Minister Schippers laat LSP van CSC met rust
Bewindsvrouw ziet geen aanleiding om epd-doorstart te blokkeren
Minister Edith Schippers van Volksgezondheid, Welzijn & Sport (VWS) laat niet onderzoeken of het scenario dat de Verenigde Staten Nederlandse elektronische patiëntendossiers kan inzien, realistisch is. Zij wacht liever de uitkomsten af van het overleg tussen de vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) en de Amerikaanse automatiseerder CSC, bouwer en beheerder van het Landelijk Schakelpunt (lsp). De VZVZ heeft een verklaring geëist van CSC, waarin staat dat het risico is uitgesloten dat de inhoud van medische dossiers kan worden verstrekt aan Amerika.
Dit blijkt uit de antwoorden van de bewindsvrouw op vragen van het Kamerlid Reinette Klever (PVV) over berichten in de media dat de Amerikaanse overheid CSC met een beroep op de Patriot Act of de FISA Amendment Act kan dwingen gegevens af te staan.
Behalve dat zij eerst op de verklaring van CSC wacht wijst minister Schippers er op dat Nederland met de Verenigde Staten een bilateraal rechtshulpverdrag heeft dat, als het gaat om het uitwisseling van (digitale) gegevens, tot op EU-niveau is 'geagendeerd'.
Bovendien heeft CSC bij het aannemen van de opdracht om een lsp te bouwen voor de uitwisseling van gegevens de voorwaarde aanvaard te voldoen aan de Nederlandse privacywetgeving, waaronder de Wet bescherming persoonsgegevens (Wbp). CSC won in 2005 samen met de Amerikaanse databasesoftwareleverancier Intersystems de Europese aanbesteding onder verantwoordelijkheid van Nictiz, destijds beheerder van het lsp.
Kritiek op doorstart
Na het mislukken van het landelijk epd is er een doorstart met een regionaal karakter. De vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ), de organisatie achter de doorstart, wil het lsp van CSC hiervoor blijven gebruiken. Minister Schippers stelt dat het de rol van de toezichthouders, de Inspectie voor de gezondheidszorg en het CBP (College Bescherming Persoonsgegevens), is om toezicht te houden op de inrichting van de informatiesystemen en het beheer daarvan.
Ook de doorstart van het epd in regionale vorm roept veel kritiek op, onder andere over privacy en veiligheid. Op een vraag van PVV-kamerlid Klever of zij de doorstart van het epd gaat beëindigen, schrijft Schippers: 'Ik zie daarvoor geen aanleiding. Ook op grond van de huidige wet- en regelgeving kan ik de doorstart van het epd niet beëindigen. Als zou blijken dat de VZVZ, die verantwoordelijk is voor de zorginfrastructuur, zich niet houdt aan de geldende wet- en regelgeving is het aan het CBP hierop actie te ondernemen.'
De bewindsvrouw bereidt wel een wetsvoorstel voor waarin zij de belangrijkste randvoorwaarden, zoals toestemming, inzage en sancties bij misbruik, voor uitwisseling van patiëntengegevens wettelijk gaat regelen. Momenteel maken de regio’s Twente en Nijmegen al gebruik maken van het lsp. Vanaf het eerste kwartaal 2013 volgen ook andere regio’s.
Privacy
Dat het CBP de ontwikkelingen rond het nieuwe epd nauwgezet volgt bleek uit een recente reactie op het probleem dat er nog steeds persoonsgegevens in het lsp staan waar betrokkenen geen toestemming voor hadden gegeven. Dat is nog een erfenis van het stopzetten van het landelijk epd.
Het CBP stelt dat opname zonder toestemming van de betrokkenen in strijd is met de wet. Het college heeft VZVZ, de verantwoordelijke voor het lsp laten weten dat het handhavingsinstrumenten zal inzetten indien dit vanaf 1 januari 2013 nog steeds voorkomt. VZVZ heeft naar aanleiding hiervan bevestigd dat de gegevens van mensen van wie geen toestemming is verkregen voor de uitwisseling van hun medische gegevens, per 1 januari 2013 uit het systeem zullen worden verwijderd. Eerder wilde VZVZ nog een overgangsperiode tot juli 2013.
De VZVZ is eind 2011 opgericht op initiatief van de koepels van huisartsen (LHV), huisartsenposten (VHN), apotheken (KNMP), ziekenhuizen (NVZ) in samenwerking met Nictiz en met steun van de patiëntenfederatie NPCF.
Willem, 27-12-2012 12:35
Erwin, 27-12-2012 12:37
Jan H., 27-12-2012 12:56
1 - CSC is een Nederlands bedrijf. Gewoon als BV ingeschreven in Nederland en gehouden aan de Nederlandse regels.
