Elektronisch patiëntendossier: datadiefstal door hackers nog steeds mogelijk

Berlijn/Hannover. Kort voor de jaarwisseling van 2024/2025 kwam er abrupt een einde aan de vredige stemming onder de verantwoordelijken voor het elektronisch patiëntendossier (ePA): hackers van de Chaos Computer Club (CCC) demonstreerden op het jaarlijkse congres van de club hoe het nieuwe digitale systeem gehackt kon worden – zo dat er potentieel toegang kon worden verkregen tot miljoenen dossiers. De invoering van de ePA werd hierdoor aanvankelijk uitgesteld en ongeveer vijf procent van de verzekerden maakte aanvankelijk bezwaar tegen het gebruik ervan.

Het elektronisch patiëntendossier (ePA) is nu officieel ingevoerd en sinds 1 oktober verplicht voor zorgverleners. Ook de veiligheidsmaatregelen zijn de afgelopen maanden aanzienlijk verbeterd: Gematik, het federale agentschap voor digitale geneeskunde, heeft verschillende verbeteringen doorgevoerd naar aanleiding van rapporten van de Chaos Computer Club (CCC). Het hacken van de ePA is tegenwoordig moeilijker, maar niet onmogelijk.

De IT-experts van het CCC bekritiseren met name één detail dat de nieuw geïntroduceerde tool nog steeds kwetsbaar maakt. Volgens Gematik is er een oplossing in zicht – maar op zijn vroegst pas ergens volgend jaar.

Het is eindelijk zover: het elektronisch patiëntendossier is operationeel. Maar veel patiënten vragen zich nog af: hoe krijg je toegang tot het dossier? Wie bepaalt wie wat mag inzien? En: hoe veilig zijn de gevoelige gegevens?

Om het probleem te begrijpen, moet men begrijpen hoe het elektronisch patiëntendossier (ePA) werkt. Momenteel heeft iedereen die toegang wil tot het dossier van een patiënt een praktijkpas nodig – en ten tweede de volledige gegevens van de patiënt. Concreet: het kaartnummer, het zorgverzekeringsnummer, het adres en de ingangsdatum van de verzekering. Gematik heeft dit al aangepakt: de eerdere combinatie van kaartnummer en zorgverzekeringsnummer alleen is niet langer voldoende voor toegang. Bovendien hebben de ontwikkelaars, na kritiek van de Chaos Computer Club (CCC), het aantal mogelijke toegangen beperkt.

De drempels voor een aanval zijn daardoor aanzienlijk hoger geworden, maar niet onoverkomelijk. Gegevens zoals adressen kunnen mogelijk worden verkregen via datalekken , andere informatie via phishing. Tijdens het jaarlijkse congres van het CCC lieten IT-specialisten Bianca Kastl en Martin Tschirsich ook zien hoe ze zorgpasjes hadden verkregen door te bellen naar zorgverzekeraars – en zelfs dokterspasjes via een beveiligingslek. In april demonstreerden de hackers vervolgens opnieuw hoe het elektronisch patiëntendossier (ePA) kan worden aangevallen via de zogenaamde vervangende certificaatprocedure. Gematik dichtte vervolgens ook dit beveiligingslek.

Dit is echter nog steeds niet geheel bevredigend voor hackers: de manier waarop het agentschap omgaat met beveiligingslekken is "duidelijk voor verbetering vatbaar", vertelde Kastl aan RedaktionsNetzwerk Deutschland (RND). Om het risico effectief te minimaliseren, zou de IT-expert graag een zeer specifieke procedure voor het elektronisch patiëntendossier (ePA) zien.

Iedereen met een zorgverzekering kan zijn/haar elektronisch patiëntendossier op zijn/haar smartphone inzien en beheren. Maar slechts weinigen doen dat ook. Toch is het belangrijk om bijvoorbeeld gevoelige documenten te beveiligen.

"Momenteel is er maar een heleboel informatie nodig om toegang te krijgen tot een elektronisch patiëntendossier (ePA): kaartnummers, zorgverzekeringsnummers, adres en de datum waarop de verzekering is ingegaan", legt Kastl uit. "Het probleem zou kunnen worden opgelost door alleen ondertekende, authentieke gegevens van de zorgverzekeringspas te lezen. Dit zou cryptografische verificatie zonder twijfel mogelijk maken dat een door een zorgverzekeraar uitgegeven pas daadwerkelijk wordt gelezen – een veilige technologie bestaat dus al enige tijd, maar is nog niet gebruikt voor de ePA."

