Veranderingen aan EPD-ontwerp verbeteren de beveiliging niet. De uitgangspunten en de fundamenten blijven een groot risico voor de privacy van patiënten.

Guido van 't Noordende, 10 maart 2011.

Nictiz, het Nationale instituut dat het Landelijke EPD systeem heeft ontworpen, heeft op 28 februari 2011 is een nieuwe AORTA specificatie uitgebracht. Dit is de openbare documentatie die het onwerp van het EPD beschrijft. Deze specificatie bevat een verbetering van het mandaterings-systeem. Hiermee wordt een van mijn technische aanbevelingen overgenomen, namelijk dat artsen medewerkers expliciet moeten mandateren met behulp van een digitale handtekening voordat deze medewerkers toegang kunnen krijgen tot het EPD. Dit is een hele verbetering. Er blijven echter kanttekeningen. Deze beschrijf ik hieronder. Behalve mandatering zijn er vooralsnog geen aanbevelingen overgenomen (voor 5 andere belangrijke aanbevelingen, zie alles op een rijtje. Punt 2 betreft de genoemde mandatering).

De technische verbetering van mandatering volgt op een aantal aanpassingen die begin dit jaar door de minister zijn aangekondigd om de "regie" van patiënten over hun dossier te verbeteren. Deze verbeteringen zijn niet afdoende. Naar mijn opvatting is het EPD systeem zoals het nu is opgezet - met in ogenschouw nemend de bijbehorende wet - ook met de nieuwe veranderingen nog niet veilig genoeg voor de grootschalige uitwisseling van medische gegevens. Waarom niet?

  • Patiënten krijgen geen echte regie. Zij kunnen in een 'profiel' instellen wie wel en niet in het dossier mag kijken, maar voor patiënten is volstrekt onoverzichtelijk wie zij in dit profiel moeten zetten. Bovendien zal dit niet werken in de praktijk, omdat verschillende hulpverleners (mogelijk onverwacht) in het dossier zullen willen kijken. Er zal onvermijdelijk druk op patiënten komen te staan om de toegang open te zetten.

  • De regie betreft alleen inzage, maar niet de aanmelding van nieuwe gegevens in het EPD. Dit heeft betrekking op de wet, en op de achterliggende insteek van het ministerie dat de inhoud van het Landelijke dossier zo compleet mogelijk moet zijn. Technisch wordt het volledig en up-to-date houden van het EPD gerealiseerd door bijvoorbeeld automatische extractie van een professionele samenvatting uit het lokale dossier van een zorgverlener. De patiënt heeft geen zeggenschap over wat er in zo'n professionele samenvatting komt - hoogstens een mogelijkheid om mondeling bezwaar uit te drukken richting de arts, maar dat moet je dan wel bijtijds doen, anders staan de gegevens al in het dossier. Dit is onveranderd met de nieuwe "regie".

  • Mijn grootste bezwaar tegen de wet is dat het uitgaat van grootschalige ontsluiting van medische gegevens op basis van "veronderstelde toestemming", zonder enige verplichting om vooraf richting de patiënt duidelijk te maken welke informatie precies gedeeld gaat worden. Er is onvoldoende of geen transparantie vooraf: nergens staat dat een arts moet laten zien welke informatie ontsloten gaat worden. Heeft u ooit een monitor op het buro van uw (huis)arts zien staan waarop u mee kon kijken? En of je achteraf, als informatie eenmaal in het EPD staat, nog informatie kunt weghalen, is zeer te betwijfelen.

    • In plaats daarvan had het ministerie ook kunnen kiezen voor alleen ontsluiting van het hoogst noodzakelijke met uitdrukkelijke toestemming van de patiënt. Dit is feitelijk wat moet gebeuren onder de huidige wetgeving (Wgbo en Wbp), dus als de wet niet wordt aangenomen. Gegeven de risico's van het systeem (wat er kan gebeuren als een hacker een pas-met-pincode van een arts kan bemachtigen hebben we nog niet eens genoemd) is dit uitgangspunt toch het minimale. Waarom dit uitgangspunt niet is gehanteerd in de wet-EPD is voor mij een raadsel, maar voor mij maakt het uitgangspunt van "eenvoudig delen" van informatie -wat in het wetsvoorstel vervat is- de risico's van de gekozen infrastructuur veel te groot.

