Bom onder LSP door motie D66 bij aannemen wet datacommunicatie zorg

bomb-1602109_640

Na een parlementaire behandeling van 4 jaar en een martelgang met hoorzittingen en diverse behandelrondes in de Eerste Kamer is afgelopen dinsdag 3 oktober het wetsontwerp 33509 aangenomen. Het wetsontwerp beoogt de elektronische medische communicatie een wettelijke basis te geven. Tegelijkertijd legt het de mogelijkheid vast dat burgers hun medische dossier zelf kunnen gaan vastleggen in een zogeheten Persoonlijk GezondheidsDossier(PGD). Gebleken is dat commerciële partijen zeer geïnteresseerd zijn in die data.(uitzending Nieuwsuur 2 oktober vanaf minuut 17.43) . Tegelijkertijd is een motie van D66 in de Eerste Kamer aangenomen, die zegt dat de regering dataprotectie-by-design verder uit moet werken als het uitgangspunt voor de elektronische verwerking data. Het aparte is dat de landelijke infrastructuur om zorgdata uit te wisselen, met het Landelijk SchakelPun(LSP) als centraal systeem, helemaal niet opgezet is volgens het principe van dataprotectie-by-design. De nu functionerende systemen zijn eigenlijk te beschouwen als legacy-systemen met een opzet die niet meer van deze tijd is. Het ontwerp en uitvoering van het LSP dateert van voor 2006.

Gedateerde opzet

Op 5 april 2016 gaf de Nijmeegse hoogleraar Verheul tijdens een door de Eerste Kamer georganiseerde hoorzitting aan dat de opzet van het LSP absoluut niet meer van deze tijd is. Hij achtte de centrale verwijsindex in het LSP-systeem een zeer kwetsbare component bij eventuele inbraken in het systeem. In de huidige gedachten over dergelijke systemen wordt niet meer uitgegaan van één zo’n kwetsbaar centraal component. Ook vond hij het op enige moment kortdurend onversleuteld aanwezig zijn van zorgberichten in de centrale computer niet meer van deze tijd. Het griezelige is dat men doorgaat op het pad van centrale systemen. In de opzet van de toegang van patiënten tot hun gegevens in de nabije toekomst , geregeld met wetsontwerp 33509, wordt weer een centraal, dus kwetsbaar, systeem opgetuigd, gekoppeld aan het al centralistische LSP-systeem. Het lijkt er welhaast op dat men ondanks de moderne inzichten per se centrale systemen wil die intrusies per definitie makkelijker faciliteren dan decentrale systemen.

Motie Bredenoord

De fractie van D66 in de eerste Kamer bracht vlak voor de stemming over 33509 op 4 oktober een motie ter stemming met de volgende tekst:

De Kamer, gehoord de beraadslaging; overwegende dat bij de inrichting van een systeem voor de elektronische uitwisseling van medische gegevens de veiligheid daarbij voorop dient te staan; overwegende dat bij elektronische uitwisseling van medische patiëntgegevens de privacy van de patiënt geborgd dient te worden; van oordeel dat decentrale systemen de privacy van de patiënt het beste waarborgen; constaterende dat de Europese databeschermingsverordening bij de verwerking van persoonsgegevens vraagt om dataprotectie-by-design; verzoekt de regering dataprotectie-by-design verder uit te werken als het uitgangspunt voor de elektronische verwerking van medische gegevens en de Kamer daarover te informeren

en gaat over tot de orde van de dag.”

 Bom

Het is de vraag of de Eerste Kamerleden zich ter stemming (de motie werd unaniem aangenomen)realiseerden wat de betekenis kon zijn van deze motie. Het LSP is naar de huidige inzichten helemaal niet opgezet met het principe van dataprotectie-by-design. Er is rond 2005 gekozen voor een systematiek die destijds realiseerbaar leek. Daarbij zou het simpel een kwestie van tijd zou zijn wanneer het systeem achterhaald zou zijn. Het kiezen voor een toen werkbaar lijkende oplossing zonder de mogelijkheden de systematiek tussentijds aan te passen aan de heersende inzichten is op termijn dodelijk voor zo’n systeem. De motie vraagt mogelijk onbedoeld, maar toch wel impliciet, dat de systematiek van het LSP tegen het licht gehouden en opnieuw beoordeeld dient te worden.