2 - LSP is een verbindingssysteem dat alleen zorgt dat gegevens van partij A door partij B opgevraagd kunnen worden op de systemen van partij B. Het LSP weet dus zelf niets van de patient waar het over gaat.
3 - Het gehele systeem is ISO 27002 gecertificeerd door een bekende Nederlandse auditor.
Samengevat: Het LSP is niets anders dan elk ander middleware systeem dat zorgt dat partijen elkaar kunnen vinden en daarna onderling gegevens kunnen uitwisselen. De uitwisseling van medische gegevens is hierbij overigens via HL7 en is versleuteld zodat de patientgegevens door de man in the middle 'het LSP' niet eens gelezen KUNNEN worden.
P.J Westerhof, 27-12-2012 13:03
De Patriot-regelgeving heeft geen boodschap aan contractuele afspraken volgens Nederlands recht tussen VZVZ en CSC.
De rol van de toezichthouders, de Inspectie voor de gezondheidszorg en het CBP wordt door de minsiter wel erg ruim geïnterpreteerd.
En als de minister nú nog met wetgeving moet komen om de patientprivacy te regelen geeft zij dus impliciet aan dat de huidige regelgeving op dat punt te kort schiet.
Thijssen, 27-12-2012 13:09
1. "Nederlandse" dochter van een Amerikaans bedrijf. Trek je conclusies.
3. Systemen kunnen niet 27002 gecertificeerd worden. Hooguit daaraan getoetst worden. De organisatie kan daarentegen wel 27001 gecertificeerd worden.
Het besluit is dom en kortzichtig, maar het zal ongetwijfeld de meest lucratieve optie zijn. Bah.
Jan Mendrik, 27-12-2012 13:20
Maar dat moet dan wel bloed kritisch worden bekeken.
Als CSC zich beroept op een save harbour regeling moeten we dat niet serieus nemen in het kader van de patriot act. Het College Bescherming persoonsgegevens heeft reeds gewaarschuwd dat dat niet helpt tegen de patriot act. Zie b.v. http://webwereld.nl/nieuws/111737/cbp--bedrijven-mogen-niet-vertrouwen-op-safe-harbor.html
Zie ook het verhelderende artikel van o.a. een jurist van het ministerie van VenJ (Ruud Leether): http://www.van-doorne.com/Global/Publicaties/2012/AG%20-%20USA%20Patriot%20Act%20Haaks%20op%20privacywetgeving%20EU_24%20mei%202012.PDF
Ook Microsoft heeft erkent dat zij gebruikers net kunnen vrijwaren tegen de patriot act: http://www.zdnet.com/blog/igeneration/microsoft-admits-patriot-act-can-access-eu-based-cloud-data/11225.
Doorslaggevend argument moet dus zijn dat CSC verklaart niet bij de data zelf te kunnen. Dat is b.v. het geval als zij uitsluitend de bewerkings-software of hosting leveren.
jorge, 27-12-2012 13:41
Emanuel, 27-12-2012 13:52
Ruud Leether, 27-12-2012 14:00
Dick Kaas, 27-12-2012 15:00
- staar je niet dood op juridische zaken.
- Kijk naar ICT
* terecht wijst eerste reactie op dat toegang tot enkele gegevens lokaal ook andere kwetsbaar maakt
* is een systeem met meer dan 100.000 sleutels te vertrouwen (want dat is minimale aantal gebrukers)
* wat wordt de waarde van (alle) de opgeslagen gegevens? Dat bepaalt criminele belangstelling.
* zijn er geen slimmere oplossingen (eerder genoemd zijn chipkaart, dubbele sleutel etc)??
P.J Westerhof, 27-12-2012 15:53
Ribbens, 27-12-2012 16:06
Beveiligen via elektronica, wachtwoorden, enz. is nog nooit echt gelukt, zie de geregelde successen van hackers.
MIJN CONCLUSIE:
werkelijk belangrijke informatie mag nooit via internet beschikbaar kunnen komen!
Echter het gros van de mensen kijkt helaas alleen naar gemak, wat niet alleen geldt voor hen, MAAR ook voor de CRIMINEEL!
Esther, 27-12-2012 16:10
Oskar Hendriks, 27-12-2012 20:39
- Bestaande fouten zijn niet opgelost.
- Onduidelijke vraagstelling. Denk hierbij aan het te bereiken doel en alle rand-(voorwaarden).
- We dus weer van start (met gemeenschapsgeld) met een project wat nu al volledig is gebasseerd op aannames en/of afspraken waar geen duidelijke sancties tegenover staan.