  • Het mandaterings-mechanisme mag dan verbeterd zijn, dat maakt mandatering in de praktijk nog niet veilig. Voor mij is de vraag waarom mandatering überhaupt nodig is, anders dan in zeer op efficientie gerichte werkomgevingen. En ik denk dat een veilig EPD niet kan als je het te veel inricht op efficient gebruik; privacybescherming moet voorop staan. Afwegingen mogen niet gemaakt worden puur op basis van efficientieoverwegingen.

    • Bijvoorbeeld, gemandateerde medewerkers kunnen nu al als eerste -dus nog voordat een patiënt een arts uberhaupt heeft ontmoet- gegevens van de patiënt opvragen. De idee is dat het handig is dat medewerkers voorafgaand aan een poliklinisch spreekuur alvast wat gegevens kunnen "klaarzetten" voor de arts. Maar dit is natuurlijk niet veilig - en wilt u eigenlijk wel dat uw medisch-inhoudelijke dossiers inzichtelijk zijn voor medewerkers of assistenten?

    Waarom kan niet gewoon alleen de arts, wanneer u in de spreekkamer zit, uw gegevens opvragen? Is dat ook gewoon niet veel fatsoenlijker? Deze keuze zou het systeem direct een stuk veiliger maken. En als de gegevens dan toch vantevoren moeten worden opgevraagd, dan nog zie ik geen reden waarom de arts met wie je een afspraak hebt niet gewoon zelf de gegevens even kan opvragen voordat het spreekuur begint. Als het echt moet kunnen expliciet gemandateerde medewerkers van de arts daarna misschien dingen bijwerken of invoegen in uw dossier, maar dat is pas nadat de arts voor het eerst uw dossier heeft ingezien - en nadat u daadwerkelijk akkoord bent gegaan met het gebruik van en het aanmelden van gegevens (binnen deze behandeling) in het EPD.

  • Ook vele andere beveiligingsproblemen van het EPD bestaan nog. Bijvoorbeeld, wie gemandateerd is door welke arts kan in de praktijk worden bepaald door een "mandaatbeheerder". Dit kan iemand anders dan de arts zijn, bijvoorbeeld een personeelsfunctionaris. Deze functionaris kan in het belang van de organisatie willen zorgen dat medewerkers zo breed mogelijk inzetbaar zijn- vanuit bedrijfseconomische motieven kan dit verdedigbaar zijn. Het kan erop neerkomen dat bij wijze van spreken iedereen met een medewerkerspas-op-naam gemandateerd wordt, van de koffiedame tot aan de uitzendkracht aan toe. Formeel voldoet bovenstaande ruime mandatering aan de eisen voor mandatering zolang medewerkers maar een medewerkerspas op naam hebben. Maar het systeem blijft zo kwetsbaar voor aanvallen op het mandateringssysteem door misbruik van (gestolen) medewerkerspassen.

    • Kortom, een betere techniek is alleen veilig als deze ook veilig gebruikt wordt. Over het gebruik zie ik echter niets terug in de nieuwe EPD documentatie, dit wordt aan de zorgaanbieder (bijvoorbeeld, ziekenhuis) overgelaten. Ik maak me veel zorgen over deze gebruiksaspecten. Dit is niet zonder reden: straks zijn er duizenden dokterspraktijken, apothekers, huisartsposten, en zelfs enorme ziekenhuizen aan het EPD gekoppeld. Hoe hou je de gebruikers bij al deze organisaties ooit in de hand, met alle goede wil van de wereld? Zeker gezien de (bedrijfstechnische en economische) motieven en tekortkomingen van ziekenhuizen en andere zorginstellingen, die tegen privacybelangen ingaan, wordt dit heel lastig - op zijn best.

    Uiteindelijk is de beveiliging van de medische gegevens die uw (huis)arts bijhoudt in het L-EPD dus niet alleen afhankelijk van de goede procedures en beveiliging van de eigen praktijk, maar van de goede procedures en beveiliging van alle dokterspraktijken en ziekenhuizen in Nederland, en dat zijn er duizenden. Dit kan niet goed gaan. Dit "vertrouwensmodel" is dan ook een fundamenteel zwak punt van het EPD - nog los van allerlei zwaktes in de implementatie die er altijd zijn en die nooit allemaal gevonden en opgelost kunnen worden door de systemen te testen of te kwalificeren.

