In gesprekken wordt mij soms de vraag voorgelegd waarom het landelijk EPD niet veilig te krijgen is, terwijl banken, de belastingdienst en de politie ook grote informatiesystemen hebben met privacygevoelige data. Waarom lukt het in die organisaties wel en niet in de zorg?

Daarvoor moeten we eerst op een rij zetten wat de kern van het beveiligingsprobleem is van het landelijke EPD. Het grote probleem is dat honderdduizenden gebruikers, zonder screening door een veiligheidsdienst, toegang krijgen tot privacygevoelige gegevens van alle Nederlanders, vanaf honderdduizenden slecht te beveiligen komputers in praktisch openbare ruimten, ruimten die zij door de aard van het werk soms in spoed moeten verlaten.

belastingdienst

Om te beginnen met de belastingdienst. Deze organisatie is veel kleiner dan de zorg en heeft dus veel minder medewerkers. Bovendien werken deze gebruikers vanuit een zeer beperkt aantal belastingkantoren in het land. Deze gebouwen zijn niet voor het grote publiek toegankelijk. De machines worden door een centrale organisatie beheerd en niet door tal van zelfstandig opererende maatschapjes, vakgroepjes of praktijken. De organisatie is centraal opgezet en informatiebeveiliging is een centraal aandachtspunt. Daarnaast is de informatie volgens mijn informatie gekompartimenteerd, zodat een belastinginspekteur alleen bij de gegevens kan in het eigen werkgebied of domein.

politie

De situatie bij de politie is ook niet te vergelijken met de situatie in de zorg. Informatiebeveiliging is een belangrijk aandachtspunt bij de politie. Niet dat het perfekt is (zie de problemen rond het CIOT), maar het zit toch wel in de genen. Politieambtenaren zijn gescreend door de inlichtingendienst. Ook bevinden de komputers met gevoelige gegevens zich niet op lokaties die zo toegankelijk zijn als een onbemande receptie of een sommige kantoren in een ziekenhuis. Tenslotte heeft de politie een zeer hiërarchische organisatie met duidelijk funktieomschrijvingen, waardoor het eenvoudig is toegang tot verschillende gegevenskompartimenten te koppelen aan verschillende funktionarissen.

internet-bankieren

Tenslotte de vergelijking van de beveiliging van het landelijk EPD en het internet-bankieren. Wat betreft het aantal gebruikers en het aantal machines is dit systeem omvangrijker dan het landelijk EPD. Ook hier hoeven we geen hoge verwachtingen te hebben van de beveiliging van de machines waarmee de gebruikers hun bankzaken thuis verrichten. Volgens schatting is zo’n %30 van de komputers in Nederland besmet met malware, virussen, spyware, enz. Om die reden, heeft men de gebruiker in-the-loop getrokken. Zonder expliciete betrokkenheid van de gebruiker en zonder gebruik van een zogenaamd second channel is een banktransaktie niet mogelijk. Om de klant op te lichten, moet de aanvaller dus minstens twee kanalen gelijktijdig hacken, namelijk de komputer en het andere toegangsmiddel (beveiligingskalkulator of telefoon).

Om te beginnen geven de toegangsmiddelen van de bankklant (beveiligingskalkulator of TAN-kodes) slechts toegang tot de privégegevens van één enkel persoon, namelijk die van de klant zelf. De belangen van de gebruiker en van de klant lopen daarmee parallel. Chantage, korruptie of ordinaire nieuwsgierigheid kan daarmee al uitgesloten worden. Daarnaast verricht een bankklant hoogstens enkele tientallen transakties per maand. Daardoor is het haalbaar om op meerdere momenten in de transaktie te vragen om gebruikersauthentikatie (bijvoorbeeld bij het aanmelden en bij het fiatteren van een betaling). Het voortdurend authenticeren van de gebruiker is niet praktisch in de zorg.

