Amerikaanse elektronische patiëntendossiers massaal gestolen

Miljoenen Amerikaanse EPDs worden elk jaar gestolen. In de helft van de gevallen zou dit geleid hebben tot identiteitsfraude. Jaar in jaar uit. In de meeste gevallen door onzorgvuldig handelen van de gebruikers. Dat is waar beveiligingsexperts van het EPD in Nederland ook voor waarschuwen: 200_000 zorgverleners met een onhandige UZI-pas vormen de zachte onderbuik van het systeem.

De juichstemming van VZVZ-direkteur Edwin van Velzel is daarom nogal misplaatst. Volgens zijn tweets hebben penetratietests geen sukses gehad. Om te beginnen kunnen tests alleen maar fouten aantonen. Als alle tests doorstaan worden, wil dat niet zeggen dat er geen fouten meer in zitten. Wijsheid van niemand minder dan Edsger Dijkstra. Vervolgens is de vraag hoelang, door hoeveel hackers en met welke kwaliteiten deze tests uitgevoerd zijn. Tenslotte de vraag wat de scope van de tests is geweest: alleen de technische kant aanvallen of ook de organisatorische kant. Zonder nadere specifikatie is zijn bewering geen assurance en puur voor de bühne.

Het zal me niet verbazen als het EPD al binnen en paar weken in het nieuws is wegens een lek.

All your EPD-wachtwoorden are belong to us

Sommige instanties zijn wel heel erg nieuwsgierig en dwingen anderen hun wachtwoorden af te geven, zodat ze even in de beveiligde gegevens kunnen rondneuzen of erger. Zo ver mag het met het EPD niet komen.

Het is een bekend fenomeen. Sommige werkgevers vragen sollicitanten naar wachtwoorden van sociale media zoals Facebook, zodat ze ook het afgeschermde deel van het profiel kunnen doorzoeken naar mogelijk risikofaktoren. Ik weet niet of dit in Nederland voorkomt, maar in de VS bestaat dit fenomeen.

Ook overheden kunnen er wat van. In sommige landen worden bezoekers gedwongen moderne digitale apparatuur af te geven voor inspektie. Aan de grens moet men laptops, MP3-spelers, kamera’s, externe hard schijven en wat dies meer zij even af geven. Soms wordt er alleen maar snel gezocht naar verboden materiaal zoals pornografie, politiek opruiend materiaal, of nog erger, onrechtmatig verkregen auteursrechtelijk beschermd materiaal. Maar niet uit te sluiten valt dat alle data op het apparaat geëxfiltreerd wordt, zodat de dienst op alle gemak op zoek kan naar bedrijfsgeheimen, belastend materiaal, wachtwoorden, cryptografisch materiaal en kontaktgegevens. Mogelijk wordt van overheidswege, gratis en zonder medeweten van de bezoeker spyware op de machine geplaatst, zodat de machine volledig gekompromitteerd is.

Sommige landen eisen van bezoekers dat ze inloggen op hun mail-account, zodat de diensten even kunnen rondneuzen. Daarbij maken ze met liefde een lijst van de kontakten, zodat die in de toekomst ook in de gaten gehouden kunnen worden. Overigens inloggen op een vreemde machine of in een vreemd netwerk heeft zulke grote veiligheidsrisiko’s, dat het wachtwoord, de mail-account en alle oude mails op de account als gekompromitteerd beschouwd moeten worden. Het is te eenvoudig een key-logger of een man-in-the-middle te gebruiken.

afdwingen wachtwoord van het EPD

Twee recente onderzoeken (SCP en NIVEL) laten zien dat de meeste Nederlanders er weinig problemen mee hebben als de zorgpremie wordt gedifferentieerd. Mensen met een gezonde levenstijl zouden dan minder premie hoeven te betalen dan de medeburger die rookt, zuipt, blowt, of snackt.

Allereest is er dan de vraag of dit nog wel verzekeren is op basis van solidariteit tussen de verzekerden, of dat dit een vorm van voorfinanciering van zorg is. Als de medische status transparant geworden is, is er namelijk geen risiko meer.

De tweede vraag is hoe een zorgverzekeraar achter de levenstijl van zijn verzekerden kan komen. Verzekerden kunnen zelf rapporteren, maar dat is zeer fraudegevoelig. Een eigen netwerk van keuringsartsen opzetten zou ook kunnen, maar dat is erg duur en geeft slechts een fragmentarisch beeld. De personen met de meeste kennis van de levenstijl van de verzekerde zijn de huisarts en de apotheker. Precies die aktoren die een belangrijke rol hebben in het EPD. Met name de huisarts is goed bekend met de thuissituatie.

