ANALYSE - De ‘hacker’-zaak tegen Henk Krol moet ons zorgen baren over het Elektronisch Patiëntendossier, zegt informaticus Wim Voets.
50PLUS-Kamerlid Henk Krol moest vorige week in ‘s-Hertogenbosch voorkomen wegens het hacken van het patiëntensysteem van Diagnostiek voor U. Is wat Krol deed relevant voor het Elektronisch Patiëntendossier (EPD) dat woensdag groen licht kreeg?
Waar de krantenkoppen spraken van ‘Henk Krol hackt’, bleek het hier te gaan om een andere zwakke plek in de beveiliging: een patiënt die het wachtwoord hoorde toen zijn behandelende arts niet in zijn systeem kon en dat wachtwoord doorkreeg van de helpdesk. Dat was dus een variant op het wachtwoord lezen van dat gele stickertje op de monitor.
Vijf cijfers
Het wachtwoord bleek te bestaan uit vijf cijfers en was identiek aan de inlognaam. Als een twaalfjarige een gratis spelletje wil downloaden op zijn iPad, dan zijn dit de eisen waaraan het wachtwoord bij Apple moet voldoen: de minimaal acht tekens moeten bestaan uit tenminste één letter, één hoofdletter en één cijfer, er mogen niet drie dezelfde tekens achter elkaar in staan en het mag niet hetzelfde zijn als je inlognaam. En ieder half jaar moet je een nieuw wachtwoord verzinnen.
Toen de patiënt een dag later thuis probeerde in te loggen, kwam hij zonder problemen binnen. Als patiënt wilde hij Diagnostiek voor U daarmee niet confronteren, daarom benaderde hij Henk Krol. Ook die kon een dag later inloggen. Verbaasd controleerde hij bij vijf personen dat inderdaad alle gegevens bereikbaar waren. Daarnaast bleek dat de gegevens van alle patiënten in te zien waren, niet alleen die van de behandelende arts.
Toen Diagnostiek voor U niet adequaat reageerde en ook de provincie Noord-Brabant liet weten geen partij in deze zaak te kunnen zijn, heeft Krol via Omroep Brabant luid en duidelijk aan de bel getrokken, met deze rechtszaak als gevolg.
Waar Krol overigens uitstekend heeft voldaan aan het anonimiseren van het bewijsmateriaal richting Omroep Brabant, waren in de stukken van de advocaat de patiëntgegevens gewoon voorzien van de NAW-gegevens van de patiënten en de behandelende arts.
Log
Er bleek geen log te bestaan van het systeem, waarin bijvoorbeeld de datum, de tijd, de persoon en het ip-adres van degene die in het systeem heeft ingelogd is opgenomen. Of hierdoor voldoende bewijs tegen Krol is (want hij wordt beschuldigd van het inzien van de gegevens van 16 patiënten in tegenstelling tot de vijf die hij toegaf), is aan de rechter. Maar uit beveiligingsoogpunt is belangrijker dat zo een minimale controle onmogelijk wordt. Een beetje hacker weet zijn ip-adres wel te verhullen, maar dan wordt wel duidelijk dat niet vanuit Eindhoven wordt ingelogd.
De Officier van Justitie ging in haar pleidooi in op de eventuele strafbaarheid van Diagnostiek voor U in deze zaak, maar vond geen juridische gronden voor vervolging. Ze stelde dat dat een taak was van het College Bescherming Persoonsgegevens, dat zaak inmiddels in onderzoek heeft.
Er werd niet duidelijk of Diagnostiek voor U al eens een audit (controle door College Bescherming Persoonsgegevens) heeft gehad, maar door de actie van Krol werd een tweede conclusie duidelijk: dat het toezicht op (medische) gegevens volstrekt onvoldoende is.
Medische database
De medische database van Diagnostiek voor U is straks te raadplegen in het EPD. Is dat (even) veilig en hoe staat het hier met de privacy?
Naar schatting kunnen straks 3000 systeembeheerders en 74.000 zorgverleners met een UZI-pas bij het EPD. Die (en dus ook een hacker) kunnen dan bij Diagnostiek voor U data tegenkomen als het bloed- en urineonderzoek van gedetineerden, borstkankeronderzoeken of de labuitslagen van vijf ziekenhuizen.
Diagnostiek voor U werkt samen met Ziektekostenverzekeraars. Het onder dezelfde stichting vallende Justus Medisch Centrum beoordeelt medische aspecten van letselschade of arbeidsongeschiktheid en doet verzekeringskeuringen.
