image

"EPD niet veiliger door nieuwe opties"

donderdag 13 januari 2011, 11:48 door Redactie, 17 reacties

Patiënten kunnen straks instellen wie er toegang tot hun Elektronisch Patiëntendossier krijgt, maar dat maakt gegevens niet veiliger. Dat zegt beveiligingsexpert Peter Rietveld van Traxion tegen Security.nl. Minister Edith Schippers (VWS) laat vandaag aan de Tweede Kamer weten dat patiënten meer "regie" over hun EPD krijgen. Op voorhand kan men aangeven dat bijvoorbeeld alleen de eigen huisarts, specialist en apotheek de gegevens mogen inzien en andere niet.

Verder gaat de minister de toegang van patiënten tot het EPD wijzigen. In plaats dat dit via een door de overheid opgezette, landelijke portaal gebeurt, wil zij dat patiënten via de website van de zorgverlener in het EPD kunnen komen. Reden hiervoor is dat via websites van zorgverleners aanvullende informatie en service geboden kan worden, zoals notitie- en afspraakmogelijkheden en het inzien van röntgenbeelden, labwaarden en ontslagbrieven. Ook kunnen burgers aangeven dat ze automatisch een melding per e-mail of sms krijgen wanneer hun medische gegevens via het EPD worden geraadpleegd.

Portal
Deze opties maken het systeem niet veiliger, stelt Rietveld. "Wat het doet is de mensen toegang geven zoals 95/46 en WBP belooft. Wat nu het interessante is, hoe ze de keuze die je blijkbaar kunt maken (alleen eigen arts, etc.) denken af te dwingen." Het autorisatiemodel is namelijk gebaseerd op 'controle achteraf'. De beveiligingsexpert vraagt zich af waar burgers die straks bericht krijgen dat iemand hun EPD heeft ingezien terechtkunnen en opheldering kunnen vragen over het waarom. "Moet ik dan naar de balie van de instelling waar ze gekeken hebben? Kunnen die dan antwoord geven?"

Ook is het de vraag of het opvragen van een verklaring over elke melding gratis is voor de patiënt. Volgens Rietveld hoeft dit geen slecht idee te zijn. "Maar het is een beetje zinloos; wie leest er wel eens het logfile van zijn firewall?" Hij vindt het nog interessanter dat als straks het een en ander via de zorgverlener moet. "Blijkbaar gaat mijn tandarts een webportal opzetten, dat mij toegang geeft tot al mijn medische gegevens bij al die verschillende zorgaanbieders. Dit riekt naar een heel goedkope bezuiniger. Ik begrijp dat je je intenties mag aangeven van de minister, wat ik zou willen is inzage in de logs om te zien wie er daadwerkelijk toegang heeft gehad. En niet alleen via de portal van mijn tandarts."

DigiD
Gebruikers zouden via DigiD moeten inloggen, maar dat is niet veilig genoeg. Daarbij draait DigiD op oudere versies van A-Select, die inmiddels niet meer ondersteund worden. Daarnaast zou DigidD X niet goed te onderhouden zijn. "Gegeven dat je inlogt met een wachtwoord, zoals altijd voor DigID, is je lokale pc een zeer kwetsbare schakel." Rietveld ziet meer iets in een oplossing zoals banken gebruiken, zoals een one time password via een telefoon. "Bovendien zouden we ooit sterke authenticatie krijgen op DigiD medical, en dat is blijkbaar ook niet meer nodig."

Ethische hackers
De minister laat verder weten dat er op de onderdelen van het EPD verschillende "indringerstesten" zijn uitgevoerd. Naast verschillende experts op het gebied van elektronisch gegevensverkeer worden hiervoor ook ‘ethical hackers’ ingeschakeld. "Deze testen hebben geleid tot aanpassingen en verbeteringen, maar niet tot kritieke bevindingen", aldus de minister. Voorafgaand aan de verplichte aansluiting op het EPD wordt er een grootschalige, ketenbrede indringerstest georganiseerd. Inmiddels heeft 2,6% van de Nederlandse bevolking bezwaar tegen het EPD gemaakt.

Reacties (17)
13-01-2011, 12:14 door Prlzwitsnovski
2,6%? Dat is weinig. Van de mensen die ik ken heeft op zijn minst 90% bezwaar gemaakt. Zelfs mijn oma.
13-01-2011, 12:33 door Anoniem
2,6% is ongeveer 400.000 mensen.
Als je dat weinig vindt.

En de rest vindt dat ze niets te verbergen hebben ;->
13-01-2011, 12:36 door Anoniem
Als bij het EPD voor een opt-in systeem gekozen was, in plaats van een out-out systeem, hoeveel mensen hadden dan gereageerd?
97,4% of hééééééééél veel minder mensen?
13-01-2011, 12:56 door Syzygy
Door Prlzwitsnovski: 2,6%? Dat is weinig. Van de mensen die ik ken heeft op zijn minst 90% bezwaar gemaakt. Zelfs mijn oma.

Ik sta er ook wel een beetje van te kijken
13-01-2011, 13:30 door WhizzMan
Security-advies van iemand die niet in de logfiles van z'n firewall kijkt, zou ik niet te serieus nemen.

