< 30 > BEVEILIGING BERICHTUITWISSELING IN DE ZORG

Transcriptie

1 BEVEILIGING BERICHTUITWISSELING IN DE ZORG CASUS: HET LANDELIJKE ELEKTRONISCH PATIËNTEN DOSSIER (EPD) door Jacob Moehn, Dit artikel zal enkele beveiligingsaspecten bij elektronische gegevensuitwisseling nader uitwerken aan de hand van een casus: het landelijke Elektronisch Patiënt Dossier (EPD), zoals dat momenteel wordt gerealiseerd onder de regie van het Ministerie van Volksgezondheid, Welzijn en Sport (VWS). Dit artikel is een bewerking van een presentatie die op 12 april 2007 op het congres van Proces tot Punthaak werd gegeven [1]. < 30 > 4 De opbouw van het artikel is als volgt: allereerst komt aan de orde wat informatiebeveiliging is en wat het landelijke Elektronisch Patiënten Dossier (EPD) is. Vervolgens komen de belangrijkste technische architectuurkeuzes aan bod die van belang zijn voor de informatiebeveiliging, hun consequenties en de lessons learned. Tot slot zijn enkele toekomstige ontwikkelingen besproken zoals toepassing van elektronische handtekeningen. Wat is informatiebeveiliging? Om de beveiliging van het landelijke EPD goed te kunnen omschrijven, geeft deze paragraaf eerst een gecomprimeerd antwoord op de vraag wat informatiebeveiliging is. Een veel gehanteerde definitie van informatiebeveiliging is hieronder weergegeven. Informatiebeveiliging is het geheel van preventieve-, repressieve- en herstel maatregelen evenals procedures welke de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie garanderen met als doel de continuïteit van de organisatie te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald, niveau te beperken. ( Bro n: ) Het geheel van maatregelen uit deze algemene definitie is zeer divers en niet beperkt tot ICT of techniek. Het gaat ook over organisatorische aspecten zoals functiescheiding en wet en regelgeving. Dit blijkt ook uit de indeling van het vakgebied door de internationale vereniging van informatiebeveiligingsdeskundigen ISC2 ( ) in de vorm van een zogenaamde Common Body of Knowledge : n Toegangsbeveiliging (logisch) n Telecommunicatie- & netwerkbeveiliging n Beveiligingsbeheer n Operationele beveiliging n Applicatiebeveiliging n Cryptografie n Beveiligingsarchitectuur n Continuïteitsplanning n Wetgeving, onderzoek & ethiek n Fysieke beveiliging De formulering continuïteit van de organisatie geeft aan dat men maatregelen en de daarmee gepaard gaande kosten moet relateren aan de primaire processen van een organisatie en de te beveiligen informatie. Vandaar dat er binnen de zorg specifieke definities zijn opgesteld zoals de volgende: Onder informatiebeveiliging in de zorg wordt verstaan: het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die benodigd is om patiënten verantwoorde zorg te kunnen bieden. (Bron: ) Zoals vermeld gaat het bij informatiebeveiliging om veel meer dan technische maatregelen en moet het een verankering hebben in een organisatie. Een bekende standaard daarvoor is de Code van Informatiebeveiliging, de Nederlandse versie van de BS 7799 [2]. Binnen de zorg is op basis van deze standaard NEN7510 als norm opgesteld voor informatiebeveiliging waarin een vertaalslag is gemaakt voor specifieke organisatievormen binnen de zorg [3]. Het zal duidelijk zijn dat invoering van een dergelijke norm binnen een academisch ziekenhuis anders aangepakt moeten worden dan in een huisartsenpraktijk waar 3 personen werken. Andere aandachtspunten zijn toezicht, auditing en certificering. Het is goed dat er een inhoudelijke norm is uitgewerkt, maar hoe gaat het toezicht op naleving van deze norm vorm krijgen voor alle zorgaanbieders? Niet alleen diversiteit in organisaties maar ook de te beveiligen gegevens maken informatiebeveiliging

