image

Kuipers gaat end-to-end encryptie voor medische gegevens niet verplichten

donderdag 15 december 2022, 15:31 door Redactie, 21 reacties

Minister Kuipers van Volksgezondheid gaat het gebruik van end-to-end encryptie voor het uitwisselen van medische gegevens niet verplichten zoals de Tweede Kamer wil. Volgens de minister kost het implementeren van end-to-end encryptie tijd en geld en kan dit ervoor zorgen dat de digitalisering van gegevensuitwisseling in de zorg vertraging oploopt. Iets wat Kuipers niet wil.

Eind september ging de Tweede Kamer akkoord met de Wet elektronische gegevensuitwisseling in de zorg (Wegiz), die verplicht dat de gegevensuitwisseling tussen zorgverleners elektronisch gaat. Tijdens een debat over de Wegiz dat op 14 september in de Tweede Kamer plaatsvond werd er een amendement van SP-Kamerlid Hijink en CDA-Kamerlid van de Berg aangenomen.

Het amendement regelt dat de elektronische uitwisseling van medische gegevens onder de Wegiz altijd verplicht werkt met end-to-end beveiliging, wat zowel end-to-end authenticatie als end-to-end versleuteling omvat. De VVD, D66, ChristenUnie en Gündogan stemden tegen het amendement, de overige partijen in de Tweede Kamer stemden voor, waardoor het met een meerderheid werd aangenomen.

Kuipers schrijft vandaag in een brief dat hij het amendement niet gaat uitvoeren. De minister stelt dat bestaande systemen voor digitale gegevensuitwisseling in de zorg vaak niet zijn ingericht op end-to-end versleuteling. "Het geschikt maken van deze systemen voor end-to-end versleuteling zoals bedoeld door de indieners van het amendement kost tijd en geld. Het direct verplicht stellen van end-to-end versleuteling brengt om die reden als risico met zich mee dat het tempo van digitalisering van gegevensuitwisseling in de zorg vertraagt", aldus de minister.

Kuipers wil naar eigen zeggen juist snelheid maken met de digitalisering van gegevensuitwisseling in de zorg. "Om die reden zal ik in de Begiz onder de Wegiz over ‘Versturen van Recept door Huisarts aan Terhandsteller’ nog geen verplichting opnemen over end-to-end versleuteling." Wel laat de minister onderzoek doen naar wat er nodig is om end-to-end encryptie te implementeren voor de digitale gegevensuitwisseling onder de Wegiz.

"De resultaten van deze verkenning wil ik gebruiken om uit te werken of en zo ja, hoe ik op termijn ook end-to-end versleuteling in de digitale gegevensuitwisseling onder de Wegiz kan verplichten, zonder de digitalisering van gegevensuitwisseling in de zorg te vertragen", zo laat Kuipers aan de Tweede Kamer weten. Wanneer de onderzoeksresultaten kunnen worden verwacht is niet bekend.

Image

Reacties (21)
15-12-2022, 16:07 door Anoniem
End-to-End Encryptie (E2EE) vertraagt gegevensuitwisseling in zorg doordat criminelen afgeluisterde gegevens niet meer kunnen inzien.
15-12-2022, 16:13 door Anoniem
deze d66 minister komt zeker niet bij de makro voor de boodschappen...haha
15-12-2022, 16:22 door Anoniem
iets met privacy by design?
15-12-2022, 16:29 door Anoniem
Gewoon een FTp servertje opzetten of http. Leker simpel :)
15-12-2022, 16:41 door spatieman
natuurlijk niet, want dat kan er niets verkocht worden
15-12-2022, 16:46 door Erik van Straten
Als ik mij niet vergis stelt de AVG eisen aan de beveiliging van gegevens (zeker medische), maar als het even niet uitkomt (haast bijvoorbeeld) hoef je je als overheid niet aan wetten te houden.
15-12-2022, 17:57 door Anoniem
Eerst moeten er gegevens van BNers, politici of het Koninklijk Huis lekken, voordat de minister besluit dat die encryptie er (in ieder geval voor bepaalde bevolkingsgroepen) wel moet komen.

