Recentelijk heb ik nogal wat discussie meegemaakt over end to end beveiliging. Een discussie die gelukkig weer gevoerd wordt!
End to end beveiliging is gerelateerd aan veelgehoorde ontwerpcriteria zoals privacy by design en security by design. Wanneer het niet noodzakelijk is voor een systeem of component om persoonsgegeens te zien of te kunnen modificeren, moet deze component dit ook niet kunnen. Met end to end beveiliging garandeer je dit: je versleuteld gegevens van zender tot ontvanger zodat het hele communicatiepad beveiligd is.
Al in mijn artikel over het EPD uit 2010 schreef ik over het ontbreken van end to end beveiliging in dit systeem. Het LSP kan wél gegevens inzien die door het LSP heengaan, en kan ze zelfs wijzigen. Berichten zijn niet end to end tegen veranderingen beschermd en ook niet end to end tegen inzage beschermd door versleuteling. Het LSP zit tussen een arts die gegevens opstuurt en een arts die gegevens ontvangt in en kan alles wat voorbij komt inzien, veel meer gegevens dan strikt noodzakelijk. Technisch kan het LSP zelfs verzoeken om informatie naar huisarts- of apotheeksystemen sturen; deze vragen niet om een digitale handtekening door een arts (die de arts in eerste instantie wel zet!), maar beantwoorden elk verzoek. Daardoor kan het LSP zelfs eigenstandig gegevens opvragen bij huisartsen!
Het punt is dat dit een risico is dat volstrekt onnodig is. Daarom is het ontwerpen van systemen zonder end to end beveiliging tegen elk zindelijk ontwerpbeginsel in.
Recent zag ik end to end beveiliging voorbijkomen in verschillende discussies:
Wat is end to end beveiliging?
De tekstboek-definitie van end to end beveiliging is: bescherm gegevens van begin tot eind tegen inzage of wijziging. Een 'eindpunt' kan een gebruiker zijn, of diens browser of een computer. Soms hebben mensen een digitale sleutel in hun browser of mail-programma, met een PIN code om de sleutel te beschermen. Als je je computer vertrouwt kun je de ontsleuteling ook door je computer laten uitvoeren, bijvoorbeeld zodra een bericht binnenkomt. Dit moet dan natuurlijk wel je eigen computer zijn. In het laatste geval heet end to end beveiliging eigenlijk 'systeem tot systeem' beveiliging.
De bottom line van end to end beveiliging is dat alles wat niet verzender of ontvanger heet buiten de communicatie kan worden gehouden. De gegevens gaan in een dichte, gecodeerde envelop, zeg maar.
Waarom is dit belangrijk?
In de zorg worden vaak gegevens onversleuteld van A naar B gestuurd. Email en edifact (mail) berichten passeren bijvoorbeeld de centrale mail servers (meestal van Ezorg of van eNovation) zonder versleuteling. Misschien wil je deze mail servers vertrouwen omdat ze alleen mail tussen zorgverleners versturen, maar het is onnodig. Centrale systemen kunnen gehackt worden, of inlichtingendiensten kunnen toegang vragen. Zouden zorgverleners een sleutel krijgen om in hun systeem te plaatsen, dan kunnen gegevens van zorgverlener- tot zorgverlener-systeem end to end worden versleuteld. Zo kan veel onnodig vertrouwen in centrale systemen (zoals mailservers, het LSP, of andere systemen), voorkomen worden.
Maar VZVZ vindt dit dus onzin?
VZVZ stelde tijdens de rechtzaak dat huisartsen vaak op een gehost systeem werken. Hun systemen staan vaak in een datacentrum of in "de cloud". Dat betekent dat een huisarts via een versleutelde verbinding op zijn systeem werkt. Omdat de data dus toch al fysiek op een systeem in een datacentrum staat, is end to end te beveiliging een beetje onzin, zo is de redenatie van VZVZ.