  • Een ander voorbeeld dat met het vertrouwensmodel samenhangt is dat de behandelrelatie tussen arts en patiënt, die de grondslag vormt waarmee artsen toegang kunnen krijgen tot het EPD, niet hard hoeft te worden vastgesteld door een digitale handtekening van de arts (of liever nog de patiënt) die verifieerbaar is in het "bronsysteem" waar de gegevens staan, maar dat deze behandelrelatie afgeleid wordt uit 'contextuele informatie', zoals het feit dat de patiënt in een agenda staat. Echter, iedere medewerker kan een patiënt in de agenda opvoeren. Dit geeft dus geen beveiliging, temeer daar ook nog eens (gemandateerde) medewerkers de gegevens van patiënten kunnen opvragen nog voordat de patiënt de arts zelfs maar gezien heeft. Dit kan wel verbeterd worden, dus door de arts of de patiënt de behandelrelatie expliciet te laten bevestigen, maar dat zie ik zo snel nog niet gebeuren. Dan wordt het systeem namelijk lastiger in het gebruik.

    • Om kort te gaan, in het EPD zitten veel compromissen aan bruikbaarheid en/of efficientie, en deze zijn veel te onveilig. Je moet geen systeem willen bouwen voor de uitwisseling van zeer privacygevoelige medische gegevens op deze schaal, zonder daarin echt harde beveiligingseisen te stellen. En je kunt gaatjes of gaten in het systeem wel proberen op te vullen, maar het blijft een enorm systeem waarop uiteindelijk grote druk staat om het "bruikbaar" of voldoende efficient te maken, al dan niet buiten het zicht van Nictiz of het ministerie. Het huidige uitgangspunt van het EPD als een Landelijk dossier waarin bijna alle informatie over een patiënt wordt bijgehouden is daarom mijns inziens onverantwoord gezien de risico's voor de privacy die hiermee worden gelopen, met name ook gezien prima alternatieven (waarover later meer). Het is praktisch onmogelijk om het huidige EPD op landelijke schaal echt veilig te krijgen, in ieder geval met de huidige architectuur en aannames over het gebruik als basis. Terwijl het systeem mogelijk wel al uw vertrouwelijke gegevens gaat bevatten in een of andere vorm - misschien zelfs zonder dat u het zich bewust bent.

  • Ten slotte is er nog de SMS notificatie. Dat klinkt prachtig, alleen u heeft hier niets aan. In de SMS staat namelijk alleen dat iemand uw gegevens heeft opgevraagd, niet wie. Dat is terecht want als dat erin zou staan zou dit privacygevoelig zijn. Echter, informatie over wie er dan in het EPD is geweest, is alleen per post opvraagbaar. Er is geen portaal om deze gegevens online in te zien, ook omdat patiënten geen pasje hebben om veilig in zo'n portaal in te loggen. Het overheids-inlog systeem, DigiD met SMS authenticatie, is door VWS zelf namelijk, op basis van onderzoek, als te onveilig bestempeld voor het inloggen in het centraal dossier. Voor belastingen volstaat DigiD wel, maar niet voor medische informatie.

    • Overigens: het ontbreken van een veilig pasje voor veilig inloggen gooit ook roet in het eten bij de inzagemogelijkheid - het centrale portaal is van de baan. Dat vind ik overigens niet erg, want zo'n centraal portaal geeft ook meteen het risico dat zorgverzekeraars of werkgevers (of jaloerse echtgenoten) over je schouder meekijken in je dossier. Terwijl er feitelijk toch niets instaat wat je niet al wist. Maar dit maakt het wel weer lastiger om te weten wat voor (privacygevoelige) informatie in je dossier staat, en dus om deze informatie weer (tijdig) uit je dossier te halen.

