Ernst Lopes Cardozo
	Ernst Lopes Cardozo is principal consultant bij Aranea Consult en helpt organisaties bij het ontwerpen en implementeren van ICT infrastructuren. De beveiliging van netwerken speelt een steeds grotere rol in zijn adviespraktijk. Ernst publiceert regelmatig over zowel de technische als organisatorische aspecten van ICT, onder meer als vaste columnist voor Infosecurity.nl en Storage Magazine.

Bij de invoering van het elektronisch patiëntendossier (EPD) hinkt de overheid op twee gedachten. Enerzijds streeft men veiligheid na, anderzijds wil men alles zo efficiënt en gebruiksvriendelijk mogelijk inrichten. Een leerzaam schouwspel. Guido van ’t Noordende van de Universiteit van Amsterdam deed onderzoek naar de beveiliging van het EPD. Hij signaleert een aantal ernstige technische en organisatorische tekortkomingen.

Op dit moment liggen de patiëntgegevens bij allerlei verschillende zorgverleners: de huisarts, het ziekenhuis, de specialist, de thuiszorg, noem maar op. Het zou de kwaliteit van de zorg ten goede komen als die zorgverleners toegang hebben tot elkaars gegevens. Tenminste, dat is de gedachte achter het EPD. Natuurlijk moeten die gegevens wel goed worden beschermd. Er zijn echter meer dan 400 duizend zorgverleners die in geval van nood onmiddellijk toegang moeten hebben tot onze dossiers.

Maar ook als er geen sprake is van een spoedgeval, wil de overheid de zorgverleners niet lastigvallen met administratieve rompslomp. Een van de argumenten vóór het EPD is namelijk dat het veel eenvoudiger moet zijn om gegevens uit het verleden te raadplegen en zodoende fouten en onnodig onderzoek te voorkomen. Als het te veel tijd en moeite kost om toestemming te krijgen, zal de zorgverlener de gegevens niet gebruiken. De ontwerpers van het EPD hebben daaruit de conclusie getrokken dat vooraf toestemming vragen onwenselijk is.

Vermoedelijk om de maatschappelijke weerstand te temperen, heeft men gekozen voor een verwijssysteem. Het EPD bestaat uit een landelijk schakelpunt (LSP), dat alleen verwijzingen bevat naar de medische informatie die bij de diverse zorgverleners is opgeslagen. Daarmee wordt de suggestie gewekt dat er geen sprake is van een centrale database met álle medische gegevens van álle Nederlanders. Het klopt inderdaad dat een inbreker er niet met een stelletje disks vandoor kan gaan met daarop de medische gegevens van het hele land, maar elektronische vormen van inbraak voorkom je er niet mee. Het LSP functioneert bovendien als poortwachter: zorgverleners moeten zich bij het LSP authenticeren om toegang te verkrijgen tot gegevens die bij andere aangesloten zorgverleners liggen. Maar omdat de toegangscontrole centraal geschiedt, biedt gespreide opslag geen extra veiligheid.

Een ander zwak punt is de mandatering: een arts kan een kersverse uitzendkracht machtigen het EPD te gebruiken. Sterker nog, de uitzendkracht kan zichzelf machtigen, eenvoudig door de naam of ID van de arts in te voeren. Actieve medewerking van de arts is niet nodig. De beveiliging berust helemaal op de afschrikwekkende werking van de controle achteraf.

Voor die controle houdt het LSP bij welke zorgverlener toegang heeft gekregen tot welke patiëntendossiers. Die verkeersgegevens zijn op zich al bijzonder privacygevoelig: dat je bekend bent bij een psychiatrische inrichting of afkickkliniek hoeft niemand te weten. Helemaal kwalijk is dat die controle achteraf nog geen vaste vorm heeft gekregen. Wie gaat de verkeersgegevens controleren? Aan de hand van welke criteria gebeurt dat? Hoeveel ambtenaren zijn daarvoor nodig?

De oplossing voor deze chaos? Toon de patiënt via het zogeheten virtuele klantenloket welke zorgverleners zijn gegevens hebben opgevraagd of gewijzigd. Daarmee sla je twee vliegen in één klap: de controle wordt uitgevoerd door gratis en gemotiveerde krachten én de zorgverlener die het EPD misbruikt weet van tevoren dat de patiënt daarvan als eerste op de hoogte zal zijn.