Inhoudsopgave

1. Babylonische spraakverwarring over EPD
2. Elektronisch patiëntendossier lek?
3. Onzinnige risicoanalyse
4. Een andere invalshoek voor de risico’s 

1. Babylonische spraakverwarring over EPD

Er wordt momenteel in Nederland gewerkt aan de invoering van het landelijk elektronisch patiëntendossier, het EPD. Elke Nederlander heeft hierover inmiddels een brief gekregen van het Ministerie van Volksgezondheid, Welzijn en Sport (VWS). Uw medische gegevens in het dossier zijn straks, tenzij u daar bezwaar tegen maakt, in te zien door huisartsen, apothekers en medische specialisten in het ziekenhuis, die op die wijze informatie met elkaar kunnen delen en zo beter kunnen samenwerken. Dat zou de kans op fouten verminderen. Nu weet een medische hulpverlener vaak niet welke behandeling zijn patiënt in het verleden heeft gehad en welke medicijnen hij gebruikt. Daardoor sterven er elk jaar 1200 mensen en belanden er 19.000 in het ziekenhuis.
Volgens het ministerie is het systeem niet te kraken. Dat is echter per definitie onzin. 100% beveiliging bestaat immers niet. Maar dat soort verklaringen hebben we natuurlijk wel eerder gehoord.
De brief van het ministerie lijkt een stukje zorgvuldige communicatie te zijn. Helaas echter is hij de aanzet geweest tot zeer emotionele discussies tussen veelal onwetende burgers, gevoed door slecht geïnformeerde journalisten, die in diverse media een hetze oproepen tegen het EPD. De communicatieadviezen voor de Deltacommissie, die leidden tot een indoctrinerende voorlichting over de stijging van de zeespiegel in Nederland, zijn gelukkig aan het ministerie van VWS voorbijgegaan. (Zie ook ‘De leugen regeert als waarheid voor de overheidsvoorlichting’.) Maar helaas is nu de overheid de regie over de beeldvorming van het EPD volledig kwijt. Zelfs redelijk betrouwbare bronnen laten waarheid en onwaarheid over de tafel vliegen.
De overheid voldoet uiteraard wel aan haar informatieplicht. Als ik in mijn behoefte om wat nadere informatie te krijgen even ga zoeken op het internet, stuit ik al snel op een publicatie van postbus 51. Het hele verhaal over het EPD wordt uitgelegd in een document van 238 pagina’s. Zo’n verhaal lees je niet snel even door om te kijken of er inderdaad risico’s zijn verbonden aan het EPD. Bovendien, als die risico’s er zijn, dan zijn veel mensen niet in staat om ze te onderkennen. Een artikel in de Telegraaf onder de kop ‘Elektronisch dossier is lek’ leest dan natuurlijk wel zo makkelijk weg. Helaas werd dit artikel geschreven door een journalist die zich blijkbaar baseerde op een persbericht van een security bedrijf dat graag een slaatje wil slaan uit het zaaien van angst. (Zie ook ‘Informatiebeveiligers verpesten iedere awareness’.)
We willen u de hoofdlijn uit dat verhaal echter niet onthouden. Onderstaand kunt deze lezen. Daarna komen we met onze eigen risicoanalyse. 

2. Elektronisch patiëntendossier lek?

Het landelijk elektronisch patiëntendossier (EPD) met de medische gegevens van alle Nederlanders is lek. De gegevens kunnen straks door onbevoegden relatief eenvoudig worden geraadpleegd en gewijzigd via onbeveiligde computers van huisartsen, fysiotherapeuten, apothekers en andere zorgverleners. Daarvoor waarschuwen experts van beveiligingsbedrijf Fox-IT uit Delft.
Via het EPD kunnen zorgverleners snel medische gegevens van patiënten die zij behandelen opvragen en inzien. Dit gebeurt op een veilige en betrouwbare manier, aldus de website van het ministerie van Volksgezondheid. Alleen zorgverleners met een toegangscode en pas krijgen volgens het ministerie inzage. Gegevens worden versleuteld verzonden. Achteraf kan worden gezien wie de informatie heeft opgevraagd. Beveiligingsexperts van Fox-IT, die de overheid ook adviseren over hoe staatsgeheimen moeten worden beveiligd, uiten hun twijfels over de veiligheid van het systeem.
‘Het is straks technisch mogelijk om via een lek in de computer van bijvoorbeeld een huisarts gegevens op te vragen’, aldus beveiligingsexpert Mark Koek. ‘Door het grote aantal zorgverleners dat toegang heeft is er altijd wel een eindpunt dat ‘lek’ is.’ Hoewel technisch mogelijk, is het volgens Fox-IT wel de vraag wie er met de gegevens aan de haal zullen gaan. ‘Verzekeraars zullen het wel uit hun hoofd laten om de gegevens te misbruiken. Maar als ik bekende Nederlander was, zou ik mijn dossier afschermen’, aldus Koek.
Eén van de grootste risico’s is volgens de expert dat gegevens kunnen worden gewijzigd door derden. ‘Dan staat er vlak voor een operatie in je dossier dat je linker- in plaats van rechterbeen moet worden geamputeerd. Of ben je opeens psychiatrisch patiënt met alle gevolgen van dien.’ Eind 2009 is het mogelijk om zelf vanuit huis het eigen dossier te raadplegen. Dan is helemaal het hek van de dam, waarschuwen de experts. 

3. Onzinnige risicoanalyse

Met alle respect voor deze expert, maar zijn analyse snijdt geen hout. Het EPD is geen centraal dossier maar een index, waarmee een zorgverlener in staat is gegevens van een patiënt op te zoeken met behulp van zijn Burger Service Nummer (BSN). Die gegevens staan opgeslagen in een database bij een andere zorgaanbieder. Ze kunnen dus niet gewijzigd worden.
Wat betreft de BN’ers, zij zullen zorgvuldig moeten zijn met hun BSN, want anders kunnen anderen mogelijk met behulp hiervan hun gegevens inzien. De zwakke plek hierin is dus niet de computer bij de zorgaanbieder, maar de mens die formeel bevoegd is om met het EPD te werken, zoals bijvoorbeeld foute zorgaanbieders en hun medewerkers, die uit hoofde van hun functie legitiem toegang hebben tot het systeem en ook overheidsdienaren die kunnen beschikken over het BSN. Zo zouden gegevens uit het EPD van een BN’er opgevraagd kunnen worden door via omkoping misbruik te maken van de rechten van een medewerker van de zorgaanbieder waar die BN’er onder behandeling is.
Als zelfs de politie, die haar medewerkers zorgvuldig screent, er al vanuit gaat dat 2% van haar medewerkers plat is, dan zullen er in de zorg zeker een paar duizend menselijke lekken in de beveiliging zitten. Dat een zorgaanbieder daarop gepakt kan worden heeft geen waarde. Medewerkers die misbruik maken, zullen meestal legaal toegang hebben. Een zorgaanbieder kan misbruik daardoor moeilijk voorkomen.
Systematisch misbruik van de gegevens van grote groepen mensen is niet mogelijk. Als gebruik gemaakt wordt van zo’n lek bij een zorgaanbieder, dan kunnen alleen de patiëntengegevens bekeken worden van degenen die daadwerkelijk behoren tot het patiëntenbestand van die zorgaanbieder.
Omdat de patiënt altijd toegang kan krijgen tot de logfiles, kan hij achteraf controleren wie er in zijn dossier heeft zitten grasduinen. Maar de dader kan hiervoor in feite niet gestraft worden. Dit is dus een beveiligingsmaatregel zonder veel waarde. En wie gaat er nu gezellig eens zijn logfile navlooien om te constateren of er gekeken is in zijn virtuele EPD?
Kortom, het risico dat privacygevoelige informatie op straat komt te liggen, door registratie in het EPD is voor de gemiddelde Nederlander vele malen kleiner dan het risico dat al zijn privacygevoelige gegevens, inclusief zijn creditcardnummer, via internet aangeboden worden voor € 5 per persoon. U kunt zich dus de moeite besparen om bezwaar aan te tekenen. Het risico dat de beschikbare informatie bij de zorgaanbieders fouten bevat, is veel groter en dat brengt risico’s mee voor uw gezondheid. Controleert u dus wel uw eigen EPD op correctheid, zodra deze mogelijkheid zich voordoet. 

