VWS verwerpt kritiek op beveiliging EPD door Guido van ’t Noordende

Guido van ’t Noordende stelt op basis van onderzoek dat er bij het landelijk EPD een aantal “basale veiligheidskleppen” ontbreken. Hij bracht de conclusies van zijn onderzoek onlangs naar voren tijdens het rondetafelgesprek over het landelijk EPD in de Eerste Kamer. Van ’t Noordende stelt onder meer dat de beveiliging onvoldoende is bij inbraak in het landelijk schakelpunt (LSP) of de ziekenhuissystemen die de mandatering regelen.

De conclusie uit het onderzoek van informaticus Guido van ’t Noordende dat de beveiliging van het landelijk EPD onvoldoende is, is niet onderbouwd. Het onderzoek is alleen gebaseerd op de ontwerpdocumentatie van het landelijk EPD. De UvA-onderzoeker constrateert gaten in de beveiliging van het EPD. Volgens het ministerie kloppen die bevindingen niet.

Van ’t Noordende gaat volgens VWS voorbij aan de maatregelen die bij de daadwerkelijke invoering van het landelijk EPD zijn genomen. Een van de twistpunten is de mandatering. Een ziekenhuismedewerker kan van een arts toestemming krijgen om patientgegevens in te zien. Dat gebeurt op naam van de arts. Die toestemming is decentraal geregeld maar wordt gelogd via het Landelijk Schakelpunt (LSP), de beveiligde verbinding tussen zorginformatiesystemen bij zorgverleners.Dat zegt het ministerie van VWS in reactie op het onderzoek dat van ’t Noordende heeft verricht naar de beveiliging van het landelijk EPD, aldus ICT Zorg. Het onderzoek legt niet de zwakte maar juist de kracht van de beveiliging van het landelijk EPD aan. Dat stelt beveiligingsdeskundige Jaap van der Wel.

Van ’t Noordende vindt die procedure niet veilig omdat bij het opvragen van gegevens via het LSP een medewerker niet om autorisatie wordt gevraagd. Onrechtmatige toegang tot gegevens kan volgens de informaticus alleen achteraf worden vastgesteld door analyse van loggegevens. De onderzoeker pleit voor een extra beveiligingslaag.

VWS stelt: ‘In het licht van een zorgvuldige afweging tussen het potentiele risico van misbruik van mandatering en werkbaarheid van procedures in de praktijk, is gekozen voor decentrale registratie van mandateringsrelaties. Hierbij is uitgegaan van een goede balans tussen een adequaat beveiligingsniveau en een werkbare praktijksituatie.

De onderzoeker stelt verder aan de kaak dat het bewaren van loginformatie van gewiste patientgegevens in strijd is met het recht op het verwijderen van informatie.

Het landelijk schakelpunt (LSP) wordt jaarlijks door onafhankelijke derden getoetst door middel van audits en indringerstesten. De testen die tot heden zijn uitgevoerd, hebben volgens VWS laten zien dat de beveiliging van het landelijk EPD  “adequaat” is. Onder meer gespecialiseerde hackers hebben de testen uitgevoerd.

Redactie Medicalfacts/ Janine Budding

Ik heb mij gespecialiseerd in interactief nieuws voor zorgverleners, zodat zorgverleners elke dag weer op de hoogte zijn van het nieuws wat voor hen relevant kan zijn. Zowel lekennieuws als nieuws specifiek voor zorgverleners en voorschrijvers. Social Media, Womens Health, Patient advocacy, patient empowerment, personalized medicine & Zorg 2.0 en het sociaal domein zijn voor mij speerpunten om extra aandacht aan te besteden.

Ik studeerde fysiotherapie en Health Care bedrijfskunde. Daarnaast ben ik geregistreerd Onafhankelijk cliëntondersteuner en mantelzorgmakelaar. Ik heb veel ervaring in diverse functies in de zorg, het sociaal domein en medische-, farmaceutische industrie, nationaal en internationaal. En heb brede medische kennis van de meeste specialismen in de zorg. En van de zorgwetten waaruit de zorg wordt geregeld en gefinancierd. Ik ga jaarlijks naar de meeste toonaangevende medisch congressen in Europa en Amerika om mijn kennis up-to-date te houden en bij te blijven op de laatste ontwikkelingen en innovaties. Momenteel ben doe ik een Master toegepaste psychologie.

De berichten van mij op deze weblog vormen geen afspiegeling van strategie, beleid of richting van een werkgever noch zijn het werkzaamheden van of voor een opdrachtgever of werkgever.

Recente artikelen