We gaan het zien.

W.J. Jongejan

 




Schippers poogt mee te surfen op eHealth-hype richting senaat

dont believe the hype

Nog geen maand nadat de eerste Kamer de minister van VWS een zogeheten “verslag” met indringende vragen van senatoren stuurde betreffende het wetsontwerp 33509 over de elektronische medische datacommunicatie heeft de minister van VWS geantwoord met een nota. Het wetsvoorstel schept aanvullende randvoorwaarden voor het eventuele gebruik van een elektronische uitwisselingssysteem door zorgaanbieders. Vriend en vijand verbaast de minister met de snelle beantwoording. Vorig jaar liet ze in een eerdere vragenronde de Eerste Kamer ruim een half jaar wachten op haar antwoorden. De belangrijkste reden voor haar snelle reactie nu is gelegen in het recente eHealth congres in Amsterdam en de eHealth-hype daaromheen. “Go with the flow” zouden de Amerikanen dit noemen. In de nota aan de vaste Eerste Kamercommissie voor VWS schets de bewindsvrouw dan ook op de eerste pagina de in haar ogen grote beloften van eHealth op het gebeid van monitorgegevens. Die zouden bij kunnen dragen aan preventie, tijdig signaleren van ziekte en een adequate behandeling. Zij gaat daarbij voorbij dat veel van de monitorings-apps data leveren die niet gevalideerd zijn en vaak ook bij de app-leverancier worden opgeslagen. Zij geeft in dezen geen op feiten gebaseerd, afgewogen, oordeel, maar een toekomstverwachting. Natte vingers-werk dus.

 Niet suf

Het wetsontwerp 33509 lijkt op het eerste gezicht om een nogal theoretisch onderwerp te gaan en qua opzet toegeschreven te zijn naar het inzichtelijk maken van medische informatie via het Landelijk SchakelPunt. Toch heeft het veel grotere consequenties, omdat het ook gaat om het communiceren van zorgdata bij eHealth. Het Philips-concern heeft een nieuwe koers uitgezet met een verdienmodel op basis van het verzamelen en analyseren van zorgdata. Daarbij is dit bedrijf opeens zeer afhankelijk van het al dan niet aannemen van dit wetsvoorstel in de Eerste Kamer. Veel uitstel van de behandeling kan het concern niet gebruiken. De minister gaat er in haar nota ook op in. Ze schrijft op pagina 3: 

“Daarnaast is een belangrijke overweging om de wet nu in werking te laten treden dat vanaf het moment waarop dat gebeurt zorgaanbieders en ICT aanbieders zekerheid hebben dat het gaat gebeuren, wanneer dat gaat gebeuren en waarin ze moeten investeren. Door de behandeling met een jaar uit te stellen bieden we zorgaanbieders en ICT-leveranciers nu niet de duidelijkheid die nodig is om over te gaan op de vereiste investeringen. Dat zal resulteren in uitstel van investeringen in deze broodnodige omslag.”

 Philips

Dit bedrijf komt andermaal aan bod op pagina 9. Daar wordt antwoord gegeven op vragen van de PVV over een initiatief van Philips voor een datacloud in samenwerking verzekeraar Allianz. Daar zegt de minister:

“Een datacloud zoals Philips wil faciliteren is niet een systeem dat door zorgaanbieders wordt gebruikt om gegevens raadpleegbaar te maken, en daarom dus geen elektronisch uitwisselingssysteem. Een partij als Philips mag alleen gezondheidsgegevens verwerken als zij daarvoor op grond van art. 23, eerste lid onderdeel a, Wbp uitdrukkelijke toestemming heeft gekregen. Alleen als die toestemming ook uitdrukkelijk ziet op het doorgeven van die gegevens aan bijvoorbeeld een verzekeraar, zou een verzekeraar over die gegevens mogen beschikken. Dit wetsvoorstel is nu juist opgesteld om in deze zich snel ontwikkelende technologische wereld de rechten van de patiënt beter te borgen.”

