Het elektronisch patiëntendossier

Ach genista

Wie was het ook weer die hier op het forum zo'n mooie uitdrukking voor dergelijke schijnheilige verontwaardiging had? "Het is net als een roofovervaller die bij zijn aanhouding zegt tegen de politie: 'jah, maar jullie reden door rood!!'"

Temet (ot)

Ja, 't is Hester. Bel haar en dank haar, namens het ganse volk!
Groet,
Miriam Lavell

Social engineering

Ik schrok me ook een hoedje van de reactie van het LUMC. Reden genoeg om daar niet meer heen te willen.

Het gekke is, dat als er over veiligheid gepraat wordt, het vrijwel altijd gaat over technische veiligheid. We hebben 256 bits encryptie en voldoen daarmee aan de eisen en "dus" is het goed. Nou zit in dit geval zelfs dat niet goed (die zorgpas chip is al lang gekraakt en de website is niet eens gecheckt op de meest basale lekken zoals het xss probleem wat een paar dagen geleden naar buiten kwam), maar dat buiten beschouwing latend is het grootste gevaar, de zwakste schakel, ALTIJD de mens. Er is zelfs een naam voor wat deze journalist deed: "social engineering". Dit is de enige methode die Kevin Mitnick, een van de bekendste computerhackers ooit, gebruikte om aan informatie (wachtwoorden en dergelijke) te komen.

Het LUMC en de andere ziekenhuizen die zonder problemen de dossiers meegaven (MHC Antoniushove in Leidschendam, het Reinier de Graaf Gasthuis in Delft, het Haagse Bronovo, het Diaconessenhuis in Leiden en het MHC Westeinde in Den Haag) zouden deze journalist uitgebreid moeten bedanken voor het onder de aandacht brengen van deze enorme lacune in hun security, zodat ze er iets aan kunnen doen voordat criminelen (nogmaals) hetzelfde doen.

Artikel nrc van vandaag

Vandaag in het NRC stond het volgende artikel:

Klink rijdt gevaarlijke schaats met Elektronisch Patiënten Dossier

Gepubliceerd: 12 november 2008 09:54 | Gewijzigd: 12 november 2008 10:16

Door David de Boer en Saskia Reuling

In de brief van minister Klink over het Elektronisch Patiënten Dossier wordt niets gezegd over de nadelige gevolgen van dit systeem. Terwijl daar de discussie over moet gaan, vinden David de Boer en Saskia Reuling.

