ePassport en het medisch dossier

— door Evert Mouw

Even een technisch-poltiek onderwerpje waar je zeker zelf mee te maken krijgt, direct of indirect. Je hebt als Nederlander een identificatieplicht, en vroeg of laat zul je ook patiënt worden – tenzij je besluit nu van tien hoog van een flat te springen.

Trends die de toekomst gaan vormen

Een paar samengangende trends, voor zover van belang voor dit onderwerp:

  • Alles gaat steeds meer online. Computernetwerken worden steeds groter en geavanceerder. Het netwerk vervangt de stad. Gegevens, ook over jou, ook medisch, komen steeds meer in het netwerk (online). Er kan en zal nog zoveel digitaal worden. Ook je paspoort. Ook je medische gegevens. Dat is de trend. (Of dat ook goed en leuk is, is een heel ander onderwerp.)
  • Toenemende openheid en transparantie. Denk bijvoorbeeld aan WikiLeaks. Omdat alles verbonden wordt en digitaal gemaakt wordt, kan informatie razendsnel (anoniem) gekopieerd en verspreid worden. Moderne politieke bewegingen pleiten vaak ook tegen de regentencultuur en achterkamertjespolitiek. Moderne politici gebruiken geen lagensysteem (partijensysteem) maar hebben zelf direct contact met hun achterban. Over het algemeen is ICT in staat organisaties platter te maken – zowel organisatorisch als cultureel
  • Meer discussie over privacy. Immers, als alles met elkaar verbonden wordt, hoe bescherm je jezelf dan nog? Je bent toch wel iets meer dan een onderdeeltje van een hive mind?
epassport
Logo van het ePassport

Al deze ontwikkelingen zijn in gang gezet door technologische innovatie, door nerds en programmeurs. De samenleving en politici reageren wat later. Moderne politiek is reactief: de politiek kan niet meer sturen, want technologische vernieuwing stuurt.

Politiek wil voor iedereen online toegang tot eigen medische gegevens

Nu naar de actualiteit: De Tweede Kamer wil dat patiënten altijd bij hun eigen digitale medisch dossier kunnen [1]. Uit eigen ervaring – ik kreeg ooit een college van iemand van het Nictiz – hadden de ontwerpers van het elektronisch patiëntendossier (EPD) dat niet als eerste prioriteit. Hun focus lag op functionaliteit voor medici. Niet handig voor de acceptatie in een moderne samenleving. Dat toegang geven tot het EPD is trouwens nog niet zo eenvoudig. Het bestaande systeem, DigiD, zou daarvoor niet veilig genoeg zijn [2].

Waarom dit mijn interesse heeft? Ik schreef mijn masterscriptie politicologie over health privacy en het EPD. En ik studeer momenteel medische informatiekunde.

Hoe geef je veilig toegang tot gevoelige gegevens?

Jij, je buurvrouw, en je opa moeten dus thuis op hun computer hun medische dossier kunnen inzien. Hoe voorkom je dat iemand anders zonder jouw toestemming in jouw dossier kijkt? Het gaat vaak om erg gevoelige gegevens. Hieronder een paar oplossingen.

  • Gewoon niet doen. Niet digitaliseren. Pen en papier voor de dokters. Even realistisch nu: gezien de huidige trends (hierboven) is dat totaal niet de ontwikkeling. Zowat alles wordt al digitaal gedaan. Dat EPD is eigenlijk alleen maar een samenwerkingsvorm zodat verschillende artsen en ziekenhuizen toegang krijgen tot de stukjes dossier die ze over een patiënt hebben. Je kunt bezwaar maken, maar mogelijk ga je daar zelf uiteindelijk ook last van krijgen.
  • Zet alles op een memory stick / flash card. Implanteer dat ding desnoods onder de huid. Dus medische gegevens decentraal opslaan, altijd fysiek bij de patiënt houden. Nadelen: je zult je memory stick maar vergeten. Of iemand jat jouw gegevens met geweld. Verder druist het in tegen de trend van het Evidence Based Medicine: EPD’s kunnen ook gebruikt worden voor kwaliteitsverbetering en onderzoek naar de beste behandeling. Maar dan moeten de gegevens wel in centrale databases staan. Verder is dit wederom niet in lijn met de trends die nu eenmaal gaande zijn, en dus niet waarschijnlijk als uitkomst.
  • Gebruik harde encryptie en toegangspassen. Medisch personeel krijgt nu een UZI pas waarmee ze toegang krijgen tot het EPD. Misschien moeten alle burgers / patiënten ook maar zo’n pas krijgen. Dat wordt logistiek wel lastig, en een dure grap bovendien. En hoewel de huidige UZI pas aardig goed lijkt, is een eerdere (oude) versie in het verleden als eens gekraakt. Een alternatief voor op middellange termijn is…
  • Doe mee aan het ePassport initiatief. Een aantal landen gebruiken PKI en RFID technieken om paspoorten veiliger en digitaal bruikbaarder te maken. Met je paspoort plus een code zou je dan toegang kunnen krijgen tot je medische gegevens. De uitgifte van paspoorten is immers al goed geregeld in dit land, en ons nieuwe paspoort is feitelijk al geschikt voor deze toepassing. Wel kunnen de readers duur zijn. Verder zijn er nogal wat problemen op het gebied van privacy en beveiliging [3] [4]. Vanwege zuinigheid of domheid is er gekozen voor middelmatig sterke encryptie, terwijl er veel betere methoden beschikbaar zijn. Niet verwonderlijk is het dat het systeem dus al gekraakt is [5].
  • Laat een paar hackers en academici een systeem bedenken met de best mogelijke encryptie. Maar ja… de old boys, de mogelijkheden voor overheidscontrole, en de kosten, etc. etc. … Het lijkt erop alsof de wil ontbreekt. Maar zelfs al zou de wil er wel zijn: is onze overheid wel capabel genoeg om zoiets vorm te geven? Een simpele OV chip is al te moeilijk.

Ik ga toch voor de laatste optie. Het is misschien niet de meest realistische optie op dit moment, maar de opties die momenteel nagestreefd worden gaan hard richting een afgang. Een open, transparant, ijzersterk systeem met encryptie gebaseerd op de computationeel zwaarste algoritmen: alleen zoiets is misschien nog enigszins verdedigbaar als het gaat om het beschermen van privacy en het medisch geheim.

Referenties:

  1. Kamer wil toegang patiënt tot gegevens EPD. nu.nl, 2011-01-20. http://www.nu.nl/politiek/2427363/kamer-wil-toegang-patient-gegevens-epd.html
  2. Beveiliging van dossier patiënten faalt nog. De Stentor, 2011-01-20. http://www.destentor.nl/nieuws/algemeen/binnenland/7998958/Beveiliging-van-dossier-pati%C3%ABnten-faalt-nog.ece
  3. Biometric passport. Wikipedia, 2011-01-20. http://en.wikipedia.org/wiki/Biometric_passport
  4. Security and Privacy Issues in E-passports. By Ari Juels, David Molnar, and David Wagner. Proceedings of the First International Conference on Security and Privacy for Emerging Areas in Communications Networks, pp. 74-88, 2005. http://portal.acm.org/citation.cfm?id=1128018.1128473
  5. ePassport emulator. The Hackers Choice, 2008. http://freeworld.thc.org/thc-epassport/
     

Facebook Comments

2 Comments

Reacties Gesloten