Minister Klink heeft de Tweede Kamer gemeld dat een kwetsbaarheid in de toegangspas voor het EPD is gevonden, en dat de invoering tot ongeveer augustus is opgeschort. Ook zijn er meer bezwaarschriften dan verwacht.
Klink schreef dinsdag aan de Tweede Kamer dat er maatregelen worden getroffen om een onlangs in een laboratoriumomgeving geconstateerde kwetsbaarheid in het rekenmechanisme van de chip op de ‘UZI-pas’ op te lossen. Met die chippas kunnen gezondheidsmedewerkers toegang tot het Elektronisch Patiëntendossier van patiënten krijgen. Onderzoekers bleken in staat om passen te klonen door de private sleutel van de hierop gebruikte chip te achterhalen. Dat komt doordat de gebruikte encryptiemethode gebruik maakt van de zogeheten Chinese reststelling om het versleutelen te versnellen. Hiertoe was wel de pincode van de pas nodig, en Klink benadrukt dan ook dat zorgverleners deze te allen tijde gescheiden van de pas moeten bewaren. Er zullen echter ook nieuwe passen worden besteld met een chip die de reststelling niet toepast.
Minister Klink De bewindsman vindt wel dat het waargenomen risico klein is, onder meer omdat de pas alleen gebruikt zou kunnen worden binnen de zorginstelling waarvoor deze is uitgegeven, en omdat er ‘grote deskundigheid en gespecialiseerde apparatuur’ nodig is om een kraak te bewerkstelligen. De nieuwe passen worden halverwege het derde kwartaal geleverd, aldus Klink, en tot die tijd kunnen zich geen nieuwe zorgverleners aanmelden. Hij heeft echter ook verklaard dat meer burgers – circa 438.000 – bezwaar blijken te hebben gemaakt dan was voorzien, zo schrijft het NRC, en dat rechtvaardigt volgens de minister een extra zorgvuldige omgang met het elektronische patiëntensysteem. De regering rekende op bezwaar van 1 á 2 procent van de bevolking, maar de teller staat inmiddels op ruim tweeëneenhalve procent.
De kraak die Klink meldde, volgt op zijn belofte in februari om het EPD grondig door hackers te laten testen. Dat werd destijds geëist door de Kamerfracties van D66, GroenLinks, de SP en de PVV, voordat ze akkoord wilden gaan met de invoering van het patiëntendossier. De regering wil dat het EPD breed wordt gedragen, en zocht om die reden ook de steun van de oppositie. Vanaf 2010 wil de regering zorgverleners verplichten zich bij het patiëntendossier aan te melden.
Bron: Tweakers.net
