Miljoenen Amerikaanse EPDs worden elk jaar gestolen. In de helft van de gevallen zou dit geleid hebben tot identiteitsfraude. Jaar in jaar uit. In de meeste gevallen door onzorgvuldig handelen van de gebruikers. Dat is waar beveiligingsexperts van het EPD in Nederland ook voor waarschuwen: 200_000 zorgverleners met een onhandige UZI-pas vormen de zachte onderbuik van het systeem.

De juichstemming van VZVZ-direkteur Edwin van Velzel is daarom nogal misplaatst. Volgens zijn tweets hebben penetratietests geen sukses gehad. Om te beginnen kunnen tests alleen maar fouten aantonen. Als alle tests doorstaan worden, wil dat niet zeggen dat er geen fouten meer in zitten. Wijsheid van niemand minder dan Edsger Dijkstra. Vervolgens is de vraag hoelang, door hoeveel hackers en met welke kwaliteiten deze tests uitgevoerd zijn. Tenslotte de vraag wat de scope van de tests is geweest: alleen de technische kant aanvallen of ook de organisatorische kant. Zonder nadere specifikatie is zijn bewering geen assurance en puur voor de bühne.

Het zal me niet verbazen als het EPD al binnen en paar weken in het nieuws is wegens een lek.