Ondertussen zitten de gaten er nog in

De voorbereidingen voor de landelijke invoering van het EDP zijn in volle gang.

‘Basale veiligheidskleppen’ voor het systeem ontbreken echter nog, aldus een studie.

De Eerste Kamer heeft nog grote bedenkingen bij het Elektronisch Patiëntendossier (EPD), maar de voorbereidingen voor de landelijke uitwisseling van medische gegevens van patiënten zijn al in volle gang. En dat terwijl de beveiliging nog niet op orde is.

Uit de eerste brede wetenschappelijke studie naar de beveiliging van het Elektronisch Patiëntendossier (EPD) blijkt dat het systeem gaten bevat. Volgens informaticus Guido van ’t Noordende, onderzoeker aan de Universiteit van Amsterdam, ontbreken „basale veiligheidskleppen”.

Van ’t Noordende deed onlangs mee aan een expertmeeting over het EPD in de senaat, die het wetsvoorstel van minister Klink (Volksgezondheid, CDA) hierover nog moet goedkeuren. Hij onthulde toen al iets van zijn studie.

De onderzoeker kroop in de huid van een kwaadwillende die misbruik wil maken van het EPD. Hij bestudeerde het raamwerk voor de landelijke uitwisseling van medische gegevens. Eén centrale vraag had hij: wat zijn de consequenties als iemand inbreekt in het EPD, ofwel in het Landelijk Schakelpunt (LSP) waarlangs straks alle informatie geleid wordt, óf in de lokale systemen waar zorgverleners de patiëntgegevens bewaren?

Van ’t Noordende constateert drie gevaren van het huidige systeem:

1 Dossiers zijn op te vragen zonder digitale handtekening

Het Landelijk Schakelpunt controleert alle binnenkomende toegangsverzoeken, van wie ze afkomstig zijn en of ze digitaal zijn ondertekend. Op zich een goed idee, vindt Van ’t Noordende, maar de informatie over de verzoeker wordt niet doorgestuurd naar het lokale systeem waar het dossier wordt bewaard. Als een kwaadwillende in het LSP weet te komen, kan hij alle informatie uit de decentraal opgeslagen dossiers opvragen zonder digitale handtekening. „Dit is een heel gekke fout.”

2 De autorisatie om het systeem in te mogen is niet waterdicht

Veel ernstiger vindt hij dat de autorisatie, de beslissing of een zorgverlener een medisch dossier mag inzien, centraal wordt genomen maar alleen decentraal te controleren is. Het gaat om de controle of er wel een behandelrelatie is tussen patiënt en arts, en om het delegeren van bevoegdheden van artsen aan medewerkers. Artsen moeten aangeven dat zij een behandelrelatie hebben met hun patiënt. Als dat niet zo is, valt dat pas achteraf vast te stellen. „Dat vind ik niet zo gek”, zegt Van ’t Noordende. „Als een arts misbruik maakt van zijn positie, kan hij zijn beroep verliezen. Dit vertrouwen vind ik gerechtvaardigd.”

Maar dat geldt wat hem betreft niet voor de autorisatie die een arts aan een medewerker geeft. Een medewerker kan gewoon in het systeem als hij bij zijn aanvraag van een dossier een veld invult met de naam van de mandaterende arts. „De medewerker heeft weliswaar een pas op naam nodig om dossiers te bekijken, maar uit de praktijk weten we dat ziekenhuizen slordig omgaan met passen.” Ze kunnen ook gestolen worden.„Dit risico moet je niet lopen. Een corrupte medewerker of hacker is moeilijk te traceren en te straffen. Dit is veel te slecht afgedicht. Daar gaan kwaadwillenden gebruik van maken. Zorg dat je het risico vermindert door de arts een expliciet bewijs voor mandatering aan zijn medewerker te laten geven.”

Van ’t Noordende: „Een medewerker zal zich makkelijker laten omkopen door een criminele organisatie. En als iemand veinst dat hij voor een arts werkt, kan hij bij het Landelijk Schakelpunt claimen dat hij ook een behandelrelatie met de patiënt heeft. Die combinatie van factoren zet de deur wagenwijd open voor corrupte mensen. Tot dit opgelost is, zou ik zeggen: mandateer niemand.”

3 Eenmaal opgeslagen info is moeilijk te verwijderen

De onderzoeker is ook niet gerust op de inzage van patiënten in hun eigen dossier. Hij vindt dat burgers daarvoor een soort smartcard moeten krijgen. Evenzeer zou bij hen de zeggenschap moeten liggen welke informatie zorgverleners in hun dossier opnemen. Burgers kunnen weliswaar bezwaar maken tegen opname van hun gegevens in het EPD, maar moeten zelf actie ondernemen om opslag van privacygevoelige informatie tegen te houden. „Data die eenmaal op het Landelijk Schakelpunt staan, zijn er nooit meer helemaal uit te verwijderen. Ik wil dat de patiënt daarom toestemming verleent aan de zorgverlener voordat deze gegevens van hem opslaat. Al is het maar een schermpje dat oplicht bij de arts met de waarschuwing dat hij nog even de goedkeuring van de patiënt moet vragen.”

Het bedrijf Nictiz, dat voor Volksgezondheid het EPD invoert, overweegt sommige aanbevelingen over te nemen. Maar vooralsnog is Nictiz tot een andere afweging gekomen bij het streven naar veiligheid. Nictiz-directeur Gert-Jan van Boven: „Niet ieder theoretisch concept levert in de praktijk een optimaal resultaat op.”

Van ’t Noordende vindt het geen irreële scenario’s dat kwaadwillenden op zoek gaan naar privacygevoelige informatie. „Je kunt iemand chanteren, bijvoorbeeld een politicus. Als je vreemd bent gegaan, ben je omkoopbaar. Maar je staat ook zwakker in het leven als bekend is dat je een psychose hebt gehad. Privacy is een grondrecht. Het is heel fundamenteel.”