Ook is een beveiligingskalkulator met PIN en uitleesvenster een zwaarder toegangsmiddel dan de UZI-pas met PIN. Als de kalkulator niet verbonden is met de komputer van de bankklant, dan is de klant opgenomen in-the-loop van de transaktie. Kortom, een banktransaktie is niet mogelijk zonder expliciete handeling van de klant. Bij de UZI-pas ontbreekt die beveiliging. Als de komputer voldoende geïnfekteerd is, kan de UZI-pas handelingen authenticeren zonder medeweten van zijn gebruiker. Hetzelfde gunstige verhaal geldt voor het versturen van een TAN-code per SMS: zonder betrokkenheid van de klant is de transaktie niet mogelijk. Voorwaarde is dan wel dat de gebruiker zijn bankzaken niet doet vanaf een mobiele telefoon die dezelfde is als de telefoon waar de TAN-kode naar gestuurd gaat worden.

Zorg, politie, banken en belastingdienst; niet te vergelijken.

De site waar zorgkonsumenten zich zullen kunnen aanmelden voor het landelijk EPD krijgt kontouren: www.ikgeeftoestemming.nl. Maar merk op dat hier geen beveiligde verbinding gebruikt wordt.

Een beveiligingszonde.

Alle spannende verhalen over het landelijk EPD ten spijt, zal het systeem niet gebruikt kunnen worden voor de patiënt die buiten zijn eigen regio met spoed opgenomen moet worden. Voorlopig voorziet het landelijk EPD namelijk alleen maar in uitwisseling van medikatiegegevens en gegevens voor waarnemende huisartsen. Medische dossiers van specialisten zijn dus nog niet beschikbaar. Dus voorlopig is het nut van het landelijk EPD nogal beperkt, te meer daar waarneming en medicijnverstrekking met name in de eigen regio plaatsvindt. Hiervoor zijn de bestaande regionale en lokale systemen voldoende. Het grote argument van de voorstanders wordt dus helemaal nog niet gerealiseerd.

In de diskussie rond het landelijk elektronisch patiëntendossier wordt door de voorstanders gesteld dat de afwezigheid van een enkele centrale gegevensbank met de medische dossiers de beveiliging verbetert. Dat blijkt onjuist.

Het landelijk EPD is eigenlijk een infrastruktuur waarmee de bestaande regionale en lokale EPDen aan elkaar gekoppeld worden. Dus de medische dossiers die nu in elektronische vorm gehouden worden door ziekenhuizen, apotheken en huisartsenpratijken blijven op de plek, maar komen met het landelijk EPD voor andere zorgverleners beschikbaar.

Met andere woorden, het landelijk EPD slaat geen gegevens op, het verbindt bestaande oplossingen alleen maar aan elkaar door. Hiertoe heeft het Nictiz kommunikatiestandaarden vastgesteld en een landelijk schakelpunt (LSP) ingericht. Het LSP routeert gegevens van de dossierhoudende zorgverlener naar de zorgverlener die om de gegevens verlegen zit.

Het vaststellen van standaarden, zodat uitwisseling van gegevens mogelijk is, is een goede zaak. Vanuit beveiligingsoptiek is hier weinig tegenin te brengen.

Maar door voorstanders van het landelijk EPD worden twee beveiligingsvoordelen naar vorengebracht die ik als drogreden zou willen kwalificeren: nieuwe moderne beveiliging en decentrale opslag.

Gesteld wordt dat de huidige regionale en lokale systemen op gebied van beveiliging achter lopen op de stand van de techniek. Dat zal zo zijn. Maar de komst van het LSP brengt geen verbetering in deze situatie, in tegendeel. Er is geen sprake van verbetering, omdat alle bestaande regionale en lokale systemen gewoon blijven bestaan, want die zijn nog altijd verantwoordelijk voor de opslag en de lokale ontsluiting. Dus alle kwetsbare plekken van al deze systemen blijven onverminderd voortbestaan. De situatie verslechtert in feite, omdat het LSP er zijn eigen lijst met kwetsbaarheden aan toevoegt. Hoewel we nu niet weten welke technische kwetsbaarheden het LSP bevat, kan dit nooit minder dan nul zijn.

