45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

EPD

Minister Bruno Bruins; Privacy LSP afdoende maar niet end-2-end versleuteld

Kamerleden hebben vragen over de veiligheid van het LSP gesteld tijdens het Algemeen Overleg over Gegevensuitwisseling in de zorg op 30 januari. Bruins benadrukte toen dat hij informatie zou opvragen bij LSP-beheerder VZVZ, dat ook de  uitwisseling van gegevens via het MedMij-afsprakenstelsel moet gaan faciliteren via de infrastructuur van het LSP.

Volgens de minister geeft de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) aan zeer hoge eisen te stellen aan de beveiliging van de zorginfrastructuur. De gegevens worden vervolgens opgevraagd door het verzoek versleuteld door te zenden via een gecertificeerde, beveiligde verbinding. Als er relevante gegevens beschikbaar zijn in het brondossier, worden deze over diezelfde gecertificeerde verbindingen in versleutelde vorm verzonden, met het schakelpunt als zwaar beveiligd tussenstation.

Op de vraag of hij kon bevestigen dat medische gegevens met het LSP niet van zorgverlener tot zorgverlener versleuteld zijn laat de minister weten dat er inderdaad geen end-to-end-encryptie wordt toegepast.

"Versleuteling is niet end-to-end, maar op de verbindingen. NEN-7512 schrijft geen end-to-end encryptie voor en hij beloofde het Nederlands Normalisatie Instituut (NEN) te vragen of het nodig is om de normen hierover aan te passen.

Het is niet de eerste keer dat er kritische geluiden van de PvdD en de SP komen over het LSP. In juni 2018 stemde de Tweede Kamer onder meer unaniem voor een motie van Tweede Kamerleden van beide partijen waarmee de regering werd opgedragen alternatieven voor het LSP te zoeken als het gaat om uitwisseling van medische gegevens op basis van het MedMij-afsprakenstelsel. Zo ligt de regie over deze uitwisseling van medische gegevens niet zoals ook de overheid wil bij patiënten, maar bij de beheerders van het LSP. Zo zou de privacy en bescherming van medische gegevens onvoldoende gewaarborgd zijn.

Alles bij de bronnen; ICTHealth & Security


 

Kabinet verplicht zorgverleners patiëntendata digitaal te delen

Minister Bruins kondigt de grootste ict-verbouwing aan sinds de sof met het Elektronisch Patiëntendossier. Het kabinet gaat ziekenhuizen, huisartsen, apothekers en alle andere zorgverleners wettelijk verplichten patiëntengegevens op dezelfde manier digitaal met elkaar te delen...

...Het kabinet gaat nu digitale gegevensuitwisseling over patiënten verplicht stellen. Wel moeten patiënten altijd toestemming geven voor het delen van hun medische gegevens – vooral op dit punt sneuvelde het Elektronisch Patiëntendossier. Het is nooit onderzocht hoeveel medische fouten worden gemaakt vanwege ict-problemen. 

Zorgverleners moeten van het ministerie ook afspraken maken over de ‘taal’ waarin zij medische gegevens vastleggen. Nu is het bijvoorbeeld zo dat de huisarts dezelfde soort gegevens anders registreert dan de fysiotherapeut. Zo betekent de afkorting ‘BB’ voor een fysiotherapeut ‘bovenbeen’ en voor een huisarts ‘bovenbuik’.

Alles bij de bron; NRC


 

Geen inzage medisch dossier door faillissement EPD-leverancier

Patiënten van Haaglanden Medisch Centrum (HMC) kunnen binnenkort waarschijnlijk niet meer online hun medisch dossier inzien. Het bedrijf achter de website is onlangs failliet verklaard.

HMC weet niet hoe lang de website nog beschikbaar is. "Daarover gaat de curator. Totdat er een alternatief beschikbaar is, kunnen patiënten na het verdwijnen van medischegegevens.nl niet online hun dossier inzien'', aldus het ziekenhuis. Het faillissement heeft volgens HMC geen gevolgen voor de vertrouwelijkheid van medische gegevens.

Patiënten kunnen tijdens een consult in het ziekenhuis hun zorgverlener vragen om inzage in hun medisch dossier.

Alles bij de bron; AGConnect


 

Nederlander wil zelf controle over medische gegevens

Vrijwel alle Nederlanders willen zelf de controle hebben over hun medische gegevens, zo blijkt uit onderzoek van GfK in opdracht van Liferay Benelux. Maar liefst 99% van de ondervraagden wil altijd toegang hebben tot zijn eigen medische gegevens. 

Bovendien wil 74% ook hun partner of directe familie toegang verlenen tot dit vertrouwelijke dossier. Maar de controle over de persoonlijke gegevens gaat wat de consument betreft nog verder: 95% wil kunnen zien wie er bij een zorgverlener in zijn of haar dossier kijkt.

Alles bij de bron; MedicalFacts


 

Patiënt heeft inzage gegevens bij meeste ziekenhuizen

Twee op de drie ziekenhuizen hebben een patiëntenportaal dat online inzage biedt in medische gegevens, meldt zorg-ICT-organisatie Nictiz. Patiënten kunnen nu bij 49 van de 77 ziekenhuizen inloggen om toegang te krijgen tot hun gegevens. In een patiëntenportaal kunnen gegevens staan als onderzoeksresultaten, medicatieoverzicht en behandelinformatie.

Het ministerie van VWS wil graag dat vanaf 2020 iedereen zijn medische gegevens kan inzien en ook eigen gegevens kan toevoegen in een zogenoemde persoonlijke gezondheidsomgeving.

