hulp kan altijd alle gegevens inzien op het moment dat een patiënt niet bij machte is om in te loggen, achteraf altijd kijken of dit klopt, zowel via een email naar de patiënt als een controleorgaan (leuk woord hiero).

Veel van de overbodige administratie via de smartcard laten verlopen. Immers ~30% van ons zorgbudget gaat aan admin op en dat is doodzonde, een normaal 'groot bedrijf' zal nooit meer dan 5% daar aan uitgeven !

Misbruik door zorgverleners fiks straffen, dus onterechte declaraties ? Dubbel terug (i.e. 100% boete en 90% pakkans). Onterecht info gebruiken door verzekeringsmij'en ? Euro 10.000 aan het slachtoffer betalen en terugbetalen door de overtreder (persoonlijk) 100 Euro/mnd. Zorginstelling ook beboeten met 100.000 zo iets.....
20-04-2010, 12:24 door Anoniem
Ik vond dit artikel via Twitter, en kom er dus redelijk "koud" in vallen. Als puntje van praktische feedback: de afkortingen zijn voor mij onleesbaar... Eerste keer misschien even voluit schrijven? Thanks...
20-04-2010, 15:16 door Anoniem
Geachte overheid,


bij deze heeft u dus voldoende waarschuwing gehad. Dit moet voldoende zijn voor mij om bij enig breuk van vertrouwen, misbruik van gegevens in de breedste zin van het woord u een claim aan te doen waarvan het bedrag op een later tijdstip wordt medegedeeld. Dit uiteraard ter voorlopige vergoeding daar de volledige gevolgen pas op lange termijn bekend zijn.

Met de minste hoogachting voor dit wanstaltige gedrag,

Het Orakel
20-04-2010, 15:48 door Anoniem
Door de publicatie van het onderzoek is de dreiging die uitgaat van de zwakheden toegenomen; iedereen kan namelijk opzoeken wat de bekende zwakheden zijn.

Het lijkt me dan ook dat je op dit moment niet anders hoort te beslissen dan de zwakheden te repareren.

Greetingz,
Jacco
20-04-2010, 17:26 door spatieman
ach joh, niets aan de hand.
iedere verzekeringsboer kan ondertussen tot je EPD, en zo iemand DWINGEN tot het afsluiten van een bepaalde verzekering.
of erger, juist iemand weigeren voor een bepaalde verzekering.

ps, zojuist het EPD van Balkie gelezen, hij gebruikt al jaren viagra las ik net.
21-04-2010, 08:05 door Anoniem
Overigens kom je met een UZI overal binnen ;) Maar het is weer typisch struisvogel politiek, echt schandalig!
21-04-2010, 09:44 door Anoniem
VWS stelt dat de genomen maatregelen adequaat zijn. VWS zegt niet dat er geen gaten zijn (tenminste, dat haal ik niet uit de citaten in dit stuk). Houd je bij de feiten.
Ik vind het vreemd dat er alleen positieve reacties op dit verhaal zijn gepubliceerd.

Carl van Denzen
21-04-2010, 15:38 door Anoniem
Door Carl van Denzen: VWS stelt dat de genomen maatregelen adequaat zijn. VWS zegt niet dat er geen gaten zijn (tenminste, dat haal ik niet uit de citaten in dit stuk). Houd je bij de feiten.



De feiten staan toch in het docje van die onderzoeker en zijn bevestigd door de Nictiz? Klik op de linkjes
En VWS zegt toch dat de toetsing afdoende waarmee het zegt dat het goed is?

Of bedoel je andere feiten? graag ff delen dan, we zijn reuze benieuwd wat jij weet en wat Nictiz en vele anderen (incl. de artsen die niet mee willen doen) niet weten.

A propos de positieve reacties - de mensen hier hebben weinig vertrouwen in de overheid en kennis van beveiliging. Da's nu eenmaal dodelijk voor een slecht verhaal als het EPD.
21-04-2010, 19:26 door [Account Verwijderd]
[Verwijderd]
23-04-2010, 09:40 door Anoniem
Ja, een het GBZ is ook feitelijk niet verplicht:

http://digitalezorg.nl.server23.firstfind.nl/nen7510/faq.php?main=21&lck=0&sub=44

1. Is het gebruik van NEN 7510 verplicht?

"Nu er een door het hele zorgveld afgesproken norm is (NEN 7510) kan de toezichthouder bijna niet anders dan de norm als uitgangspunt nemen bij het toezicht. Er is sprake van verantwoorde zorg als de norm wordt gevolgd".

Maar ja, de norm zelf is niet gratis, niet openbaar, dus als burger kun je niet controleren wat er in staat. Maar omdat het niet openbaar is, kan het niet wettelijk bindend zijn, heeft de rechter bepaald. Oftewel de norm onder GBZ is adviserend. En als je de norm in-depth leest - wat ik vanwege werk gedaan heb, dan zie je dat de norm best aardig is, maar absoluut geen 'hoge eisen' stelt.

