Centraal PlanBureau op zeer glad ijs met advies tot verplichting LSP

Op 3 juli 2017 publiceerde het Centraal PlanBureau(CPB) een notitie, genaamd Risicorapportage Cyberveiligheid Economie. Cyberveiligheid is een hot issue, zeker na de recente Petya-ransomware-cyberaanval. Wereldwijd,  ook in Nederland werden bedrijven, maar ook overheidsinstellingen daardoor tijdelijk uitgeschakeld. Het CPB gaat uitgebreid in op de economische gevolgen van het falen van ICT-systemen door cyberaanvallen. In haar notitie neemt het CPB ook de zorg mee. De argumentatie daarvoor is dat de zorgsector niet alleen primair van belang is voor de gezondheid van de bevolking maar dat ook het economische belang substantieel is. De uitgaven aan de gezondheidszorg zijn verantwoordelijk voor veertien procent van het bruto binnenlands product. Bovendien draagt in de woorden van het CPB een gezonde (beroeps-)bevolking bij aan welvaart en welzijn. In haar adviezen om problemen te voorkomen komt het CPB met een aantal opmerkelijke uitspraken, onder andere door te stellen dat de overheid kan overwegen om poortwachters en zorgverleners te verplichten om via een veilige publieke infrastructuur gegevens uit te wisselen. Ze noemt dan met name het Landelijk SchakelPunt(LSP).In de redenatie van het CPB zitten een aantal ongerijmdheden en lijkt zij niet goed op de hoogte te zijn van de realiteit rond het LSP. 

Geen kennis van zaken

In de notitie van het CPB staat dat 91 procent van de huisartsen aangesloten is op het LSP en dat het gebruik lager lijkt te liggen. 68 procent van de huisartsen lijkt het LSP slechts te gebruiken. Wat niet vermeld wordt, maar al lange tijd speelt, is dat de Nederlandse burger maar zeer beperkt bereid is de gegevens die bij de huisarts opgeslagen zijn te delen via het LSP. Op de website van VZVZ is heden 8 juli te zien dat slechts 6,1  de 17,1 miljoen Nederlanders dat wil. Dat is dus maar 35 %. Daarbij moet nog aangetekend worden dat niet alle toestemmingen legitiem verkregen zijn. Bij dit alles vergeet het CPB ook dat zelfs als alle zorgaanbieders op het LSP aangesloten zijn, burgers geen verplichting hebben om toestemming te geven om hun medische gegevens te doen delen. Het CPB blijkt geen benul te hebben van de systematiek van het LSP. Het is in wezen een legacy-systeem met een verouderde centrale opzet waarin een centrale verwijsindex de belangrijkste rol speelt. In die verwijsindex zijn de opgevraagde data kortdurend onversleuteld aanwezig, wat niet meer van deze tijd is. Dat wordt door professor Eric Verheul, hoogleraar bij de Digital Security Group van de Radboud Universiteit van Nijmegen, uitermate helder bekritiseerd. Hij stelde in zijn betoog tijdens een hoorzitting in de Eerste Kamer op 29 april 2016, dat de opzet van het LSP thans volledig achterhaald is.

Aparte aanname

Het CPB komt tot aparte aanname. In hoofdstuk 4.2 onder de alineakop Verzekeraars zegt het bijvoorbeeld:

“Vektis en verzekeraars beschikken over administratieve gegevens waaruit de gezondheid van iedere Nederlander af te leiden valt. Risico’s op datalekken en onvoldoende beveiliging lijken op dit moment echter beperkt omdat verzekeraars baat hebben bij een goede reputatie. Verzekeringsnemers kunnen immers naar een andere verzekeraar overstappen als zij hun huidige verzekeraar niet vertrouwen – al is de keuze uit zorgverzekeraars beperkt.”

Deze aanname is typisch een geval van natte-vingers-werk. Dezelfde redenatie is op te hangen over zorgaanbieders, zoals bijv. huisartsen. Die hebben ook baat bij een goede reputatie. Patiënten kunnen bij gebleken datalekken ook van zorgverlener gaan veranderen. Ook de gedachte dat het goed zou zijn een publieke infrastructuur verplicht te stellen is vreemd.

Zeer tegenstrijdig

Het CPB pleit er dus voor dat zorgverleners de informatie uitsluitend delen via één veilige publieke infrastructuur, daarbij expliciet het LSP noemend, door het gebruik verplicht te stellen. Een verplichte publieke infrastructuur voor gegevensuitwisseling in de zorgsector kan volgens het CPB naleving van normen makkelijker maken, voorkomt volgens hen afhankelijkheid van een enkele private partij en kan burgers inzicht geven in wie toegang tot hun gegevens heeft. Het CPB stelt dat onderzocht kan worden of deze voordelen opwegen tegen de risico’s. Men zegt ze dat er twee risico’s verbonden zijn aan het gebruik van een publieke infrastructuur. Het eerste risico is dat er bij het wegvallen van zo’n infrastructuur grootschalige problemen kunnen ontstaan. Dat is het risico op een “single point of failure”.  Vervolgens komt men met een oplossing daarvoor door te zeggen dat een dergelijk risico beperkt kan worden door pluriformiteit en decentraal te organiseren, bijvoorbeeld met blockchain-technologie. Na eerst een centraal systeem te adviseren komt het CPB nu opeens een decentrale gedachte op de proppen met de suggestie van het gebruik van een technologie, blockchain, die in de zorg en elders als veelbelovend (Nictiz, januari 2017) wordt beschouwd maar  niet rijp is voor  brede toepassing op dit moment. Bovendien vond in 2016 er een opmerkelijke blockchain hack plaats, de DAO-hack. Het Nictiz zegt daarover dat deze hack heeft laten zien dat het onwijzigbare karakter van de blockchain niet alleen maar voordelen heeft.

Ander risico

Het CPB noemt als tweede risico van een centrale publieke infrastructuur dat als deze niet gebruiksvriendelijk ontworpen is zorgverleners gebruik gaan maken van onveilige alternatieven. Men adviseert dan ook te investeren in gebruiksgemak. Het LSP kent duidelijke beperkingen in het functioneren. In dit kader wil ik wijzen op een eerder publicatie van mij op 26 mei 2017, waarin ik dit aankaart en wijs op ongewenste workarounds door gebruikers.

Zorgvisie

Het online magazine Zorgvisie maakte het met de bekendmaking van de CPB-notitie helemaal bont door te reageren met een artikel met als kop: “LSP als wapen tegen cybercriminelen”. Het geeft aan dat men daar niet goed begrijpt dat wat het CPB zegt een defensieve gedachte is en niet een offensief wapen tegen cybercriminelen.

Onterechte stellingname CBS

Een adviesorgaan van het ministerie van Economische Zaken, hoort geen uitspraak te doen over het verplicht stellen van deelname aan het LSP. Het is de minister van VWS in 2011 bij het wegstemmen in de Eerste Kamer van het publieke Landelijk Elektronisch Patiëntdossier uitgebreid te verstaan gegeven geen financiële of organisatorische bemoeienis meer te hebben met het LSP. Het CPB moet, niet volledig op de hoogte zijnde van het functioneren van het LSP, dit als onderdeel van EZ dan niet toch te gaan doen.

W.J. Jongejan