Ook in de interaktie tussen ontsluiting aan de ene kant van het land en de opslag aan de andere kant van het land kunnen nieuwe kwetsbaarheden ontstaan. Integriteit (waaronder security) is geen modulaire eigenschap van een systeem. Een systeem kan niet veilig gemaakt worden door er een magische beveiligingsmodule aan toe te voegen. Systemen worden veelal veiliger door onderdelen te verwijderen, niet door onderdelen toe te voegen.

Dan het argument dat het LSP veilig is, omdat er geen centrale gegevensbank is met medische dossiers. Dit is beveiligingsbedrog. Alle aangesloten regionale en lokale systemen kunnen vanuit het LSP bevraagd worden. Dus bij een geslaagde hack lopen alle regionale en lokale systemen gewoon leeg via het LSP. Vergelijk het met de centrale verwarming in huis. Warm water wordt in tal van radiatoren decentraal opgeslagen en niet op een enkel punt in een centrale installatie. Maar de radiatoren zijn wel verbonden via pijpen met een centrale verwarmingsinstallatie en een pomp. Als daar een lek ontstaat, lopen alle radiatoren via het buizenwerk gewoon leeg. Alle water weg, alle water op de vloer.

In het Nederlandse zorgstelsel is ervoor gekozen het burgerservicenummer te gebruiken voor de identifikatie van patiënten. Een zeer merkwaardige keuze, omdat veel mensen helemaal geen BSN hebben:

• buitenlanders
• illegalen
• daklozen
• ongeborenen
• overleden voorouders

Ook een buitenlander kan wel eens zorg nodig hebben bij een Nederlandse arts, in een Nederlands ziekenhuis of in een Nederlandse apotheek. Soms kan kontante betaling een optie zijn, maar soms is dat geen niet mogelijk. Ook wij Nederlanders staan raar te kijken als we in het buitenland een langere of kortere ziekenhuisopname meteen kontant moeten voldoen.

Daklozen is een ander verhaal. Een dakloze met de Nederlanderse nationaliteit komt in principe in aanmerking voor een BSN. Maar zonder vaste verblijfplaats kan het BSN niet verstrekt worden. Juist deze medisch kwetsbare groep heeft zorg nodig.

Ongeborenen en overleden voorouders mag gezocht lijken, maar dat is het in het licht van de ontwikkelingen in de gezondheidszorg zeker niet. Hoewel nog niet heel erg gebruikelijk worden ongeboren kinderen in toenemende mate geopereerd in utero. De rekening kan misschien gekoppeld worden aan de moeder, maar de operatie moet ook opgenomen worden in het medisch dossier van de foetus. Daarvoor zou dus een BSN nodig zijn, maar dat heeft een foetus nog niet.

Overledenen zijn geen onderwerp van zorg en in die zin hoeven overledenen niet een BSN te hebben of gehad te hebben. Rekeningen sturen is hoe dan ook niet meer mogelijk. Maar door ontwikkelingen in de genetika komen (overleden) familieleden in toenemende mate in het vizier. In genetisch onderzoek wil men de verbanden onderzoeken tussen het genenpatroon en ziekteverschijnselen. Liefst ook binnen familieverband, omdat daar de genetische variatie minder is. Met behulp van ziektehistorie van patiënt en (mogelijk overleden) familieleden en aan de hand van het DNA van patiënt en familieleden (voorzover dat celmateriaal er nog is), kan wetenschappelijk onderzocht worden wat het verband is tussen het genenpatroon en bepaalde ziekteverschijnselen. Voor dergelijk onderzoek moeten dus ook overledenen uniek aangeduid kunnen worden. Hiervoor zijn BSNs niet geschikt.

Kortom: voor een moderne en brede zorg is het BSN als identifikatiemiddel niet bijzonder geschikt.

VZVZ, de opdrachtgever van het Elektronisch Patiëntendossier (EPD), wil een halfjaar uitstel vragen aan het College Beschermingpersoonsgegevens voor het verwijderen van de patiënten die geen toestemming hebben gegeven voor landelijke ontsluiting van hun medische gegevens.

