Gepubliceerd op 26 maart 2010
Nieuwe studie naar EPD legt gaten in beveiliging bloot
Gepubliceerd op 26 maart 2010
Het Elektronisch Patiëntendossier (EPD) bevat gaten in de beveiliging.
Zo wordt onvoldoende rekening gehouden met inbraken in
zorginformatiesystemen of het Landelijk Schakelpunt (LSP). Bovendien
is de mandatering waarmee artsen hun medewerkers namens henzelf
toegang geven tot het EPD erg eenvoudig te misbruiken om toegang te
krijgen tot een dossier. Dat blijk uit onderzoek van Guido van 't
Noordende, informaticus van de Universiteit van Amsterdam. Uit deze
eerste grote wetenschappelijke studie naar de beveiligingsarchitectuur
van het EPD komt naar voren dat de beveiliging - en daarmee de
confidentialiteit en privacy - van patiëntgegevens in het EPD niet
afdoende gewaarborgd is.
Voor het opvragen van een dossier hebben zorgverleners zoals artsen
een eigen smartcard (`UZI-pas') waarmee ze toegang krijgen bij het
LSP. Dit schakelpunt zoekt vervolgens het dossier op bij de
informatiesystemen die de EPD's beheren. Van 't Noordende stelt dat in
het geval van een inbraak in het LSP of de ziekenhuissystemen die de
mandatering regelen de beveiliging onvoldoende is. Een goede stok
achter de deur in de architectuur van het EPD ontbreekt volgens de
informaticus.
Problemen
Zorgverleners kunnen andere medewerkers toestemming geven voor toegang
tot het LSP en dossiers. Maar het LSP heeft geen mogelijkheden om te
controleren dat de medewerker echt is gemandateerd. Er wordt geen
bewijs meegestuurd op het moment dat de medewerker namens de arts iets
opvraagt. Ziekenhuizen hebben een systeem dat mandatering regelt maar
die kunnen ook aangevallen worden door hackers. Een arts zou daarom
een bewijs voor toestemming moeten geven aan de gemandateerde, die
meegestuurd kan worden naar het LSP bij het opvragen van een dossier.
Een ander probleem is dat een patiënt moet aangeven dat hij of zij een
behandelrelatie heeft met de arts voordat die het EPD van die persoon
kan raadplegen. Deze toestemming is, net als de toestemming die de
arts aan de medewerker geeft voor het opvragen van een dossier,
decentraal geregeld en niet zichtbaar voor het LSP, dat de toestemming
dus niet kan controleren. Van 't Noordende ziet ook een probleem bij
een inbraak in het LSP, want op dit moment kan de aanvaller dan in
feite alle patiëntendossiers opvragen. Er kan decentraal (bij de
systemen die de opgevraagde dossiers bevatten) niet gezien worden of
er een zorgverlener achter de aanvraag zit. De protocollen bij het LSP
geven hiervoor niet voldoende veiligheid. Inbreken in het LSP is niet
eenvoudig, maar ook niet uit te sluiten. Dat ziekenhuissystemen te
hacken zijn is in het verleden al aangetoond.
Informatie uit EPD nooit verwijderd
Als een patiënt geen bezwaar heeft gemaakt na de brief van minister
van Volksgezondheid Ab Klink over het EPD, wordt een dossier
aangemaakt. Maar een patiënt kan niet elke keer toestemming geven als
een zorgverlener nieuwe informatie toevoegt aan het dossier. Dat is
niet zichtbaar. Een patiënt kan zijn of haar EPD wel inzien en
ongewenste dingen verwijderen. Maar die bewuste gegevens verdwijnen
nooit helemaal want het LSP bewaart de gewiste gegevens voor een
bepaalde periode (reconstructiehorizon). Van 't Noordende stelt daarom
dat patiënten zeggenschap moeten krijgen over welke informatie in hun
EPD wordt opgeslagen. Een aanvullende oplossing is dat iedere patiënt
een smartcard krijgt. Dan wordt de verwijderde informatie versleuteld
waardoor alleen de patiënt ooit nog bij de gewiste informatie kan. Op
die manier is verwijderde informatie niet meer terug te vinden bij een
inbraak in het LSP.
Het onderzoek van Van 't Noordende is te raadplegen via onderstaande
verwijzingen.
Verwijzingen
Meer informatie
www.epdinfo.eu
Bron: UvA Persvoorlichting
Universiteit van Amsterdam