image

CG-Raad: laat hackers EPD kraken

vrijdag 10 september 2010, 09:41 door Redactie, 21 reacties

De Chronisch zieken en Gehandicapten Raad Nederland heeft minister Klink toestemming gevraagd om het Elektronisch Patiënten Dossier met behulp van hackers te kraken. Volgens de CG-Raad kan het EPD voor chronisch zieken en gehandicapten tot verbetering van de zorg leiden. "Maar een absolute voorwaarde voor invoering is wel dat de veiligheid van het systeem goed geregeld is." En daar lopen de meningen sterk over uiteen.

De CG-Raad wil daarom zelf een beveiligingstest van het EPD uitvoeren. "De CG-Raad wil ook hackers inzetten en dus wordt de minister hiervoor om toestemming gevraagd." Die zouden het EPD in "haar natuurlijk omgeving" moeten testen en niet in een laboratoriumopstelling. "Wij realiseren ons dat een dergelijk verzoek oproept tot handelingen die gezien kunnen worden als crimineel van aard en vragen u deze handelingen voor een beperkte termijn toe te staan. Als hieruit blijkt dat het systeem ‘hackproof’ is, dan zal het vertrouwen in het EPD sterk toenemen. Graag vernemen wij of u deze uitdaging aanneemt", zo staat in deze brief die Klink ontving.

Randvoorwaarden
Daarnaast heeft de CG-Raad minister Klink nog verschillende andere randvoorwaarden voorgelegd. Zo moet de patiënt bepalen in welk onderdeel van het dossier iemand anders inzage krijgt en de periode waarbinnen dit recht op inzage geldt. Ook moet de patiënt terug kunnen komen op het geboden inzagerecht.

Verder moet misbruik van gegevens, misbruik van inzagerecht of inzage zonder toestemming strafbaar worden gesteld en moet de privacy en veiligheid van de gegevens gewaarborgd zijn. "Met name voor chronisch zieken en gehandicapten met omvangrijke dossiers is er vaak sprake van privacygevoelige informatie in de dossiers. Voor hen weegt deze randvoorwaarde zeer zwaar. Gisteren werd bekend dat het EPD op dit moment te onveilig is om patiënten via internet toegang tot hun dossier te geven.

Reacties (21)
10-09-2010, 10:04 door Anoniem
Het lijkt mij dat chronisch zieken en gehandicapten veel minder behoefte hebben aan privacy aangezien dat soort dingen toch al bij de omgeving bekend zijn. Die SOA-test die je moest doen nadat je een keer te dronken was om een condoom te gebruiken heeft veel meer privacy nodig.

Uiteindelijk is het de vraag, wat weegt zwaarder, privacy, of een behandelende arts die altijd accurate gegevens over een patient kan opvragen?
10-09-2010, 10:45 door Anoniem
Ik heb ook al gedacht zelf toestemming te vragen om het EPD aan te vallen, op het moment dat het (met testdata aub) online gaat. Mijn gegevens zouden er ook in komen, maar ik wel dan ook zelf de veiligheid ervan testen.
10-09-2010, 10:47 door Anoniem
Het zijn niet alleen de chronische zieken en gehandicapten maar ook iedere werknemer .
De inhoud van dit systeem kan ook misbruikt worden voor een darwinistische selectie door werkgevers.
Deze gegevens zijn veel geld waard voor mensen met onzuivere motieven dus hacken in opdracht van criminelen is een zeer groot risico.

Het kan heel misbruikt worden als een "big brother" en daar zit de meerderheid van onze Nederlanders niet op te wachten.
Het systeem zou mits het veilig is erg goed zijn.

Er is geen betere test dan goede hackers , hackers zijn tenslotte als ze aan de goed kant zitten de perfecte beveiligers .
10-09-2010, 10:56 door Anoniem

