Beveiliging van Landelijk EPD vergeleken met die van andere grootschalige systemen

In gesprekken wordt mij soms de vraag voorgelegd waarom het landelijk EPD niet veilig te krijgen is, terwijl banken, de belastingdienst en de politie ook grote informatiesystemen hebben met privacygevoelige data. Waarom lukt het in die organisaties wel en niet in de zorg?

Daarvoor moeten we eerst op een rij zetten wat de kern van het beveiligingsprobleem is van het landelijke EPD. Het grote probleem is dat honderdduizenden gebruikers, zonder screening door een veiligheidsdienst, toegang krijgen tot privacygevoelige gegevens van alle Nederlanders, vanaf honderdduizenden slecht te beveiligen komputers in praktisch openbare ruimten, ruimten die zij door de aard van het werk soms in spoed moeten verlaten.

belastingdienst

Om te beginnen met de belastingdienst. Deze organisatie is veel kleiner dan de zorg en heeft dus veel minder medewerkers. Bovendien werken deze gebruikers vanuit een zeer beperkt aantal belastingkantoren in het land. Deze gebouwen zijn niet voor het grote publiek toegankelijk. De machines worden door een centrale organisatie beheerd en niet door tal van zelfstandig opererende maatschapjes, vakgroepjes of praktijken. De organisatie is centraal opgezet en informatiebeveiliging is een centraal aandachtspunt. Daarnaast is de informatie volgens mijn informatie gekompartimenteerd, zodat een belastinginspekteur alleen bij de gegevens kan in het eigen werkgebied of domein.

politie

De situatie bij de politie is ook niet te vergelijken met de situatie in de zorg. Informatiebeveiliging is een belangrijk aandachtspunt bij de politie. Niet dat het perfekt is (zie de problemen rond het CIOT), maar het zit toch wel in de genen. Politieambtenaren zijn gescreend door de inlichtingendienst. Ook bevinden de komputers met gevoelige gegevens zich niet op lokaties die zo toegankelijk zijn als een onbemande receptie of een sommige kantoren in een ziekenhuis. Tenslotte heeft de politie een zeer hiërarchische organisatie met duidelijk funktieomschrijvingen, waardoor het eenvoudig is toegang tot verschillende gegevenskompartimenten te koppelen aan verschillende funktionarissen.

internet-bankieren

Tenslotte de vergelijking van de beveiliging van het landelijk EPD en het internet-bankieren. Wat betreft het aantal gebruikers en het aantal machines is dit systeem omvangrijker dan het landelijk EPD. Ook hier hoeven we geen hoge verwachtingen te hebben van de beveiliging van de machines waarmee de gebruikers hun bankzaken thuis verrichten. Volgens schatting is zo’n %30 van de komputers in Nederland besmet met malware, virussen, spyware, enz. Om die reden, heeft men de gebruiker in-the-loop getrokken. Zonder expliciete betrokkenheid van de gebruiker en zonder gebruik van een zogenaamd second channel is een banktransaktie niet mogelijk. Om de klant op te lichten, moet de aanvaller dus minstens twee kanalen gelijktijdig hacken, namelijk de komputer en het andere toegangsmiddel (beveiligingskalkulator of telefoon).

Om te beginnen geven de toegangsmiddelen van de bankklant (beveiligingskalkulator of TAN-kodes) slechts toegang tot de privégegevens van één enkel persoon, namelijk die van de klant zelf. De belangen van de gebruiker en van de klant lopen daarmee parallel. Chantage, korruptie of ordinaire nieuwsgierigheid kan daarmee al uitgesloten worden. Daarnaast verricht een bankklant hoogstens enkele tientallen transakties per maand. Daardoor is het haalbaar om op meerdere momenten in de transaktie te vragen om gebruikersauthentikatie (bijvoorbeeld bij het aanmelden en bij het fiatteren van een betaling). Het voortdurend authenticeren van de gebruiker is niet praktisch in de zorg.

Ook is een beveiligingskalkulator met PIN en uitleesvenster een zwaarder toegangsmiddel dan de UZI-pas met PIN. Als de kalkulator niet verbonden is met de komputer van de bankklant, dan is de klant opgenomen in-the-loop van de transaktie. Kortom, een banktransaktie is niet mogelijk zonder expliciete handeling van de klant. Bij de UZI-pas ontbreekt die beveiliging. Als de komputer voldoende geïnfekteerd is, kan de UZI-pas handelingen authenticeren zonder medeweten van zijn gebruiker. Hetzelfde gunstige verhaal geldt voor het versturen van een TAN-code per SMS: zonder betrokkenheid van de klant is de transaktie niet mogelijk. Voorwaarde is dan wel dat de gebruiker zijn bankzaken niet doet vanaf een mobiele telefoon die dezelfde is als de telefoon waar de TAN-kode naar gestuurd gaat worden.