Dit is natuurlijk regelrechte onzin. VZVZ ziet end to end beveiliging zo louter als technisch argument, en doet alsof dreigingen slechts afhankelijk zijn van waar gegevens fysiek staan. Het gaat natuurlijk om veel meer. Een arts is verantwoordelijk voor medische gegevens en het beroepsgeheim. Het systeem dat hij gebruikt is zijn juridisch eigendom, of het nu in zijn praktijk staat of in een datacentrum. Het gaat erom dat patiëntgegevens bij een zorgverlener staan, jouw zorgverlener. Dat geeft heel veel bescherming, los van de techniek of de fysieke locatie van het systeem. Zorgverleners hebben een beroepsgeheim. Als zorgverlener A gegevens naar zorgverlener B stuurt, moeten die gegevens alleen door zorgverlener B kunnen worden ingezien, niet door buitenstaanders. Simpeler kan het niet.
Soms lijkt end to end beveiliging natuurlijk wel wat relatief. Soms stuurt een zorgverlener een verwijsbrief bijvoorbeeld naar een afdeling van een ziekenhuis, en niet naar een specifieke arts. Of vraagt een huisartsenpost gegevens op, of handelt een secretaresse een verzoek af. Maar toch is het dan nog steeds communie van hulperlener naar hulpverlener.
Juridische bescherming
Onder de Wet geneeskundige behandelvoereenkomst (Wgbo) worden zorginstellingen, net zoals individuele zorverleners, als "hulpverleners" beschouwd. Deze hebben juridisch gezien dezelfde rechten en plichten met betrekking tot het beroepsgeheim als individuele hulpverleners, en kunnen daarmee ook dezelfde bescherming bieden. Strikt genomen gaat bij end to end communicatie in de zorg dus, juridisch in de zin van Wgbo, om hulpverlener tot hulpverlener communicatie.
Hulpverleners hebben iets wat 'gewone' niet-zorgverlener partijen niet hebben: het beroepsgeheim. Concreet uit dat zich bijvoorbeeld in het verschoningsrecht. Zorgverleners hebben het recht om zélfs tegen rechters "nee" te zeggen tegen verzoeken om medische gegevens. Een rechter mag de arts hier niet voor veroordelen. Dit recht om het beroepsgeheim te beschermen is een groot goed. Zonder een dergelijk recht zou geen mens zich veilig voelen om echt gevoelige gegevens met zijn arts te delen. Een arts heeft wel de mogelijkheid om zelfstandig, vanuit diens eigen verantwoordelijkheid, te beslissen bijvoorbeeld gevallen van kindermishandeling te melden bij justitie, maar kan hiertoe niet gedwongen worden. Het beroepsgeheim biedt juridisch gezien dus grote bescherming.
Een externe partij die geen zorgverlener is - zoals VZVZ of het Amerikaanse bedrijf CSC die het LSP beheren - kent geen beroepsgeheim, en geen verschoningsrecht. Als justitie of een overheid hen zal vragen om gegevens, zal het voor VZVZ of CSC moeilijk zijn dit verzoek te weigeren. Bovendien zijn centrale systemen zoals het LSP (of de mailservers van bijvoorbeeld eNovation of Ezorg) ook nog eens dé plek voor jusitie om zich op te richten, aangezien zij dan een centrale ingang hebben voor toekomstige verzoeken en een groot bereik. (Dit geldt uiteraard ook voor hackers, die vinden centrale ingangen ook heel handig).
Ik vermoed dat de juridische waarborgen rondom geheimhouding zorgverleners zélfs ten opzichte van keiharde anti-privacywetgeving zoals de patriot act bescherming bieden. Deze wetgeving blijft immers een juridisch instrument en de juridische waarborging van het beroepsgeheim is heel sterk. Als een arts geen toegang tot een systeem geeft, is de enige manier om binnen te komen via een achterdeur of door het systeem ronduit te hacken - illegaal dus. Dit ligt anders bij het LSP van VZVZ/CSC, die als niet-zorgverleners de juridische bescherming van het beroepsgeheim niet kennen en bij justitiële verzoeken, of verzoeken op basis van de Patriot Act, zwakker staan dan hulpverleners.