 Hierbij geeft de minister dus aan dat doorgeven van de zorgdata via Philips aan een verzekeraar niet onmogelijk is. Als de patiënt er toestemming voor geeft mag het. Het probleem is alleen of de patiënt bij de toestemmingsverlening in de setting waarin die gevraagd wordt voldoende vrij is om daar een afgewogen oordeel over te hebben en daarover te beslissen. Voor het uitvoeren van haar zorgdata-gebruik als basis voor het verdienmodel heeft Philips het wetsontwerp 33509 hard nodig.

 Herhaling van zetten

Bij de beantwoording van de ruim honderd vragen van de senatoren in de tweede vragenronde valt op dat de minister eigenlijk geen nieuwe gedachten ventileert. Veel herhaling van eerder gedane zetten vindt in de nota van de minister plaats. Uit de manier waarop de antwoorden gegeven worden is het belang af te leiden dat de minister hecht aan het aangenomen zien worden van het wetsontwerp in de senaat. De inmiddels beruchte discussie over de gespecificeerde toestemming en specifieke toestemming wordt weer overgedaan. Mist is het gevolg. Slechts minutieus lezend is de draad van het betoog te volgen.

Verheul

Op de opmerkingen van de hoogleraar digitale veiligheid Eric Verheul die in een aan deze vragenronde voorafgaande hoorzitting ongezouten kritiek had op de opzet van het Landelijk SchakelPunt (LSP)zegt de minister opmerkelijke dingen. Zij zegt enerzijds dat de beveiliging van het LSP passend moet zijn en dat de norm NEN7510 onder andere daar op toeziet. Anderzijds geeft ze aan dat in een nog uit te vaardigen Algemene Maatregel van Bestuur(AMvB) voornemens is dat naar de laatste stand van wetenschap en techniek privacy versterkende maatregelen genomen moeten worden om te voorkomen dat voortschrijdende technologische verbeteringen ten aanzien van privacybescherming niet genomen worden. Het niet handelen naar de laatste technologische ontwikkelingen was nu juist één van de argumenten van de Vereniging Praktijkhoudende Huisartsen in de rechtszaak tegen VZVZ, als beheerder van het LSP.

Werklast

Aan de beantwoording van vele vragen in de eerste vragenronde vorig jaar en ook nu in de tweede over wat het vastleggen van de gespecificeerde toestemming op de werkvloer betekent komt de minister weer niet toe. Ze stelt dat het voor een goed onderbouwde inschatting van de administratieve lasten nog te vroeg is. Ze draait er weer omheen door te stellen dat er meer duidelijkheid nodig is over de wijze waarop die vorm van toestemming in de zorgpraktijk wordt geïmplementeerd en over mogelijkheden voor patiënten om dat uit te voeren middels een centraal. Dat bestaat nog niet en het is helemaal de vraag of beveiligingsproblemen die daarmee samenhangen ooit opgelost worden.

W.J. Jongejan




Hoogleraar informatiebeveiliging acht opzet LSP achterhaald en onveilig

cyber-security-1186529_640

Op 5 april j.l. heeft de vaste Eerste Kamercommissie voor VWS een twee uur durend gesprek gevoerd met deskundigen over cliëntenrechten bij elektronische verwerking van gegevens. Het ging over de kansen en risico’s van de invoering van het wetsvoorstel 33509. Dit wetsvoorstel poogt de elektronische medische datacommunicatie een wettelijk fundament te geven. Het lijkt te gaan om alle vormen van die datacommunicatie, maar is volledig toegesneden op het gebruik van het Landelijk SchakelPunt(LSP). De inbreng van professor Eric Verheul, hoogleraar bij de Digital Security Group van de Radboud Universiteit van Nijmegen, was uitermate helder. Hij stelde in zijn betoog, dat de opzet van het LSP thans volledig achterhaald is. De huidige opzet beschouwt hij als kwetsbaar. De kern van het systeem acht hij onwenselijk en technisch niet noodzakelijk. Hij is niet zomaar iemand die dit zegt, maar een wiskundige met veel kennis van zaken betreffende cryptografie en veiligheidsmanagement op ICT-gebied.

