Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 138 reacties

PatiŽnten moeten vanaf het tweede kwartaal zelf kunnen bepalen welke zorginstellingen of hulpverleners toegang krijgen tot hun epd. Ook kunnen ze een sms of e-mail krijgen als iemand hun medische gegevens heeft bekeken.

Dat meldt Minister voor Volksgezondheid, Welzijn en Sport Edith Schippers in een voortgangsrapportage. Volgens de minister staan bij de introductie van het epd patiëntveiligheid en het voorkomen van vermijdbare medische fouten voorop, maar zij zou ook oog hebben voor privacykwesties en de beveiliging van de patiëntendossiers.

Om de privacy van patiënten te verbeteren, stelt de minister dat burgers vanaf het tweede kwartaal van dit jaar zelf de toegang van zorgverleners tot hun dossier kunnen beperken. Zo moet het mogelijk worden dat een deelnemer aan het epd kan instellen dat alleen zijn huisarts of apotheek toegang krijgt tot zijn gegevens. Ook moet de gebruiker een sms of e-mail kunnen ontvangen zodra zijn medische gegevens in het epd zijn opgevraagd.

De minister laat verder weten dat burgers niet via een centrale, landelijke site toegang tot hun gegevens moeten krijgen, maar dat zij via de websites van hun zorgverlener moeten inloggen. Dit zou als voordeel hebben dat patiënten de mogelijkheid krijgen om afspraken in te plannen en aanvullende informatie kunnen opvragen, zoals röntgenfoto's en de resultaten van laboratoriumonderzoek.

Volgens Schippers is de beveiliging van het epd-systeem  al diverse malen getest door middel van 'indringertesten'. Daaraan zouden ook whitehat-hackers hebben deelgenomen. Er zouden nog geen kritische lekken zijn geconstateerd, maar de testen zouden wel aanleiding hebben gegeven tot 'aanpassingen en verbeteringen'. Op korte termijn zou een grootschalige indringertest op het epd-systeem worden uitgevoerd.

De minister meldt verder dat de medische gegevens van circa 5,8 miljoen burgers via het epd zijn te raadplegen. Inmiddels zou 40 procent van de zorgverleners in Nederland op het zogeheten Landelijk Schakelpunt zijn aangesloten. Via dit knooppunt wordt het opvragen van patiëntgegevens uit verschillende bronnen gecoördineerd en gebundeld. Schippers denkt dat in de loop van het tweede kwartaal circa 75 procent van alle zorgverleners op het epd-netwerk is aangesloten.

Gerelateerde content

Alle gerelateerde content (22)
Moderatie-faq Wijzig weergave

Reacties (138)

Uit een eerder gehouden pilot bleek dat medewerkers van zorgverzekeraars vaak zaten te neuzen in dossiers waar ze geen recht toe hadden. Ik wil niet dat zorgverzekeraars toegang hebben tot mijn medisch dossier. Ze weten door de medische declaraties al genoeg over mij.

Zo lang dat niet wettelijk geregeld is blijft mijn schriftelijk bezwaar staan tegen het EPD. Klink zei ooit dat de zorgverzekeraars geen toegang krijgen, de wet wordt aangepast maar door de kabinetswissel ligt dat voor onbepaalde tijd stil.

Het is wel zo dat artsen voor het medisch tuchtcollege komen als ze gaan neuzen in EPD dossiers waar ze niks in te zoeken hebben, ze kunnen dan hun licentie kwijtraken wat betekend dat ze niet meer mogen werken als arts.
Uit een eerder gehouden pilot bleek dat medewerkers van zorgverzekeraars vaak zaten te neuzen in dossiers waar ze geen recht toe hadden. Ik wil niet dat zorgverzekeraars toegang hebben tot mijn medisch dossier. Ze weten door de medische declaraties al genoeg over mij.
Zorgverzekeraars hebben nu geen toegang tot het landelijke systeem. Hoe dat zit met lokale (ziekenhuis) systemen of regionale systemen weet ik niet.
Hoe kan je een zorg insteliing nou verplichten dat je daar je EPD inzage kan aanpassen?? LSP is juist iets landelijks van karakter. De overheid moet hier een voortrekkers rol in spelen.

ik ga naar de
-Apotheek
-Huisarts
-Ziekenhuis
-Etc etc etc ..

Nou wie beheert dan mijn volledig dossier? Moet ik bij al deze instellingen een inlog hebben om daar mijn gegevens al dan niet te blokkeren? En op welk niveau kan ik ze blokkeren? helemaal geen inzage of alleen bepaalde gegevens?

Het is dus een heel erg ingewikkelde kwestie om te realiseren . Wat doe je dan met een Arts die maar een half dossier krijgt en daardoor belangrijke gegevens mist die voor hem geblokkeerd zijn??

En zo spelen er meer zaken. Dat je niet wilt dat iedere huppelkut in je gegevens kan kijken is begrijpelijk maar je moet het systeem eenvoudig houden .
In het bericht van vandaag lees ik twee dingen:
  • patienten krijgen regie over de toegankelijkheid van hun dossier
  • decentrale opslag van gegevens
De gedachte om medische patientengegevens centraal te beheren is helemaal niet verkeerd. Alsof het papieren alternatief beter zou zijn. Het is niet anders dan een logische stap. Laten we alleen nog wel even stilstaan hoe en wanneer. Na het artikel van vandaag denk ik toch echt "nu even niet". Dit artikel geeft me de indruk dat met met ultimatum-politieke wrochtsels een niet uitgewerkt idee verder de vernieling ingeholpen wordt. Hieronder een korte toelichting waarom:

Dossierbeheer
Nou wie beheert dan mijn volledig dossier?
Ja, dat is naar mijn idee ook de meest cruciale vraag. In andere vormen al eerder in de draad aanwezig, maar nog niet zo duidelijk gesteld. Bovenstaande vraag werd al gesteld in nieuws: Veel artsen tekenen bezwaar aan tegen patiŽntendossier (2009). Ook nu is hij nog niet goed beantwoord.
Lapmiddel van dienst om de gemoederen te sussen: patienten worden poortwachter van hun eigen black box. Al eerder in de draad heel goed aangekaart: "hoe kan je iets beheren wat je inhoudelijk niet kunt beoordelen". Dit blijft paradoxaal. EPD is gevoelige, essentiele, informatie over onszelf, opgesteld in een jargon waarin de meesten niet zijn opgeleid. Dit resulteert bij velen in een angst voor het onbekende. Men begrijpt het dossier niet goed en voelt zich al snel kwetsbaar. Vandaag heb ik wat gegoogled om te kijken wat er in mijn EDP stond. Ten eerste moest ik door de nodige sites heen kauwen voor de verschillende doelgroepen (zorgverzekeraars, behandelaars, burgers). Op de burgers site infoedp kwam ik erachter dat als ik inzage wilde hebben in mijn eigen dossier ik met digid een online verzoek moest indienen waarna ik binnen 4 weken(!) een overzicht thuisgestuurd krijg (papier?)............ Hmmm, ja, vanuit veiligheidsoptiek kan ik mij er iets bij voorstellen, zo gaat het ook met pincodes.

Toch komt dit op mij over als een drempel. "maar meneertje, wilt u dit nu echt allemaal weten? Laat u dat toch gewoon aan ons over". Het is zo moeilijk gemaakt, niemand vraagt dit op. He, ja, een leuk experiment, laten we met zijn 5.8 miljoenen ons EPD opvragen om de belachelijkheid van deze constructie bij de beleidsmakers wat scherper op het netvlies te krijgen. Zelfs al zou je een eigen EPD incidenteel aanvragen dan heb je nog het probleem dat het niet actueel is. Heb je regelmatig gezondheidszorg nodig en wil je de actuele informatie, hup, 2 keer per week aanvragen (is het te automatiseren?), 104 keer per patient per jaar. Een long shot, een boekje op bol.com heeft het over 400.000 chronische patienten in Nederland, levert 42 Miljoen aanvragen per jaar op. Ja sorry, extreme voorbeelden. Maar wat voor concept hebben ze toch gehad bij het bedenken van dit systeem?