Zo werkt en werkten alle kabinetten Rutte.
Alleen in actie komen als de stront al tegen het plafond zit.
15-12-2022, 18:01 door Anoniem
Door Erik van Straten: Als ik mij niet vergis stelt de AVG eisen aan de beveiliging van gegevens (zeker medische), maar als het even niet uitkomt (haast bijvoorbeeld) hoef je je als overheid niet aan wetten te houden.
Was eens in de gelegenheid overheidspersoneel op bepaalde regels te wijzen: nou, dat was voor hen als een schop onder de gordel!
15-12-2022, 18:15 door Anoniem
Door Erik van Straten: Als ik mij niet vergis stelt de AVG eisen aan de beveiliging van gegevens (zeker medische), maar als het even niet uitkomt (haast bijvoorbeeld) hoef je je als overheid niet aan wetten te houden.

Het is in dit geval geen kwestie van haast,alleen end to end encryptie opzetten kost blijkbaar veel (meer)tijd.
Achteraf zal alles wel op die manier worden opgezet.
Zo lees ik nl. het antwoord van de minister.
De overheid zal zich echt wel aan de wet houden,anders zien we de interpellaties van kamerleden wel.
De overheid in Rusland houdt zich helemaal niet aan wetten ook wetten t.a.v. oorlogsvoering.
15-12-2022, 19:40 door Anoniem
Door Erik van Straten: Als ik mij niet vergis stelt de AVG eisen aan de beveiliging van gegevens (zeker medische), maar als het even niet uitkomt (haast bijvoorbeeld) hoef je je als overheid niet aan wetten te houden.

Misschien vergis je je nu wel inderdaad. Waar staat in de AVG dat digitale gegevensuitwisseling van (evt bijzonder) persoonsgegevens end-to-end encrypted moet zijn?

Hoe zou dat sowieso werken? E2E zou van verzender naar ontvanger betekenen. Wat als een andere dokter ook bij de gegevens moet, wellicht een trauma/spoed geval? Moet de huisarts het dan maar even apart naar elke dokter en verpleger in het ziekenhuis sturen, om maar een voorbeeld te noemen?

Het amendement, hoewel allicht goed bedoeld, is gewoon slecht verwoord en veels te kort door de bocht.
15-12-2022, 19:48 door Anoniem
Tuurlijk niet. Het gaat tenslotte maar over burgers. Niet relevant.

Wat blijkt dit een vreselijke idioot te zijn. Elke keer weer.
Past wel weer goed bij D66, dat wel :(
15-12-2022, 21:10 door Anoniem
Door Anoniem:
Door Erik van Straten: Als ik mij niet vergis stelt de AVG eisen aan de beveiliging van gegevens (zeker medische), maar als het even niet uitkomt (haast bijvoorbeeld) hoef je je als overheid niet aan wetten te houden.

Het is in dit geval geen kwestie van haast,alleen end to end encryptie opzetten kost blijkbaar veel (meer)tijd.
Achteraf zal alles wel op die manier worden opgezet.
Zo lees ik nl. het antwoord van de minister.
De overheid zal zich echt wel aan de wet houden,anders zien we de interpellaties van kamerleden wel.
De overheid in Rusland houdt zich helemaal niet aan wetten ook wetten t.a.v. oorlogsvoering.
Ja dat schijnt allemaal heel ingewikkeld te zijn met die windows systemen.
15-12-2022, 21:19 door Anoniem
Het gaat hier om het beveiligen van het beroepsgeheim van de medici zelf. Een mooi klusje voor de beroepsorganisaties die die allemaal hebben om medici daarbij te helpen. Wat een minister dan beter doet is het eigen netwerk aanbieden, want goeie bescherming en encryptie daar zijn verschillende overheidsorganisaties al mee bezig. Het delen van kennis en ervaring daarmee kan veel waardevoller zijn dan meteen overal zakken geld naartoe te gooien, of er grote IT projecten opnieuw van te zien mislukken.

Een beetje fatsoenlijk medicus wil zelf ook zijn afgelegde eed zo goed mogelijk beschermd hebben. Maar heeft er de tijd en vaak de kennis niet voor. Ze zijn al zoveel administratieve dingen verplicht met electronische patientendossiers en zo. Ze scholen wel regelmatig bij, maar op dit punt is het dan wel handig als ze dan iets gepresenteerd krijgen waar ze gelijk wat mee kunnen.

