jan
13
2011

Hackers nemen EPD onder handen

Voor de verplichte invoering van het omstreden Elektronisch Patiëntendossier worden nog enkele wijzigingen doorgevoerd om de aanhoudende security- en privacyzorgen te sussen. Patiënten krijgen de mogelijkheid om zelf te bepalen wie hun digitale medische dossier allemaal mag inzien. Zij kunnen op voorhand aangeven dat bijvoorbeeld alleen de eigen huisarts, specialist en apotheek de gegevens mogen inzien. Dat belooft minister Edith Schippers van Volksgezondheid aan de Tweede Kamer.

Niet mogen of kunnen?

Het is nog onduidelijk of dit betekent of zorgverleners die er niet bij mogen er ook niet bij kunnen. Tot nog toe is het systeem zodanig ingericht dat controle op wie toegang heeft alleen achteraf mogelijk is.

Daarnaast gaat ook de toegang tot het EPD voor patiënten zelf op de schop. In plaats dat dit via een door de overheid opgezet, landelijke portaal gebeurt, wil de minister dat patiënten via de website van de zorgverlener in het EPD kunnen komen.

Reden hiervoor is dat via websites van zorgverleners aanvullende informatie en service geboden kan worden, zoals notitie- en afspraakmogelijkheden en het inzien van röntgenbeelden en labwaarden. Ook kunnen patiënten automatisch een mailtje of een sms krijgen wanneer hun medische gegevens via het EPD worden geraadpleegd.

Grootschalige indringerstest

Twee jaar geleden beloofde toenmalig minister Klink al dat het EPD zou worden getest door hackers. Minister Schippers meldt nu dat op onderdelen van het EPD ‘verschillende indringerstesten’ zijn uitgevoerd. Naast verschillende experts op het gebied van elektronisch gegevensverkeer zijn hiervoor ook ‘ethical hackers’ ingeschakeld. “Deze testen hebben geleid tot aanpassingen en verbeteringen, maar niet tot kritieke bevindingen.”

Er komt binnenkort nog een hackronde. “Voorafgaand aan de verplichte aansluiting op het EPD organiseert Schippers binnenkort een grootschalige, ketenbrede indringerstest.”

13 Comments »

  • avatar Colani schreef:

    Ben nog steeds blij dat ik NEE heb gezegt.
    Het is al lek als je dit verhaal leest.

    Daarnaast, zwakke punt is toch nog steeds de “eind” gebruiken.
    huisartsen, ziekenhuis terminals, meschien mobiele devices.
    En dan heb je nog de thuisgebruiker.

    En de opzet toegang weigeren achteraf is ook zo fout.
    Meneer u mag niet in mijn papieren kijken,
    verzekering. maakt niet uit we hebben toch al alles gecopieerd.

    • avatar Kanarie schreef:

      Ik vraag me of dat Nee nog geldig blijft.
      En daarnaast het gaat op de schop, het wordt opt-out die je dus zelf bij iedere !!!! zorgaanbieder moet gaan doorvoeren.

    • avatar T€rr0r schreef:

      Jij hebt liever dat je als je in coma met de traumahelicopter binnen gebracht wordt, dat ze wachten tot je wakker bent voordat ze beginnen met je te helpen?
      Zo van: sorry hoor, maar we konden niet bij uw gegevens…

      Denk nou eens even na: achteraf controle is de enige mogelijkheid. Het is gewoon een kwestie van voldoende boetes. Zoiets van: een verzekering die onterecht informatie opvraagt moet bv. 10 jaar lang premievrij de verzekering leveren. Reken maar dat het dan zichzelf wel regelt…

      • avatar Colani schreef:

        Bij een ernstig ongeluk geld vooral het eerste uur. Dan wordt er een vast protocol afgehandeld om de patient te stabiliseren. Pas later, zou het EPD van pas kunnen komen om bv. het medicijngebruik te controleren. Maar de meeste mensen zitten al in een regionaal EPD (overigens ook zonder vooraf toestemming te hebben verleend!!!). Het lijkt me voldoende als landelijk bekend is wie je huisarts en een paar naaste familieleden zijn. Dan kan daarmee contact opgenomen worden.

