In de diskussie rond het landelijk elektronisch patiëntendossier wordt door de voorstanders gesteld dat de afwezigheid van een enkele centrale gegevensbank met de medische dossiers de beveiliging verbetert. Dat blijkt onjuist.

Het landelijk EPD is eigenlijk een infrastruktuur waarmee de bestaande regionale en lokale EPDen aan elkaar gekoppeld worden. Dus de medische dossiers die nu in elektronische vorm gehouden worden door ziekenhuizen, apotheken en huisartsenpratijken blijven op de plek, maar komen met het landelijk EPD voor andere zorgverleners beschikbaar.

Met andere woorden, het landelijk EPD slaat geen gegevens op, het verbindt bestaande oplossingen alleen maar aan elkaar door. Hiertoe heeft het Nictiz kommunikatiestandaarden vastgesteld en een landelijk schakelpunt (LSP) ingericht. Het LSP routeert gegevens van de dossierhoudende zorgverlener naar de zorgverlener die om de gegevens verlegen zit.

Het vaststellen van standaarden, zodat uitwisseling van gegevens mogelijk is, is een goede zaak. Vanuit beveiligingsoptiek is hier weinig tegenin te brengen.

Maar door voorstanders van het landelijk EPD worden twee beveiligingsvoordelen naar vorengebracht die ik als drogreden zou willen kwalificeren: nieuwe moderne beveiliging en decentrale opslag.

Gesteld wordt dat de huidige regionale en lokale systemen op gebied van beveiliging achter lopen op de stand van de techniek. Dat zal zo zijn. Maar de komst van het LSP brengt geen verbetering in deze situatie, in tegendeel. Er is geen sprake van verbetering, omdat alle bestaande regionale en lokale systemen gewoon blijven bestaan, want die zijn nog altijd verantwoordelijk voor de opslag en de lokale ontsluiting. Dus alle kwetsbare plekken van al deze systemen blijven onverminderd voortbestaan. De situatie verslechtert in feite, omdat het LSP er zijn eigen lijst met kwetsbaarheden aan toevoegt. Hoewel we nu niet weten welke technische kwetsbaarheden het LSP bevat, kan dit nooit minder dan nul zijn.

Ook in de interaktie tussen ontsluiting aan de ene kant van het land en de opslag aan de andere kant van het land kunnen nieuwe kwetsbaarheden ontstaan. Integriteit (waaronder security) is geen modulaire eigenschap van een systeem. Een systeem kan niet veilig gemaakt worden door er een magische beveiligingsmodule aan toe te voegen. Systemen worden veelal veiliger door onderdelen te verwijderen, niet door onderdelen toe te voegen.

Dan het argument dat het LSP veilig is, omdat er geen centrale gegevensbank is met medische dossiers. Dit is beveiligingsbedrog. Alle aangesloten regionale en lokale systemen kunnen vanuit het LSP bevraagd worden. Dus bij een geslaagde hack lopen alle regionale en lokale systemen gewoon leeg via het LSP. Vergelijk het met de centrale verwarming in huis. Warm water wordt in tal van radiatoren decentraal opgeslagen en niet op een enkel punt in een centrale installatie. Maar de radiatoren zijn wel verbonden via pijpen met een centrale verwarmingsinstallatie en een pomp. Als daar een lek ontstaat, lopen alle radiatoren via het buizenwerk gewoon leeg. Alle water weg, alle water op de vloer.