Medische data nog steeds kortdurend onversleuteld in LSP-computer bij data-transport

top secret stamp-143799_640

Privacy staat naarmate overheden en andere organisaties haar steeds meer geweld aandoen, meer in de belangstelling. In dat kader lijkt het mij nuttig een niet wijd en zijd bekend fenomeen bij het Landelijk SchakelPunt(LSP) weer eens onder de aandacht te brengen.

In november 2012 presenteerde de Vereniging van Zorgaanbieders voor Zorgcommunicatie(VZVZ) dat het LSP beheert, het businessplan 2013-2016 . Daarin zijn  tussen de regels door zaken te lezen n die door VZVZ nooit openlijk gecommuniceerd zijn met de aangesloten zorgaanbieders. Het gaat om het feit dat tijdens het proces waarbij door een zorgaanbieder medische data worden opgevraagd deze korte tijd onversleuteld in de LSP-computer aanwezig zijn als ze van de bron onderweg zijn naar de opvrager.

Bron

In het genoemde businessplan van VZVZ op blz 52 onder hoofdstuk 4.1.3.3. (Benodigde product-ontwikkeling) staat dat men de Professionele Samenvatting(PS) van de huisarts wil gebruiken als basis voor het SEH(spoedeisende eerste hulp)-bericht.

Er staat: “Als alternatief is daarom op het LSP een proof of concept uitgevoerd met een centrale transformatie van de PS uit het HIS naar de SEH-standaard. Deze proef is succesvol verlopen en zou als tussenoplossing  in de praktijk kunnen worden ingezet.”

VZVZ noemt het een translatie(vertaal)-service. Zeer zorgelijk is, dat als men goed nadenkt, er geen samenvatting te maken is van een versleuteld bericht. Immers, als er medische data door een zorgaanbieder aangevraagd worden, vindt het datatransport van de bevraagde arts naar de aanvrager cryptografisch versleuteld plaats. Teneinde de professionele samenvatting om te vormen tot een SEH-bericht zal de PS ontsleuteld moeten worden binnen de LSP-serveromgeving alvorens het SEH bericht weer versleuteld verder gestuurd wordt. Tijdelijk is dus onversleuteld medische informatie van een individu op de LSP-server aanwezig. Voor het LSP koos men nooit voor een versleuteling die van bron tot opvrager continu bestaat. Wel koos men voor versleuteling van bron tot LSP, waarna het bericht binnen het LSP onversleuteld bestaat en vervolgens weer gecodeerd naar de opvrager gaat.

Ketenzorgbericht

Bij nauwkeurige lezing van het business plan staat in hoofdstuk 4.1.8.(Ondersteuning ketenzorg) in subhoofdstuk 4.1.8.3 (Benodigde productontwikkeling) de volgende passage :

“ De huidige professionele samenvatting(PS) uit het huisartssysteem dekt de informatiebehoefte niet volledig af, maar kan via de LSP-transformatieservice omgevormd worden naar de verschillende actoren binnen de ketenzorg. Hiermee kan een tussenoplossing worden ontwikkeld, die het huidige OZIS bericht kan vervangen.”

Hieruit blijkt zonneklaar dat de VZVZ middels de “transformatieservice” zeer duidelijk ook bij de ondersteuning van de ketenzorg medische data die korte tijd onversleuteld in de LSP-server aanwezig zijn wil bewerken. Dat kan ook alleen in die toestand.

Verweer VZVZ

Een huisarts die destijds om  inlichtingen vroeg,  kreeg als antwoord:

“Er worden geen gegevens opgeslagen en er blijft niets achter. De transformatie vindt versleuteld en wel plaats.”

Dat men zegt de gegevens niet op te slaan doet aan het voorgaande niets af. Dat de transformatie versleuteld en wel plaats vindt, is op theoretische gronden niet te vatten. De kern van cryptografie is nu juist dat een bericht dat versleuteld is er volkomen betekenisloos uitziet en ook geen indeling laat zien. Dat verhaal klopte derhalve van geen kant. Nadien heeft VZVZ in de rechtszaak die de Vereniging Praktijkhoudende Huisartsen tegen haar aanspande wel degelijk erkend dat de medische data korte tijd onversleuteld op de LSP-server bivakkeren. Men komt dan met de uitleg dat de data met opzet onversleuteld in de server aanwezig zijn om eventueel data die van meerdere bronnen afkomstig zijn bij de aanvrager in één bericht te doen aankomen. Vergoelijkend wordt gezegd dat het onversleuteld aanwezig van de data slechts enkele momenten betreft. De opzet van het systeem is dus nooit geweest om data, indien eenmaal versleuteld bij de bron, tijdens het volledige verzendtraject ongeopend te laten.

Oud nieuws?

Bovenstaande informatie mag misschien oud nieuws lijken, maar is nog steeds zeer actueel in het licht van alle aandacht voor privacy-zaken. Te meer daar het Amerikaanse bedrijf dat het LSP bouwde en onderhoudt onder de Patriot-wet valt. Vanuit het privacy-oogpunt wil ik deze materie nog maar weer eens onder de aandacht brengen, omdat naar mijn indruk weinig mensen zich realiseren dat het onversleuteld korte tijd aanwezig zijn van medische data een privacy-probleem is.

W.J. Jongejan