Zorg, politie, banken en belastingdienst; niet te vergelijken.

Posted in EPD

EPD, waar hebben we het over?

Alle spannende verhalen over het landelijk EPD ten spijt, zal het systeem niet gebruikt kunnen worden voor de patiënt die buiten zijn eigen regio met spoed opgenomen moet worden. Voorlopig voorziet het landelijk EPD namelijk alleen maar in uitwisseling van medikatiegegevens en gegevens voor waarnemende huisartsen. Medische dossiers van specialisten zijn dus nog niet beschikbaar. Dus voorlopig is het nut van het landelijk EPD nogal beperkt, te meer daar waarneming en medicijnverstrekking met name in de eigen regio plaatsvindt. Hiervoor zijn de bestaande regionale en lokale systemen voldoende. Het grote argument van de voorstanders wordt dus helemaal nog niet gerealiseerd.

Posted in EPD

Nog meer drogredenen omtrent het EPD

In de diskussie rond het landelijk elektronisch patiëntendossier wordt door de voorstanders gesteld dat de afwezigheid van een enkele centrale gegevensbank met de medische dossiers de beveiliging verbetert. Dat blijkt onjuist.

Het landelijk EPD is eigenlijk een infrastruktuur waarmee de bestaande regionale en lokale EPDen aan elkaar gekoppeld worden. Dus de medische dossiers die nu in elektronische vorm gehouden worden door ziekenhuizen, apotheken en huisartsenpratijken blijven op de plek, maar komen met het landelijk EPD voor andere zorgverleners beschikbaar.

Met andere woorden, het landelijk EPD slaat geen gegevens op, het verbindt bestaande oplossingen alleen maar aan elkaar door. Hiertoe heeft het Nictiz kommunikatiestandaarden vastgesteld en een landelijk schakelpunt (LSP) ingericht. Het LSP routeert gegevens van de dossierhoudende zorgverlener naar de zorgverlener die om de gegevens verlegen zit.

Het vaststellen van standaarden, zodat uitwisseling van gegevens mogelijk is, is een goede zaak. Vanuit beveiligingsoptiek is hier weinig tegenin te brengen.

Maar door voorstanders van het landelijk EPD worden twee beveiligingsvoordelen naar vorengebracht die ik als drogreden zou willen kwalificeren: nieuwe moderne beveiliging en decentrale opslag.

Gesteld wordt dat de huidige regionale en lokale systemen op gebied van beveiliging achter lopen op de stand van de techniek. Dat zal zo zijn. Maar de komst van het LSP brengt geen verbetering in deze situatie, in tegendeel. Er is geen sprake van verbetering, omdat alle bestaande regionale en lokale systemen gewoon blijven bestaan, want die zijn nog altijd verantwoordelijk voor de opslag en de lokale ontsluiting. Dus alle kwetsbare plekken van al deze systemen blijven onverminderd voortbestaan. De situatie verslechtert in feite, omdat het LSP er zijn eigen lijst met kwetsbaarheden aan toevoegt. Hoewel we nu niet weten welke technische kwetsbaarheden het LSP bevat, kan dit nooit minder dan nul zijn.

Ook in de interaktie tussen ontsluiting aan de ene kant van het land en de opslag aan de andere kant van het land kunnen nieuwe kwetsbaarheden ontstaan. Integriteit (waaronder security) is geen modulaire eigenschap van een systeem. Een systeem kan niet veilig gemaakt worden door er een magische beveiligingsmodule aan toe te voegen. Systemen worden veelal veiliger door onderdelen te verwijderen, niet door onderdelen toe te voegen.

Dan het argument dat het LSP veilig is, omdat er geen centrale gegevensbank is met medische dossiers. Dit is beveiligingsbedrog. Alle aangesloten regionale en lokale systemen kunnen vanuit het LSP bevraagd worden. Dus bij een geslaagde hack lopen alle regionale en lokale systemen gewoon leeg via het LSP. Vergelijk het met de centrale verwarming in huis. Warm water wordt in tal van radiatoren decentraal opgeslagen en niet op een enkel punt in een centrale installatie. Maar de radiatoren zijn wel verbonden via pijpen met een centrale verwarmingsinstallatie en een pomp. Als daar een lek ontstaat, lopen alle radiatoren via het buizenwerk gewoon leeg. Alle water weg, alle water op de vloer.

