Re: [Nettime-nl] EPD - moeten we het daar es niet over hebben

[paulv <paulv@bikkel.org>]

Quoting Richard Reekers <r.reekers@chello.nl>:

> Beste Nettimers,
>
> Vandaag voor de tigste keer in het nieuws: het elektronisch   
> patientendossier (EPD).
>
> Nettime is voor netkwesties. Onder jullie bevinden zich deskundigen   
> en specialisten met betrekking tot e-beveiliging en -privacy, toch   
> bleef en blijft stil op de lijst over dit onderwerp.
>
> Zelf zie ik het probleem niet zo.
>
> Iedere (para)medicus en verpleegkundige heeft een BIG   
> registratienummer. Wie van dezen een patient voor zich ziet   
> verschijnen logt met haar of zijn registratienummer in op het   
> centrale EPD en ziet de algemene geschiedenis van de patient.   
> Specifieke medische info is alleen voor gelijke of hogere   
> specialisten te raadplegen en aan te vullen.


Ik heb (vooral beroepsmatig) redelijk veel ervaring met beveiliging, en
ook met interactie met de overheid qua gevoelige informatie.

Het eerste wat ik deed is bezwaar aantekenen, zodat mijn gegevens niet
opgenomen zouden worden.

De eerste reden is implementatie. Ik heb simpelweg niet het vertrouwen
dat de overheid in staat is deze informatie op een goede manier zal
kunnen beheren en ontsluiten. Ik verwacht dat er meerdere incidenten
zullen zijn waarbij de medische gegevens van publicitair gevoelige mensen
(soap-sterretjes, politici) met veel kabaal op straat zullen belanden, waarna
op een gegeven moment (na een jaar of 8) uiteindelijk genoeg maatregelen
genomen zullen worden om de te voorkomen dat dit soort incidenten zullen
voortkomen. Dit zal alleen pas gebeuren *nadat* de overheid door schande
en schade wijs is geworden.

Dit is niet uit de lucht gegrepen. Het aantal incidenten is overweldigend, en
notabene vaak bij organisaties die vertrouwelijkheid van informatie als
kerntaak hebben (banken, belastingdiensten, internet-providers, etc).

In de security bestaat het principe dat je het risico moet neerleggen bij
de persoon / organisatie die het beste in staat is om de risco's te beperken.

Nu ligt het risco bij dokters / ziekenhuizen die een reputatie te verliezen
hebben, en een directe patient-relatie hebben. Ook is de informatie
gefragmenteerd, en niet op een uniforme manier te benaderen. Als je nu een
dossier wilt inzien, moet je eerst weten dat een persoon onder behandeling
is, vervolgens bij wie, en uiteindelijk moet je achterhalen hoe dit
geimplementeerd is. Uiteindelijk zal je een bewuste kraak moeten zetten om
deze informatie te achterhalen, die nog steeds beperkt is tot alleen die
informatie die van toepassing is tussen de organisatie en de patient.

Zometeen is ALLE informatie op een manier te achterhalen bij elk systeem dat
toegang heeft tot EPD informatie. Ik vertrouw dokter X bij organisatie Y
met mijn leven, maar ik vertrouw er niet op dat deze persoon verstand heeft
van computers / beveiliging. En er hoeft maar een persoon tussen te zitten
die 'gehacked' is, en mijn dossier ligt op straat. Achteraf krijgt die persoon
mogelijk de *sack*, maar de schade is dan al geleed.

Wat als een computer die toegang heeft tot EPD informatie besmet wordt met
een virus / trojan die zich niet alleen richt op creditcard informatie, maar
ook probeerd op EPD informatie te vinden? Hoe groot is de kans dat ik over x
jaar een afpersingsmailtje krijg die automatisch gegenereerd is die zegt dat
als ik niet wil dat mijn informatie op straat ligt, ik bedrag Z moet overmaken
naar money-mule Y? Ik acht die kans zeer groot.

Daarnaast is er het risico van missioncreep. Hoe lang zal het duren tot
verzekeraars ook toegang hebben tot deze informatie, en deze gebruiken om
onredelijke tariefen te vragen voor een verzekering? Of me simpelweg weigeren
omdat ik mogelijk een te groot risico ben? En werkgevers? Hoelang zal  
het duren
tot politici / detectives manieren vinden om dossiers te gebruiken om mensen
te chanteren? Mogelijk heb je uiteindelijk zelfs landen die weigeren HIV
patienten toe te laten op een vakantie (oid).

De consequenties als het fout gaat zijn simpelweg te groot.

Dit wil niet zeggen dat ik tegen *een* EPD ben, maar de controle hoort  
te liggen
bij de patient, niet bij anderen.

Voor mij is het een absolute voorwaarde dat ik :

1) Kan kiezen welke organisatie (databank) mijn gegevens voor mij kan beheren.
   Dit zodat er niet een systeem is die een single point of faillure  
is, en de impact
   beperkt is zodra er een incident is. De markt kan een partij die  
faalt dan ook
   hard afstraffen als het fout gaat (name and shame). Zo'n partij  
heeft dan ook
   maar een doel, namelijk het op een veilige manier mijn informatie beheren.
   Zelf zou ik alleen een organisatie kiezen die adverteerd dat alle  
informatie
   minimaal encrypted is, zodat een diefstal van een datadrager geen  
probleem is.

2) Kan kiezen wie wanneer toegang heeft tot mijn gegevens. Dit betekend dat ik
   mijn huisarts kan 'machtigen' om bij mijn informatie te komen, net  
als specifieke
   andere organisaties. Zo'n machtiging kan ik ook elk moment intrekken.
   Voor eerste-hulp diensten zullen andere regels gelden, maar deze  
zullen ook beter
   gecontroleerd / beveilig zijn, en het zijn er  maar enkelen, wat  
het risico beperkt.


'One sytem to manage them all' is simpelweg een uitnodiging aan elke  
cracker / social engineer
om de boel te hacken, en het is slechts een kwestie van tijd voordat  
dit gebeurd. We
zijn tot nu toe beschermd door de fragmentatie van  
informatie-systemen, maar dit houdt
geen stand. En dit is niet eens het grootste probleem. Het grootste  
probleem is om de
missioncreep.

Bij de design van dit soort systemen moet je eerst gaan bedenken op  
welke manieren dit
fout kan gaan, niet hoe je wilt dat het goed gaat.


mijn 2ct. Ik hoop dat je mijn motivatie begrijpt, en sta erg open voor  
een discussie hierover.

Met vriendelijke groet,

=paulv

Paul Vogel
Unix Engineer




______________________________________________________
* Verspreid via nettime-nl. Commercieel gebruik niet
* toegestaan zonder toestemming. <nettime-nl> is een
* open en ongemodereerde mailinglist over net-kritiek.
* Meer info, archief & anderstalige edities:
* http://www.nettime.org/.
* Contact: Menno Grootveld (rabotnik@xs4all.nl).