VWS: kritiek op EPD is ongegrond

Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) veegt de vloer aan met het onderzoek van de Universiteit van Amsterdam (UvA) naar de beveiliging van het landelijke Elektronisch Patiëntendossier (EPD). Volgens VWS is het onderzoek gebaseerd op de ontwerpdocumentatie van het EPD en is niet gekeken naar maatregelen die bij de daadwerkelijke invoering worden genomen. De UvA-onderzoeker blijft van mening dat in het ontwerp van het EPD een aantal cruciale beveiligingsgaten zit.

Het ministerie stelt dat het wetenschappelijk onderzoek naar de beveiligingsinfrastructuur van het EPD geen nieuwe inzichten bevat en geen nieuwe problemen blootlegt. Informaticus Guido van 't Noordende, die namens de UvA onafhankelijk onderzoek uitvoerde naar de beveiligingsprotocollen van het EPD is verbaasd door die reactie. 'Dat vind ik vreemd want de genoemde beveiligingsrisico's zijn nooit eerder publiekelijk gemaakt.'

VWS vindt dat stellingen over de beveiligingsrisico's van het Landelijk Schakelpunt (LSP) - de beveiligde verbinding tussen zorginformatiesystemen - onvoldoende zijn onderbouwd. Van 't Noordende stelt in zijn onderzoek bijvoorbeeld dat een inbreker die het LSP binnendringt in feite alle patiëntendossiers kan opvragen. VWS reageert: 'Voor het LSP gelden strenge beveiligingseisen voor ontwikkeling, implementatie en beheer die jaarlijks door onafhankelijke derden worden getoetst door middel van audits en indringerstesten. De testen die tot op heden werden uitgevoerd, onder andere door gespecialiseerde hackers, hebben aangetoond dat de genomen maatregelen adequaat zijn.'

In strijd met de wet

De onderzoeker stelt verder dat het opslaan van loggegevens van patiëntinformatie die uit het EPD is verwijderd, niet overeenstemt met wat in het EPD-wetsvoorstel staat. Daarnaast concludeert de onderzoeker dat mandatering, artsen die toestemming geven aan medewerkers om gegevens in te zien, voor privacyproblemen kan zorgen.

Het VWS heeft op die punten gereageerd in het artikel: VWS en UvA steggelen over beveiliging EPD.

David, 30-03-2010 16:11

Typisch gevalletje van: "Wij van WC-eend adviseren: WC-eend"

Mike, 30-03-2010 17:04

Van 't Noordende kletst ONZIN.

A) alle ssl sessies hangen aan een sha2 PKI, dan nog de controlles op het verkrijgen tot de authenticatie zelf. zoals pincodes van uzipassen zelf. Volgens mij weet van noorden niet wat een OSI layer 2 tunnel betekend. Als dit onveilig Volgens hem is , hoe zit het dan met de 1000de ssl sessies van internet bankieren.
b) LSP weet wie er verbind,een simpele IP policy is voldoende
c) Voor alsnog informatie ligt niet bij het LSP. LSP staat voor Landelijke schakel punt (wat is daar niet aan te snappen) en volgens mij hangt daar genoeg IDS apparatuur.
d) Elk software pakket wat zich verbind word geaudit.
e) sinds wanneer hebben onafhankelijk onderzoeks personen een UZI pas met pincode.
f) Arts is altijd verantwoordlijk voor de gegevens, evenals het gebruik van de client die bij hem staat.
Dit maakt het LSP systeem niet onveilig, en mbt tot de huidige situatie kan de assistente vaak ook bij de gegevens komen van patienten.

De man voert een onderzoek uit gebasseerd op aannames,
Waarzijn de feiten dan ? Als hij het LSP kan hacken, Laat hem dit proberen ipv beetje false info de media in te gooien, irri onrust stoker.

Marcel, 31-03-2010 6:35

"Volgens VWS is het onderzoek gebaseerd op de ontwerpdocumentatie van het EPD en is niet gekeken naar maatregelen die bij de daadwerkelijke invoering worden genomen"

Als je ontwerp niet klopt dan pas je dit aan, en dus ook in je ontwerp documentatie.

Dit is dus weer duidelijk een niet te vertrouwen overheids hakkietakkie implementatie.

Marcel (niet dezelfde ;-), 31-03-2010 8:02

Helaas weer allemaal vertragende tactiek, erg jammer. NL loopt namelijk erg voorop hiermee maar wordt nu ingehaald door bijv. Zweden die net begonnen zijn.
Zsm invoeren en daarna eventueel bijsturen met het verkregen voortschrijdend inzicht, en niet in analysis paralysis verzanden.