De brief over het Elektronisch Patiënten Dossier (EPD) van minister Klink die 2 november jl. bij de burger op de mat is gevallen, is prematuur en ondemocratisch. Het is een oneigenlijke poging om steun te organiseren voor zijn standpunt onder de noemer van informatieverstrekking. De brief heeft meer weg van een verkapte reclame-uiting dan van objectieve voorlichting.
Het wetsontwerp EPD is nog niet behandeld/goedgekeurd in de Tweede Kamer en is dus nog geen wet. Door hierop vooruit te lopen probeert de minister een fait accompli te creëren: indien een relatief klein aantal burgers gebruikt maakt van de mogelijkheid tot bezwaar levert hem dit een belangrijk argument pro op voor de discussie in het parlement. Onterecht: doordat de voorlichting aan het publiek eenzijdig en gemankeerd is én het maken van bezwaar omslachtig, creëert de minister bij voorbaat de door hem gewenste uitkomst. In de brief wordt bovendien de suggestie gewekt dat het maken van bezwaar nadelige gevolgen kan hebben: „uw huisarts of apotheker kan u vertellen wat de mogelijke gevolgen voor u zijn als u bezwaar maakt. Uiteraard kunt u uw bezwaar ook altijd weer intrekken”.
Wat het EPD zelf voor nadelige gevolgen kan hebben wordt in de brief onvermeld gelaten, terwijl dát nu juist het punt is waarom de discussie moet gaan. Is het systeem wel waterdicht en kan geen misbruik worden gemaakt van deze zeer privacygevoelige informatie door onbevoegde derden, waaronder verzekeringsmaatschappijen?
Volgens de kenners is het kraken van het EPD-systeem niet ingewikkeld. Tot het bewijs van het tegendeel is geleverd moet er dus rekening mee worden gehouden dat vertrouwelijke gegevens veel eenvoudiger dan nu het geval is kunnen worden verkregen door instanties als ziekte- en arbeidsongeschiktheidsverzekeraars. Maar ook door de farmaceutische industrie, overheidsinstanties en willekeurige derden.
Juist deze week is bekend geworden dat in de Verenigde Staten een vergelijkbaar systeem is gehackt en dat, indien niet betaald wordt, de vertrouwelijke gegevens openbaar zullen worden gemaakt. Chantage dus. Ook kwam deze week in het nieuws dat creditcardgegevens van Nederlanders voor 5 euro kunnen worden gekocht in Duitsland. Onvoldoende digitale beveiliging is schering en inslag en voordat een belangrijk project als het EPD wordt ingevoerd dient hierover maximale duidelijkheid en zekerheid te bestaan. Daarvan is op dit moment geen sprake.
Ook de aanname in de brief dat door het EPD minder fouten zullen worden gemaakt, is twijfelachtig. Bij de invoer van gegevens kan immers ook van alles mis gaan. Een computer volgt wat de mens doet. De foutenbron blijft afhankelijk van menselijke handelingen. Bij een computersysteem is bovendien een ingevoerde fout moeilijker te herstellen, omdat meer handelingen vereist zijn juist in verband met de beveiliging. Daar komt bij dat in de arts-patiëntrelatie er ook een belangrijke verantwoordelijkheid bij de patiënt zelf ligt om informatie te verstrekken. Ook heeft de patiënt het recht om op bepaalde momenten en bij bepaalde artsen niet altijd zijn volledige ziektegeschiedenis op tafel te leggen.
Tot slot suggereert de brief van minister Klink dat de zorgverleners achter het EPD staan. Dit is in strijd met de waarheid. Zo heeft de Landelijke Huisartsen Vereniging kortgeleden een brief gestuurd aan alle huisartsen in Nederland waarin juist wordt gewaarschuwd voor de invoering van het systeem op korte termijn. Een citaat uit die brief: „de resultaten zijn echter nog niet van dien aard dat wij het verantwoord vinden om op korte termijn met het EPD te gaan werken.”
Het lijkt de standaard aanpak van het ministerie van WVC te worden om dingen door te zetten zonder te luisteren naar de mensen die er verstand van hebben. Een ander voorbeeld daarvan is de vaccinaties van jonge vrouwen tegen baarmoederhalskanker. Alleen naar de argumenten pró wordt geluisterd, maar de gezaghebbende argumenten en bewijzen tégen worden genegeerd. Bij het EPD kan dit nog worden voorkomen. Maar inhoudelijke discussie heeft weinig zin als de minister, zoals hij met zijn brief doet, in feite al bezig is met de invoering.

David de Boer is huisarts. Saskia Reuling is advocaat.

Automatische antwoorden

ze hebben maar een automatisch replay ingesteld geloof ik )))

Mijn mail is verzonden!

En er komen er ook niet aan....

helaas....kennelijk al een volle mailbox?

Stuk hester de vries

Dames, dank, maar ik heb het artikel inmiddels gelezen - kon de krant van dinsdag hier op kantoor nog uit de papierbak vissen.

Zag overigens dat Sigmund ook al over het EPD ging.

De tegenacties beginnen aardig op stoom te komen ...

Groeten,

Temet

Op standaard antwoorden krijgen ze van mij een standaard reply:

Ik stel u een aantal vragen waarop ik graag antwoord ontvang. Ik neem de moeite zorgvuldig te formuleren en heb ook de moeite genomen om me vergaand te verdiepen in het onderwerp. Ik verwacht van een volksvertegenwoordiger op
zijn minst dezelfde inzet.

