Beveiliging patientendossier is security theater

De zwaktes van het Elektronisch patientendossier (EPD) zijn de afgelopen jaren overeind gebleven en daarbovenop zijn zwakke implementaties gestapeld. Het systeem is uiteindelijk gebouwd op de veronderstelling dat de gebruikers betrouwbaar zijn en dat alle deelnemende partijen hun ‘Goed Beheerde Zorgsystemen’ 100% dichtgetimmerd houden. Een beveiliging die van dit soort veronderstellingen uitgaat, is geen beveiliging maar wat Bruce Schneier zo treffend aanduidt als ‘Security Theater’. Het is een genante vertoning van het ministerie van VWS rond een beveiligings onderzoek naar het EPD.

Dit zegt onderzoeker Guido van ’t Noordende van de Universiteit van Amsterdam, die het huidige EPD onderwierp aan een nader onderzoek. Guido kwam met een aantal bevindingen die er niet om liegen, maar die vervolgens door het ministerie onder de tafel werden weggeschoffeld. Van ’t Noordende werd weggezet als oppervlakkig en ondeskundig. Helaas maakt dit pijnlijk duidelijk dat het ministerie van Volksgezondheid weinig kaas heeft gegeten van de waarde van penetratietesten en audits. Een penetratietest kan namelijk alleen bewijzen dat er op een specifiek moment een gat in de beveiliging zit, nooit dat er géén gaten zijn. Als er geen gat wordt gevonden kan de tester hooguit aangeven welke gaten er – op het moment van de toetsing – niet zijn, wat echt iets heel anders is dan dat er geen gaten zijn. En dat laatste is nu net wat VWS wél veronderstelt.

Het ministerie van VWS verwijst de kritiek namelijk naar de prullenbak en stelt dat het onderzoek slecht onderbouwd is en verkeerde conclusies trekt. “Voor het LSP gelden strenge beveiligingseisen voor ontwikkeling, implementatie en beheer die jaarlijks door onafhankelijke derden worden getoetst door middel van audits en indringerstesten. De testen die tot op heden werden uitgevoerd, onder andere door gespecialiseerde hackers, hebben aangetoond dat de genomen maatregelen adequaat zijn”, aldus het ministerie van VWS.