Een slechte zaak, dat soort centrale databases zullen ongetwijfeld gehackt worden. De beveiliging is nooit sluitend te krijgen.
Waar kan ik mij afmelden?

@1 elk adres kreeg daar een briefje over, waarbij je dan voor andere gezinsleden apart briefjes moest opvragen, een smerige streek om het afmelden te belemmeren.

@Streamer, #1

IDD. Er zijn meerdere partijen die goudgeld overhebben voor dergelijke informatie, de zorgverzekeraars om te beginnen.

Privacy bestaat allang niet meer. Het enige zou zijn dat de bevolking zich massaal afmeldt, maar dat zal nooit gebeuren. De gemiddelde Hollander gooit z'n gegevens al te grabbel voor een voordeeltje in de supermarkt.

Het idee is echt heel goed. Jammer dat de uitwerking ervan gewoon bij voorbaat al weer slecht is. Centrale databases met alle medische gegevens. Beveiligt door de overheid? Waarom niet meteen als torrent online zetten? :P

Het idee is waardeloos, BIG brother, prima dat het niet door is gegaan zal ook nu wel stranden. waardeloos PVDA project (ab klink) heeft inmiddels al 45 miljoen gekost ....

Ab Klink, was en is voor zover ik weet en CDA-er, dus doe eerst je huiswerk, voordat je je mond opendoet.

Reken maar dat zorgverzekeraars graag je mefisto gebruik en je kwaaltjes willen weten. Daarmee kunnen ze dan je jaarlijkse poging om over te stappen traineren of je aanvullende verzekering weigeren. Als de tweede kamer ef mee akkoord gaat is nog maar de vraag.

Het geld dat gereserveerd is voor het epd kan ingezet worden om de gegevens in de huidige patientendossiers bij huisartsen en in ziekenhuizen te schonen en aan te vullen. Dat redt levens!

Of zet het geld in om structureel ziekten op te lossen.

O.a. Atos Origin is bezig met een europees epd systeem en hoopt op vette opbrengsten tegen lage kosten (via outsourcing waarbij de medische gegevens fysiek zijn opgeslagen in landen als India etc bij particuliere bedrijven en niet vallend onder de NL wetgeving).
Bovendien doet in UK Atos de engelse equivalent van de WAO keuringen en heeft keuringsartsen in dienst. Contractureel zijn prestatieafspraken gemaakt over maximaal aantal afkeuringen. In de UK moeten herkeuringen plaatsvinden na massaal protest dat gekeurd is om de afgesproken resulaten te halen en niet op de arbeidsongeschiktheid.
Via de eIdentity en health cards voor opslag van biometrische gegevens van Atos worldline kan nog meer geld binnen worden gehaald.

De ICT lobby ziet een grote melkkoe waar miljoenen zijn binnen te halen voor ontwerp, bouw en beheer. De overheid gaat met de centen van de belastingbetaler deze melkkoe financieren.

Het EPD levert geen enkele bijdrage ten opzichte van de huidige situatie aan minder zieken.

Bijna een half miljoen NL hebben de moeite genomen om bezwaar te maken. en gezien de moeite die genomen moest worden met de kopieën was dit het topje van de ijsberg. De verzekeraars leggen deze protesten van hun klanten en patienten zomaar terzijde. Wat een verontachtzaming van hun klanten en patienten.

De identity cards, de biometric cards en de gedetailleerder databases van de gehele bevolking zijn big business.

De economische belangen van alleen al de implementatie trajecten zijn derhalve groot dat de (IT) consultancy -, software -, cards -, network firma’s gezamenlijk sales trajecten hebben opgezet. Het gaat om projecten die wereldwijd miljarden opbrengen voor deze firma’s. En dan spreek ik nog niet eens over de kosten van beheer.

Het gevaar van veel gegevens vastleggen over burgers en aan het elkaar koppelen van deze gegevens is dat er mensen zijn die zich kunnen verbeelden hoe ze deze kunnen aanwenden voor vernietiging van burgers. Het is de taak van de overheid de burgers te beschermen.

Het is nodig dat de privaat ruimte van de burger wordt gerespecteerd, wettelijk is verankerd en wordt bewaakt.

In Nederland wordt je niet bericht als je gegevens op straat komen te liggen. Heeft niet een ieder recht in Nederland om te weten als zijn gegevens ter beschikking komen bij niet-geauthoriseerde personen?

Ik pleit dan ook voor verplichte melding bij één toezichthouder als dergelijk zaken met persoonlijke gegevens gebeuren door de publieke of private organisatie die gegevenseigenaar is. Bij overschrijding of oneigenlijk gebruik moet het wettelijk verplicht worden dit te melden, ook door bedrijven en organisaties waarbij gegevens onterecht bij oneigenlijke partijen terecht komen. de melding moet dan bij één organisatie gedaan worden. Ook het illegaal verkrijgen van persoonsgegevens in opdracht moet afgelopen zijn.

Op dit moment is er onduidelijkheid (met name bij de overheidsinstantie) wie van welke gegevens eigenaar is en dus ook verantwoordelijk is voor de keten van organisaties die vervolgens de gegevens afnemen. Door de (mogelijke bewuste) onduidelijkheid is er willekeur en is er afhankelijkheid van de grillen van de gegevenseigenaar.

De veiligheid van het EPD wordt beschreven in de NEN-normen 7510, 7511 en 7512. Alle partijen die de software en infrastructuur maken voor het EPD dienen zich hier aan te houden. Langs die weg zou dus aan een aantal minimum eisen worden voldaan.
Maar de rechter heeft besloten dat die eisen niet rechtsgeldig zijn en wordt dus, het afdwingen daarvan lastiger. De inspectie in de gezondheidszorg kan dan officieel de partijen niet meer op de vingers tikken als er slordig met gegevens wordt omgegaan.

Het College Voor Zorgverzekeraars (CVZ) heeft minimaal 40 gegevenskoppelingen (interfaces) met andere organisaties.

In opdracht van het Ministerie van VWS en alle Zorgverzekeraars registreert het CVZ ook bijzondere groepen zoals wanbetalers en verdragsgerechtigden, gemoedsbezwaarden, illegalen.

Er vindt gegevensuitwisseling plaats tussen o.a. de Belastingdienst, het Centraal Justitieel Incasso Bureau, het UWV en gemeenten.

Welke gegevens er precies worden uitgewisseld wordt niet aan de grote klok gehangen. En waarom deze gegevens bij de verzekeraars moeten liggen is ook volstrekt onduidelijk.

Kortom, er is totaal geen wet- en regelgeving en toezicht welke patientgegevens NIET bij commerciele bedrijven terecht mogen komen.

In NL heeft sinds 2008 een kaalslag aan senior ICT-ers plaats gevonden. Vele zijn ontslagen of werk is vertrokken via outsourcing naar het verre buitenland.

Dus er zijn weinig goede NL ICT-ers voorhanden met ervaring en kennis.

Als er gebruik wordt gemaakt van outsourcing liggen mijn medische gegevens ik-weet-niet-waar en vallen niet meer onder de NL wetgeving. Ieder bedrijf kan de gegevens dan in het beste geval kopen of in het slechtste gevallen stelen.

Het College Voor Zorgverzekeraars (CVZ) heeft minimaal 40 gegevenskoppelingen (interfaces) met andere organisaties.

In opdracht van het Ministerie van VWS en alle Zorgverzekeraars registreert het CVZ ook bijzondere groepen zoals wanbetalers en verdragsgerechtigden, gemoedsbezwaarden, illegalen.

Er vindt gegevensuitwisseling plaats tussen o.a. de Belastingdienst, het Centraal Justitieel Incasso Bureau, het UWV en gemeenten.

Welke gegevens er precies worden uitgewisseld wordt niet aan de grote klok gehangen. En waarom deze gegevens bij de verzekeraars moeten liggen is ook volstrekt onduidelijk.

Kortom, er is totaal geen wet- en regelgeving en toezicht welke patientgegevens NIET bij commerciele bedrijven terecht mogen komen.

Er is een uitspraak gedaan dat het BSN nummer is voor overheidsdiensten en niet voor private ondernemingen. Wat tot heden is bedacht voor het EPD is op basis van het BSN nummer. Dus niet bruikbaar voor de zorgverzekeraars.

En microsoft heeft straks een dikke vinger in de pap .. no way..
er zijn plenty open source oplossingen als het dan perse moet

Voorbeelden van datalekken, een negatief aspect van - naar ik maar mag aannemen - goedbedoeld koppelen van gegevensbestanden, zijn er namelijk te over. Wat denkt u bijvoorbeeld van een medewerker van de verslavingskliniek die een e-mail stuurde met daarin de namen van honderd patiënten leesbaar in het bericht. Of de bibliotheek van een hogeschool die alle gegevens van haar studenten via het internet inzichtelijk had staan. Nee, zolang korpschefs nog steeds 'out of the blue' beginnen te roepen dat mijn DNA-gegevens in de databank van het Nederlands Forensisch Instituut moeten worden opgeslagen, heb ik beperkt vertrouwen in de kennis van de overheid op het gebied van mijn privacy.

Ook in de politiek heeft privacy nog veel te weinig aandacht. Waar blijft die meldplicht voor datalekken die al jaren in de planning zit. Ja, als duizenden voicemails van ministers, burgemeesters en Kamerleden dankzij Vodafone op straat blijken te liggen, dan staat het land op zijn kop. Concurrent KPN heeft overigens een van de grootste internetknooppunten ter wereld overgenomen. Het is toch een behoorlijk risico dat een commercieel bedrijf de controle heeft over de gegevens die ik over het internet verstuur. Wat vindt de politiek hiervan? Beseffen politici zich wel welke mogelijke gevaren dit met zich meebrengt? Ik denk niet dat de stakeholders van KPN staan te trappelen om net als hun vrienden bij Vodafone een persbericht uit te geven, mocht er ooit een keer een datalek ontstaan.

Laten wij met zijn allen privacy beleid eens hoog op de agenda zetten.

Als ieder zijn eigen huisarts en apotheek heeft en bij maar één of twee ziekenhuzien hoeft te worden behandeld is er geen landelijk EPD nodig. Bovendien is de opbouw van kennis over de patient groter als die door een beperkt aantal profesionals wordt behandeld. Het risico dat door versnippering fouten worden gemaakt is kleiner.

Ik snap het zorgverzekeraars hun klanten naar de goedkoopste behandelplaats / behandelaar willen sturen, maar dit brengt extra reis- en tijdkosten voor de patienten met zich mee.

Betrouwbaarheid van gegevens, een beperkte set van gegevens en een beperkte set van zorgverleners per patiënt lijken als zeer belangrijk voor de kwaliteit van de zorg.

Starten met schonen van de huidige systemen en zorgdragen dat ze structureel schoon en actueel blijven. Dit levert al meteen kwaliteitverbetering van de betrouwbaarheid van de gegevens. Daarvoor hebben we geen duur landelijk uitwisselsysteem nodig.

Het College Bescherming Persoonsgegevens (CBP) heeft vastgesteld dat op een aantal punten de Wpg is overtreden met het landelijk EPD.

Het probleem met geen toegang voor keuringsartsen en bedrijfsartsen is ook nog niet opgelost. Het landelijk EPD levert extra werklozen op.

De kosten bestaan uit ontwikkelkosten en de jaarlijkse beheerkosten.

De ontwikkelingskosten bestaan uit projectkosten, beveiligingskosten, machinekosten, infrastructuurkosten, verbindingkosten, softwarekosten, aansluitkosten, trainingskosten, ontwikkelen procedure kosten, communicatiekosten. Veel wordt gedaan door ingehuurde consultants, waarbij vertrek hun kennis grotendeels wordt verloren.

De jaarlijkse beheerkosten zijn een veelvoud van de ontwikkelingskosten. De beheerkosten bestaan uit de kosten voor machines, infrastructuur en verbindingen en de organisatie en beheermedewerkers. Daarboven komen nog de kosten van security dit bij deze systemen ook extreem moeten zijn.

Toon eerst maar eens aan hoeveel dit gaat kosten. In UK zijn schattingen in de orde van miljarden.

De kosten voor de burger gaan omhoog dat is wel duidelijk. Er is niets dat straks minder geld gaat kosten.

