Amerikaanse elektronische patiëntendossiers massaal gestolen

Miljoenen Amerikaanse EPDs worden elk jaar gestolen. In de helft van de gevallen zou dit geleid hebben tot identiteitsfraude. Jaar in jaar uit. In de meeste gevallen door onzorgvuldig handelen van de gebruikers. Dat is waar beveiligingsexperts van het EPD in Nederland ook voor waarschuwen: 200_000 zorgverleners met een onhandige UZI-pas vormen de zachte onderbuik van het systeem.

De juichstemming van VZVZ-direkteur Edwin van Velzel is daarom nogal misplaatst. Volgens zijn tweets hebben penetratietests geen sukses gehad. Om te beginnen kunnen tests alleen maar fouten aantonen. Als alle tests doorstaan worden, wil dat niet zeggen dat er geen fouten meer in zitten. Wijsheid van niemand minder dan Edsger Dijkstra. Vervolgens is de vraag hoelang, door hoeveel hackers en met welke kwaliteiten deze tests uitgevoerd zijn. Tenslotte de vraag wat de scope van de tests is geweest: alleen de technische kant aanvallen of ook de organisatorische kant. Zonder nadere specifikatie is zijn bewering geen assurance en puur voor de bühne.

Het zal me niet verbazen als het EPD al binnen en paar weken in het nieuws is wegens een lek.

All your EPD-wachtwoorden are belong to us

Sommige instanties zijn wel heel erg nieuwsgierig en dwingen anderen hun wachtwoorden af te geven, zodat ze even in de beveiligde gegevens kunnen rondneuzen of erger. Zo ver mag het met het EPD niet komen.

Het is een bekend fenomeen. Sommige werkgevers vragen sollicitanten naar wachtwoorden van sociale media zoals Facebook, zodat ze ook het afgeschermde deel van het profiel kunnen doorzoeken naar mogelijk risikofaktoren. Ik weet niet of dit in Nederland voorkomt, maar in de VS bestaat dit fenomeen.

Ook overheden kunnen er wat van. In sommige landen worden bezoekers gedwongen moderne digitale apparatuur af te geven voor inspektie. Aan de grens moet men laptops, MP3-spelers, kamera’s, externe hard schijven en wat dies meer zij even af geven. Soms wordt er alleen maar snel gezocht naar verboden materiaal zoals pornografie, politiek opruiend materiaal, of nog erger, onrechtmatig verkregen auteursrechtelijk beschermd materiaal. Maar niet uit te sluiten valt dat alle data op het apparaat geëxfiltreerd wordt, zodat de dienst op alle gemak op zoek kan naar bedrijfsgeheimen, belastend materiaal, wachtwoorden, cryptografisch materiaal en kontaktgegevens. Mogelijk wordt van overheidswege, gratis en zonder medeweten van de bezoeker spyware op de machine geplaatst, zodat de machine volledig gekompromitteerd is.

Sommige landen eisen van bezoekers dat ze inloggen op hun mail-account, zodat de diensten even kunnen rondneuzen. Daarbij maken ze met liefde een lijst van de kontakten, zodat die in de toekomst ook in de gaten gehouden kunnen worden. Overigens inloggen op een vreemde machine of in een vreemd netwerk heeft zulke grote veiligheidsrisiko’s, dat het wachtwoord, de mail-account en alle oude mails op de account als gekompromitteerd beschouwd moeten worden. Het is te eenvoudig een key-logger of een man-in-the-middle te gebruiken.

afdwingen wachtwoord van het EPD

Twee recente onderzoeken (SCP en NIVEL) laten zien dat de meeste Nederlanders er weinig problemen mee hebben als de zorgpremie wordt gedifferentieerd. Mensen met een gezonde levenstijl zouden dan minder premie hoeven te betalen dan de medeburger die rookt, zuipt, blowt, of snackt.

Allereest is er dan de vraag of dit nog wel verzekeren is op basis van solidariteit tussen de verzekerden, of dat dit een vorm van voorfinanciering van zorg is. Als de medische status transparant geworden is, is er namelijk geen risiko meer.

De tweede vraag is hoe een zorgverzekeraar achter de levenstijl van zijn verzekerden kan komen. Verzekerden kunnen zelf rapporteren, maar dat is zeer fraudegevoelig. Een eigen netwerk van keuringsartsen opzetten zou ook kunnen, maar dat is erg duur en geeft slechts een fragmentarisch beeld. De personen met de meeste kennis van de levenstijl van de verzekerde zijn de huisarts en de apotheker. Precies die aktoren die een belangrijke rol hebben in het EPD. Met name de huisarts is goed bekend met de thuissituatie.

Nu denk ik niet dat het politiek geaccepteerd wordt als zorgverzekeraars direkt toegang krijgen tot de gegevens in het EPD. Maar zo hoeft het ook niet te lopen. Straks heeft iedereen een EPD waarvan hij zijn eigen gegevens kan inzien. Wilt u een goedkopere verzekering? Stuur dan even het wachtwoord door, zodat wij even kunnen kijken naar uw levenstijl en uw medische risiko’s.

All your EPD-wachtwoorden belong to us.

Cookies zijn polsbandjes

Over cookies hoor ik de vreemdste dingen. Dat het een soort virussen zijn, bijvoorbeeld. Maar een goede uitleg van wat cookies zijn ontbreekt. Een poging.

Iedereen kent wel het gebruik dat bezoekers aan een feest of discotheek na betaling een polsbandje krijgt of een stempel op de hand. Dit maakt het mogelijk dat de bezoeker naar buiten kan en later op vertoon van bandje of stempel toch weer binnengelaten kan worden zonder opnieuw te betalen.

Dat is de essentie van een cookie.

Als je het beveiligde deel van een website wilt binnengaan, moet je gewoonlijk gebruikersnaam en wachtwoord opgeven. Maar om te voorkomen dat dit ook bij elke volgende pagina die bezocht wordt, nodig is, krijgt de gebruiker zo’n polsbandje, een cookie. Bij elke volgende pagina op dezelfde site stuurt de browser van de gebruiker de informatie op de cookie mee naar de server. Aan de hand van die informatie weet de server wie de gebruiker is. Daarom hoeft de gebruiker niet voor elke pagina gebruikersnaam en wachtwoord in te typen. Dat zou namelijk niet erg gebruiksvriendelijk zijn. Een browser die deze gegevens in stilte elke keer zou meesturen zou niet erg veilig zijn, omdat het wachtwoord navenant vaak onderschept kan worden.

Zo bezien dragen cookies dus bij aan de beveiliging en de gebruiksvriendelijkheid.

De informatie op de cookie kan een tijdelijke toegangskode zijn, maar kan ook beschrijven welke gegevens de gebruiker in zijn winkelmandje heeft liggen, of in welke taal de pagina’s geserveerd moeten worden. Veel van deze gegevens had de server ook zelf kunnen bijhouden, maar om technische redenen is het handiger om dit bij de machine van de gebruiker neer te leggen.

Third-party cookies in termen van polsbandjes

Bij binnenkomst in de discotheek krijg je één polsbandje, namelijk die van de discotheek zelf. Maar dat kan bij cookies wel eens anders zijn. De gebruiker krijgt namelijk niet alleen een cookie van de site die hij bezoekt, maar ook een van alle adverteerders op die webpagina. Alsof je in de discotheek ook polsbandjes krijgt van Pepsi, Heineken, RTL, Q-Music, L’Oreal en Sony. Maar deze polsbandjes blijven om je arm zitten. Als je dan de week daarop een andere gelegenheid bezoekt, wordt er opgemerkt dat je de bandjes van die adverteerders nog om hebt en wordt dat doorgegeven aan die adverteerder. Zodoende weten de adverteerders precies welke sites je bezocht hebt, althans voorzover die sites voorzien waren van hun advertenties.  Met andere woorden ze bouwen een profiel en weten dat je graag rondhangt in schimmige kroegen in het Amsterdamse uitgaansleven, dat je houdt van vette shoarma en dat je in de laatste trein terug naar Purmerend zat. Zoiets.

Dit lijkt veel onschuldiger dan het is, omdat het profiel dat gemaakt kan worden akelig kompleet is.

Om te beginnen zijn er een paar grote partijen die hun cookies laten plaatsen door vrijwel alle websites van de wereld. Sociale media zijn populair en veel bedrijven willen hun ego strelen met like-buttons of retweeters, of hoe het ook allemaal heet. Maar het gevolg is, dat Facebook en Twitter aan de hand van de cookies die ze plaatsen, een zeer volledig beeld hebben van het surfgedrag van de gebruikers. Ook van gebruikers zonder een Facebook-account! Hetzelfde geldt voor Google. Google is namelijk niet alleen een zoekmachine, het is ook een zeer grote advertentieverkoper. Dus de advertenties van verschillende bedrijven, worden misschien allemaal bemiddeld door Google en gebruiken dezelfde cookie. De bemiddelaars hebben dus ook een zeer volledig beeld. Daarnaast heeft Google nog een ijzer in het vuur. Veel webmasters willen weten hoe populair de pagina’s van hun sites zijn. Daarom gebruiken ze analytics, veelal van Google. Alle pagina’s van al die geanalyseerde sites gebruiken dezelfde cookie en maken bij elk bezoek kontakt met de servers van Google en konsorten.

Tenslotte bestaat er een levendige handel in deze gegevens. De gegevens worden gekombineerd, verrijkt, en geselekteerd. Aan het einde van de pijplijn ontstaat er een pijnlijk privaat dossier van honderden pagina’s met surfgedrag, koopgedrag, interesses, adresgegevens, life style gedrag, namen, geboortedata, de hele santekraam.

De cookiewet maakt het web onveiliger en minder gebruiksvriendelijk

De Nederlandse Overheid brengt mijn security in gevaar, met wellicht goedbedoelde, maar domme maatregelen. Echter een overheid die tegen alle advies in volhard in domheid is niet goedbedoelend, maar onverbeterlijk.

Ik wil niet gevolgd worden door advertentieverkopers. Ik wil daarom niet dat bedrijven mijn surfgedrag in kaart kunnen brengen. Dus heb ik mijn browser zo ingesteld dat bij bezoek van een site alleen de cookies van de site zelf geplaatst mogen worden op mijn komputer. Cookies van adverteerders op die webpagina laat ik niet toe. Daarnaast is mijn browser zo ingesteld dat alle cookies worden weggegooid als ik de browser sluit. Alle cookies weg; veilig gevoel. Natuurlijk moet ik dan wel opnieuw aanmelden bij sommige websites, want ook de funktionele cookies worden hierbij weggegooid. Des te beter, ik kan dus niet per ongeluk aangemeld blijven op een site, zodat degene na mij de sessie kan overnemen.

So far so good.

Nu komt onze overheid in beeld. De wetgever trekt zich de privacy-zorgen van de burgers aan en wil iets doen tegen cookies die gebruikt worden om Internet-gebruikers te traceren. Daarvoor is een monster van een wet bedacht die alle gebruik van niet-funktionele cookies verbiedt op websites zonder expliciete toestemming van de gebruiker.

Om aan de wet te voldoen moet de web site daarom aan de gebruiker vragen of hij bezwaar heeft tegen het gebruik van niet-funktionele cookies. Om te voorkomen dat die vraag bij elk bezoek opnieuw gesteld moet worden, wordt het antwoord bewaard in ….. cookies. O ironie.

Gevolg is wel dat iedereen die zelf zo verstandig is cookies aan het einde van de sessie te laten opruimen, ook deze toestemmingscookies opruimt en dus dat hij bij een volgend bezoek aan de site weer gevraagd wordt om toestemming.

