Nieuws  
 

In de huidige vorm is het onverantwoord om het elektronisch patiŽntendossier te gebruiken en kan er zelfs de perfecte moord mee worden gepleegd, aldus de man die eerder bij tal van ziekenhuizen naar binnenwandelde om aan te tonen hoe slecht de beveiliging daar is. Toch is Erik Westhovens, Adjunct directeur van DeltaISIS, geen tegenstander van het EPD. Wat betreft het onderzoeken van de ziekenhuizen was hier een grondige voorbereiding aan vooraf gegaan en zou men zich in het geval van problemen beroepen op de vrije nieuwsgaring. Voor zijn werk deed Westhovens vaker dit soort uitstapjes en is weleens tijdens een opdracht op verzoek van een klant gepakt.

Zodra bedrijven horen hoe de vork in de steel zit en dat de opdracht van een publicatie komt, haken de meeste bedrijven af als het gaat om aangifte. "Want ze snappen dan ook dat het openbaar wordt uitgespeeld." Bedrijven zitten niet op negatieve publiciteit over hun falende beveiliging te wachten. Eerder gebruiken ze de resultaten dan om hun beveiliging aan te pakken of verder te verbeteren.

Westhovens denkt niet dat het EPD de beveiliging van patiŽntengegevens ten goede zal komen. "Ik heb die UZI-passen aangevraagd, ik weet precies hoe het EPD in elkaar zit." Hij vroeg de passen aan en maakte daarbij zijn intentie duidelijk: "Ik ga dingen doen die in principe niet kunnen, ik ga kijken of ik toegang kan krijgen." Toen hij de pas ontving kon hij die uitlezen om de code erop te achterhalen. "Ik kan al zeggen als er een UZI-pas verloren raakt en die wordt op straat gevonden. Dan heb je een uurtje of tien nodig om via een script de juiste code te achterhalen en dan heb je ook de pincode van die pas. Die staat er gewoon op."
Westhoven geeft toe dat dit scenario alleen toegankelijk is voor ervaren aanvallers. "We hebben het hier niet meer over scriptkiddies".

UZI staat voor Unieke Zorgverlener Identificatie. Via een uniek UZI-nummer en UZI-pas kan men de gegevens opvragen. "De UZI-pas is een belangrijke voorwaarde voor veilige elektronische communicatie en het raadplegen van vertrouwelijke zorginformatie door zorgaanbieders en indicatieorganen", zo stelt het Ministerie van Volksgezondheid.

De beveiliger zegt groot voorstander van het EPD te zijn. "Het had er al jaren moeten zijn." Hij is het alleen niet eens met de methode waarop het nu gedaan wordt, en vindt dat de overheid voor een aanpak had moeten kiezen waar een groep van zo'n tien experts bij elkaar zouden komen die zelf niets met het project te winnen hebben. "Nu heeft ťťn bedrijf die opdracht gekregen en wordt daar de beveiliging bedacht. Als die wordt goedgekeurd, wordt die ook uitgevoerd." Hij is dan ook groot voorstander dat de overheid dit soort projecten anders aanpakt, "tenslotte wordt er gespeeld met ons belastinggeld, laten we dat voorop
stellen."

Westhovens vindt dat Klink tien zware IT-specialisten had moeten inhuren, gespecialiseerd in het onderwerp. "Laat die tien jongens eens om de tafel zitten." Daaruit zou dan een integraal voorstel komen, dat door een derde werkgever moet worden uitgewerkt, waar de experts niets mee te maken hebben. "Dan zit je goed, want dan wordt er niet uit ťťn duim, maar uit tien duimen gezogen." Hoewel dit een duidelijk procedure lijkt, wordt die niet bij de overheid gevolgd, wat blijkt uit tal van andere mislukte IT-projecten.

Volgens de beveiliger is het op dit moment zo dat iedereen met een beetje IT-kennis de gegevens van andere mensen kan inzien. Met name voor bekende Nederlanders zou dit een groot probleem zijn, omdat het EPD daardoor in goudmijn voor de boulevardpers verandert. Waar Westhovens zich het meeste druk over maakt is de kans op misbruik met levensbedreigende gevolgen. "Wie het EPD kan inzien kan het ook wijzigen. Bij je bloedgroep maak ik het van het plusje een streepje. Geloof mij maar, op dat moment heb je een gigantisch probleem."

Mensen in het dossier worden niet gewaarschuwd als hun gegevens zijn gewijzigd. "Mensen krijgen geen bericht als er gegevens worden bekeken of veranderd." Gebruikers hebben wel de mogelijkheid om uit eigen beweging de informatie te bekijken en te zien wie die heeft opgevraagd, de vraag is echter hoeveel mensen dit ook daadwerkelijk doen.