Het EPD is nu een informatiesysteem over patienten voor medische behandelaren. Dit zou nog nadrukkelijker moeten worden omgevormd tot een systeem waar zowel patienten als behandelaren hun info aan kunnen ontrekken. Die info moet in lagen beschikbaar zijn, maar wel aan elkaar gerelateerd en afhankelijk gemaakt, zodat een behandelaar een facet van dezelfde informatie ziet, maar een ander facet dan de patient. Dit vraagt om veel intelligentie, maar die is te automatiseren, daarvan ben ik overtuigt. Zo kunnen ze beiden hun waarheid zien. Zo wordt het EPD iets van de patient zelf. Hiervoor is dus ook real time toegang nodig voor het hele verhaal, een geen papieren aftreksel dat naijlt. Net als dat een auto te besturen is zonder precies het mechanisme van de inspuiting te hoeven begrijpen moet een patient oordeel kunnen hebben over zijn medisch dossier. En ja, er zal heel wat geld tegen aan geknald moeten worden om het onbegrijpelijke medische jargon te vertalen naar begrijpelijke taal, maar ik denk dat dit dit vertalen een randvoorwaarde is. Dit kan de emancipatie van de patient ook verder helpen. Een uitdaging voor de medische stand, waar met name specialisten nog wel eens de neiging hebben patienten te reduceren tot het orgaan dat geopereerd moet worden. En het beheer? De patient samen met zijn huisarts2.0, zijn/haar ultieme belangenbehartiger en hulp bij het interpreteren van de gegevens. De huisarts zou veel meer regisseur moeten worden dan nu het geval is.

Gatver, dit wordt weer veel te lang. Snel naar het tweede punt. De supergespecialiseerde specialisten (hoe terecht ook) geven als extremiteit aan hoe extreem gedifferentieerd onze medische wereld is. Dit doet mij zorgen maken over het tweede punt:

Decentrale opslag
Echt, mijn bek hing echt open over de keuze die hierin gemaakt wordt. Het slechtste van drie werelden, te weten centraal, decentraal en gepersonificeerd. Als ik het zou mogen zeggen dan gaat de discussie over centraal en gepersonificeerd, en zeker niet over decentraal. Het argument dat ervoor wordt genoemd: Dan kan je je eigen afspraken maken en informatie bekijken.... Net alsof dat met de andere benaderingswijzen niet realiseerbaar zou zijn. En de regie ligt dan helemaal nergens meer (namelijk bij gefragmenteerde specialistenmaatschapjes) En de veiligheid is door de complexiteit van de huidige medische infrastructuur helemaal zoek. Dit is in het eerder genoemde Tweakers artikel ook allemaal aangehaald, en geen nieuws. Ook in deze draad wordt over gepersonificeerde oplossingen gesproken als kaartjes en dergelijke. In de vorige draad opperde ik een onderhuidse sonde zodat ook de regie over toegang kan worden gewaarborgd. Ook bij een personificeerde versie zal een landelijk centrale backup nodig zijn (in een zwaar beveiligde vault) waar van mijn part alleen system users toegang toe hebben voor sync-activiteiten. Ook risico's, maar vele malen beter beheersbaar dan dit decentrale gerommel. Nog maar een keer: Maak het grid (ziekenhuizen, huisartsen, apothekers) als een domme en passieve infrastructuur met een inerte backupvault dat als systeem pas gaat functioneren zodra het contact maakt met onze gepersonficeerde drager.

[Reactie gewijzigd door teacup op 13 januari 2011 23:37]

Lekker digitaal dit weer allemaal..Ik zie mijn ouders -- digibeten -- hier niet mee werken.
Mooi naatje, mag ik weer gaan uitleggen bij hen hoe hier mee om te gaan. Uitgeprint A4'tje aan de muur met instructies :)

En de websites van de zorgverleners worden hierbij ingeschakeld? Mail of SMS voor notificaties wie er in je gegevens kijkt?
Ben ik de enige die hier een hard hoofd bij heeft? Complex systeem, kosten, tijd, dit gaat niet werken...

Ik werk overigens op een IC. Kan melden dat bij het openen van ons digitaal dossier op enkele computers geregeld de verkeerde labwaardes worden getoond bij de verkeerde patient...errug veilig ja. Wanneer dit wordt opgelost? Onbekend.
ICT en ziekenhuizen is een slechte combi.
Ik lees helaas niet veel van mensen die wat meer over het EPD hebben gelezen dan dat wat in de media komt. Ik heb voor mijn studie (geneeskunde) een wat dieper onderzoek gedaan naar het EPD. Ik had namelijk ook mijn zorgen over de beveiliging.

Gegevens worden opgeslagen en verzonden met een 1024bits encryptie en die de techniek van Sony ;). Voor zover ik weet is het nog nooit iemand gelukt om met brute force een 1024bits encryptie te kraken.

Daarnaast zal het inloggen op het EPD niet gaan met een simpele inlogcode die actief blijft voor een x aantal minuten. Iedereen die toegang moet krijgen tot het EPD heeft straks een persoonsgebonden kaart die tijdens de hele sessie in een kaartlezer moet zitten, daarnaast gebruikersnaam en wachtwoord. Als straks dus een arts/verpleegkundige een computer verlaat zal deze de persoonsgebonden kaart mee moeten nemen. Bij het verwijderen van de kaart wordt het systeem automatisch uitgelogd. Dit staat allemaal beschreven in een ISO, het nummer is mij zo niet meer bekend.

Veel huisartsen hebben hun zaakjes lang niet op dit niveau zitten. Daar wordt soms zelfs gebruik gemaakt

Dat alles op het internet te hacken valt is helemaal waar! Ik denk echter dat de kans dat er in een ziekenhuis wordt in gebroken en dan het dossier wordt gestolen vele malen groter is.
Zolang je weet dat er overal, ook in ziekenhuizen, briefjes op monitoren hangen met logins en wachtwoorden, maak je mij niet wijs dat die smartcard niet gewoon in het systeem blijft zitten omdat dat nu eenmaal handiger werkt. En weet je wat het is? Dat werkt ook veel handiger! De beveiligingsmaatregelen zijn barriŤres die het werk in de praktijk minder handig maken, die zorgen dat het langer duurt om je werk te doen in een situatie waar je toch al veel minder tijd hebt voor de patiŽnt dan je zou willen.

Daarom gaat dit systeem nooit werken op een veilige manier, ben ik bang. Ik neem het het medisch personeel eigenlijk nauwelijks kwalijk dat ze omwegen zoeken om het eigenlijke werk waar ze voor gekozen hebben: het helpen van mensen, zo goed mogelijk te doen, zonder daarbij te veel gehinderd te worden door bureaucratische hobbels zoals gecompliceerde login systemen voor een EPD. Ik wil daarmee niet zeggen dat het hele idee van het beveiligen van het EPD maar opgegeven moet worden. In tegendeel. Ik denk dat je alleen moet concluderen dat je een systeem dat op een dergelijke centralistische manier is opgezet nooit veilig gaat krijgen.
Nu was ik laatst bij een Security seminar waar ook iemand sprak over IT security binnen zorginstellingen. Daar werd dus verteld dat een gemiddeld ziekenhuis maar liefst 100 ICT aanbieders heeft en een academisch ziekenhuis een veelvoud daarvan.
De aanwezige Security Officers van een aantal zorginstellingen bevestigden dat.
ICT in ziekenhuis is een ondoordringbaar doolhof en dan is er nog niet eens gekeken naar de fysieke beveiliging. Het is nu al onvoorstelbaar dat er niet veel doden vallen doordat IT systemen niet bekend of niet goed onderhouden zijn. En ja, doden vallen er door, gelukkig niet erg veel. Zie je het voor je hoe dat zal gaan met zo'n EPD?
Laat ze er eerst maar eens voor zorgen dat de patient zijn eigen EPD kan inzien.
Niet alleen dat:
- Laten ze er tevens voor zorgen dat je zelf eigenaar bent van de inhoud;
- Laten ze er tevens voor zorgen dat je zelf kunt bepalen wat er wel en niet in staat;
- Laten ze er tevens voor zorgen dat het mogelijk is inhoud te (laten) aanpassen.

Zolang dit soort zaken niet zijn geregeld doe ik niet mee aan het EPD. Overigens: het indienen van mijn bezwaarschrift is indertijd uitgelopen op een aardige soap.

[Reactie gewijzigd door zordaz op 13 januari 2011 12:09]

Niet alleen dat:
- Laten ze er tevens voor zorgen dat je zelf eigenaar bent van de inhoud;
- Laten ze er tevens voor zorgen dat je zelf kunt bepalen wat er wel en niet in staat;
- Laten ze er tevens voor zorgen dat het mogelijk is inhoud te (laten) aanpassen.
Ben het met je eens met de eerste punt.

punt2: hoe kan een patiŽnt uit maken wat wel en wat niet in het dossier thuis hoort? Iets wat voor patiŽnt volkomen onbelangrijk lijkt kan voor de behandelaar wel belangrijk zijn. Bijvoorbeeld: Je past je gegevens aan en haalt het feit dat je 2 jaar geleden naar Afrika bent geweest weg. Nu ben je ziek en kunnen de artsen geen oorzaak vaststellen omdat je een zeldzaam parasiet hebt die niet aan het licht komt tenzij je er gericht naar zoekt. Terwijl als je dossier had vermeld dat je naar Afrika geweest bent en die parasiet in het DD(Differentiaal Diagnose) van de Atriareizigers staat zal daar ook onderzoek naar worden gedaan en worden gediagnosticeerd.

Punt3: Ook hier geld dat de gemiddelde patiŽnt niet in staat is om gegevens aan te passen. Ten eerste kan de patiŽnt die gegevens moeilijk zelf interpreteren en een betekenis daar aan koppelen ten 2de als er een fout wordt gemaakt door de patiŽnt tijdens het aanpassen kan dat consequenties hebben voor de behandeling aangezien de arts de behandeling kiest aan de hand van die gegevens en als de patiŽnt die gegevens aanpast en de arts merkt dat niet op kan dat drastische gevolgen hebben.
Wat wel handig zou zijn als je bv voor je levensverzekering je gegevens ZELF kan opsturen naar de verzekeraar. Of je zelf daardoor je gegevens moet kunnen veranderen weet ik niet. Ik vertrouw daar artsen genoeg voor, maar je moet zeker zelf kunnen zien wat er staat (altijd handig trouwens) en gegevens kunnen downloaden en eventueel af kunnen geven.
Tijd om "offline" door te discussieren volgens mij. Al deze info is nu ook niet integraal bekend en zeker niet gekoppeld. Een goede arts stelt nog altijd de juiste vragen en doet het juiste onderzoek tijdens het stellen van een diagnose en vaart niet blind op een dossier.

Ik heb na een verhuizing mijn papieren dossier ingezien en overgedragen aan mijn nieuwe huisarts en dat sloeg echt nergens op. Er zaten bijvoorbeeld stukken tussen van bijna-naamgenoten. Je zult toch maar onjuiste medicijnen krijgen door zo'n dossier....

Het (laten) wijzigen moet je ook niet zien als een lichtvaardige actie die je zelf even tussendoor doet, maar als een procedure waar je gebruik van kunt maken om zaken te laten verwijderen. Dat is nu gewoon niet mogelijk, o.a.omdat het eigenaarsschap van de data niet is geregeld.

Ik acht de kans in ieder geval groter dat er vervuiling in dossiers aanwezig is of komt dan dat er belangrijke info ontbreekt. Daarnaast -en dat is wel iets principieels- bepaal ik liever zelf wat ik een arts, specialist en vooral verzekeraars vertel of laat weten dan dat ik vertrouw op de techniek die bepaalt wat iemand wel en niet mag inzien. En vergeet niet: function creep ligt altijd op de loer bij dit soort systemen!

Kortom: doe mij maar een Eigen Regie Dossier:
http://www.denieuweprakti...den/detail/default?id=122

[Reactie gewijzigd door zordaz op 13 januari 2011 13:13]

Voordat je naar afrika bent vertrokken ben je een tijdje depressief geweest, of overspannen geweest.
Kom je nu met je vage klachten zonder oorzaak bij de dokter, dan gaan ze niet naar de parasiet zoeken, maar zeggen dat het vast tussen de oren zit. Ga maar naar een psycholoog, dan komt het helemaal goed...
Waardoor jij dus met die parasiet blijft zitten.
Jouw punt is op zich valide, echter nu ga je er vanuit dat enkel de gebruiker/patient fouten maakt..... helaas helaas dit is pertinent niet correct. Je bent als het goed is op de hoogte dat er meer dan genoeg medische fouten worden gemaakt.
Hopelijk staat er niet in je medisch dossier dat je op reis naar afrika bent geweest.

Want dat heeft niets met een ziekte, aandoening of allergie te maken en hoort niet thuis in een medisch dossier (tenzij je eerder aan een tropenziekte behandeld bent)
Het eerste punt is juridisch. Over het eigenaarschap van dossiers is hier een goed artikel geschreven:
http://www.nictiz.nl/modu...an_wie_is_het_dossier-pdf
Eigenaar worden van de inhoud is niet de oplossing...

Artsen hebben medische kennis die jij niet hebt en als je dan dingen gaat schrappen of aanpassen neem je het risico foutief behandeld te worden. Bovendien kan niemand garanderen dat JIJ die informatie aangepast hebt (niets is 100% veilig). Met alle gevolgen vandien. Daarom wordt er met versies gewerkt en zijn de schrijfrechten doorgaands zeer beperkt. Bovendien moet alle medische informatie ingevoerd door bv. secretaresses in een EPD gevalideerd worden door de behandelende arts.
In't kort: medische informatie moet accuraat zijn.

Medische informatie verwijderen wordt ook nooit gedaan omwille van veiligheidsredenen. Men moet een historiek (audit trail) hebben.
Als er toch een foutje opduikt in een EPD, wordt doorgaands de inhoud in kwestie gelabeld als 'foutief' en wordt er een tweede versie van gemaakt.
In't kort: medische informatie moet beschermd zijn.

Ik heb een thesisje gemaakt over EPD's, vandaar dat ik dit weet ;)

edit: fixed link en verduidelijkingen

[Reactie gewijzigd door nan0x1 op 13 januari 2011 13:18]

Hoe is dat anders dan met je auto?

Daar ben je ook eigenaar van.
Daar laat je ook mensen met kennis van zaken aan werken.
Je auto moet ook correct functioneren.
En je auto wordt ook beschermt.

Het niet kunnen aanpassen is idd een case voor te maken.

En toch ben je van je eigen medische gegevens niet eigenaar.
Ik heb een thesisje gemaakt over EPD's, vandaar dat ik dit weet
Over het Belse EPD, ja.

En ik zie geen privacy kwesties behandeld, anders dan een flutopmerking dat "privacy belangrijk is"
Nogal dunne spoeling van geÔnterviewden. Ze zijn vrijwel zonder uitzondering werkzaam in de medische sector. Ook je hoofdstuk paragraaf over beveiliging is een tikje... teleurstellend. Het moet goed beveiligd worden, maar geen woord over hoe je dat dan afdwingt. Je stapt veel en veel te gemakkelijk heen over de problemen die er zijn met de beveiliging van IT systemen.
Exact, ik wist niet dat de overheid al zo ver was in het invoeren van het EPD. Wanneer is het voor "ons" als burgers mogelijk om via een DigID de gegevens Łberhaupt in te kijken.

Dat daarnaast het artikel stelt dat er geen kritische lekken zijn geconstateerd maar dat het wel aanleiding gaf voor "aanpassingen en verbeteringen", geeft mij als tegenstander van het EPD nu niet veel vertrouwen dat het bij de overheid nu wel goed wordt geregeld.
@drZymo: Maar die mogelijkheid in de link die je geeft bestaat al. Dat is niets nieuws, dat is gewoon het recht op inzage wat je altijd al had. En dat werkt in de praktijk vrij omslachtig. Daarom begrijp ik niet waarom, nu het voor alle zorgverleners zo eenvoudig wordt om je gegeven in te zien, dat je zťlf niet op dezťlfde manier toegang mag hebben tot je ťigen gegevens. En door onwil of gebrek van overheidswege aan goede argumentatie waarům dat niet mag, krijg ik helaas een gevoel van erg nare 'bijsmaak', waardoor mijn vertrouwen in dat systeem eerder af- dan toeneemt: "Staat er soms informatie in wat ik niet mag zien?" Het is onwaarschijnlijk, maar die gedachte speelt dan wťl bij mij op. En ik zal waarschijnlijk niet de enige zijn. Waarom toch zo geheimzinnig doen met dat EPD? Geef ieder toch toegang tot zijn eigen gegevens, dat zou veel weerzin wegnemen.
Juist vanwege de al dan niet terechte privacy bezwaren van burgers is inzage in je eigen EPD uitgesteld. Beveiliging met DigID en SMS authentificatie is niet veilig genoeg voor toegang tot deze gegevens (bron: ministerie VWS via Nu.nl).
Wat als de test hacker wel een hack ontdekt, maar niet dit meld.
Om later met dit lek een flinke hoop geld te kunnen verdienen?
De overheid die de waterdichtheid van een ICT systeem test, daar heb ik helaas geen vertrouwen in!

En hij wil de toegang tot het EPD systeem verlenen via de website van de zorgverlener, dit betekent dus dat de zorgverlener ook toegang heeft tot jouw zorg gegevens wat mij niet echt gewenst lijkt.

[Reactie gewijzigd door redstorm op 13 januari 2011 11:53]

tja... misschien kunnen ze beter een extra beveiliging inbouwen: je bijvoorbeeld als een huisarts kunt alleen maar met een trackeerbaar ip adres EPD inloggen. Als een nep arts buiten het gebouw of op weg met een laptop staat, en het systeem merkt het... geen toegang.
[funmode] Dan draait de sateliet in de richting van een nep arts... laserbeam wordt afgevuurd RIP nep arts :P [/funmode]
Er is ťťn veel makkelijkere oplossing. Veel goedkoper, en zeker veel veiliger.
Je zet de gegevens op het kaartje, wat je dus zelf bij hebt. Een kaartlezer bij de doctor en klaar hij mag het lezen/aanpassen.

