Berichten

Een blik achter de schermen van het LSP met VZVZ-leaks

lek

Elk jaar houdt de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), die verantwoordelijk is voor het Landelijk SchakelPUNT(LSP) een leveranciersdag. Zo ook op 7 oktober 2016. Tijdens die dag wisselden prominente werknemers van VZVZ van gedachten met leveranciers over technische en organisatorische zaken rond het LSP. Het programma van die dag is openbaar, maar de inhoud van dat overleg is normaliter niet openbaar. Ook niet voor de op het LSP aangesloten zorgaanbieders, die een ledendag hebben daags voor de leveranciersdag. Ook de notulen van de leveranciersdag zijn nooit openbaar geweest. Dankzij een VZVZ-medewerker die de notulen van deze dag op een hoekje van zijn privé-website zette, is nu een inkijk in de ontwikkelingen en de problemen rond het LSP mogelijk. Deze notulen zijn normaliter alleen met behulp van een gebruikersnaam en wachtwoord toegankelijk op de VZVZ-website.  Ik zal puntsgewijs de zaken langslopen die in de notulen aan de orde komen. Laat ik ze maar de VZVZ-leaks noemen

Lees meer

En toen waren er 9 maanden geen nieuwe UZI-passen(niet-op-naam)

cardreader

Vanaf 1 juni 2017 tot begin maart 2018 zullen er geen nieuwe UZI-passen-niet-op-naam verstrekt kunnen worden door de uitgifteorganisatie, het UZI-register. Passen die in die tussentijd verlopen kunnen alleen de komende week(tot 1 juni 2017) nog aangevraagd worden. Doet een zorgorganisatie, waar medewerkers dat type inlogpas gebruiken dit niet, dan kunnen die medewerkers niet meer inloggen in de zorgsystemen waar ze mee werken. Het is niet een tekort aan UZI-passen, noch een tekort aan mankracht, maar een probleem dat door regelgeving ontstaan is.  Het komt door gewijzigde eisen waaraan het UZI-register moet voldoen als Trusted Service Provider, waaronder het opnemen van Kamer van Koophandel(KvK)-nummers in UZI-passen. Zowel het UZI-register als de passen moeten aangepast worden. Je zou verwachten dat zowel de regelgevers als de uitgevers van de UZI-passen dit probleem op grote afstand hadden zien aankomen. Het korte tijdsbestek van een week waarin nog passen die de komende negen maanden verlopen aangevraagd kunnen  worden doet vermoeden dat men daar heeft zitten slapen. Bij dit alles moet men bedenken dat het UZI-register onder de uitvoeringsorganisatie CIBG valt. Deze organisatie is een onderdeel van het ministerie van VWS. Die is dus uiteindelijk verantwoordelijk voor deze  rare situatie.

Lees meer

Nonsens-antwoord minister VWS op Kamervragen UZI-pas-probleem

paper-523232_640

Minister Schippers is er gisteren in geslaagd een onzinnig antwoord te geven met wegwuiven van de eigen verantwoordelijkheid van het ministerie van VWS bij de beantwoording van Kamervragen. Deze waren op 27 september gesteld door de D66-kamerleden Verhoeven en Dijkstra. Deze gingen over het advies van het UZI-register, vallend onder de dienst CIBG van het ministerie, aan zorgaanbieders om de webbrowser op hun systemen tijdelijk niet te updaten. Dat heeft te maken met het gebruik van verouderde Java- en ActiveX browser- plug-ins door de UZI-pas software. Deze pas die de overheid uitgeeft is niet alleen in gebruik voor de autorisatie en authenticatie als een zorgaanbieder gebruik wil maken van het Landelijk SchakelPunt(LSP)om zorgdata uit te wisselen. Veel apotheek- en huisartsinformatie-systemen, maar ook de software van huisartsenposten maken gebruik van de UZI-pas om werkers in te laten loggen in het systeem. Browserupdates die de ondersteuning van Java uitschakelen kunnen er dan ook voor zorgen dat de software van zorgaanbieders niet meer werkt en het niet updaten van browser-software maakt deze kwetsbaar voor indringers omdat verse beveiligingsupdates niet plaatsvinden.

Lees meer

Kamervragen over onveilige webbrowsers i.v.m. UZI-pas. VZVZ dekt zich in

questions-1328466_640

Op 21 september meldde ik op deze website dat alle UZI-pas-houders een email van het UZI-register gekregen hadden. Het UZI-register valt onder de dienst CIBG van het ministerie van VWS. In die email stond het dringende verzoek om met ingang van 1 oktober geen update van de webbrowsers te doen. Dat is dus overmorgen. Het heeft te maken met het uitfaseren per 1 oktober van de browser-hulpprogramma’s Java en Active X door de leveranciers van webbrowsers. Doet men de browser-updates wel, dan zal de UZI-pas niet meer werken was de boodschap. Deze pas is niet alleen in gebruik voor de autorisatie en authenticatie als een zorgaanbieder gebruik wil maken van het Landelijk SchakelPunt(LSP)om zorgdata uit te wisselen. Veel apotheek- en huisartsinformatie-systemen maken gebruik van de UZI-pas om werkers in te laten loggen in het systeem. Dat maakt dit probleem zeer pregnant. Inmiddels zijn door de Tweede Kamerleden Verhoeven en Dijkstra vragen gesteld over deze materie.

Lees meer

UZI-pas-problemen door stoppen Java en ActiveX-ondersteuning webbrowsers

general-hazard-909910_640

 

Vandaag (21-09) stuurt het UZI-register aan de klanten van het UZI-register een bericht per email over het mogelijk niet goed meer werken van de UZI-pas vanaf oktober 2016. Dat komt volgens het afdelingshoofd UZI-register, Esther Dekkers, omdat leveranciers van webbrowsers, zoals de Internet Explorer of Google Chrome, vanaf oktober een tweetal externe onderdelen, namelijk Java en ActiveX, uit de browsers laten verdwijnen. De UZI-pas-lezer maakt gebruik van bepaalde webbrowser-onderdelen voor identificatie, authenticatie en het plaatsen van digitale handtekeningen op medisch gerelateerde documenten. Het is daardoor weer eens duidelijk hoe kwetsbaar het UZI-pas-systeem is voor mutaties in externe software. De UZI-pas maakt gebruik van een hele keten van softwaretoepassingen, waarbij een kink in de kabel bij één onderdeel het hele kaartgebruik kan stilleggen. Dat heeft uitermate grote consequenties, omdat de moderne huisarts-/zorgsystemen vaak gebruik maken de UZI-pas voor het inloggen. Een niet werkende UZI-pas betekent dan niet kunnen inloggen in het eigen zorgsysteem. Ook de medische datacommunicatie via het Landelijk SchakelPunt(LSP) is afhankelijk van het gebruik van de pas. Zonder inlog met de UZI-pas is er geen dataverkeer via het LSP mogelijk.

Lees meer