Nieuws
image

Onderzoeker: EPD niet te beveiligen

maandag 21 maart 2011, 10:49 door Redactie, 9 reacties

Het Elektronisch Patiëntendossier is niet te beveiligen, dat zegt Guido van 't Noordende, onderzoeker aan de Universiteit van Amsterdam. Van 't Noordende had een expertdiscussie met Bart Jacobs, hoogleraar computerbeveiliging in Nijmegen, die stelt dat het EPD wel veilig is te maken. Vorige week besloot minister Schippers (Volksgezondheid) de behandeling van het EPD tot 29 maart op te schorten, om te kijken of en hoe ze aan alle privacybezwaren tegemoet kan komen.

Van 't Noordende stelt dat zelfs als alle beveiligingsproblemen worden aangepakt, "wat op de schaal van het EPD en met de mankracht van Nictiz zeer onwaarschijnlijk is", dan zou er nog steeds sprake van function creep zijn. Een ander punt van kritiek is dat de verandering van het systeem afhankelijk is van de inzet van vele producenten van de aangesloten informatiesystemen, wat kosten en tijd met zich meebrengt. "Dat helpt ook niet mee - denk bijvoorbeeld aan de complexiteit van het invoeren van 'end-to-end' authenticatie, wat op zichzelf bezien toch een eenvoudige aanpassing is, maar op de schaal van het EPD kennelijk een enorme operatie die jaren vergt. Dit stemt mij niet optimistisch."

Big picture
De onderzoeker noemt de wet-EPD ook problematisch in de wijze dat het "informed consent" ten opzichte van bestaande wetgeving aanpast naar een generiek opt-out systeem waar de patiënt veel te weinig echte "regie" zou hebben. Bovendien zou de wet het een eenvoudige uitbreidbaarheid van het EPD mogelijk maken zonder veel parlementaire controle.

"Al met al is dit de "big picture" die ik zie. Dit naast de reële en serieuze beveiligingsproblemen die bestaan in het huidige systeem, en die niet zomaar oplosbaar zijn, maar waarmee de kans op misbruik onder meer toeneemt met de schaal van het systeem. Nog afgezien van de problemen die een hack van het centrale schakelpunt zou kunnen veroorzaken. Een afname van de mogelijkheden om privacy te bewaren is mijns inziens daarom onherroepelijk het gevolg van het aannemen van de wet."

Reacties (9)
21-03-2011, 11:04 door Anoniem
iedere maand worden er beveiliging updates uitgebracht voor lekken in besturingssystemen die er al in zaten van de eerste dag.
Er is dus nog nooit een systeem veilig geweest

Greetingz,
Jacco
21-03-2011, 11:44 door Anoniem
iedere maand worden er beveiliging updates uitgebracht voor lekken in besturingssystemen die er al in zaten van de eerste dag.
Er is dus nog nooit een systeem veilig geweest

het gaat erom of iets veilig genoeg is, niet of iets waterdicht is.

epd slaat op enorme schaal, gevoelige informatie op, hier is dus ook adequate beveiliging nodig en de vraag wordt gesteld of dit uberhaupt mogelijk is.
21-03-2011, 13:03 door spatieman
wat valt er te beveiligen, als google het EPD allang opgekocht heeft.
21-03-2011, 13:13 door Anoniem
Gezien de tekst op de site van nieuwsuur, hecht ik meer waarde aan de argumenten van de heer Van 't Noordende, dan aan die van de heer Jacobs.

De laatste maakt in het geheel niet duidelijk waarom standaardisatie van patientdossiers zou moeten leiden tot een centraal (gestuurd) electronisch systeem met ditto opslag en nog minder waarom de patient geen regie over het eigen dossier zou moeten voeren, of de drager van de eigen informatie + toegangscodes hiertoe zou mogen/kunnen zijn.

Het is een publiek geheim dat de heer Jacobs fervent voorstander van privacy aantastende centrale (matig tot slecht) beveiligde sytemen is, zelfs in de wetenschap dat er beveiligingslekken worden benut. In dit licht is zijn standpunt verklaarbaar maar niet erg verstandig, laat staan overtuigend.
21-03-2011, 16:05 door Anoniem
Waarom zou je inbreken in het EPD als dat verboden is?
21-03-2011, 16:08 door Anoniem

epd slaat op enorme schaal, gevoelige informatie op, hier is dus ook adequate beveiliging nodig en de vraag wordt gesteld of dit uberhaupt mogelijk is.
EPD slaat geen gegevens op, maar maakt ze alleen integraal over alle systemen toegankelijk. Een soort SSO laag over alle systemen heen.
21-03-2011, 18:00 door Anoniem
Geen enkel systeem is 100% veilig en dat zijn de huidige archiefkasten en dossiers in ziekenhuizen, bij huisartsen en apothekers evenmin. Laptops, USB sticks en papieren dossier worden ook gestolen of blijven op het dak van een auto liggen. De hele discussie over het EPD is veel te eenzijdig en conservatief. Innovatie is de enige manier om de zorg in Nederland te verbeteren en betaalbaar te houden. Laten we stoppen met allemaal risico's en beren op de weg te bedenken die zonder het EPD ook al bestaan.

Groet,
Rob
22-03-2011, 11:38 door Anoniem
Het is een publiek geheim dat de heer Jacobs fervent voorstander van privacy aantastende centrale (matig tot slecht) beveiligde sytemen is, zelfs in de wetenschap dat er beveiligingslekken worden benut. In dit licht is zijn standpunt verklaarbaar maar niet erg verstandig, laat staan overtuigend.
Meestal is hij juist erg fel bij privacy-aantastende systemen zoals bij de stemcomputer en de ov chip. Jij zegt het tegengestelde. Heb je voorbeelden die jouw bewering ondersteunen?
28-03-2011, 16:11 door Anoniem
Ik denk dat alle bovenstaande reacties veel diep gaan. Op de site van het EPD staan dikke pdf's met beveiligingseisen waar de systemen die aangesloten zijn aan het EPD moeten voldoen. Wat er niet bijstaat is dat het niet verplicht om er aan te voldoen. Als we nu eerst de basale beveiliging eens goed gaan regelen en dan gaan kijken welke lekken er nog overblijven, heeft EPD nog een kans. Zoals het nu wil geen enkel wel denkend mens dat zijn medische gegevens in dit systeem worden rond gepompt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure