Berichten

Hoogleraar informatiebeveiliging acht opzet LSP achterhaald en onveilig

cyber-security-1186529_640

Op 5 april j.l. heeft de vaste Eerste Kamercommissie voor VWS een twee uur durend gesprek gevoerd met deskundigen over cliëntenrechten bij elektronische verwerking van gegevens. Het ging over de kansen en risico’s van de invoering van het wetsvoorstel 33509. Dit wetsvoorstel poogt de elektronische medische datacommunicatie een wettelijk fundament te geven. Het lijkt te gaan om alle vormen van die datacommunicatie, maar is volledig toegesneden op het gebruik van het Landelijk SchakelPunt(LSP). De inbreng van professor Eric Verheul, hoogleraar bij de Digital Security Group van de Radboud Universiteit van Nijmegen, was uitermate helder. Hij stelde in zijn betoog, dat de opzet van het LSP thans volledig achterhaald is. De huidige opzet beschouwt hij als kwetsbaar. De kern van het systeem acht hij onwenselijk en technisch niet noodzakelijk. Hij is niet zomaar iemand die dit zegt, maar een wiskundige met veel kennis van zaken betreffende cryptografie en veiligheidsmanagement op ICT-gebied.

Lees meer

Proof of Concept Ketenzorg oorzaak extra opt-in-toestemming

yes-1015480_640

Van de opt-in-toestemming bestaan diverse smaken. Ik berichtte hier al eerder op 2 juni 2015 en op 17 november 2015 over, Op 25 april 2016 liet de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), beheerder van het Landelijk SchakelPunt(LSP) via de website van SKIPR weten dat men een nieuwe fase in het berichtenverkeer ingeluid heeft. VZVZ laat weten dat binnenkort de Proof of Concept gaat plaatsvinden van de ” informatie-uitwisseling ketenzorg”. Anders gezegd, men gaat kijken of het idee hoe het ongeveer zou moeten gaan uitvoerbaar en haalbaar is. Vreemd genoeg meldt VZVZ het niet op de eigen website. Samengewerkt wordt met de ketenzorg-software leverancier Vital Health Software. De stappen die nu gezet worden vereisen een hernieuwde opt-in-toestemming van burgers die eerder hun goedkeuring gaven aan het delen van hun medische gegevens via het LSP.  Van het ketenzorg-programma dat in 2013 met het convenant en programma ketenzorg gestart werd had de Proof of Concept al in 2014 moeten plaatsvinden, daarna de pilotstudies in 2015 en de landelijke uitrol in 2016. Er is dus sprake van minstens twee jaar vertraging. Reeds in 2013 was te voorspellen dat het toen gelanceerde programma onrealistisch was qua planning. Het was gewoonweg veel te ambitieus van opzet. Lees meer

Bezwaren tegen het LSP. In gesprek met Gerard Freriks

GerardFriksWJ

Op 4 maart 2016 publiceerde het NRC-Handelsblad op de opiniepagina een artikel, geschreven door de arts Gerard Freriks en mij. Het ging over het door de huisarts kunnen handhaven van de afgelegde eed van Hippocrates in het huidige ICT-tijdperk. We leven in een tijd dat niet alleen hackers pogingen doen medische data te vergaren, maar ook overheidsinstellingen bij wet het recht tot hacken proberen te verwerven. Gerard Freriks is actief in de ICT sinds 1972 en is 20 jaar huisarts geweest. Vanaf 1996 is hij actief betrokken bij het maken van Internationale standaarden voor de zorg ICT en stond daarbij aan de wieg van elektronische medische datacommunicatie. Enkele van deze standaarden zijn:

  • NEN 7510 Informatie Beveiliging in de Zorg
  • ISO 13606 EPD Communicatie
  • ISO 12934 System of Concepts for Continuity of CareIn Nederland is overigens door VWS en NICTIZ niet gekozen voor het gebruik van die Europese/Internationale EPD norm, maar is gekozen voor HL7 (Health Level 7) als basis voor berichtenverkeer in de zorg. In de USA wordt deze HL7 berichtenstandaard langzaam vervangen door een nieuwe ontwikkeling (FHIR) die beter past bij de ISO 13606 EPD norm.
  • Bij de voorbereiding voor het artikel sprak ik Gerard uitgebreid. Daarbij kwam ook het Landelijk SchakelPunt (LSP) ook ter sprake. Door zijn werk en kennis van achtergronden van het LSP is hij bij uitstek iemand die met een kritische blik naar het LSP kijkt.

Lees meer

En opeens kon de openbare apotheker niet bij het LSP

pharmacy-728171_640

Begin april liet het CIBG(Centraal Informatiepunt Beroepen Gezondheidszorg) aan de Koninklijke Nederlandse Maatschappij ter bevordering van de Pharmacie(KNMP) weten dat het onder haar vallende UZI-register nieuwe UZI-passen ging uitgeven. Het ging op passen waarop de rolcode “openbare apotheker” geïmplementeerd is. Voor het hanteren van deze passen bij het gebruik van het Landelijk SchakelPunt(LSP) zijn softwarematige aanpassingen nodig van het LSP en van de Apotheek Informatie Systemen(AIS-sen). Dat was nog niet gebeurd, waardoor de openbare apothekers die deze nieuwe passen kregen geen gebruik kunnen maken van het LSP bij het maken van medicatieoverzichten. Pas na aanpassing van die software is gebruik van het LSP door openbare apothekers weer mogelijk. Ondanks de toezegging van een impact-analyse door de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), die het LSP beheert, blijken er nu toch problemen op de werkvloer te bestaan. Op de website van EZDA, voluit: Stichting Elektronisch Zorg Dossier Amsterdam, is dit te lezen. Op de website van het CIBG, het UZI-register, de KNMP en VZVZ zult u er vergeefs naar zoeken. Men beschouwt het blijkbaar als vuile was die je niet buiten hangt. Lees meer

Sterk wisselende betrouwbaarheid medicatieoverzicht via LSP

health-521390_640

Het percentage opt-in-toestemmingen van patiënten bij apotheken ligt fors hoger dan die bij huisartsen. Daarom zet de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) vol in op het promoten van het medicatieoverzicht via het Landelijk SchakelPunt(LSP). De vraag is echter hoe betrouwbaar die overzichten zijn en hoe sterk die betrouwbaarheid schommelt. Er zijn veel factoren, waardoor het medicatieoverzicht dat via het LSP opgevraagd kan worden door een zorgaanbieder, nooit volledig betrouwbaar en volledig zal zijn. Het zal hooguit een indicatie zijn wat de patiënt bij benadering gebruikt.

Lees meer