Consumentenbond wil veiligheidstest EPD openbaar
Volgens minister Schippers van Volksgezondheid, Welzijn en Sport is de veiligheid van het Elektronische Patiëntendossier getest, maar er is vrijwel geen openbare informatie beschikbaar over de aard en uitkomst van deze veiligheidsonderzoeken. "Hierdoor is het voor consumenten lastig een afweging te maken of het LSP veilig genoeg is", aldus de Consumentenbond in een brief aan de minister.
De bond pleit dat er meer transparantie komt over de uitkomsten van veiligheidsonderzoeken, -testen en -audits. "Op die manier kan in het publieke debat duidelijk worden of alle relevante aspecten zijn onderzocht en of de uitkomsten voldoende zijn."
Klachtenloket
Aangezien het Landelijk Schakelpunt (LSP) toegang tot zeer privacygevoelige informatie geeft moeten consumenten volgens de Consumentenbond de zekerheid hebben over een goede beveiliging van de systemen van het LSP.
Daarnaast wordt gepleit voor een centraal klachtenloket, aangezien er bij het uitwisselen van patiëntgegevens veel verschillende partijen betrokken zijn.
Reacties (12)
Voordeel van het openbaar maken is dat de burger een beter beeld heeft omtrent de vraag hoe (on-) veilig het EPD is. Nadeel is dat ook kwaadwillenden dan weten waar de zwakheden zitten. Wat dat betreft is het maar zeer de vraag hoe nuttig het is om zo'n audit rapport te openbaren, tenzij je weer allerlij informatie weg laat.
Ieder voordeel heb zijn nadeel, zoals een bekende voetballer zou zeggen.... ?
Ieder voordeel heb zijn nadeel, zoals een bekende voetballer zou zeggen.... ?
Maar dat willen de verzekeraars uiteraard niet. Het zou zomaar kunnen dat eenieder met enig gevoel voor privacy en inzicht in beveiliging zich helemaal rot schrikt. Het zal in elk geval niet 'beter' zijn dan wat er tot op heden reeds openbaar geworden is, anders hadden de initiatiefnemers er zelf wel mee gezwaaid en geroepen 'nee hoor, het is echt veilig, kijk maar'.
Feit blijft dat als er meer dan een paar mensen toegang toe hebben er DUS misbruik van wordt gemaakt. En het enige wat je theoretisch kan doen is achteraf klagen. Daarmee kun je nog steeds de betreffende info niet 'terug' krijgen. Dat is nou het hele enge eraan...
Feit blijft dat als er meer dan een paar mensen toegang toe hebben er DUS misbruik van wordt gemaakt. En het enige wat je theoretisch kan doen is achteraf klagen. Daarmee kun je nog steeds de betreffende info niet 'terug' krijgen. Dat is nou het hele enge eraan...
Vertrouwen van de consument is allang weg door dit ellenlange traject! Vraag me af of het de overheid lukt om dit weer terug te winnen...
Door Anoniem: Nadeel is dat ook kwaadwillenden dan weten waar de zwakheden zitten.
Lijkt me dat zo'n systeem zo belangrijk is dat simpelweg de foutjes verhullen op zichzelf al onacceptabel gevaarlijk is. Dan is de enige optie om het systeem zo robuust mogelijk te maken en alle foutjes erin desnoods één voor één op te sporen en te correcteren. Als het systeem niet solide genoeg is dat je ooit in zo'n stadium verwacht aan te komen dan mogen we het niet invoeren. Waar je daar met een ov-faalkaart nog net mee wegkomt zolang je het de eindgebruiker maar bruut genoeg door de strot drukt, krijg je hier rechtstreeks een niet in te dammen grasduinfeestje à la CIOT, maar dan met medische gegevens.Door Anoniem: Vertrouwen van de consument is allang weg door dit ellenlange traject! Vraag me af of het de overheid lukt om dit weer terug te winnen...
