image_pdfimage_print
23 apr 2020

Groot aantal dossiers niet aangemeld op LSP met corona-opt-in

dossiersVanwege de coronacrisis heeft de minister van VWS recent bewerkstelligd, dat met instemming van de Autoriteit Persoonsgegeven(AP), in huisarts-informatie-systemen(HISsen), samenvattingen van zorgdata van meer Nederlanders in te zien zijn op huisartsenposten. Dat kan met gebruikmaking van het Landelijk SchakelPunt(LSP). De noodprocedure waarbij opt-in-toestemming van hen die nog geen besluit hierover genomen hebben in de HISsen automatisch op “ja” wordt gezet, blijkt nogal wat haken en ogen te hebben. Hetgeen voor kenners ook wel te verwachten was. Nu blijkt dat een substantieel deel van de geforceerde opt-in-toestemmingen de LSP-computer niet bereikt. Bij gebruikers van minimaal één huisartsinformatiesysteem(HIS), MicroHIS, blijkt 20 tot 25 % van de dossiers niet aangemeld te worden. Dat blijkt te berusten op het niet geregistreerd zijn van de toegangspas voor het LSP, de UZI-pas, binnen dat huisartsinformatiesysteem. Bij andere HIS-sen kan uiteraard hetzelfde spelen. Lees verder

04 feb 2020

Met het updaten van een HIS gaat er nogal eens wat mis

updatenHuisarts Informatie Systemen(HIS-sen) zijn geen statische programma’s. Aan deze elektronische medische dossiers vindt continu onderhoud plaats. De leverancier zorgt regelmatig voor updates van het HIS. Daarbij loopt niet altijd alles vlekkeloos. Een bekend verschijnsel bij meerdere HIS-sen is dat na een update de “performance” soms opeens achteruit gaat. Daarmee wordt de snelheid bedoeld, waarmee de schermopbouw plaats vindt na aanklikken van een keuze. Ook vliegt de gebruiker dan soms ongewild uit het programma, waardoor opnieuw opstarten nodig is. Eén en ander is betekent een enorme verstoring van de workflow in de praktijken. De problemen lost men na kortere of langere tijd op. Het leidt echter tot veel irritatie op de werkvloer. Ondanks uitgebreid testen van een update door leverancier en huisarts-testers blijkt het toch mis te kunnen gaan. De hoofdreden is dat een HIS een soort kerstboom geworden is met wat eigen ballen, maar ook heel veel andersoortige ballen. Lees verder

09 sep 2019

Deel UZI-certificaten voor toegang zorgsystemen voldeden niet aan basiseisen browserpartijen

UZI-certificatenVersneld laat het UZI-register ongeveer 3000 UZI-certificaten van zorgaanbieders vervangen door nieuwe. Daartoe hebben die eind augustus 2019 een email en een brief ontvangen om uiterlijk voor 17 september 2019 een aanvraag voor een nieuw certificaat te doen. Het komt omdat meerdere grote webbrowserpartijen, zoals Google, Apple en Mozilla aangaven dat die servercertificaten niet voldoen aan basiseisen die ze stellen. Het gaat om de UZI-register Server CA G21-certificaten. De reden is dat de standaarden voor certificaten verplichten dat die over een 64-bit serienummer moeten beschikken. Twee certificaatautoriteiten betreft het: het CIBG van het ministerie van VWS waar het UZI-register onder valt en KPN. Die hebben certificaten uitgegeven die effectief over een 63-bit serienummer beschikten. Dit kwam door een onjuiste standaardinstelling van de gebruikte uitgiftesoftware EJBCA. De deadline voor het vervangen zijn van de certificaten is 1 oktober 2019. Beroepsverenigingen als de Landelijke HuisartsenVereniging roepen hun leden op snel te handelen

Lees verder

15 apr 2019

UZI-pas en rijbewijs: een slechte combinatie

UZI-pas zonder rijbewijsAfgelopen week bereikten mij een drietal verhalen van huisartsen, die een nieuwe UZI-pas aanvroegen en daar geen vrolijke herinneringen aan overhielden. Voor het inloggen in elektronische zorgcommunicatiesystemen, maar ook in een aantal gevallen het inloggen in het eigen huisarts-informatie-systeem(HIS) is een UZI-pas nodig. UZI-staat voor Unieke Zorgverlener Identificatie. Het UZI-register, als onderdeel van de dienst CIBG(Centraal Informatiepunt Beroepen Gezondheidszorg) valt onder het ministerie van VWS. Aangezien de UZI-passen een geldigheidsduur van drie jaar hebben, moet er nogal eens een pas vervangen worden. Soms noopt de komst van een nieuw personeelslid tot een nieuwe pas. Zowel het aanvragen als het in ontvangst nemen van een UZI-pas kan tot gekke situaties leiden. Ik neem u de komende minuten mee in de ervaringen van drie huisartsen.

