26

EPD gekraakt door onafhankelijk onderzoek

UvA-wetenschapper: 'Elektronisch Patiëntendossier is gewoon lek'

Het Elektronisch Patiëntendossier (EPD) is onvoldoende beveiligd en beschermt de privacy van patiënten onvoldoende. Dat concludeert informaticus Guido van ’t Noordende van de Universiteit van Amsterdam in de eerste brede wetenschappelijke studie naar de beveiliging van het EPD.

In NRC Handelsblad signaleert Van ’t Noordende een aantal tekortkomingen in de bouw van het EPD. “Verbeteringen zijn mogelijk, maar vereisen een aanzienlijke herziening van de EPD-architectuur”, stelt hij. Als de tekortkomingen niet worden opgelost “is het EPD gewoon lek”.

Niet eerder is de beveiliging van het EPD zo breed en zonder opdracht van het ministerie van Volksgezondheid onderzocht. Van ’t Noordende heeft de meeste kritiek op de onveilige wijze waarop artsen bevoegdheden kunnen delegeren aan medewerkers.

Een medewerker kan gewoon in het systeem als hij bij zijn aanvraag van een dossier een veld invult met de naam van de mandaterende arts, legt Van ’t Noordeinde vrijdag uit in de papieren NRC. Er hoeft geen bewijs bij te zitten dat de arts hem daadwerkelijk toestemming heeft gegeven.

De medewerker heeft weliswaar een pas op naam nodig om dossiers te bekijken, maar uit de praktijk weten we dat ziekenhuizen slordig omgaan met passen. […] Dit risico moet je niet lopen. Een corrupte medewerker of hacker is moeilijk te traceren en te straffen. Dit is veel te slecht afgedicht. Daar gaan kwaadwillenden gebruik van maken. Zorg dat je het risico vermindert door de arts een expliciet bewijs voor mandatering aan zijn medewerker te laten geven. […] Een medewerker zal zich makkelijker laten omkopen door een criminele organisatie. En als iemand veinst dat hij voor een arts werkt, kan hij bij het Landelijk Schakelpunt claimen dat hij ook een behandelrelatie met de patiënt heeft. Die combinatie van factoren zet de deur wagenwijd open voor corrupte mensen. Tot dit opgelost is, zou ik zeggen: mandateer niemand.”

Nictiz, het expertisecentrum dat het EPD invoert, noemt de studie ‘zeer zorgvuldig’ en zal sommige aanbevelingen overnemen, maar zegt tot een andere conclusies te zijn gekomen aangaande de beveiliging.

Foto: ortizmj12 (Flickr/CC)

Geef een reactie

Laatste reacties (26)