All Posts by Renze Droog

Wat er mis is gegaan met het nationale EPD

Ik ben Renze Droog en inmiddels ben ik alweer 21 jaar, fanatiek wielrennend, bloggend en heb ik bijna mijn bachelor Informatica binnen. Mijn interesses zijn vrij uiteenlopend: van wielrennen tot bloggen, van psychologie tot dieren, van science fiction tot kritisch op alles en nog véél meer. ‘Later’ wil ik vooral mensen helpen, al ben ik er nog niet uit op welke manier.

Voor iedereen die niet weet wat het EPD is: EPD staat voor Elektronisch Patiënten Dossier, oftewel een elektronisch systeem waarin allerlei gegevens over medische patiënten worden bijgehouden. Niet zomaar een paar gegevens, maar álle gegevens, zodat het makkelijk bij elkaar staat en dat iedere arts erbij kan indien dat nodig is. Er bestaan kleinere systemen die gericht zijn op een bepaalde regio, maar niets daarvan is landelijk. Zo’n kleiner systeem is simpeler doordat veel minder mensen er gebruik van kunnen maken. Bij wijze van spreken kan alles langs een ‘beveiliger’ gaan die controleert of het klopt wat de persoon zegt.

De belangrijkste wet die een rol speelt, is de Wet Bescherming Persoonsgegevens (WBP). Deze geeft aan dat mensen altijd op de hoogte moeten zijn wat er met hun persoonsgegevens gebeurd, dus je zou bij wijze van spreken bericht moeten krijgen als iemand jouw gegevens opvraagt. Het Landelijke EPD was dat niet van plan: je kon achteraf opvragen wie jouw persoonsgegevens had opgevraagd (en wat nog meer). Daarnaast moet een toepassing die persoonsgegevens gebruikt voldoen aan drie termen: noodzakelijkheid, minimaliteit en beveiliging. De noodzakelijkheid van een dergelijk systeem is klein en eigenlijk alleen van toepassing in een paar (gokje, misschien dat iemand hier een getal op kan plakken) gevallen dat het niet weten van een compleet medisch dossier daadwerkelijk een leven had gered. Je moet je wel bedenken dat een arts dat medische dossier ook nog had moeten lezen en dáár is vaak het probleem: tegen de tijd dat een arts dat zou willen doen, is een persoon al buiten levensgevaar of is er familie die het ook weet. De minimaliteit van het systeem is er niet: het bewaart alle gegevens, ook gegevens die allang niet meer van toepassing zijn. Op de beveiliging kom ik later terug.

Het landelijke EPD bestaat uit 3 belangrijke punten: de zorgopvrager, het landelijke schakelpunt en de zorgaanbieder. De zorgopvrager kan via een UZI-pas (toepasselijke naam die staat voor Unieke Zorgverlener Identificatienummer) en bijbehorende pincode aantonen wie hij is. Hij heeft dankzij zijn identificatienummer een bepaalde macht om bepaalde gegevens op te vragen. Apotheken mogen bijvoorbeeld alleen gegevens krijgen over medicijnen. De zorgopvrager zegt tegen het landelijk schakelpunt: ‘ik wil dit hebben’. Deze zegt tegen de zorgaanbieder: ‘geef mij deze gegevens’, zonder dat de zorgaanbieder weet wie de zorgopvrager is.

Artsen zijn verplicht tot het geheimhouden van hun patiëntengegevens. Alleen in uitzonderingsgevallen (levensgevaar) mogen patiëntengegevens worden uitgeleverd zonder toestemming van de patiënt indien die daar niet toe in staat is. Artsen konden aan het landelijke schakelpunt (een geautomatiseerd systeem) vragen wat ze wilden als ze een BSN-nummer hadden, zonder dat de patiënt daar toestemming voor hoefde te geven. Dit is zo gemaakt doordat er vanuit werd gegaan dat artsen het niet zouden misbruiken. De grootste fout die er bestaat als het gaat om het maken van een ICT systeem. Alles wordt misbruikt, zo zijn gebruikers, ook al zou je anders verwachten.

Er was maar één landelijk schakelpunt, waardoor het systeem heel erg gevoelig was voor storingen. Het idee was zelfs om geen backup server te gebruiken, dus als die ene server eruit lag, dan kon niemand er nog gebruik van maken.

Bij een hele hoop ICT projecten bestaat het gevaar tot ‘function creep’: er bestaan functies die ontwikkeld zijn met een goede reden, maar die in de toekomst misbruikt worden. Wie bewijst dat er nooit een mogelijkheid wordt gecreëerd voor zorgverzekeringen om in de medische historie te kijken van een patiënt? Dat is zeker niet ondenkbaar, met als reden: ‘zorgverzekeraars hebben recht op het weten aan wat voor patiënt ze zorg verzekeren’. Een slechte reden en een manier om het systeem te misbruiken. En werkgevers? En hypotheekverstrekkers?

