Kritiek op de beveiliging EPD toont kracht EPD aan

De informaticus Guido van ’t Noordende toont met zijn kritiek op de beveiliging van het Landelijk Patiënten Dossier niet de zwakte maar juist de kracht van de beveiliging van het landelijk EPD aan. Dat stelt beveiligingsdeskundige Jaap van der Wel.

Van ’t Noordende stelt op basis van onderzoek dat er bij het landelijk EPD een aantal “basale veiligheidskleppen” ontbreken. Hij bracht de conclusies van zijn onderzoek onlangs naar voren tijdens het rondetafelgesprek over het landelijk EPD in de Eerste Kamer. De kracht van de beveiliging van het landelijk EPD is volgens Van der Wel dat informatici zoals Van ’t Noordende in de gelegenheid worden gesteld om er onderzoek naar te doen. “De werking van het systeem is gepubliceerd zodat iedereen de zwakke plekken kan opsporen. Dat stelt Nictiz in de gelegenheid om de gaten weer te dichten. Wij noemen dat security by clarity.”

Hoe het niet moet

Bij de OV-chipcard hebben ze volgens Van der Wel laten zien hoe het niet moet. “Het beveiligingsalgoritme was geheim en toen het eenmaal bekend werd, bleek het weinig voor te stellen. Een voorbeeld van security by obscurity.” Dezelfde fout wordt gemaakt door verschillende regionale EPD’s en tal van softwareleveranciers in de eerste- en tweedelijnsgezondheidszorg, aldus Van der Wel.

Lees het hele interview op www.ICTzorg.com