Security Professionals - ipfw add deny all from eindgebruikers to any

EPD wat moeten we er nou mee?

02-05-2012, 10:35 door Anoniem, 18 reacties
Beste lezer,

ik vraag me heel erg af wat jullie hier nou van vinden? het EPD word nu gebruikt dan wel niet landelijk maar wel als dienst die je bij bedrijven kan afnemen.
Het landelijke is van de kaart i.v.m. veiligheids-problemen en zie aan de ene kant ook wel dat landelijk ook veel meer schade kan toe brengen dan een wat kleinere organisatie. dit sluit niet uit dat elke lek waardoor een persoon zijn gegevens openbaar worden al 1 te veel is.

zelf vraag ik me ook niet af waarom 9 van de 10 EPD's ook met een gezamenlijke server werken? als je kijkt naar de cloud en daar bedoel ik natuurlijk de prived cloud mee heeft iedere organisatie die daar gebruik van maakt hun eigen verantwoording in veiligheid. waarom is dit niet in EPD land?

stel je maakt gebruik van een EPD dat bv alleen maar via een VPN toegankelijk is? ik roep maar wat, zou dit toch vele male veiliger zijn dan nu 1 grote hoop waar iedereen hun inlog heeft en kan doen en laten wat ze willen.

vaak is het zo dat ze me the EPD mogelijk willen maken dat patiënten ook bij hun gegevens kunnen komen, dit lijkt mij ook geen probleem als je bv naar een GGZ toegaan om daar op een computer in te loggen.

denk ik nu te gemakkelijk?

Een paar EPD's die ik tegen kwam in google:

http://www.careweb.nl/
http://ddi.nl/oplossingen/elektronisch-dossier
http://www.medicore.nl
Reacties (18)
02-05-2012, 11:09 door Preddie
wat mij betreft totaal geen EPD ook niet via een VPN, VPN zegt iets over de beveiliging van de verbinding maar niet over de veiligheid van de applicatie die aan de andere kant draait.

Daarnaast heeft een rechter van het europees hof bepaalde dat gegevens die verzameld zijn in het kader van de bewaardplicht gebruikt mogen worden om het auteursrecht te handhaven omdat ze nu eenmaal beschikbaar zijn. Je kunt er op wachten dat er een EPD wordt opgezet, er ergens iets in de wet veranderd en dat vervolgens gegevens uit het EPD gebruikt mogen worden.


Stel dat je het electronisch wilt gaan doen, dan is mijn vraag: waarom moet dat centraal gebeuren? Huidig is de arts verantwoordelijke van het dossier en slaat het centraal op, maar wanneer je de patient verantwoordelijke maakt kan deze zijn gegevens bij zich dragen. Echter zal je dan tegen het probleem aan lopen dat bij een incident men zijn of haar verantwoordeljikheid niet heeft genomen en de gegevens niet bij zich heeft, iets wat nare gevolgen zou kunnen hebben.

Zolang er niet één systeem geweest is dat redelijkerwijs waterdicht blijkt te zijn, voor mij geen EPD. Zeker als je naast de techniek kijkt naar het niveau van de mensen dat met dergelijke systemen moet om gaan denk ik dat daar het grootste probleem blijf zitten. Of personeel zich in de medische wereld zich bewust dom houd, het niet wil leren of niet kan leren, weet ik niet. Maar feit blijft dat één van de grootste risico's bij het handelen van medisch personeel zit.

Het is omdat ik hier geen foto kan upload maar anders laat ik je graag even een foto zien die gemaakt is bij mij laatste bezoek aan het ziekenhuis. Hier werd ik namelijk ruim 40 min alleen gelaten met een ingelogd systeem op de patient dossiers, ik was instaat de gegevens alle mensen van in het ziekenhuis te raadplegen, kopieren of wijzigen ...... zeer zorgelijk !!!!!
02-05-2012, 11:18 door Spiff has left the building
Door Predjuh:
Het is omdat ik hier geen foto kan upload
Nee, maar uiteraard kun je altijd uploaden naar een image hosting site (zoals bijvoorbeeld imgdumper.nl) en dan vervolgens de url aanbieden.
02-05-2012, 11:25 door Preddie
Door Spiff:
Door Predjuh:
Het is omdat ik hier geen foto kan upload
Nee, maar uiteraard kun je altijd uploaden naar een image hosting site (zoals bijvoorbeeld imgdumper.nl) en dan vervolgens de url aanbieden.


