"EPD niet veiliger door nieuwe opties"
Patiënten kunnen straks instellen wie er toegang tot hun Elektronisch Patiëntendossier krijgt, maar dat maakt gegevens niet veiliger. Dat zegt beveiligingsexpert Peter Rietveld van Traxion tegen Security.nl. Minister Edith Schippers (VWS) laat vandaag aan de Tweede Kamer weten dat patiënten meer "regie" over hun EPD krijgen. Op voorhand kan men aangeven dat bijvoorbeeld alleen de eigen huisarts, specialist en apotheek de gegevens mogen inzien en andere niet.
Verder gaat de minister de toegang van patiënten tot het EPD wijzigen. In plaats dat dit via een door de overheid opgezette, landelijke portaal gebeurt, wil zij dat patiënten via de website van de zorgverlener in het EPD kunnen komen. Reden hiervoor is dat via websites van zorgverleners aanvullende informatie en service geboden kan worden, zoals notitie- en afspraakmogelijkheden en het inzien van röntgenbeelden, labwaarden en ontslagbrieven. Ook kunnen burgers aangeven dat ze automatisch een melding per e-mail of sms krijgen wanneer hun medische gegevens via het EPD worden geraadpleegd.
Portal
Deze opties maken het systeem niet veiliger, stelt Rietveld. "Wat het doet is de mensen toegang geven zoals 95/46 en WBP belooft. Wat nu het interessante is, hoe ze de keuze die je blijkbaar kunt maken (alleen eigen arts, etc.) denken af te dwingen." Het autorisatiemodel is namelijk gebaseerd op 'controle achteraf'. De beveiligingsexpert vraagt zich af waar burgers die straks bericht krijgen dat iemand hun EPD heeft ingezien terechtkunnen en opheldering kunnen vragen over het waarom. "Moet ik dan naar de balie van de instelling waar ze gekeken hebben? Kunnen die dan antwoord geven?"
Ook is het de vraag of het opvragen van een verklaring over elke melding gratis is voor de patiënt. Volgens Rietveld hoeft dit geen slecht idee te zijn. "Maar het is een beetje zinloos; wie leest er wel eens het logfile van zijn firewall?" Hij vindt het nog interessanter dat als straks het een en ander via de zorgverlener moet. "Blijkbaar gaat mijn tandarts een webportal opzetten, dat mij toegang geeft tot al mijn medische gegevens bij al die verschillende zorgaanbieders. Dit riekt naar een heel goedkope bezuiniger. Ik begrijp dat je je intenties mag aangeven van de minister, wat ik zou willen is inzage in de logs om te zien wie er daadwerkelijk toegang heeft gehad. En niet alleen via de portal van mijn tandarts."
DigiD
Gebruikers zouden via DigiD moeten inloggen, maar dat is niet veilig genoeg. Daarbij draait DigiD op oudere versies van A-Select, die inmiddels niet meer ondersteund worden. Daarnaast zou DigidD X niet goed te onderhouden zijn. "Gegeven dat je inlogt met een wachtwoord, zoals altijd voor DigID, is je lokale pc een zeer kwetsbare schakel." Rietveld ziet meer iets in een oplossing zoals banken gebruiken, zoals een one time password via een telefoon. "Bovendien zouden we ooit sterke authenticatie krijgen op DigiD medical, en dat is blijkbaar ook niet meer nodig."
Ethische hackers
De minister laat verder weten dat er op de onderdelen van het EPD verschillende "indringerstesten" zijn uitgevoerd. Naast verschillende experts op het gebied van elektronisch gegevensverkeer worden hiervoor ook ‘ethical hackers’ ingeschakeld. "Deze testen hebben geleid tot aanpassingen en verbeteringen, maar niet tot kritieke bevindingen", aldus de minister. Voorafgaand aan de verplichte aansluiting op het EPD wordt er een grootschalige, ketenbrede indringerstest georganiseerd. Inmiddels heeft 2,6% van de Nederlandse bevolking bezwaar tegen het EPD gemaakt.
Als je dat weinig vindt.
