Schippers geeft EPD feitelijk de doodsteek

Eerder vandaag is een storm van verontwaardiging opgestoken over de mogelijkheid dat de Amerikaanse overheid alle medische dossiers kan gaan inzien na invoering van het EPD.

De verantwoordelijk minister van Volksgezondheid Schippers liet weten dat er geen probleem is omdat in Nederland het medisch beroepsgeheim geldt. Daarom zou niemand zonder toestemming in het EPD kunnen neuzen. Ook het VZVZ laat zich zo gemakkelijk gerust stellen.

Maar CSC valt onder Amerikaanse wetgeving en niet de Nederlandse, en de Patriot Act maakt geen uitzondering voor medische gegevens.

Dus als de minister het medisch beroepsgeheim net zo belangrijk vindt als ze zelf zegt, zit er maar één ding op: zoeken naar een andere leverancier voor 1 januari.

Kortom het antwoord van de minister bedoeld als geruststelling is in feite het doodvonnis voor het EPD in deze vorm. En is er ook meteen een beveiligingsprobleem opgelost.

Posted in EPD

Homomorphic cryptography will always be slow.

Homomorphic cryptography has some astonishing properties. Mathematical operations are performed on encrypted data giving encrypted results. So you can outsource calculations on confidential information to parties that you do not trust. They will only see the encrypted data and provide you with an encrypted result. All you have to do is decrypt the data with your secret key and, voila, there is your result in clear text.

To explain the mechanism behind homomorphic encryption, I shall show a simplified example. Suppose that we encrypt data by using the power of two. Decryption, is then by taking the logarithm of base two. For reasons of simplicity no secret keys are involved in this example. Also, assume that decryption is infeasible without the secret keys. For most people, logarithms are infeasible anyway 8-).

Suppose that Anna wants Boris to add two numbers, say 5 and 7. But Anna does not trust Boris, so Boris should never know the exact numbers he is about to add. First Anna encrypts the numbers by calculating the power of two:

input#1 = 5
input#2 = 7

cryptoText#1 = 2^5 = 2 x 2 x 2 x 2 x 2 = 32
cryptoText#2 = 2^7 = 2 x 2 x 2 x 2 x 2 x 2 x 2 = 128

Now, Anna sends the cryptotext numbers to Boris for addition. Since the numbers are encrypted, this is cannot be an ordinary addition. Instead it is a special algorithm, in this case multiplication. So Boris must multiply the cryptotexts:

encryptedResult = crypotoText#1 x crypotoText#2 = 32 x 128 = 4096

Then Boris sends the encrypted result back to Anna. Anna determines the result by taking the logarithm of 2 of the result from Boris:

result = 2log(encryptedResult) = 2log(4096) = 12

As we can see, Anna obtained the correct result from Boris (since 5 + 7 = 12 indeed), even though Boris has never seen the actual numbers.

There are interesting applications for homomorhic cryptography. Cloud providers can manipulate your data without them knowing what the data really is. For example, a financial analist can perform a complex financial analysis without him ever knowing your personal wealth.

But now the bad news

Homomorphic cryptography is 100_000 times slower then operations in the clear. A homomorphic multiplication takes little less than a second (as of 2012). That throws us back to the computing performance of around 1946.

So homomorphic cryptography is very expensive. We need 100_000 as much time, 100_000 times as much energy for computing and cooling, etc. The bill from your hosting company will 100_000 times higher. So it may be secure, but it is not sustainable [in het Nederlands vaak ten onrechte aangeduid als duurzaam].

Almost a second per multiplication is totally unacceptable, of course. What if computers get faster so that the execution times become acceptable?

First given Moore’s law, it takes almost 25 years for computers to become 100_000 times faster. So in 2037 homomorphic computations will show 2012 performance. However, the performance penalty relative to computations on clear numbers is not taken away by that: these also become faster. So homomorphic computations remain slow and wasteful. We should also take into consideration that Moore’s law may no longer be true in the future and yearly performance improvements may slow down significantly.

 And the really bad news

If computer performance increases with a factor X, then this will not only benefit the homomorphic computations, but also cracking efforts by the same amount. Then to make cracking through brute forcing impossible, we must increase the complexity of the encryption scheme by the same amount.