  • Nictiz doet echt zijn best om het EPD veilig genoeg te maken. Dat gaat echter nooit lukken met de uitgangspunten van het huidige ontwerp, niet op deze schaal. Het beveiligen van een systeem zoals het EPD op landelijke schaal is simpelweg heel heel heel erg moelijk, als het al mogelijk is. En dan hebben we het nog niet eens gehad over het beveiligen van bijvoorbeeld de centrale index, loggegevens waarin is terug te vinden waar u ooit allemaal op consult bent geweest, en over mogelijke aanvallen op de centrale component van het EPD, het LSP, van waaruit alle gegevens van patiënten zonder dat iemand het ziet eenvoudigweg zijn op te vragen.. Ik zie deze problemen nog niet aangepakt worden de komende 10-20 jaar, zeker niet wanneer het systeem eenmaal in gebruik is. (en dat is het nu al.)

  • Er wordt weleens gezegd dat regionale systemen veel onveiliger zijn dan het landelijke systeem, maar dat is nooit ergens hard gemaakt en mijns inziens onzin. Kritiek van het College Bescherming Persoonsgegevens vorig jaar op enkele regionale systemen ging eigenlijk vooral over het slecht informeren van patiënten dat hun gegevens werden verwerkt - iets dat het EPD niet veel beter doet. Ook qua beveiliging scoort het EPD maar marginaal beter, en dit zal snel ingehaald worden. Bovendien neemt deze vergelijking het schaalverschil niet mee - een landelijk systeem is veel aantrekkelijker voor (georganiseerde) criminelen dan kleinere regionale systemen, omdat niet een beperkte hoeveelheid dossiers maar de dossiers van alle Nederlanders erin staan. En bovendien maakt het schaalverschil het makkelijker om gaten of gaatjes in de beveiliging te vinden - in een van de vele aangesloten informatiesystemen - die dan misbruikt kunnen worden voor een aanval. Om nog maar te zwijgen over een aanval op of vanuit het centrale schakelpunt. Als je dit lukt heb je toegang tot alle medische dossiers in heel Nederland, slechts die van mensen met een totaalbezwaar uitgezonderd.

    • Ook kunnen regionale systemen onder de (nodige) druk van het CBP eenvoudiger worden verbeterd dan het landelijke systeem, zowel qua informeren van de patiënt als qua beveiliging. Bijvoorbeeld, probeer landelijk maar eens een protocolverandering door te voeren, dit vereist aanpassingen van duizenden aangesloten systemen en dit gebeurt dus niet zomaar. Al die tijd kan het EPD kwetsbaar zijn. Nictiz en VWS lijken hun oren teveel te hebben laten hangen naar "gemak op de werkvloer" en "bruikbaarheid in de praktijk". Dat kan voor de beveiliging niet goed gaan.

  • Op kleine (eventueel regionale) schaal kunnen we best veel van van het EPD leren, en bijvoorbeeld betere (regionale) systemen bouwen op basis van (aangescherpte) ideeen van het EPD. Die zouden dan wel echt klein gehouden moeten worden en uit moeten gaan van zeggenschap door de patiënt. Wat mij betreft is een longitudinaal dossier (een dossier waarin medische gegevens over langere termijn worden opgeslagen, mogelijk 'cradle to grave') op grote schaal inherent veel te onveilig. Liever zie ik oplossingen die de patiënt centraal stellen, in het beheer (vooraf) maar waar mogelijk ook in het transport van gegevens. Zoals een zorgpas. En er moet echt meer transparantie vooraf komen - bij alle grote zorginformatiesystemen trouwens, niet alleen het landelijke EPD.

    • Stel uzelf ten slotte nog deze vraag: Waarom zouden eigenlijk al onze medische gegevens tot 15 of 30 jaar terug in een landelijk dossier moeten staan, en daarmee kwetsbaar worden? Wat heeft dat eigenlijk nog te maken met de boodschap die de burger krijgt over het EPD, namelijk dat het zo handig is als je in Groningen woont en in Amsterdam onder de tram komt? Is zoveel informatie uberhaupt handig en nuttig? En hebben we hiervoor niet eigenlijk genoeg aan alleen een "noodgegevensdossier"? En dan nog, mensen met een allergie hebben nu meestal een kaartje in hun portemonnaie zitten. Dat werkt eigenlijk heel goed.