        Voor mij is het nut van een landelijk EPD nog steeds niet aangetoond.

  • avatar Rooie Rat schreef:

    Verbind de hacktest aan een prijs:

    “De eerste 50 die op verschillende methodes binnendringt krijgt €5000. Meerdere prijzen mogelijk.”

  • avatar Paula schreef:

    Wat krijgen we nu weer? EPD verplicht! Wat is de overheid toch een enorme onbetrouwbare partij. Eerst moet je veel kosten maken om je af te melden en dan zeggen ze doodleuk dat het verplicht is.
    Stelletje gajes zijn die ambtenaren. Veel korten op die hap stel ik voor.

    • avatar T€rr0r schreef:

      En wat is de bron van dit “nieuws”? Het gaat in dit artikel over verplichte aansluiting van de zorgverleners, de 2de alinea begint dan ook heel ongelukkig.

  • avatar Anita schreef:

    Ja,ja, net alsof mijn huisarts een website heeft! Die man leeft nog in het stenen tijdperk waar het IT betreft. Bij een specialist of apotheek ben ik (gelukkig) al jaren niet geweest. Dus hoe kom ik dan bij m’n EPD?

    Trouwens, ik heb NEE gezegd. Als ik niet persoonlijk bericht krijg dat dat niet meer zou gaan gelden, dan ga ik ervan uit dat mijn dossier niet in e.o.a. on-line toegankelijke DB komt.

  • avatar Johannes schreef:

    Zinloze exercitie. Het landelijk schakelpunt kan wel redelijk adequaat worden beveiligd, maar ieder systeem waar je zo bij kan komen is per definitie zo lek als een mandje.
    Recentelijk nog bij een zorgverlener geweest en waar ik verzocht word om plaats te nemen in een behandelkamer waar een PC staat, zonder andere personen. Even later komt een verpleegkundige binnen en laat me op de PC al mijn gegevens zien waarvoor ik behandeld werd, zonder in te hoeven loggen. Even later werkt de arts mijn dossier bij, uiteraard ook zonder in te loggen. Als je deze mensen, die mij overigens zeer kundig leken op hun vak, moet gaan uitleggen wat hier allemaal mis is op informatiebeveiligingsgebied, dan ben je zo lang bezig dat ze het 1e jaar geen enkele andere patient kunnen helpen. En aangezien de meeste zorgverleners evenveel kennis hebben van informatiebeveiliging als deze zorgverlener, zal het landelijk epd nooit veilig kunnen worden.

    • avatar Hummer schreef:

      Het lijkt wel of iedereen hier tegen een EPD is.

      Hoe denken jullie dat het tot nu toe gaat? Precies hetzelfde: de verpleegkundige haalt het papieren dossier uit de kast, geeft je informatie, de arts komt, schrijft er zijn aantekeningen bij, en het wordt weer weggestopt. Of het zit in het lokale computersysteem, zonder verdere beperkingen.

      Het EPD voegt hier juist controle aan toe: er is geen grote centrale database met al je gegevens, maar via een centrale faciliteit kan een arts wel informatie over jou opvragen bij een andere instantie. Die centrale faciliteit biedt daarmee de mogelijkheid om zicht te krijgen op wie er in je gegevens kijkt. Netto worden je gegevens dus vele malen beter traceerbaar.

  • avatar baggerkip schreef:

    stel: je wil niet dat iemand in jou dossier kan kijken. en je komt in het ziekenhuis. en je zegt : sorry maar ik wil niet dat u al mijn gegevens hebt. zou je dan ook niet meer geholpen worden?

Abonneren op de RSS-feed van deze topic.


Plaats een reactie

(wegens opgewonden standjes moet uw reactie eerst goedgekeurd worden)

*

Onze sponsor Colani | Ontwerp: Oppositie 2.0 door colani.nl