2. Valle alle zorgsystemen vallen onder NEN7510?

dat is onduidelijk. Volgens sommigen wel, volgens veel instellingen niet. De ziekenhuizen waar ik beroepsmatig kom (ja, beveiliging), stellen dat alleen het koppelvlak met de landelijke EPD systemen zélf eronder vallen, de rest van de automatisering niet.

Oftewel er is geen dwingende norm, de norm die er is, is hooguit gemiddeld en het is niet iedereen even duidelijk welke systemen er aan moeten voldoen.
23-04-2010, 17:17 door Anoniem
Hee, waarom lezen we hier niks over het feit dat het honderden doden per jaar regent in Nederlandse ziekenhuizen als gevolg van onnodige medische fouten? Die fouten kunnen met een landelijk EPD voor een groot deel vermeden worden.

Ongelooflijk dat security nerds het alleen over security kunnen hebben bij dit onderwerp.

Bij de weg: geldt bovenstaand verhaal ook voor regionale EPD's?
24-04-2010, 08:41 door [Account Verwijderd]
[Verwijderd]
24-04-2010, 09:04 door [Account Verwijderd]
[Verwijderd]
25-04-2010, 11:41 door Anoniem
"Ik vind het vreemd dat er alleen positieve reacties op dit verhaal zijn gepubliceerd"

Een ronduit bizarre en insinuerende opmerking, tenzij er aanwijzingen zijn dat er sprake is van andere negatieve reacties die niet zijn gepubliceerd. Enige onderbouwing voor je opmerking zou op zijn plaats zijn.

"Hee, waarom lezen we hier niks over het feit dat het honderden doden per jaar regent in Nederlandse ziekenhuizen als gevolg van onnodige medische fouten? Die fouten kunnen met een landelijk EPD voor een groot deel vermeden worden."

Dit standpunt heeft ook wel enige onderbouwing nodig. Kan je wat bronnen leveren welke je standpunt ondersteunen, of is het eerder een aanname ? Immers kunnen bij het EPD ook fouten gemaakt worden welke juist medische fouten kunnen veroorzaken.

Op basis waarvan kunnen we stellen dat het EPD zal leiden tot minder danwel meer medische fouten ? Is dat niet iets wat je pas kan vaststellen nadat het EPD enige tijd is ingevoerd, op basis van evaluatie van medische missers, en de causaliteit van die missers in relatie tot het EPD ?
26-04-2010, 16:45 door Anoniem
Mooi
Kan deze heer zich nog eens tegen de OV chip kaart aanbemoeien?
En aan de slimme meter
en aan het paspoort
en ..
en..
etc
29-04-2010, 15:31 door martijno
Peter,

Een aantal jaar geleden heeft een afstudeerder van mij gekeken naar gebruik van de DBC voor autorisatie bij EPD [1]. Conclusie op dat moment was dat het niet handig werkt: in de praktijk wordt niet voor elke behandeling een DBC aangemaakt, dus je krijgt erg veel valse positieven. Bottleneck was niet het gebrek aan bewijs voor "claims based autorisatie".

Martijn

[1] http://www.cs.ru.nl/~perry/publications/2007/BNAIC2007-EPD/bnaic2007.pdf
30-04-2010, 14:10 door Anoniem
Door martijno: Peter,

Een aantal jaar geleden heeft een afstudeerder van mij gekeken naar gebruik van de DBC voor autorisatie bij EPD [1]. Conclusie op dat moment was dat het niet handig werkt: in de praktijk wordt niet voor elke behandeling een DBC aangemaakt, dus je krijgt erg veel valse positieven. Bottleneck was niet het gebrek aan bewijs voor "claims based autorisatie".

Martijn

[1] http://www.cs.ru.nl/~perry/publications/2007/BNAIC2007-EPD/bnaic2007.pdf

Dan is de informatievoorziening dus niet voldoende op orde. Tja, dan zal een EPD met voldoende beveiliging conform de regels wel te hoog gegrepen zijn
11-05-2010, 13:31 door Anoniem
LS

Mooi artikel alleen ik zou het graag aanvullen met de opemrking dat het wat eenzijdig ict benadert is, het EPD kan geen suscces worden als ook de jurische aspecten goed geregeld zijn, dwz wie is waar precies voor verantwoordelijk, hoe weten we(arts en patient) dat de info up to date is, gaan artsen zich baseren op de info uit het EPD......? ik denk het niet iedere arts zal het zekere voor het onzekere nemen en de info willen toetsen al was het maar om geeen claims aan de broek te krijgen..........Kortom er is nog een lange weg te gaan.

BA Schoemaker
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.