Eerder schreef ik over mijn bezwaren tegen het Elektronisch Patiëntendossier, het EPD.
Vandaag las ik in NRC Handelsblad dat de chip al vorig jaar gekraakt is, maar dat het nu pas duidelijk is geworden in Den Haag en dat er iets met deze informatie gebeurt.

Natuurlijk is dit precies waarvoor ik al bang was. Het lukt de politiek niet om de snelheid van beveiliging bij te benen en ondertussen nemen mensen, die niet gehinderd zin door enige relevante kennis, beslissingen en maken ze beleid op gebied waarvan ze totaal geen verstand hebben, ze proberen hun eigen wiel uit te vinden (zoals in het dossier OV Chip-kaart, dat vreemd genoeg om dezelfde reden als de EPD-chipkaart onveilig is) of ze proberen even een nieuw projectje erdoorheen te duwen, ook al adviseert een complete beroepsgroep om dit in rust te doen met een fatsoenlijke tijdsplanning en niet overhaast…

Gelukkig wordt de software rondom deze chip ontwikkeld door Getronics. Hopen dat het bedrijf nog niet failliet is (of zijn ze het inmiddels al?) als er wijzigingen aan de software moeten plaatsvinden, anders moeten we Getronics een financiële injectie geven (en nóg een en nog eentje om het af te leren), zodat ze de komende jaren bonussen en optiepakketten kunnen blijven uitkeren aan hun managers en zodat ze aan het werk kunnen blijven, want dat zal hard nodig blijven in de wedloop tussen beveiligers en krakers. En wie gaat dat betalen, trouwens? Ik heb in de informerende brief over het EPD niets dan goeds gelezen over het EPD. Daar stond zeker niets in over hogere kosten voor de burgers van Nederland of de gevolgen van falende of verouderde beveiligingsmaatregelen. Als het dan al uitlekt, want nare publiciteit over dit soort prestigeprojecten kun je maar het beste in de doofpot stoppen…

Als je op de link klikt naar het artikel van Computable, lees dan meteen de gerelateerde artikelen en vul dan alsnog het bezwaarformulier, dat ik natuurlijk al meteen heb ingevuld! Mocht je de brief niet meer hebben, dan kun je ook online een bezwaarformulier downloaden van de website infoepd.nl. Als hun site tenminste nog niet is gehackt 😉

Mensen, dit kan gewoon niet goed aflopen. En is die Noord/Zuid-lijn nou al eens klaar???

Onveilige EPD-smartcard krijgt nieuwe chip | Nieuws | Security | Computable.nl

Lees hier wat XS4ALL schrijft over het EPD

Laatst ontving ik een brief over het Elektronisch Patiëntendossier, of kort: EPD.

In die brief las ik dat onze overheid onze (mijn) medische gegevens centraal wil bewaren, zodat verschillende hulporganisaties (doktoren, specialisten, kraamhulp etc etc) erover kunnen beschikken, zodat ze mij beter kunnen helpen. Natuurlijk is de toegang tot die belangrijke database goed geregeld en natuurlijk krijgen verzekeraars er geen inzicht in. Het zou immers niet eerlijk zijn als jij een ziektekostenverzekering wil afsluiten en je zorgverzekeraar weigert je, omdat ze kunnen zien dat je van alles mankeert. Die informatie valt momenteel onder het medisch geheim tussen patiënt en arts.

Het verbaasde mij om enkel goede dingen te lezen (“zorgverleners kunnen u door het EPD beter helpen”, “misbruik is uitgesloten”) en om tòch een bezwaarformulier bij de brief aan te treffen. Als ik niets doe, gaat de overheid er van uit dat ik geen bezwaar heb en als ik toch bezwaar zou willen maken, dan moet ik dat schriftelijk aangeven.

Maar waarom zou ik bezwaar willen maken, als er toch alleen maar voordelen aan het EPD zitten?

Het duurde ongeveer een halve seconde voordat ik het antwoord had bedacht: Natuurlijk doet de overheid er alles aan (wat mag alles eigenlijk kosten?) om onze gegevens goed te beveiligen, maar alle waar is naar zijn geld. Zelfs de beveiliging van de OV-chipknip kan gekraakt worden en ondanks alle (soms overdreven)veiligheidsmaatregelen worden er toch af en toe nog vliegtuigen gekaapt, gebouwen opgeblazen en mensen doodgeschoten.

Ongeacht je bedoelingen, is het dus niet altijd mogelijk om misbruik te voorkomen.

Ik wil het zelfs nog scherper stellen: Het is nooit mogelijk misbruik uit te sluiten, ongeacht je goede bedoelingen.

Het is strafbaar om wetten te overtreden, maar dat betekent niet dat niemand dus de wet overtreedt. We moeten altijd een afweging maken van de risico’s op misbruik, de kosten van initiële beveiliging en de kosten voor het bijstellen van beveiliging met voortschrijdend inzicht. Dit zetten we af tegen de voordelen (voor wie zijn die voordelen overigens? Betalen we minder zorgpremie sinds de invoering van de vrije zorgmarkt? Is onze telefonie verbeterd sinds de liberalisering van de telefoniemarkt?). Mijn medisch dossier past op de achterkant van een sigarendoos. Het risico dat mijn overheid op een zeker moment faalt die gegevens goed te beschermen, waardoor ze in handen van onbevoegden vallen, acht ik veel groter dan die ene keer dat een hulpverlener mij er beter door zou kunnen helpen. Wat is überhaupt beter? Als een dokter een verkeerde diagnose stelt, of een apotheker schrijft een verkeerd medicijn voor, komt dat dan doordat hij geen inzage in jouw EPD had? Moet de drogisterij van Albert Heijn ook inzage krijgen in je EPD, zodat ze kunnen voorkomen dat je medicijnen koopt die slecht voor je zijn, of moeten we zelf ook nog een beetje blijven nadenken?

Beveiliging blijft een race tegen de klok; wat vandaag als veilig wordt beschouwd, kan morgen onveilig blijken. Dat is op zich niet zo erg, want dat is al jaren zo, maar er wordt vaak niets met dat voortschrijdend inzicht gedaan. Veiligheid is een doorlopende kostenpost, die je dwingt van moment tot moment om je beveiligingsfilosofie te evalueren en eventueel te herzien. Als je dat niet doet, dan ontstaan er problemen. Als mijn overheid dus niets aan dat doorlopende beveiligingsprobleem doet, dan liggen mijn gegevens op straat. Hoe vaak hebben we niet gelezen van belangrijke vertrouwelijke gegevens die werden gevonden, nadat iemand ze had laten rondslingeren, variërend van creditcard-gegevens (daar zit dan nog een commerciële organisatie achter) tot vertrouwelijke gegevens over beschermde getuigen, undercoveragenten, gegevens over militairen, sofinummers en uitkeringen?

Helaas blijken beleidsmakers onvoldoende in staat om zich te verdiepen in mogelijkheden van misbruik. Als je iets bedenkt, dan probeer je vervolgens dat idee te slijten. Dat gaat alleen als je de goede kanten van je plan belicht. Het getuigt van kracht in je eigen idee als je ook de negatieve kanten van je plan belicht. Dan kan degene aan wie je de keuze maakt een goed geïnformeerde afweging maken.

Ik vind zo’n brief een belediging. Denkt mijn overheid nou werkelijk dat ik hierin trap? Denken ze nou echt dat ik geloof dat een EPD enkel voordelen kent? Gelukkig zijn ze nog net fatsoenlijk genoeg om een bezwaarformulier mee te sturen, dus daar zal ik ook gebruik van maken! Voor mij geen EPD. Zonde van al dat gemeenschapsgeld…

MinVWS | Elektronisch patiëntendossier (EPD)

Lees hier wat XS4ALL schrijft over het EPD