Niet zonder iedere politicus én iedere ambtenaar boven schaal loketklerk naar huis te sturen en nooit meer in enige publieke functie toe te laten. Dat gaat niet gebeuren want er moet aan het pluche gekleefd worden, en dus gaat het nieuwe EPD (of desnoods het nieuwe nieuwe EPD of het nieuwe nieuwe nieuwe EPD, hoewel ze allemaal precies dezelfde euvels hebben, wat gek nu) er gewoon komen.@16:04 Security door obscurity is een doodzonde in de securitybranche! Het zou elke medewerker van het LSP ook chantabel maken.
Het wordt hoog tijd dat alles, maar dan ook alles openbaar wordt, inclusief de sourcecode van het LSP zelf. Dat is de énige manier om te weten of het veilig is.
Veel dank dat de consumentenbond dit oppikt. De NPCF, de "patientenbond" die geen enkele patient vertegenwoordigt juicht zonder enige technische of medische kennis het EPD toe. Technisch zeggen vele experts dat het securitymodel (200.000 pasjes!) niet klopt, medisch-inhoudelijk is er geen énkel bewijs dat er gezondheidswinst kan worden behaald. VZVZ beweert dat het LSP in enkele regio's al "volop gebruikt" wordt. Dan zou ik daar maar eens onderzoeken of er daadwerkelijk minder ziekenhuisopnames zijn voordat er nog meer geld wordt gespendeerd.
Het wordt hoog tijd dat alles, maar dan ook alles openbaar wordt, inclusief de sourcecode van het LSP zelf. Dat is de énige manier om te weten of het veilig is.
Veel dank dat de consumentenbond dit oppikt. De NPCF, de "patientenbond" die geen enkele patient vertegenwoordigt juicht zonder enige technische of medische kennis het EPD toe. Technisch zeggen vele experts dat het securitymodel (200.000 pasjes!) niet klopt, medisch-inhoudelijk is er geen énkel bewijs dat er gezondheidswinst kan worden behaald. VZVZ beweert dat het LSP in enkele regio's al "volop gebruikt" wordt. Dan zou ik daar maar eens onderzoeken of er daadwerkelijk minder ziekenhuisopnames zijn voordat er nog meer geld wordt gespendeerd.
Wat ik dan meteen ook zou willen zien is een goede onderbouwing van waarom het nodig is (hoe komt het dat huisartsen op vakantielocaties de ervaring hebben dat mensen waarvan het belangrijk is dingen te weten die gegevens gewoon bij zich hebben, bijvoorbeeld), waarom de makkelijke uitwisselbaarheid niet beperkt kan blijven tot mensen die een risicogroep vormen, en waarom dat bijvoorbeeld niet geregeld kan worden door hun dossier op een smartcard te zetten die ze bij zich dragen. Dat brengt weer zijn eigen beveiligingsproblemen met zich mee, natuurlijk, maar als het mis gaat gaat het per dossier mis en niet meteen voor massa's mensen tegelijk. Tegenover het risico dat iemand die kaart niet bij de hand heeft staat weer het voordeel dat het systeem er nooit landelijk uit kan liggen als er geen landelijk netwerk in de lucht hoeft te zijn om het te laten werken.
Er gaan voor mij dus nog heel wat vragen vooraf aan de vraag of het huidige systeem goed getest is.
Er gaan voor mij dus nog heel wat vragen vooraf aan de vraag of het huidige systeem goed getest is.
Effe kijken: de pleitbezorgers/makers voor het EPD waarin de privacy gevoelige informatie hebben zelf een enorme behoefte aan privacy? Wat klopt er niet in dit plaatje?
Als je gezond bent en er geen sprake is van complexe medische geschiedenis of medicijngebruik heeft opname in een EDP geen enkele meerwaarde. Bij een onverwacht ziekenhuisopname of (verkeers)ongeval voegt dit niets toe.
Je kunt er zeker van zijn dat uiteindelijk onbevoegden toegang zullen krijgen en je eventuele kwaaltjes en/of psychische problematiek op straat komen te liggen.
Nooit toestemming geven dus!
Je kunt er zeker van zijn dat uiteindelijk onbevoegden toegang zullen krijgen en je eventuele kwaaltjes en/of psychische problematiek op straat komen te liggen.
Nooit toestemming geven dus!