Posted in EPD

Burgerservicenummer is een merkwaardige keuze

In het Nederlandse zorgstelsel is ervoor gekozen het burgerservicenummer te gebruiken voor de identifikatie van patiënten. Een zeer merkwaardige keuze, omdat veel mensen helemaal geen BSN hebben:

  • buitenlanders
  • illegalen
  • daklozen
  • ongeborenen
  • overleden voorouders

Ook een buitenlander kan wel eens zorg nodig hebben bij een Nederlandse arts, in een Nederlands ziekenhuis of in een Nederlandse apotheek. Soms kan kontante betaling een optie zijn, maar soms is dat geen niet mogelijk. Ook wij Nederlanders staan raar te kijken als we in het buitenland een langere of kortere ziekenhuisopname meteen kontant moeten voldoen.

Daklozen is een ander verhaal. Een dakloze met de Nederlanderse nationaliteit komt in principe in aanmerking voor een BSN. Maar zonder vaste verblijfplaats kan het BSN niet verstrekt worden. Juist deze medisch kwetsbare groep heeft zorg nodig.

Ongeborenen en overleden voorouders mag gezocht lijken, maar dat is het in het licht van de ontwikkelingen in de gezondheidszorg zeker niet. Hoewel nog niet heel erg gebruikelijk worden ongeboren kinderen in toenemende mate geopereerd in utero. De rekening kan misschien gekoppeld worden aan de moeder, maar de operatie moet ook opgenomen worden in het medisch dossier van de foetus. Daarvoor zou dus een BSN nodig zijn, maar dat heeft een foetus nog niet.

Overledenen zijn geen onderwerp van zorg en in die zin hoeven overledenen niet een BSN te hebben of gehad te hebben. Rekeningen sturen is hoe dan ook niet meer mogelijk. Maar door ontwikkelingen in de genetika komen (overleden) familieleden in toenemende mate in het vizier. In genetisch onderzoek wil men de verbanden onderzoeken tussen het genenpatroon en ziekteverschijnselen. Liefst ook binnen familieverband, omdat daar de genetische variatie minder is. Met behulp van ziektehistorie van patiënt en (mogelijk overleden) familieleden en aan de hand van het DNA van patiënt en familieleden (voorzover dat celmateriaal er nog is), kan wetenschappelijk onderzocht worden wat het verband is tussen het genenpatroon en bepaalde ziekteverschijnselen. Voor dergelijk onderzoek moeten dus ook overledenen uniek aangeduid kunnen worden. Hiervoor zijn BSNs niet geschikt.

Kortom: voor een moderne en brede zorg is het BSN als identifikatiemiddel niet bijzonder geschikt.

Posted in EPD

Amerikaanse elektronische patiëntendossiers massaal gestolen

Miljoenen Amerikaanse EPDs worden elk jaar gestolen. In de helft van de gevallen zou dit geleid hebben tot identiteitsfraude. Jaar in jaar uit. In de meeste gevallen door onzorgvuldig handelen van de gebruikers. Dat is waar beveiligingsexperts van het EPD in Nederland ook voor waarschuwen: 200_000 zorgverleners met een onhandige UZI-pas vormen de zachte onderbuik van het systeem.

De juichstemming van VZVZ-direkteur Edwin van Velzel is daarom nogal misplaatst. Volgens zijn tweets hebben penetratietests geen sukses gehad. Om te beginnen kunnen tests alleen maar fouten aantonen. Als alle tests doorstaan worden, wil dat niet zeggen dat er geen fouten meer in zitten. Wijsheid van niemand minder dan Edsger Dijkstra. Vervolgens is de vraag hoelang, door hoeveel hackers en met welke kwaliteiten deze tests uitgevoerd zijn. Tenslotte de vraag wat de scope van de tests is geweest: alleen de technische kant aanvallen of ook de organisatorische kant. Zonder nadere specifikatie is zijn bewering geen assurance en puur voor de bühne.

Het zal me niet verbazen als het EPD al binnen en paar weken in het nieuws is wegens een lek.

All your EPD-wachtwoorden are belong to us

Sommige instanties zijn wel heel erg nieuwsgierig en dwingen anderen hun wachtwoorden af te geven, zodat ze even in de beveiligde gegevens kunnen rondneuzen of erger. Zo ver mag het met het EPD niet komen.

Het is een bekend fenomeen. Sommige werkgevers vragen sollicitanten naar wachtwoorden van sociale media zoals Facebook, zodat ze ook het afgeschermde deel van het profiel kunnen doorzoeken naar mogelijk risikofaktoren. Ik weet niet of dit in Nederland voorkomt, maar in de VS bestaat dit fenomeen.

