31 mei

Een blik achter de schermen van het LSP met VZVZ-leaks

lek

Elk jaar houdt de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), die verantwoordelijk is voor het Landelijk SchakelPUNT(LSP) een leveranciersdag. Zo ook op 7 oktober 2016. Tijdens die dag wisselden prominente werknemers van VZVZ van gedachten met leveranciers over technische en organisatorische zaken rond het LSP. Het programma van die dag is openbaar, maar de inhoud van dat overleg is normaliter niet openbaar. Ook niet voor de op het LSP aangesloten zorgaanbieders, die een ledendag hebben daags voor de leveranciersdag. Ook de notulen van de leveranciersdag zijn nooit openbaar geweest. Dankzij een VZVZ-medewerker die de notulen van deze dag op een hoekje van zijn privé-website zette, is nu een inkijk in de ontwikkelingen en de problemen rond het LSP mogelijk. Deze notulen zijn normaliter alleen met behulp van een gebruikersnaam en wachtwoord toegankelijk op de VZVZ-website.  Ik zal puntsgewijs de zaken langslopen die in de notulen aan de orde komen. Laat ik ze maar de VZVZ-leaks noemen

Lees verder

23 mei

En toen waren er 9 maanden geen nieuwe UZI-passen(niet-op-naam)

cardreader

Vanaf 1 juni 2017 tot begin maart 2018 zullen er geen nieuwe UZI-passen-niet-op-naam verstrekt kunnen worden door de uitgifteorganisatie, het UZI-register. Passen die in die tussentijd verlopen kunnen alleen de komende week(tot 1 juni 2017) nog aangevraagd worden. Doet een zorgorganisatie, waar medewerkers dat type inlogpas gebruiken dit niet, dan kunnen die medewerkers niet meer inloggen in de zorgsystemen waar ze mee werken. Het is niet een tekort aan UZI-passen, noch een tekort aan mankracht, maar een probleem dat door regelgeving ontstaan is.  Het komt door gewijzigde eisen waaraan het UZI-register moet voldoen als Trusted Service Provider, waaronder het opnemen van Kamer van Koophandel(KvK)-nummers in UZI-passen. Zowel het UZI-register als de passen moeten aangepast worden. Je zou verwachten dat zowel de regelgevers als de uitgevers van de UZI-passen dit probleem op grote afstand hadden zien aankomen. Het korte tijdsbestek van een week waarin nog passen die de komende negen maanden verlopen aangevraagd kunnen  worden doet vermoeden dat men daar heeft zitten slapen. Bij dit alles moet men bedenken dat het UZI-register onder de uitvoeringsorganisatie CIBG valt. Deze organisatie is een onderdeel van het ministerie van VWS. Die is dus uiteindelijk verantwoordelijk voor deze  rare situatie.

Lees verder

28 okt

Nonsens-antwoord minister VWS op Kamervragen UZI-pas-probleem

paper-523232_640

Minister Schippers is er gisteren in geslaagd een onzinnig antwoord te geven met wegwuiven van de eigen verantwoordelijkheid van het ministerie van VWS bij de beantwoording van Kamervragen. Deze waren op 27 september gesteld door de D66-kamerleden Verhoeven en Dijkstra. Deze gingen over het advies van het UZI-register, vallend onder de dienst CIBG van het ministerie, aan zorgaanbieders om de webbrowser op hun systemen tijdelijk niet te updaten. Dat heeft te maken met het gebruik van verouderde Java- en ActiveX browser- plug-ins door de UZI-pas software. Deze pas die de overheid uitgeeft is niet alleen in gebruik voor de autorisatie en authenticatie als een zorgaanbieder gebruik wil maken van het Landelijk SchakelPunt(LSP)om zorgdata uit te wisselen. Veel apotheek- en huisartsinformatie-systemen, maar ook de software van huisartsenposten maken gebruik van de UZI-pas om werkers in te laten loggen in het systeem. Browserupdates die de ondersteuning van Java uitschakelen kunnen er dan ook voor zorgen dat de software van zorgaanbieders niet meer werkt en het niet updaten van browser-software maakt deze kwetsbaar voor indringers omdat verse beveiligingsupdates niet plaatsvinden.

Lees verder

30 sep

Kamervragen over onveilige webbrowsers i.v.m. UZI-pas. VZVZ dekt zich in

questions-1328466_640

Op 21 september meldde ik op deze website dat alle UZI-pas-houders een email van het UZI-register gekregen hadden. Het UZI-register valt onder de dienst CIBG van het ministerie van VWS. In die email stond het dringende verzoek om met ingang van 1 oktober geen update van de webbrowsers te doen. Dat is dus overmorgen. Het heeft te maken met het uitfaseren per 1 oktober van de browser-hulpprogramma’s Java en Active X door de leveranciers van webbrowsers. Doet men de browser-updates wel, dan zal de UZI-pas niet meer werken was de boodschap. Deze pas is niet alleen in gebruik voor de autorisatie en authenticatie als een zorgaanbieder gebruik wil maken van het Landelijk SchakelPunt(LSP)om zorgdata uit te wisselen. Veel apotheek- en huisartsinformatie-systemen maken gebruik van de UZI-pas om werkers in te laten loggen in het systeem. Dat maakt dit probleem zeer pregnant. Inmiddels zijn door de Tweede Kamerleden Verhoeven en Dijkstra vragen gesteld over deze materie.