De minister stelt in een recente brief aan de kamer dat als CSC of VZVZ een verzoek om informatie krijgen, zij dat verzoek eerst moeten "toetsen aan de Wet berscherming persoonsgegevens (Wbp)". Zo'n toets ligt lastig en geeft weinig bescherming, omdat voor een Amerikaans bedrijf de Amerikaanse Patriot act prevaleert. Voor zorgverleners ligt het wellicht anders: zij moeten het verzoek toetsen aan Wgbo, mét de - eenduidige - bescherming van het beroepsgeheim die daar vanuitgaat; iets waar VZVZ en CSC niet op kunnen terugvallen. Hun grond voor verweer is zwakker.
Zorgverlener tot zorgverlener, ofwel: geheimhouder tot geheimhouder beveiliging
Een werkbare definitie van end to end beveiliging in de zorg is dus hulpverlener tot hulpverlener beveiliging. Dat betekent dat alle niet-zorgverlener schakels of partijen die in een communicatiepad zitten geen toegang tot gegevens mogen hebben. Logisch toch?
Als een huisarts zijn systeem laat hosten, blijft het zijn systeem, het systeem van een zorgverlener. Dit systeem en alle gegevens daarin vallen onder de verantwoordelijkheid van de arts, en de arts heeft juridische waarborgen en rechten en plichten waarmee hij deze verantwoordelijkheid ook kan nemen.
Hiermee vervalt het argument van VZVZ, dat er bij een cloud-based huisartsensysteem, als de arts op zo'n systeem werkt, ook geen sprake is van end to end beveiliging. Dat is wel het geval. Het systeem van de zorgverlener moet je bovendien wel vertrouwen. Voor andere systemen die toevallig in het communicatiepad van zorgverlener naar zorgverlener zitten geldt dat niet.
De discussie met de NEN
End to end beveiliging is een zorgvuldigheidsmaatregel. Ook los van de patriot act. Als het niet noodzakelijk is moet je zorgen dat buitenstaanders geen toegang kunnen krijgen tot medische gegevens. Simpeler kan niet.
De NEN is een Nederlandse normen-organisatie die algemene normen voor beveiliging in de zorg stelt. De NEN7512 is één van die normen. Als ergens een pleidooi voor end to end beveiliging verwacht zou worden, is het daar. Dat dééd de norm ook, sinds 2005. Dit is wat de NEN norm uit 2005, nu nog van toepassing, over beveiliging van communicatiekanalen zegt:
"Het kanaal dat wordt gebruikt voor informatie- en communicatieprocessen moet voldoen aan de zekerheiseisen die de desbetreffende processen stellen. [...] De zender en ontvanger moeten elkaars identiteit met voldoende zekerheid kunnen vaststellen (authenticatie en ondertekening) [...] Gegevens moeten tijdens het transport tussen zender en ontvanger op geen enkele wijze kunnen worden gewijzigd (integriteit) [...] met een elektronische handtekening wordt het gehele kanaal tussen zender en ontvanger afgedekt. [...] Gegevens moeten geen anderen dan de geaddresseerde ontvanger(s) kunnen bereiken." Er wordt ook gesteld wordt dat het verzenden van vertrouwelijke gegevens versleuteld moet plaatsvinden om bovenstaande te waarborgen.
Dit is de klassieke definitie van end to end beveiliging. De norm met bovengenoemde beschrijving is trouwens indirect verplicht gesteld per ministeriële regeling uit 2008, maar vrijwel niemand geeft daar vooralsnog gehoor aan.
Een niewe (concept) versie van de norm kent bovenstaande beschrijving niet. Een organisatie (vaak niét een zorgverlener of patiënt - die gaan niet over zulke zaken!) kan in de conceptnorm beslissen om een beveiligde verbinding als "een verbinding tot een vertrouwd domein" te beschouwen. Dat domein kan een externe partij kan zijn via welke gegevens gecommuniceerd kunnen worden, zoals het LSP. De norm tuigt een heel stelsel van afspraken op om het vertrouwen te 'borgen' - maar dat kan niet verhullen dat de nieuwe definitie volledig ingaat tegen de betekenis van end to end beveiliging én tegen eisen vanuit Europese regelgeving (zie onder), waarbij je externe - in het geval van zorgcommunicatie, niet-zorgverleners - partijen die je niet hoeft te vertrouwen, ook niet mag vertrouwen.