Ook overheden kunnen er wat van. In sommige landen worden bezoekers gedwongen moderne digitale apparatuur af te geven voor inspektie. Aan de grens moet men laptops, MP3-spelers, kamera’s, externe hard schijven en wat dies meer zij even af geven. Soms wordt er alleen maar snel gezocht naar verboden materiaal zoals pornografie, politiek opruiend materiaal, of nog erger, onrechtmatig verkregen auteursrechtelijk beschermd materiaal. Maar niet uit te sluiten valt dat alle data op het apparaat geëxfiltreerd wordt, zodat de dienst op alle gemak op zoek kan naar bedrijfsgeheimen, belastend materiaal, wachtwoorden, cryptografisch materiaal en kontaktgegevens. Mogelijk wordt van overheidswege, gratis en zonder medeweten van de bezoeker spyware op de machine geplaatst, zodat de machine volledig gekompromitteerd is.

Sommige landen eisen van bezoekers dat ze inloggen op hun mail-account, zodat de diensten even kunnen rondneuzen. Daarbij maken ze met liefde een lijst van de kontakten, zodat die in de toekomst ook in de gaten gehouden kunnen worden. Overigens inloggen op een vreemde machine of in een vreemd netwerk heeft zulke grote veiligheidsrisiko’s, dat het wachtwoord, de mail-account en alle oude mails op de account als gekompromitteerd beschouwd moeten worden. Het is te eenvoudig een key-logger of een man-in-the-middle te gebruiken.

afdwingen wachtwoord van het EPD

Twee recente onderzoeken (SCP en NIVEL) laten zien dat de meeste Nederlanders er weinig problemen mee hebben als de zorgpremie wordt gedifferentieerd. Mensen met een gezonde levenstijl zouden dan minder premie hoeven te betalen dan de medeburger die rookt, zuipt, blowt, of snackt.

Allereest is er dan de vraag of dit nog wel verzekeren is op basis van solidariteit tussen de verzekerden, of dat dit een vorm van voorfinanciering van zorg is. Als de medische status transparant geworden is, is er namelijk geen risiko meer.

De tweede vraag is hoe een zorgverzekeraar achter de levenstijl van zijn verzekerden kan komen. Verzekerden kunnen zelf rapporteren, maar dat is zeer fraudegevoelig. Een eigen netwerk van keuringsartsen opzetten zou ook kunnen, maar dat is erg duur en geeft slechts een fragmentarisch beeld. De personen met de meeste kennis van de levenstijl van de verzekerde zijn de huisarts en de apotheker. Precies die aktoren die een belangrijke rol hebben in het EPD. Met name de huisarts is goed bekend met de thuissituatie.

Nu denk ik niet dat het politiek geaccepteerd wordt als zorgverzekeraars direkt toegang krijgen tot de gegevens in het EPD. Maar zo hoeft het ook niet te lopen. Straks heeft iedereen een EPD waarvan hij zijn eigen gegevens kan inzien. Wilt u een goedkopere verzekering? Stuur dan even het wachtwoord door, zodat wij even kunnen kijken naar uw levenstijl en uw medische risiko’s.

All your EPD-wachtwoorden belong to us.

VZVZ vraagt uitstel privacy-maatregelen

VZVZ, de opdrachtgever van het Elektronisch Patiëntendossier (EPD), wil een halfjaar uitstel vragen aan het College Beschermingpersoonsgegevens voor het verwijderen van de patiënten die geen toestemming hebben gegeven voor landelijke ontsluiting van hun medische gegevens.

Hier blijkt hoeveel waarde de VZVZ werkelijk hecht aan de privacy van de patiënten. Nu de animo onder de burgers voor hun systeem tegenvalt, moeten de privacyverlangens van de burgers wijken voor de interne belangen van de VZVZ. Dat zou voor iedereen die nog twijfelde voldoende reden moeten zijn om alsnog nee te zeggen tegen de opname in het LSP.

Het argument van het VZVZ is een drogreden:

“Veel minder mensen dan wij dachten hebben toestemming gegeven. Dat betekent dat we 95 procent van de dossiers verliezen. Als we al die mensen per 1 januari uit de index halen, lopen we gezondheidsrisico’s.”

Nee, niet het VZVZ loopt gezondheidsrisiko’s, maar de burgers. Mondige burgers die volwassen genoeg zijn zelf de risiko’s in te schatten. Ik maak graag mijn eigen fouten, zullen we dan maar denken.