Bezwaar, 31-03-2010 22:01

Dit soort geneuzel is precies waarom ik destijds bezwaar tegen het EPD heb gemaakt. Overheden zijn gewoon incompetent om fatsoenlijke ICT oplossingen te implementeren of laten implementeren.
Overigens komt het in de US waar er allemaal eilandjes hun eigen EPD versies hebben vrij regelmatig voor dat er gegevens 'lekken' en door criminelen ten gelde worden gemaakt. Dat gaat hier straks ook gebeuren. Als het tegen zit dan zijn het ziektekosten verzekeraars die zo groot/machtig zijn dat ze er nog mee weg komen ook.

Jan van Leeuwen, 31-03-2010 22:48

@Mike,
techniek is maar een aspekt. Je werkt met mensen. Aangezien de werkdruk in ziekenhuizen hoog is zal de toegang regelmatig open staan wat bij elektronische systemen wezenlijk meer risiko betekent. Een indringer loopt niet weg met een meter papier, wel met een USB-stick.
En iedereeen weet dat passen en IP-adressen te vervalsen zijn.

Wanneer leren ze bij ministeries eens verder kijken dan hun neus lang is, met alleen techneuten wordt dat EPD niet veilig.

Jan, 01-04-2010 19:40

Veegt de vloer aan... Ehm, de onderzoeker geeft zich niet gewonnen. En het schrikbeeld dat een malifide gebruiker eventjes een sloot dossiers download om te verkopen (of erger op bestelling levert) is niet afgedekt. Uiteraard zullen dergelijke misstanden met alle macht buiten de media worden gehouden. Immers het ministerie heeft nu verklaart dat er niets mis is. Om treurig van te worden. Wanneer komt er een systeem waarbij de burger toegang geeft aan verleners van zorg?

Willem, 14-07-2010 12:57

Nederland is toch een prijzenswaardig land, waarin de overheid mensen in dienst heeft die beter op de hoogte zijn van welk onderwerp dan ook dan specialisten op universiteiten, waar mensen zich jarenalng specialiseren in een wetenschappelijke omgeving waarin een kritische houding en wederzijdse beoordeling van niveau en resultaten de norm is.
Gelukkig weet een ambtenaar het beter dan de specialist.

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	154	6.4
2	Reza Sarshar	120	6.7
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	47	6.5
8	mauwerd	43	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Nieuws / Development

VWS: kritiek op EPD is ongegrond

In strijd met de wet

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Tester Four Oaks in Israëlische handen

10-02 IS Online en Tres zijn klaar voor Elfstedentocht

10-02 SecureLink migreert Microsoft-diensten Atradius

10-02 Nieuwe software brengt Vitens in problemen

10-02 Ex-Misys-topman moet CSC uit penarie helpen

10-02 Veenman en 20/20 vision adviseren samen klant

10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02 Misys en Temenos willen fuseren

10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan

10-02 Tester Four Oaks in Israëlische handen

10-02 Nieuwe software brengt Vitens in problemen

08-02 Nokia verplaatst smartphoneproductie naar India

08-02 'ICT-afdeling is te traag voor ontwikkeling apps'

06-02 Banometer: Topstart vacaturemarkt krijgt vervolg

06-02 Duitse PMCS.helpLine neemt Leidse MCH+ over

03-02 Siemens PLM Software introduceert Jack 7.1

03-02 Itemis betreedt Nederlandse markt via Warmer IT

01-02 Microsoft-partner Asapnet zet IT-University op

01-02 Kwaliteitscontroleur is nog geen testprofessional

27-06-11 Privacy First eist stop van doorstart EPD

05-04-11 Eerste Kamer zet streep door EPD

15-03-11 Minister stelt EPD-debat uit na vragen Senaat

13-07-10 Aansluiting op EPD is voorlopig niet verplicht

07-07-10 Senaat schort invoering van EPD op

03-06-10 EPD stuit op verzet in Eerste Kamer

07-04-10 IBM komt met avatar voor EPD in 3D

29-03-10 Studie legt lekken in beveiliging EPD bloot

17-11-09 VWS: Veel zorgsystemen niet klaar voor EPD

16-11-09 Klink stelt verwachting EPD opnieuw bij

02-11-09 VWS stemt in met gebruik regionale EPD’s

21-10-09 EPD blijft moeilijke klus voor ziekenhuizen

05-10-09 Invoering EPD ligt enorm achter op schema

24-09-09 Artsen: Invoering EPD in 2010 is niet haalbaar

Gemeenten en ICT besparingen