Diagnostiek voor U heeft een samenwerkingsverband met TeleMC (Teleconsultatie advies) en dat is weer samengegaan met Zorgdomein die allemaal in hun briefhoofd hebben: ‘Verbinden van zorgverleners’, wat qua ICT gebeurt via de Stichting Rheco, die weer is opgegaan in het RZCC (Regionaal Zorg Communicatie Centrum), enzovoorts.
Kortom: er wordt geknoopt en gekoppeld. En dat spinnenweb moet, samen met de databases van de rest van de overheid en het bedrijfsleven, worden gecontroleerd door de tachtig medewerkers van het College Bescherming Persoonsgegevens.
Gelukkig verklaarde de minister van Volksgezondheid onlangs dat de Nederlandse privacywet voldoende nageleefd wordt in de overeenkomst tussen EPD-koepelorganisatie VZVZ en de Amerikaanse ICT-uitvoerder CSC van het EDP, hoewel juristen stellen dat CSC valt onder de Amerikaanse wet FISA, volgens welke de Amerikanen naar behoefte mogen graaien in de bestanden.
Uw huisarts gaat u vragen of u wel of niet in het Elektronisch Patiëntendossier wil. Mag. U moet dat zelf weten, maar als ik een patiënt was met een burnout, een psychiatrisch verleden of een vrolijke geslachtsziekte, dan bedacht ik me wel tweemaal voordat ik mij in die verknoopte, maar slecht beveiligde kluwen zou begeven.
Reacties (13)
Een rechter met een beetje ballen zegt dat het OM de rechtsgang aan het belemmeren is. Ik ben geen fan van Krol, maar hij heeft zijn plicht gedaan. En dat de Kamer het EPD uit handen geeft en het CBP niet met voldoende middelen uitrust om ook maar de kleinste problemen te behandelen, moeten we daar meer dan totale onkunde achter zoeken?
En natuurlijk de boodschapper voor de rechter slepen in plaats van de ogen uit het hoofd te schamen. Deze hotemetoten gaan er waarschijnlijk ook vanuit dat de kwaadwillende hacker hun eigen onwetenheid evenaart. Bij dit soort berichten moet ik altijd denken aan het citaat van Scott McNealy: “You have zero privacy anyway. Get over it.”
Het triestste: de meest kwaadwillende `hackers’ krijgen gewoon legaal toegang, d.w.z. de commerciele partijen in deze deal.
Vacature bij Diagnostiek voor U.
Functie: Informatieanalist
U verzamelt data uit verschillende huisartsinformatiesystemen (HIS) en draagt zorg voor het onderhoud van handleidingen voor extracties uit de verschillende HISsen. U ondersteunt bij de ontwikkeling en het onderhoud van een rapportagesysteem voor spiegelinformatie voor huisartspraktijken en zorggroepen. U bent belast met het kwaliteitsbeleid van Meetpunt Kwaliteit als regionaal datacentrum.
Data verzamelen; gekker kunnen we het niet maken…
Don’t shoot the messenger.
” Ook die (Krol) kon een dag later inloggen. Verbaasd controleerde hij bij vijf personen dat inderdaad alle gegevens bereikbaar waren. ” (citaat)
Henk Krol heeft niemand een dienst bewezen en maar ten minste vijf personen en de maatschappij als geheel heel veel schade berokkend.. uitsluitend voor eigen gewin.
Bij dat inloggen had Krol het moeten laten. Dan was het punt al duidelijk geweest.
Wat hij echter gedaan heeft is verder nog rondsnuffelen in gegevens van vijf patienten waar hij helemaal geen fluit mee te maken had. Er is helemaal niets dat rechtvaardigt dat die publiciteitsgeile en narcistische Krol dat gedaan heeft: het maakte het punt dat het EPD niet deugt niet duidelijker, dat was al duidelijk.
Krol, die naar eigen zeggen niet eens weet hoe zijn Facebook-account in elkaar zit (laat staan dat ie hem kan beheren, wat ie ook niet kan volgens eigen zeggen) is hier in plaats van zijn werk te doen als volksvertegenwoordiger voor onderzoeksjournalistje aan het spelen geweest.
Niet om een misstand aan de kaak te stellen want ook voor dat Krol de hacker uit ging hangen was – nogmaals – al duidelijk wat een zootje dat EPD is. Hij deed dat uitsluitend om ten koste van ten minste vijf patienten maximale publiciteit te behalen voor hem zelf.
Dat is zo schandelijk dat de geëiste boete een lachertje is.
Ik weet niet of volksvertegenwoordiger zijn een ambt is in de juridische zin van het woord maar in dat geval zou ik zeggen: zet hem uit zijn ambt.
Doet men met artsen immers ook die misbruik maken van patienten en hun gegevens.
