De smartcard in het elektronisch paspoort voor het Elektronisch Patiënten Dossier (EPD) is gekraakt en wordt vervangen. Dat maakt Minister Klink van Volksgezondheid, Welzijn en Sport (WVS) bekend. Zorgverleners hebben deze UZI-pas nodig om toegang tot het EPD te krijgen.
De smartcard in de UZI-pas wordt in het derde kwartaal van 2009 vervangen. Dat heeft minister Ab Klink van Volksgezondheid, Welzijn en Sport (WVS) in een brief aan de Tweede Kamer gemeld. Experts zouden er in een laboratoriumsituatie in geslaagd zijn om de private sleutel van de chip te achterhalen. Volgens het Ministerie vormt de kwetsbaarheid een ‘zeer gering operationeel risico', ook omdat ‘de UZI-pas niet de enige beveiligingsmaatregel' vormt.
De UZI-pas is het elektronisch paspoort dat zorgverleners nodig hebben om toegang te krijgen tot het Elektronisch Patiënten Dossier (EPD). Minister Klink stemde eind februari in met een nieuwe test van het EPD op verzoek van Kamerlid Jolande Sap van GroenLinks. Zij betoogde dat de veiligheid van het systeem cruciaal is voor het vertrouwen dat burgers in het elektronische dossier stellen.
Al verstrekte passen

UZI-pas
In februari werd bekend dat het ministerie de vraag van zorgverleners naar de beveiligingspassen niet bij kon benen. Het ministerie moest extra mankracht inzetten om de passen aan zorgverleners uit te leveren. Volgens het Ministerie is die achterstand inmiddels weggewerkt. Al verstrekte passen worden niet teruggenomen. Ze zullen echter in plaats van na drie jaar, al na twee jaar worden vervangen. Alleen als de gebruiker daar expliciet om vraagt, kunnen de passen eerder worden vervangen door exemplaren met de nieuwe smartcard.

Defensiepas
De onveilig gebleken smartcard wordt ook gebruikt in de Defensiepas en in de digitale tachograaf, die sinds mei 2006 verplicht is voor vrachtwagen- en buschauffeurs. Volgens de brief van Klink is de kwetsbaarheid "voor Defensie op dit moment niet relevant, omdat de private sleutel nog niet wordt gebruikt. Defensie heeft maatregelen genomen om de kwetsbaarheid in het rekenmechanisme weg te nemen voordat de private sleutel in gebruik wordt genomen."

Bron: Computable / Door Jolein de Rooij