Patiënten kunnen straks instellen wie er toegang tot hun Elektronisch Patiëntendossier krijgt, maar dat maakt gegevens niet veiliger. Dat zegt beveiligingsexpert Peter Rietveld van Traxion tegen Security.nl. Minister Edith Schippers (VWS) laat vandaag aan de Tweede Kamer weten dat patiënten meer "regie" over hun EPD krijgen. Op voorhand kan men aangeven dat bijvoorbeeld alleen de eigen huisarts, specialist en apotheek de gegevens mogen inzien en andere niet.
Verder gaat de minister de toegang van patiënten tot het EPD wijzigen. In plaats dat dit via een door de overheid opgezette, landelijke portaal gebeurt, wil zij dat patiënten via de website van de zorgverlener in het EPD kunnen komen. Reden hiervoor is dat via websites van zorgverleners aanvullende informatie en service geboden kan worden, zoals notitie- en afspraakmogelijkheden en het inzien van röntgenbeelden, labwaarden en ontslagbrieven. Ook kunnen burgers aangeven dat ze automatisch een melding per e-mail of sms krijgen wanneer hun medische gegevens via het EPD worden geraadpleegd.
Portal
Deze opties maken het systeem niet veiliger, stelt Rietveld. "Wat het doet is de mensen toegang geven zoals 95/46 en WBP belooft. Wat nu het interessante is, hoe ze de keuze die je blijkbaar kunt maken (alleen eigen arts, etc.) denken af te dwingen." Het autorisatiemodel is namelijk gebaseerd op 'controle achteraf'. De beveiligingsexpert vraagt zich af waar burgers die straks bericht krijgen dat iemand hun EPD heeft ingezien terechtkunnen en opheldering kunnen vragen over het waarom. "Moet ik dan naar de balie van de instelling waar ze gekeken hebben? Kunnen die dan antwoord geven?"
Ook is het de vraag of het opvragen van een verklaring over elke melding gratis is voor de patiënt. Volgens Rietveld hoeft dit geen slecht idee te zijn. "Maar het is een beetje zinloos; wie leest er wel eens het logfile van zijn firewall?" Hij vindt het nog interessanter dat als straks het een en ander via de zorgverlener moet. "Blijkbaar gaat mijn tandarts een webportal opzetten, dat mij toegang geeft tot al mijn medische gegevens bij al die verschillende zorgaanbieders. Dit riekt naar een heel goedkope bezuiniger. Ik begrijp dat je je intenties mag aangeven van de minister, wat ik zou willen is inzage in de logs om te zien wie er daadwerkelijk toegang heeft gehad. En niet alleen via de portal van mijn tandarts."
DigiD
Gebruikers zouden via DigiD moeten inloggen, maar dat is niet veilig genoeg. Daarbij draait DigiD op oudere versies van A-Select, die inmiddels niet meer ondersteund worden. Daarnaast zou DigidD X niet goed te onderhouden zijn. "Gegeven dat je inlogt met een wachtwoord, zoals altijd voor DigID, is je lokale pc een zeer kwetsbare schakel." Rietveld ziet meer iets in een oplossing zoals banken gebruiken, zoals een one time password via een telefoon. "Bovendien zouden we ooit sterke authenticatie krijgen op DigiD medical, en dat is blijkbaar ook niet meer nodig."
Ethische hackers
De minister laat verder weten dat er op de onderdelen van het EPD verschillende "indringerstesten" zijn uitgevoerd. Naast verschillende experts op het gebied van elektronisch gegevensverkeer worden hiervoor ook ‘ethical hackers’ ingeschakeld. "Deze testen hebben geleid tot aanpassingen en verbeteringen, maar niet tot kritieke bevindingen", aldus de minister. Voorafgaand aan de verplichte aansluiting op het EPD wordt er een grootschalige, ketenbrede indringerstest georganiseerd. Inmiddels heeft 2,6% van de Nederlandse bevolking bezwaar tegen het EPD gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.