nieuws

Sms-authenticatie EPD onveilig

Geen categorie

Het is niet veilig om patiënten via sms-authenticatie toegang te geven tot hun gegevens in het elektronisch patiëntendossier (EPD). Dat stellen de Radboud Universiteit Nijmegen en onderzoeksbureau PricewaterhouseCoopers na een risicoanalyse die is uitgevoerd in opdracht van het ministerie van VWS. Dit meldt het computertijdschift Computable. Burgers krijgen daarom voorlopig geen toegang tot hun EPD.

Het is de bedoeling dat patiënten via sms een authenticatecode krijgen toegestuurd om met DigiD inzage te krijgen in hun dossier. Het computerincident-responsteam van de Nederlandse overheid, Govcert, concludeerde eerder echter dat gsm-verkeer afgeluisterd kan worden door gebrekkige versleuteling van de gegevens. Daarop besloot het ministerie van VWS een onderzoek te starten naar de gevolgen voor de authenticatie bij het epd.

Imagoschade
De onderzoekers becijferen dat kwaadwillenden met apparatuur van rond de tweeduizend euro de sms-signalen in principe kunnen afvangen. In het meest ongunstige geval zou de kwetsbaarheid binnen een half jaar kunnen worden blootgelegd. Hoewel de kans op verlies van vertrouwelijke informatie dus 'matig' is, zal de imagoschade die gepaard gaat met een kraak van het EPD echter hoog zijn, zo oordelen de onderzoekers. Omdat sms-authenticatie daarnaast een relatief zwakke beveiligingsmethode is, is deze methode bovendien in strijd met wet- en regelgeving.

Andere authenticatiemiddelen
De onderzoekers adviseren de onderzoekers om patiënten zich via andere middelen te laten authenticeren, zoals een elektronische identiteitkaart, of een conversietabel die de sms-codes zwaarder versleutelt.
Ook het gebruik van een ander versleutelingsstandaard door telecomproviders zou een oplossing kunnen zijn. Nu versleutelen die het gsm-verkeer nog via het A5/1 algoritme. Opvolger A5/3 is veiliger, maar wordt naar verwachting pas over enkele jaren ingevoerd. Dat komt ook omdat bestaande toestellen de standaard nog niet allemaal ondersteunen.

Stoppen en oplossing vinden
Voor minister Klink is dit reden om burgers voorlopig geen digitale toegang tot hun EPD te geven, meldt Webwereld. 'Totdat er meer duidelijkheid bestaat over mogelijke mitigerende maatregelen, wordt vooralsnog een pas op de plaats gemaakt met de ontwikkeling van die onderdelen van het Klantenloket die van de beveiligingskwetsbaarheid in SMS afhankelijk zijn, waaronder een patiëntenportaal', schrijft de demissionair-bewindvoerder vandaag aan de Tweede Kamer. 'Immers, voorop staat dat een zo optimaal mogelijk niveau van privacybescherming een absolute voorwaarde is voor het op verantwoorde wijze verschaffen van elektronische toegang tot patiëntgegevens.'

Hackers
De CG-Raad, de belangenorganisatie van gehandicapten en chronisch zieken, wil hackers inschakelen om het elektronisch patiëntendossier te kraken. De raad heeft minister Ab Klink donderdag 9 september 2010 hiervoor toestemming gevraagd. De CG-Raad is in principe voorstander van het elektronisch patiëntendossier, mits de veiligheid goed is geregeld. Ook zouden patiënten moeten kunnen bepalen wie hun gegevens mag bekijken.

Zie ook: 'Meeste ziekenhuizen nog niet op EPD'.

Tip
Lees het pas verschenen boek EPD is een werkwoord.

Reageer op dit artikel