Er zijn een aantal dingen niet geregeld:

- Geen toezicht, handhaving en sancties verankerd in een wet.

- Geen recht op inzage en recht op een afschrift door patient verankerd in een wet.

- Niet mogelijk dat een patiënt een verzoek kan doen tot overdracht van gegevens tussen zorgverleners onderling.

- Geen zeggenschap over eigen medisch dossier door patient

Het EPD is opgezet vanuit lekker verkopen en cashen en dus heeft het uberhaupt al geen bestaansrecht. Normaliter wordt ontwikkeld vanuit een vraag of probleem in de markt en zou het product een middel moeten zijn om een bepaald probleem (deels) op te lossen.

Kortom is geen harde, onderbouwde business case.

In het EPD staat het hele medische verleden, terwijl die informatie helemaal niet noodzakelijk is voor een goede behandeling. In een medisch dossier staat alleen hele belangrijke informatie (allergieën etc) en de informatie die van daadwerkelijk belang is voor de huidige behandeling.

Naar schatting zullen er over enkele jaren tussen de 200.000 en 300.000
UZI-passen in omloop zijn. Mijn eigen schatting komt veel hoger uit.

Onwetend ben ik wie allemaal mijn medische gegevens inkijken.

Dit zouden de rechten van de patient zijn, maar is in de praktijk niet geregeld:
• Iedere zorgverlener moet toestemming aan de patiënt vragen voordat zijn of haar gegevens
worden opgevraagd.
• De patiënt kan via internet (met behulp van een verbeterd DigiD: DigiD+), een klantenloket of de zorgverlener inzage krijgen in de eigen medische gegevens en kan ook inzien welke zorgverlener wat voor gegevens heeft opgevraagd.
• De patiënt kan bepaalde zorgverleners de toegang weigeren tot zijn of haar gegevens
• De patiënt kan bepaalde gegevens laten afschermen, in overleg met de zorgverlener.
• De patiënt kan bepaalde gegevens laten vernietigen, via de zorgverlener.
• De patiënt kan weigeren dat zijn of haar medische gegevens via het EPD worden uitgewisseld (bezwaar maken).
• De patiënt kan bepaalde gegevens laten wijzigen, via de zorgverlener.
- Wat te doen bij conflicterende gegevens, uiteenlopende interpretaties en fouten in de behandeling?

Veel zorgverleners niet getraind zijn in informatiebeveiliging: een zorgvuldige omgang met logins, wachtwoorden, passen en authenticatie van patiënten. Bij onvoldoende controle op de identiteit van een patiënt kan bijvoorbeeld een onverzekerde zich als iemand anders voordoen, waardoor er verkeerde gegevens komen te staan in het medisch dossier van de laatste – met alle risico’s van dien.

De zorgverzekeraar krijgt gegevens uit het EPD wanneer dit noodzakelijk is voor de uitvoering van zorgverzekeringen. Niet gedefinieerd is wat "noodzakelijk" is. Zo-wie-zo moet een zorgverzekeraar geen toegang hebben tot het EPD.

Ik ga ervan uit dat diegenen die WEL meedoen aan het EPD WEL de kosten / premie verhoging betalen

En dat diegenen die NIET meedoen ook GEEN kosten / premie verhoging betalen.

De organisatie die de infrastructuur voor het EPD beheert zou jaarlijks 10 miljoen kosten. Dit is maar één van beheerposten. Er zijn nog meer kosten.

Binnen de ICT bestaan geen 100% garanties. Verzoek maar eens een ICT bedrijf dit contractueel vast te laten leggen.

Ik ben niet van plan mijn medische gegevens aan een commercieel bedrijf af te staan.

De gegevens die nu centraal zijn opgeslagen moeten vernietigd worden.

Minster Schippers heeft wel een evaluatie toegezegd van het landelijk EPD project door een onafhankelijke commissie. Die moest voor de zomer lessen trekken uit het mislukken van dit grote ICT-project van de overheid.

Wie weet waar het rapport te vinden is van deze onafhankelijke commissie?

Medische gegevens opslaan door een commercieel bedrijf zonder toezicht van is nog onveiliger dan als het van de overheid is.

