Beveiliging en privacy in het Nederlandse EPD

Media-aandacht, en achtergrond


De afgelopen dagen is er aardig wat media-aandacht geweest voor het Landelijk Schakelpunt (LSP), de infrastructuur van het EPD die nu in private handen doorgestart wordt, betaald door zorgverzekeraars. Het begon met een artikel in NRC, waarbij ook een nieuwsartikel zat waarin werd geconstateerd dat het businessplan van de EPD-doorstart een financieringsbeleid bevatte welke artsen beloonde die veel patienten aanmelden. Dit is na het weekend bijgesteld, echter ook de actuele versie van het businessplan laat duidelijk zien dat artsen straks alleen nog volledig vergoed worden voor onkosten die zij maken voor het LSP als zij 'voldoende' patienten aanmelden. Deze prikkel zal druk op patienten zal veroorzaken als artsen 'onder de norm' presteren. Onder meer hierover kreeg ik een vraag bij Nieuwsuur. Helaas gaat de minister van VWS in het daarop volgende interview niet in op de stellingen, noch op de beveiligingsvragen die afgelopen week ter discussie stonden.

Onder meer Alexander Klöpping zette de beveiligingskritiek scherp neer in De Wereld Draait Door op maandag 26 november. Terwijl NPCF patientenfederatie-voorzitter Wilna Wind bleef beweren dat er met de beveiliging niets aan de hand was, bleef Alexander Klöpping - terecht - zeggen dat het autorisatiemodel (onderdeel van het AORTA "vertrouwensmodel" en volledig gebaseerd op lokale checks en uiteindelijk een pop-up van het EPD niet deugt en volop ruimte geeft aan hackers - bijvoorbeeld vanuit ziekenhuissystemen - om gegevens (landelijk) op te halen vanuit het EPD. Voor een door de makers geschreven overzicht van de autorisatiechecks in de op het LSP aangesloten systemen, zie punt 3 van voorgaande link - nota bene door CBP beoordeeld - bij goede lezing is helder dat de onderliggende 'toets op de behandelrelatie' aan alle kanten manipuleerbaar is en geen kwaadwillende medewerker of hacker zal tegenhouden.

Achtergronden hierover heb ik al vele malen opgeschreven. Helaas zijn alle punten nog steeds actueel. Ook over de regionale schotten die weer opgevoerd worden heb ik al eerder geschreven; deze bieden schijnveiligheid - zeker bij hacks van ziekenhuissystemen of het LSP zelf - maar ook: ze zullen snel weer verdwijnen, wil de doorstart-organisatie. Ook SMS notificatie wordt weer uit de kast gehaald. Een naief, ondoordacht en kostbaar systeem wat uiteindelijk ook weer ex post werkt, dus niet helpt bij hacks (op afstand), en ook beveiligings- en privacyvragen toevoegt, soortgelijk aan patientenportalen. Bijvoorbeeld, wat als een onbevoegd familielid (boze vader) de informatie leest, en wie beschermt de SMS of mail servers, niet alleen de verzendende server maar ook de publieke servers via welke de berichten met medische details verstuurd worden? Het is niet voor niets dat deze oplossing er nog niet is; Nictiz heeft hier natuurlijk ook al wel over nagedacht, de ideeen zijn niet nieuw. Over monitoring van verkeer (hoe detecteer je of een opvraag vanuit Groningen vreemd is en dit is toch ook achteraf?) en inzage (nu nog per post, hoe dan ook kwetsbaar) heb ik ook al eerder geschreven, en anderen ook; de problemen zijn niet ineens verdwenen. Over de technische problemen en risico's rond autorisatie zei ik ook al een en ander in een interview in Vrij Nederland (8 november 2012).

Op 28 november werd over dit alles ook bericht in het NOS journaal; naast Wilna Wind waren hierin ook Landelijke Huisarts Vereniging-voorzitter Paul Habets en anderen te zien die in een besloten bijeenkomst de tweede kamerleden nog eens mochten bijpraten over hoe het wel allemaal zat; kennelijk werd kritiek afgedaan als "spookverhalen". Curieus toch dat een private organisatie dit zomaar voor elkaar krijgt, zonder pers of critici de Kamerleden bepraten. Wel werd duidelijk hoe de betrokken bestuurders over beveiliging en het belang van privacy nadenken - alsof het dijken en water zijn. De vergelijking met banken wordt ook gemaakt (al gaat die niet op - daar wordt al heel veel fraude via een verzekeringsmodel gecorrigeerd en gaat het echt heel vaak fout door "banking trojans", maar hoe stort je uitgelekte medische informatie terug?). En: ook in dijken zit een hoop engineering en denkwerk door ingenieurs, en daar zijn ook al heel ernstige dingen misgegaan. Misschien moeten we dat proces van trial-and-error voor onze medische informatie allemaal gaan overdoen? Verstandig lijkt me dat. Zeker als je het ook kunt voorkomen.

Wat er mis kan gaan heb ik ook aan de NOS uitgelegd, heel concreet en toegankelijk, echter alleen online: dit interviewfragment is te vinden op de NOS website. Verder is misschien nog aardig het radio 1 interview bij Dit Is De Dag op maandag 26 januari, en enkele online interviews, waaronder voor Webwereld (en nog een keer) en de NOS.. Het Webwereld interview maakt duidelijk dat er functioneel gezien, erg weinig verschil is tussen een centrale database en het LSP - ook al proberen voorstanders continu om het beeld van een centrale databank te bestrijden. Er is een centraal toegangspunt tot alle informatie, gecentraliseerde toegangscontrole -- wat is functioneel dan het verschil met een centrale database?

Bij dit alles is nog interessant het hoofdredactioneel commentaar van de NRC van 26 november, door Matthijs van Nieuwkerk in bovengenoemde aflevering van DWDD terecht aangehaald als "dat is nogal wat". Hier is het commentaar. En het is nogal wat. De NRC redactie heeft het probleem genuanceerd geduid en correct vertaald naar het probleem van verantwoordelijkheid - en naar het probleem dat de huisarts niet meer bepaalt wie toegang tot het dossier krijgt. En dit is ook misschien wel het belangrijkste probleem, naast de beveiliging die daarmee samenhangt.

Overigens ben ik ook nog uitgebreid geinterviewd door Orlando Praag van Salto radio, de Amsterdamse stads-omroep op 13 december 2012. Dit interview is hier te beluisteren.

Aanvulling: Ook de telegraaf heeft inmiddels stevig hoofdredactioneel commentaar op de doorstart van het LSP geleverd, naar aanleiding van de acties (juridische procedure) van de huisartsen ("Niet veilig").

Guido van 't Noordende, 30 november 2012. Laatste aanpassing 13 maart 2013.