Volgens Gematik staat een dergelijke procedure nu gepland voor volgend jaar, zo liet het agentschap de RND weten. Een "Proof of Patient Presence" (PoPP)-procedure is gepland. Gevraagd naar het voorstel van de CCC voor een digitale cryptografische handtekening, antwoordde het agentschap: "Ja, een dergelijke procedure is gepland met PoPP." De ontwikkeling is echter nog in volle gang, dus er kunnen nog geen details worden verstrekt.

Technisch gezien zou het proces als volgt moeten werken: de patiënt steekt zijn of haar zorgpas in het apparaat bij de dokter, net als voorheen. In plaats van alleen de gegevens van de pas te lezen, draait er echter op de achtergrond een challenge-responseproces. De PoPP-service – onderdeel van het beveiligingssysteem – genereert een willekeurig nummer en stuurt dit naar de zorgpas. De pas versleutelt het nummer en stuurt het resultaat terug. Alleen als het willekeurige nummer correct is versleuteld, is de pas authentiek en fysiek aanwezig. De autoriteiten hebben aanvankelijk geen precieze startdatum voor 2026 genoemd.

Tot die tijd blijft er in ieder geval een restrisico bestaan. IT-experts wijzen herhaaldelijk op de gevaren die kunnen voortvloeien uit ontoereikende authenticatiemaatregelen binnen het elektronisch patiëntendossier (ePA). Kastl haalt een geval uit Singapore aan: "In 2018 werden daar de gezondheidsgegevens van 1,5 miljoen mensen geraadpleegd . Het doelwit was ook de medicatielijst van de premier." Gegevens van deze gevoeligheid maken dergelijke lekken "een risico voor hele naties", omdat ze aanvallen op andere kritieke infrastructuur of politici mogelijk maken, legt de expert uit.

Kastl noemt als ander voorbeeld de cyberinbreuk bij Bitmarck, een IT-dienstverlener voor wettelijke zorgverzekeraars en leverancier van het elektronisch patiëntendossier (ePA) in 2023. Bij deze inbreuk werden gegevens zoals namen, geboortedata en het unieke medische dossiernummer van de verzekeringspas van ongeveer 300.000 online klanten van verschillende zorgverzekeraars gecompromitteerd. IT-experts stelden destijds ook vast dat ontoereikende authenticatiemaatregelen een van de oorzaken van de inbreuk waren .

Voor particulieren kunnen dergelijke aanvallen ernstige gevolgen hebben. In Denemarken, een land met een veel digitalere infrastructuur, kregen daders via een consortium van medische praktijken toegang tot de meest persoonlijke gegevens van tienduizenden patiënten, waaronder medische dossiers. Allan Frank, IT-beveiligingsspecialist bij de Deense Autoriteit voor Gegevensbescherming, vertelde de RND destijds dat dergelijke vertrouwelijke gegevens gebruikt konden worden voor chantagepogingen – slechts weinigen van de getroffenen zouden immers willen dat hun behandelingen openbaar werden gemaakt.

In Duitsland voelen de meeste patiënten zich blijkbaar voldoende veilig met hun elektronisch patiëntendossier (ePA) – ondanks de tekortkomingen. Enkele weken geleden publiceerde Gematik geactualiseerde gebruikscijfers. Deze cijfers lieten een verdere stijging zien in de eerste vier weken, waarin huisartsenpraktijken, apotheken en ziekenhuizen de ePA voor iedereen moesten gebruiken.

In de laatste week van oktober werden 17,4 miljoen medicatielijstaanvragen geregistreerd. In de laatste week van september waren dat er 12,6 miljoen. Ook de populatie van patiëntendossiers neemt toe: alleen al in oktober werden 10,6 miljoen documenten geüpload. Het totale aantal sinds de introductie van het elektronisch patiëntendossier (ePA) bedraagt ​​37 miljoen.

Het percentage mensen dat bezwaar heeft gemaakt tegen het elektronisch patiëntendossier (ePA) blijft relatief laag. Zoals de GKV-Spitzenverband aan het nieuwsnetwerk RND meldde, ligt het bezwaarpercentage nog steeds rond de vijf procent.