Dan geldt: wie betaald, bepaald.

Graag zou ik eerst antwoord hebben op de vragen:
- Wie kan er in het systeem en hoe is de controle?
- Hoe is de beveiliging geregeld?
- Wat zijn de rechten en plichten van de burgers?
- Wat zijn de rechten en plichten van
diegene die het EPD ontwikkelt en beheert?

Ik heb de "Architectuur van een vierde generatie EPD uitgesplitst in componenten" door Guido van de Logt, lid raad van bestuur, Canisius-Wilhelmina Ziekenhuis Nijmegen bekeken.

Beschamend wat hier als architectuur wordt gepresenteerd. Dit getuigt van zo weinig verstand hebben van architectuur van systemen. Het beste is meteen in de prullemand ermee. Op deze "architectuur" kun je nooit een implementatieproject draaien. Iedere project manager zal dit weigeren.

Deelnemers in het EPD project zijn o.a.

IHE, Integrating the Healthcare Enterprise is een internationaal samenwerkingsverband tussen gebruikers en leveranciers van ICT in de zorgsector. IHE vindt zijn oorsprong in de Verenigde Staten, waar het in 1997 opgericht werd door de Healthcare Information and Management Systems Society (HIMSS) en de Radiological Society of North America (RSNA). Inmiddels is IHE, naast de Verenigde Staten, actief in Canada, Japan, Korea, Australie en diverse andere landen waaronder Nederland.

De Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie (KNMP) heeft als deelvereniging de Nederlandse Industrie Apothekers vereniging. Dit is de Farma industrie, die op commerciele basis medicijnen ontwikkeld en verkoopt. Deze internationale industrie heeft veel belang bij een EPD vanuit commercieel oogpunt: welke medicijn moet extra aandacht krijgen omdat de verkoop achter loopt, welke ziekte moet meer gediagnosticeerd worden.

De zorg heeft al jaren internationale standaarden voor patiëntgegevens, zoals HL7, die vrijwel algemeen toegepast worden. Zorginstellingen kunnen dus al jaren gegevens uitwisselen. Maar, zoals het EPD bewijst, dat willen ze niet! Het gaat om concurrentieoverwegingen. De grootse bedreiging van de privacy van het EPD is niet dat de psychiatrische dossiers van bekende Nederlanders lekken naar RTL Boulevard. De grootste bedreiging is dat iedereen die weet hoe je een SQL query maakt, precies kan zien hoe goed en hoe kosteneffectief welke zorginstelling of medicus is. Met marktwerking in zicht voorwaar geen prettig idee. De deelnemers aan het EPD willen dan ook helemaal niet deelnemen, Concurrenten willen gewoon niet samenwerken, ook niet als het moet vanwege een computersysteem.

Een groot systeem is nu per definitie kwetsbaarder dan een klein systeem. Het aanvalsoppervlak en de bedreiging (het rendement van een gerichte aanval) groeit exponentieel wanneer de omvang lineair groeit. En de beveiligingskosten groeien evenzeer exponentieel. De enige bestuurlijke oplossing voor dat probleem is de veiligheidsmaatregelen weg te laten en het gat te vullen met loze praatjes.

de EU wil Europese bedrijven in de e-health sector ondersteunen. Dat is nodig, omdat Microsoft en Google zich op de eHealth gestort hebben, en de Europese bedrijven niet tegen deze giganten op kunnen.

Alleen slechte ondernemers met een mager plan hebben subsidie nodig. Helaas is het gemakkelijker om subsidie van Brussel of Den Haag te krijgen dan om een goed ondernemer met een goed plan te zijn.

Door internationale standaardisatie van het EPD krijgen Europese ICT-bedrijven een duwtje in de rug en daar is ongetwijfeld stevig voor gelobbyd. Implicatie is dat buitenlandse bedrijven hierdoor ook meer toegang tot de Europese markt. Het EPD technisch te standaardiseren zal heus niet helpen om Google en Microsoft te verslaan. Microsoft of Google staan niet bekend als besten op het gebied veiligheid en privacy. Je kunt je afvragen of bedrijven in Europa zoveel beter zijn als Microsoft en Google op het gebied van privacy en veiligheid.