    Uit een (historisch) medicatieoverzicht is al bijna alles wat u ooit gemankeerd heeft af te leiden. Laat staan als daar nog heel veel andere dossiers aan toegevoegd worden. En een papieren medicatiepaspoort dat patiënten zelf bijhouden werkt misschien wel beter dan een medicatiedossier, omdat mensen niet alles slikken wat ze ophalen bij de apotheek en omdat ze daarnaast soms ook juist weer andere dingen gebruiken waar de apotheek niets vanaf weet. Natuurlijk, een medicatieoverzicht is wel handig, maar het is de vraag of dit een historisch overzicht moet zijn en of er geen betere en minder risicovolle manieren zijn om dit te regelen. Ik ben geen medicus, maar mij dunkt dat we hier veel beter over moeten nadenken. De huidige door het EPD gepropageerde generieke en uitbreidbare oplossing leidt echter zonder veel twijfel tot het steeds verder uitbreiden van de hoeveelheid informatie die via het EPD wordt ontsloten. Het huidige wetsvoorstel maakt dergelijke uitbreidingen ook relatief eenvoudig mogelijk, zonder veel parlementaire controle en zelfs zonder veel controle door de patiënt zelf.

  • In een expertmeeting in de senaat vorig jaar werd door velen gezegd dat landelijk "push" berichtenverkeer voor artsen eigenlijk voldoende is. Ik zou zeggen, bouw dat dan! Doe dit op basis van de passen die veel artsen nu al hebben, zodat je een veilig communicatiesysteem hebt waarmee niet meer uitgewisseld wordt dan nodig is, en waarbij de arts (uw arts!) er zelf expliciet voor kiest om informatie uit te wisselen met een andere arts - als dat nodig is in het kader van een behandeling, en alleen dan. De resterende gegevens kunnen dan eventueel getransporteerd worden via dossiers die onder beheer van de patiënt staan zoals een Zorgpas, of desnoods op papier of middels een simpele USB stick. Er zijn nog wel meer methoden; een volledig overzicht voert hier te ver. Daarnaast kan eventueel nog een (betaalbaar) dossier met noodgegevens gebouwd worden, voor mensen met een allergie die onder de tram komen.

    • Transport van medische gegevens via veilige email of in eigen beheer van de patiënt (en op initiatief van de patiënt) via een pasje, USB-stick, of personal health record, is iets heel anders dan wanneer gegevens zonder het zelfs maar te hoeven vragen in het EPD kunnen worden gezet. En dit laatste is nu precies waar het in deze wet om gaat. Naast alle technische problemen met de beveiliging is het feit dat de patiënt niet eens gevraagd wordt welke informatie uitgewisseld mag worden voor mij de ultieme reden om de wet af te wijzen.

    En weggegooid geld? Het EPD blijft niet bij die 300 miljoen die nu al is uitgegeven. Uit het verenigd koninkrijk weten we dat een EPD-project een geldverslindmachine is. Dit blijkt ook wel: juli vorig jaar stond de teller nog op 217 miljoen. Dat is 83 miljoen extra in ruim een half jaar!! En we beginnen pas. Bovendien, bij het eerste beveiligingsincident, wat er zeker gaat komen, ligt het Landelijke schakelpunt eruit en zijn alle investeringen hoe dan ook voor niets geweest. Investeringen die we beter hadden kunnen besteden aan het ontwikkelen van nieuwe, innovatieve technieken die de zorg en de patiënt ondersteunen maar wel veilig en privacy-vriendelijk zijn. Die de patiënt echte controle geven. Dit zijn de technieken die we écht nodig hebben en waar de wereld op zit te wachten. Maar juist dit soort technieken hebben, als het EPD er komt, veel minder kans van slagen doordat het L-EPD de markt domineert, en omdat mede juist daardoor de noodzaak afneemt om écht zorgvuldig te zijn bij de uitwisseling van medische gegevens of om de patiënt daarbij centraal te stellen.

    Beter ten halve gekeerd dan ten hele gedwaald.

    Oh ja, en maak de broncode van het LSP openbaar. Dan kan dit dienen als basis voor de doorontwikkeling van veiligere regionale systemen wanneer die -beperkt- gegevens willen uitwisselen met een schakelpunt. Met wat verbeteringen scheelt dat heel veel geld.

    terug naar overzicht.