Lees verder

21 sep

UZI-pas-problemen door stoppen Java en ActiveX-ondersteuning webbrowsers

general-hazard-909910_640

 

Vandaag (21-09) stuurt het UZI-register aan de klanten van het UZI-register een bericht per email over het mogelijk niet goed meer werken van de UZI-pas vanaf oktober 2016. Dat komt volgens het afdelingshoofd UZI-register, Esther Dekkers, omdat leveranciers van webbrowsers, zoals de Internet Explorer of Google Chrome, vanaf oktober een tweetal externe onderdelen, namelijk Java en ActiveX, uit de browsers laten verdwijnen. De UZI-pas-lezer maakt gebruik van bepaalde webbrowser-onderdelen voor identificatie, authenticatie en het plaatsen van digitale handtekeningen op medisch gerelateerde documenten. Het is daardoor weer eens duidelijk hoe kwetsbaar het UZI-pas-systeem is voor mutaties in externe software. De UZI-pas maakt gebruik van een hele keten van softwaretoepassingen, waarbij een kink in de kabel bij één onderdeel het hele kaartgebruik kan stilleggen. Dat heeft uitermate grote consequenties, omdat de moderne huisarts-/zorgsystemen vaak gebruik maken de UZI-pas voor het inloggen. Een niet werkende UZI-pas betekent dan niet kunnen inloggen in het eigen zorgsysteem. Ook de medische datacommunicatie via het Landelijk SchakelPunt(LSP) is afhankelijk van het gebruik van de pas. Zonder inlog met de UZI-pas is er geen dataverkeer via het LSP mogelijk.

Lees verder

18 dec

Update Windows 10 Enterprise belemmert werking software UZI-pas

code-1076536_640

13-01-2016 N.B. : Door een nieuwe update van Microsoft voor Windows 10 Enterprise dd 12-01-2016 is dit probleem opgelost. Zie ook bij Recente reacties voor meer informatie.

Op 18 november 2015 gaf Microsoft de update 1511, build 10586, uit voor Windows 10. Het bleek vrij snel dat deze update voor Windows 10 Enterprise niet compatibel was met de software voor de UZI-pas die o.a. voor de toegang tot het Landelijk SchakelPunt(LSP) gebruikt wordt. Het UZI-register liet dan ook weten dat deze update niet geïnstalleerd moest worden door UZI-pas-gebruikers. Indien dat al gebeurd was, kon alleen door het terugdraaien van de update met de UZI-pas verder gewerkt worden. De oorzaak van het probleem is inmiddels bekend maar een nieuwe correct samenwerkende update is nog niet uitgeleverd door Microsoft.

Lees verder

06 dec

VZVZ gaat over juridische en eigen grens bij toegang SEH-arts tot LSP

stethoscoop

Op 3 december 2015 verscheen op de website van de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) een bericht over het zelfstandig kunnen inzien door SEH(SpoedEisendeHulp)-artsen van medicatiegegevens via het landelijk SchakelPunt(LSP). Zowel het bestuur als de autorisatie-commissie van VZVZ zouden hun toestemming hiervoor gegeven hebben. Publicitair gezien oogt dit aardig, maar juridisch en organisatorisch is het een grensoverschrijdende daad van VZVZ. De éénmaal gegeven opt-in-toestemming van de patiënt wordt er weer verder mee opgerekt. Recent gebeurde dat ook al in de pilot in de regio Gorinchem-Drechtsteden waar VVT(Verpleging, Verzorging en Thuiszorg)- en GGZ(Geestelijke GezondheidsZorg)-instellingen toegang gaan krijgen tot medicatiegegevens van de patiënt. Zowel de rechtbank Midden-Nederland, in het vonnis in de rechtszaak van de Vereniging Praktijkhoudende Huisartsen(VPHuisartsen) tegen VZVZ, als VZVZ zelve, deden uitspraken over het moment waarop bij uitbreiding van de LSP-functionaliteit opnieuw een verse opt-in-toestemming voor een uitbreiding gevraagd moet worden. Aan die vereisten houdt VZVZ zich meermalen niet.

Lees verder

02 sep

Privacy-overtredingen bij Suwinet waarschuwing voor medisch pull-dataverkeer

shield-511714_640

Het afgelopen half jaar is het niet correcte gebruik van het Suwinet herhaaldelijk in het nieuws geweest. Het programma Argos berichtte er uitgebreid over, in veel kranten(o.a. NRC-Handelsblad) werd er aandacht aan besteed. Eerder had het College Bescherming Persoonsgegevens(CBP) eind 2014 gerapporteerd, dat de gemeente ’s-Hertogenbosch de zaken t.a.v. het Suwinet-gebruik totaal niet op orde had. In juni 2015 kondigde het CBP aan een lopend onderzoek naar het Suwinet-gebruik uit te breiden met acht gemeenten, nadat de Inspectie Sociale Zaken en Werkgelegenheid gemeld had dat het met het hanteren van de veiligheidsnormen slecht gesteld was. In de loop van anderhalf jaar was het aantal gemeenten dat aan de normen voldeed slechts gestegen van 4 naar 17%, een onbegrijpelijk laag percentage.

Lees verder