Rosa die datum

Grappig dat de SGP geen datum voor behandeling weet. Ik weet niet hoe laat jij deze mail ontving, maar ik kreeg na enig aandringen om 11.36 dit antwoord op de vraag wanneer de plenaire behandeling is van het wetsvoorstel:
"De SGP heeft op dit dossier een kritische insteek, maar wij zullen het debat met de regering afwachten alvorens ons definitieve standpunt te bepalen voor wat betreft het wetsvoorstel Elektronisch patiëntendossier (31.466).
Wat de verdere behandeling betreft heb ik nog geen data, maar de griffier meldde me zojuist wel dat tijdens de procedurevergadering VWS van volgende week woensdag voorgesteld zal worden het voorstel voor plenaire behandeling aan te melden. Het streven van de regering is om het voorstel per 1 januari 2009 in te laten gaan, maar gezien het feit dat het ook nog in de Eerste Kamer behandeld zal moeten worden, lijkt ons dat niet haalbaar.
"

En zn

ZN waarover de minister in zijn antwoorden zo vriendelijk spreekt ("k ben blij met de steun van de NPCF en ZN voor de invoering van het landelijk EPD") is Zorgverzekeraars Nederland....

Bovendien

stond blijkt de "kritische insteek" waarover de SGP fractie spreekt in de reactie aan mij, niet uit het verslag dat Rosa gepost heeft: de SGP heeft geen enkele vraag gesteld, laat staan kritische vragen. Jammer jammer....

Nog een column

http://frontpage.fok.nl/review/8489/1

De fracties blijven angstig stil

Ik heb al zeker anderhalf uur geen mail meer gehad. Zij proberen steeds minder om mij een kluitje uit te reiken en de weg naar het riet te wijzen.

Ik ook niet

hebben we de server platgelegd wellicht?

Zijn we door de beveiliging heen gekomen hahahahahahahaha!

Leuk leuk leuk

Genista, ik ken de schrijver van die column op fok, grappig! Wat ik hoop is dat er naar aanleiding van de bezwaren tegen het EPD nu eindelijk eens goed naar de beveiliging van dit soort zeer vertrouwelijke gegevens wordt gekeken (wat afgezien van fouten dus ook voor mij het belangrijkste bezwaar is). Ik internetbankier niet en heb geen credit card. Mijn Bonuskaart heb ik anoniem aangevraagd. Ik ben wantrouwig in dit soort zaken. Heb ook dat programma gezien over het gemak waarmee je op naam van een ander iets kunt kopen.
Anyway, het zal er wel weer op uitdraaien dat er helemaal nergens naar wordt gekeken en dat het EPD al een voldongen feit is. Jammer voor u, we hebben nu eenmaal een representatieve democratie.
Groetjes
Massi

Log karin spaink

http://www.spaink.net/

Kenden we deze al?

http://www.medicalfacts.nl:80/2008/11/07/beveiligingsexperts-van-fox-it-ontdekken-lek-in-epd/

Tirza

Ik ga in bezwaar.

Morgen de hele boel maar kopieren, handtekening plaatsen (en mijn zoon mag ook, wat leuk en opsturen.

Het is toch van de zotte dit hele gedoe.