Deze wet is dus een straf voor verstandig surfgedrag.

Daarnaast heeft de wet nog een groot aantal andere rare punten. De wet geldt voor alle websites waar ook ter wereld indien ze bezocht worden door Nederlanders. Mij is niet duidelijk hoe de Opta dit in het buitenland denkt te gaan handhaven. Typisch een staaltje extraterritoriale wetgeving. Veel handiger was het geweest de wet toe te passen op Nederlandse of Europese websites.

Tenslotte is een gevolg van de wet, dat tal van sites de gebruikers in feite geen keus bieden met opmerkingen als:

bij gebruik van deze site veronderstellen wij dat u akkoord gaat met het gebruik van cookies

of, op sommige sites als de gebruiker geen niet-funktionele cookies wenst:

sorry, zo kunnen wij niet werken; kom een andere keer maar terug

Kortom, vanuit technisch standpunt was dit een knap staaltje domme symboolwetgeving.

VZVZ vraagt uitstel privacy-maatregelen

VZVZ, de opdrachtgever van het Elektronisch Patiëntendossier (EPD), wil een halfjaar uitstel vragen aan het College Beschermingpersoonsgegevens voor het verwijderen van de patiënten die geen toestemming hebben gegeven voor landelijke ontsluiting van hun medische gegevens.

Hier blijkt hoeveel waarde de VZVZ werkelijk hecht aan de privacy van de patiënten. Nu de animo onder de burgers voor hun systeem tegenvalt, moeten de privacyverlangens van de burgers wijken voor de interne belangen van de VZVZ. Dat zou voor iedereen die nog twijfelde voldoende reden moeten zijn om alsnog nee te zeggen tegen de opname in het LSP.

Het argument van het VZVZ is een drogreden:

“Veel minder mensen dan wij dachten hebben toestemming gegeven. Dat betekent dat we 95 procent van de dossiers verliezen. Als we al die mensen per 1 januari uit de index halen, lopen we gezondheidsrisico’s.”

Nee, niet het VZVZ loopt gezondheidsrisiko’s, maar de burgers. Mondige burgers die volwassen genoeg zijn zelf de risiko’s in te schatten. Ik maak graag mijn eigen fouten, zullen we dan maar denken.

Aanvulling 2012.12.20: CPB verleent geen uitstel tot na 1 januari.

Posted in EPD

Nederlands opsporingsbeleid schept zijn eigen kriminaliteit

Het opsporingsbeleid van de Nederlandse overheid inzake kinderporno is zo drakonisch, dat internet-kriminelen nieuwe afpersingsmethoden hebben ontwikkeld. Ze besmetten de komputers van onschuldige burgers met malware die kinderpornografische afbeeldingen toont op het scherm. De gebruiker kan deze niet verwijderen zonder het betalen van losgeld of de gevaarlijke gang naar justitie.

De beveiliging van komputers is poreus. Volgens kenners is 30% van de computers in Nederland besmet met spyware of andere vormen van malware. Dat betekent dat de gebruikers van deze machines feitelijk niet meer de baas zijn over de eigen machine.

Bekende payloads van malware zijn het doen verdwijnen van bestanden, het tonen van pop-ups met reklame, het versturen van spam vanaf de machine van de gebruiker, of het onderscheppen van wachtwoorden en kredietkaartnummers.

Het gijzelen van machines van gebruikers was ook al bekend: de gebruiker kreeg een vervalste pop-up met de mededeling dat zijn machine besmet was met een ernstig virus en dat dit alleen opgelost kon worden door betaling van een bedrag aan de gijzelnemer. Zeer irritant en alleen de experts konden deze berichten op waarde inschatten. Maar de gewone gebruiker kon dat niet, terwijl die door verkeerd surfgedrag toch het snelst slachtoffer werd van deze praktijken.