Aanvulling 2012.12.20: CPB verleent geen uitstel tot na 1 januari.

Posted in EPD

Schippers geeft EPD feitelijk de doodsteek

Eerder vandaag is een storm van verontwaardiging opgestoken over de mogelijkheid dat de Amerikaanse overheid alle medische dossiers kan gaan inzien na invoering van het EPD.

De verantwoordelijk minister van Volksgezondheid Schippers liet weten dat er geen probleem is omdat in Nederland het medisch beroepsgeheim geldt. Daarom zou niemand zonder toestemming in het EPD kunnen neuzen. Ook het VZVZ laat zich zo gemakkelijk gerust stellen.

Maar CSC valt onder Amerikaanse wetgeving en niet de Nederlandse, en de Patriot Act maakt geen uitzondering voor medische gegevens.

Dus als de minister het medisch beroepsgeheim net zo belangrijk vindt als ze zelf zegt, zit er maar één ding op: zoeken naar een andere leverancier voor 1 januari.

Kortom het antwoord van de minister bedoeld als geruststelling is in feite het doodvonnis voor het EPD in deze vorm. En is er ook meteen een beveiligingsprobleem opgelost.

Posted in EPD

Diskussie over EPD kantelt snel

Vandaag is in het nieuws gekomen dat de opdrachtgever VZVZ van het EPD van de bouwer een verklaring verlangt dat het EPD niet zal vallen onder de Amerikaanse Patriot Act.

De Patriot Act maakt dat de Amerikaanse overheid alle Amerikaanse bedrijven kan dwingen gegevens af te staan, ook van niet-Amerikanen en ook als die gegevens buiten de V.S. bewaard worden op de servers van die Amerikaanse bedrijven of bedrijven in eigendom van die Amerikaanse bedrijven.

Een paar opmerkingen. De Patriot Act is uit 2001 en de VZVZ had dus 12 jaren de tijd over deze vraag na te denken. Ook in de wereld van medische clouds is deze vraag al regelmatig gesteld. Maar 1 maand voor de beoogde invoering van het systeem stellen ze zich zo’n fundamentele vraag. Bij een dergelijk groot projekt, hoort men de risiko’s te beheren, en dit is een grote show stopper. De publieke opinie zal niet accepteren dat de Amerikaanse overheid inzage heeft in de medische gegevens van alle Nederlanders. Dit PR-risiko had al aan het begin van het projekt afgehandeld moeten worden, mogelijk door het kiezen van een andere bouwer of beheerder.

De bouwer CSC is een Amerikaans bedrijf. Maar dat hoeft op zich geen probleem te zijn. Een Amerikaanse bouwer die de programmatuur na voltooiing oplevert en door een Europese partij laat beheren op servers in Europese eigendom is geen probleem voor zover het de Patriot Act betreft: de gegevens zelf zijn dan namelijk in Europese handen.

De berichten in de pers spreken elkaar op dit punt tegen. Volgens NRC is CSC wel beheerder, maar volgens nu.nl niet.

Overigens, we veronderstellen dan wel dat de bouwer zelf geen geheime achterdeurtjes inbouwt of Amerikaanse standaardprogrammatuur gebruikt waar die achterdeurtjes al in zitten. Dat laatste mag niet te snel uitgesloten worden. Hoe dit te voorkomen is een onderwerp voor een latere post.

Maar dan terug naar het vragen van een garantie aan CSC dat ze niet zullen beantwoorden aan verzoeken van de Amerikaanse overheid. Een dergelijke verklaring kunnen ze helemaal niet geven, en als ze het wel doen is die niets waard. Het is namelijk de Amerikaanse overheid die de regels bepaald ten aanzien van CSC en niet CSC zelf. CSC is een Amerikaanse bedrijf en moet voldoen aan de Amerikaanse wetten. Zo kunnen zichzelf niet met een verklaring buiten de wet stellen.

Dan de merkwaardige opmerking van VZVZ dat de Patriot Act groter gemaakt wordt dan het werkelijk is en dat er nauwelijks een beroep op is gedaan. Wil iemand de VZVZ uitleggen dat de bedrijven die onderworpen zijn aan de Patriot Act niet mogen verklaren of en wanneer ze hebben moeten voldoen aan de informatievragen van de Amerikaanse overheid? Dus we kunnen het helemaal niet weten of de soep zo heet wordt gegeten als het wordt opgediend.

De publieke opinie slaat nu snel om, ik ben bang dat de VZVZ dit niet droog gaat houden. We blijven het nieuws volgen.

Posted in EPD