So any performance increase is immediately undone by the necessary strengthening of the chosen encryption scheme to stop brute forcing…

Diskussie over EPD kantelt snel

Vandaag is in het nieuws gekomen dat de opdrachtgever VZVZ van het EPD van de bouwer een verklaring verlangt dat het EPD niet zal vallen onder de Amerikaanse Patriot Act.

De Patriot Act maakt dat de Amerikaanse overheid alle Amerikaanse bedrijven kan dwingen gegevens af te staan, ook van niet-Amerikanen en ook als die gegevens buiten de V.S. bewaard worden op de servers van die Amerikaanse bedrijven of bedrijven in eigendom van die Amerikaanse bedrijven.

Een paar opmerkingen. De Patriot Act is uit 2001 en de VZVZ had dus 12 jaren de tijd over deze vraag na te denken. Ook in de wereld van medische clouds is deze vraag al regelmatig gesteld. Maar 1 maand voor de beoogde invoering van het systeem stellen ze zich zo’n fundamentele vraag. Bij een dergelijk groot projekt, hoort men de risiko’s te beheren, en dit is een grote show stopper. De publieke opinie zal niet accepteren dat de Amerikaanse overheid inzage heeft in de medische gegevens van alle Nederlanders. Dit PR-risiko had al aan het begin van het projekt afgehandeld moeten worden, mogelijk door het kiezen van een andere bouwer of beheerder.

De bouwer CSC is een Amerikaans bedrijf. Maar dat hoeft op zich geen probleem te zijn. Een Amerikaanse bouwer die de programmatuur na voltooiing oplevert en door een Europese partij laat beheren op servers in Europese eigendom is geen probleem voor zover het de Patriot Act betreft: de gegevens zelf zijn dan namelijk in Europese handen.

De berichten in de pers spreken elkaar op dit punt tegen. Volgens NRC is CSC wel beheerder, maar volgens nu.nl niet.

Overigens, we veronderstellen dan wel dat de bouwer zelf geen geheime achterdeurtjes inbouwt of Amerikaanse standaardprogrammatuur gebruikt waar die achterdeurtjes al in zitten. Dat laatste mag niet te snel uitgesloten worden. Hoe dit te voorkomen is een onderwerp voor een latere post.

Maar dan terug naar het vragen van een garantie aan CSC dat ze niet zullen beantwoorden aan verzoeken van de Amerikaanse overheid. Een dergelijke verklaring kunnen ze helemaal niet geven, en als ze het wel doen is die niets waard. Het is namelijk de Amerikaanse overheid die de regels bepaald ten aanzien van CSC en niet CSC zelf. CSC is een Amerikaanse bedrijf en moet voldoen aan de Amerikaanse wetten. Zo kunnen zichzelf niet met een verklaring buiten de wet stellen.

Dan de merkwaardige opmerking van VZVZ dat de Patriot Act groter gemaakt wordt dan het werkelijk is en dat er nauwelijks een beroep op is gedaan. Wil iemand de VZVZ uitleggen dat de bedrijven die onderworpen zijn aan de Patriot Act niet mogen verklaren of en wanneer ze hebben moeten voldoen aan de informatievragen van de Amerikaanse overheid? Dus we kunnen het helemaal niet weten of de soep zo heet wordt gegeten als het wordt opgediend.

De publieke opinie slaat nu snel om, ik ben bang dat de VZVZ dit niet droog gaat houden. We blijven het nieuws volgen.

Posted in EPD

Drogredenen om het EPD er door te drukken

Vanavond in Nieuwsuur kwam het Elektronische Patiënten Dossier aan de orde. Twee argumenten kwamen aan de orde waarom we allemaal het EPD zouden moeten omarmen.

Wilma Wind van de Nederlandse Patiënten Consumenten Federatie verwacht dat het systeem honderden doden per jaar zal schelen door het verminderen van toepassen van verkeerde medikatie. Een drogreden. Deze vermindering van slachtoffers kan bereikt worden met betere informatie, maar hiervoor is niet een onveilig landelijk systeem nodig. Want bijna alle behandelingen en medicijnverstrekking vinden plaats in de eigen regio. Ze ziet de voordelen van automatisering, maar gebruikt dat als argument voor een landelijk systeem.