Hier blijkt hoeveel waarde de VZVZ werkelijk hecht aan de privacy van de patiënten. Nu de animo onder de burgers voor hun systeem tegenvalt, moeten de privacyverlangens van de burgers wijken voor de interne belangen van de VZVZ. Dat zou voor iedereen die nog twijfelde voldoende reden moeten zijn om alsnog nee te zeggen tegen de opname in het LSP.

Het argument van het VZVZ is een drogreden:

“Veel minder mensen dan wij dachten hebben toestemming gegeven. Dat betekent dat we 95 procent van de dossiers verliezen. Als we al die mensen per 1 januari uit de index halen, lopen we gezondheidsrisico’s.”

Nee, niet het VZVZ loopt gezondheidsrisiko’s, maar de burgers. Mondige burgers die volwassen genoeg zijn zelf de risiko’s in te schatten. Ik maak graag mijn eigen fouten, zullen we dan maar denken.

Aanvulling 2012.12.20: CPB verleent geen uitstel tot na 1 januari.

Eerder vandaag is een storm van verontwaardiging opgestoken over de mogelijkheid dat de Amerikaanse overheid alle medische dossiers kan gaan inzien na invoering van het EPD.

De verantwoordelijk minister van Volksgezondheid Schippers liet weten dat er geen probleem is omdat in Nederland het medisch beroepsgeheim geldt. Daarom zou niemand zonder toestemming in het EPD kunnen neuzen. Ook het VZVZ laat zich zo gemakkelijk gerust stellen.

Maar CSC valt onder Amerikaanse wetgeving en niet de Nederlandse, en de Patriot Act maakt geen uitzondering voor medische gegevens.

Dus als de minister het medisch beroepsgeheim net zo belangrijk vindt als ze zelf zegt, zit er maar één ding op: zoeken naar een andere leverancier voor 1 januari.

Kortom het antwoord van de minister bedoeld als geruststelling is in feite het doodvonnis voor het EPD in deze vorm. En is er ook meteen een beveiligingsprobleem opgelost.

Vandaag is in het nieuws gekomen dat de opdrachtgever VZVZ van het EPD van de bouwer een verklaring verlangt dat het EPD niet zal vallen onder de Amerikaanse Patriot Act.

De Patriot Act maakt dat de Amerikaanse overheid alle Amerikaanse bedrijven kan dwingen gegevens af te staan, ook van niet-Amerikanen en ook als die gegevens buiten de V.S. bewaard worden op de servers van die Amerikaanse bedrijven of bedrijven in eigendom van die Amerikaanse bedrijven.

De berichten in de pers spreken elkaar op dit punt tegen. Volgens NRC is CSC wel beheerder, maar volgens nu.nl niet.

Overigens, we veronderstellen dan wel dat de bouwer zelf geen geheime achterdeurtjes inbouwt of Amerikaanse standaardprogrammatuur gebruikt waar die achterdeurtjes al in zitten. Dat laatste mag niet te snel uitgesloten worden. Hoe dit te voorkomen is een onderwerp voor een latere post.

Maar dan terug naar het vragen van een garantie aan CSC dat ze niet zullen beantwoorden aan verzoeken van de Amerikaanse overheid. Een dergelijke verklaring kunnen ze helemaal niet geven, en als ze het wel doen is die niets waard. Het is namelijk de Amerikaanse overheid die de regels bepaald ten aanzien van CSC en niet CSC zelf. CSC is een Amerikaanse bedrijf en moet voldoen aan de Amerikaanse wetten. Zo kunnen zichzelf niet met een verklaring buiten de wet stellen.

Dan de merkwaardige opmerking van VZVZ dat de Patriot Act groter gemaakt wordt dan het werkelijk is en dat er nauwelijks een beroep op is gedaan. Wil iemand de VZVZ uitleggen dat de bedrijven die onderworpen zijn aan de Patriot Act niet mogen verklaren of en wanneer ze hebben moeten voldoen aan de informatievragen van de Amerikaanse overheid? Dus we kunnen het helemaal niet weten of de soep zo heet wordt gegeten als het wordt opgediend.

De publieke opinie slaat nu snel om, ik ben bang dat de VZVZ dit niet droog gaat houden. We blijven het nieuws volgen.