Alles bij de bron; MedischContact


 

Artsen geen voorstander van ‘lek’ online medisch dossier

Nederlandse artsen tonen zich geen voorstander van een systeem met gegevens van patiënten dat over twee jaar beschikbaar moet zijn. De overgrote meerderheid van de zorgverleners ziet vooral praktische bezwaren bij de zogeheten persoonlijke gezondheidsomgeving (pgo). 

Iedereen in Nederland moet vanaf 2020 online zijn of haar medische gegevens kunnen inzien en bijhouden. Via de pgo kunnen patiënten meer regie over hun gezondheid krijgen, is de visie van de Patiëntenfederatie. Met toestemming van de patiënt mogen zorgverleners het dossier inzien. Maar uit het onderzoek van Investico blijkt 72 procent van de zorgverleners bezorgd te zijn over beveiligingslekken, waardoor medische gegevens op straat kunnen komen te liggen.

 “Het lekt altijd.” En: “Digitale beveiliging blijkt keer op keer door hackers doorbroken te kunnen worden. Soms door slecht ontworpen systemen, soms door menselijk falen of onachtzaamheid.” Artsen vrezen ook dat patiënten hun informatie gaan delen met ‘ondeskundigen’, die er misbruik van kunnen maken.

Alles bij de bron; Beveiliging


 

Minister: Privacy centraal bij persoonlijke gezondheidsomgeving

Bij de ontwikkeling van het systeem waarmee burgers hun medische data zelf via hun eigen computer of smartphone kunnen beheren staat privacy centraal, zo heeft minister Bruins van Medische Zorg op Kamervragen van de SP laten weten.

De persoonlijke gezondheidsomgeving (PGO), zoals het systeem heet, wordt door verschillende partijen ontwikkeld. Burgers kunnen straks in overleg met hun zorgverleners, zoals huisarts, ziekenhuis, fysiotherapeut of apotheek, bepalen welke gegevens in hun PGO komen. Deze gegevens zijn van de zorgverleners afkomstig. Vervolgens kan de burger zelf kiezen met welke andere zorgverleners hij de data wil delen...

...SP-Kamerlid Hijink vroeg de minister om de bevestiging dat veiligheid en privacy belangrijker zijn dan de snelle oplevering van het systeem. Ook wilde Hijink weten hoe de privacybescherming gegarandeerd wordt en door wie wordt besloten of de privacy voldoende is gegarandeerd. Bruins antwoordt dat het afsprakenstelsel is ontwikkeld op basis van "privacy by design".

Alles bij de bron; Security


 

Barbie leverde het bewijs van de ontwerpfout in het EPD waar velen al voor waarschuwden

Natuurlijk krijg ik (auteur van deze opininie Vincent Icke) graag gelijk, maar liever niet over het Elektronisch Patiënten Dossier (EPD). Toch gebeurde dat toen bleek dat onbevoegden zich toegang hadden verschaft tot de medische gegevens van Samantha de Jong, beter bekend als realityster Barbie. Ik voorspelde zoiets al in 2008 in mijn boekje Gullivers Web. Ook waarschuwde ik ervoor in een hoorzitting in de Eerste Kamer.

Hoewel onbevoegd, waren de inbrekers werkzaam in het HagaZiekenhuis waar mevrouw De Jong opgenomen was. Maar zij bekeken haar EPD niet als behandelaar maar als voyeur van een BN’er.

Het bijzondere van digitale gegevens is dat ze niet tastbaar zijn. Een elektronisch dossier is fundamenteel anders dan een kaartenbak. Papier kun je vernietigen, maar zodra digitale informatie ons ontglipt en online verspreid wordt, is het nauwelijks meer te verwijderen. Digitale datastromen, en de opslag ervan, vormen een nauwelijks begrepen, immens maatschappelijk gevaar. Dat geldt niet alleen voor gegevens die worden verzameld door internetmonopolies maar ook wanneer die gegevens door overheden worden gesprokkeld en beheerd in persoonsdossiers.

Mevrouw De Jong is vooral slachtoffer van een ontwerpfout. Elektronische dossiers zijn niet absoluut te beveiligen vanwege hun netwerkkarakter. Zo’n systeem is intrinsiek onveilig, al was het maar omdat uitgewisselde gegevens bij de transmissie op vele knooppunten in het netwerk aanwezig zijn.

De kern van het probleem is dat er geen toestemming van de patiënt nodig is zodra er gegevens worden overgedragen. Toch is dat met een minimale aanpassing wel mogelijk. Banken doen al zoiets: per overschrijving krijg ik een bericht op mijn mobiel. Ik klik ‘akkoord’ en de euro’s gaan veilig naar degene die ik geld schuldig ben.

Een minder proactieve vorm wordt gebruikt door het Bureau Krediet Registratie.  Via BKR.nl kan de schuldenaar nagaan welke kredietverlener zijn dossier heeft bekeken (de toetshistorie) of gewijzigd (toevoegen/afmelden schuld). Daarvan krijgt hij steeds per e-mail een bericht.

Waarom heeft het EPD dit allemaal niet? Waarom krijgen wij niet iedere keer bericht als een zorgverlener zich toegang verschaft tot ons medisch dossier? Geef ons een app waarmee we de log van ons EPD kunnen inzien: naam zorgverlener, reden van inzage, tijd, plaats, et cetera. Benieuwd welke ziekenhuismedewerker dan nog stiekem in Barbies, of uw dossier, durft te snuffelen.

Alles bij de bron; NRC [abo-versie]