Subject: Fw: Reactie VWS op EPD-onderzoek Algemene conclusie: - VWS heeft kennis genomen van het onderzoek van Guido van 't Noordende. - Het onderzoek bevat geen nieuwe inzichten en legt geen nieuwe problemen bloot. - Door zijn onderzoek enkel te baseren op de ontwerpdocumentatie van het landelijk EPD, gaat Van 't Noordende in zijn kritiek voorbij aan de maatregelen die bij de daadwerkelijke invoering zijn genomen. - De stelling van Van ’t Noordende dat `in het geval van een inbraak in het LSP of de ziekenhuissystemen die de mandatering regelen de beveiliging onvoldoende is', is niet onderbouwd. Zijn belangrijkste punten van kritiek zijn de volgende: 1 Er wordt onvoldoende rekening gehouden met inbraken in zorginformatiesystemen en het Landelijk Schakelpunt (LSP). 2 De mandatering waarmee artsen hun medewerkers namens henzelf toegang geven tot het landelijk EPD is erg eenvoudig te misbruiken, decentraal geregeld en daardoor niet zichtbaar voor het LSP. 3 Op decentraal niveau wordt aangegeven of er een behandelrelatie is en of de patiënt toestemming heeft gegeven voor inzage en is dus niet zichtbaar voor het LSP. 4 Het LSP bewaart gewiste gegevens omwille van een "reconstructiehorizon". Hierdoor verdwijnen gewiste gegevens nooit helemaal. Ad 1 Antwoord VWS: De stelling van Van 't Noordende dat `in het geval van een inbraak in het LSP of de ziekenhuissystemen die de mandatering regelen de beveiliging onvoldoende is', is niet onderbouwd. In de ontwerpfase van de architectuur zijn alle door de Van 't Noordende aangedragen risico's onderwerp van nadrukkelijke en zorgvuldige afweging geweest. De keuzes die daarbij gemaakt zijn, zijn gebaseerd op de beoordeling van de kans dat de betreffende risicosituatie daadwerkelijk optreedt en de mogelijke gevolgen daarvan. Voor het LSP gelden strenge beveiligingseisen voor ontwikkeling, implementatie en beheer die jaarlijks door onafhankelijke derden worden getoetst door middel van audits en indringerstesten. De testen die tot op heden werden uitgevoerd, onder andere door gespecialiseerde hackers, hebben aangetoond dat de genomen maatregelen adequaat zijn. De implementatie van zorginformatiesystemen bij zorgverleners wordt eveneens periodiek getoetst door middel van kwalificaties, schouwingen en indringerstesten. Ad 2 Antwoord VWS: In tegenstelling tot wat Guido van 't Noordende beweert - zonder dat dit met de nodige bewijzen is onderbouwd - is de mandatering niet `erg eenvoudig' te misbruiken Vanzelfsprekend is het risico van misbruik van mandatering uitvoerig onderzocht en regelmatig onderwerp van bovengenoemde indringerstesten. In het licht van een zorgvuldige afweging tussen het potentiële risico van misbruik van mandatering en werkbaarheid van procedures in de praktijk, is gekozen voor decentrale registratie van mandateringsrelaties. Hierbij is uitgegaan van een goede balans tussen een adequaat beveiligingsniveau en een werkbare praktijksituatie. Het risico op mogelijk misbruik van het mandateringsmechanisme is ondervangen door middel van kwalificaties en schouwingen van de implementatie. Bovendien wordt het gebruik van mandateringen centraal gelogd en geanalyseerd. Ad 3 Antwoord VWS: De behandelrelatie wordt in het decentrale zorginformatiesysteem door de zorgverlener vastgelegd. Voordat gegevens kunnen worden opgevraagd wordt allereerst gekeken of de patiënt is ingeschreven in het systeem van de zorgaanbieder. Als dat niet het geval is, is het niet mogelijk gegevens op te vragen. Als dat wel het geval is wordt gecontroleerd of er al gegevens zijn aangemeld over de betreffende patiënt. Als dat het geval is wordt er van uitgegaan dat er sprake is van een behandelrelatie tenzij die is beëindigd. Blijkt bij die controle op aanmelding van gegevens dat deze behandelrelatie er nog niet was, dan dient de zorgverlener de behandelrelatie alsnog te bevestigen. Ad 4 Antwoord VWS: Ten behoeve van het toezicht op het gebruik van het EPD door de IGZ en het CBP wordt het gebruik gelogd. De loggegevens worden alleen bewaard om na het signaleren van onregelmatigheden te kunnen reconstrueren welke gegevens zijn aangemeld of opgevraagd. Hierbij heeft een noodzakelijke afweging plaatsgevonden tussen de totale verwijdering van loggegevens enerzijds en de noodzaak van het bewaren van (historische) loggegevens in het kader van toezicht anderzijds. Wanneer hiertoe aanleiding bestaat zal deze afweging opnieuw plaatsvinden.