Blog

Ik dacht de politieke opties rondom toestemming zo langzamerhand wel te begrijpen. Er zijn twee smaken: specifieke en generieke toestemming. Echter, uit een recente brief van de minister blijkt dat het toch weer net iets anders zit. Na goed lezen van die brief, ben ik er vrij zeker van dat echt niemand de 'geinformeerde' toestemming die wetsvoorstel 33509 voorstelt meer begrijpt. Hoe kan dit dan wet worden?

Hier een analyse.

Recent heb ik van dichtbij een aantal discussies over end to end beveiliging meegemaakt. Over dit onderwerp heb ik al sinds 2010 dingen geschreven. Daarom geef ik in dit nieuwsstuk mijn ideëen over het onderwerp en de recente discussies die onder meer ook over de Patriot Act gingen en in hoeverre end to end beveiliging daartegen kan beschermen.

Ook is er discussie over specifieke toestemming. Ook een mooie discussie die raakt aan dingen waar ik eerder over heb geschreven. Vandaar dat ik ook over dit onderwerp een blog plaats.

Op 6 maart heb ik deelgenomen aan een rondetafelgesprek in de Tweede Kamer over een nieuwe wet aangaande het LSP. Daarvoor heb ik dit position paper ingestuurd. De kern van het paper is dat innovatie in de zorg op het gebied van privacy nu noodzakelijk is. Daarvoor is stimulerend beleid nodig, en om die reden moet een "monopolie" voor het, qua beveiliging niet bepaald voorop lopende, LSP voorkomen worden. Het huidige LSP biedt zorgverleners en patiënten niet voldoende controle over de ontsluiting van hun gegevens. Méér systemen dan alleen het LSP moeten "in de markt" gefinancierd kunnen worden, zodat artsen én patiënten in de toekomst de keuze houden tussen verschillende systemen. Deze kunnen elk een andere mate van controle door arts en patiënt bieden. Zodat zij kunnen kiezen voor gebruik van het meest privacy-vriendelijke systeem voor een gegeven situatie. Uiteindelijk kunnen de beste aspecten van dergelijke systemen wellicht hun weg vinden naar één systeem, maar zover zijn we nog lang niet.

In dit artikel geef ik enkele achtergronden die aanleiding waren tot het position paper. Overigens gaf ik in een opiniestuk op verzoek van Qure in 2011 al eens een visie over hoe verschillende systemen, elk met een eigen specifieke functie, de communicatiebehoeften in de zorg, gezamelijk en op een veilige manier, kunnen oplossen.

Ik sprak en schreef al eerder over het risico van malware in de vorm van trojaanse paarden en botnets bij het EPD. Ook in de tweede kamer (zie hieronder) sprak ik hierover. De aanleiding daarvan was een scan van gecompromitteerde machines in het ezorg netwerk die iemand mij toestuurde.

Dit artikel laat de implicaties van die scan zien, en beschrijft waarom Pobelka demonstreert dat het gebruik van het LSP op grote schaal risicovol is. Pobelka toont opnieuw aan dat het risico van inbraken in systemen die op het LSP zijn aangesloten, niet afdoende beperkt kan worden.

De les moet zijn dat het noodzakelijk is om te zorgen dat het aanvalsvlak voor specifieke patiëntgegevens tot het hoogst noodzakelijke beperkt wordt. De patiënt zou hierop invloed op moeten kunnen uitoefenen bij het geven van toestemming: zorg op voorhand dat alleen die zorgverleners toegang kunnen krijgen die iets met uw gegevens van doen hebben. De zorgverlener moet dit kunnen instellen om te zorgen dat de gegevens van diens patiënten afdoende beveiligd zijn. Alleen als echt medisch noodzakelijk, kan verder openstellen van het dossier overwogen worden.

Het lijkt erop dat deze week een aantal koepels van zorgaanbieders hun plannen zullen ontvouwen voor een doorstart van het Landelijke EPD. De presentatie hierover is tot nog toe redelijk onnavolgbaar. Hoe is "de technische infrastructuur" verschillend van het LSP?

Als het EPD / LSP in huidige vorm wordt doorgestart, maar dan onder een andere naam met een andere organisatie, is er technisch geen verschil met het oorspronkelijke EPD. De (beveiligings)risico's zijn daarmee ook niet minder. En dat is jammer - andere opzetten zijn ook mogelijk. Bijvoorbeeld door het gebruik van (kleinschalige) regionale schakelpunten. En dat is dus niet hetzelfde als "regionale communicatie via het LSP". Dat is namelijk gewoon landelijk.

Hoe dan ook, de risico's die gelden voor het EPD hebben zich inmiddels ook elders gemanifesteerd. Hier mijn visie op de lessen van het DigiNotar debacle voor het EPD.

Professor Bart Jacobs (hoogleraar computerbeveiliging in Nijmegen), heeft zich uitgesproken voor het EPD op voornamelijk organisatorische gronden. Ik ben het (in dit geval) hartgrondig met hem oneens. Zie expertdiscussie. (Korte versies van deze bijdragen stonden in NRC Opinie/brieven 14 resp. 19 maart 2011).

Nawoord, 20 maart 2010.