En de rest vindt dat ze niets te verbergen hebben ;->
97,4% of hééééééééél veel minder mensen?
Ik sta er ook wel een beetje van te kijken
Het hele ontwerp van het systeem is totaal niet geschikt om privacy te waarborgen. Pretenderen dat het toch kan en zal gebeuren is daarom ook totaal onzinnig. Controle achteraf, geen strafmaatregelen, instellingen waar hele afdelingen met 1 login werken en dergelijke zijn by design gewoon redenen om er geen gegevens in op te willen slaan.
Kostte al duizenden kinderen en vaders de grootste ellende, omdat borderlinemoeders hier alles kunnen maken onder de plu van een verzwijgende ggz bij familierecht en scheidingen,
hoe ga je anders voortaan dat kinderrechtenverdrag voor kinderen eindelijk respecteren in dit achtergebleven onbeschofte rotland voor kinderen?
De grofste rapportages las ik met de meest wanstaltige valse verklaringen door dat soort mensen-moeders-borderliners en nog steeds tegen heug en meug in later 'omgangshuizen' gezag of omgang met zulke mensen die zich nog moeder wensen te noemen ook?
Walging.
Hebben mensen dan totaal geen notie dat die patiëntjeskwekerij en (ps) kindermishandeling in en door familierecht o.a.
eens over moet zijn?
In -belang van het kind- die hier misbruikte term in zaken?
Je, dat kan met gebruik van dat vermaledijde DigiD:
http://www.infoepd.nl/page/Inzage-en-bezwaar/Bezwaar-maken
Ik weet niet wat je met "al je persoonlijke informatie" bedoeld, maar ik denk dat het niet kan. Ik heb onlangs bezwaar gemaakt. Dat moest door eerst in te loggen met DigiD. Dan een zware waarschuwing negeren (ook in noodgevallen kan de arts dan niet bij je gegevens via EPD!). Daarna krijg je een brief thuis waar je je handtekening op moet zetten (weer die waarschuwing!). In die brief staan je naam, adres en BSN. Die stuur je dan weer terug. (Gaan je gegevens dus 2x over de post.)
Overigens kreeg ik pas onlangs voor het eerst bericht dat mijn zorgverlener mijn gegevens aan het EPD wil aanbieden, dus heb ik pas nu bezwaar gemaakt. Kennelijk is nog niet iedere zorgverlener aangesloten. Ik weet niet hoeveel % van de mensen nu in het EPD zit, maar dat zal dus geen 97,4% zijn.
Om over de security nog maar te zwijgen. 'k Weet zeker dat er mensen zijn die dat wel leuk vinden even je EPD-password op een site invullen en je krijgt vanzelf een mailtje als je er iemand jouw gegevens opvraagt - super handig toch...(?)
En ondertussen een eigen database aanmaken met die data en slapend rijk worden. Ging toch europees dat EPD of toch wereldwijd???
Je snapt wat ik bedoel hoop ik...
't Is maar net hoe je kritieke bevindingen definieert...
Ik had een hele poos geleden ook bezwaar tegen opname in het EPD aangetekend, en moest hier voor een duidelijke kopie van mijn paspoort bij het bezwaar per post opsturen.
(en met vermelding van o.a. Sofi nummer zie ik dit als kritisch)
wat zeuren ze nu.
binnen nu en 1 jaar wordt het EPD aan google verkocht, omdat dat effectiever is.
en veel veiliger is om daar onder te brengen.
koste wat het kost gaan we nu toch gewoon het EPD afdwingen
in andere berichten lezen we dat nog geen 3% van de bevoling bezwaar gemaakt zou hebben. Laat me niet lachen. Ik schat in dat meer dan 60% van de mensen bezwaar hebben gemaakt.
Verder probeert men nu rekening houdend met die bezwaren alsnog eea in de markt te zetten waarbij iedere randdebiel begrijpt dat na 5 jaar door incidenten dat zelf bepalen wie toegang heeft tot… verdwijnt en ze alsnog gewoon hun zin hebben
Welkom in de satellietstaat Nederland naar Russisch model
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
