Expertdiscussie op website Nieuwsuur, 17 maart 2011.
Professor Bart Jacobs (hoogleraar computerbeveiliging in Nijmegen), heeft zich uitgesproken voor het EPD op voornamelijk organisatorische gronden. Ik ben het (in dit geval) hartgrondig met hem oneens. Zie expertdiscussie. (Korte versies van deze bijdragen stonden in NRC Opinie/brieven 14 resp. 19 maart 2011).
Mijn visie op dit alles is als volgt. Zelfs als Nictiz of VWS in staat zouden zijn om snel te handelen en beveiligingsproblemen aan te pakken, zoals Prof. Jacobs stelt -maar wat naar mijn inzicht op de schaal van het EPD en met de mankracht van Nictiz zeer onwaarschijnlijk is- dan nog ontkomt Nictiz (noch het ministerie van VWS) niet aan de invloed van de politiek in brede zin. Bijvoorbeeld, wat betreft mogelijk toekomstig secundair gebruik of uitbreiding van het EPD, de zogeheten "mission creep" of "function creep". Het EPD is nu eenmaal qua ontwerp in hoge mate gecentraliseerd, en bovendien is het ontwerp sterk overheidsgestuurd. Van die context is het systeem niet los te zien. Bovendien staan, in tegenstelling tot een bank, de systemen die aangesloten zijn op het EPD helemaal niet onder centrale sturing; hoogstens zijn globale normen en standaarden op te leggen, zoals NEN7510, en de GBZ-normen van Nictiz.
Nictiz en VWS hebben te maken met de wensen en eisen van gebruikers, en dat zijn primair de in toenemende mate op efficientie gerichte zorginstellingen. Het laatste ligt mijns inziens in de huidige opzet zichtbaar aan de basis van gebrekkige autorisatiestructuren van het EPD. Het streven naar gebruiksgemak zal niet substantieel veranderen nadat de wet is aangenomen. Integendeel: er zal alleen maar meer druk ontstaan om het systeem gemakkelijker in het gebruik te maken of om 'uitzonderingen' of 'features' te ondersteunen. Het feit dat een verandering van het systeem afhankelijk is van de inzet van vele producenten van de aangesloten informatiesystemen, wat kosten en tijd met zich meebrengt, helpt ook niet mee. Bijvoorbeeld, denk aan de complexiteit van het invoeren van 'end-to-end' authenticatie. Dit is op zichzelf bezien toch een eenvoudige aanpassing, maar is op de schaal van het EPD kennelijk een enorme operatie die jaren vergt. Dit stemt mij niet optimistisch.
Vooral de wet-EPD is problematisch. Deze zal vooruitgang richting écht privacy-vriendelijke oplossingen eerder remmen dan bevorderen. Het wetsvoorstel verruimt de wijze van "informed consent" ten opzichte van de bestaande strenge (privacy)wetgeving (Wbp, Wgbo). Dit wordt onder de voorgestelde wet aanpast naar een vanuit de privacybescherming gezien zwak generiek opt-out model, dat gebaseerd is op algemene informatie met een alles-of-niets bezwaarmogelijkheid. (Er zijn wel wat aanvullende bezwaarmogelijkheden, maar niet veel). Een dergelijk toestemmingsmodel biedt veel te weinig echte "regie" voor de patiënt. Zeker bij een risicovol (deels) gecentraliseerd en longitudinaal (dossier)systeem zoals het EPD dient deze regie mogelijk te zijn op het moment dat dat nodig is: voordat gegevens worden ontsloten. Bovendien maakt de eenvoudige uitbreidbaarheid van het EPD -zonder veel parlementaire controle-, het onvoorspelbaar welke gegevens in de toekomst zullen worden ontsloten. Zullen hier DNA gegevens bij komen te staan? Dat lijkt mij wel. Een compleet landelijk opvraagbaar dossier onstaat. En de risico's daarvan zijn velerlei en niet alleen maar technisch.
Al met al is dit de "big picture" die ik voor me zie. Er bestaan reële en serieuze beveiligingsproblemen in het huidige systeem, die niet zomaar oplosbaar zijn. Bij het huidige ontwerp neemt de kans op misbruik toe met de schaal van het systeem. Het model 'schaalt' niet vanuit beveiligingsperspectief: hoe meer aangesloten systemen, hoe groter de risico's. Dit is ook wel duidelijk zonder kennis over de architectuur, zeker wanneer je beseft dat het een longitudinaal dossier-systeem betreft waarin gegevens in principe jaren achtereen aangemeld en dus kwetsbaar voor een aanval zijn. Misschien is dit oplosbaar, maar dan moeten wel heel wat dingen aangepast worden, en het is de vraag of hier de wil voor bestaat. En dan heb ik het nog niet gehad over de problemen die een hack van het centrale schakelpunt zou kunnen veroorzaken. Een afname van de mogelijkheden om de privacy (het medisch beroepsgeheim) te bewaren is m.i. daarom onherroepelijk het gevolg van het aannemen van de wet.