- De uiteindelijke eigenaar wordt niet of nauwelijks geraadpleegd en eventuele afwegingen bij besluitvorming lijken althans niet relevant.
- Onze oosterburen zijn inmiddels veel verder met implementatie, wet en regelgeving. Ook daar trekken besluitvormers zich nog immer niets van aan en leveren ons straks voor veel geld opnieuw uitgevonden (vierkante) wielen.
- Wat zijn de gevolgen en de burgerrechten, mochten dossiers straks toch op straat liggen, hetzij in NL, Europa of op een andere willekeurig plek op deze aardkloot. Met of zonder gebruik van publieke infrastructuur, dit gaat onherroepelijk fout.
- Er is nog steeds niets geregeld vwb. de volgende casus: "Stel door een foutje heb ik volgens het EPD blinde darm meer. Wordt ik dan toch even snel en efficient geholpen bij een acute blinde darm onsteking. Of gaan de onderzoekers op zoek naar een andere oorzaak of wordt het een administratief drama.". "Stel ik weet dit van te voren, had ik het dan binnen afzienbare tijd uit het EPD kunnen verwijderen." Antwoorden zijn nog immer volmondig NEEN.
- Stel een werkgever of verzekering heeft op welke wijze ook inzicht gekregen tot mijn EPD, en ik lijdt hier schade door, op wie kan ik schade verhalen (binnen Nederland uiteraard).
DRAMA'S als gevolg van ambtelijke naïviteit en falen zullen wederom ten deel vallen aan velen, helaas.
Oskar Hendriks, 27-12-2012 20:52
En nu komt als antwoord, ja maar het ligt nu toch ook al vast. Inderdaad, maar het is niet via 1 systeem toegankelijk.
22-05 Norman Shark ontdekt Indiase cyberspionage
22-05 ITPH organiseert regionale IT-branchedag...
22-05 CUGNL hakt vanavond knoop door over toekomst
22-05 SAP gaat wereldwijd autistische ICT’ers werven
22-05 IntraData biedt CTB Flex handtekening via cloud
22-05 SNS Reaal gebruikt app-ontwikkelstraat...
22-05 Politieacademie en Capgemini ruziën over NOAS
22-05 Aamigoo verkoopt Corso terug aan oude eigenaar
22-05 WideXS breidt cloudcapaciteit uit met NexentaStor
22-05 Vasco Data Security neemt Cronto over
22-05 Politieacademie en Capgemini ruziën over NOAS
21-05 Pulse op Gay Pride, Ordina
21-05 TNO zet Cyber Security Lab op
21-05 PLC Interlocking, ProRail en Movares
21-05 OmgevingsAlert, de Nederlandse gemeenten,...
21-05 De Overlastmonitor, gemeente Haarlem, politie...
21-05 ComProNet, politie (Groningen, Assen, Schiphol)...
21-05 3D - Digitalisering, Dienstverlening en...
16-05 Zinnige en zuinige zorg met hulp van ICT
15-05 HagaZiekenhuis investeert in zorg, ICT en herbouw
|
|
19-12-12 Bozige huisartsen zien af van kort geding EPD
06-12-12 Het echte beveiligingsprobleem van het EPD
05-12-12 Spoelstra spreekt: EPD is levensgevaarlijk
08-02-12 Denen kiezen voor nationaal EPD
07-02-12 'Mislukken EPD lag niet aan ICT'
Back-up uitbreiding Gemeente Amstelveen
 |
Toen Amstelveen en Aalsmeer besloten tot ambtelijke samenwerking, bleek al snel dat er een flinke......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 752 | 6.1 | |
 | 2 | 652 | 6.3 | |
 | 3 | 618 | 6.4 | |
 | 4 | 588 | 6.3 | |
 | 5 | 536 | 6.3 | |
 | 6 | 516 | 6.2 | |
 | 7 | 276 | 6.2 | |
 | 8 | 236 | 6.2 | |
 | 9 | 155 | 6.1 | |
| 10 | 122 | 6.0 | |
Alle rechten voorbehouden © 1995-2013 De Persgroep
De opzet van het EPD zal onverlaten ruimte bieden om ook data van Nee zeggers te benaderen omdat de data bij de hulpverlener op dezelfde systemen staat als de data van mensen die Ja zeggen.
Dit alternatief EPD zal dus al snel onderuit gaan omdat op geen enkele manier de toegang tot de data van nee zeggers gegarandeert ongedaan gemaakt kan worden zonder enorme investeringen aan de kant van de hulpverlener.
Het "verplichte" EPD was een gedrocht dat al werd gehackt voordat het live ging. Het nieuwe EPD zal ook gehackt worden en dan hebben we er met zijn allen weer ettelijke miljoenen inzitten.