De mogelijkheden om het systeem te kraken zijn erg divers. De simpelste is om een pincode van een arts af te kijken en vervolgens zijn UZI-pas te stelen. Daar zijn niet eens hackers voor nodig. Of wat dacht je van zelf een UZI-pas aanvragen. Daar moet je weliswaar arts voor zijn, maar dat is geen onoverkomelijk probleem. Ofwel kan je gegevens faken (met een compleet cv inclusief contactgegevens van meewerkende personen), ofwel ben je al arts. Bovendien kan je samen met een arts afspreken dat hij zijn UZI-pas ‘uitleent’ en tegen de politie vertelt dat hij gestolen is. Wie bewijst dat dat niet klopt? Ja, met deze drie mogelijkheden is er achteraf door de patiënt zelf na te gaan wie gegevens heeft opgevraagd. Achteraf is echter vaak te laat en niet bij alle drie de mogelijkheden afdoende.

Er zijn ook bij alle tussenliggende schakels ‘man-in-the-middle-attacks’ uit te voeren: als A met B communiceert, ga jij ‘er tussenin zitten’ en zeg je tegen B dat je A bent en tegen A dat je B bent. Beide personen communiceren nu via jou en denken dat ze met de ander communiceren. Op deze manier kan je alle communicatie opvangen, zoals de patiëntengegevens, maar ook welke arts wat voor gegevens opvraagt. Deze aanvallen zijn met de opzet van het systeem zeker niet onmogelijk.

Dankzij de UZI-pas en een bijbehorend kastje, zou eigenlijk van alle computers die dat kastje ooit gebruiken, gegarandeerd moeten worden dat er geen virussen opstaan. In één ziekenhuis zijn er al honderden computers. Dat is dus praktisch gezien ondoenlijk.

Zo kan ik nog wel even doorgaan. Het lijkt me duidelijk dat dat niet nodig is, want dit zegt al genoeg.

Dit alles is mogelijk gemaakt door een gastcollege dat ik heb gehad van Guido van ‘t Noordende, die het hele systeem heeft doorgelicht. Zijn paper hierover: Guido van ‘t Noordende, “Security in the Dutch Electronic Patient Record System”, 2nd ACM Workshop on Security and Privacy in Medical and Home-Care Systems (SPIMACS), Chicago, Illinois, USA, October 8, 2010. pp. 21-31

#

Het slechte aan ad blockers

Ik ben Renze Droog en inmiddels ben ik alweer 21 jaar, fanatiek wielrennend, bloggend en heb ik bijna mijn bachelor Informatica binnen. Mijn interesses zijn vrij uiteenlopend: van wielrennen tot bloggen, van psychologie tot dieren, van science fiction tot kritisch op alles en nog véél meer. ‘Later’ wil ik vooral mensen helpen, al ben ik er nog niet uit op welke manier.

De laatste paar jaar zijn er talloze adblockers in omloop, want iedereen ergert zich aan ads (advertenties) en dus moeten ze verdwijnen. Ik erger mij óók aan advertenties, alleen houd dat niet in dat ik ze gelijk weg wil hebben. De reden waardoor advertenties bestaan is niet om jou te ergeren, het is om de website levend te houden.

Tijdens de grote internetzeepbel is gebleken dat de meeste websites en bedrijven daarachter veel minder waard zijn dan iedereen denkt. De grote reden daarvan is dat er maar weinig manieren zijn om via het internet geld te verdienen. Eén van die manieren is via advertenties. Andere manieren zijn veel minder aantrekkelijk: een webshop en lidmaatschap. Er zijn maar weinig websites die daadwerkelijk iets hebben aan een webshop en hetzelfde geldt voor een lidmaatschap. Dus blijft er eigenlijk maar één manier over, advertenties.

Het hele internet is groot kúnnen worden door advertenties. Vooral de laatste jaren zijn er meer en meer advertenties gekomen, vanwege twee aspecten: ten eerste doordat mensen het accepteren, want in de krant, in een tijdschrift, op tv en op de radio zijn ook steeds meer advertenties. Dat is uiteraard slecht, maar niet mijn punt. Het tweede aspect wel: websites waren door hun geld heen, of moesten in de plus gaan om nieuw geld van een investeerder te krijgen, of moesten meer geld gaan verdienen om nieuwe investeerders aan te trekken. Die aspecten zijn de belangrijkste reden waardoor advertenties tegenwoordig zo erg aanwezig zijn.

Advertenties zijn dé reden waardoor websites nog bestaan. Het had ook allemaal kunnen eindigen toen de stroom van het geld van de investeerders op was. Er zijn niet genoeg mensen in de wereld die iets willen bijdragen aan de wereld, zonder winst te maken. Als er veel van die mensen zouden zijn, dan zouden veel websites kunnen teren op gunsten. Zolang daar niet genoeg mensen van zijn, moet je accepteren dat er advertenties zijn. Met een adblocker geef je eigenlijk aan dat je dat niet doet, dat je liever je eigen plezier íets wilt verhogen ten kosten van alle voordelen die advertenties bieden.

En o wee als een website iedereen met een adblocker van hun website gooit, dan wordt iedereen boos. Het bewijs heeft Geenstijl gegeven. Dat vind ikzelf niet echt kunnen. Gebruik je een adblocker, dan moet je ook met de nadelen leven: inzien dat het internet kleiner zou zijn als er geen advertenties zouden zijn. Alles wat je doet heeft een gevolg, óók het gebruiken van een adblocker.

#

  • 2006- 2013 Vakblog – werken met informatie
    Powered by WordPress // Theme: Tatami by Elmastudio
Top