Pas voor EPD gekraakt

2 april 2009

Het elektronisch patiëntendossier (EPD) is tot juli van dit jaar stilgelegd. Minister Klink (Volksgezondheid) zegt dat de vele bezwaarschriften van mensen tegen deelname aan het EPD een zorgvuldige verwerking vereisen. Het aantal bezwaarschriften is hoger dan verwacht. Kamerlid Arda Gerkens (SP) gelooft echter dat technische problemen de werkelijke reden zijn. Het gaat om de tijdelijk stopzetting van het Landelijk Schakelpunt, het punt waarlangs alle medische gegevens van patiënten moeten als zorgverleners die willen uitwisselen. In een brief aan de Kamer bevestigt Klink gisteren dat de inlogpas die zorgverleners moeten gebruiken om toegang te krijgen tot het EPD in een laboratoriumomgeving is gekraakt. De geconstateerde kwetsbaarheid van de inlogpassen treft ook de Defensiepas en de Digitale Tacho-graaf in de boordcomputers van taxi’s, aldus een brief aan de Kamer. Ongeruste Kamerleden van de SP en de PVV stelden de minister eerder vragen over de kraak. Klink antwoordde dat er wordt gewerkt aan een nieuwe, veiliger pas. In het derde kwartaal van dit jaar zou die er moeten zijn. De SP vindt dat dan het landelijke schakelpunt opengesteld moet worden voor zorgverlener. 'We moeten wachten tot de nieuwe inlogpas er is. Er kunnen nu nog wel drie maanden extra uitstel bij', aldus Gerkens. Zorgverleners zijn vanaf 2010 verplicht zich aan te sluiten op het landelijke EPD. Tot die tijd kunnen zij dat vrijwillig doen. Die mogelijkheid is nu stopgezet.


Tot half maart van dit jaar hebben 438.000 mensen bezwaar gemaakt tegen het EPD. Daardoor is het landelijk netwerk tot 1 juli buiten gebruik. Pas daarna kunnen huisartsen, huisartsenposten, ziekenhuizen en apothekers elkaars gegevens weer inzien via het landelijk netwerk. Tot nu toe zijn 87 van de ruim 9.000 betrokken zorgverleners aangesloten. Zij wisselen nu alleen medicatiegegevens uit van patiënten die toestemming hebben gegeven. Later kunnen meer medische gegevens worden uitgewisseld. De smartcard in de UZI-pas wordt in het derde kwartaal van 2009 vervangen. Volgens het Ministerie vormt de kwetsbaarheid een ‘zeer gering operationeel risico', ook omdat ‘de UZI-pas niet de enige beveiligingsmaatregel' vormt. De UZI-pas is het elektronisch paspoort dat zorgverleners nodig hebben om toegang te krijgen tot het EPD. Minister Klink stemde eind februari in met een nieuwe test van het EPD op verzoek van Kamerlid Jolande Sap van GroenLinks. Zij betoogde dat de veiligheid van het systeem cruciaal is voor het vertrouwen dat burgers in het elektronische dossier stellen. In februari werd bekend dat het ministerie de vraag van zorgverleners naar de beveiligingspassen niet bij kon benen. Volgens het Ministerie is die achterstand inmiddels weggewerkt. Al verstrekte passen worden niet teruggenomen. Ze zullen echter in plaats van na drie jaar, al na twee jaar worden vervangen. Alleen als de gebruiker daar expliciet om vraagt, kunnen de passen eerder worden vervangen door exemplaren met de nieuwe smartcard. 'Het betreft de toepassing van het Chinese Remainder Theorem (CRT) om het uitvoeren van bepaalde berekeningen te versnellen. In een laboratoriumsituatie zijn experts in staat gebleken om de private sleutel van een chip te achterhalen', aldus Klink. Hij benadrukt dat zorgverleners hun pincode te allen tijde gescheiden van de pas moeten bewaren. Erik Westhovens onderzocht de chip uit irritatie over de houding van Klink rond de techniek van het EPD. Voor Westhovens is het een eenvoudig onderzoek en begrijpt hij niet waarom Minister Klink de Tweede Kamer schreef dat het een laboratoriumsituatie was. 'Kijk ik heb van alles, maar geen gerenommeerd laboratorium. Ik heb één pc-tje en twee laptops. Dat is alles'. Volgens hem is dan ook niet veel nodig om de hack te plegen. De testapparatuur is eenvoudig te krijgen. Voor hem is het duidelijk dat de problemen er al langer waren en hij stelt dat hij het Ministerie van VWS al in November 2008 op de hoogte bracht van de problemen met de pas. Inmiddels is de ernst doorgedrongen en zullen alle passen vervangen moeten worden. Daardoor lijkt het EPD drie maanden extra vertraging op te lopen. Overigens zegt de expert geen tegenstander van het elektronisch dossier te zijn: 'Het EPD moet er komen, maar dan moet je er wel mensen op zetten met verstand van zaken'.

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.