Nu denk ik niet dat het politiek geaccepteerd wordt als zorgverzekeraars direkt toegang krijgen tot de gegevens in het EPD. Maar zo hoeft het ook niet te lopen. Straks heeft iedereen een EPD waarvan hij zijn eigen gegevens kan inzien. Wilt u een goedkopere verzekering? Stuur dan even het wachtwoord door, zodat wij even kunnen kijken naar uw levenstijl en uw medische risiko’s.

All your EPD-wachtwoorden belong to us.

Cookies zijn polsbandjes

Over cookies hoor ik de vreemdste dingen. Dat het een soort virussen zijn, bijvoorbeeld. Maar een goede uitleg van wat cookies zijn ontbreekt. Een poging.

Iedereen kent wel het gebruik dat bezoekers aan een feest of discotheek na betaling een polsbandje krijgt of een stempel op de hand. Dit maakt het mogelijk dat de bezoeker naar buiten kan en later op vertoon van bandje of stempel toch weer binnengelaten kan worden zonder opnieuw te betalen.

Dat is de essentie van een cookie.

Als je het beveiligde deel van een website wilt binnengaan, moet je gewoonlijk gebruikersnaam en wachtwoord opgeven. Maar om te voorkomen dat dit ook bij elke volgende pagina die bezocht wordt, nodig is, krijgt de gebruiker zo’n polsbandje, een cookie. Bij elke volgende pagina op dezelfde site stuurt de browser van de gebruiker de informatie op de cookie mee naar de server. Aan de hand van die informatie weet de server wie de gebruiker is. Daarom hoeft de gebruiker niet voor elke pagina gebruikersnaam en wachtwoord in te typen. Dat zou namelijk niet erg gebruiksvriendelijk zijn. Een browser die deze gegevens in stilte elke keer zou meesturen zou niet erg veilig zijn, omdat het wachtwoord navenant vaak onderschept kan worden.

Zo bezien dragen cookies dus bij aan de beveiliging en de gebruiksvriendelijkheid.

De informatie op de cookie kan een tijdelijke toegangskode zijn, maar kan ook beschrijven welke gegevens de gebruiker in zijn winkelmandje heeft liggen, of in welke taal de pagina’s geserveerd moeten worden. Veel van deze gegevens had de server ook zelf kunnen bijhouden, maar om technische redenen is het handiger om dit bij de machine van de gebruiker neer te leggen.

Third-party cookies in termen van polsbandjes

Bij binnenkomst in de discotheek krijg je één polsbandje, namelijk die van de discotheek zelf. Maar dat kan bij cookies wel eens anders zijn. De gebruiker krijgt namelijk niet alleen een cookie van de site die hij bezoekt, maar ook een van alle adverteerders op die webpagina. Alsof je in de discotheek ook polsbandjes krijgt van Pepsi, Heineken, RTL, Q-Music, L’Oreal en Sony. Maar deze polsbandjes blijven om je arm zitten. Als je dan de week daarop een andere gelegenheid bezoekt, wordt er opgemerkt dat je de bandjes van die adverteerders nog om hebt en wordt dat doorgegeven aan die adverteerder. Zodoende weten de adverteerders precies welke sites je bezocht hebt, althans voorzover die sites voorzien waren van hun advertenties.  Met andere woorden ze bouwen een profiel en weten dat je graag rondhangt in schimmige kroegen in het Amsterdamse uitgaansleven, dat je houdt van vette shoarma en dat je in de laatste trein terug naar Purmerend zat. Zoiets.

Dit lijkt veel onschuldiger dan het is, omdat het profiel dat gemaakt kan worden akelig kompleet is.

Om te beginnen zijn er een paar grote partijen die hun cookies laten plaatsen door vrijwel alle websites van de wereld. Sociale media zijn populair en veel bedrijven willen hun ego strelen met like-buttons of retweeters, of hoe het ook allemaal heet. Maar het gevolg is, dat Facebook en Twitter aan de hand van de cookies die ze plaatsen, een zeer volledig beeld hebben van het surfgedrag van de gebruikers. Ook van gebruikers zonder een Facebook-account! Hetzelfde geldt voor Google. Google is namelijk niet alleen een zoekmachine, het is ook een zeer grote advertentieverkoper. Dus de advertenties van verschillende bedrijven, worden misschien allemaal bemiddeld door Google en gebruiken dezelfde cookie. De bemiddelaars hebben dus ook een zeer volledig beeld. Daarnaast heeft Google nog een ijzer in het vuur. Veel webmasters willen weten hoe populair de pagina’s van hun sites zijn. Daarom gebruiken ze analytics, veelal van Google. Alle pagina’s van al die geanalyseerde sites gebruiken dezelfde cookie en maken bij elk bezoek kontakt met de servers van Google en konsorten.