De minister citeert VZVZ in een recente : "Het LSP controleert en bewaakt als vertrouwde partij de identiteit van de commnicatiepartners en de integriteit van de berichten. Op haar beurt wordt de identiteit van het LSP als vertrouwde schakel bij de communicatie met de communicatiepartners [...] gecontroleerd." Maar waarom zou je een 'domein' of 'schakel' vertrouwen als dat helemaal niet nodig is? Dat is de kern van de discussie over end to end beveiliging.
Het subsidiariteitsbeginsel van de Europese databeschermingsregels stelt overigens dat je voor het verwerken van gevoelige persoons gegevens altijd de minst privacyschendende oplossing moet kiezen: als het niet noodzakelijk is om een externe partij te vertrouwen, moet je dit ook niet doen - dit mag niet zelfs. De conceptnorm geeft wat mij betreft dus een verkeerd signaal af en dit heb ik de NEN commissie ook gemeld.
Vooral praktisch
Los van de juridische argumenten is het argument voor end to end beveiliging ook gewoon heel praktisch. De arts heeft een eigen systeem, ook als dit gehost is. Dit systeem staat in beginsel los van andere systemen. Als de arts ervoor zorgt dat de gegevens alleen gedeeld worden met zorgverleners, biedt dit gewoon een heel sterke bescherming. Ook tegen hackers en andere derden. Deze adequate beveiliging is waar de huisartsen voor strijden.
VPHuisartsen stelt dat het LSP onwettig is en dat het systeem een inherent conflict oplevert met de wettelijke eisen rond het beroepsgeheim. Dit klopt als je ziet dat het LSP veel meer medisch gerelateerde gegevens kan inzien dan nodig. Het punt van kwetsbaarheid van huisartssystemen die in een datacentrum gehost worden, is van een volstrekt andere orde en juridisch niet relevant. Er is een groot verschil tussen niet en wel-zorgverleners, zoals boven betoogd. Bovendien kunnen huisartsen wel zelf invloed op hun eigen, al dan niet gehoste systeem uitoefenen qua beveiliging, bijvoorbeeld door te eisen dat de gegevens alleen op de praktijk inzichtelijk zijn en dat het back-end alleen versleutelde gegevens bevat. Dan komt er geen geheime dienst meer tussen. Dit is echter geen onderwerp bij de procedure.
Alles bij elkaar lijkt het argument van VZVZ een beetje op het "dossierkasten-argument": ja, mensen kunnen ook een greep uit een dossierkast met papieren dossiers doen. Maar dat levert een willekeurige selectie dossiers op - dat is iets heel anders dan de structurele afluistermogelijkheden, en gerichte mogelijkheden voor opvragen van dossiers die het LSP technisch biedt. Zo'n vergelijking houdt dus geen stand. De reikwijdte van het LSP is groter, en de risico's ervan worden daarmee ook veel groter. Terwijl die risico's gewoon vermeden kunnen worden.
Een oplossing bestaat al lang. Dus overheid: dwing het af!
Duizenden Edifact berichten worden dag over centrale 'zorg' mailservers verstuurd. Berichtenverkeer is op zich uiterst privacy-vriendelijk, omdat ze rechtstreeks naar een betrokken zorgverlener worden gestuurd en naar niemand anders. Echter, dit gebeurt - ondanks de regels uit 2008 - onversleuteld. Het LSP gebruikt wel sleutels, maar niet end én en niet gericht. Géén van de systemen die nu wordt gebruikt is beveiligings- of privacytechnisch echt verantwoord.
Wat is de oplossing? Zorg er voor dat iedere zorgverlener, gratis, en laagdrempelig, een aantal sleutels krijgt die door anderen op te zoeken zijn: een systeemsleutel die bruikbaar is voor systeem tot systeem beveiliging (bijvoorbeeld, voor berichten naar een huisarts informatie systeem), en persoonlijke passen en/of sleutels voor het digitaal kunnen ondertekenen en versleutelen/ontsleutelen van berichten.