Maar bij deze vorm van gijzeling had het slachtoffer in ieder geval nog een alternatief en dat was de gang naar het politieburo. Met een beetje geluk trof hij daar dan een diender die hem kon gerust stellen of hem kon wijzen op een goede systeembeheerder. Aangifte is ook mogelijk, maar vermoedelijk niet erg zinvol, omdat de meeste van deze gijzelnemers zich bevinden achter vele verre grenzen van landen die we hier niet met name zullen noemen.

Het is al lang voorspeld, maar nu is het er dan eindelijk: chantage met kinderporno geplaatst door malware. Gelet op de buitensporige opsporingspraktijken van justitie, durft geen zinnig mens melding of aangifte te doen. Zelf als onschuld bewezen kan worden, worden karrières gebroken, huwelijken verwoest en verhoudingen in de buurt op scherp gezet. Dat is dan nog maar als onschuld bewezen kan worden. Maar hoe doe je dat als de kinderporno ontegenzeggelijk op de komputer aanwezig is? Het eerste vermoeden van schuld ligt er al. En niet iedereen komt weg met zogenaamde bijvangst.

Justitie moet gaan beseffen dat komputers niet meer onder volledige kontrole staan van de gebruikers. Komputers zijn poreus. Virus-scanners zijn poreus. Fire walls zijn poreus. De minister van Veiligheid en Justitie weet dit als geen ander als hij voorstelt komputers van gebruikers op afstand over te nemen voor opsporingsdoelen en bestrijding van kriminaliteit.

De toestand op gebied van komputerbeveiliging is zo droevig, dat wat men aantreft op een komputer vanuit oogpunt van de techniek niet meer kan dienen als juridisch bewijs. Ook niet als er tienduizenden foute afbeeldingen gevonden worden. Zonder medeweten van de gebruiker kan de komputer zijn overgenomen en zijn ingericht als een server voor de redistributie van de foute plaatjes. Aanwezigheid van bestanden bewijst niets. Sorry, maar het is niet anders.

Misbruik van kinderen is een zeer ernstig vergrijp, maar de jacht op de daders mag niet de levens van talloze onschuldigen verwoesten.

 

Schippers geeft EPD feitelijk de doodsteek

Eerder vandaag is een storm van verontwaardiging opgestoken over de mogelijkheid dat de Amerikaanse overheid alle medische dossiers kan gaan inzien na invoering van het EPD.

De verantwoordelijk minister van Volksgezondheid Schippers liet weten dat er geen probleem is omdat in Nederland het medisch beroepsgeheim geldt. Daarom zou niemand zonder toestemming in het EPD kunnen neuzen. Ook het VZVZ laat zich zo gemakkelijk gerust stellen.

Maar CSC valt onder Amerikaanse wetgeving en niet de Nederlandse, en de Patriot Act maakt geen uitzondering voor medische gegevens.

Dus als de minister het medisch beroepsgeheim net zo belangrijk vindt als ze zelf zegt, zit er maar één ding op: zoeken naar een andere leverancier voor 1 januari.

Kortom het antwoord van de minister bedoeld als geruststelling is in feite het doodvonnis voor het EPD in deze vorm. En is er ook meteen een beveiligingsprobleem opgelost.

Posted in EPD

Homomorphic cryptography will always be slow.

Homomorphic cryptography has some astonishing properties. Mathematical operations are performed on encrypted data giving encrypted results. So you can outsource calculations on confidential information to parties that you do not trust. They will only see the encrypted data and provide you with an encrypted result. All you have to do is decrypt the data with your secret key and, voila, there is your result in clear text.

To explain the mechanism behind homomorphic encryption, I shall show a simplified example. Suppose that we encrypt data by using the power of two. Decryption, is then by taking the logarithm of base two. For reasons of simplicity no secret keys are involved in this example. Also, assume that decryption is infeasible without the secret keys. For most people, logarithms are infeasible anyway 8-).

