EPD, elektronisch patiëntendossier #2

Ik heb vandaag te horen gekregen hoe de beveiliging van het EPD gaat werken. Maar nu snap ik ook dat artsen niet begrijpen hoe de beveiliging werkt en ze daarmee dus ook vinden dat de beveiliging niet goed is...

quote:

Op donderdag 13 november 2008 21:02 schreef RealBizkit666 het volgende:
Ik heb vandaag te horen gekregen hoe de beveiliging van het EPD gaat werken. Maar nu snap ik ook dat artsen niet begrijpen hoe de beveiliging werkt en ze daarmee dus ook vinden dat de beveiliging niet goed is...

licht eens toe

quote:

Op donderdag 13 november 2008 21:02 schreef RealBizkit666 het volgende:
Ik heb vandaag te horen gekregen hoe de beveiliging van het EPD gaat werken. Maar nu snap ik ook dat artsen niet begrijpen hoe de beveiliging werkt en ze daarmee dus ook vinden dat de beveiliging niet goed is...

Hoe gaat die beveiliging helpen tegen verplegers die ingelogd blijven "omdat het makkelijker is" ?

quote:

Op donderdag 13 november 2008 21:13 schreef Boze_Appel het volgende:

[..]

Hoe gaat die beveiliging helpen tegen verplegers die ingelogd blijven "omdat het makkelijker is" ?

Door een hele eenvoudige time-out?

quote:

Op donderdag 13 november 2008 21:09 schreef zquing het volgende:

[..]

licht eens toe

Iets met Certificates, SSL, PKI, CA's...

Ik wil gewoon helemaal geen dossier van mij. Dat dat in mijn nadeel is (volgens de overheid), boeit mij niet. Waarom mag ik daar niet voor kiezen.

quote:

Op donderdag 13 november 2008 23:16 schreef Steeven het volgende:
Ik wil gewoon helemaal geen dossier van mij. Dat dat in mijn nadeel is (volgens de overheid), boeit mij niet. Waarom mag ik daar niet voor kiezen.

niet naar een zorgverlener gaan, ever... en ook geen verzekering nemen...

quote:

Op vrijdag 14 november 2008 00:23 schreef Re het volgende:
... en ook geen verzekering nemen...

Die is dan weer verplicht.

quote:

Op donderdag 13 november 2008 21:37 schreef RealBizkit666 het volgende:
Door een hele eenvoudige time-out?

Die time-out gaat echt niet op 5 minuten ingesteld worden.

quote:

Op vrijdag 14 november 2008 10:43 schreef MarkzMan_X het volgende:
Als we eens een tiran aan de macht krijgen, en die wil mensen met een bepaalde aandoening oppakken, dan is dat dankzij het EPD geen enkel probleem!

Volgens mij is die grap al een keer eerder uitgehaald. Zo tussen 1940 en 1945. Ik heb altijd begrepen dat de deportatie van joden in Nederland erg efficient verliep omdat er zo'n goede bevolkingsadministratie was.

quote:

Op vrijdag 14 november 2008 10:43 schreef MarkzMan_X het volgende:
Aan de andere kant moeten we ook de voordelen zien. Als we eens een tiran aan de macht krijgen, en die wil mensen met een bepaalde aandoening oppakken, dan is dat dankzij het EPD geen enkel probleem!

die tiran kan ook alle HA computers confisceren dus da's niet echt moeilijk

Is het hier overigens al gemeld dat ook al maak je bezwaar tegen het EDP dat je er toch in komt te staan maar dat er slechts een vinkje komt te staan bij "niet tonen"

quote:

Op vrijdag 14 november 2008 12:30 schreef Devrim_ het volgende:
Is het hier overigens al gemeld dat ook al maak je bezwaar tegen het EDP dat je er toch in komt te staan maar dat er slechts een vinkje komt te staan bij "niet tonen" [ afbeelding ]

Maar als hij niet getoont wordt, dan blijft de database wat dat betreft ook leeg lijkt me. Want waar zou een arts de gegevens dan in moeten vullen?

quote:

Op vrijdag 14 november 2008 12:41 schreef Bolkesteijn het volgende:

[..]