4. Een andere invalshoek voor de risico’s

We kunnen ook vanuit een ander perspectief kijken naar de risico’s van registratie in het EPD. Er zijn partijen die er mogelijk voordeel bij hebben als ze kunnen beschikken over uw medische gegevens of deze zelfs kunnen wijzigen. Laten we deze partijen eens analyseren.
Hackers behoren niet tot de partijen die iets kunnen met uw medische gegevens. Natuurlijk vormen hackers altijd wel een hinderlijk gegeven. Net als insecten kunnen ze prikken, maar veroorzaken ze doorgaans alleen wat hinder en vrijwel nooit echte schade. Het systeem van het EPD is zodanig opgezet, dat het misschien wel gehackt kan worden, maar dat de schade altijd beperkt is. En omdat er voor de georganiseerde misdaad geen verdienmodel is voor het kunnen beschikken over uw gegevens uit het EPD, zal zij het systematisch hacken van het EPD niet sponsoren en supporten.
De belangrijkste partij waarvoor uw gegevens wel interessant zijn, is natuurlijk de zorgverzekeraar. Als een zorgverzekeraar weet welk risico hij met u loopt, dan kan hij zijn verzekering voor u beperken tot alleen de lagere risico’s of u zelfs helemaal weigeren als klant. Het afbreukrisico voor de zorgverzekeraars is echter te groot om via een illegale weg uw gegevens te raadplegen. De imagoschade is dan enorm. Wil een zorgverzekeraar legaal het EPD kunnen raadplegen, dan moet hij tevens als zorgaanbieder aangemerkt worden. Dan heeft hij immers wettelijk het recht om uw gegevens in te zien. En dat gevaar is niet denkbeeldig. Zorgverzekeraars schuiven steeds meer op naar een frontoffice-functie in de zorg. En de regie hierover is lokaal geregeld. Gemeenten zijn immers verantwoordelijk voor de invulling van de wet WMO. Daarbinnen hebben ze heel veel ruimte om eigen beleid te maken en om kosten te besparen en besteden ze met liefde taken uit aan een ieder die deze op goedkope wijze kan en wil invullen. Gemeenten hebben echter geen rol in de regie over het EPD en dus letten zij daar niet op. Het beeld van welke partij welke rol vervult en wie als zorgaanbieder aangemerkt mag worden is daardoor landelijk gezien zeer diffuus. Dit kan landelijke regelingen als het EPD frustreren. Hier ligt een systematische zwakte in het EPD, die met een aantal richtlijnen vanuit Den Haag niet afgedekt kan worden.
Een ander gevaar vormen natuurlijk de Nederlandse opsporingsdiensten zoals de politie, die mogelijk op oneigenlijke gronden (algemeen belang) toegang krijgen tot uw patiëntendossier. Voor het oplossen van misdrijven, zullen maar weinigen hiertegen bezwaar maken. Als echter tijdens een politiecontrole gekeken gaat worden of u misschien medicijnen gebruikt, waarop u mogelijk gepakt kan worden, dan wordt er een grens overschreden. Dat de Tweede Kamer door onvoldoende kennis van zaken dit soort gevaren niet kan beteugelen, is een ervaringsfeit. (Zie ook ‘Privacy kan definitief op de schroothoop’.)
Bovengenoemde vormen van misbruik behoren tot de nauwelijks bestrafte ‘witte boorden criminaliteit’. Pas als TV-programma’s als bijvoorbeeld Zembla, Kassa of Radar hier hun pijlen op richten, dan is er hoop dat dergelijke misstanden uit de wereld geholpen worden. Tot zolang zal de overheid waarschijnlijk ongestraft foute verwachtingen blijven communiceren en zullen experts foute argumenten aandragen, uitgedragen door journalisten voor wie de deadline voor de volgende editie en de nieuwswaarde belangrijker zijn dan waarheidsgehalte.
Als gemiddelde Nederlander kunt u hier weinig aan doen. U zult moeten leven met de blunders die onze overheid soms maakt. Meestal is het tenslotte geen opzet, maar kortzichtigheid van beleidsmakers, die hun werkgebied niet kunnen overzien en zich laten voorlichten door experts die gespecialiseerd zijn in een klein stukje van de puzzel. Gevolg is vaak een stuk sub-optimalisatie. (Zie ook ‘Beveiliging op z’n retour?‘.) Emigreren lost ook niets op. De wereld is tenslotte een dorp met diverse stamhoofden, ieder omringd door hun eigen vazallen, die nooit zullen roepen dat de keizer naakt is. Laat mij dat kind dan maar zijn, dat dat wel roept en dat zich richt tot andere kinderen zoals u.

 
Bron:
Coen Springelkamp, 'Het elektronisch dossier is lek'. In: De Telegraaf. 6 november 2008.

Download: