1 april 2010

Het Elektronisch Patiëntendossier (EPD) is onvoldoende beveiligd. Daardoor kunnen vertrouwelijke patiëntgegevens in verkeerde handen komen, beweert Guido van ’t Noordende, onderzoeker aan de Universiteit van Amsterdam. Volgens het ministerie van Volksgezondheid, Welzijn en Sport (VWS) zijn de twijfels die de wetenschapper zaait ongegrond. Van ’t Noordende schreef vorige maand een brief naar de Eerste Kamer waarin hij de resultaten van zijn onderzoek naar de beveiliging van het EPD onder de aandacht brengt. Patiëntgegevens zijn decentraal opgeslagen bij de zorgaanbieders, maar via het Landelijk Schakelpunt (LSP) te raadplegen door geautoriseerde behandelaars. Door in te breken bij het LSP kunnen kwaadwillenden bij alle patiëntgegevens, want decentraal is niet vast te stellen of er een zorgverlener of een hacker achter de aanvraag zit. Maar ook de mandatering, waarmee artsen medewerkers toegang geven tot het EPD, is volgens de onderzoeker eenvoudig te misbruiken. Een derde probleem is dat gegevens die door de patiënt worden gewist, nooit helemaal uit het systeem verdwijnen, aldus VWS.

De beveiligingsproblemen zijn te wijten aan foute beslissingen die zijn genomen in de ontwerpfase van het EPD. Verbeteringen zijn wel mogelijk, maar eisen aanzienlijke aanpassingen van de architectuur, stelt Van ’t Noordende. Het wetsvoorstel voor invoering van een landelijk EPD ligt bij de Eerste Kamer. Minister Klink van Volksgezondheid hoopt dat de senaat het nog voor de verkiezingen van 9 juni goedkeurt. Maar de senatoren hebben nog grote twijfels, bleek tijdens een hoorzitting eind maart. Zie hier een persbericht van de Universiteit van Amsterdam, en hier het onderzoeksverslag. De onderzoeker vindt het geen irreëel scenario dat kwaadwillenden op zoek gaan naar privacy gevoelige informatie. Medische gegevens kunnen bijvoorbeeld gebruikt worden als chantagemiddel. Het ministerie van VWS stelt dat deze conclusie 'niet onderbouwd' is. 'Voor het LSP gelden strenge beveiligingseisen voor ontwikkeling, implementatie en beheer die jaarlijks door onafhankelijke derden worden getoetst door middel van audits en indringerstesten. De testen die tot op heden werden uitgevoerd, onder andere door gespecialiseerde hackers, hebben aangetoond dat de genomen maatregelen adequaat zijn'. De kritiek op decentrale registratie van mandaten die artsen aan medewerkers geven, wordt door VWS ook van tafel geveegd. Deze methode van registratie zou volgens het ministerie juist een bewuste keuze zijn om misbruik van mandaten te voorkomen. Ook voert het ministerie aan dat Van 't Noordende voor zijn studie de ontwerpdocumentatie van het landelijke EPD heeft geraadpleegd. Het ministerie stelt dat bij de implementatie van het systeem extra maatregelen zijn genomen, waaraan de onderzoeker voorbij gaat. De onderzoeker is het niet eens met de beweringen van het ministerie en bereidt een reactie waarin hij de stellingen van het ministerie weerlegt voor. Opvallend is dat Nictiz, een expertisecentrum dat betrokken is bij de ontwikkeling van het EPD, het onderzoek als 'zeer zorgvuldig' kwalificeerde. Het expertisecentrum deed deze uitspraak afgelopen vrijdag in NRC Handelsblad. De vraag is nu wie meer verstand van zaken heeft, Nictiz of het ministerie. De opmerking van het ministerie dat maatregelen tijdens de implementatie niet in het onderzoek zijn meegenomen, en dat alleen de ontwerpdocumentatie is onderzocht, is een vreemde. Zijn die genomen maatregelen tijdens de implementatie dan niet openbaar gemaakt ? Zijn ze niet vastgelegd ?