Maar als hij niet getoont wordt, dan blijft de database wat dat betreft ook leeg lijkt me. Want waar zou een arts de gegevens dan in moeten vullen?

volgens mij kan dat gewoon ja

quote:

Op vrijdag 14 november 2008 12:41 schreef Bolkesteijn het volgende:

[..]

Maar als hij niet getoont wordt, dan blijft de database wat dat betreft ook leeg lijkt me. Want waar zou een arts de gegevens dan in moeten vullen?

Welke database blijft leeg?

quote:

Op donderdag 13 november 2008 21:40 schreef RealBizkit666 het volgende:

[..]

Iets met Certificates, SSL, PKI, CA's...

En dat alles maakt dus geen ene ruk uit, als de gebruikers, artsen, verplegers en weet ik veel wie, niet goed omgaan met de gegevens.

Leuk dat ze dataverkeer gaan versleutelen met wat certificaatjes, maar beveiliging en zeker het beveiligen van data(bases) is zo sterk als de zwakste schakel en laat dat nou _altijd_ de gebruiker zijn.

En daar jij zelf al aangeeft dat de artsen er geen bal van snappen, behoor jij nu meteen te weten waar het dus mis zal gaan. _{Dat het mis gaat is imho al zeker, het is enkel een vraag van wanneer en hoe snel}

quote:

Op vrijdag 14 november 2008 13:54 schreef RealBizkit666 het volgende:

[..]

Welke database blijft leeg?

De centrale waar de koppeling BSN -> Welke arts, welk ziekenhuis, etc. in staat. Die zou leeg moeten blijven, maar dat is dus niet geval, gewoon een vinkje.

Iedereen de Petitie al getekend?

quote:

Op vrijdag 14 november 2008 13:54 schreef RealBizkit666 het volgende:
Welke database blijft leeg?

De entry van de mensen die aangegeven hebben niet in het systeem opgenomen te willen worden.

quote:

Op vrijdag 14 november 2008 17:20 schreef Bolkesteijn het volgende:

[..]

De entry van de mensen die aangegeven hebben niet in het systeem opgenomen te willen worden.

De database word wel gevuld.
De pagina word alleen niet getoond als er om gevraagd word.

Het probleem met deze zaken blijft altijd dat goede beveiliging hinderlijke hindernissen opwerpt. Mensen vinden het lastig, willen zich niet aanmelden, willen er niet mee werken, en proberen eromheen te werken. Je komt het overal tegen: Wachtwoord voor de gehele afdeling? Wel zo makkelijk. Accountgegevens delen, waarom niet? Die hinderlijke branddeur? Zet er een stoel tegenaan.

Je zag het met de arrestatie van Van Persie, z'n dossier werd ettelijke malen geraadpleegd. En dan kan wel achteraf actie ondernomen worden, maar dan is het kwaad al geschiedt. Als in de nieuwe situatie iemand de inloggegevens bemachtigt dan heb je de poppen aan het dansen. En ik verwacht eigenlijk wel dat coassistenten de gegevens krijgen om dossiers op te kunnen vragen om de artsen werk uit handen te nemen; dat er maniertjes gevonden worden om ‘niet telkens in te hoeven loggen’, ja, dat je zelfs postits en authenticatietokens ter plaatste zult aantreffen.

Het voorbeeld van de ziekenhuisdossiers die zomaar opgevraagd kunnen worden is al schrijnend genoeg. Men werkt op basis van vertrouwen, en dat is goed, maar mensen met kwade intenties maken er zo misbruik van. Wie heeft niet eens gehad (legitiem!) dat hij een pakketje voor iemand anders ophaalde bij het postkantoor, of op de universiteit de loper kreeg ‘om de presentatieruimte te openen’. Vrijwel altijd gaat het goed, maar soms haalt iemand een pakket dat niet voor hem is, en soms opent iemand niet de presentatieruimte maar jat een laptop van een medewerker van wie op het bord geschreven staat dat hij op donderdag altijd afwezig is.

Zulke zaken van social engineering zijn ontzettend moeilijk te voorkomen, en de potentiële lekken zijn gigantisch bij een centrale opslag. En dat is zo'n groot probleem dat het eigenlijk niet meer leuk is. In feite moet er m.i. ook heel hard ingegrepen kunnen worden tegen mensen die onvoorzichtig zijn, of wier gegevens lekken – maar ergens is dat onrechtvaardig, want artsen hebben ook niet voor dit systeem gekozen. Maar mensen moeten echt persoonlijk verantwoordelijk gesteld kunnen worden, anders is het met de beveiliging zo gedaan.

En verder vind ik dat mensen relatief gemakkelijk inzicht moeten kunnen hebben en ook, indien gewenst, zaken zouden moeten kunnen verwijderen en desnoods kunnen aangeven dat zij persoonlijk toestemming moeten geven; hetwelk eventueel overruled kan worden in noodgevallen, maar niet zonder dat dit de patiënt naderhand bekend gemaakt wordt.

Zoals het er nu naar uitziet, is het aan alle kanten een recept om te falen.

quote:

Op vrijdag 14 november 2008 18:23 schreef MarkzMan_X het volgende:
Aardig punt daarnaast m.b.t. social engineering. De beste hackers zijn niet die gasten die allemaal maffe scripts uitvoeren vanuit hun kelder, maar die mensen die gewoon een overall aantrekken, binnen komen lopen in b.v. een kantoor, zich aan de receptioniste voorstellen als systeembeheerder, en vervolgens ongestoord de hele dag unauthorized andermans gegevens bekijken en desgewenst stelen.

Social engineering is veruit de beste mogelijkheid in een relatief grote organisatie om wat gedaan te krijgen; dat wordt ook terecht opgemerkt in één van de stukken die ik las, dat je op regionaal niveau tenminste nog enigszins weet wie waar hoort te zijn en wie wat kan inzien, op landelijk niveau niet meer.

En natuurlijk heb je altijd dat security een zekere maat van ‘last’ introduceert. Nu is het lastig om gegevens van een patiënt aan de andere kant van het land op te vragen (maar dat is ook een vorm van security), straks moet het überhaupt een beetje lastig worden om gegevens op te vragen, anders is het niet veilig. En dat het lastig is vinden mensen irritant, dus wordt er snel omheen gewerkt.

Als ik elke keer een euro had gekregen voor zinnetjes als ‘de beveiligingsmaatregelen waren weliswaar in orde maar werden niet goed nageleefd’ dan was ik inmiddels heel rijk geweest. Want dat fundamentele probleem zie je telkens.

quote:

Op vrijdag 14 november 2008 17:26 schreef Devrim_ het volgende:
De database word wel gevuld.
De pagina word alleen niet getoond als er om gevraagd word.

Hoe kan een arts de database vullen als de pagina van die patient niet getoond wordt?

quote:

Op vrijdag 14 november 2008 20:23 schreef Bolkesteijn het volgende:

[..]

Hoe kan een arts de database vullen als de pagina van die patient niet getoond wordt?

Snap je na 500 keer uitleggen nog steeds niet wat het EPD is?

Het EPD is een koppeling tussen alle databases die in het land staan. In het EPD staat GEEN dossier. Het dossier blijft gewoon bij je huisarts in zijn eigen database staan.

[ Bericht 0% gewijzigd door RealBizkit666 op 14-11-2008 23:40:50 ]

quote:

Op vrijdag 14 november 2008 17:20 schreef Bolkesteijn het volgende:

[..]

De entry van de mensen die aangegeven hebben niet in het systeem opgenomen te willen worden.

IEDEREEN zal in die database komen. Alleen zal er komen te staan of zorgverleners wel of niet je dossier mogen ophalen via het EPD.

quote:

Op vrijdag 14 november 2008 23:22 schreef RealBizkit666 het volgende:

[..]

IEDEREEN zal in die database komen. Alleen zal er komen te staan of zorgverleners wel of niet je dossier mogen ophalen via het EPD.

dat is anders dat wat ons verteld is bij de uitleg van 't EPD.........

quote:

Op vrijdag 14 november 2008 23:29 schreef zquing het volgende:

[..]

dat is anders dat wat ons verteld is bij de uitleg van 't EPD.........

Als je de brief leest. Dan staat daar dat je bezwaar kunt maken tegen de uitwisseling van gegevens via het EPD. Er staat niet dat je bezwaar kunt maken tegen het opnemen van je BSN nummer in het EPD.

quote:

Op vrijdag 14 november 2008 23:20 schreef RealBizkit666 het volgende:
Snap je na 500 keer uitleggen nog steeds niet wat het EPD is?

500 keer in 2 topics? Goed bezig knul, dan mag je wel eens met een wat meer gestructureerd verhaal op de proppen komen.

quote:

Het EPD is een koppeling tussen alle databases die in het land staan. In het EPD staat GEEN dossier. Het dossier blijft gewoon bij je huisarts in zijn eigen database staan.

Kennelijk levert een bezwaarschrift tegen deelname aan het EPD een vinkje op dat gegevens niet via het EPD systeem verspreid mogen worden. Dat vinkje voorkomt dus dat er een centraal virtueel dossier van de patiënt ontstaat, daarmee is het dus ook niet mogelijk dat artsen een compleet beeld te zien krijgen van het dossier. Voor een arts is het dus onmogelijk een wijziging aan te brengen in het virtuele dossier omdat dat dossier niet bestaat, de arts zal enkel zijn eigen dossier kunnen bijwerken. Maar goed dat is dan weer weinig nieuws onder de zon.

http://i34.tinypic.com/smynx3.jpg

Mensen lees die brief eens
Wat staat er



Er staat niks in dat je bezwaar kan maken dat je gegevens er in komen te staan

quote:

Op zaterdag 15 november 2008 02:23 schreef Bolkesteijn het volgende:

[..]

500 keer in 2 topics? [ afbeelding ] Goed bezig knul, dan mag je wel eens met een wat meer gestructureerd verhaal op de proppen komen.
[..]

Kennelijk levert een bezwaarschrift tegen deelname aan het EPD een vinkje op dat gegevens niet via het EPD systeem verspreid mogen worden. Dat vinkje voorkomt dus dat er een centraal virtueel dossier van de patiënt ontstaat, daarmee is het dus ook niet mogelijk dat artsen een compleet beeld te zien krijgen van het dossier. Voor een arts is het dus onmogelijk een wijziging aan te brengen in het virtuele dossier omdat dat dossier niet bestaat, de arts zal enkel zijn eigen dossier kunnen bijwerken. Maar goed dat is dan weer weinig nieuws onder de zon.

Als een arts zijn eigen dossier bijwerkt, dan wordt het virtuele natuurlijk ook bijgewerkt. het enige wat het EPD doet, is opslaan waar gegevens van een patiënt staan. Als een zorgverlener vervolgens je dossier wilt raadplegen, dan zal alle gegevens vanuit die databases worden opgehaald via het EPD en daar wordt een professionele samenvatting van gemaakt. Als je nu bezwaar hebt gemaakt hier tegen, dan zal de zorgverlener alleen de gegevens kunnen in zien die hij in zijn eigen database heeft staan. Maar elke regel die ook over jou wordt opgeslagen ergens, die koppeling zal ALTIJD in het EPD komen te staan, met bezwaar of zonder bezwaar...

ik had gisteren gebeld, maar volgens mij hebben ze het minuuttarief veranderd.. van 0,10 euro naar 0,01 euro?

Bezwaar via internet..
http://www.telegraaf.nl/b(...)aar_tegen_EPD__.html

moeten ze wel opschieten..

quote:

Op woensdag 19 november 2008 15:18 schreef etoz het volgende:
Bezwaar via internet..
http://www.telegraaf.nl/b(...)aar_tegen_EPD__.html

moeten ze wel opschieten..

Haast met bezwaar maken is er niet echt: "Het is mogelijk dat u niet wilt dat zorgverleners die u behandelen uw medische gegevens inzien. Daarom kunt u bezwaar maken tegen de uitwisseling van uw medische gegevens via het landelijk EPD. Dit kan altijd, dus ook na 15 december a.s. Uw huisarts of apotheker kan u vertellen wat de mogelijke gevolgen voor u zijn als u bezwaar maakt. Bron Dat hoorde ik vorige week ook een huisarts op de radio vertellen, volgens mij is die datum dus een bangmakertje...

Ik heb nog steeds geen bevestigingsbrief gehad. Binnen hoeveel dagen hoor je die te krijgen?

quote:

Op maandag 10 november 2008 15:55 schreef zquing het volgende:

[..]

ik jammergenoeg niet Maar heb 't forum wel horen vallen in de pauzes

Ik heb ze geschreven op hun eigen contactsite dat er hier veel vragen leven op dit openbare forum, en of ze daar eens naar willen kijken!

Ik vraag me af of deze vorm van database maken zonder uitdrukkelijke toestemming van de burger wel mag ivm wet bescherming persoons gegevens.

Is dat een mooie essay/scriptie voor iemand die rechten doet?

quote:

Op donderdag 13 november 2008 21:13 schreef Boze_Appel het volgende:

[..]

Hoe gaat die beveiliging helpen tegen verplegers die ingelogd blijven "omdat het makkelijker is" ?

Sowieso maak ik me wat zorgen om een dossier dat door een paar honderdduizend mensen in te zien is. Kun je het nog zo goed beveiligen... bezwaar is gisteren op de bus gedaan.

quote:

Op zaterdag 22 november 2008 23:30 schreef kless het volgende:
Ik vraag me af of deze vorm van database maken zonder uitdrukkelijke toestemming van de burger wel mag ivm wet bescherming persoons gegevens.

Is dat een mooie essay/scriptie voor iemand die rechten doet?

Het college bescherming persoonsgegevens heeft daar een vet rapport over geschreven. Google maar eens.
Hun conclusie was dat het het 'medisch beroepsgeheim uitgehold werd' door de controle achteraf wie je dossier ingezien had.
Verders hadden ze nog een paar flinke opmerkingen. Het rapport was gewoon vernietigend.

In mijn ogen zit er ook een principieel bezwaar aan:
Iedere zorgeverlener kan straks ook het medische dossier van vrouw/man en kinderen inzien.
Terwijl dit onder het medisch beroepsgeheim valt...
Dat kan toch nooit de bedoeling zijn?

quote:

Op zaterdag 22 november 2008 23:54 schreef agter het volgende:
In mijn ogen zit er ook een principieel bezwaar aan:
Iedere zorgeverlener kan straks ook het medische dossier van vrouw/man en kinderen inzien.
Terwijl dit onder het medisch beroepsgeheim valt...
Dat kan toch nooit de bedoeling zijn?

Bedoeling niet, maar mogenlijk wel!

Even voor een vriend checken of die nieuwe relatie een verleden heeft e.d.

Het wordt dus hoog tijd om mijn rechtsbijstands verzekering te gaan verzilveren.

quote:

Op zaterdag 22 november 2008 23:57 schreef kless het volgende:

[..]

Bedoeling niet, maar mogenlijk wel!

Even voor een vriend checken of die nieuwe relatie een verleden heeft e.d.

Het wordt dus hoog tijd om mijn rechtsbijstands verzekering te gaan verzilveren.

Ja...had ik nog niet eens aan gedacht. Het nieuwe EPD is gewoon ziek...