De studie van UvA-onderzoeker Guido van 't Noordende over de beveiligingsarchitectuur van het EPD bevat geen nieuwe inzichten en legt geen nieuwe problemen bloot. Dat schrijft het ministerie van Volksgezondheid, Welzijn en Sport (VWS) in reactie op de toegang tot elektronische patientendossiers via het Landelijk Schakelpunt (LSP) slecht beveiligd is.

Bij het EPD ontbreken "basale veiligheidskleppen", concludeert Van 't Noordende in zijn studie. Als een aanvaller toegang heeft tot het LSP, dan kan er decentraal bij ziekenhuizen niet gezien worden wie de aanvrager is. Daardoor kan de kwaadwillende onopgemerkt vrijwel alle pati├źntendossiers inzien.

Audits en indringerstesten

Die bewering is "niet onderbouwd", schrijft het ministerie. "Voor het LSP gelden strenge beveiligingseisen voor ontwikkeling, implementatie en beheer die jaarlijks door onafhankelijke derden worden getoetst door middel van audits en indringerstesten. De testen die tot op heden werden uitgevoerd, onder andere door gespecialiseerde hackers, hebben aangetoond dat de genomen maatregelen adequaat zijn."

Ook de kritiek dat de controle op door artsen gemandateerde medewerkers onvoldoende is, veegt VWS van tafel. De huidige, decentrale, registratie van mandatering is een bewuste keuze geweest, juist vanwege de veiligheid, schrijft het ministerie. Dit moet misbruik van mandatering voorkomen. Er worden regelmatig indringerstesten gedaan, en mandatering is "niet erg eenvoudig te misbruiken".

Juist zeer zorgvuldig

Daarnaast heeft de UvA-onderzoeker zijn studie gebaseerd op de ontwerpdocumentatie van het landelijk EPD. Daarbij gaat hij voorbij aan de maatregelen die bij de daadwerkelijke invoering zijn genomen, stelt VWS.

Informaticus Van 't Noordende kan zich niet vinden in de kritiek van het ministerie. Hij beraadt zich op reactie waarin hij de stellingname van het ministerie zal weerleggen. Opmerkelijk is dat Nictiz, dat betrokken is bij de technische realisatie van het EPD, het onderzoek in NRC Handelsblad eerder juist " zeer zorgvuldig" noemde.