Het hele ontwerp van het systeem is totaal niet geschikt om privacy te waarborgen. Pretenderen dat het toch kan en zal gebeuren is daarom ook totaal onzinnig. Controle achteraf, geen strafmaatregelen, instellingen waar hele afdelingen met 1 login werken en dergelijke zijn by design gewoon redenen om er geen gegevens in op te willen slaan.
13-01-2011, 14:35 door Anoniem
Wat een waanzin Nederland. Moet er niet aan denken dat ze het EPD ook nog eens de grond inboren.
Kostte al duizenden kinderen en vaders de grootste ellende, omdat borderlinemoeders hier alles kunnen maken onder de plu van een verzwijgende ggz bij familierecht en scheidingen,
hoe ga je anders voortaan dat kinderrechtenverdrag voor kinderen eindelijk respecteren in dit achtergebleven onbeschofte rotland voor kinderen?
De grofste rapportages las ik met de meest wanstaltige valse verklaringen door dat soort mensen-moeders-borderliners en nog steeds tegen heug en meug in later 'omgangshuizen' gezag of omgang met zulke mensen die zich nog moeder wensen te noemen ook?
Walging.
Hebben mensen dan totaal geen notie dat die patiëntjeskwekerij en (ps) kindermishandeling in en door familierecht o.a.
eens over moet zijn?
In -belang van het kind- die hier misbruikte term in zaken?
13-01-2011, 15:57 door [Account Verwijderd]
[Verwijderd]
13-01-2011, 16:42 door Anoniem
Door hamiltonians: Kun je overigens al bezwaar maken tegen het EPD zonder al je persoonlijke informatie per post op te sturen?

Je, dat kan met gebruik van dat vermaledijde DigiD:
http://www.infoepd.nl/page/Inzage-en-bezwaar/Bezwaar-maken
13-01-2011, 16:49 door Anoniem
Hamiltonians,
Ik weet niet wat je met "al je persoonlijke informatie" bedoeld, maar ik denk dat het niet kan. Ik heb onlangs bezwaar gemaakt. Dat moest door eerst in te loggen met DigiD. Dan een zware waarschuwing negeren (ook in noodgevallen kan de arts dan niet bij je gegevens via EPD!). Daarna krijg je een brief thuis waar je je handtekening op moet zetten (weer die waarschuwing!). In die brief staan je naam, adres en BSN. Die stuur je dan weer terug. (Gaan je gegevens dus 2x over de post.)

Overigens kreeg ik pas onlangs voor het eerst bericht dat mijn zorgverlener mijn gegevens aan het EPD wil aanbieden, dus heb ik pas nu bezwaar gemaakt. Kennelijk is nog niet iedere zorgverlener aangesloten. Ik weet niet hoeveel % van de mensen nu in het EPD zit, maar dat zal dus geen 97,4% zijn.
13-01-2011, 17:45 door Anoniem
Je kunt ook een bedrijfje/groep starten wat dat vervolgens voor iedereen doet - dat in de gaten houden, zodat het EPD de geheletijd ge-ddos'd wordt. Lijkt me wel leuk om zoiets op te zetten. server parkje bouwen en gaan. Hoor de dokters al zeuren over de trage werking van het EPD, dan zijn we er zo vanaf joh... ;-)

Om over de security nog maar te zwijgen. 'k Weet zeker dat er mensen zijn die dat wel leuk vinden even je EPD-password op een site invullen en je krijgt vanzelf een mailtje als je er iemand jouw gegevens opvraagt - super handig toch...(?)
En ondertussen een eigen database aanmaken met die data en slapend rijk worden. Ging toch europees dat EPD of toch wereldwijd???

Je snapt wat ik bedoel hoop ik...
13-01-2011, 18:28 door [Account Verwijderd]
[Verwijderd]
13-01-2011, 22:52 door ej__
"Deze testen hebben geleid tot aanpassingen en verbeteringen, maar niet tot kritieke bevindingen"

't Is maar net hoe je kritieke bevindingen definieert...
14-01-2011, 09:29 door Anoniem
Door hamiltonians: @Anoniem 13-01-2011 16:49:
Ik had een hele poos geleden ook bezwaar tegen opname in het EPD aangetekend, en moest hier voor een duidelijke kopie van mijn paspoort bij het bezwaar per post opsturen.
(en met vermelding van o.a. Sofi nummer zie ik dit als kritisch)
Voor kinderen tussen 12 en 16 moet nog steeds dat kopie identiteitsbewijs meegestuurd worden. En het sofinummer , geboortedatum en adresgegevens moet bij iedereen op het formulier.
14-01-2011, 12:06 door spatieman
/sarcasme.
wat zeuren ze nu.
binnen nu en 1 jaar wordt het EPD aan google verkocht, omdat dat effectiever is.
en veel veiliger is om daar onder te brengen.
14-01-2011, 17:23 door Anoniem
Wanneer je bezwaar heb gemaakt kom je in een apart bestand, of een vlaggetje voor je naam.
14-01-2011, 23:09 door Anoniem
Uiteraard hebben de overheid &private partners en het vredelievende land Amerika directe toegang tot uw dossier, en nee, u krijgt dan geen waarschuwing.
15-01-2011, 01:25 door Anoniem
de dictatoriale democratie woekert voort
koste wat het kost gaan we nu toch gewoon het EPD afdwingen
in andere berichten lezen we dat nog geen 3% van de bevoling bezwaar gemaakt zou hebben. Laat me niet lachen. Ik schat in dat meer dan 60% van de mensen bezwaar hebben gemaakt.
Verder probeert men nu rekening houdend met die bezwaren alsnog eea in de markt te zetten waarbij iedere randdebiel begrijpt dat na 5 jaar door incidenten dat zelf bepalen wie toegang heeft tot… verdwijnt en ze alsnog gewoon hun zin hebben
Welkom in de satellietstaat Nederland naar Russisch model
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.