Security in het Landelijke Elektronische Patientendossier (EPD)
Hieronder staan nieuwsartikelen en publicaties over mijn rapport over de beveliging van het EPD. Ik schreef dit rapport als onderzoeker van de Universiteit van Amsterdam in 2010. Mijn website uit die tijd is er niet meer, links naar stukken uit die tijd werken dan ook niet meer. Omdat de inhoud nog grotendeels actueel is, heb ik de meest relevante stukken hieronder permanent gearchiveerd.
Onderstaande bevat de meest relevante nieuwsstukken vanaf de publicatie van mijn rapport in 2010. Meer opinierende blogs die ik aan de UvA schreef vind je hier. Een kopie van mijn oorspronkelijke UvA homepage staat hier.
In maart 2010 publiceerde ik de uitkomsten van een onderzoek naar het EPD dat ik in 2009 uitvoerde met een student van de System and Network Engineering groep van de UvA, Niels Sijm, in een technical report. Voor de publicatie was het voorgelegd aan Nictiz, de ontwerpers van het systeem, en VWS.
In februari 2010 stuurde ik een brief over mijn onderzoek naar de Eerste Kamer, die op dat moment bezig was met de behandeling van de wet-EPD. Deze wet had tot doel om het systeem verplicht in te voeren voor communicatie in de zorg, met een opt-out mogelijkheid voor burgers die dit niet wilden. De brief vatte de belangrijkste bevindingen en aanbevelingen samen. Naar aanleiding van deze brief nam ik deel aan een expert meeting in de Eerste Kamer, waar heel veel experts deelnamen om hun zegje te doen over het systeem. De ene helft van de Kamer zat vol met experts, de andere helft met leden van de commissie VWS - het was een drukke boel, en de verschillende standpunten die werden verwoord waren erg leerzaam. Mijn kritische artikel werd opgepikt door Antoinette Reerink van NRC, die er een artikel over schreef dat de kern van de zorgen over het EPD goed samenvat en dat nog steeds actueel is.
In de slipstream van dit optreden en deze publiciteit, schreef ik een aantal artikelen (en later blogs) op de website die de bevindingen toelichten, in het Nederlands en in het Engels. De brief, relevante links en de blog posts vindt u via onderstaande publicaties.
Artikel uit NRC, 26 maart 2020 (PDF)
De brief en bijlage zoals naar de Eerste Kamer gestuurd (18 februari 2010).
Een alternatieve (kortere) uitleg vind je hier: alles-op-een-rijtje.
Hieronder staan diverse artikelen, waaronder verschillende artikelen in de media. Helaas werken niet alle links meer, maar het is toch relevant.
Verder is dit opiniestuk, dat verscheen in het onvolprezen Zorg-ICT web magazine Qure van Ton Smit, ook interessant.
Nadat er een jaar lang weinig hard nieuws te melden was, is er sinds kort een nieuw businessplan van VZVZ, welke ten grondslag ligt aan het convenant dat door zorgpartijen, ICT-leveranciers en zorgverzekeraars is gesloten rond de doorstart van het LSP/EPD. Dit plan straalt torenhoge ambities uit, en is nogal onrustbarend. Het businessplan geeft een goed beeld van welke kant men op wil met het Landelijk Schakelpunt, hoe de initiatiefnemers dat (qua sturing) willen realiseren, en wat de consequenties daarvan kunnen zijn. Het lijkt erop dat men straks zo'n beetje alle zorgcommunicatie via het LSP wil laten lopen, inclusief bij uitstek regionale of één-op-één communicatie zoals bij geboortezorg of ketenzorg. Dat is onnodig riskant.
Op 30 november 2012 schreef ik over een week met veel pers aandacht. Helaas werken niet alle links meer, maar het is toch interessant. Lees hier..
Op 28 februari j.l. is de nieuwe documentatie van het EPD uitgebracht, waarin de manier waarmee medewerkers door artsen gemandateerd kunnen worden technisch is verbeterd. Aan het begin van dit jaar stelde het ministerie van Volksgezondheid, Welzijn en Sport (WVS) bovendien een aantal veranderingen voor om de "regie" van de patiënt te verbeteren. Gaan deze voorstellen werken om het EPD veilig genoeg te maken? Nee, dat gaan ze niet. Waarom niet? En welke alternatieven zijn er eigenlijk?
Lees dit artikel: Nieuws 10 maart.
Het ministerie van VWS heeft scherp gereageerd op mijn rapport over het EPD, en de publiciteit daaromheen, met een brief en een persbericht. Als je goed kijkt heeft de ministerie echter geen zwakke punten in mijn rapport gevonden, maar feitelijk alle bevindingen bevestigd. Het belangrijkste punt van het ministerie is dat ik voorbij ga aan procedurele/operationele maatregelen die getroffen worden om eventuele inbraken in het LSP te voorkomen, en dat ik niet kan bewijzen dat zo'n inbraak kan gebeuren. Uiteraard kan ik dit niet bewijzen, maar het gaat erom dat je maatregelen treft die de impact van zo'n inbraak beperken als deze plaatsvindt. En gegeven de schaal van het EPD - met duizenden systemen die daaraan gekoppeld zijn - is de in de reactie van het ministerie beschreven aanname dat regelmatige hacker-tests en audits het systeem kunnen beschermen tegen zo'n inbraak, simpelweg ongefundeerd.
Het is interessant om uit de reactie van het ministerie te leren dat de door mij gerapporteerde risico's en problemen reeds bekend waren bij het ministerie. En dat deze onderdeel waren van een bewuste afweging tussen effectief praktische bruikbaarheid en "optimale" beveiliging. Ik ben verrast dat de mensen bij het ministerie de kwetsbaarheden die ik heb gevonden bewust ingebouwd hebben.
De brief van het ministerie is hier te vinden (PDF). Het persbericht van het ministerie staat hier.
Mijn reactie naar het ministerie is hier te vinden: mijn verweer (PDF).
Voor een webversie van mijn reactie aan het ministerie, zie de Engelstalige versie van deze pagina.
Gelijktijdig met de publicatie van de resultaten in NRC handelsblad, is vanuit de UvA een persbericht gestuurd waarin het onderzoek naar de beveiliging van het EPD werd aangekondigd.
Het onderliggende rapport is hier te vinden (PDF).