Na onderzoek stelde informaticus Van 't Noordende eind maart dat de beveiligingsarchitectuur van het EPD van patiëntgegevens in het EPD niet afdoende gewaarborgd is. Zo zou een aanvaller eenmaal binnen bij het EPD door gebrek aan gebrekkige mandaterings- en authenticatiecontroles lang ongemerkt privacygevoelige gegevens kunnen harvesten.

Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) nam het onderzoek vervolgens via de media zwaar onder vuur. Het onderzoek zou slecht onderbouwd zijn en verkeerde conclusies trekken. Het informatiesysteem zou adequaat beveiligd zijn, en regelmatig onderwerp zijn van indringerstesten.

Onrealistische overmoed

Van 't Noordende vindt het getuigen van "onrealistische overmoed" van VWS om ervan uit te gaan dat inbraken hen niet kunnen overkomen. "Microsoft heeft duizenden zeer deskundige programmeurs in dienst. Toch worden ernstige fouten voortdurend ontdekt. Waarom zou het VWS dan wel lukken?"

Hij vindt het onverantwoord dat VWS de risico's van inbraken baggatelliseert. "Het gaat hier om de privacy van patiëntgegevens van alle burgers van Nederland. Beveiliging moet op de allereerste plaats staan. VWS zegt dat wel maar doet het niet."

De UvA-onderzoeker herhaalt in zijn reactie ( pdf) een aantal aanbevelingen om de schade van aanvallen van binnenuit het Landelijk Schakelpunt (LSP) te beperken. Een daarvan is 'end-to-end' authenticatie, zodat informatieverzoeken vanuit het LSP ook decentraal kunnen worden gecontroleerd.