Tenslotte bestaat er een levendige handel in deze gegevens. De gegevens worden gekombineerd, verrijkt, en geselekteerd. Aan het einde van de pijplijn ontstaat er een pijnlijk privaat dossier van honderden pagina’s met surfgedrag, koopgedrag, interesses, adresgegevens, life style gedrag, namen, geboortedata, de hele santekraam.

De cookiewet maakt het web onveiliger en minder gebruiksvriendelijk

De Nederlandse Overheid brengt mijn security in gevaar, met wellicht goedbedoelde, maar domme maatregelen. Echter een overheid die tegen alle advies in volhard in domheid is niet goedbedoelend, maar onverbeterlijk.

Ik wil niet gevolgd worden door advertentieverkopers. Ik wil daarom niet dat bedrijven mijn surfgedrag in kaart kunnen brengen. Dus heb ik mijn browser zo ingesteld dat bij bezoek van een site alleen de cookies van de site zelf geplaatst mogen worden op mijn komputer. Cookies van adverteerders op die webpagina laat ik niet toe. Daarnaast is mijn browser zo ingesteld dat alle cookies worden weggegooid als ik de browser sluit. Alle cookies weg; veilig gevoel. Natuurlijk moet ik dan wel opnieuw aanmelden bij sommige websites, want ook de funktionele cookies worden hierbij weggegooid. Des te beter, ik kan dus niet per ongeluk aangemeld blijven op een site, zodat degene na mij de sessie kan overnemen.

So far so good.

Nu komt onze overheid in beeld. De wetgever trekt zich de privacy-zorgen van de burgers aan en wil iets doen tegen cookies die gebruikt worden om Internet-gebruikers te traceren. Daarvoor is een monster van een wet bedacht die alle gebruik van niet-funktionele cookies verbiedt op websites zonder expliciete toestemming van de gebruiker.

Om aan de wet te voldoen moet de web site daarom aan de gebruiker vragen of hij bezwaar heeft tegen het gebruik van niet-funktionele cookies. Om te voorkomen dat die vraag bij elk bezoek opnieuw gesteld moet worden, wordt het antwoord bewaard in ….. cookies. O ironie.

Gevolg is wel dat iedereen die zelf zo verstandig is cookies aan het einde van de sessie te laten opruimen, ook deze toestemmingscookies opruimt en dus dat hij bij een volgend bezoek aan de site weer gevraagd wordt om toestemming.

Deze wet is dus een straf voor verstandig surfgedrag.

Daarnaast heeft de wet nog een groot aantal andere rare punten. De wet geldt voor alle websites waar ook ter wereld indien ze bezocht worden door Nederlanders. Mij is niet duidelijk hoe de Opta dit in het buitenland denkt te gaan handhaven. Typisch een staaltje extraterritoriale wetgeving. Veel handiger was het geweest de wet toe te passen op Nederlandse of Europese websites.

Tenslotte is een gevolg van de wet, dat tal van sites de gebruikers in feite geen keus bieden met opmerkingen als:

bij gebruik van deze site veronderstellen wij dat u akkoord gaat met het gebruik van cookies

of, op sommige sites als de gebruiker geen niet-funktionele cookies wenst:

sorry, zo kunnen wij niet werken; kom een andere keer maar terug

Kortom, vanuit technisch standpunt was dit een knap staaltje domme symboolwetgeving.

VZVZ vraagt uitstel privacy-maatregelen

VZVZ, de opdrachtgever van het Elektronisch Patiëntendossier (EPD), wil een halfjaar uitstel vragen aan het College Beschermingpersoonsgegevens voor het verwijderen van de patiënten die geen toestemming hebben gegeven voor landelijke ontsluiting van hun medische gegevens.

