De belangrijkste punten van kritiek en aanbevelingen uit 2010 zijn hier opgeschreven.
Mijn onderzoek naar wat er sindsdien is aangepast is nog niet afgerond, maar ik kan wel een tipje van de sluier oplichten: nee, er zijn wel dingen veranderd, maar in essentie is er niet veel verbeterd.
- Er is nog steeds geen end-to-end beveiliging (of end-to-end authenticatie) geimplementeerd.
- Er is nog steeds geen goede manier gespecificeerd voor mandatering: het ondertekenen van mandaterings-tokens is inmiddels mogelijk, maar die tokens zijn vrij lang geldig en ook geschikt voor het mandateren van een systeem (systeemcertificaat). Ze worden gebruikt voor batch-opvragingen, dus van meerdere patienten achter elkaar. Dit is precies wat een hacker van een systeem dat is aangesloten op het LSP nodig heeft om (veel) patientgegevens op te vragen zonder dat het opvalt.
- Toestemming is nog steeds een vooral gericht op het zo makkelijk mogelijk maken voor burgers om eem brede toestemming te geven waarmee zoveel mogelijk artsen bij je gegevens kunnen. Sterker nog, er zijn lobbypogingen van zorgkoepels en patientenfederatie die aansturen op alsnog een opt-out: zie hier.
- De regionale schotten die als 'noodgreep' door VZVZ geintroduceerd zijn in 2012 om het LSP "regionaal" te laten lijken, zijn weggehaald. Die schotten voelden natuurlijk altijd al onoprecht en als iets tijdelijks, maar ze boden wel degelijk wat bescherming tegen hackers die binnendringen in een op het LSP aangesloten systeem. Deze verdediging tegen hackpogingen is nu verdwenen. In combinatie met een opt-out en systeem-mandaattokens, zijn we qua risico's weer helemaal waar we waren in 2010!
Over regionalisering
Waarom was er ook alweer regionalisering in het LSP? Dit was vanwege een motie die in de nasleep van de afwijzing van de wet-EPD in 2010 is aangenomen, de motie Tan Y. Daarin werd verzocht om ontwikkeling van standaarden voor (regionale) pull en push systemen. Ik was in 2013 bij de persconferentie waar de regionalisering van het LSP door VZVZ werd aangekondigd, en ik viel haast van mijn stoel. De Eerste Kamer had gevraagd om het stimuleren van regionale systemen? VZVZ komt met een bericht waarin het aangeeft dat het LSP nu regionaal is. Het Landelijke schakelpunt, regionaal? Dat is dan toch evengoed gewoon een landelijk systeem? Precies. Helaas pikten weinig journalisten dit op.
De zogeheten regionale schotten, die in software in het LSP waren geregeld, hielpen al niet bij een inbraak in het LSP. Bovendien werden de regionale schotten door regiomanagers ingeregeld, die allemaal uitzonderingen konden maken, bijvoorbeeld voor "landelijk opererende zorgaanbieders". Maar vooral: VZVZ gaf al vrij snel aan (in interviews) dat men de regionale schotten als een tijdelijke oplossing zag, tot het 'draagvlak' onder de bevolking anders toestond. Kennelijk is dat nu zover..
Een echte oplossing was dit dus niet.
Andere issues
De UZI pas wordt nog steeds - zoals indertijd al gevreesd werd - de hele dag in de paslezer gelaten door artsen en medewerkers. De batch bevraging van dossiers door ziekenhuisapothekers gebeurt inmiddels door een systeem certificaat die van de apotheker de "bevoegdheid" heeft gekregen om namens een apotheker de medicatie gegevens van alle patienten in een keer op te vragen. Daarbij worden overigens ook ICA gegevens opgevraagd uit het huisartsendossier, in tegenstelling tot wat VZVZ beweerde in de rechtzaak die VPHuisartsen indertijd tegen hen heeft aangespannen. Maar dat bevragen dus, gebeurt niet langer alleen met een met een PIN code beveiligde smartcard van een arts of apotheker (de zogeheten UZI pas), maar gewoon met een sleutel die op een server van een apotheeksysteem-leverancier staat.
Zorg-ID
Dan is er nog de software om de UZI pas te gebruiken. Dat vinden leveranciers van zorgsystemen best ingewikkeld om te implementeren, dus heeft VZVZ iets handigs bedacht: alle interacties tussen UZI pas en het LSP kunnen nu lopen via een software bibliotheek die Zorg-ID heet. Via deze bibliotheek stuurt het zorgysteem alle verzoeken ter ondertekening, zoals de tokens die gebruikt worden voor het ophalen van gegevens van een bepaalde patient, naar een server van VZVZ. Vervolgens haalt de lokale ZorgID software - op het systeem van de zorgverlener - dit verzoek op en ondertekent dit verzoek. Daarbij kan de gebruiker niet zien dat, of en wat er wordt ondertekent, of wat er in het ondertekende bericht staat. De ondertekening is dus in feite blind. Het bericht wordt ondertekend en teruggestuurd langs de server van VZVZ, om terug te komen in het zorgsysteem dat het zo ondertekende token naar het LSP stuurt om de gegevens op te halen. Alle beveiligings-kritieke communicatie loopt dus via een server van VZVZ. Klinkt dit bekend?
Stel, het LSP zou ooit eens end-to-end authenticatie implementeren, wat vrij eenvoudig kan. Dit wil zeggen dat ondertekende verzoeken om informatie (de eerder genoemde tokens) van de opvrager helemaal doorgestuurd worden naar het bevraagde systeem, zodat dit systeem de verzoeken zelf kan controleren. Zou dit dan echt end-to-end beveiliging zijn? Of kan VZVZ gewoon eigen verzoeken om informatie injecteren in het systeem? ..
End-to-end beveiliging
Het ministerie zou op verzoek van de Kamer nog eens komen met een rapportage over welke systemen in de zorg op dit moment end-to-end beveiliging implementeren. Ik ben door het ministerie nog een keer gevraagd of ik behalve het Whitebox systeem nog andere systemen kende die end-to-=end beveiliging implementeerden? Ik kende deze niet... behalve misschien Siilo, maar dat is een berichten-App. Inmiddels is er ook Nuts, een decentraal systeem dat, op een andere manier dan Whitebox, decentrale communicatie voor de zorg implementeert. Zij implementeren ook end-to-end beveiliging. Er zijn dus niet veel systemen die end-to-end beveiliging implementeren, maar ze zijn er wel. Ik kreeg de vraag eind 2019.. dus waar blijft dit rapport?
Als de focus niet alleen op end-to-end versleuteling zou liggen maar ook op end-to-end authenticatie, is end-to-end beveiliging overigens ook mogelijk in het LSP -- zie mijn rapport en aanbevelingen van 2010 (zie hierboven).
Er is trouwens een Nederlandse Technische Afspraak (NTA) voor e-mail gemaakt, de NTA7516 van de NEN. In deze NTA is gekozen voor het aan elkaar knopen van infrastructuren en procedures voor de beveiliging van e-mail communicatie op peil te krijgen, maar opvallend genoeg wordt er geen woord gezegd over het van begin tot eind (end-to-end) versleutelen van berichten die over die verschillende infrastructuren gaat... deze kunnen allemaal de gegevens inzien die langs hun server voorbij komen. Dit terwijl end-to-end beveiliging (versleuteling) van e-mail een bestaande techniek is. Gemak en interoperabiliteit lijken het hier dus opnieuw te winnen van beveiliging.
Overigens, on a related note: VZVZ probeert in de context van het Twiin project (wie heeft hier van gehoord, behalve bestuurders en leveranciers in de zorg?) voornemens om infrastructuren aan elkaar te knopen via een centraal "afsprakenstelsel" zodat gegevens via "knooppunten" opvraagbaar zijn - ongeacht de infrastructuur waarin de gegevens oorspronkelijk aangemeld waren. Dit geeft nog meer ruimte voor datalekken en misbruik dan het LSP... Goed voorbeeld doet goed volgen?
Nee, end-to-end beveiliging in de zorg is nog heeeel ver weg.
En nu verder? Hoe te komen tot een duurzaam stelsel voor gegevensuitwisseling?
Binnenkort wort de Wet gegevensuitwisseling in de Zorg (Wegiz) in de Tweede Kamer behandeld. Dit regelt verplichting van standaarden en (uiteindelijk) infrastructuur voor gegevensuitwisseling in de zorg, via algemene maatregelen van bestuur (ministeriele regelingen). Gegeven hoe de zorg het afgelopen decennium tegen beveiliging aangekeken heeft, en gegeven recente ontwikkelingen, maak ik mij best heel veel zorgen.. Het wordt tijd dat de overheid regie pakt en eindelijk gaat sturen op betere beveiliging!