In Nieuwsuur benadrukt minister Schippers van VWS dat artsen hun patiënten om toestemming moeten vragen. Dat bleek vorige week al uit een brief van de minister aan de Tweede Kamer. In de huidige opzet ontsluiten behandelaars dossiers met een smartcard, de zogeheten UZI-pas. Dit houdt in dat er op één plek via een authenticatiesleutel toegangscontrole is voor het aanvragen van medische gegevens.

Systeembeveiliging onveranderd

Maar de aangescherpte regels van de minister zijn slechts een juridische waarborg en geen betere systeembeveiliging, vindt beveiligingsonderzoeker van de Universiteit van Amsterdam Guido van 't Noordende. “Je hebt eigenlijk twee elektronische sleutels nodig om gegevens te ontsluiten", zegt van 't Noordende. Hij pleit voor een extra UZI-pas voor de patiënt om zo autorisatie te verlenen om het eigen patiëntendossiers te openen.

In een brief van minister Schippers staat onder meer dat de rol van het College Beschermingsgegevens vergroot wordt en dat patiënten een expliciete toestemming moeten verlenen. Er wordt in de stukken niet gesproken over een tweede autorisatiesleutel. Webwereld heeft vragen uitstaan bij VWZ of en zo ja welke specifieke aanpassing aan de beveiligingslaag wordt uitgevoerd.

Verbetering nodig

De noodzaak voor een verbeterd systeem is duidelijk. VWS, zorgverzekeraars en behandelaars maken nu volgens de minister gebruik van onveilige systemen. Onlangs werd het Groene Hart Ziekenhuis nog gehackt en waren medische gegevens in te zien. Het GHZ benadrukt overigens dat het daarbij niet om gegevens van het EPD ging.

“Veel lokale systemen zijn een beetje houtje-touwtje gegroeid, zoals veel ict-systemen in Nederland", stelt minister Schippers in Nieuwsuur. “We weten van professionals dat ze ook heel moeilijk te upgraden zijn. Het nieuwe systeem voldoet in ieder geval aan de laatste standaarden", aldus de minister.

Nog voor de kerst moet er een nieuw wetsvoorstel komen met de 'hoge beveiligingseisen' die de minister graag ziet. “Het gaat steeds om de toestemming van patiënten, maar het essentiële punt van de hele kwestie is autorisatie", stelt van 't Noordende. "Dat moet worden verbeterd voor bestaande systemen en het EPD."