Uiteindelijk is het de vraag, wat weegt zwaarder, privacy, of een behandelende arts die altijd accurate gegevens over een patient kan opvragen?
Het lijkt mij dat er een goede mix moet zijn tussen beide. Het laten testen door 'onafhankelijke experts' lijkt mij een goede zaak. Dan kunnen er wellicht aanvullende maatregelingen worden genomen. Echter lijkt het mij ondoenlijk om een systeem fatsoenlijk te beveiligen waar tienduizenden mensen, min of meer volledige, toegang tot hebben. Onterechte toegang kan achteraf wel worden gedetecteerd, echter dan is het natuurlijk al te laat...
10-09-2010, 11:31 door [Account Verwijderd]
[Verwijderd]
10-09-2010, 12:16 door Anoniem
Eigenlijk zouden ze als voorwaarde moeten stellen dat de beveiliging minstens net zo goed is als de beveiliging van het vorige systeem. Dan blijf je tenminste redelijk, want van een nieuw product of systeem kan je niet verwachten dat het al je problemen oplost. Ik stel voor dat er ook even cristisch onderzoek gedaan wordt naar de beveiliging van het huidige systeem, waarbij je dossier dus door postbodes en mensen op het postkantoor van afzender naar geadresseerde gaat, of waar gevoelige gegevens gefaxt worden over een telefoonlijn die makkelijk afgeluisterd kan worden.
10-09-2010, 13:11 door Anoniem
Door Anoniem: Ik heb ook al gedacht zelf toestemming te vragen om het EPD aan te vallen, op het moment dat het (met testdata aub) online gaat. Mijn gegevens zouden er ook in komen, maar ik wel dan ook zelf de veiligheid ervan testen.

Waarom wachten? EPD-mini bestaat al. De huisartsen en apotheken in jou buurt delen al informatie automatisch met de ziekenhuizen in de buurt. Hoe denk je anders dat een huisartsenpost zijn werk kan doen? Het enige is dat de landelijk EPD eisen stelt aan toegang en de lokale niet. Het zou dus makkelijker te kraken moeten zijn.

Ik zeg, ga je gang.
10-09-2010, 13:39 door Preddie
Door Anoniem:
Door Anoniem: Ik heb ook al gedacht zelf toestemming te vragen om het EPD aan te vallen, op het moment dat het (met testdata aub) online gaat. Mijn gegevens zouden er ook in komen, maar ik wel dan ook zelf de veiligheid ervan testen.

Waarom wachten? EPD-mini bestaat al. De huisartsen en apotheken in jou buurt delen al informatie automatisch met de ziekenhuizen in de buurt. Hoe denk je anders dat een huisartsenpost zijn werk kan doen? Het enige is dat de landelijk EPD eisen stelt aan toegang en de lokale niet. Het zou dus makkelijker te kraken moeten zijn.

Ik zeg, ga je gang.

de huisartenpost wordt nog wel eens vergeten maar deze beschikken ook over veel informatie, vaak ook niet gewild. Zo had ik laatste deze post aan de lijn en had mevrouw de verkeerde gegevens voor haar, maar ik denk laat ik gewoon is overal je op zeggen en vervolgens een aantal opvragen stellen. Vervolgens begon mevrouw het meer en deel van het dossier aan mij voor te lezen...... ik stond helemaal versteld, dit is schandalig!!!

Vervolgens heb ik direct de dag erop contact gelegd met het CBP om hier melding van te maken. Toen ik erachter kwam dat het CBP net zo bureaucartisch is als de overheid heb ik verder geen moeite meer gedaan..... "Ja mevrouw A is daarvoor een mevrouw A is er morgen pas weer, dan moet u morgen maar terug bellen" Bel je een dag later "Ja mevrouw A is even met lunch pauze en is vanmiddag afwezig u kunt beter morgen terug bellen" ik had toen al gegeten en gedronken .... bah !
10-09-2010, 16:38 door Mysterio
Het kan ook andersom werken. Toen de Russische maffia zich ging vestigen in de USA bleven ze vrij lang onder de radar van de FBI omdat ze elk onderzoek tegen hen lieten oplopen tegen een muur van formulieren, overnames, niet langer bestaande filialen en alle bureaucratische trucjes die de overheid zelf gebruikt om bepaalde zaken ontoegankelijk te houden voor de normale burger.

Het is toch te gek voor woorden dat op dit moment een receptioniste/telefoonzuster of een hacker makkelijker bij mijn gegevens kunnen dan ik zelf!?

Stel nou dat ik inderdaad chronisch ziek zou zijn, of een verleden van ziekte zou hebben, en ik ga solliciteren bij een bedrijf waar ze een kennis hebben die receptioniste is bij de locale kliniek. Dan gaan ze me vast vertellen dat ik niet in het profiel pas of zo. Ben je mooi de sigaar!
10-09-2010, 16:40 door Night
Goed initatief, als meer organisaties en lobbiegroepen zich aansluiten komt er meer druk.

Veiligheid is van groot maaschappelijk belang dat heeft de minister wel erkend.
Als je dan een testsysteem niet durft blootstellen aan penetration testers van belangengroeperingen hoe leg je dat dan aan de burgers uit. En hoe maak je dan nog geloofwaardig dat het echte ding wel veilig is.