Hier blijkt hoeveel waarde de VZVZ werkelijk hecht aan de privacy van de patiënten. Nu de animo onder de burgers voor hun systeem tegenvalt, moeten de privacyverlangens van de burgers wijken voor de interne belangen van de VZVZ. Dat zou voor iedereen die nog twijfelde voldoende reden moeten zijn om alsnog nee te zeggen tegen de opname in het LSP.

Het argument van het VZVZ is een drogreden:

“Veel minder mensen dan wij dachten hebben toestemming gegeven. Dat betekent dat we 95 procent van de dossiers verliezen. Als we al die mensen per 1 januari uit de index halen, lopen we gezondheidsrisico’s.”

Nee, niet het VZVZ loopt gezondheidsrisiko’s, maar de burgers. Mondige burgers die volwassen genoeg zijn zelf de risiko’s in te schatten. Ik maak graag mijn eigen fouten, zullen we dan maar denken.

Aanvulling 2012.12.20: CPB verleent geen uitstel tot na 1 januari.

Posted in EPD

Nederlands opsporingsbeleid schept zijn eigen kriminaliteit

Het opsporingsbeleid van de Nederlandse overheid inzake kinderporno is zo drakonisch, dat internet-kriminelen nieuwe afpersingsmethoden hebben ontwikkeld. Ze besmetten de komputers van onschuldige burgers met malware die kinderpornografische afbeeldingen toont op het scherm. De gebruiker kan deze niet verwijderen zonder het betalen van losgeld of de gevaarlijke gang naar justitie.

De beveiliging van komputers is poreus. Volgens kenners is 30% van de computers in Nederland besmet met spyware of andere vormen van malware. Dat betekent dat de gebruikers van deze machines feitelijk niet meer de baas zijn over de eigen machine.

Bekende payloads van malware zijn het doen verdwijnen van bestanden, het tonen van pop-ups met reklame, het versturen van spam vanaf de machine van de gebruiker, of het onderscheppen van wachtwoorden en kredietkaartnummers.

Het gijzelen van machines van gebruikers was ook al bekend: de gebruiker kreeg een vervalste pop-up met de mededeling dat zijn machine besmet was met een ernstig virus en dat dit alleen opgelost kon worden door betaling van een bedrag aan de gijzelnemer. Zeer irritant en alleen de experts konden deze berichten op waarde inschatten. Maar de gewone gebruiker kon dat niet, terwijl die door verkeerd surfgedrag toch het snelst slachtoffer werd van deze praktijken.

Maar bij deze vorm van gijzeling had het slachtoffer in ieder geval nog een alternatief en dat was de gang naar het politieburo. Met een beetje geluk trof hij daar dan een diender die hem kon gerust stellen of hem kon wijzen op een goede systeembeheerder. Aangifte is ook mogelijk, maar vermoedelijk niet erg zinvol, omdat de meeste van deze gijzelnemers zich bevinden achter vele verre grenzen van landen die we hier niet met name zullen noemen.

Het is al lang voorspeld, maar nu is het er dan eindelijk: chantage met kinderporno geplaatst door malware. Gelet op de buitensporige opsporingspraktijken van justitie, durft geen zinnig mens melding of aangifte te doen. Zelf als onschuld bewezen kan worden, worden karrières gebroken, huwelijken verwoest en verhoudingen in de buurt op scherp gezet. Dat is dan nog maar als onschuld bewezen kan worden. Maar hoe doe je dat als de kinderporno ontegenzeggelijk op de komputer aanwezig is? Het eerste vermoeden van schuld ligt er al. En niet iedereen komt weg met zogenaamde bijvangst.

Justitie moet gaan beseffen dat komputers niet meer onder volledige kontrole staan van de gebruikers. Komputers zijn poreus. Virus-scanners zijn poreus. Fire walls zijn poreus. De minister van Veiligheid en Justitie weet dit als geen ander als hij voorstelt komputers van gebruikers op afstand over te nemen voor opsporingsdoelen en bestrijding van kriminaliteit.

De toestand op gebied van komputerbeveiliging is zo droevig, dat wat men aantreft op een komputer vanuit oogpunt van de techniek niet meer kan dienen als juridisch bewijs. Ook niet als er tienduizenden foute afbeeldingen gevonden worden. Zonder medeweten van de gebruiker kan de komputer zijn overgenomen en zijn ingericht als een server voor de redistributie van de foute plaatjes. Aanwezigheid van bestanden bewijst niets. Sorry, maar het is niet anders.

Misbruik van kinderen is een zeer ernstig vergrijp, maar de jacht op de daders mag niet de levens van talloze onschuldigen verwoesten.