Verslag

Deze week werd op de website van de Eerste Kamer het verslag van het deskundigengesprek gepubliceerd. Op pagina 18 en 19 staat de bijdrage van professor Verheul. Bij het LSP maakt binnen de centrale computer gebruik van een verwijsindex waarin bijgehouden waar van een bepaalde burger(specifiek burgerservicenummer) medische gegevens zijn vastgelegd en opvraagbaar zijn. Hij zegt daarover:

“Dat is eigenlijk heel grote tabel in een centraal systeem. Je kunt het zien als een grote matrix, waarbij op de rijen de bsn-nummers van de gebruikers staan. De wet voorziet erin dat er toestemming wordt gegeven voor het gebruik van het bsn. In de kolommen staan de zorgaanbieders. Je kunt je voorstellen dat waar beide elkaar kruisen, staat: deze man of vrouw is patiënt bij deze zorgaanbieder. Zo’n verwijsindex wordt eigenlijk impliciet genoemd in het wetsvoorstel. Dat is een heel gevoelige tabel, die onwenselijk en technisch gezien niet noodzakelijk is. Dat is het belangrijkste punt dat ik wil maken. In eerdere besprekingen van landelijke schakelpunten is al naar voren gekomen waarom het onwenselijk is. Als zo’n tabel in verkeerde handen valt, is plots duidelijk wie waar patiënt is. Het kan ook om een hiv-kliniek of een ggz-instelling gaan. Daarom wil je een centraal systeem met zo’n verwijsindex vermijden. Het is een heel grote tabel die heel lastig te beveiligen is. Het is technisch gezien niet noodzakelijk en dat biedt een perspectief dat in het verleden niet echt is besproken of bekeken.”

Anders

Hij geeft ook aan dat het anders kan:

In 2014 hebben we allerlei cryptografische technieken ontwikkeld om de privacy binnen zo’n eID-stelsel te beschermen. De technieken die in 2014 zijn ontwikkeld, zou je relatief gemakkelijk kunnen toepassen in verwijsindexen die volledig gepseudonimiseerd zijn. De functionaliteit van de systemen van VZVZ en de gespecificeerde toestemming kun je daarin regelen, maar je houdt wel een systeem over dat veel cleaner is, omdat er geen persoonsgegevens maar pseudoniemen in worden verwerkt.”

Zijn opmerkingen laten niets aan duidelijkheid te wensen over.

Niet van deze tijd

Al enige tijd terug werd duidelijk dat informatie die via het LSP getransporteerd wordt, korte tijd zich onversleuteld in de centrale computer bevindt. Bij alle gelegenheden waarbij kritiek op die manier van werken wordt geuit, bestrijdt VZVZ altijd dat dit een veiligheidsissue is. Professor Verheul stelt hierover:

Die gegevens worden versleuteld verstuurd naar het LSP, zeg maar de hub, de centrale spil. Ze worden daar ontsleuteld en vervolgens opnieuw versleuteld naar de opvragende zorgaanbieder verstuurd. Dat is een manier van werken die tien jaar geleden, toen dit soort systemen werd ontwikkeld, misschien nog wel logisch was, maar op dit moment is het niet meer gebruikelijk dat gegevens eventjes in the clear, onversleuteld, in zo’n centraal systeem staan. Met het eID kun je met een bankmiddel, bijvoorbeeld een bankpas van de ING, inloggen bij de Belastingdienst. Uiteindelijk krijgt dan de Belastingdienst het bsn van de gebruiker, maar dat bsn staat op geen enkel moment eventjes in plain text op de systemen van de ING. Die oude manier van werken, waarbij die versleuteling even ongedaan wordt gemaakt op een centrale plek, is niet meer van deze tijd”

Gehakt

Het moge duidelijk zijn dat professor Verheul met deze uitspraken gehakt maakt van de huidige opzet van het LSP. Zowel de opzet van de centrale verwijsindex als de ontsleuteling van data, die de centrale computer passeren, acht hij niet meer van deze tijd. Het zijn waarschuwende woorden uit onverdachte hoek. Het wordt tijd dat de politiek die ter harte neemt, maar ook dat de zorgkoepels die nu nog in VZVZ meebeslissen over het LSP hun verantwoordelijkheid nemen.

W.J. Jongejan