Minister Schippers van Volksgezondheid stelt het EPD beter beveiligd is dan de bestaande regionale systemen. De eerste fout die ze maakt is dat ze zich koncentreert op de technische kant van de beveilling en de organisatorische kant van de beveiling buiten beschouwing laat. Een systeem waar ieder van de 200_000 werknemers in de zorg zonder autorisatie vooraf bij de gegevens kan van elke deelnemende Nederlander is inherent onveilig. Haar tweede fout is dat ze de technische kwaliteit van het systeem presenteert als een uniek kenmerk dat alleen op landelijke schaal gerealiseerd zou kunnen worden. Maar waarom wordt de technologie van het Landelijk Schakelpunt niet gewoon op regionale schaal ingevoerd als het zoveel beter is. Bijvoorbeeld een LSP voor elke provincie: wel de voordelen van de moderne technologie op gebied van gegevensuitwisseling en beveiligingstechnologie, maar zonder de beveiligingsnadelen van een te groot centralistisch systeem. Bovendien, zolang de bestaande regionale systemen nog steeds bestaan, voegt een nieuw landelijk systeem alleen maar nieuwe kwetsbaarheden toe aan het bestaande systeem. Want hoe meer onderdelen een systeem heeft, hoe groter de kwetsbaarheid. Beveiliging is vaak meer gediend met het verwijderen van komponenten dan door het toevoegen van nieuwe komponenten.

Posted in EPD

Waarom willen bedrijven mijn geboortedatum weten als ze toch geen kaart sturen voor mijn verjaardag?

Het is bijna zover dat de groenteboer mijn geboortdatum wil weten als ik bij hem een kilo appels koop. Liefst ook een telefoonnummer erbij en een e-mailadres. Ik kom dit tegen bij nutsbedrijven, hotels, de spoorwegen, webwinkels.

Soms is het belang van de geboortedatum evident, bijvoorbeeld in het ziekenhuis. Voor behandeling is leeftijd een relevant parameter en een geboortedatum is een effektieve manier om verwarring van patiënten te voorkomen.

Maar waarom moet de Wehkamp, de Nederlandse Spoorwegen of de elektriciteitsboer mijn geboortedatum kennen. Vooruit, ze moeten misschien weten of ik meerderjarig ben en tekeningsbevoegd ben (wat overigens niet alleen hoeft af te hangen van mijn leeftijd), maar waarom de leeftijd op de dag nauwkeurig?

De risiko’s zijn van verstrekken zijn namelijk niet onaanzienlijk. Sommige banken gebruik een kombinatie van naam, voorletters en geboortedatum als authentikatiemechanisme voor telefonische transakties. Omdat Brenno de Winter meedere keren per week lijkt aan te tonen dat de gegevensbeveiliging in de zorg, in het onderwijs en in het bedrijfsleven in Nederland een lachertje is, wil ik de gegevens die nodig zijn voor sommige bankzaken niet in de gatenkaas bewaard hebben die sommigen een informatiesysteem noemen.

De aandachtige lezer zal nu wel begrijpen dat ik een beetje sjoemel. Niet met het doel onrechtmatig financieel voordeel te behalen, maar om mijn eigen privacy te verdedigen.

Overigens is ook het hele idee belachelijk dat geboortedata gebruikt zouden kunnen worden voor toegangsautorisatie: De geboortedata van een grote kring van bekenden heeft iedereen. En voor de rest van de wereld zet men het tegenwoordig op facebook.

Maar ja soms gaat het ook wel eens mis, zoals gisteren. Ik bel het nutsbedrijf en noem mijn naam en adres. De juffrouw vraagt me naar mijn geboortedatum. Ik zeg dat ik het niet verstrekt, waarop ze zegt: ‘ik mag u niet verder helpen zonder uw geboortedatum, want u had ## – ## – #### moeten zeggen.