En nu ik weet dat elke welk willekeurige jan doedel bij strikt vertrouwelijke gevens kan met welhaast nog meer gemak dan een twaalfjarige bij zijn Facebook-account, pieker is ik er helemaal niet over mijn toestemming inzake dat EPD te verlenen.
Zeker niet als zo’n jandoedel een politcus lijkt te zijn waarvan je je kunt afvragen of ie zelf niet een persoonlijkheidsstoornis heeft.
@5: Henk Krol heeft niemand een dienst bewezen en maar ten minste vijf personen en de maatschappij als geheel heel veel schade berokkend.. uitsluitend voor eigen gewin.
Bij dat inloggen had Krol het moeten laten. Dan was het punt al duidelijk geweest.
De instanties in NL kennende lijkt mij dat sterk. Had hij alleen ingelogd dan was het verweer geweest “maar je hebt geen vertrouwlijke informatie kunnen inzien hoor!”. Had hij het dossier van een persoon ingezien dan was het verweer “alleen dat specifieke dossier was niet beveiligd”.
@6: Dank voor je reactie.
Ik ben het niet met je eens: het feit dat hij überhaupt in dat systeem kon komen toont al aan dat het niet deugt. Dat ie vervolgens verder is gaan rondsnuffelen voegde én niets toe en is derhalve een regelrechte schande.
@7: Ik ben het niet met je eens: het feit dat hij überhaupt in dat systeem kon komen toont al aan dat het niet deugt.
Dat ben ik wel met je eens, maar dat is gewoon niet overtuigend in bestuurdersland.
@7: dit verder kijken maakt wel uit.
Er in kunnen is erg, alle gegevens van een patient kunnen zien is nog erger, en de gegevens van ALLE patienten kunnen zien is nog nog erger. De totale zwakte van het systeem wordt hierdoor getoond.
@5: Journalist is geen beschermd beroep. Ook politici mogen (sterker nog, moeten soms) journalist zijn. Ik weet niet hoe je tot je redenering komt, maar zonder bewijsvoering middels (door Krol geanonimiseerde!) patiëntgegevens was zijn “inbraak” terzijde geschoven (sterker nog, in eerste instantie deed Diagnostiek voor U dat zelfs mét gegevens). De enige die ten koste van de patiënten handelt is Diagnostiek voor U, dat de gegevens op straat gooit. In plaats van een beetje te lopen fulmineren tegen iemand die misstanden aan de kaak stelt (ongeacht of dat een jandoedel met persoonlijkheidsstoornis is), zou je je pijlen beter richten op de misstanden zelf.
En als je deze zaak gebruikt als stok omdat je gewoon een hekel aan Krol hebt (en daar lijkt het wel op), dan ben je off topic (en moeten Hirsch en Ballen eens in actie komen).
Hulde voor Krol:
Hij had het misschien iets snuggerder kunnen aanpakken, maar maakt in ieder geval de achterlijkheid van het beheer van (privé)gegeven duidelijk.
Waar het privé gegevens betreft zou het volgende bij wet strafbaar gesteld moeten worden:
Ieder(e) bedrijf/persoon dat/die het mogelijk maakt dat andere personen wachtwoorden kunnen meelezen.
Ieder(e) bedrijf/persoon dat/die een slave en/of pc met een daaraan verbonden monitor heeft die niet in een “beveiligingsstand” gaat zodra de gebruiker meer dan 1 m van het spul verwijderd (chip om hals of pols)
Ieder(e) bedrijf/persoon dat/die een een systeem heeft waarvan de wachtwoorden na een werkdag (of dagdeel) niet veranderd moeten worden.
N.B.
Mensen met wat meer gedetailleerde kennis en verstand van deze materie moeten maar eens wat langer nadenken over zaken als:
Dubbele wachtwoorden bij grote systemen.
De ellende door stompzinnige beveilig bij werken op afstand.
Het van elkaar loskoppelen van de publiek toegankelijke en bedrijfsinterne delen van een systeem.
Enzovoort enzovoort.
Ieder(e) bedrijf/persoon dat/die een een systeem heeft waarvan de wachtwoorden na een werkdag (of dagdeel) niet veranderd moeten worden.
Deze richtlijn is zo praktisch dat hij wel haast bedacht moet zijn door een IT’er. Ik zou het elke minuut doen. Goed voor de continue training van je korte termijn geheugen.
@12:
In ieder normaal bedrijf gebeurt dit gewoon!
Daarom vind ik dat grove nalatigheid bestraft moet worden.
Dat er nog steeds enorme gaten heel veel systemen zitten, werd vandaag weer eens duidelijk:
http://nos.nl/op3/video/474297-hoe-lek-is-nederland-na-aanval-botnet.html