2 in de zorg complex: n Van wie zijn de gegevens? Van de patiënt of van de zorgaanbieder? Dit is een essentiële vraag als het gaat om informatiebeveiliging en deze vraag wordt door landelijke uitwisseling alleen maar belangrijker en tegelijkertijd lastiger om te beantwoorden. n Verder zijn er tegenstrijdige randvoorwaarden tussen enerzijds de borging van de privacy en anderzijds de snelle toegankelijkheid van informatie in een medisch spoedeisende situatie. n Welke informatie is privacygevoelig? Hierover wordt ook door patiënten heel verschillend gedacht. n Wat zijn de risico s van aggregatie (= de toename van de gevoeligheid van informatie door het combineren van meerdere gegevens die afzonderlijk minder gevoelig zijn) door landelijke uitwisseling van gegevens? n Wat is refererend aan de definitie een v ooraf bepaald acceptabel risico van beveiligingsincidenten in de zorgsector waar een verkeerd medicatievoorschrift fatale gevolgen kan hebben? Beantwoording van deze vragen valt buiten de scope van dit artikel maar illustreert dat het laatste woord voorlopig niet gezegd is over informatiebeveiliging in de zorg. Het voordeel van het landelijke EPD is in ieder geval dat de discussie gevoerd wordt en dat de uitgangspunten inzichtelijk worden. Nu wordt vaak op regionaal niveau al informatie uitgewisseld zonder dat inzichtelijk is welke randvoorwaarden hierbij gelden. Organisatorische context landelijke Elektronisch Patiënt Dossier Wat is het landelijke EPD eigenlijk? Het betekent niet dat er een centrale database wordt ingericht. Het EPD is een virtueel dossier. De zorgverlener kan via een Landelijk SchakelPunt (LSP), relevante gegevens over een patiënt opvragen uit de dossiers van andere zorgverleners. Een belangrijke architectuurkeuze is dat er geen inhoudelijke gegevens centraal worden opgeslagen en dat de bron van de gegevens de verantwoordelijke zorgaanbieder blijft, die vaak lokaal al een eigen EPD heeft. De motivatie hiervoor is dat de Wet op de Geneeskundige Behandel Overeenkomst de verplichting tot het bijhouden van een dossier bij de behandelend zorgverlener legt. Figuur 1: Partijen betrokken bij het landelijke EPD de Sectorale Berichten Voorziening in de Zorg (SBV-Z), en NICTIZ. In het zorgveld gaat het om de koepelorganisaties, zorgaanbieders en ICT leveranciers. De rol van deze partijen is hieronder kort toegelicht. Het ministerie van VWS Het ministerie van VWS coördineert de uitrol van het landelijke EPD via de Implementatie Organisatie en is daarnaast uiteraard verantwoordelijk voor wet- en regelgeving en toezicht. Zie verder: nl/dossiers/elektronisch-patienten-dossier/hoofdstukken-emdwdh/default.asp. Unieke Zorgverlener Identificatie-register Vanuit beveiligingsperspectief speelt het Unieke Zorgverlener Identificatie Register, kortweg UZI-register ( ) een centrale rol als zogenaamde Certificate Service Provider. Het is de organisatie die de unieke identificatie van zorgaanbieders in Nederland mogelijk maakt. Hiervoor geeft het UZI-register een soort elektronisch zorgpaspoort uit -de UZI-pas- en servercertificaten voor systemen (applicaties, servers en websites). In figuur 2 zijn de belangrijkste processen, producten en diensten van het UZI-register weergeven. Het UZI-register registreert zorgverleners en geeft na Het landelijke EPD wordt gefaseerd gerealiseerd. Er is gestart met een pilot voor een landelijk Waarneem Dossier voor Huisartsen (WDH). Momenteel is ook een pilot gestart voor een landelijke Elektronisch Medicatie Dossier (EMD). Bij invoering van het landelijke EPD zijn veel partijen betrokken zoals in de figuur 1 is weergegeven. Centraal zijn het ministerie van VWS, het agentschap CIBG dat twee diensten levert via het UZI-register en Figuur 2: Processen, producten en diensten van het UZI-register < 30 > 5

3 < 30 > 6 succesvolle controle van de aanvraaggegevens een UZI-pas uit en/of een servercertificaat. Met deze UZIpas kan een zorgverlener zich authenticeren bij het LSP om gegevens aan te melden of op te vragen. Een belangrijke dienst is het verstrekken van statusinformatie over certificaten: certificaten kunnen ingetrokken worden, bijvoorbeeld na verlies van een UZI-pas, en deze statusinformatie is on-line beschikbaar via zogenaamde Certificate Revocation Lists en een Online Certificate Status Protocol-dienst. Het UZI-register valt onder de structuur van de PKI voor de overheid ( www. pkioverheid.nl ) waardoor onafhankelijk toezicht wettelijk verankerd is in de Wet op de Elektronische Handtekening. Het beleid en de uitvoering daarvan is volgens een voorgeschreven formaat beschreven in een tweetal publiek beschikbare documenten: de Certificate Policy (CP) en het Certificate Practice Statement (CPS). Sectorale Berichten Voorziening in de Zorg De Sectorale Berichten Voorziening in de Zorg biedt de zorgsector de mogelijkheid om het BSN (burgerservicenummer) van patiënten op te vragen en te verifiëren. De SBV-Z is evenals het UZI-register een onderdeel van het agentschap CIBG. Het SBV-Z is niet alleen een technische voorziening maar coördineert ook de invoering van het BSN in de zorg. Een nieuw algemeen gebruikt identificerend nummer voor patiënten is een randvoorwaarde voor het landelijke EPD en raakt uiteraard het zorgproces op alle niveaus. Zie verder: NICTIZ H et Nationaal platform ICT in de Zorg heeft de specificaties van de landelijke basisinfrastructuur in de zorg bekend onder de naam AORTA- opgesteld en onderhoudt deze. Deze specificaties zijn beschikbaar op Het zorgveld is globaal via de volgende partijen betrokken bij het landelijke EPD: n Koepels : Hierin zijn de diverse beroepsgroepen vertegenwoordigd om medische expertise in te brengen over de zorgprocessen, de relevante gegevens en de gewenste functionaliteit voor bepaalde dossiers van het landelijke EPD. Ook de patiënten zijn vertegenwoordigd via koepelorganisaties. n Zorgaanbieders : Uiteraard krijgen zij in hun dagelijkse werkproces te maken met het landelijke EPD. Zij zullen het burgerservicenummer moeten invoeren in hun administratieve systemen en moeten verifiëren via Sectorale Berichten Voorziening in de Zorg, gegevens moeten aanmelden en opvragen via het Landelijke Schakelpunt waarbij ze zich authenticeren met een UZI-pas of servercertificaat. n Leveranciers spelen een centrale rol bij het realiseren van de technische aanpassingen aan systemen om deze geschikt te maken voor berichtuitwisseling op landelijke schaal. Vanuit beveiligingsperspectief maakt de geschetste organisatorische context duidelijk dat er veel partijen zijn die ook ieder specifieke belangen en wensen hebben ten aanzien van het EPD. Architectuur landelijke Elektronisch Patiënt Dossier Centraal in de landelijke infrastructuur staat de zogenaamde zorginformatiemakelaar (ZIM). Daarop kunnen zorgaanbieders hun zorginformatie systemen (ook wel XIS en genoemd) aansluiten, als zij voldoen aan bepaalde eisen. Die aansluiting vindt plaats via data communicatienetwerken (DCN), die worden geëxploiteerd door zorgserviceproviders (ZSP). Uit deze omschrijving blijkt meteen een ontwerpkeuze: vooralsnog is het landelijke EPD alleen benaderbaar via een besloten netwerk, zoals deze nu ook al veelvuldig in gebruik zijn binnen de zorgsector. Daarnaast zijn er duidelijke eisen gesteld aan applicaties en implementatie. Voor het uniek identificeren van patiënten binnen het landelijke EPD zal het burgerservicenummer (BSN) gebruikt