Column


IT-jurist Peter van Schelven over...

De security van het Landelijk Schakelpunt

Afgelopen dinsdag heeft het Gerechtshof Arnhem-Leeuwarden in een hoger-beroepszaak zijn zegen gegeven aan de privacy- en security-voorzieningen van het zogeheten Landelijk Schakelpunt (LSP). In een uitvoerig gemotiveerde uitspraak komt het hof tot de beslissing dat er niets onrechtmatigs kan worden ontdekt aan het LSP, het platform waarmee – kort gezegd – elektronische uitwisseling van bepaalde medische gegevens tussen artsen en apotheken in ons land plaatsvindt.

De rechterlijke uitspraak stelt de continuïteit van het LSP - althans voorlopig – veilig en getuigt van wijsheid. Dit is mede de verdienste van mr. Hester de Vries, de gereputeerde Amsterdamse privacy-advocate die met klasse het belang en de positie van het LSP heeft verdedigd. Zij heeft zich laten bijstaan door haar kantoorgenoot mr. Maarten Goudsmit.

Kloppend hart
Iets minder dan tien miljoen mensen in ons land hebben hun arts of apotheker toestemming gegeven om bepaalde medische gegevens met andere zorgverleners uit te wisselen. Dat is praktisch en nuttig wanneer ik bijvoorbeeld in de avond of het weekend een vervangende arts moet raadplegen of een vreemde apotheek mij medicatie moet verstrekken. Negen van de tien eerstelijns zorgverleners en ziekenhuizen zijn aangesloten op het LSP, dat in zekere zin de opvolger van het geflopte landelijke EPD is. Het LSP vormt met zo’n één miljoen berichten per week het kloppend hart van het medisch berichtenverkeer binnen de zorginfrastructuur.

De VPH, een vereniging van een aantal praktijkhoudende huisartsen, bekritiseert al enige tijd het LSP. Zij meent met name dat het LSP onverenigbaar is met de medische wetgeving en de Wet bescherming persoonsgegevens (Wbp). De VPH is als eisende partij in de procedure tegen VZVZ, de partij die het LSP landelijk in de lucht houdt, voor meerdere juridische ankers gaan liggen. Evenwel kon geen enkel standpunt van de VPH de rechters van het hof overtuigen.

Passende security
Een van de centrale stellingen van de VPH was de gedachte dat de zorginfrastructuur onvoldoende veilig zou zijn ingericht. Anders dan de VPH oordeelde het hof echter dat uit de privacywet niet volgt dat VZVZ de hoogst mogelijke beveiliging dient na te streven. Het hof zegt letterlijk: “…het feit dat een ander beveiligingsniveau mogelijk is en/of door VPH c.s. wenselijk wordt geacht nog niet maakt dat VZVZ onrechtmatig handelt.” Die juridische passage is volkomen juist. De Wbp kent immers ‘slechts’ de verplichting om ‘passende technische en organisatorische’ security-maatregelen te treffen. Hoewel het wettelijke begrip ‘passende’ bedoeld is om aan te geven dat security ‘state of the art’ behoort te zijn, gaat dit niet zover dat steeds de zwaarste of duurste maatregelen moeten worden ingezet. Voor medische gegevens is dat in beginsel niet anders.

Technische norm
Het hof duikt diep de techniek in, daar waar het ingaat op de betekenis van NEN7512, de technische norm die betrekking heeft op de elektronische communicatie in de zorg en waarvan de laatste versie in 2015 is verschenen. Zo meent het Hof dat de VPH niet goed heeft onderbouwd dat VZVZ de totale communicatieketen onvoldoende beveiligd zou hebben. De rechters leren ons dat uit NEN7512 niet valt op te maken dat over de gehele keten sprake moet zijn van end-to-end encryptie. Zij komen tot die conclusie door de conceptversie van de vernieuwde norm nauwgezet te vergelijken met de tekst van de definitieve versie uit 2015. Dus: de advocaat die een security-zaak wil winnen moet niet alleen de letterlijke tekst van de toepasselijke technische normen kennen, maar ook de totstandkoming ervan. Dat vergt specifieke expertise. Het gerechtshof voegt hier bovendien aan toe dat ook de voorlaatste versie van de NEN-norm - uit 2005 - niet de eis van end-to-end versleuteling van de volledige communicatieketen kende. Dat niet alle processen bij het LSP met encryptie worden uitgevoerd is in de ogen van het Hof dus geen probleem.

Uitgebreid gaat de uitspraak ook in op de noodzakelijke waarborgen op het vlak van authenticatie. Daarover oordeelt het hof dat de gegevensverstrekkende huisarts de identiteit van de ontvanger met voldoende zekerheid kan vaststellen. Het hof ziet wat dat betreft geen bezwaar in de tussenkomst van het LSP.

Misbruik
Ook het risico dat de voor het inloggen op het systeem benodigde pas en pincode door een ander kunnen worden misbruikt, maakt, aldus het gerechtshof, nog niet dat het gekozen beveiligingssysteem onvoldoende is. In dat verband kent het hof een zekere betekenis toe aan het feit dat een huisarts die onverhoopt ongeautoriseerd zou inloggen tuchtrechtelijk over de schreef gaat. Kortom, het zwaard van het medisch tuchtrecht maakt in die visie deel uit van de security. Zo worden ‘techniek en recht’ dus mooi en vloeiend in elkaar verweven.

 


Lees meer over