Intussen wordt de privacy en veiligheid van de burgers opgeofferd ten faveure van de Europese ICT-bedrijven.

een fictief maar erg plausibele situatie:

*dame1 aan de telefoon* goedemiddag met huisartsenpraktijk "met de beste bedoeling" wat kan ik voor u doen?

*Dame2, aan de andere kant van de lijn* Hy, je spreekt met J.okkenbrok van ziekenhuis weetnietwaar, we hebben patiënt jan jansen binnen gekregen, nee niets ernstigs maar we hebben even zijn dossier nodig ivm de testen, maar het EPD ligt bij ons weer plat, ja computers he.. zou jij ons kunnen helpen?

*dame1* Ach, is het weer zover? Altijd wat computers.. heb je naam en geb.datum voor me?

*Dame2* Ja, die jongens van de ict zijn er mee bezig zeggen ze.. zucht.
Hier komen de gegevens, ik mail ze nu naar je toe. (Dame2 mailt de naam + geb.datum naar dame1)

*Dame1*, ja ik zie het binnen komen, ik zal je wel snel even helpen, als collegas onder elkaar... Ik mail NU zijn dossier even naar je toe.

*Dame2* Dankje wel!!


Niet de ICT lekker is 1 probleem, de situatie zoals hierboven omschreven is erg reëel!!
ALS de verzekeraars al geen toegang hebben tot de gegevens komen ze er op zo'n manier wel achter..

Er is altijd de zwakke schakel, de mens. Die is naïef of omkoopbaar (of beide).

"De nieuwe opzet kost ongeveer 10 miljoen euro voor het jaar 2012. De zorgverzekeraars hebben zich bereid verklaard de kosten te dragen"

Die verzekeraars willen wel een *return on investment* natuurlijk!! Die leggen niet zomaar 10mil op tafel....

De verzekeraars willen de kosten op zich nemen?? Ja deuh.... Dat hebben ze nu al doorberekend aan ons terwijl t niet vaststaat dat t akkoord er komt!

Ik wens een ander niet graag ellende toe, maar in dit geval maak ik een uitzondering:
Ik wens alle tegenstanders toe dat een van hun dierbaren eens met een medische situatie geconfronteerd wordt, waarin de artsen tegen U moeten zeggen: We hebben helaas nog niets voor uw dierbare kunnen doen, want we hadden geen historische gegevens van u.
Ik ben helaas in de afgelopen weken tot twee keer toe met een dergelijke situatie geconfronteerd geworden, bij twee verschillende personen.

Dat een EPD goed beveiligd dient te worden, staat als een paal boven water. Maar als ITer, en belast met dit soort zaken, durf ik te stellen dat het grootste gevaar van IT beveiliging niet de techniek is, maar de mens. En doel ik zowel op de ontwikkelaar, waarvan het meedenk nivo de laatste jaren steeds meer te wensen overlaat (wat de klant niet vraagt, bouw ik niet) als de gebruiker (leen me je wachtwoord even).
En dan maakt het niet meer uit, of het over een papieren dossier of over een electronisch dossier gaat.

@9
Ik kan me herinneren dat er zelfs al een rechtzaak is gevoerd in de strijd welke ICT-boer het mag doen...
Toch?

Was het niet PinkRoccade (inmiddels overgenomen door CAP-gemini)

@44
Vandaar alvast de verhoging van de premie?

@14
"In NL heeft sinds 2008 een kaalslag aan senior ICT-ers plaats gevonden. Vele zijn ontslagen of werk is vertrokken via outsourcing naar het verre buitenland.

Dus er zijn weinig goede NL ICT-ers voorhanden met ervaring en kennis."

Precies.
Die mensen zijn er nog wel, die zitten zo langzamerhand in de bijstand na 3 jaar WW.
Maar het werk kon veel goedkoper en daar plukken we nu de wrange vruchten van.
Mijn vader riep het altijd al, goedkoop = duurkoop.
Het LIJKT goedkoper het werk naar India te brengen, maar daarvoor in de plaats betaal je WW en bijstand aan de Nederlandse krachten én je krijgt software waar niet over nagedacht is.

@47 yep.