Eventueel kan je dit kaartje (hoe weet ik even niet) synchroniseren met een server die verder volledig offline draait. Dus gegevens uploaden naar internet, deze gaan op usb key, en zo sync met server oid.

Dan is het window van hacken van data klein, en de hoeveelheid gegevens ook.
Hoeveel keer moet zoiets nog gezegd worden: IP adres is totaal geen enkele identificatie. Het geeft gewoon (tijdelijk) aan waar je je bevindt zodat pakketjes die jij verwacht ook bij jou toekomen. Vergelijk het met te zeggen "ik sta op de hoek van die en die straat" zodat je vriend je kan vinden als hij je zoekt. Een uur later staat daar iemand anders en ben jij ook ergens anders. Je identiteitskaart is je identificatie en die verandert normaal niet zo snel, gelijkaardig met een login dus.
Ja dat gaat een hacker die ingehuurd is door de overheid doen ja.
Die hebben verder ook geen wurg contracten getekend waarin zij grote straffen krijgen als ze ook maar een scheve stap zetten.

Ik denk dat de regering gewoon met de handjes van dit soort spul af moeten blijven. Ik heb geen behoefte aan een koppeling van mijn gegevens aan het internet. Alles wat je koppelt aan het Internet valt te hacken.
Maar ja... als jij betrokken raakt bij een zwaar auto-ongeluk aan de andere kant van het land, dan is het toch wel fijn dat de ziekenhuizen aldaar toegang hebben tot jou medische gegevens. Misschien ben je wel allergisch voor een medicijn dat ze willen toedienen.

Het heeft zijn voor- en nadelen. Wat weegt zwaarder?
Dit argument hoor ik te vaak met het EPD verhaal. Wat als.. wat als... Hoe vaak gebeurd het nu? Het aantal gevallen waarbij het daadwerkelijk verschil gaat uitmaken is relatief klein ten opzichte van de hoeveel heid data die in het systeem zit. De risico's zijn IMHO veelste groot om op te wegen tegen was als situaties.
En welke risico's zijn er dan allemaal? Dat iemand weet dat jij allergisch bent voor sulfa? Of dat je hart-ritme stoornissen hebt?

Opvallend hoe makkelijk de voordelen onder de tafel geschoven worden, terwijl de mogelijke nadelen enorm uitvergroot worden.
Het betekent alleen maar dat de nadelen voor veel mensen zwaarder wegen dan de voordelen. Daarom heeft iedereen een eigen mening. Als blijkt dat meer dan de helft van het volk de nadelen zwaarde vindt wegen dan de voordelen, behoort het niet door te gaan. Daarvoor leven we in een democratie.

In tegenstanders' perspectief is het dus "opvallend hoe makkelijk de nadelen onder de tafel geschoven worden, terwijl de mogelijke voordelen enorm uitvergroot worden".
Wat als jij een nieuwe date hebt die toevallig in het ziekenhuis werkt en even opzoekt wat voor ziektes jij allemaal gehad hebt. En of je Soa's enzo hebt. Lijkt me toch niet zo heel erg prettig wel.
Of dat je nieuwe date al weet dat je bepaalde "uitdagingen" hebt op sexueel gebied, aan de andere kant scheelt dat misschien wel wat uitleg. O je krijgt hem niet omhoog ja dat wist ik al hier heb je een pilletje.
Simpele oplossing voor... Gewoon loggen wie er allemaal toegang heeft gehad tot jouw data. Als je achteraf mensen op de vingers kunt tikken, en daar flinke straffen voor staan, (ontslag bijvoorbeeld!) dan zal jouw date het echt wel laten om in jouw data te snuffelen.
(zucht)
lees nou eerst eens de architectuur door. Staat gewoon op informatiepuntepd.nl. Dan zie je vanzelf dat je bezwaar is onderkend. Er zit een vangnet aan de voor- en aan de achterzijde.

Verder lijkt het me wel prettig, zo'n dame die begrip toont ipv afhaakt bij een weinig erecte omstandigheid :-)
Zolang ik nu ook niet weet dat ik allergisch ben voor een medicijn gaan ze niks aan mijn dossier hebben! (op gebied van medicijn allergie in elk geval)
Zodra je deze kennis wel bezit lijkt me bijvoorbeeld een armbandje nog steeds noodzakelijk.
Ja, maar wat als er een hikje of foutje in het systeem zit en ze krijgen per abuis de gegevens van een ander over jou..... zulke dingen kunnen ook gebeuren. Wat dacht je van indentiteitsdiefstal ?
En wat als jij nu een zwaar ongeluk krijgt in BelgiŽ, Spanje of op je rondreis door China? Moeten die ook maar inzage krijgen?

Terwijl het al lang internationaal is geregeld: iedere arts/ziekenhuis moet een bepaald protocol afwerken.
Wat vooral zwaar weegt bij het EPD is nu juist dat het niet alleen voor ziekenhuizen raadpleegbaar is, maar voor zo'n beetje iedereen die vaag gelieerd is aan de zorgindustrie, ook verzekeraars dus.


Ken al een aantal gevallen waar iemand die invalide geraakt is bij een ongeval nauwelijks iets uitgekeerd kreeg omdat ze bij ene sportmanifestatie al eens een bot hadden gebroken, en er dus "oude " schade was...


Alsof dat niet geneest :-(

Wat me zorgen baart is dat ik er laatst achter kwam dat het al operationeel *is*, het word gewoon al gebruikt, en is al op plekken gesignaleerd waar het niet beschikbaar hoort te zijn :-(((
oeh dat vind ik een enge ontwikkeling. dan stevenen we af op het zorg stelsel van amerika. kortom antwoorden als dit : "je bent te jong voor borst kanker dus keren we niets uit" voor diegene die de documantaire "sicko" hebben gezien van michael moore.

zorg verzekeraars horen er voor de mensen te zijn niet voor hun eigen portemonnee
Bonzo,
Wat vooral zwaar weegt bij het EPD is nu juist dat het niet alleen voor ziekenhuizen raadpleegbaar is, maar voor zo'n beetje iedereen die vaag gelieerd is aan de zorgindustrie, ook verzekeraars dus.
Waar baseer je dit op? Dit klopt namelijk niet. Lees onderstaande FAQ op de Info EPD website:
Zorgverzekeraars, werkgevers en bedrijfsartsen kunnen niet aansluiten op de landelijke infrastructuur en kunnen uw medische gegevens dus ook niet opvragen via de landelijke infrastructuur.
En je volgende opmerking:
en is al op plekken gesignaleerd waar het niet beschikbaar hoort te zijn
En waar baseer je dit op? Besef je je hoe streng de straf wordt als je informatie opzoekt waar je niet bij mag? Dit is overigens nog een wetsvoorstel en moet nog goedgekeurd worden.

[Reactie gewijzigd door tMb op 14 januari 2011 10:50]

Zouden ze kunnen koppelen aan die IDkaart met oog- en DNA info die je ten alle tijden bij je moet dragen - dan heeft dat ook nog eens nut.
Een extra veiligheid:
- Als je hem vergeet moeten ze op pude manier via huisarts opvragen,
- als je hem verliest moet hij toevallig door een malafide dokter gevonden worden die geregistreerd wordt op moment van inloggen
misschien, maar uw medische gegevens zitten ongetwijfeld ook ergens in een dossierkast bij de dokter. Daar kunnen ze door inbrekers ook gestolen en gelezen worden.
Yup,

Maar die man kun je iig in zn ogen kijken om te zien of hij wel of niet pluis is.

Al die random mensen die te weinig verdienen in de zorginstellingen door heel nederland kun je niet in de ogen kijken maar kunnen wel bij jouw gegevens als t tegen zit.

Het gaat er om dat het nu in een keer makkelijk wordt gemaakt om willekeurige gegevens van allerlei mensen massaal op te vragen. Iets wat helemaal niet nodig is.

Geef mij een pasje mee, waar een code op staat waarmee een dokter anders dan mijn huisarts bij mijn gegevens kan in plaats van dat er regels wegens misbruik worden opgesteld.
euh.... de meeste inbrekers zorgen er wel voor dat ge ze niet in de ogen kunt kijken!
Als ze een beetje goed zijn in hun job tenminste.
ja maar dan kan diegene dus nooit gegevens in grote aantallen stelen. wat wel mogelijk is vanaf 1lokatie waar je toegang tot alles hebt. dat is wel duidelijk geworden met die wikileaks lek.... en dat ging dan zelfs op een besloten netwerk compleet afgescheiden van het reguliere globale netwerk. terwijl dit systeem dus ook gewoon vanaf internet toegankelijk word. zeer kwalijk dus.
"Wurgcontract" is een beetje een moeilijke woordkeuze. Ze kunnen ze moeilijk de vrije hand geven en laten ze dus tekenen om te voorkomen dat ze er met belangrijke data vandoor gaan.
zo kan je eeuwig doorgaan natuurlijk. Wat als die ambtenaar niet fris is qua bedoelingen?

