Print 🖨 PDF 📄 eBook 📱

ministerMinister Bruins wil overal E2E encryptie. LSP voldoet daar niet aan

Minister Jan Anthonie Bruijn van Volksgezondheid, Welzijn en Sport (VWS) heeft de Tweede Kamer op 4 december per brief geïnformeerd over de actuele stand van zaken rond informatieveiligheid in de zorgsector.  Ook schreef hij een brief aan de zorgbestuurders over dit onderwerp. In de brief  schrijft hij een stevig signaal te geven, dat uit het dreigingsbeeld blijkt dat de dreigingen, ook voor de zorgsector, groter worden. Dat  incidenten toenemen en de naleving van bestaande veiligheidsnormen zichtbaar achter blijft. De minister beschrijft daarom de maatregelen om de zorg te ondersteunen bij het versterken van de digitale weerbaarheid. In het 14 pagina’s lange stuk hamert hij in hoofdstuk 3.2.4 nadrukkelijk op de End-to-End-encryptie(E2EE). Dat betekent dat van de digitaal verzonden zorgdata alleen de zender en de ontvanger van een bericht dat bericht kunnen inzien. Laat nu het belangrijkste deel van de digitale dataoverdracht, het Landelijk SchakelPunt(LSP) van VZVZ, geen E2E-encryptie hebben.

NEN 7510

De minister heeft het in de Kamerbrief vooral over het naleven van de NEN 7510 norm die gaat over informatiebeveiliging in de zorg. NEN 7510 is dé Nederlandse norm voor informatiebeveiliging in de zorg, die eisen stelt aan het veilige beheer van patiëntgegevens, gebaseerd op ISO-norm 27001, en vereist end-to-end encryptie (E2EE) als een van de maatregelen, naast andere technische en organisatorische controles, om data vertrouwelijk en integriteit te waarborgen.

Wat schrijft de minister?

In hoofdstuk 3.2.4 schrijft hij:

Om aan de eisen van de NEN normen te voldoen is E2E-encryptie noodzakelijk. De noodzakelijke vertrouwelijkheid van gezondheidsgegevens en continuïteit van zorg maken dat hier geen concessies aan gedaan kunnen worden. Dit is ook in lijn met de richtlijnen van de Autoriteit Persoonsgegevens.” …. “Bij de ontwikkeling van het landelijk dekkend netwerk werk ik daarom aan de implementatie van E2E-encryptie. In combinatie met generieke functies wordt technisch afgedwongen dat data alleen versleuteld verstuurd kunnen worden en dat middels certificaten er zekerheid is over de afzender én ontvanger. “

Het LSP maakt nu juist een prominent deel uit van dat landelijk dekkend netwerk.

LSP

Al in een vroeg stadium van de private doorstart van het LSP, tussen 2012 en 2015, signaleerde ik dat het LSP geen E2EE kent. Dat kwam omdat in het businessplan voor het LSP van de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) destijds stond dat men met de LSP-computer van de professionele samenvatting van de huisarts een spoedeisende hulp(SEH)-bericht kon maken. Dat kan alleen maar als de via het LSP verzonden zorgdata op enig moment binnen het LSP onversleuteld aanwezig zijn. VZVZ kwam eerst met een warrig, ontwijkend, antwoord maar moest echter wel toegeven dat mijn zienswijze klopte. In de rechtszaak, die de Vereniging Praktijkhoudende Huisartsen tegen VZVZ aanspande over het LSP bevestigde VZVZ dat zulks klopte. Met daarbij de zotte opmerking dat het maar heel kort onversleuteld aanwezig was, want wat zegt kortdurend in het computertijdperk waarin bewerkingen in milliseconden plaatsvinden.

Encryptie en LSP  

Communicatie van zorgdata via het LSP kent namelijk geen E2E encryptie. Men past wel encryptie toe bij het transport van zorgdata van de bron naar het LSP en van het LSP naar de aanvrager. Binnen de LSP zijn zorgdata, zoals gezegd, kortdurend onversleuteld aanwezig.

Het ministerie van VWS en VZVZ hebben altijd beweerd dat die situatie daarmee altijd veilig was en is,  omdat het LSP robuust beveiligd is.

Probleem voor VWS

Bruins beweert dus nu dat men in het kader van het landelijk dekkend netwerk aan de implementatie van E2EE werkt. Voor het LSP en ook de daaraan verbonden online toestemmingsvoorziening Mitz, die men nu poogt uit te rollen is het probleem dat de systematiek die men hanteert beslist geen E2EE toelaat tussen data-aanvrager en de bron. Het hele LSP-systeem zou helemaal overhoop gegooid moeten worden om zoiets als E2EE daarin te implementeren.

En ja, er bestaan andere, decentrale systemen, die wel end-to-end encrypted zijn. Maar daar wil(de) VWS nooit serieus naar kijken.

W.J. Jongejan, 10 december 2025

Afbeelding van Davie Bicker via Pixabay

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie gegevens worden verwerkt.