Wat is er aan de hand?
De regering heeft plannen om een Landelijk EPD -op termijn- verplicht te stellen als manier om patientgegevens uit te wisselen in Nederland. Een arts in Groningen kan dan makkelijk je gegevens uit Maastricht ophalen, zo schetst de informatiefolder.
Wat is het probleem? Heel simpel gezegd:
Als je arts of een medewerker van je arts in Maastricht gemakkelijk -en zonder tussenkomst van je (huis)arts of jijzelf- gegevens uit Groningen kan ophalen, kan een hacker dat ook.
Mijn onderzoek laat precies zien hoe makkelijk dit is. Het enige dat een hacker hier op dit moment voor nodig heeft is een UZI pas (een smartcard voor artsen) met PIN code en een (gehackte) computer op een ziekenhuis of in een dokterspraktijk. Van die passen zullen er straks een half millioen in omloop zijn. Waar vroeger een aanvaller die je gegevens wilde weten zelf helemaal naar Maastricht moest gaan en daar in de praktijk in moest breken, kan een aanvaller nu in een willekeurige praktijk of in een willekeurig ziekenhuis inbreken om gegevens van jou uit het EPD op te halen. Van willekeurig wie dan ook trouwens - zolang de aanvaller het niet te opzichtig doet komt niemand er achter dat hij of zij op patientgegevens ophaalt uit het EPD. Bovendien wordt het inbrekers gemakkelijk gemaakt: er bestaat een centraal schakelpunt waarin precies te vinden is waar je gegevens staan.
Het probleem zit in het uitgangspunt van het ontwerp: er is geen tussenkomst of expliciete autorisatie van jou of je arts nodig is voordat gegevens kunnen worden opgehaald. En daardoor is het enige dat het EPD kan doen in het geval van een aanval, dit in een logboek noteren en hopen dat iemand het later herkent als een aanval - en dat de vogel dan niet al gevlogen is. Artsen zijn aansprakelijk en kunnen uit hun vak gezet worden, maar medewerkers (of hackers) zijn een stuk lastiger aan te pakken.
Een vraag is natuurlijk of de urgentie zo hoog is dat dit allemaal automatisch moet kunnen zonder tussenkomst van je (huis)arts in Maastricht. Die urgentie bestaat waarschijnlijk alleen voor spoedgevallen, waarbij slechts een heel kleine set van 'noodgegevens' belangrijk is. De urgentie (noodzaak voor snelheid) bestaat waarschijnlijk (tenzij in uitzonderlijke gevallen) niet voor al die huisarts- en andere gegevens die straks ook in je EPD komen te staan.
Ik heb een aantal technische aanbevelingen gedaan, om de beveiliging te verbeteren. De belangrijkste aanbeveling is echter dat mensen veel bewuster moeten gaan kiezen (in samenspraak met hun arts) welke gegevens in het EPD komen te staan, en welke niet. Tenminste moeten patienten kunnen zien wat er in het EPD gaat komen te staan, bijv. op een tweede monitor op het buro van de arts, zodat op dat moment nog ingegrepen kan worden als er iets te privacy-gevoeligs in het dossier komt te staan. Let op dat dit vooraf moet, en niet achteraf door het geven van toestemming tot gegevens die al in het EPD staan, zoals minister Schippers recentelijk heeft voorgesteld. Dat gaat in de praktijk niet werken, en het heeft al helemaal geen zin bij een aanval op het LSP.
Verder moet het liefst zo zijn dat de patient of zijn of haar (huis)arts eerst expliciet moet autoriseren op een manier die door het systeem controleerbaar is, voordat gegevens kunnen worden opgehaald. Daar zouden patienten een eigen smartcard voor moeten krijgen. Ten slotte moet het veel lastiger worden dan nu om medewerkerspassen te misbruiken. Mijn onderzoek en aanbevelingen zijn technisch van aard, maar in essentie komt het hier op neer.
Op de hoofdpagina staan diverse links naar uitleg, brieven, en documentatie die over dit onderwerp verschenen zijn.