Dankjewel, nu heeft elke social engineer een mogelijkheid om mijn geboortedatum los te peuteren en mij vervolgens een kaart voor mijn verjaardag te sturen!

De zwakke plekken van het EPD

Wat zijn vanuit de optiek van de informatiebeveiliging de grootste beveiligingsproblemen van het EPD?

Wanneer het systeem kompleet operationeel is zullen 200_000 zorgverleners toegang hebben tot de medische gegevens van alle Nederlanders. Maar het is niet mogelijk om 200_000 mensen door de AIVD te laten screnen. Er hoeft er maar één korrupt of chantabel te zijn of de druk of verleiding niet kunnen weerstaan en we hebben het eerste lek.

Daarnaast hoe beveilig je 200_000 (exakte aantal niet bekend) computers. In de zorg verlaten mensen soms hun werkplek voor een spoedgeval elders en blijven op de machine aangemeld. Maar ook in minder hektische omgevingen meldt een hele afdeling zich al gauw aan met de UZI-pas ‘van de afdeling’. Voor elke poep en een ziucht opnieuw aan- en afmelden is namelijk zeer onpraktisch. Er ontstaan dus machines waar passanten makkelijk inzage kunnen krijgen in de medische dossiers van de hele bevolking.

Waar 200_000 mensen werken, verliest men ook wel eens een UZI-pas. Hoe wordt dit gekontroleerd en wordt misbruik voorkomen?

Dan roepen mensen die het weten kunnen dat 30% van de Nederlandse computers besmet is met malware. Nu weet mijn huisarts veel van virussen, maar er is geen reden om te veronderstellen dat hij veel meer weet van komputervirussen dan de meeste andere burgers. Dus een groot deel van het machinepark zal bestaan uit komputers die besmet zijn met spyware en key loggers. Wat betreft hacking, is dit de zachte onderbuik van het landelijk EPD.

De Amerikaanse vloot heeft een vlaggeschip met de bijnaam ‘USS Target’. Het schip is namelijk zo geavanceerd dat de oorlog min of meer is afgelopen als dit schip tot zinken is gebracht. Het trekt alle vijandelijk vuur naar zich toe. Die rol zou het EPD ook wel eens kunnen krijgen. De informatie die er in bewaard wordt is zo waardevol voor sommige partijen dat alles geoorloofd is. Een regionaal systeem met de gegevens van enkele tienduizenden patiënten is niet interessant voor een hacker. Maar maak het systeem landelijk en de situatie veranderd dramatisch. Niet alleen is de potentiële buit groter, ook het ‘aanvalsoppervlak’ neemt dramatisch in omvang toe. In plaats van 20 systemen met elk 800_000 patiënten en 10_000 zorgverleners, is er nu een enkel systeem met 20 x zo veel patiënten en 20 x zo veel mensen die korrupt, chantabel of slordig kunnen zijn. En het voorstel om de patiënt via een SMS te laten weten wanneer zijn dossier door iemand bekeken wordt, maakt dat alleen nog maar erger: nu bevat het dossier niet alleen medische gegevens, maar ook telefoonnummers…

Posted in EPD

Beveiliging van het Elektronisch Patiënten Dossier

Verzekeringsmaatschappijen hebben nu grote haast en willen middels premies huisartsen en apothekers verleiden om hun patiënten te laten opnemen in het EPD. Als alles lukt, zou het EPD dan per 2013.01.01 operationeel moeten worden.

Ik wil een aantal kanttekeningen maken bij de beveiliging van het EPD. Wellicht dat iemand met meer kennis over het EPD zijn licht hierover kan laten schijnen.

Om te beginnen is de use case van een landelijk EPD mij niet helemaal duidelijk. Natuurlijk is het goed als een arts van buiten de eigen regio indien nodig over mijn gegevens kan beschikken. Maar hoe vaak komt dat eigenlijk voor? Bijna iedereen in Nederland ontvangt zorg en verkrijgt medicijnen in zijn eigen regio. Hiervoor zijn de bestaande regionale EPDen toereikend. In de meeste gevallen dat iemand buiten zijn eigen regio zorg nodig heeft, is dat voor specialistische hulp die weken vantevoren is ingepland. De lange wachttijden in de zorg hebben dus als voordeel dat er alle tijd is om de gegevens over te dragen vanuit de eigen regio naar de behandelaar buiten de eigen regio. Voor dit scenario is er geen behoeft aan een centrale on-line gegevensbank met de medische gegevens van praktisch alle Nederlanders.