Het punt is niet zozeer de beveiliging. We weten allemaal dat dit niet te beveiligen is; er zijn mensen aan't werk en mensen maken fouten (al dan niet moedwillig). Wie neemt de verantwoordelijkheid voor een slachtoffer indien zijn/haar medische gegevens op straat komen? De goedbedoelende hulpverlener die een fout maakt? Een ambtenaar die niet vervolgd kan worden?
Op het moment dat medische gegevens, al dan niet per ongeluk, op het Internet komen, dan weten we dat we dit er nooit meer af krijgen. Het slachtoffer is voor de rest van zijn/haar leven getekend. Kan wellicht geen ziektekosten- of levensverzekering meer krijgen. Een baan komt in het gedrang.
Ik heb nergens kunnen lezen wat er dan gebeurd. Voor mij een indicatie dat de 'drammers' helemaal geen notie hebben van de gevolgen van een eventueel EPD.
Op het moment dat medische gegevens, al dan niet per ongeluk, op het Internet komen, dan weten we dat we dit er nooit meer af krijgen. Het slachtoffer is voor de rest van zijn/haar leven getekend. Kan wellicht geen ziektekosten- of levensverzekering meer krijgen. Een baan komt in het gedrang.
Ik heb nergens kunnen lezen wat er dan gebeurd. Voor mij een indicatie dat de 'drammers' helemaal geen notie hebben van de gevolgen van een eventueel EPD.
Met wat extra backdoors is het voor de verzekeraars makelijker om toegang te krijgen tot deze goud mijn ;-)
wat ik nu niet snap is waarom willen de verzekeraars toegang krijgen tot het EPD?
Zij hebben toch al bijna geheel toegang tot de declaraties die wij zelf of onze zorgverleners indienen??
En zeker en vast zullen ze ook onderling (net als bij de autoverzekering) de claims uitwisselen.
Dus mij lijkt het volstrekte onzin dat dit noch een goudmijn noch veel toegevoegde waarde voor hun gaat geven.
mocht er al een backdoor inzitten
Om terug te komen op de discussie van EPD, ik ben tegen het online zetten van de gehele code.
Want alles kan kapot, alleen een de code online geeft daarin een grote voorsprong want dan kijk je er gelijk naar als een doorzichtige structuur in plaats van een afgesloten iets.
Zij hebben toch al bijna geheel toegang tot de declaraties die wij zelf of onze zorgverleners indienen??
En zeker en vast zullen ze ook onderling (net als bij de autoverzekering) de claims uitwisselen.
Dus mij lijkt het volstrekte onzin dat dit noch een goudmijn noch veel toegevoegde waarde voor hun gaat geven.
mocht er al een backdoor inzitten
Om terug te komen op de discussie van EPD, ik ben tegen het online zetten van de gehele code.
Want alles kan kapot, alleen een de code online geeft daarin een grote voorsprong want dan kijk je er gelijk naar als een doorzichtige structuur in plaats van een afgesloten iets.
Veiligheid is niet alleen een kwestie van techniek maar ook van organisatie. En zowel de techniek als de organisatie zijn onderhoudsgevoelig. Discipline kan makkelijk verwateren tot nonchalance. Daarom kan de Consumentenbond nooit zekerheid krijgen.
Enfin, het is geen toeval dat het EPD weer boven komt nu illegaliteit strafbaar wordt gesteld. De natte droom van de Teevens van deze wereld is dat elke huisartsenpost een politiebureau wordt. De GGDs zijn dat al. Ik ben gevlucht bij een GGD toen ik mij daar bij elk bezoek opnieuw moest legitimeren (terwijl dat wettelijk alleen mag bij duidelijk aanleiding).
Enfin, het is geen toeval dat het EPD weer boven komt nu illegaliteit strafbaar wordt gesteld. De natte droom van de Teevens van deze wereld is dat elke huisartsenpost een politiebureau wordt. De GGDs zijn dat al. Ik ben gevlucht bij een GGD toen ik mij daar bij elk bezoek opnieuw moest legitimeren (terwijl dat wettelijk alleen mag bij duidelijk aanleiding).
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