Ze screenen die whitehat's heus wel hoor.

Dat je toegang krijgt via de website van de zorgverlener wil nog niet zeggen dat je zorgverlener gelijk toegang heeft tot jou EPD. Daar bestaan prima scheidingsmechanismen voor.

Bovendien: zorgverlener, is je huisarts, of je ziekenhuis. 2 instellingen die sowieso toegang mogen hebben lijkt me zo.
Jeetje hoe goedgelovig kan je zijn? Met alle respect hoor...

Het staat op het Internet en dan is het dus hackbaar.
Zelfs de relatief goedbeveiligde banksites zijn hackbaar gebleken, terwijl dat nog met een rekenmachine beschermd wordt.

Wij moeten maar vertrouwen hebben dat de beveiliging goed genoeg is.
Wij moeten maar vertrouwen hebben dat er inderdaad een mailtje gestuurd gaat worden als iemand in je dossier heeft gezeten.

Ik heb zelf aangegeven dat ik geen EPD wil hebben. Toch moet ik ook maar vertrouwen dat dit inderdaad niet gebeurd is. Eerlijk gezegd heb ik nog een beetje twijfels...
Die twijfels zijn terecht. Jouw afmelding van het EPD gaat puur over de uitwisseling van de gegevens. De gegevens zelf zitten al jaren in het systeem. Dat zelfde systeem wat telkens weer op schofterig makkelijke wijze te compromiteren is.
@herbalx: ik doel ook specifiek op social engineering, hoewel het technisch ook niet in orde is als ik jouw verhaal lees.

[Reactie gewijzigd door Rick2910 op 13 januari 2011 13:24]

Social Engineering is de gevaarlijkste aanval in mijn ogen. Dit omdat het slagingspercentage hoog is, de traceerbaarheid bijna niet te doen is en de impact er hoog kan zijn.

Social Engineering word nu op grote schaal al gebruik bij verschillende organisaties om bijv. informatie in te winnen bij een verzekeringsclaim of bij het afgeven van een hypotheek.

de VPRO heeft hier een tijdje geleden een documentaire over gemaakt. Mensen die twijfelen aan de kans dat een dergelijk dreiging zich voordoet adviseer ik deze documentaire te bekijken. Op youtube is deze terug te vinden in fimpjes van 15 min, hier de link: http://www.youtube.com/re...ema%3A+Wat+nou+privacy%3F

Mocht je niet overtuigd zijn van de waarde van jou gegevens voor organisaties als verzekeraars bijv. dan adviseer ik de korte film op de website http://www.privacymatters.nl/

Alle data die nu wordt verzameld met bijv. systemen als de OV-chipkaart, EPD, bewaarplicht, (camera)straattoezicht worden straks aan 1 project gekoppeld genaamd Indect. Voor mensen die hier nog niet van gehoord hebben, hier hun website met een stukje eigen reclame: http://www.indect-project.eu/

en hier nog even twee linkjes van RTL-nieuws die hier ook al meerdere keren aandacht aan besteed heeft.

http://www.rtl.nl/compone....indect-voor-internet.xml

http://www.rtl.nl/%28/act...-aan-mega-big-brother.xml
Zelfs voor minder onder legde techneuten zou je op een logische wijze kunnen beredeneren dat het EPD niet veilig kan zijn.

Neem onze vrienden van microsoft als voorbeeld. Deze zijn als meer als 25 jaar bezig met het bouwen van een besturingssysteem en na 25 jaar zijn nog niet instaat gebleken een volledig veilig product op de markt te zetten..... waarom zou een partij die bekend staat om haar fouten wat betreft IT ontwerp en implementatie (de overheid) dit wel kunnen ?

De afgelopen keren ben ik me rot geschrokken in het ziekenhuis, want de problemen zitten niet alleen in de techniek maar ook in het beleid en de handelingen van het personeel.

Zo werden wij op de eerste hulp geholpen door een aantal aardige zusters, ťťn van die zusters logt in op de computer, voert haar handelingen uit en start met het uitvoeren van de behandeling. vervolgens wordt de kamer verlaten en had ik de mogelijkheid anderhalf uur rond te klikken in systemen met vertrouwelijke gegevens.

…ťn van die systemen heet X-care, (volgens mij van www.mckesson.nl) dit systeem zag er brak uit. Mijn gevoel zij dat het ook zonder geldig inlog gegevens een fluitje van een cent moet zijn om gegevens uit dat systeem te kapen (let op: dit is een vermoeden, dit is op geen enkele manier getest noch bewezen) ...... zeker voor iemand met voorbedachte raden, omdat USB poorten werkend waren en autorun stond ingeschakeld waardoor het systeem in een poep en een scheet valt de infecteren met malware........ de machine miste ten tijde iets van 100 windows update en was niet voorzien een virusscanner ...... trek je eigen conclusies maar...... persoonlijk vind ik dit zeer zorgelijk zeker omdat ook wij een bezwaarschrift hebben ingevuld en mevrouw toch de gegevens in X-Care heeft gezet

edit: nuance aangebracht in de laatste alinea

[Reactie gewijzigd door herbalx op 13 januari 2011 14:46]

Ja, maar nu heeft de overheid het uitbesteeds aan ATOS Origin, dus ligt het straks niet aan de overheid als je persoonlijke data op straat ligt...
Incorrect. Er zijn meer dan tien verschillende software huizen die hieraan deelnemen. Verder is de centrale component uitbesteed aan CSC in Utrecht. En er zijn nog data netwerkleveranciers die meedoen (ZSPs), meer dan 10. Dus het zijn er meer.

Nog even afgezien van de lokale netwerken bij bijv ziekenhuizen, etc.

Het is best complex allemaal. Maar dat is geen reden het niet te willen. Het is wel reden het kritisch te benaderen, en te kijken waar mogelijkheden liggen, en hoe risico's te beperken of uit te sluiten.

Niets doen is nooit een optie. Kijken naar verbetering wel. En dit is voor de zorg een verbetering. Niet voor niets gaan de huidige regionale 'oplossingen' uitgefaseerd worden. De systemen waren niet goed genoeg tov de standaarden in de landelijke oplossing.
Met meer dan tien verschillende software huizen weet je tenminste zeker dat het aan niemand ligt :)
Nee hoor. Opdrachtgever voor de AORTA is het Ministerie van VWS. Dus dat is volkomen helder.
Verder heeft iedere softwareleverancier een contracteigenaar. Dus dat is ook helder.

Het valt allemaal best mee.
Het huidige systeem is inderdaad misschien niet ideaal te noemen, maar dat is nog geen reden om overhaast een nieuw systeem erdoorheen te drukken!

Het allergrootste probleem wat in het artikel wordt aangegeven is met het EPD ook niet op te lossen: menselijke fouten en laksheid.

Ook als het EPD er komt zullen de wachtwoorden nog met POST-IT's op de monitor hangen en zullen tijdens de lunchpauze alle patiŽntgegevens ongestoord doorgelezen kunnen worden op de ingelogde computer (bij wijze van spreke).

Alleen van de reacties van de betrokkenen verantwoordelijke zie je al dat er verontrustend weinig kennis van zaken is :
NPCF-directeur Wilna Wind: “Onze bankzaken kunnen we al jaren veilig via internet regelen. Waarom is het voor de meeste patiŽnten nog steeds niet mogelijk om via internet hun eigen behandeling te sturen?
http://www.binnenlandsbes...aast-met-epd.489588.lynkx
Deze directeur vergelijkt appels met peren en ziet over het hoofd dat tot mijn bankrekening alleen ik via random reader en mijn bank toegang hebben wat als redelijk als veilig te beschouwen is, terwijl bij het EPD al het medisch personeel toegang heeft tot de gegevens.

[Reactie gewijzigd door redstorm op 13 januari 2011 13:24]

Deze directeur vergelijkt appels met peren en ziet over het hoofd dat tot mijn bankrekening alleen ik via random reader en mijn bank toegang hebben wat als redelijk als veilig te beschouwen is, terwijl bij het EPD al het medisch personeel toegang heeft tot de gegevens.
En dat moet je natuurlijk ook maar geloven. Heb je het ook nagevraagd? Ooit aan je bank gevraagd om een lijstje met namen die de laatste tijd in je bankgegegens hebben gekeken? Gekregen ook?

Afijn, of je nou voor of tegen bent. Je kunt niet ontkennen dat er aardig wat mogelijkheden zijn om niet mee te doen, of te sturen.