De tekst van karin spaink

Hij is zeer lezenswaard. De specifieke link naar het EPD-log is http://www.spaink.net/2008/11/12/gezond-bezwaar/
en de tekst:
Gezond bezwaar
Wat voor risico loopt u, als u bezwaar aantekent tegen de uitwisseling van uw medische gegevens via het elektronische patiëntendossier? Kunnen uw artsen dan nog wel bij uw medische gegevens?
Natuurlijk kan dat. Sterker, dat moeten ze. Alleen gaat die uitwisseling dan op de oude, vertrouwde (en veilige) manier: via een brief, of – als het een ziekenhuis betreft – via het interne patiëntensysteem. Wie bezwaar maakt tegen de elektronische uitwisseling van z’n gegevens, zorgt er alleen voor dat anderen niet bij z’n dossiers kunnen. Wat precies is wat je wilt. Want elke arts of verpleegkundige die uw gegevens werkelijk nodig heeft, krijgt ze nu al. Het EPD breidt de kring van meekijkers vervaarlijk uit. Minister Klink beweert wel dat er streng zal worden gecontroleerd wie wat wanneer en waarom inziet, maar vergeet daarbij de UZI-passen (die de toegang tot het EPD moeten regelen) volgens het TNO zo lek als een mandje zijn en dat er bovendien een volkomen nieuwe groep mensen bij uw dossiers kan voor wie het medisch geheim überhaupt niet geldt: IT-specialisten en hackers.
Dataverzamelingen hebben daarnaast een inherent risico: wie veel verzamelt, kan veel verliezen, en hoe meer mensen bij zulke gegevens kunnen komen, hoe groter de kans op ongelukken. De niet-aflatende stroom verhalen over verloren USB-sticks, cd’s met dossiers, openstaande websites en dergelijke bewijst dat ‘normale’ beveiliging niet volstaat. We gaan gewoonlijk slordig met computers om, ook als daarop gevoelige informatie staat. Het is al voorgekomen dat het netwerk van de poliklinieken van een ziekenhuis met een virus kampte: een week lang kon geen enkele arts bij de elektronische dossiers van zijn patiënten. Ook huisartsenpraktijken hebben nu al geregeld te kampen met besmette computers. Wat ze daarenboven nog eens extra gevoelig maakt voor hackers.
En nu al lonken anderen naar toegang tot het EPD. De bedrijfsartsen hebben al gevraagd of zij niet ook toegang kunnen krijgen: dat leek ze wel handig. Terecht heeft de Tweede Kamer daar een stokje voor gestoken, maar ik vrees dat het een kwestie van tijd is voordat ze die toestemming alsnog krijgen.
Maar wat nu als me ineens iets overkomt, vragen veel mensen zich af; dan moet zo’n eerste hulp of ambulancebroeder toch snel over mijn gegevens kunnen beschikken?
Welnee. Ambulance- en EHBO-personeel hebben helemaal geen EPD nodig. Als u met een stilstaand hart, een epileptische toeval of een kapotte slagader op straat ligt, gaan ze niet eerst uitzoeken wie ze voor zich hebben: ze grijpen meteen in en al het andere, zoals het raadplegen van uw dossier, komt later. Dat niet-reanimatieverklaringen zo vaak worden genegeerd, zelfs als ze op het lichaam worden gedragen, is daarvan een onprettig bewijs. In vrijwel alle andere gevallen kunt u zelf uitleggen dat u allergisch bent voor antibiotica of dat u elders onder behandeling bent wegens astma.
Klinks argument dat het EPD medische missers kan helpen voorkomen, is evenmin op realiteit geschoeid. Uit internationaal onderzoek blijkt dat het EPD zélf een van de voornaamste bron van medische fouten is geworden: gegevens worden niet goed verwerkt, programma’s hebben fouten, mensen klikken verkeerd op een scroll-down menuutje, voeren gegevens verkeerd of dubbel in, et cetera.
Dat de Landelijke Huisartsen Vereniging haar medewerking aan het landelijk EPD heeft opgeschort, lijkt me een teken aan de wand. Als uw eigen huisarts al geen EPD wil…

Hoe ziet het met....?

Nooit aan gedacht, maar 'iemand' (van VWS) heeft op 31 oktober al een wikipedia aangemaakt over het EPD. Ik heb daar inmiddels e.e.a in veranderd. Niet te bont, want dat stuit maar op verzet, of ziet er snel te vooringenomen uit.
Wikipedia als propagandamachine van de overheid, hm.
Nu ja, nog een vraag.
Ik weet bij god niet meer waar ik het las, dat was wel iets officieels, maar de stelling is dat zorgverleners die zich al gemeld hebben bij het EPD, van jouw bezwaar op de hoogte gebracht worden.
Zou dat waar zijn? En waarom zou dat zo zijn? Ik kan geen ICT techniek verzinnen die dat nodig heeft. Hoe dan ook: Betekent dit dat niet alleen het LSP, maar ook iedere zorgverlener een bestand van bezwaarden bewaart?
En wat doet men daar dan mee?
Groet,
Miriam Lavell

Nog wat

Hier http://infoepd.nl/informatiepunt_com/zorgconsument_vraag_en_antwoord.php?page_id=waarom_wet_op_epd&onderwerp=EPD0092827276262639339
Is nog steeds te lezen:"Voor het uitwisselen van gegevens tussen zorgverleners via het landelijk EPD-netwerk is geen aparte wet nodig."
Dat is een leugen. Hoe krijgen we dat weg?
Groet,
Miriam Lavell

*trekt pruillip*

Ik heb al tig keer een mail gestuurd naar dat ifoepd, maar ik krijg nooit antwoord! Wel een bevestigingsmail.
Groet,
Miriam Lavell

Asterix en cleopatra?

Ja, vraag even.
Mijn punt is eigenlijk: Hoe werkt dat nou, dat epd? Ik ben in de suffe veronderstelling dat wie bezwaar maakt botweg niet gevonden wordt door de zorgverlener. Hij wil iets kwijt of zoeken, maar ik (mijn bsn) zit er niet in, dus dat lukt niet.
Of is het anders: Zorgverleners kunnen alles kwijt, ook over bezwaarmakers komen de signaleringen (bezoek aan psychiater de Geksteniet, datum, etc.) gewoon in dat LSP terecht, maar niemand kan er bij.
Dat mag natuurlijk niet en daar is niet een ICT oplossing voor bedacht, maar de aloude brief: wilt u alstublieft niets in het LSP stoppen van mevrouw Lavell, want dat wil ze niet, waarvan elke zorgverlener natuurlijk een administratei bij moet houden, want wie weet kom ik daar bij stom toeval wen eens terecht.
Zou het werkelijk zo in elkaar zitten?
Ik krijg ineens een beeld voor me. Was het niet Asterix en Cleopatra waar vanonder de teak houten desks klein gerokte mannetjes tevoorschijn kwamen om hollend en wel, accuraat en snel Belangrijke Berichten door te sturen?
Automatisering. Hm.
Groet,
Miriam Lavell

Nog zo'n leuk bericht

Ziekenhuis laks met dossiers
Door RONALD VAN GEENEN
DEN HAAG - Ziekenhuizen gaan veel te laks om met de digitale gegevens van hun patiënten. Met de techniek zit het wel goed. Het probleem zit in het gedrag van ziekenhuispersoneel. Daardoor liggen ernstige missers op de loer en kunnen onbevoegden vaak ongestoord rondneuzen in medische dossiers.

Dat blijkt uit een gezamenlijk onderzoek dat vandaag wordt gepresenteerd door de Inspectie voor de Gezondheidszorg (IGZ) en het College Bescherming Persoonsgegevens.

Afgelopen jaar deden zij in twintig ziekenhuizen onderzoek naar de informatiebeveiliging van medische gegevens. Die blijkt vaak ondermaats.

Volgens het rapport zijn ziekenhuizen onvoldoende doordrongen van de risico’s. Zij worden gedwongen op korte termijn maatregelen te nemen. ,,Er moeten waarborgen zijn voor veilige zorg en privacy van patiënten. Dat is een belangrijke voorwaarde om aan te sluiten op het landelijk Elektronisch Patiëntendossier,’’ schrijven de onderzoekers.

