Elektronisch Patiëntendossier (EPD) bevat gaten in de beveiliging
ArrayNieuwe studie naar EPD legt gaten in beveiliging bloot
Het Elektronisch Patientendossier (EPD) bevat gaten in de beveiliging. Zo wordt onvoldoende rekening gehouden met inbraken in zorginformatiesystemen of het Landelijk Schakelpunt (LSP). Bovendien is de mandatering waarmee artsen hun medewerkers namens henzelf toegang geven tot het EPD erg eenvoudig te misbruiken om toegang te krijgen tot een dossier. Dat blijk uit onderzoek van Guido van ’t Noordende, informaticus van de Universiteit van Amsterdam. Uit deze eerste grote wetenschappelijke studie naar de beveiligingsarchitectuur van het EPD komt naar voren dat de beveiliging – en daarmee de confidentialiteit en privacy – van patientgegevens in het EPD niet afdoende gewaarborgd is.
Voor het opvragen van een dossier hebben zorgverleners zoals artsen een eigen smartcard (‘UZI-pas’) waarmee ze toegang krijgen bij het LSP. Dit schakelpunt zoekt vervolgens het dossier op bij de informatiesystemen die de EPD’s beheren. Van ’t Noordende stelt dat in het geval van een inbraak in het LSP of de ziekenhuissystemen die de mandatering regelen de beveiliging onvoldoende is. Een goede stok achter de deur in de architectuur van het EPD ontbreekt volgens de informaticus.
Problemen
Zorgverleners kunnen andere medewerkers toestemhttp://www.uva.nl/actueel/ming geven voor toegang tot het LSP en dossiers. Maar het LSP heeft geen mogelijkheden om te controleren dat de medewerker echt is gemandateerd. Er wordt geen bewijs meegestuurd op het moment dat de medewerker namens de arts iets opvraagt. Ziekenhuizen hebben een systeem dat mandatering regelt maar die kunnen ook aangevallen worden door hackers. Een arts zou daarom een bewijs voor toestemhttp://www.uva.nl/actueel/ming moeten geven aan de gemandateerde, die meegestuurd kan worden naar het LSP bij het opvragen van een dossier.
Een ander probleem is dat een patient moet aangeven dat hij of zij een behandelrelatie heeft met de arts voordat die het EPD van die persoon kan raadplegen. Deze toestemhttp://www.uva.nl/actueel/ming is, net als de toestemhttp://www.uva.nl/actueel/ming die de arts aan de medewerker geeft voor het opvragen van een dossier, decentraal geregeld en niet zichtbaar voor het LSP, dat de toestemhttp://www.uva.nl/actueel/ming dus niet kan controleren. Van ’t Noordende ziet ook een probleem bij een inbraak in het LSP, want op dit moment kan de aanvaller dan in feite alle patientendossiers opvragen. Er kan decentraal (bij de systemen die de opgevraagde dossiers bevatten) niet gezien worden of er een zorgverlener achter de aanvraag zit. De protocollen bij het LSP geven hiervoor niet voldoende veiligheid. Inbreken in het LSP is niet eenvoudig, maar ook niet uit te sluiten. Dat ziekenhuissystemen te hacken zijn is in het verleden al aangetoond.
Informatie uit EPD nooit verwijderd
Als een patient geen bezwaar heeft gemaakt na de brief van minister van Volksgezondheid Ab Klink over het EPD, wordt een dossier aangemaakt. Maar een patient kan niet elke keer toestemhttp://www.uva.nl/actueel/ming geven als een zorgverlener nieuwe informatie toevoegt aan het dossier. Dat is niet zichtbaar. Een patient kan zijn of haar EPD wel inzien en ongewenste dingen verwijderen. Maar die bewuste gegevens verdwijnen nooit helemaal want het LSP bewaart de gewiste gegevens voor een bepaalde periode (reconstructiehorizon). Van ’t Noordende stelt daarom dat patienten zeggenschap moeten krijgen over welke informatie in hun EPD wordt opgeslagen. Een aanvullende oplossing is dat iedere patient een smartcard krijgt. Dan wordt de verwijderde informatie versleuteld waardoor alleen de patient ooit nog bij de gewiste informatie kan. Op die manier is verwijderde informatie niet meer terug te vinden bij een inbraak in het LSP.
Het onderzoek van Van ’t Noordende is te raadplegen via onderstaande verwijzingen.
VerwijzingenMeer informatie
www.epdinfo.eu
Bron: UvA Persvoorlichting