worden dat via de Sectorale Berichten Voorziening in de Zorg (SBV-Z) opvraagbaar is. Voor zorgaanbieders en zorgsystemen wordt gebruik gemaakt van het UZI register. Figuur 3 toont op vereenvoudigde wijze hoe zorgaanbieders vanuit hun eigen toepassing op landelijke schaal gegevens met elkaar kunnen uitwisselen. De belangrijkste functies van de ZIM zijn in figuur 3 als volgt afgekort: n AUT (authenticatie), n SCH (Schakelpunt, de routeringsfunctie van XMLberichten), n VWI (VerWijsIndex, een tabel met verwijzingen waar patiëntgegevens beschikbaar zijn voor opvraag), n I&A (Identificatie & Authenticatie) en n LOG (LOGging van het raadplegen van gegevens). Figuur 3: Technische architectuur AORTA (bron: NICTIZ)

4 Een informatieve film waarin de werking van het landelijke EPD, het gebruik van burgerservicenummer en de UZI-pas is geïllustreerd is te vinden op link EMD-WDH. Architectuurkeuzes en overzicht beveiligingsfuncties In de bovenstaande beschrijving zijn al enkele belangrijke architectuur keuzes en technische invullingen naar voren gekomen: n Gegevens blijven bij de decentrale bron. n Berichtenuitwisseling vindt plaats op basis van de HL7v3 standaard via SOAP over HTTP. n Er is persoonsgebonden authenticatie op basis van smartcard / x.509 certificaten. Het UZI-register voldoet als Certificate Service Provider (CSP) aan de wettelijke eisen voor elektronische handtekening (ETSI ). n Koppeling aan het LSP is alleen mogelijk via besloten netwerk van gekwalificeerde providers. In de onderstaande tabel is een overzicht gemaakt van de belangrijkste beveiligingsfuncties en de Beveiligingsfunctie / Omschrijving Identiteit (identity). Een token (=gestructureerde tekst) dat een entiteit uniek benoemt. Wie ben je? Authenticiteit (authentication). Zekerheid over andere partij en/of herkomst data. Hoe weet ik dat je bent, wie je zegt te zijn? Vertrouwelijkheid (confidentiality). Alleen bevoegden kunnen data lezen. Integriteit (integrity). Alleen bevoegden kunnen data wijzigen. Onweerlegbaarheid / elektronische handtekening (non-repudiation). Verzending en of ontvangst kan niet ontkend worden. Autorisatie (authorization). Wat mag iemand? Accounting Wat heeft iemand gedaan? manier waarop deze binnen het landelijke EPD zijn ingevuld. Autorisatie bij inzage van patiëntgegevens is vereist en moet aan de wettelijke randvoorwaarden voldoen. Op basis van het beroepsgeheim mag een behandelaar geen gegevens beschikbaar stellen aan derden tenzij de patiënt dit toestaat. Dit leidt tot de volgende criteria voor autorisatie bij het landelijke EPD: n Authenticatie van opvrager; n Autorisatie van opvrager; n Toestemming c.q. verklaring van geen bezwaar van de patiënt. Authenticatie vindt plaats op basis van een persoonsgebonden smartcard (UZI-pas). Figuur 4 illustreert welke informatie in het certificaat op de UZI-pas is opgenomen. Deze informatie wordt gebruikt voor de autorisatie door het LSP. De autorisatie vindt plaats in twee stappen: n UZI-nummer en beroep (rol) van de verantwoordelijke zorgverlener worden per interactie door het autorisatie protocol gehaald. Het landelijke autorisatieprotocol is algemeen en medisch van aard en Invulling beveiligingsfunctie binnen landelijke EPD De belangrijkste entiteiten worden als volgt geïdentificeerd: Voor patiënten is het burgerservicenummer het identificerende nummer. Voor zorgverleners is het UZI-nummer geïntroduceerd. Zorginstellingen zijn via een abonneenummer kenbaar. Het ZIM gebruikt SSL/TLS waarbij de zorgverlener zich authenticeert op basis van een UZI-pas. Dit geldt alleen tijdens transport op basis van SSL/TLS. Binnen de lokale systemen in encryptie niet voorgeschreven en ook de ZIM heeft toegang tot de