Overigens kan ik melden dat het uitsluitingsprincipe werkt - dus als je nee hebt aangegeven, dan wordt er niet uitgewisseld via het Landelijk Schakelpunt. Punt.
Ondertussen heeft de huisarts allang een regionaal EPD. En dat valt buiten jouw toestemming. Zoek maar eens op CBP en Gorinchem. Voorbeeld: http://www.cbpweb.nl/Page...hp_afzien_handhaving.aspx
Lijkt me dat je ook hiervan kunt zeggen: de overheid zorgt in ieder geval voor verbetering van de huidige, weinig transparante situatie.
Langs de andere kant, als je morgen een ernstig verkeersongeval meemaakt, je bent zwaargewond, je kan niet meer spreken,... kan het levensreddend zijn dat de artsen op de spoedafdeling toegang heeft tot jouw medische gegevens.

Laat ons eerlijk zijn: de kans dat iemand slechte dingen gaat doen met jouw gegevens. Hoeveel is dat. 50%? 25%? nee... 1%? Zelfs dat nog niet...

Geef mij dan maar een EPD en dus meer kans op overleven, want dat aspect wordt vaak vergeten. En zo'n ongeval kan iedereen vroeg of laat meemaken. Met de nadruk op iedereen!
De kans dat iemand jou gegevens misbruikt is afhankelijk van de pakkans, de opbrengst en de techniek die wordt gebruikt.

Als iemand jou ID-kaart in handen krijgt is de kans 50% dat iemand jou gegevens misbruikt. Hij of zij doet het wel of niet....... de schade is afhankelijk van het geen wat diegene met jou gegevens doet.

Wanneer iemand jou TV uit huis steelt, koop je morgen gewoon een nieuwe..... wanneer iemand jou Identiteit misbruikt zit je daar waarschijnlijk je leven lang aan vast en kom je er dus ook niet meer vanaf.

Lees het eerste stukken maar eens en bekijk vervolgens het beeld materiaal van eenVandaag, ik hoop dat je er dan iets genuanceerde overdenkt

http://www.bndestem.nl/al...even-zakenman-tot-hel.ece

http://lsdimension.wordpr...er-van-identiteitsfraude/

http://www.eenvandaag.nl/...?videoID=94122&external=0

Naast het EPD zijn er tal van opties om het geen wat jij beschrijft af te dichten, bijv. door de gegevens op te slaan op je ID-kaart, je bent immers toch al verplicht deze bij je te dragen. En wanneer jij niet aanspreekbaar bent doorzoeken de artsen altijd je zaken op zoek naar informatie die gebruikt kan worden bij de behandeling.
De kans dat een verzekeraar de gegevens van alle nederlanders of een bepaalde doelgroep uit ene bepaalde kliniek ontzettend waardevol vindt is 100%.

De kans dat een verzekeraar een corrupte arts of verpleger kan vinden en die zover kan krijgen deze gegevens op met de inlog gegevens van iemand anders in het ziekenhuis uit een computer kan lezen is 100%.

De kans dat een verzekeraar dit zou doen?, weten we niet.
We weten wel dat de kans op een ongeluk een stuk kleiner is en gemakkelijk op te lossen is door een kaartje met een key of password bij je te hebben die zonder het spreken van de patient toch toegang verschaft tot je epd.
Kans dat een verzekeraar dat gaat doen? Groot. Verzekeraars en zorgaanbieders worden steeds verder met elkaar vervlochten. Verzekeraars kopen complete ziekenhuizen, maar ook je lokale dokterspost kan zomaar door zo'n tent gerund zijn. En jij geloofd dat als op plaats a in een bedrijf de informatie beschikbaar is waarmee ze op plaats b kunnen zorgen dat de winsten de lucht in gaan, ze dat niet zullen doen? Dat lijkt me... naÔef.
Kans dat een verzekeraar dat doet is nihiel. Zoiets komt na verloop van tijd altijd uit. Om die data effectief te gebruiken, moeten er veel te veel mensen vanaf weten. En dan is er altijd wel een klokkeluider. En nadat uitkomt dat die verzekeraar dergelijke illegale wegen bewandeld heeft, gaat hij gewoon failliet, omdat iedereen 'm verlaat.

Ze zullen heus wel de grenzen van het toelaatbare opzoeken, maar wat killercow hier beschrijft gaat echt niet gebeuren.
Laat ons eerlijk zijn: de kans dat iemand morgen een ernstig verkeersongeval meemaakt, je bent zwaargewond, je kan niet meer spreken. Hoeveel is dat. 50%? 25%? nee..1%? Zelfs dat nog niet...

Wat een non-argument zeg...

De overgrote meerderheid in de zorg die toegang tot jouw EPD zal hebben, zal waarschijnlijk amper in staat zijn op de eigen PC die lekker thuis staat een Windows update te laten draaien, laat staan te denken aan JOUW persoonlijke gegevens.

De overheid heeft keer op keer laten zien dat ze wat digitale beveiliging betreft compleet falen. Zelfs nu veel weerstand is geboden tegen een EPD zullen ze alsnog dit er doorheen drukken evenals ze bij de OV-chipkaart hebben gedaan (die uiteraard ook zo lek als een mandje is, zelfs voor de invoering al).

Wat mij betreft mogen ze de overheid compleet opschorten aangezien een democratische staat in mijn ogen een utopie is. Benoeming van minister (en de partijen waartoe ze behoren) is veelal vriendjespolitiek en heeft niks met vaardigheid of expertise te maken. De afgelopen vorming van het kabinet liet dit overduidelijk zien met de onnodige ''ik wil niet met die en die partij samen regeren..." uitspraken van gekozen partijen.

Gelijk ook 1 van de voornaamste redenen waarom ik blanco stem tijdens iedere verkiezing. Partijen beloven van alles als lokkertjes maar vallen veelal terug in hun eigen ideeŽn en idealen waardoor niks terecht komt van de beloftes. Een kamerlid zal nooit akkoord gaan met een voorstel waarbij hij of zijzelf benadeeld zal worden maar de meerderheid van NL baat bij zou hebben.
Jeetje hoe goedgelovig kan je zijn? Met alle respect hoor...
In het geheel niet, maar jouw argumenten waren gewoon pure onzin.

Er zijn genoeg (vrijwel oneindig) veel argumenten te verzinnen tegen het EPD, maar die van jou gaan mensen domweg niet serieus nemen.

[Reactie gewijzigd door arjankoole op 13 januari 2011 13:32]

Tijd voor een paranoÔa pilletje?

Want wat als de ontwikkelprogrammeur een achterdeur heeft gemaakt?
Of de systeembeheerder een tap installeert?

Testen is goed, hack pogingen ondernemen op de test situatie ook. En dat je daar partijen voor moet gebruiken die je vertrouwd lijkt me zo triviaal dat het nauwelijks de moeite van het opschrijven waard is.

Klinkt mee alsof je geen vertrouwen hebt in de overheid, ongeacht of ze een hacker voor het testen gebruiken.
Zorgwekkender is dat de politie ook toegang kan nemen. Ze tappen al zoveel. Zo van we weten dat je suikerziekte hebt,als je bekend krijg je je insuline, de zogenaamde zaanse verhoormethode. Daaraantegen bij een verkrachter direct inzien op bv aids of s.o
a. is wel handig
.
Door gebruik van meerdere hackers;) Als de een het niet meld dan meld een ander het wel. Of die hackers moeten allemaal afspraken met elkaar maken wat ze wel en niet vertellen, maar dan moeten ze elkaar wel allemaal kennen.
Mag niet, krijgen ze een boete van de NMA voor kartelvorming. :+
En hoe willen ze dat controleren dan? Stel ze spreken het met zijn allen af, dan komt er na de lancering een hack beschikbaar waarmee ingebroken kan worden. Moet men er dan maar direct vanuit gaan dat men het heeft afgesproken, omdat er alsnog een hack opduikt? Wordt de groep dan afgevoerd naar het bureau in een busje? In dit geval zou dat gerechtvaardigd zijn, maar:

Wat nou als ze niks hebben afgesproken en hun best hebben gedaan, en er duikt alsnog een hack op na lancering. Voor de observeerder is de situatie exact hetzelfde; er is een testsessie met hackers geweest, en na de lancering duikt een hack op. Worden nu ook alle hackers opgepakt? In dit geval hebben ze allen eerlijk gehandeld.

Met andere woorden, dat verschil is niet te zien. Dan kan er wel een boete op staan, maar wat je niet kan controleren kan je ook niet bestraffen.
De overheid die de waterdichtheid van een ICT systeem test, daar heb ik helaas geen vertrouwen in!
In welk bedrijf heb je wel vertrouwen dan?