Daar dacht ik net ook aan, maar ik krijg zo even snel de picca's niet upgeload omdat ik achter een proxy zit .....

edit:

op imgdumper lukte het wel, hier even twee foto's zoals het systeem werd achter gelaten, wel geteld ben ik iets meer als 40 min alleen gelaten met het ingelogde systeem, zonder het personeel uitlogde of het systeem vergrendelde. Zelf na de wettelijke 20 minuten vergrendelde het systeem zich zelf niet ..... en dit is maar één van de vele punten die ik in de afgelopen jaren ben tegen gekomen binnen ziekenhuizen of zorginstellingen. Hier de foto's btw:

http://www.imgdumper.nl/uploads5/4fa0fdc72c14a/4fa0fdc6ceed3-IMAG0225.jpg
http://www.imgdumper.nl/uploads5/4fa0fde59dbd7/4fa0fde5572f6-IMAG0228.jpg
02-05-2012, 11:41 door Anoniem
Door Predjuh:

[..]

Zolang er niet één systeem geweest is dat redelijkerwijs waterdicht blijkt te zijn, voor mij geen EPD. Zeker als je naast de techniek kijkt naar het niveau van de mensen dat met dergelijke systemen moet om gaan denk ik dat daar het grootste probleem blijf zitten. Of personeel zich in de medische wereld zich bewust dom houd, het niet wil leren of niet kan leren, weet ik niet. Maar feit blijft dat één van de grootste risico's bij het handelen van medisch personeel zit.

Het is omdat ik hier geen foto kan upload maar anders laat ik je graag even een foto zien die gemaakt is bij mij laatste bezoek aan het ziekenhuis. Hier werd ik namelijk ruim 40 min alleen gelaten met een ingelogd systeem op de patient dossiers, ik was instaat de gegevens alle mensen van in het ziekenhuis te raadplegen, kopieren of wijzigen ...... zeer zorgelijk !!!!!

Mijn zorg bij een (E)PD zit vooral in het "alle eieren in één mandje" aspect, gecombineerd "toegang vanaf overal".
In vroeger tijden zijn mensen ongetwijfeld ook wel eens alleen gelaten op een plek waar een dossierkast of hangmappen buro la niet afgesloten was.
Genoeg film plots rondom dat thema, het "alleen laten" werd dan gefaciliteerd met een nood oproep voor de arts of brandmelding ofzo, waarna de held/detective (of bad guy) razendsnel het relevante dossier kon vinden.

Anyway, niet fraai, maar ik kan redelijk leven met een "attack surface" die beperkt is tot, normaal gesproken, willekeurige nette mensen die af en toe even alleen zijn in een ruimte waar ze toegang hebben tot dossiers van een enkele arts of afdeling wanneer die even vergeten te locken.
02-05-2012, 12:52 door Anoniem
@Predjuh:
Ik neem aan dat je een klacht hebt ingediend bij het ziekenhuis?

Verder vind ik het heel jammer dat het landelijke systeem is afgeschoten. Vooral omdat het nu regionaal opgelost gaat worden met prutswerk.
Iedereen heeft het altijd over een landelijke database en men stelt zich daar dan een website bij voor waar je patiënten informatie kan opzoeken.
Eeeh.. nee sorry zo simpel was/is het echt niet.
Het landelijke systeem was een van het internet losgekoppeld netwerk. Voor je op dit netwerk aangesloten werd moest je als ziekenhuis (of andere zorgpartij) een audit onder gaan. Vervolgens draaide op dit netwerk een koppelserver. Deze server hield bij bij welke aangesloten partijen er informatie voor een bepaalde patiënt is. Geen landelijke database dus maar een landelijk schakelpunt (LSP). Wilde je via dit systeem informatie opvragen dan diende je als zorgverlener te beschikken over een UZI pas. Dat is een persoonlijke chipkaart met daar op wie je bent, wat je beroep is en wat je dus mag. Als je dan naar dat schakelpunt ging was er volledige AAA. Uit ervaring weet ik dat dit systeem streng gemonitord word op onregelmatigheden.

Hoe denk je dat het nu gaat nu dit systeem door de eerste kamer is afgeschoten? Via de email? O, ja hoor ik stuur je die info wel even op. Via allerlei portalen waar je gewoon op kan inloggen met een gebruikersnaam en wachtwoord. Hoe veel tijd denk je dat er in zorginstellingen is om te monitoren op onregelmatigheden in dit soort systemen? Los het maar regionaal op zei de eerste kamer. Nou dan kan je het krijgen ook.... geen controle, geen kennis, geen audits, geen sterke authenticatie... enz enz.

Even een voorbeeld van de kwaliteit van dit soort systemen:
https://www.ssllabs.com/ssltest/analyze.html?d=Mijnspaarneziekenhuis.nl (Heb ze al 2 keer gewaarschuwd maar krijg geen reactie) (Als je nog SSL v2.0 draait en weak ciphers aan hebt staan heb je geen audit op je systeem laten uitvoeren. (of niks met de resultaten gedaan))

Dus ik zeg of landelijk of een wettelijk verbod op het koppelen/beschikbaar stellen van dit soort data.
02-05-2012, 13:14 door Anoniem
Door Predjuh: wat mij betreft totaal geen EPD ook niet via een VPN, VPN zegt iets over de beveiliging van de verbinding maar niet over de veiligheid van de applicatie die aan de andere kant draait.