Je kunt per wet wat afdwingen. Maar dan krijg je eerst de rekening van de implementatie in je boot. Daarna protesterende artsen dat ze meer geld willen omdat ze nou helemaal niet meer aan de zorg toe komen. En dan is de mislukkans van de implementatie behoorlijk groot bij de overheid. En dan krijg je weer dat vooral politici die enkel worden gekozen om met eieren en tomaten te gooien veel meer stemmen krijgen. Dus dan gaat het ook nog ten koste van de democratie zelf ook. wat dan in waarde en waarigheidsverlies nog de grootste kostenpost is.

Het voorlopig wenslijk achten als minister lijkt me veel verstandiger. En delen. Niet in centen, al zal het wat reiskosten extra zijn en een lunchje onderweg. Delen van netwerk en kennis. Er zijn verschillende goeie experts bij de overheid, zelfs om geheime diensten te beveiligen. Die vinden het vast wel leuk om er even een uurtje uit te zijn om medische beroeps(geheim)organisaties een kontje te geven. Gemakkelijker ook als er nog geen wet is want dat praat lekker vrij.

Dan hou je de vinger aan de pols. Regelmatig even kijken hoe de vlag erbij staat. En als het over een periode lekker gaat, dat beschermen van het medisch geheim. Tot bijna iedereen het al doet. Het leuk vindt en er trots op is. Dàn maak je het verplicht. Om de stijfkoppen ook over de streep te krijgen.

Verder moet je als politiek niet gaan. Je kunt invoeren dat zorgverleners verplicht een bordje aan de deur moeten hangen. Of ze al end to end encrypten of niet. Dan kun je als patient voorlopig zelf kiezen wie je vertrouwt. Of dat je zoiets zelf belangrijk vindt. Er zijn er ook zat die nog steeds "van mij mogen toch al alles weten" roepen.

Minder gezeik. En over tot de orde van de dag.
15-12-2022, 23:46 door Erik van Straten - Bijgewerkt: 15-12-2022, 23:48
Door Anoniem:
Door Erik van Straten: Als ik mij niet vergis stelt de AVG eisen aan de beveiliging van gegevens (zeker medische), maar als het even niet uitkomt (haast bijvoorbeeld) hoef je je als overheid niet aan wetten te houden.

Misschien vergis je je nu wel inderdaad. Waar staat in de AVG dat digitale gegevensuitwisseling van (evt bijzonder) persoonsgegevens end-to-end encrypted moet zijn?
Dat staat niet letterlijk in de AVG, en zou zelfs onvoldoende zijn: E2EE (End to End Encryptie) zonder E2EA (-Authenticatie) is niet eens waardeloos maar potentieel levensgevaarlijk (een Attacker in the Middle die een patiënt dood wil hebben kan een verkeerd medicijn voorschrijven).

De AVG vereist een passend beschermingsniveau van medische gegevens. In de uitwerking van de AP (open de secties onder "Vragen over beveiliging van patiëntgegevens" in https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/gezondheid/zorgverleners-en-de-avg) worden deze nader toegelicht. Naast andere regels kun je bijvoorbeeld lezen:
Voor zorgverleners geldt onder meer dat:
[...]
• U van elke individuele medewerker moet bijhouden wanneer hij/zij en van welke patiënt een dossier heeft bekeken. Dit heet logging.
[...]
Als je al niet zeker weet naar exact wie je dossiers (of delen daarvan) stuurt, noch wie er allemaal onderweg of op de eindbestemming kunnen meekijken, is de logging potentieel incompleet.

Iets verderop staat bijvoorbeeld:
1. Authenticatie
Wil iemand toegang krijgen tot een patiëntendossier? Dan moet u als zorgorganisatie zijn/haar identiteit vaststellen door authenticatie met minimaal 2 factoren.
E2EE zonder authenticatie van zowel verzender als ontvanger is 0FA.

Door Anoniem: Hoe zou dat sowieso werken?
Als het goed is authenticeren zorgmedewerkers nu al op hun digitale werkplekken voordat zij patiëntgegevens verwerken. Het is echt geen rocket science om de onderliggende systemen, die op verzoek van zorgverleners gegevens uitwisselen, onderling te laten authenticeren en de gegevens via een versleutelde (en op integriteit checkende) verbinding gegevens te laten uitwisselen.

Bijvoorbeeld via TLS met zowel client- als servercertificaat (met de bijpassende private keys natuurlijk). Wellicht veiliger maar mogelijk minder werkbaar is de specifieke gegevens digitaal te laten ondertekenen met de private key van de verzendende zorgmedewerker en te laten versleutelen met de public key van de geadresseerde zorgmedewerker. Ook dit is niet bepaald een noviteit (PGP is meer dan 30 jaar oud).