De enige mogelijkheid om het systeem goed te testen wat betreft veiligheid is door de source code (van de frontend, authenticatie en authorizatie modules) inzichtelijk te maken voor iedereen.
Als jij ingehuurd word om de boel te hacken moet je gewoon je werk doen en die hacks melden. Daarbij ga ik er van uit dat deze mensen ook nog eens van buiten de overheid komen.
"... via de websites van hun zorgverlener moeten inloggen"
Dat nooit. Gewoon alles blokkeren.
Een arts mag nooit zomaar "op een dossier afgaan" maar altijd zelf onderzoek doen.

Via de zorgverlener ... kun je op wachten dat ie de gegevens krijgt. Als ie dan een zusterbedrijf heeft die hypotheken verstrekt. is het enige wat ie nodig heeft b.v. je nogal hoge bloeddruk. En hoppa, je mag 16% rente i.p.v 6 % op je hypotheek betalen.
(Iemand naast mij in het ziekenhuis was zo "stom" zijn bloeddruk probleem op te geven aan de bank ...)
Exit koophuis.
De voordelen worden zwaar overdreven. Veel allergieŽn ken je zelf niet. En veel fouten zijn menselijke verwisselingsfouten van het personeel langs het bed.
Ofwel, je wordt iets aangepraat wat niet in je eigen belang is, voor de zoveelste keer, maar in andermans belang.
Wel grappig dat mensen hier gigantische het EPD willen inperking. Elke reactie is gericht naar meer "privacy".

Uiteraard ben ik tegen het feit dat een EPD slecht gebruikt kan gaan worden, bijvoorbeeld duurdere verzekering/geen verzekering voor vaker zieken of het uitsluiten van carrieremogelijkheden voor chronische ziekte.

Echter, als je kijkt naar de research kant van dit verhaal is het EPD een godsgeschenk. Je hebt een vermoeden, legt dit naast de EPD's en kijkt of het klopt. Dit is iets wat echt gigantisch handig is in de research; je hebt een controle pool van, zoals ik het in het artikel lees, 5,8 miljoen mensen. Iets wat voorheen bijvoorbeeld alleen mogelijk was in grote (amerikaanse) universitaire ziekenhuizen kunnen we nu ook en dan ook nog eens landelijk (niet lokaal).

Wat er gebeurd door de opt-in is dat het totaal scheef getrokken wordt en niet meer representatief is, tevens een sms-je als je dossier gelezen wordt; prima. Maar ik zie de eerste artikelen al van mensen die beginnen te steigeren naar het voorbeeld van hierboven. Of erger nog; je bent ernstig ziek; dokter kijkt naar je dossier en moet een aantal dingen ophelderen; laat een week niks van zich horen en jij zit in de stress.

Eigenlijk wanneer je het EPD zo gaat inperken verliest het al zijn voordelen en kunnen we weer net zo goed terug gaan naar het papieren dossier (wat naar mijn mening minder goed beveiligd is en kan ook misbruikt/opstraat komen te liggen)
Echter, als je kijkt naar de research kant van dit verhaal is het EPD een godsgeschenk. Je hebt een vermoeden, legt dit naast de EPD's en kijkt of het klopt. Dit is iets wat echt gigantisch handig is in de research; je hebt een controle pool van, zoals ik het in het artikel lees, 5,8 miljoen mensen.
Dat is het niet. Het leidt namelijk tot onderzoeksresultaten gebaseerd op onder meer de (voor)oordelen van degenen die gegevens aan het dossier hebben toegevoegd. Anders gezegd: het leidt tot slecht uitgevoerd onderzoek door 'kleuring' van de gegevens. Het gevaar van het EPD is daarnaast dat medici geen onafhankelijke diagnose meer gaan stellen in individuele gevallen.
Wat er gebeurd door de opt-in is dat het totaal scheef getrokken wordt en niet meer representatief is
Er is feitelijk helemaal geen opt-in. Daarnaast kun je bij voorbaat twijfelen aan de kwaliteit van het onderzoek wanneer een wetenschappelijk onderzoeker niet in staat is een dergelijke bias uit het onderzoek te filteren.
Het hele voordeel van de EPD is dat artsen snel inzage krijgen in jouw medische status: welke ziektes je hebt (gehad), welke medicijnen je slikt(e), etc. Nu beperk je dat dossier tot alleen je huisarts en misschien het lokale ziekenhuis. Vervolgens krijg je aan de andere kant van het land een ongeluk en kunnen ze daar je EPD niet inkijken. Wat voor nut heeft het EPD dan?
Als er iets fout gaat met je EPD praat je wel anders.
Geen pijnstiller omdat je er, volgens een fout in je epd, alergisch voor bent? Of juist wel omdat de vermelding ergens verloren is gegaan?

Als je iets van me wil weten, hoor ik het eerste aanspreekpunt te zijn, niet een of andere database waar ik een nummer ben.

En met 5.8 miljoen dossiers op 1 grote hoop is die kans groot dat er wel eens wat mis gaat. Je wordt gewoon een nummer.

Ik heb een naamgenoot die op dezelfde dag geboren is. Geloof me, ik weet wat er fout kan gaan.
"Wat is uw naam?", "geboortedatum?", "adres?" "ow hier staat een ander adres, ik pas het wel even aan...". Je wil ze de kost niet geven hoe vaak dat al is gebeurd. Zelfs bij het gemeentehuis kreeg ik het verkeerde paspoort mee.
(Soms gaat het ook positief fout en krijg je van je verzekeraar te horen dat je na controle veel meer schadevrije jaren dan wat je zelf aangaf, dus heb ik nu meer schadevrije jaren dan jaren dat ik mijn rijbewijs heb :+ )

En nu komen er dus duizenden mensen verspreid over het hele land die geen idee hebben wie je bent en die fouten kunnen maken.

Wie heeft bedacht dat het slim is om een schip met 5,8 miljoen mensen en 10.000 kapiteins te maken?
Als je iets van me wil weten, hoor ik het eerste aanspreekpunt te zijn, niet een of andere database waar ik een nummer ben.
en wat als je niet aanspreekbaar bent?

Bovendien zal een arts nooit blind afgaan op welke informatie bron dan ook. Daar worden ze voor opgeleid.
Dan pakt hij maar een kaartje uit mijn broekzak met een key.
Of een signature op mn telefoon.

Of belt hij even met mijn huisarts die dan voor dokter X t profiel unlocked.
Wie heeft bedacht dat het slim is om een schip met 5,8 miljoen mensen en 10.000 kapiteins te maken?
De wetgever, dus de tweede kamer, onze volksvertegenwoordiging, dus eigenlijk jij en ik. De juridische wetgeving van de zorgsector zit zo in elkaar. Zie URL: http://www.nictiz.nl/modu...an_wie_is_het_dossier-pdf

[Reactie gewijzigd door Batje4 op 13 januari 2011 16:43]

Geen pijnstiller omdat je er, volgens een fout in je epd, alergisch voor bent? Of juist wel omdat de vermelding ergens verloren is gegaan?
Dus zonder EPD wordt jouw analoge dossier erbij gepakt, met dezelfde fout (of een missende of slecht leesbare pagina waarvan de kans groter is).
Als je iets van me wil weten, hoor ik het eerste aanspreekpunt te zijn, niet een of andere database waar ik een nummer ben.
Ben u allergisch voor *insert moeilijke naam*? Daar kunnen de meeste patiŽnten geen antwoord op geven :).
En met 5.8 miljoen dossiers op 1 grote hoop is die kans groot dat er wel eens wat mis gaat. Je wordt gewoon een nummer.
Dit geldt ook voor het analoge dossier. Als jouw patiŽntnummer wordt ingevoerd om het EPD op te vragen dan wordt er echt wel gekeken naar jouw naam, geboortedatum en woonplaats. De kans dat al deze factoren verkeerd gaan is ontzettend minimaal, en wederom, het kan bij analoog ook gebeuren.
Ik heb een naamgenoot die op dezelfde dag geboren is. Geloof me, ik weet wat er fout kan gaan.
"Wat is uw naam?", "geboortedatum?", "adres?" "ow hier staat een ander adres, ik pas het wel even aan...". Je wil ze de kost niet geven hoe vaak dat al is gebeurd. Zelfs bij het gemeentehuis kreeg ik het verkeerde paspoort mee.
Als jij op de spoedeisende hulp ligt gaan ze dit niet vragen. Als je ziek bent, maar wel in staat bent om deze vragen te beantwoorden dan komt wel aan het licht dat er iets fout zit.