Suppose that Anna wants Boris to add two numbers, say 5 and 7. But Anna does not trust Boris, so Boris should never know the exact numbers he is about to add. First Anna encrypts the numbers by calculating the power of two:

input#1 = 5
input#2 = 7

cryptoText#1 = 2^5 = 2 x 2 x 2 x 2 x 2 = 32
cryptoText#2 = 2^7 = 2 x 2 x 2 x 2 x 2 x 2 x 2 = 128

Now, Anna sends the cryptotext numbers to Boris for addition. Since the numbers are encrypted, this is cannot be an ordinary addition. Instead it is a special algorithm, in this case multiplication. So Boris must multiply the cryptotexts:

encryptedResult = crypotoText#1 x crypotoText#2 = 32 x 128 = 4096

Then Boris sends the encrypted result back to Anna. Anna determines the result by taking the logarithm of 2 of the result from Boris:

result = 2log(encryptedResult) = 2log(4096) = 12

As we can see, Anna obtained the correct result from Boris (since 5 + 7 = 12 indeed), even though Boris has never seen the actual numbers.

There are interesting applications for homomorhic cryptography. Cloud providers can manipulate your data without them knowing what the data really is. For example, a financial analist can perform a complex financial analysis without him ever knowing your personal wealth.

But now the bad news

Homomorphic cryptography is 100_000 times slower then operations in the clear. A homomorphic multiplication takes little less than a second (as of 2012). That throws us back to the computing performance of around 1946.

So homomorphic cryptography is very expensive. We need 100_000 as much time, 100_000 times as much energy for computing and cooling, etc. The bill from your hosting company will 100_000 times higher. So it may be secure, but it is not sustainable [in het Nederlands vaak ten onrechte aangeduid als duurzaam].

Almost a second per multiplication is totally unacceptable, of course. What if computers get faster so that the execution times become acceptable?

First given Moore’s law, it takes almost 25 years for computers to become 100_000 times faster. So in 2037 homomorphic computations will show 2012 performance. However, the performance penalty relative to computations on clear numbers is not taken away by that: these also become faster. So homomorphic computations remain slow and wasteful. We should also take into consideration that Moore’s law may no longer be true in the future and yearly performance improvements may slow down significantly.

 And the really bad news

If computer performance increases with a factor X, then this will not only benefit the homomorphic computations, but also cracking efforts by the same amount. Then to make cracking through brute forcing impossible, we must increase the complexity of the encryption scheme by the same amount.

So any performance increase is immediately undone by the necessary strengthening of the chosen encryption scheme to stop brute forcing…

Diskussie over EPD kantelt snel

Vandaag is in het nieuws gekomen dat de opdrachtgever VZVZ van het EPD van de bouwer een verklaring verlangt dat het EPD niet zal vallen onder de Amerikaanse Patriot Act.

De Patriot Act maakt dat de Amerikaanse overheid alle Amerikaanse bedrijven kan dwingen gegevens af te staan, ook van niet-Amerikanen en ook als die gegevens buiten de V.S. bewaard worden op de servers van die Amerikaanse bedrijven of bedrijven in eigendom van die Amerikaanse bedrijven.

Een paar opmerkingen. De Patriot Act is uit 2001 en de VZVZ had dus 12 jaren de tijd over deze vraag na te denken. Ook in de wereld van medische clouds is deze vraag al regelmatig gesteld. Maar 1 maand voor de beoogde invoering van het systeem stellen ze zich zo’n fundamentele vraag. Bij een dergelijk groot projekt, hoort men de risiko’s te beheren, en dit is een grote show stopper. De publieke opinie zal niet accepteren dat de Amerikaanse overheid inzage heeft in de medische gegevens van alle Nederlanders. Dit PR-risiko had al aan het begin van het projekt afgehandeld moeten worden, mogelijk door het kiezen van een andere bouwer of beheerder.

De bouwer CSC is een Amerikaans bedrijf. Maar dat hoeft op zich geen probleem te zijn. Een Amerikaanse bouwer die de programmatuur na voltooiing oplevert en door een Europese partij laat beheren op servers in Europese eigendom is geen probleem voor zover het de Patriot Act betreft: de gegevens zelf zijn dan namelijk in Europese handen.

