Hackers nemen EPD onder handen

Voor de verplichte invoering van het omstreden Elektronisch Patiëntendossier worden nog enkele wijzigingen doorgevoerd om de aanhoudende security- en privacyzorgen te sussen. Patiënten krijgen de mogelijkheid om zelf te bepalen wie hun digitale medische dossier allemaal mag inzien. Zij kunnen op voorhand aangeven dat bijvoorbeeld alleen de eigen huisarts, specialist en apotheek de gegevens mogen inzien. Dat belooft minister Edith Schippers van Volksgezondheid aan de Tweede Kamer.

Niet mogen of kunnen?

Het is nog onduidelijk of dit betekent of zorgverleners die er niet bij mogen er ook niet bij kunnen. Tot nog toe is het systeem zodanig ingericht dat controle op wie toegang heeft alleen achteraf mogelijk is.

Daarnaast gaat ook de toegang tot het EPD voor patiënten zelf op de schop. In plaats dat dit via een door de overheid opgezet, landelijke portaal gebeurt, wil de minister dat patiënten via de website van de zorgverlener in het EPD kunnen komen.

Reden hiervoor is dat via websites van zorgverleners aanvullende informatie en service geboden kan worden, zoals notitie- en afspraakmogelijkheden en het inzien van röntgenbeelden en labwaarden. Ook kunnen patiënten automatisch een mailtje of een sms krijgen wanneer hun medische gegevens via het EPD worden geraadpleegd.

Grootschalige indringerstest

Twee jaar geleden beloofde toenmalig minister Klink al dat het EPD zou worden getest door hackers. Minister Schippers meldt nu dat op onderdelen van het EPD 'verschillende indringerstesten' zijn uitgevoerd. Naast verschillende experts op het gebied van elektronisch gegevensverkeer zijn hiervoor ook 'ethical hackers' ingeschakeld. "Deze testen hebben geleid tot aanpassingen en verbeteringen, maar niet tot kritieke bevindingen."

Er komt binnenkort nog een hackronde. "Voorafgaand aan de verplichte aansluiting op het EPD organiseert Schippers binnenkort een grootschalige, ketenbrede indringerstest."