onvercijferde bestanden voor logging en routering. Momenteel is integriteit alleen geregeld tijdens het transport op basis van SSL/TLS. Omdat de berichten zelf niet ondertekend zijn, wordt integriteit niet cryptografisch afgedwongen. Momenteel is NICTIZ bezig om de specificaties op te stellen voor de tweede fase van het Electronisch Medicatie Dossier. Hiermee zal het mogelijk zijn om elektronische medicatievoorschriften uit te wisselen, waarbij ook een rechtsgeldige elektronische handtekening aan de berichten wordt toegevoegd. Dit aspect is in de tekst iets uitgebreider toegelicht. Logging is een centrale functie in de ZIM. Centraal wordt gelogd wie welke opvragingen heeft gedaan. Daarbij worden geen medisch inhoudelijke gegevens gelogd maar alleen de referenties dossier, zorgverlener, patiënt. De inspectie zal een rol krijgen in het toezicht. In de toekomst zal het mogelijk zijn dat een patiënt zelf kan zien wie zijn dossier heeft geraadpleegd. < 30 > 7

5 < 30 > 8 Figuur 4: Informatie in het certificaat op de UZI-pas legt het inzagerecht vast zoals dat met de beroepskoepels overeengekomen is. n In combinatie met het burgerservicenummer wordt elke interactie die door het autorisatieprotocol heen komt, ook aan het autorisatie profiel van de patiënt getoetst. Het autorisatieprofiel legt het inzagerecht vast dat de patiënt heeft verleend. Voorafgaand aan de centrale autorisatie door de ZIM is er uiteraard lokale autorisatie nodig binnen de toepassing van de zorgaanbieder. Zoals geïllustreerd is in de vorm van de organisatie ook de zorgaanbieder opgenomen in de certificaten op een UZI-pas. In de lokale systemen is ook de mogelijkheid van mandatering opgenomen: een medewerker die namens een andere zorgverlener bepaalde activiteiten uitvoert. De medewerker heeft altijd een persoonsgebonden UZI-pas nodig, maar dat kan ook een zogenaamde Medewerkerpas op naam zijn waarin geen medische beroepstitel is opgenomen. Binnen de lokale applicatie dient bijvoorbeeld een arts een assistent te mandateren. De HL7-standaard ondersteunt dit door in het XML-bericht zowel een uitvoerende (performer) op te nemen als een verantwoordelijke (overseer). Op deze manier is de praktisch toegepaste werkwijze van mandatering binnen de zorg ook technisch ondersteund binnen het landelijke EPD. Lessons learned Het landelijke EPD is nog in een fase van de eerste pilots maar toch zijn er wel enkele lessons learned te noemen: n Wettelijke kaders en een normatief kader zijn noodzakelijk in een complexe organisatorische context waarin overheid, bedrijfsleven en burgers direct betrokken zijn. n Ketenregie is van groot belang. Denk bijvoorbeeld aan een eenvoudige eis met betrekking tot de overall performance voor eindgebruiker. Hoe lang mag het authenticatieproces voor de eindgebruiker duren? Stel dat is 10 seconden, hoe worden deze 10 seconden vervolgens verdeeld over vertragingstijden van het netwerk van de ZSP, de UZI-pas, de centrale Authenticatie service van de ZIM of de authenticatie module in de XIS applicatie? n Landelijke informatie-uitwisseling heeft direct impact op de werkprocessen van de eindgebruiker. Invoering van NEN7510 houdt o.a. in dat men altijd gebruik dient te maken van persoonsgebonden accounts. Binnen bijvoorbeeld een apotheek zal men echter vaak werken met gedeelde accounts voor bepaalde PC s om te zorgen dat meerdere assistenten efficiënt gebruik kunnen maken van dezelfde werkplek. n Release management in de hele keten is een uitdaging: kiest men voor loosely coupled deelsystemen of voor synchroonzwemmen met alle ketenpartijen? Gezien het grote aantal leveranciers in de zorgsector zijn nieuwe releases alleen mogelijk met een ruime overgangstermijn waarin oude