De berichten in de pers spreken elkaar op dit punt tegen. Volgens NRC is CSC wel beheerder, maar volgens nu.nl niet.

Overigens, we veronderstellen dan wel dat de bouwer zelf geen geheime achterdeurtjes inbouwt of Amerikaanse standaardprogrammatuur gebruikt waar die achterdeurtjes al in zitten. Dat laatste mag niet te snel uitgesloten worden. Hoe dit te voorkomen is een onderwerp voor een latere post.

Maar dan terug naar het vragen van een garantie aan CSC dat ze niet zullen beantwoorden aan verzoeken van de Amerikaanse overheid. Een dergelijke verklaring kunnen ze helemaal niet geven, en als ze het wel doen is die niets waard. Het is namelijk de Amerikaanse overheid die de regels bepaald ten aanzien van CSC en niet CSC zelf. CSC is een Amerikaanse bedrijf en moet voldoen aan de Amerikaanse wetten. Zo kunnen zichzelf niet met een verklaring buiten de wet stellen.

Dan de merkwaardige opmerking van VZVZ dat de Patriot Act groter gemaakt wordt dan het werkelijk is en dat er nauwelijks een beroep op is gedaan. Wil iemand de VZVZ uitleggen dat de bedrijven die onderworpen zijn aan de Patriot Act niet mogen verklaren of en wanneer ze hebben moeten voldoen aan de informatievragen van de Amerikaanse overheid? Dus we kunnen het helemaal niet weten of de soep zo heet wordt gegeten als het wordt opgediend.

De publieke opinie slaat nu snel om, ik ben bang dat de VZVZ dit niet droog gaat houden. We blijven het nieuws volgen.

Posted in EPD

Drogredenen om het EPD er door te drukken

Vanavond in Nieuwsuur kwam het Elektronische Patiënten Dossier aan de orde. Twee argumenten kwamen aan de orde waarom we allemaal het EPD zouden moeten omarmen.

Wilma Wind van de Nederlandse Patiënten Consumenten Federatie verwacht dat het systeem honderden doden per jaar zal schelen door het verminderen van toepassen van verkeerde medikatie. Een drogreden. Deze vermindering van slachtoffers kan bereikt worden met betere informatie, maar hiervoor is niet een onveilig landelijk systeem nodig. Want bijna alle behandelingen en medicijnverstrekking vinden plaats in de eigen regio. Ze ziet de voordelen van automatisering, maar gebruikt dat als argument voor een landelijk systeem.

Minister Schippers van Volksgezondheid stelt het EPD beter beveiligd is dan de bestaande regionale systemen. De eerste fout die ze maakt is dat ze zich koncentreert op de technische kant van de beveilling en de organisatorische kant van de beveiling buiten beschouwing laat. Een systeem waar ieder van de 200_000 werknemers in de zorg zonder autorisatie vooraf bij de gegevens kan van elke deelnemende Nederlander is inherent onveilig. Haar tweede fout is dat ze de technische kwaliteit van het systeem presenteert als een uniek kenmerk dat alleen op landelijke schaal gerealiseerd zou kunnen worden. Maar waarom wordt de technologie van het Landelijk Schakelpunt niet gewoon op regionale schaal ingevoerd als het zoveel beter is. Bijvoorbeeld een LSP voor elke provincie: wel de voordelen van de moderne technologie op gebied van gegevensuitwisseling en beveiligingstechnologie, maar zonder de beveiligingsnadelen van een te groot centralistisch systeem. Bovendien, zolang de bestaande regionale systemen nog steeds bestaan, voegt een nieuw landelijk systeem alleen maar nieuwe kwetsbaarheden toe aan het bestaande systeem. Want hoe meer onderdelen een systeem heeft, hoe groter de kwetsbaarheid. Beveiliging is vaak meer gediend met het verwijderen van komponenten dan door het toevoegen van nieuwe komponenten.

Posted in EPD