Als dat organisatorisch lastig is omdat ChipSoft dwarsligt, gooi daar dan maar eens een paar dure advocaten tegenaan en regel het. Of laat een rechter de directie ontslaan en vervangen door mensen die geven om zorg (niet alleen geld).

Als je van faxapparaten afwilt moet je doorpakken en ook de IV (uit BIV) beveilingsaspecten goed regelen, want met directe digitale verbindingen kun je veel sneller veel meer data uitwisselen dan met standaard faxapparaten. Dus is het interessanter voor aanvallers om daarop in te grijpen, zowel als "alternatieve" of "meekijkende" ontvanger. Maar bijvoorbeeld ook als AitM die gegevens onderweg wijzigt - en tegen betaling van losgeld zegt bereid te zijn te vertellen van welke patiënten de gegevens gewijzigd zijn.
16-12-2022, 09:03 door Anoniem
Dat gedram mag geen vertraging op lopen DUS leveren we in op veiligheid, sorry wat?

Security = Consequent zijn zonder vereiste in de basis te overspringen.
Weer een halfbakken pauperimplementatie aangedreven door een stel incapabele staatsidioten.

Onze data wordt voor criminelen een gemakshalve interessante goudmijn zo.
Want hoeveel tijd gaat het wel niet kosten voordat deze pipo in kaart heeft hoe digitalisering van gegevensuitwisseling in de zorg geen vertraging oploopt, of was het eerst maar volledig digitaliseren en dan maar eens kijken hoe we achteraf die data-beerput een beetje op orde krijgen?

Laat ze alsjeblieft een stel IT professionals aan trekken om dergelijke keuzes af te wegen, kan me niet verrotten wat het het de staat extra moet kosten om ze op die positie te krijgen.
16-12-2022, 11:49 door Anoniem
Man man man, wat een shit show.
Elke kneus kan in zeer korte tijd PGP/GPG beveiliging instellen en gebruiken.
16-12-2022, 16:29 door Anoniem
Door Anoniem: Man man man, wat een shit show.
Elke kneus kan in zeer korte tijd PGP/GPG beveiliging instellen en gebruiken.

Als er bij mij drie servers in de brand staan, dan kun je me wat met hoe gemakkelijk PGP/GPG is. En dan kun je rustig ook nog heel hard kneus roepen. Ik hoor het niet eens. Eerst die brand oplossen.
17-12-2022, 09:39 door Anoniem
Door Anoniem:
Door Anoniem: Man man man, wat een shit show.
Elke kneus kan in zeer korte tijd PGP/GPG beveiliging instellen en gebruiken.

Als er bij mij drie servers in de brand staan, dan kun je me wat met hoe gemakkelijk PGP/GPG is. En dan kun je rustig ook nog heel hard kneus roepen. Ik hoor het niet eens. Eerst die brand oplossen.

Maar dat politieke binnenbrandje is al jaren aan het flakkeren. Dat is geen reden om de betrokken organisaties de data goed te laten beschermen.
Dit is wachten op lekken, hacks en schandalen. En dan de volgende parlementaire enquete en daarna de bakken met geld, om iets wat krom gebouwd is weer recht proberen te buigen.

En dit is het politieke niveau in Den Haag.
Waar zijn de staatslieden van weleer die vooruit kijken en regeerden ipv het reageren wat ze tegenwoordig doen.
17-12-2022, 12:55 door Anoniem
Ordo ab Chao
17-12-2022, 14:18 door informatiebeveiliger
Fijn, de NTA 7516 over veilige uitwisseling van medische gegevens per e-mail kan ook de prullenbak in.

Tevens een verzoek aan alle verkopers van NTA 7516 mail oplossingen, bel en mail me maar niet meer. Het hoeft niet van de minister en kopen we het dus niet..
20-12-2022, 06:26 door Anoniem
Volgens mij is het al geruime tijd verplicht om formulieren met https te versleutelen.

Waarom dan deze gegevens niet.

Snelheid van implementatie boven privacy en veiligheid.

Kwantiteit boven kwaliteit.

Niet zo vreemd in een land waar steeds meer mensen heen komen, verwarming en wonen onbetaalbaar is, geen stilte, geen water uit de bergen, geen zonlicht als warmtebron 12 maanden per jaar, geen groente van eigen 1 hectare per persoon.

Ziek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.