Aan de andere kant droom ik ook wel eens: als ik die 16 miljoen dossiers kan lichten, hoeveel mensen kan ik dan chanteren? Dat moet een heel aardige boterham kunnen opleveren.
10-09-2010, 16:45 door Anoniem
Het klinkt alsof ze een deel van het probleem goed hebben begrepen, maar een ander deel totaal niet. De slordigheid waarmee binnen een groot aantal praktijken wordt omgegaan met informatie en informatiesystemen vormt een zeer groot risico; hackers die van buitenaf toegang krijgen tot het systeem zijn niet de enige dreiging.
10-09-2010, 18:58 door Anoniem
Door Anoniem: Het lijkt mij dat chronisch zieken en gehandicapten veel minder behoefte hebben aan privacy aangezien dat soort dingen toch al bij de omgeving bekend zijn. Die SOA-test die je moest doen nadat je een keer te dronken was om een condoom te gebruiken heeft veel meer privacy nodig.

Uiteindelijk is het de vraag, wat weegt zwaarder, privacy, of een behandelende arts die altijd accurate gegevens over een patient kan opvragen?

Dat is volslagen idioot, chronisch zieken en gehandicapten hebben net zoveel behoefte aan privacy als alle andere mensen, en kunnen net zo goed een keer een SOA-test moeten doen. Jij vind het vast ook niet erg als mensen het weten als je vorig jaar een keer een been hebt gebroken maar dat zegt natuurlijk niets over de andere dingen die in het dossier staan.
10-09-2010, 22:51 door TD-er
Door Peter V: Ik heb gisteren gelezen dat patiënten voorlopig niet in hun eigen EPD mogen komen.

De reden?

GSM-encryptie en SMS-verkeer ligt binnenkort volledig op straat (binnen een jaar is apparatuur te kopen hiervoor zo is de verwachting)

Niet lachen, nu komt het:
Het is juist via het GSM en SMS-verkeer dat men EPD-toegang aan de patiënt wilde verlenen.
http://webwereld.nl/nieuws/67108/pati--ntinzage-epd-struikelt-over-beveiliging.html?utm_source=category_news_list_beveiliging&utm_medium=website&utm_campaign=ww

Wat de CG-raad wil is dus allang achterhaald. Het systeem is allang en breed gekraakt.
Nee, het systeem is niet (af)gekraakt, maar men heeft een reden gevonden om de gewone burger geen toegang te geven.
Persoonlijk vind ik het nogal vreemd dat ze de enige toegang voor de burger afsluiten, terwijl je via die weg hooguit bij de data van 1 persoon kunt komen en er zijn nog andere ingangen waarbij je bij vele dossiers kunt komen.

Als het te doen was om de veiligheid van de data zou het project compleet stilgelegd moeten worden en niet de patiënt juist verstoken van zijn eigen gegevens.

Hoe moet je nu als patiënt inzien wat er in je eigen dossier staat en hoe moet je erachter komen wie er bij je gegevens is geweest?
Dat waren de enige positieve punten voor de burger aan dit systeem. Voor de rest is het alleen maar gevaarlijker omdat bij een lek ineens alles bereikbaar is en mogelijk niet eens detecteerbaar wat ingezien is.

En voor die enkele voorstander die aankomt met ambulancepersoneel die je van straat plukken.... die gaan echt niet eerst je dossier doorpluizen. In alle andere gevallen is het oude systeem snel genoeg.

Ik zie het nog wel gebeuren dat verzekeraars toegang gaan krijgen tot dit systeem. Nu is dat nog ondenkbaar maar over een paar jaar zijn we wel zover gemasseerd met dat idee dat niemand er meer over zal vallen en misschien levert het de overheid nog wat leuke centen op.
11-09-2010, 11:49 door Anoniem
Door TD-er:
Nee, het systeem is niet (af)gekraakt, maar men heeft een reden gevonden om de gewone burger geen toegang te geven.
Het landelijk EPD is wel afgekraakt. Diverse onderzoekers hebben al beveiligingslekken aangetoond. O.a.: http://webwereld.nl/nieuws/56673/epd-pas-gekraakt-om-ongelijk-klink-te-bewijzen.html en http://www.joop.nl/leven/detail/artikel/epd_gekraakt_door_onafhankelijk_onderzoek/.
11-09-2010, 14:16 door Anoniem
wel dat klink een man die alles beter weet en ook de schaduwzijde van onze regering dat niets anders is als een jaknikkers bende van amerika gewoon eerlijk zijn en ronduit zeggen waar het op staat ik heb zelf het falend beleidt van ons zorgstelsel meegemaakt op een zaterdag hoeste ik bloed op belde de weeekend dienst die pas na extreme druk kwamen maar niet eens wist wat ik makeerde copd4 in extreme vorm dat niet erkend wordt vanwege de oorzaak mo 2 gas ofwel militair oorlogsgas en ja hoor van de amerikaan geen recht op iets geen enkele erkening ervan enkel een waardeloze minister van christelijk nivo kan niet anders die daar juist niets aan wil doen maar je kan dus rekenen dat ook als mens je voor de staat niet telt enkel betalen is je recht en je plicht