Lees verder

15 jun 2018

Nog steeds niet beschikbare UZI-pas(niet op naam) maakt illegaal handelen tot noodzaak

illegaal-legaal

Voor een aantal medewerkers bij zorgverleners, als apotheken, huisartsen en ziekenhuizen, bestaan ”UZI-passen-niet-op-naam”. Deze zijn bedoeld voor personeelsleden die het informatiesysteem van de zorgverlener voor hun werk moeten gebruiken, maar niet geautoriseerd zijn om via het Landelijk SchakelPunt handelingen te verrichten. Eind mei 2017 liet de instantie die de passen uitgeeft, het UZI-register, onder verantwoordelijkheid vallend van het CIBG, plotseling weten dat zulk soort passen tot 1 maart 2018 niet te verlengen of nieuw  te verkrijgen zouden zijn. We leven nu in juni 2018 en deze UZI-passen- niet op naam- zijn nog steeds niet te krijgen. Koepelorganisaties van zorgverleners, als de Koninklijke Nederlandse Maatschappij ter bevordering van de Pharmacie(KNMP), de Landelijke HuisartsenVereniging(LHV) en INEEN waarschuwden de afgelopen week dat deze passen nog steeds niet beschikbaar zijn. De oorspronkelijke negen maanden die het UZI-register zelf voorspelde in 2017 zijn nu ruim elf geworden. Het gevolg van het  niet leveren van nieuwe passen is dat zorgverleners hun personeel in toenemende mate met workarounds toch hun werk moeten laten doen. Dat gebeurt dan op andermans UZI-passen. Dat is in wezen illegaal, maar wel noodzakelijk om op de werkvloer alles goed te laten verlopen. Ik schreef erover op 23 mei 2017.

Lees verder

31 mei 2017

Een blik achter de schermen van het LSP met VZVZ-leaks

lek

Elk jaar houdt de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), die verantwoordelijk is voor het Landelijk SchakelPUNT(LSP) een leveranciersdag. Zo ook op 7 oktober 2016. Tijdens die dag wisselden prominente werknemers van VZVZ van gedachten met leveranciers over technische en organisatorische zaken rond het LSP. Het programma van die dag is openbaar, maar de inhoud van dat overleg is normaliter niet openbaar. Ook niet voor de op het LSP aangesloten zorgaanbieders, die een ledendag hebben daags voor de leveranciersdag. Ook de notulen van de leveranciersdag zijn nooit openbaar geweest. Dankzij een VZVZ-medewerker die de notulen van deze dag op een hoekje van zijn privé-website zette, is nu een inkijk in de ontwikkelingen en de problemen rond het LSP mogelijk. Deze notulen zijn normaliter alleen met behulp van een gebruikersnaam en wachtwoord toegankelijk op de VZVZ-website.  Ik zal puntsgewijs de zaken langslopen die in de notulen aan de orde komen. Laat ik ze maar de VZVZ-leaks noemen

Lees verder

23 mei 2017

En toen waren er 9 maanden geen nieuwe UZI-passen(niet-op-naam)

cardreader

Vanaf 1 juni 2017 tot begin maart 2018 zullen er geen nieuwe UZI-passen-niet-op-naam verstrekt kunnen worden door de uitgifteorganisatie, het UZI-register. Passen die in die tussentijd verlopen kunnen alleen de komende week(tot 1 juni 2017) nog aangevraagd worden. Doet een zorgorganisatie, waar medewerkers dat type inlogpas gebruiken dit niet, dan kunnen die medewerkers niet meer inloggen in de zorgsystemen waar ze mee werken. Het is niet een tekort aan UZI-passen, noch een tekort aan mankracht, maar een probleem dat door regelgeving ontstaan is.  Het komt door gewijzigde eisen waaraan het UZI-register moet voldoen als Trusted Service Provider, waaronder het opnemen van Kamer van Koophandel(KvK)-nummers in UZI-passen. Zowel het UZI-register als de passen moeten aangepast worden. Je zou verwachten dat zowel de regelgevers als de uitgevers van de UZI-passen dit probleem op grote afstand hadden zien aankomen. Het korte tijdsbestek van een week waarin nog passen die de komende negen maanden verlopen aangevraagd kunnen  worden doet vermoeden dat men daar heeft zitten slapen. Bij dit alles moet men bedenken dat het UZI-register onder de uitvoeringsorganisatie CIBG valt. Deze organisatie is een onderdeel van het ministerie van VWS. Die is dus uiteindelijk verantwoordelijk voor deze  rare situatie.