Ik denk dat een veilige gegevensuitwisseling in de zorg wel degelijk mogelijk is. Alleen denk ik dat dit niet allemaal via één systeem moet gebeuren maar dat dit zoveel mogelijk via gespecialiseerde, goed ontworpen en privacy-vriendelijke oplossingen moet gebeuren. Dus berichtenverkeer, patiënt-centrische oplossingen met bijvoorbeeld zorgpassen, en in aanvulling daarop wellicht regionale of zelfs landelijke systemen mits die een duidelijk en beperkt doel hebben en een beperkte hoeveelheid informatie uitwisselen - met afdoende controlemogelijkheden voor de patiënt om hier (vooraf) invloed op uit te oefenen en met uiteraard een zeer goede beveiliging. Voor een dergelijke opzet van het zorg-ICT landschap is m.i. de bestaande wetgeving, met enkele uitbreidingen, beter geschikt dan de volledig op landelijke uitwisseling van gegevens gerichte wet-EPD.
Bovenstaande is de reden dat ik opteer voor kleinschalige 'regionale' systemen, aangevuld met een veilig landelijk systeem voor berichtenverkeer. Dit berichtenverkeer (veilige email) kan gebaseerd worden op de bestaande -mede voor het EPD ingevoerde- smartcards voor artsen. Ik hoop wel dat het hiervoor benodigde postbussensysteem echt decentraal wordt geimplementeerd, en dat dit pas ingevoerd wordt nadat een deugdelijke (en openbare) beveiligingsevaluatie heeft plaatsgevonden. Regionale systemen kunnen werken onder de strenge voorwaarden van de huidige wetgeving Wbp en Wgbo. In sommige gevallen kan deze uitwisseling gebaseerd zijn op verbeterde ontwerp-ideëen van het EPD. Regionale systemen zijn door de kleinere schaal inherent veiliger dan het EPD, zèlfs als deze systemen (voorlopig) niet optimaal beveiligd zijn. Dat kan namelijk aangepakt worden, wat op de schaal van het EPD heel lastig is. Er worden ook wel andere redenen genoemd als motivatie voor kleinschaligheid, bijvoorbeeld vanwege de kwaliteit van gegevens, maar die vallen buiten het domein van beveiliging en daarmee buiten mijn expertise. Deze overwegingen zijn echter wel de moeite van bestudering waard.
Overigens kunnen Nictiz en VWS een positieve bijdrage leveren aan de verbetering van regionale systemen en het mogelijk maken van alternatieven (zoals ontsluiting van gegevens via de patiënt), bijvoorbeeld door standaardisatie te bevorderen, alleen moeten zij dan wel af van de centralisatie gedachte voor alle gegevens. En dit moet allemaal gewoon onder de waarborgen van Wgbo/Wbp kunnen.
Mocht er toch een grootschalig dossiersysteem komen, dan moeten burgers (patiënten) ten minste een PKI-overheids pas (met private/publieke cryptografische sleutels) krijgen. Hiermee kunnen zij zorgverleners actief autoriseren, voordat deze toegang krijgen tot het systeem. En deze autorisatie moet dan verifieerbaar zijn bij het 'bronsysteem' waar de gegevens staan, door middel van end-to-end authenticatie. Een uitzondering op dit sterke autorisatiemodel kan slechts een welgedefinieerde set van 'noodgegevens' zijn, die met toestemming van de patiënt landelijk ontsloten wordt - ook als er geen patiëntenpas voorhanden is. Beter nog, gezien vanuit privacy, zijn natuurlijk oplossingen die volledig decentraal zijn. Hier zijn mogelijkheden voor en daar moeten we hard aan werken. En toestemming vooraf door -en afdoende transparantie vooraf voor- de patiënt zijn altijd een voorwaarde. Hoe dan ook, er moet m.i. nog veel gebeuren voordat we zover zijn.
NB Hier nog enkele links ter illustratie. Wat als DIT (volg link) gebeurt met (backup) tapes die loggegevens bevatten, of met harddisks die (delen van) de verwijsindex bevatten? En hier nog een illustratie van bedreigingen van binnenuit, nota bene bij een bank. Waarom zou dat hier niet gebeuren? Er zijn gewoon risico's verbonden aan centrale opslag en ontsluiting van (deel)gegevens, zeker als gegevens voor (te) lange tijd worden bewaard - en zeker als er geld valt te verdienen met misbruik van de gegevens.
Oh, en maak de broncode van het Landelijk schakelpunt gewoon openbaar. Dan kan daarop worden doorontwikkeld voor veiligere (regionale) systemen. Zo kan van dit systeem geleerd worden, en zo kunnen deze systemen verbeterd worden. Hiermee kunnen de (publieke) investeringen in de ontwikkeling van dit systeem alsnog worden terugverdiend.