willem sas van gent
12-09-2010, 15:39 door Anoniem
Anoniem vraagt zich af wat zwaarder weegt: privacy, of een behandelende arts die altijd accurate gegevens over een patient kan opvragen?
Dit is een ernstig knelpunt van het EPD. De gegevens in mijn medisch dossier zijn onjuist. De gegevens die opgevraagd worden via EPD kunnen de behandelend arts dus volkomen op het verkeerde been zetten.
De artsen worden door het EPD nog meer uitgenodigd om niet hun kennis en verstand te gebruiken, maar "compliant" te zijn met de behandeling van andere artsen, artsen die zij waarschijnlijk niet eens kennen. De vraag wat zwaarder weegt, privacy of "accurate" gegevens, is voor mij wel duidelijk. Ik heb geen minister nodig om die vraag namens mij te beantwoorden. Om het wat zwaarder aan te zetten: hoewel het EPD bedoeld is om patienten sneller en beter te helpen, vraag ik mij af wanneer de eerste slachtoffers zullen vallen door het EPD.
12-09-2010, 17:03 door monica8
Er zijn steeds meer gevallen waar gegevens van Nederlandse verzekerden in de administratie van buitenlandse ziekenhuizen opduiken waar de verzekerde nog nooit van zijn leven is geweest, maar waar wel mensen zijn behandeld op basis van gestolen ID gegevens. Criminelen zijn altijd op zoek naar financieel gewin en dat zullen ze dus ook doen met EPD.
12-09-2010, 18:39 door Anoniem
Het hele EPD zit in de koelkast. Govcert doet oa haar werk niet niet. Laat hackers het vooral niet kraken dit systeem faalt.

http://mogbugs.blogspot.com/
13-09-2010, 19:28 door Anoniem
Door Anoniem: Het hele EPD zit in de koelkast. Govcert doet oa haar werk niet niet. Laat hackers het vooral niet kraken dit systeem faalt.

http://mogbugs.blogspot.com/

En wat zou Govcert hieraan moeten doen? HINT: EPD is niet van de overheid....
15-09-2010, 03:25 door Anoniem
Je moet kijken naar de belanghebbenden.

Bedrijfsleven moet 2 jaar doorbetalen bij ziekte, dus die heeft een tienduizenden euro derving per medewerker.

EDP is voor hen een optie om elementen te vinden in medisch dossier die na subtiel wit te zijn gewassen gebruikt worden om iemand te dumpen.

Aangezien je EDP systeem maar eenmaal hoeft te doorbreken om telkens weer veel geld te kunnen verdienen, is het maar de vraag of het gehacked moet worden.

Hoeveel mensen die technisch al toegang hebben hebben dermate ethische maatstaven dat ze duizenden euro kunnen weerstaan ? Immers als je als ICT'er enig ethisch besef had gehad, had je niet aan dit project WILLEN werken.

Bij deze de oproep om doodstraf in te voeren en iedereen die zich hieraan gaat schuldig maakt meteen tegen de muur te zetten. (of EPD afschrijven)

ps: de enige ECHTE grote kostenpost zijn de patiënten zelf. En dan met name hun logistieke proces binnen een ziekenhuis. Als je kunt zorgen dat patient NIET beweegt maar op zijn plek blijft en de artsen bewegen bespaar je al meer dan dat je nodig hebt. (maar goed waarom efficiënt werken, terwijl iedereen aan zijn eigen kamer/kantoor gewend is ?)
15-09-2010, 06:11 door Anoniem
Het ligt aan de beveiliging van de site als je de site beveiligd zoals bijvoorbeeld de abn amro (online inloggen met e identifier) is het niet gemakkelijk te kraken. Als er een mogelijkheid is om de site te kraken is dit waarschijnlijk mogelijk door een exploit en geen bruteforce aanval, dus success
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.