Beveiliging EPD niet afdoende

Beveiliging patientendossier niet waterdicht

AMSTERDAM -  De beveiliging van het Elektronische Patiëntendossier (EPD) is niet waterdicht. Zo valt niet te controleren of het werkelijk een hzorgverlener of arts is die informatie opvraagt bij het Landelijk Schakelpunt. Dat schakelpunt kan evenmin controleren of een patiënt toestemming heeft gegeven voor het opvragen van gegevens, zoals wettelijk verplicht is.




Dat concludeert informaticus Guido van 't Noordende van de Universiteit van Amsterdam. Volgens de universiteit heeft Van 't Noordende als eerste uitgebreid wetenschappelijk onderzoek gedaan naar de 'beveiligingsarchitectuur' van het EPD. Hij stelt dat privacy en vertrouwelijkheid niet voldoende zijn gewaarborgd.

Artsen hebben een smartcard waarmee ze toegang kunnen krijgen tot het schakelpunt. Dat zoekt het gevraagde dossier uit de elektronische bestanden. Artsen kunnen hun smartcard ook aan een ander geven met het verzoek een dossier op te vragen. Maar bij het schakelpunt is niet zichtbaar of iemand werkelijk toestemming heeft gekregen om de smartcard van een arts te gebruiken noch is te zien of de opvragende arts werkelijk een behandelrelatie heeft met de patiënt van wie een dossier wordt opgevraagd.

Van 't Noordende zegt ook dat hackers kunnen inbreken bij het schakelpunt, hoewel hij toegeeft dat dat niet eenvoudig is. Dat aangesloten ziekenhuissystemen te kraken zijn, is al bewezen volgens de informaticus.

Bron