"Ze worden niet gewaarschuwd, ze moeten het zelf opvragen en ze krijgen ook niet te horen wat er gewijzigd is." Westhovens schets een scenario voor de perfecte moord waarbij hij via een onbeveiligd draadloos netwerk de gegevens in iemands EPD wijzigt, bijvoorbeeld van B negatief naar B positief. "Een kleine aanpassing waarvan de kans dat die opvalt ook zeer klein is." Als iemand dan bloed toegediend krijgt en daaraan sterft kun je volgens de beveiliger spreken van de perfecte moord. "Probeer dat dan nog maar op de dader terug te wijzen, dat gaat je niet lukken." En het is geen bangmakerij. "Dat dit gaat gebeuren weten we zeker. Het EPD, daar valt namelijk wat te halen."

Het EPD in de huidige vorm is niet meer te redden en het enige dat resteert is opnieuw te beginnen. "Dan kun je die tien mensen aan die tafel laten schuiven. Om te zien of de huidige omgeving nog te verbouwen is of dat je opnieuw kunt beginnen. Met name ziekenhuizen zijn een plek waar misbruik eenvoudig is, aangezien veel personeel hun passen gewoon in de lezers laten zitten. "Dan heb je gewoon toegang tot het EPD en ben je helemaal niet meer te achterhalen." Westhovens acht het onwaarschijnlijk dat een grootschalige educatie actie resultaat oplevert. "Iedereen die straks in de zorg rondloopt heeft zo'n pasje nodig, dan spreek je over meer dan honderdduizend mensen."

Aangezien het systeem niet zal worden aangepast, komt de verantwoordelijkheid voor de nauwkeurigheid van het dossier dus bij de burger te liggen. Met name voor ouderen zal het lastig zijn om via het internet hun gegevens op te vragen. Maar ook voor de meer ervaren burger zal het niet meevallen, aangezien het EPD vol medische taal staat die niet iedereen machtig is.

Ondanks alle kritiek heeft Westhovens zelf geen bezwaar gemaakt. Om het risico op misbruik tegen te gaan zal hij daarom geen enkele zorgverlener toegang tot zijn dossier geven. Die zijn namelijk verplicht om elke burger straks apart aan te schrijven of het goed is dat ze toegang tot het dossier krijgen. Een ongekende stroom aan brieven en zoals al met de verspreiding van het EPD duidelijk werd gaat dat niet altijd even goed.

Het laatste waar Westhovens voor waarschuwt is de blikvernauwing bij specialisten die straks alleen nog maar in het EPD kijken. PatiŽnten krijgen daardoor een bepaald stempel op hun voorhoofd. "Terwijl het heel moeilijk is om vast te stellen of dat stempel ook daadwerkelijk klopt." Daarbij put de beveiliger uit eigen ervaring. Een jaar lang had hij last van zijn rug en dachten de specialisten dat hij een spier had gescheurd. Het bleken echter galstenen te zijn, maar voordat men daar achter kwam was hij al een heel jaar met zijn rug bezig. "Omdat iedereen in mijn dossier zag dat ik rugklachten had, ontstond er enorme blikvernauwing. Ik had geen rugklachten maar galklachten.

Klink stelt dat men op misbruik zal monitoren, maar dat lijkt een onbegonnen taak. "Ik schat dat er per dag 150.000 wijzigingen plaats gaan vinden, ik weet niet wie dat moet gaan monitoren." Bekende Nederlanders zijn wat dat betreft iets beter uit. Jan met de pet op heeft gewoon pech en kan dat bijvoorbeeld merken als hij gaat solliciteren. Een werkgever zal maar wat graag de fysieke en mentale gesteldheid van een potentiŽle werknemer willen weten en het EPD biedt dat op een presenteerblaadje. Klink zal daar geen last van hebben, want Westhovens weet zeker dat de minister zelf ook bezwaar heeft gemaakt.

Plaats op:
Datum: 2 december 2008
Bron: security.nl
Gerelateerde artikelen  
31-03-2008 Nieuws Werknemers blijven zwakste schakel in IT-beveiliging
06-06-2017 Achtergrondartikelen Kwaliteit verrijkte webleads laat maar al vaak te wensen over: onderzoek gewenst …
10-11-2008 Nieuws Verbazing bij OM door Zembla uitzending
11-10-2017 Achtergrondartikelen Gat tussen ISO-certificering en bedrijfsvoering moet worden gedicht
08-02-2016 Achtergrondartikelen Je zak wordt contactloos gerold
 
 

- partners -

 
 
 
 
 
ÔŅĹ 2007 - 2017 Vakwereld. All rights reserved Pagina geladen in 0,34 seconden.