Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) maakt zich in een risicoanalyse duidelijk zorgen over het elektronisch patientendossier (EPD). De zorg betreft niet het risico van hacking en daarmee het uitlekken van privacygevoelige informatie, maar de mogelijke beschadiging van de reputatie van het EPD. Van de 32 grote risico's krijgt “(on)gegronde kritiek vanuit de politiek, patiëntenverenigingen, gebruikers, etc.” de vijfde plaats.

Hacking op 19e plek risico's

De kans dat het project wordt aangemeld bij het meldpunt voor geldverslindende ict-projecten komt op nummer zeven. Grootschalige aanvallen op de infrastructuur, ongeautoriseerde toegang en het falen van beveiligingssysteem PKIOverheid komen respectievelijk op een 19de, 25ste of 28ste plaats.

Dat blijkt uit documenten, die Webwereld en Medisch Contact in handen hebben gekregen met een beroep op de Wet openbaarheid van bestuur (Wob). De angst voor reputatieschade komt ook terug in de rangorde van risico's. Zo staat het falen van de UZI-pas omschreven als: “Werking UZI-pas via infrastructuur niet juist, waardoor ongeautoriseerde personen toegang hebben tot patiëntinformatie (bijvoorbeeld journalist of medewerkers bekijken dossier bekend persoon).”

'Positief brengen'

De oplossingen die de ambtenaren aandragen, liggen dan ook voor de hand. Voor problemen die op het conto van de UZI-pas worden geschreven, is er de beheersmaatregel: “Snelle, degelijke analyse maken van issue, zodat zsm helder is waar het probleem echt ligt. Verder de UZI-pas positief onder het voetlicht te brengen en onterechte mythes te ontkrachten.” Dit is een analyse- en pr-advies dat meerdere keren bij de beheersmaatregelen wordt herhaald.

In een high speed risicoanalyse worden de risico's van incidenten langsgelopen, waarbij er een prominente plaats is voor het “reputatierisico”. Zo schat het ministerie de kans hoog in dat er daadwerkelijk misbruik zal worden gemaakt van webformulieren, waardoor bijvoorbeeld persoonlijke gegevens in onbevoegde handen komen. Veel van de aanvallen zijn volgens de opstellers van de EPD-documenten dan ook gericht op het zoeken van publiciteit.

Toegang tot goede informatie zwakke schakel

Uit de lijsten wordt verder duidelijk dat er groot risico op uitval van systemen of toegang tot is. Zo is het grootste risico dat zorgverzekeraars verkeerde informatie rond BSN's (BurgerServiceNummer) aanleveren. Storingen op het netwerk vormen het tweede grote risico. Ook vreest men de kans dat systemen na een update van Windows niet meer zullen functioneren.

Het gevolg van problemen met de infrastructuur is dat artsen niet meer bij de medische gegevens kunnen. Daarbij sluiten de opstellers van de risicoanalyse in hun top tien ook niet uit dat er een grootschalige DoS-aanval wordt uitgevoerd of dat er problemen met de UZI-pas optreden.

Security through obscurity

Opvallend is dat enkele passages niet openbaar worden gemaakt. Bij de inwilliging van het wob-verzoek wordt door de ondertekenende secretaris-generaal gemeld: “Ik ben namelijk van oordeel dat openbaarmaking van de betreffende passages zou kunnen leiden tot onevenredige benadeling van bij het Elektronisch Patiënten Dossier (EPD) betrokken natuurlijke personen, rechtspersonen of derden onder meer vanwege het feit dat de passages gevoelige informatie bevatten omtrent de beveiliging van het EPD.”

“Indien deze informatie zou worden geopenbaard, zou de veiligheid van het EPD niet kunnen worden gegarandeerd met alle risico's van ongewenste openbaarmaking van bijzondere persoonsgegevens van dien.” En ook dat zou leiden tot reputatieschade voor het elektronische patientendossier.

In de beveiligingsindustrie wordt deze aanpak over het algemeen beschouwd als 'security through obscurity', waarbij het geheim houden van de beveiliging de sleutel tot de beveiliging vormt. Faalt die geheimhouding dan is daarmee ook de beveiliging gecompromitteerd. Autoriteiten op het gebied van beveiliging, zoals Bruce Schneier, zien dergelijke beveiliging als onvoldoende. De werking van dit principe werd in 1883 ook beschreven door de bekende cryptograaf Auguste Kerckhoffs.

Uw verslaggever is een bezwaarprocedure gestart om de risico's die het EPD voor burgers vormt beter in kaart te kunnen brengen.