Doemdenken over het EPD

COMPUTABLE EXPERT

Erik Westhovens

CTO

Expert van Computable voor de topics: Virtualisatie en Security

Meer

Nog even en dan is het er. Het elektronisch patiëntendossier (EPD). Alle medische gegevens van een patiënt in een dossier en via een “beveiligde” verbinding op te vragen door een arts. Maar de patiënt moet wel toestemming geven. Alleen in een noodgeval kan een arts zonder toestemming gegevens opvragen. Dat baart me wel zorgen, want wie toetst dat? Niemand dus.

Het bouwen en beheren van de patiëntendossiers is een groot overheidsproject en die zijn de laatste tijd nu niet echt bepaald positief in het nieuws gekomen. De gemeente Amsterdam houdt Getronics een hand boven het hoofd, het UWV schrijft 87 miljoen af omdat Logica niet in staat was om een project juist op te leveren, de belastingdienst stapelt fout op fout, de RDW is meer dan 400.000 auto's 'kwijt' en de burger draait er telkens voor op.

Met het elektronisch patiëntendossier zal het waarschijnlijk net zo gaan. Voor hackers is het dossier het ultieme doel, daar valt wat te halen. Hoeveel zou inzage in het dossier van Katja Schuurman waard zijn? Of van minister Balkenende? Of van Ab Klink die dit allemaal mogelijk maakt?

Ik ben zelf bang dat het uiteindelijk erg gemakkelijk zal zijn om informatie uit het dossier op straat te krijgen. Iedereen is omkoopbaar tegen de juiste prijs. Worden dan alle personen die inzage hebben gecontroleerd? Om op Schiphol te werken moet je door een heel antecedentenonderzoek. Zelfs als je in Amsterdam een kroeg wil beginnen moet je een bewijs van goed gedrag overleggen en wordt er naar je achtergrond gekeken of je niet in aanraking bent geweest met criminelen of criminele zaken. Kom je niet door de toetsing, dan krijg je geen inzage in het elektronisch patiëntendossier. En wat dan als je als student medicijnen tijdens je ontgroening iets hebt gedaan wat niet mag en je word gearresteerd? Dan heb je dus geen enkele mogelijkheid meer om je vak uit te oefenen!

Doemdenkend zie ik het al staan:

Ex-werknemer neemt wraak op baas. Elektronische patiëntendossier ligt op straat!

Of een advertentie op Marktplaats: Aangeboden: Elektronisch patiëntendossier! Noem de naam die u wilt en wij regelen het voor u.

Naast de artsen kunnen namelijk heel veel andere mensen er ook bij:

- Ict'ers. Bij voorkeur ingehuurd.
- Ict-managers. Zij sturen de ict'ers aan.
- De politie. De politie mag in Nederland overal bij. En als het niet mag, dan wijzigen ze wel een wetje links of rechts.
- Uitkeringsinstanties. Dan kunnen ze gemakkelijk kijken of iemand terecht of onterecht ziek is. Lekker gemakkelijk.
- De belastingdienst. Alles is gekoppeld aan de belastingdienst, dus waarom dit niet?
- De arts. Lekker gemakkelijk zo'n usb-stick. Dan hoeft hij het niet te vaak op te vragen.

Zodra het dossier een feit is, dan zal iedereen een brief ontvangen om toestemming te krijgen om het dossier te vullen met allerhande handige informatie voor de politie, de belastingdienst, verzekeringsmaatschappijen, werkgevers en nog veel meer.

Nog interessanter word het dan opeens als blijkt dat de overheid weer de krant haalt. Hacker leest elektronisch patiëntendossiers. De kans daarop wordt erg klein geacht, maar als ik dan lees dat er iemand heeft ingebroken bij de NASA of de NSA (National Security Agency), dan word mijn doembeeld al een stuk reëler.

Wat moet een hacker nou doen om toegang te krijgen tot het patiëntendossier?

Van thuis uit wordt het moeilijk. Dat wordt vast en zeker goed afgedicht. Dan maar via de dokter. Op de computer waarmee hij toegang heeft tot het dossier leest hij ook zijn e-mail, en internet hij een beetje om bij te blijven. Dan krijgt hij/zij een e-mail met daarin een grandioze aanbieding. De dokter wordt naar een malafide site geleid en hij/zij krijgt een pop-up om een actieve X-component te laden. Het virusje nestelt zich vervolgens en wacht tot er toegang word gemaakt naar het elektronisch patiëntendossier. En de dag erna kan heel Nederland via een advertentie op Marktplaats alle gegevens kopen van de buurman, buurvrouw, vriendin, baas of wie dan ook. Natuurlijk wel nadat er afgerekend is tegen het juiste bedrag.

Eén ding weet ik inmiddels zeker!

Mijn naam zul je er niet kunnen kopen! Dan belandt het ook niet op straat. Niemand heeft er iets mee te maken dat ik meerdere keren aan mijn knieën ben geopereerd. Niemand heeft er iets mee te maken dat ik zonder galblaas door het leven ga, omdat ze deze eruit hebben gehaald met een interessante stapel galstenen. En ik wil al helemaal niet dat iedereen, inclusief mijn baas, weet dat ik mijn pols op twee plaatsen heb gebroken omdat ik als klein jochie uit een boom ben gevallen. Dat blijft lekker geheim tussen mij en het trouwe, ouderwetse, papieren dossier. Maar wel met een nieuwe aanvulling: patiënt lijkt te lijden aan het virus van doemdenkerij.