Komend jaar moeten alle ziekenhuizen een plan van aanpak bij de inspectie inleveren om het tij te keren. In 2010 wordt gecontroleerd of zij aan de normen voldoen.

Als die datum wordt gehaald, zijn ziekenhuizen nog op tijd voor het landelijke EPD, volgens hoofdinspecteur Jan Vesseur van de IGZ. In 2009 worden eerst huisartsen en apothekers op het landelijke netwerk aangesloten.

Vesseur maakt zich zorgen over het gemak waarmee onbevoegde ziekenhuismedewerkers in digitale dossiers kunnen neuzen. ,,Wij werken aan een waarschuwingssysteem dat alarm slaat als iemands gegevens ineens heel vaak worden geraadpleegd, bijvoorbeeld die van een bekende Nederlander.’’

Ook maant de inspectie ziekenhuizen om gedragscodes op te stellen voor het gebruik van medische dossiers. Vesseur: ,,Daarin moeten ook sancties staan bij onbevoegd gebruik. Die zijn er nu nauwelijks.’’
Groet,
Miriam Lavell

Zo werkt het cbp

Voor wie zich al een tijdje afvraagt waarom onze nationale privacy waakhond niet meteen met honden op minister Klink is afgestapt, een treffend voorbeeldje van hoe men daar te werk gaat.
Casus OV chipknip.
Daar is naast veiligheid nog veel meer over te doen. Hier http://www.cbpweb.nl/documenten/pb_20081111_ovchip_dm.shtml?refer=true lees je over de laatste strubbelingen. Dat gaat over het gebruik van gegevens voor marketingdoeleinden. Het heeft lang geduurd voordat men bereid was zich te beperken tot wat de wet toestaat.
Maar tussen wet en daad gaapt een gruwelijk gat. 'Zouden ze dat wel doen' vraag je je af en juist dat geeft een onveilig gevoel.
Het CBP denkt daar ook zo over en start, nu de OV chipkaart het enige betaalmiddel wordt in Rotterdam, meteen een ambtshalve onderzoek.
http://www.cbpweb.nl/documenten/pb_20081111_ovchip_metro_ret.shtml?refer=true
Zo zal dat met dat EPD ook gaan. Het is nu eenmaal zo dat de wet overtreden iets is wat je moet doen. Het van plan zijn is niet zomaar strafbaar. En hoewel de wetsvoorstellen over het EPD inmiddels voldoen aan dat wat de WBP (en Europese wetgeving) van zo'n voornemen eist, zegt dat nog niet zo veel over de toepassing in de praktijk. Die wordt pas getoetst als de praktijk daar is.
Groet,
Miriam Lavell

Tenzij....

we eerder al bewijzen vinden van het in gebruik zijn van dat EPD. Dat mag niet terwijl overal staat dat dat wel gebeurt of gaat gebeuren. Maar op die informatie kan het CBP niet af gaan. Zeggen dat je de wet gaat overtreden is ook niet verboden.
Groet,
Miriam Lavell

Fris en min of meer monter

of moet ik zeggen: met frisse tegenzin? zit ik weer klaar voor een rondbel en -mail dagje.

Sancy

Aanknopingspunt: Dat er al dossiers ingevoerd zijn, heb ik gevonden in het verslag dat de SGP mailde, in een wanhopige poging dat "antwoord op de vragen" te noemen.
"Het aantal zorgaanbieders dat is aangesloten op het LSP was langere tijd beperkt, maar loopt geleidelijk op. Inmiddels (d.d. 28-10-2008) zijn 83 zorgaanbieders aangesloten op het LSP. Er zijn circa 250.000 dossiers aangemeld. Het aantal opvragingen van medicatiegegevens is 82.290 en het aantal opvragingen van huisartswaarneemgegevens staat op 34.660." staat daarin. Kun je hiermee verder? Ik zal de komende dagen wat minder actief kunnen zijn dan ik zou willen.