en nieuwe release operationeel is. Hierdoor zal er interoperabiliteit moeten blijven bestaan tussen systemen die nog conform een oude release werken en systemen die al de nieuwe functionaliteit ondersteunen. n Zoals door veel IT-analisten wordt onderschreven, blijkt integratie van Public Key Technology (waarvan het UZI-register gebruik maakt) in de applicaties een uitdaging te zijn. Vooruitblik: conclusie en verdere ontwikkeling Nu de eerste pilots operationeel zijn, is er reden genoeg om te kijken naar toekomstige ontwikkelingen. Hieronder zijn er enkele genoemd: n Uiteraard komen er nieuwe zorgtoepassingen. Na een start met Waarneem Dossier Huisartsen en het Elektronische Medicatie Dossier zullen andere toepassingen (dossiers) volgen. n Landelijk uitrol. Hierbij gaat het niet om verbreding van functionaliteit maar van het gebruik: zorgen dat bijvoorbeeld het Waarneem Dossier Huisartsen en Elektronisch Medicatie dossier in heel Nederland gebruikt gaan worden. n Het EMD ondersteunt in de eerste fase alleen nog uitwisseling van medicatiegegevens. Momenteel werkt NICTIZ aan de specificaties voor elektronisch voorschrijven van medicatie. Hiervoor zal een rechtsgeldige elektronische handtekening onder berichten noodzakelijk zijn. n De patiënt zal inzage krijgen in de logging die van toepassing is op zijn gegevens. Welke zorgverleners hebben via de ZIM en VerWijsIndex gegevens opgevraagd. De patiënt moet in staat zijn om vast te stellen of dat terecht is geweest. Ook moet hij zijn persoonlijk autorisatieprofiel kunnen instellen. n De wet over BSN en het landelijke EPD moet nog van kracht worden. Voor de pilots is apart toestemming verleend. n Europese interoperabiliteit. Terwijl iedere lidstaat zijn eigen oplossing creëert, is de visie vanuit Brussel al geformuleerd: patient mobility and mobility of health care professionals binnen de hele Europese Unie. De beleidsmatige en juridische uitdaging

6 zijn hierbij waarschijnlijk groter dan de technische. Zie onder andere Referenties [1] Het project Bouwstenen voor berichtenuitwisseling tussen overheden ( ) had op 12 april 2007 een afsluitend Technisch symposium. Op dit symposium is namens het CIBG een casus gepresenteerd waarin specifiek is ingegaan op de beveiligingsaspecten bij berichtenuitwisseling. Presentaties van het Technisch symposium 12 april 2007 zijn beschikbaar op De presentatie over beveiliging is direct op te vragen via e-overheid.nl/data/files/berichtenuitwisseling/ Technisch%20Symposium%20-%20Beveiliging.pdf. Dit artikel is een vrije uitwerking van deze presentatie en is op persoonlijke titel van de auteur. Voor alle illustraties geldt de volgende bronvermelding: agentschap Centraal Informatiepunt Beroepen Gezondheidszorg, UZI-register ( ). [2] British Standard (BS) 7799 is de grondlegger van ISO/IEC en een standaard voor informatiebeveiliging. Naast doelstellingen, controls en best practices (deel 1) beschrijft BS 7799 in deel 2 een managementsysteem voor het beheer van informatiebeveiliging in de vorm van een Deming cirkel (de bekende Plan - Do Act Check stappen). [ 3] NEN 7510 is gebaseerd op de in april 2005 gepubliceerde revisie van de Code voor Informatiebeveiliging. De Code voor Informatiebeveiliging is internationaal geaccepteerd als ISO/IEC In een verklaring van de voorzitters van NEN normcommissies 'Beveiligingstechnieken', 'Informatiebeveiliging in de zorg' en het Centraal College van Deskundigen - Informatiebeveiliging, wordt de relatie van de documenten beschreven. Jacob Moehn is senior security consultant bij LogicaCMG met specialisatie op het gebied van Public Key Infrastructuren. Hij is ruim drie jaar als beveiligingsarchitect werkzaam bij het CIBG (UZI-register).