Lees verder

28 okt 2016

Nonsens-antwoord minister VWS op Kamervragen UZI-pas-probleem

paper-523232_640

Minister Schippers is er gisteren in geslaagd een onzinnig antwoord te geven met wegwuiven van de eigen verantwoordelijkheid van het ministerie van VWS bij de beantwoording van Kamervragen. Deze waren op 27 september gesteld door de D66-kamerleden Verhoeven en Dijkstra. Deze gingen over het advies van het UZI-register, vallend onder de dienst CIBG van het ministerie, aan zorgaanbieders om de webbrowser op hun systemen tijdelijk niet te updaten. Dat heeft te maken met het gebruik van verouderde Java- en ActiveX browser- plug-ins door de UZI-pas software. Deze pas die de overheid uitgeeft is niet alleen in gebruik voor de autorisatie en authenticatie als een zorgaanbieder gebruik wil maken van het Landelijk SchakelPunt(LSP)om zorgdata uit te wisselen. Veel apotheek- en huisartsinformatie-systemen, maar ook de software van huisartsenposten maken gebruik van de UZI-pas om werkers in te laten loggen in het systeem. Browserupdates die de ondersteuning van Java uitschakelen kunnen er dan ook voor zorgen dat de software van zorgaanbieders niet meer werkt en het niet updaten van browser-software maakt deze kwetsbaar voor indringers omdat verse beveiligingsupdates niet plaatsvinden.

Lees verder

30 sep 2016

Kamervragen over onveilige webbrowsers i.v.m. UZI-pas. VZVZ dekt zich in

questions-1328466_640

Op 21 september meldde ik op deze website dat alle UZI-pas-houders een email van het UZI-register gekregen hadden. Het UZI-register valt onder de dienst CIBG van het ministerie van VWS. In die email stond het dringende verzoek om met ingang van 1 oktober geen update van de webbrowsers te doen. Dat is dus overmorgen. Het heeft te maken met het uitfaseren per 1 oktober van de browser-hulpprogramma’s Java en Active X door de leveranciers van webbrowsers. Doet men de browser-updates wel, dan zal de UZI-pas niet meer werken was de boodschap. Deze pas is niet alleen in gebruik voor de autorisatie en authenticatie als een zorgaanbieder gebruik wil maken van het Landelijk SchakelPunt(LSP)om zorgdata uit te wisselen. Veel apotheek- en huisartsinformatie-systemen maken gebruik van de UZI-pas om werkers in te laten loggen in het systeem. Dat maakt dit probleem zeer pregnant. Inmiddels zijn door de Tweede Kamerleden Verhoeven en Dijkstra vragen gesteld over deze materie.

Lees verder

21 sep 2016

UZI-pas-problemen door stoppen Java en ActiveX-ondersteuning webbrowsers

general-hazard-909910_640

 

Vandaag (21-09) stuurt het UZI-register aan de klanten van het UZI-register een bericht per email over het mogelijk niet goed meer werken van de UZI-pas vanaf oktober 2016. Dat komt volgens het afdelingshoofd UZI-register, Esther Dekkers, omdat leveranciers van webbrowsers, zoals de Internet Explorer of Google Chrome, vanaf oktober een tweetal externe onderdelen, namelijk Java en ActiveX, uit de browsers laten verdwijnen. De UZI-pas-lezer maakt gebruik van bepaalde webbrowser-onderdelen voor identificatie, authenticatie en het plaatsen van digitale handtekeningen op medisch gerelateerde documenten. Het is daardoor weer eens duidelijk hoe kwetsbaar het UZI-pas-systeem is voor mutaties in externe software. De UZI-pas maakt gebruik van een hele keten van softwaretoepassingen, waarbij een kink in de kabel bij één onderdeel het hele kaartgebruik kan stilleggen. Dat heeft uitermate grote consequenties, omdat de moderne huisarts-/zorgsystemen vaak gebruik maken de UZI-pas voor het inloggen. Een niet werkende UZI-pas betekent dan niet kunnen inloggen in het eigen zorgsysteem. Ook de medische datacommunicatie via het Landelijk SchakelPunt(LSP) is afhankelijk van het gebruik van de pas. Zonder inlog met de UZI-pas is er geen dataverkeer via het LSP mogelijk.

Lees verder