Dan het scenario dat iemand dringend medicijnen nodig heeft elders in het land. Dit zou eenvoudig opgelost kunnen worden door de sleutel tot de toegang voor de medicijngegevens ook deels bij de patiënt zelf neer te leggen. Dus hiervoor mogelijk wel een centraal on-line systeem, maar niet opvraagbaar door elke apotheker en zijn assistent.

Blijft over het scenario dat iemand acuut hulp nodig heeft, maar zelf niet meer de mogelijkheid heeft om zijn behandelaren te fiatteren. Dit wordt altijd als voorbeeld genoemd van de voordelen van een EPD, maar dit komt in de praktijk nauwelijks voor! De meeste ongelukken gebeuren nu eenmaal in de eigen omgeving. Maar goed, als het dan toch gebeurt, dan zou het handig zijn als de behandelaar kan beschikken over het medisch dossier. Maar is een centraal on-line systeem waar iedere zorgverlener op eigen gezag toegang toe kan krijgen werkelijk de enige oplossing? Was het niet mogelijk geweest de behandelaar te verplichten kontakt op te nemen met de eigen huisarts van de patiënt en de huisarts te vragen de medische gegevens vrij te geven aan de behandelaar? Een huisarts die optreedt als poortwachter van de medische gegevens van zijn patiënten. Natuurlijk moet de identiteit van de patiënt dan bekend zijn, maar dat geldt ook bij gebruik van het EPD. Ook moeten kontaktgegevens van de huisarts bekend zijn, maar het bewaren en beveiligen van dergelijke informatie is een stuk minder zorgelijk dan het beveiligen van alle medische gegevens van alle Nederlanders.

hoe het ook had gekund

Uitgangspunt zou moeten zijn dat alleen de behandelaren van een patiënt toegang hebben tot de relevante onderdelen van het medisch dossier. Primair zijn dat de eigen huisarts en de eigen apotheker (alleen voorzover het medicijngebruik betreft). Andere medici, verpleegkundigen, elders of in de eigen regio, hebben normaal geen toegang. Bij opname in het ziekenhuis autoriseert de patiënt of, wanneer dat niet mogelijk is, zijn huisarts de behandelaar. Dus bij een opname voor hartklachten wordt de cardioloog, zijn team en de verpleegkundigen op de afdeling geautoriseerd en verder niemand in dat ziekenhuis. Ontstaan er andere klachten, dan kan de cardioloog op zijn beurt andere specialisten bijschakelen en autoriseren. Alle autorisaties komen na zekere tijd na afloop van de behandeling automatische te vervallen. En voor het geval dat iemand met spoed en buiten kennis de operatietafel opgedragen wordt, moet er een noodprocedure zijn, een soort breek-het-glas-in-geval-van-nood. De behandelaar kan dan bij de gegevens, maar niet alleen. Een dergelijke noodprocedure zou door twee of drie behandelaren ingezet moeten worden. Een passant die een onbeheerde computer vindt op de zaal, kan hier dus niets mee. Daarnaast moet deze procedure veel ‘lawaai’ maken en aandacht krijgen van kontrolerende instanties. Dat klinkt bewerkelijk, maar omdat dat niet zo heel veel voorkomt is hiermee een redelijke balans verkregen tussen beveiliging en patiëntveiligheid.

Posted in EPD

Kopie van paspoort verstrekken

We kennen allemaal de situatie dat we een kopie van een identiteitsbewijs moeten verstrekken aan een overheid, een instantie of een bedrijf. Om te voorkomen dat deze kopie een eigen leven gaat leiden en gebruikt kan worden voor identiteitsfraude, adviseer ik de kopie te betekenen. Schrijf met pen midden op de afbeelding wanneer en voor welk doel de kopie gemaakt is. Op die wijze kan de kopie niet misbruikt worden.