Ik bedoelde eigenlijk stel je hebt net als de cloud een private server waar je net als bij organisaties een intranet hebt. als deze intranet nou het EPD is en alleen mogelijk te benaderen binnen het netwerk is het toch al stukke veiliger dan hoe het principe nu is? ik begrijp dat de veiligheid van een EPD niet beter word maar je beperkt het toegang wel van de hele wereld naar een wat kleinere schaal.

Door Predjuh:
Stel dat je het electronisch wilt gaan doen, dan is mijn vraag: waarom moet dat centraal gebeuren? Huidig is de arts verantwoordelijke van het dossier en slaat het centraal op, maar wanneer je de patiënt verantwoordelijke maakt kan deze zijn gegevens bij zich dragen. Echter zal je dan tegen het probleem aan lopen dat bij een incident men zijn of haar verantwoordeljikheid niet heeft genomen en de gegevens niet bij zich heeft, iets wat nare gevolgen zou kunnen hebben.

het licht er ook aan waarvoor je het gaat gebruiken, zo heb je bij de psychiatrie dat er notities, online behandelingen en effect onderzoeken worden gedaan. dit allemaal komt weer in die EPD. Wat ik me afvraag is waarom zijn EPD's niet als software pakketten te krijgen voor intranet i.p.v. internet.


sowieso het EPD op internet gooien lijkt me tegen over beperken tot intranet een verbetering, niet dan?
Ben niet iemand die een EPD zoekt hoor ;-) maar gewoon het principe er niet van begrijpt waarom het nou perse in het web gehangen moet worden.
02-05-2012, 13:31 door Anoniem
Door Predjuh: bij mij laatste bezoek aan het ziekenhuis. Hier werd ik namelijk ruim 40 min alleen gelaten met een ingelogd systeem op de patient dossiers, ik was instaat de gegevens alle mensen van in het ziekenhuis te raadplegen, kopieren of wijzigen ...... zeer zorgelijk !!!!!

Erg zorgelijk dit.

Heb je hier voor de rest nog actie hierop ondernomen? Of stop je bij het maken van fotos en het posten van jouw ervaring op dit forum?
02-05-2012, 13:48 door Anoniem
> Wat ik me afvraag is waarom zijn EPD's niet als software pakketten te krijgen voor intranet i.p.v. internet.

Dat zijn ze wel hoor. Voornamelijk zelfs, in de ziekenhuizen dan:
www.chipsoft.nl
www.epic.com
www.mckesson.nl
02-05-2012, 19:55 door [Account Verwijderd]
[Verwijderd]
02-05-2012, 22:27 door Anoniem
Door LinuxGebruiker: het epd is aanvankelijk opgezet om een landelijk toegang te krijgen tot medische gegevens van mensen, op het moment dat ze ziek worden.

woon je in maastricht en wordt je in groningen niet lekker, kijken ze in het epd en weten je medische achtergrond.

ofschoon dit een nobel streven is, is de veiligheid niet gewaarborcht, evenals het feit dat er steeds meer en meer burgergegevens gecentraliseerd worden.

of je nu VPN of wat dan ook gebruikt, veilig is het nooit.


dit klopt als je het over het landelijke praat, anders is het niet zo en slechts als enige toevoeging dat alles geautomatiseerd is.

de ene GGZ mag niet in de andere GGZ gegevens kijken zonder toestemming en dit zal ook niet via een epd gedaan worden.

over het landelijke is weet ander verhaal maar daar gaat nu niet om ;-)
03-05-2012, 09:40 door Preddie
Door Anoniem: @Predjuh:
Ik neem aan dat je een klacht hebt ingediend bij het ziekenhuis?



Euh neej, heeft geen zin. In elk ziekenhuis waar ik tot nu toe ben geweest worden dit soort fouten aan de lopen de band gemaakt. het is dwijlen met de kraan open, daarom kan een EPD nog zo goed beveiligd zijn als de mensen die er mee moeten werken het zelfde stomme gedrag blijven vertonen heb je niet zoveel aan een veilig systeem ..... ook om die reden voor mij geen EPD!
03-05-2012, 10:15 door Anoniem
Informatiebeveiliging is een belangrijk onderdeel van kwaliteit & veiligheid in ziekenhuizen. Onderdeel daarvan is leren van fouten. Hiervoor zijn uitgebreide systemen opgezet voor het registreren en afhandelen van incidenten en klachten. Dus melden heeft zeker wel zin. De ISO kan dan aktie ondernemen en de melding gebruiken voor het vergroten van de bewustwording zodat de mensen uiteindelijk dat stomme gedrag niet meer vertonen.