Ik reageer nu alleen op jouw commentaar (niet persoonlijk aanvallend en noch om het EPD danwel analoge dossier te verdedigen overigens ;)), maar ik denk dat het wel meevalt. Dit alles is uiteraard wel buiten het beveiliging en andere aspecten van de EPD-discussie om :). Primair gezien heeft het EPD gewoon veel voordelen, het grootste nadeel is gewoon dat *als* een hacker in staat is om het EPD te kopieren je met gebakken peren is. Overigens praat je over minimaal honderden GB's voor een database met alle patiŽntgegevens, dat kopieer je niet 1-2-3 ;).

[Reactie gewijzigd door Thandor op 13 januari 2011 23:53]

Pardon? Je wil de medische status van elke nederlander open gooien als onderzoeksobject voor een willekeurige medische AIO? En dat nog zonder een opt out? Voel jij je wel helemaal OK? Damn right dat er hierover gesteigerd gaat worden!
Helemaal eens. Daar is het niet voor bedoeld, en mag het ook niet voor worden bedoeld. Kan niet genoeg over gesteigerd worden.
Edith Schippers geeft opt-out een hele nieuwe dimensie.

Ik heb bezwaar aangetekend tegen het uitwisselen van gegevens dus als het goed is, verlaat mijn dossier de burelen van de huisarts toch al niet.
Jawel, er staat alleen bij dat ze dat jou niet moeten vertellen omdat jij niet wilde dat het zou gebeuren. Triest, maar het gebeurd echt.
Ik ben inderdaad bang dat dit zo is gegaan. Ook heb met veel moeite en tig brieven en formulieren ingevuld om bezwaar aan te tekenen tegen opname van mijn gegevens in zo'n onbetrouwbaar systeem, maar je kan er donder op zeggen dat iedereen er gewoon instaat.

Belachelijk, maar helaas.
Ik kan je melden: dat is dus niet zo in het landelijke systeem. Bij elke opvraging in het landelijke systeem wordt eerst geverifieerd of je het niet wil; als dat zo is, dan is het einde opvraging. Punt.

Hoe alle EPDs van ziekenhuizen en regionale uitwisselsystemen werken weet ik niet.
en hoe weet je dat, bron, informant?? al dat "waarschijnlijk" en "misschien" koop je niets voor.

de mensen die met het systeem werken boeit het geen ..... of je er niet in wil. ze doen het gewoon en jij moet er maar mee leven.

als ik zie wat voor achterlijke fouten ambtenaren tegenwoordig nog maken kan ik ook geen vertrouwen hebben in dit systeem dat geregeld wordt door de overheid.
Ik vind het EPD wel handig.

Ik heb altijd lang moeten wachten hier in BelgiŽ op mijn dossier dat moest opgestuurd worden naar een andere dokter omdat ik het zelf niet mag meepakken naar een andere dokter.
Het is ook handig om te zien welke medicijnen een mens neemt dat ze geen conflicterende medicijnen kunnen geven.

Wat ik zou willen is het zelf inkijken van dat dossier.Dit brengt natuurlijk veiligheids risicos mee neem ik aan.
In BelgiŽ zouden ze het kunnen koppelen E-ID als ze het hadden(maar voordat ze dit klaar hebben woon ik al in Nederland, Belgie staat ver achter).
In Nedeland is er toch DigiID?
Ik weet wel niet of dit foolproof is.
Hier in BelgiŽ kan je het EPD niet rechtstreeks koppelen aan het rijksregisternummer. Asielzoekers, toeristen, ... of kortweg mensen met een andere nationaliteit hebben ook recht op zorg in BelgiŽ, en zij hebben dat nummer uiteraard niet. Akkoord, voor toeristen moet je geen EPD voorzien, maar, zijn ziekenhuisopname moet wel technisch in het systeem kunnen geregistreerd worden. Bovendien zijn asielzoekers hier wel een tijdje langer en is daar dus wel nood aan een dossier.

Er moet dus gezocht worden naar een andere primary key...
De overheidsdienst eHealth heeft hier uiteraard een oplossing voor zodat het EPD wel kan gekoppeld worden aan het rijksregisternummer.
Ik weet niet hoe ver ze ermee staan, maar men ging een generiek rijksregisternummer toekennen aan mensen die er geen hadden.
Bij elk systeem zullen er mensen tussen de mazen glippen, het rijksregisternummer is de meest wijdverspreide unieke identifier in belgie

[Reactie gewijzigd door vampke op 13 januari 2011 13:57]

Ook kunnen ze een sms of e-mail krijgen als iemand hun medische gegevens heeft bekeken.
Kijk, dit is nog eens innovatie. Nu er alleen voor zorgen dat 1) dit geen vinkje is bij de opvrager, maar dat er gewoon altijd een melding uitgaat en 2) dat het voor de ontvanger van de notificatie duidelijk is wie er toegang heeft gehad, en het liefste waarom.

Zo'n systeem valt of staat natuurlijk met de kwaliteit van de communicatie, en als er bv alleen codes worden doorgeven en je telkens zou moeten bellen en veel moeite moet doen om te achterhalen wie er in jouw dossier zit schiet het niet op.

Maar ik ben positief verrast over deze functie :).
Stel secretarresse bij arts X wil iets uit jouw dossier weten om een reden die jou niet aanstaat.

Wat schiet je er dan mee op dat je een sms krijgt op het moment dat zij dat al opgevraagd heeft ? Dan heeft ze die gegevens al.

Het enige correcte autorisatiemoment is vooraf, niet achteraf.
@Het.Draakje: Ook ik heb liever dat ik vooraf toestemming moet verlenen. Maar dan valt juist het m.i. grootste voordeel weg, en dat is dat in geval van nood de betrokken artsen onmiddelijk inzage hebben in alle relevante gegevens die zij nodig hebben voor directe behandeling. Als ik dan niet meer in staat ben om die toestemming te verlenen, zullen mijn overlevingskansen daar niet groter op worden ;)
de dokter heeft bij noodgevallen jouw gegevens niet nodig. Die moet hij namelijk altijd al controleren, omdat:

- het een buitenlander is
- het een nieuw ziektebeeld is voor de patient. Q:(Wanneer weet je dat je allergisch bent voor medicijn X, A: Als je het binnen krijgt. En tenzij iedereen maar ieder medicijn verplicht in moet nemen, kan je altijd een combi krijgen die bij een patient een verkeerde uitwerking heeft. En ik wil alleen maar medicijnen slikken als ik een probleem heb, niet om te kijken of ik er wellicht allergisch voor ben.
- het een EPD weigeraar is.
Nou, knikker in dat geval maar alle logling in de hele IT-wereld eruit, aangezien logging altijd een zaak van achteraf is.

Je bericht houdt natuurlijk weinig stand als reactie op mijn bericht. Je spreekt over een autorisatiemoment. De betreffende SMS of e-mail is uiteraard geen autorisatie. Die regel je vooraf (en eventueel verleen je die vooraf, hoewel dat in noodsituaties lastig is).

Het doel van zo'n mail/sms is juist dat je hiermee kunt controleren of de maatregelen die er zijn voldoende zijn, en je dus op de hoogte wordt gesteld van verdachte inzagen. Dan kun je dit melden en kan er een onderzoek volgen. (Of dat dan ook gedaan wordt is een tweede, maar je moet zoiets dan wel in de 'best practice'-situatie zien.)
Ik spreek inderdaad van autorisatie. Ik vind namelijk dat een arts, ongeacht of ik (eens) zijn patient (geweest) ben mijn gegevens pas mag zien als hij ze nodig heeft. Dus vandaag niet, maar morgen (misschien) wel, maar pas na autorisatie, en laat dat angstverhaal van "lastig bij noodgevallen" maar zitten, daar hebben ze al minstens 47 jaar (helaas eigen ervaring) geen enkel probleem mee.

Dat loggin vaak gebruik wordt om achteraf een schuldige aan te wijzen is leuk, maar het heeft uiteraard nog meer functie's (opsporen van fouten).

Verder heeft loggin misschien zin als autorisatie/controle als het risico beperkt is of als de pakkans nagenoeg 100 procent is en de sanctie groot.

Ik denk dat jij niet blij bent als jouw buurman jouw bankgegevens inziet, wat hij als hypotheekverstrekker van een bank mag doen, op het moment dat jij geen hypotheek aanvraag hebt lopen.

Ik denk niet dat jij ook blij wordt als uit de logging blijkt dat een of andere drugsverslaafde jouw bankrekening geplunderd heeft en de bank zich daarom niet verantwoordelijk acht. Maar als het risico klein is (de bank zorgt voor autorisatie) en de impact klein (de bank vergoed de schade) dan kan je een business case bouwen voor zo'n beveiliging.

Het risico op misbruik en de impact van zo'n misbruik zijn bij een EDP niet klein. Dus logging als beveiliging tegen misbruik van het EDP is daarom niet acceptabel.

edit: jaar vergeten achter 47.

[Reactie gewijzigd door Het.Draakje op 14 januari 2011 00:54]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True