Nonsens-antwoord minister VWS op Kamervragen UZI-pas-probleem
Minister Schippers is er gisteren in geslaagd een onzinnig antwoord te geven met wegwuiven van de eigen verantwoordelijkheid van het ministerie van VWS bij de beantwoording van Kamervragen. Deze waren op 27 september gesteld door de D66-kamerleden Verhoeven en Dijkstra. Deze gingen over het advies van het UZI-register, vallend onder de dienst CIBG van het ministerie, aan zorgaanbieders om de webbrowser op hun systemen tijdelijk niet te updaten. Dat heeft te maken met het gebruik van verouderde Java- en ActiveX browser- plug-ins door de UZI-pas software. Deze pas die de overheid uitgeeft is niet alleen in gebruik voor de autorisatie en authenticatie als een zorgaanbieder gebruik wil maken van het Landelijk SchakelPunt(LSP)om zorgdata uit te wisselen. Veel apotheek- en huisartsinformatie-systemen, maar ook de software van huisartsenposten maken gebruik van de UZI-pas om werkers in te laten loggen in het systeem. Browserupdates die de ondersteuning van Java uitschakelen kunnen er dan ook voor zorgen dat de software van zorgaanbieders niet meer werkt en het niet updaten van browser-software maakt deze kwetsbaar voor indringers omdat verse beveiligingsupdates niet plaatsvinden.
Ontwijkend
In het antwoord van minister Schippers, gedateerd 25 oktober 2016 , zegt zij dat ze op de hoogte is dat het stoppen van de ondersteuning al sinds januari 2016 bekend is. Het probleem speelt tussen de leveranciers van softwarepakketten en de afnemers van deze pakketten (zorgaanbieders). Omdat er signalen waren dat de softwareleveranciers dit probleem niet overal onderkend en opgelost zouden hebben, is besloten actie te ondernemen volgens haar. De UZI-pas van de overheid heeft voor het functioneren software nodig die door externe partijen gemaakt wordt om te functioneren in samenwerking met software van zorgverleners. Specificaties voor die software zijn door de overheid verstrekt. Door te stellen dat het probleem speelt tussen leveranciers van software en zorgaanbieders ontkent de minister volkomen ten onrechte alle eigen verantwoordelijkheid van het ministerie. Die is er wel degelijk omdat door het maken en verplicht stellen van de UZI-pas voor identificatie en authenticatie bij zorgsystemen de overheid wel degelijk een partij is bij dit probleem. De overheid heeft zich tussen softwareleverancier en zorgaanbieder genesteld met de UZI-pas. Bovendien is het zo dat de het systeem niet voldoet aan de web-richtlijnen van de overheid. Daarin staat dat een browser-plug-in de functionaliteit mag uit breiden, maar dat alle informatie ook zonder plug-in toegankelijk moet zijn. (zie commentaar in het artikel in deze link)
Mist
Iets verder in haar antwoord op de Kamervragen geeft de minister een antwoord dat ik ter overdenking hier integraal afdruk.
Zorgverleners hebben een eigen verantwoordelijk ten aanzien van beveiliging van de eigen ICT-omgeving. Het is belangrijk dat zorgverleners zelf de afweging maken tussen beveiliging en mogelijke beperking in functionaliteit. Om deze afweging te kunnen maken heeft het CIBG besloten via de betreffende de mail de zorgverleners te informeren. Ik ben mij bewust van het belang van beveiligingsupdates en zal in beginsel altijd adviseren beschikbare beveiligingsupdates van browsers en bijhorende plug-ins te installeren. In de mail van 21 september jl. adviseert het CIBG om automatische updates niet meer te laten plaatsvinden. Dit betekent dat deze updates alleen kunnen plaatsvinden in een gecontroleerd proces waarbij ook getest wordt of het pakket waar de zorgaanbieder mee werkt, ook na de update blijft werken. Op basis van een eigen risico inventarisatie dient de aangeschreven zorgverlener te beoordelen op welke wijze hij het advies van het CIBG implementeert. Bij de initiële e-mail is het NCSC niet betrokken geweest. Op dit moment is het NCSC betrokken bij het dossier.
Hierin zegt ze in eerste instantie dat het altijd goed is om de browsers te updaten en plug-ins te installeren. Daarna komt ze met het mistige verhaal dat de up[dates in een “gecontroleerd proces” getest moeten worden om te zien of alles nog werkt na de update. Vervolgens komt ze met de opmerking dat de zorgverlener een eigen risico-inventarisatie moet maken om te beoordelen of het advies van het CIBG om de browser maar even niet te updaten opgevolgd wordt.
Verantwoordelijkheid
Enerzijds geeft de minister aan dat de eigen dienst CIBG een verantwoordelijkheid heeft in deze kwestie, maar anderzijds schuift ze volkomen ten onrechte de verantwoordelijkheid af naar eindgebruiker, de zorgaanbieder. Kwalijk is ook dat het CIBG een advies gaf aan alle UZI-pashouders dat consequenties heeft voor de zorgverlener-systemen zonder het Nationaal Cyber Security Center (NCSC) daarin te kennen. Dat is een zeer duidelijke omissie.
De kern van het probleem is dat het ministerie met de UZI-pas zich tot op detailniveau heeft genesteld in het al dan niet goed functioneren van de software van zorgaanbieders. Als de UZI-pas dan opeens niet kan werken heeft dat zeer grote consequenties.
W.J. Jongejan
Recente reacties