Het EPD is er al jaren. In alle zorginstellingen worden gegevens electronisch vastgelegd en geraadpleegd in EPD's. Via het LSP is er een zeer veilige verbinding mogelijk tussen deze EPD's. Maar door alle mensen die zonder dat ze weten waar ze het over hebben zijn gaan piepen over privacy zijn we weer terug bij af. Overigens wordt het LSP al gewoon gebruikt voor uitwisseling van medicatiegegevens.
03-05-2012, 12:23 door Charley51
Door Predjuh:
Door Anoniem: @Predjuh:
Ik neem aan dat je een klacht hebt ingediend bij het ziekenhuis?
Euh neej, heeft geen zin. In elk ziekenhuis waar ik tot nu toe ben geweest worden dit soort fouten aan de lopen de band gemaakt. het is dweilen met de kraan open, daarom kan een EPD nog zo goed beveiligd zijn als de mensen die er mee moeten werken het zelfde stomme gedrag blijven vertonen heb je niet zoveel aan een veilig systeem ..... ook om die reden voor mij geen EPD!

Nee, een klacht indienen bij dat soort ziekenhuizen is hetzelfde als "bij de duivel te biecht gaan". Stuur maar door naar de Ombudsman of College bescherming persoonsgegevens (CBP), Kassa (Vara) of Radar (Tros). Die gaan er zeker werk van maken. Je moet natuurlijk jouw stelling wel hard kunnen maken, tag van de foto's met tijdverschil b.v.
Ik heb betere ervaringen met een ziekenhuis: de arts moest inloggen met een chip-pas in de pc en toen hij de kamer verliet, werd uitgelogd en die pas er subiet (bijna demonstratief) weer uitgehaald. Toen hij weer terugkwam, logde hij weer in. In dat ziekenhuis heb ik dus wel vertrouwen. Die arts houdt zich tenminste aan het protocol. Ook zag ik nergens post-it's (met wachtwoorden) aan de monitoren hangen. Op dat soort simpele dingen let ik altijd, als ik door de (lange) gangen loop, geeft mezelf een gerust gevoel, dat men zorgvuldig met mijn gegevens omgaat.
03-05-2012, 13:22 door Anoniem
hier even twee foto's zoals het systeem werd achter gelaten, wel geteld ben ik iets meer als 40 min alleen gelaten met het ingelogde systeem, zonder het personeel uitlogde of het systeem vergrendelde. Zelf na de wettelijke 20 minuten vergrendelde het systeem zich zelf niet .....

Deze situatie lijkt inderdaad ernstig maar het zou nog kunnen dat je een wachtwoord nodig hebt om een ander dossier op te vragen. Dus dat het systeem zo werkt dat telkens je wachtwoord nodig is als je een ander dossier wilt raadplegen.
04-05-2012, 12:45 door Anoniem
> Deze situatie lijkt inderdaad ernstig maar het zou nog kunnen dat je een wachtwoord nodig hebt om een
> ander dossier op te vragen. Dus dat het systeem zo werkt dat telkens je wachtwoord nodig is als je een
> ander dossier wilt raadplegen.

Wat je ziet op de foto is EZIS van Chipsoft. Voor zover ik weet is het daarin niet mogelijk zoiets als je aangeeft in te stellen.
06-05-2012, 15:18 door Marius
De hamvraag is eigenlijk of je een dergelijk systeem kan en wil tegenhouden. Nu heeft onze ex regering daar een redelijk definitieve uitspraak over gedaan maar die uitspraak kan straks zomaar teruggedraaid worden (met dank aan ene blonde duivel).

Nu moeten jullie niet denken dat het idee nu in de ijskast staat, want de automatisering gaat gewoon door, het landelijk systeem mag niet en dus wordt op dit moment gekozen voor een decentraal EPD, dat duurt slechts een paar seconden langer (altijd handig als je zwaar gewond ergens binnen gebracht wordt!). In zekere zin wilden ze met het EPD het oude systeem gewoon perfectioneren maar dat mag van deze regering dus eventjes niet..

Persoonlijk ben ik voor een EPD, alleen moet dat wel aan zeer hoge eisen voldoen en mogen bepaalde partijen zoals verzekeringen daar absoluut niet de hand in hebben (en zo zijn er nog wel een paar rand voorwaarden). Er zijn overigens diverse voorbeelden in de wereld waarbij een EPD systeem wel goed werkt dus waarom doet dit kippe landje daar zo moeilijk over doet is me een raadsel.
13-05-2012, 13:04 door Anoniem
http://www.vzvz.nl/page/Home/Informatiepunt

Ze gaan gewoon door.
22-05-2012, 18:37 door Anoniem
Hoe zit het met de sotware van Medicore en Chipsoft. Wat zijn jullie ervaringen>
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.