Wat er mis is gegaan met het nationale EPD

Ik ben Renze Droog en inmiddels ben ik alweer 21 jaar, fanatiek wielrennend, bloggend en heb ik bijna mijn bachelor Informatica binnen. Mijn interesses zijn vrij uiteenlopend: van wielrennen tot bloggen, van psychologie tot dieren, van science fiction tot kritisch op alles en nog véél meer. ‘Later’ wil ik vooral mensen helpen, al ben ik er nog niet uit op welke manier.

Voor iedereen die niet weet wat het EPD is: EPD staat voor Elektronisch Patiënten Dossier, oftewel een elektronisch systeem waarin allerlei gegevens over medische patiënten worden bijgehouden. Niet zomaar een paar gegevens, maar álle gegevens, zodat het makkelijk bij elkaar staat en dat iedere arts erbij kan indien dat nodig is. Er bestaan kleinere systemen die gericht zijn op een bepaalde regio, maar niets daarvan is landelijk. Zo’n kleiner systeem is simpeler doordat veel minder mensen er gebruik van kunnen maken. Bij wijze van spreken kan alles langs een ‘beveiliger’ gaan die controleert of het klopt wat de persoon zegt.

De belangrijkste wet die een rol speelt, is de Wet Bescherming Persoonsgegevens (WBP). Deze geeft aan dat mensen altijd op de hoogte moeten zijn wat er met hun persoonsgegevens gebeurd, dus je zou bij wijze van spreken bericht moeten krijgen als iemand jouw gegevens opvraagt. Het Landelijke EPD was dat niet van plan: je kon achteraf opvragen wie jouw persoonsgegevens had opgevraagd (en wat nog meer). Daarnaast moet een toepassing die persoonsgegevens gebruikt voldoen aan drie termen: noodzakelijkheid, minimaliteit en beveiliging. De noodzakelijkheid van een dergelijk systeem is klein en eigenlijk alleen van toepassing in een paar (gokje, misschien dat iemand hier een getal op kan plakken) gevallen dat het niet weten van een compleet medisch dossier daadwerkelijk een leven had gered. Je moet je wel bedenken dat een arts dat medische dossier ook nog had moeten lezen en dáár is vaak het probleem: tegen de tijd dat een arts dat zou willen doen, is een persoon al buiten levensgevaar of is er familie die het ook weet. De minimaliteit van het systeem is er niet: het bewaart alle gegevens, ook gegevens die allang niet meer van toepassing zijn. Op de beveiliging kom ik later terug.

Het landelijke EPD bestaat uit 3 belangrijke punten: de zorgopvrager, het landelijke schakelpunt en de zorgaanbieder. De zorgopvrager kan via een UZI-pas (toepasselijke naam die staat voor Unieke Zorgverlener Identificatienummer) en bijbehorende pincode aantonen wie hij is. Hij heeft dankzij zijn identificatienummer een bepaalde macht om bepaalde gegevens op te vragen. Apotheken mogen bijvoorbeeld alleen gegevens krijgen over medicijnen. De zorgopvrager zegt tegen het landelijk schakelpunt: ‘ik wil dit hebben’. Deze zegt tegen de zorgaanbieder: ‘geef mij deze gegevens’, zonder dat de zorgaanbieder weet wie de zorgopvrager is.

Artsen zijn verplicht tot het geheimhouden van hun patiëntengegevens. Alleen in uitzonderingsgevallen (levensgevaar) mogen patiëntengegevens worden uitgeleverd zonder toestemming van de patiënt indien die daar niet toe in staat is. Artsen konden aan het landelijke schakelpunt (een geautomatiseerd systeem) vragen wat ze wilden als ze een BSN-nummer hadden, zonder dat de patiënt daar toestemming voor hoefde te geven. Dit is zo gemaakt doordat er vanuit werd gegaan dat artsen het niet zouden misbruiken. De grootste fout die er bestaat als het gaat om het maken van een ICT systeem. Alles wordt misbruikt, zo zijn gebruikers, ook al zou je anders verwachten.

Er was maar één landelijk schakelpunt, waardoor het systeem heel erg gevoelig was voor storingen. Het idee was zelfs om geen backup server te gebruiken, dus als die ene server eruit lag, dan kon niemand er nog gebruik van maken.

Bij een hele hoop ICT projecten bestaat het gevaar tot ‘function creep’: er bestaan functies die ontwikkeld zijn met een goede reden, maar die in de toekomst misbruikt worden. Wie bewijst dat er nooit een mogelijkheid wordt gecreëerd voor zorgverzekeringen om in de medische historie te kijken van een patiënt? Dat is zeker niet ondenkbaar, met als reden: ‘zorgverzekeraars hebben recht op het weten aan wat voor patiënt ze zorg verzekeren’. Een slechte reden en een manier om het systeem te misbruiken. En werkgevers? En hypotheekverstrekkers?

De mogelijkheden om het systeem te kraken zijn erg divers. De simpelste is om een pincode van een arts af te kijken en vervolgens zijn UZI-pas te stelen. Daar zijn niet eens hackers voor nodig. Of wat dacht je van zelf een UZI-pas aanvragen. Daar moet je weliswaar arts voor zijn, maar dat is geen onoverkomelijk probleem. Ofwel kan je gegevens faken (met een compleet cv inclusief contactgegevens van meewerkende personen), ofwel ben je al arts. Bovendien kan je samen met een arts afspreken dat hij zijn UZI-pas ‘uitleent’ en tegen de politie vertelt dat hij gestolen is. Wie bewijst dat dat niet klopt? Ja, met deze drie mogelijkheden is er achteraf door de patiënt zelf na te gaan wie gegevens heeft opgevraagd. Achteraf is echter vaak te laat en niet bij alle drie de mogelijkheden afdoende.

Er zijn ook bij alle tussenliggende schakels ‘man-in-the-middle-attacks’ uit te voeren: als A met B communiceert, ga jij ‘er tussenin zitten’ en zeg je tegen B dat je A bent en tegen A dat je B bent. Beide personen communiceren nu via jou en denken dat ze met de ander communiceren. Op deze manier kan je alle communicatie opvangen, zoals de patiëntengegevens, maar ook welke arts wat voor gegevens opvraagt. Deze aanvallen zijn met de opzet van het systeem zeker niet onmogelijk.

Dankzij de UZI-pas en een bijbehorend kastje, zou eigenlijk van alle computers die dat kastje ooit gebruiken, gegarandeerd moeten worden dat er geen virussen opstaan. In één ziekenhuis zijn er al honderden computers. Dat is dus praktisch gezien ondoenlijk.

Zo kan ik nog wel even doorgaan. Het lijkt me duidelijk dat dat niet nodig is, want dit zegt al genoeg.

Dit alles is mogelijk gemaakt door een gastcollege dat ik heb gehad van Guido van ‘t Noordende, die het hele systeem heeft doorgelicht. Zijn paper hierover: Guido van ‘t Noordende, “Security in the Dutch Electronic Patient Record System”, 2nd ACM Workshop on Security and Privacy in Medical and Home-Care Systems (SPIMACS), Chicago, Illinois, USA, October 8, 2010. pp. 21-31

#

Comment (1) Write a comment

Leave a Reply

Required fields are marked *.


This site uses Akismet to reduce spam. Learn how your comment data is processed.

  • © 2006- 2019 Vakblog – werken met informatie
    Aangedreven door WordPress en duizenden liters koffie // Theme: Tatami van Elmastudio
Top