Publieke sleutel cryptografie is al lang bekend. Email kan bijvoorbeeld versleuteld worden. Er bestaan infrastructuren voor het uitgeven van cryptografische sleutels, zoals Vecozo en het UZI register. De door hen uitgegeven certificaten zijn uitstekend bruikbaar voor versleuteling van mail berichten én andere soorten communicatie. Probleem hierbij is echter dat er geen publiek telefoonboek voor sleutels is: niemand kan de sleutels vinden. Soms ook zijn de uitgegeven certificaten niet eens bruikbaar. De voor het LSP uitgegeven systeemsleutels zijn bijvoorbeeld niet bruikbaar voor het beveiligen van berichtenverkeer buiten het LSP netwerk.
Daarom moet er een publiek telefoonboek komen met echt generiek bruikbare sleutels, die in alle systemen bruikbaar, en makkelijk te vinden zijn. Dan heb je ineens een generieke basis voor beveiliging van alle gegevensstromen in de zorg, van LSP tot zorgmail tot Edifact, en zelfs voor de uitwisseling van berichten in regionale (keten)zorgsystemen. Het enige wat dan nog nodig is dat systeemontwikkelaars en zorgverleners deze sleutels ook daadwerkelijk gaan gebruiken. Maar dat is technisch een fluitje van een cent.
Overheid: stimuleer en faciliteer een echt bruikbaar, betaalbare en LSP-onafhankelijke Public Key Infrastructuur (PKI). Zoals dat eigenlijk al sinds 2008 verplicht is. Het UZI register zoals dat nu is opgezet is nauwelijks bruikbaar, want sleutels zijn niet vindbaar en systeemsleutels zijn vaak gekoppeld aan het LSP, wat ze niet bruikbaar maakt voor systeem tot systeem beveiliging van bijvoorbeeld Edifact berichten. Als je een breed toepasbare en toegankelijke PKI aanbiedt, mét bijbehorend telefoonboek, schep je de randvoorwaarden voor het beveiligen van álle systemen in de zorg, in plaats van slechts één systeem of één netwerk (1). En zo moet het natuurlijk zijn.
1) Uit een recent voorstel van de minister blijkt dat ze wil dat uitwisselingssystemen, zoals het LSP, bepaalde netwerk eisen aan zorgverleners kunnen opleggen. Doordat het netwerk zo 'besloten' kan blijven zou dit dan een "veilige" manier van verbinden met het LSP vormen. Als je niet-LSP systemen uitsluit, is het helemaal mooi besloten natuurlijk; juridisch zou dit kunnen via genoemde regels, vermoed ik - wat dan wel tegen de autonomie van zorgverleners ingaat om zelf de systemen uit te kiezen waarmee zij gegevens willen uitwisselen.
Op de schaal van Nederland is het besloten houden van besloten netwerken overigens een illusie - bijvoorbeeld, één met een botnet besmette computer maakt zo'n netwerk al 'open'. Bovendien is communicatie buiten 'het' netwerk om sowieso een must en onontkoombaar: hoe anders moet je mailen met collegae of patiënten in het kader van de veelgeroemde "eHealth"?
End to end beveiliging met behulp van een PKI helpt alle vormen van commnicatie, over alle soorten media, te beveiligen. Dit is essentieel voor beveiliging van bestaande en toekomstige uitwisselingssystemen in de zorg. Een lock-in in een specifiek netwerk voor een specifiek 'vertrouwd' uitwisselingssysteem, zoals het gevolg kan zijn van de recent door de minister voorgestelde Algemene Maatregel van Bestuur (AMvB) is bij een juist gebruik van end to end beveiliging dan ook volstrekt onnodig, en zelfs contra-productief omdat mensen de aandacht dan richten op netwerkbeveiliging in plaats van op beveiliging op applicatienivo, waar het echt nodig is.
Meer nieuwsberichten