Het nieuwe pinnen is verwarrend voor gebruikers.
Het nieuwe pinnen is verwarrend voor gebruikers. Het ‘oude’ pinnen was overal min of meer hetzelfde: je haalde je pas door de sleuf, typte je pincode in, controleerde het bedrag op het scherm en drukte op “ok”. Bij het nieuwe pinnen is het bij elk apparaat anders.
Volgens de officiële website van Het Nieuwe Pinnen gaat het als volgt. Eerst krijg je het bedrag te zien, waarbij je voor akkoord op “ok” moet drukken. Vervolgens met je je pincode invoeren en deze met “ok” bevestigen. Ook komt de oude variant nog voor, waarbij je eerst de pincode moet invoeren, vervolgens het bedrag krijgt te zien en voor akkoord op “ok” moet drukken. Soms moet je eerst aangeven of je met “chipknip” dan wel met “maestro” wilt betalen (ik vraag me af of iedereen wel weet wat “maestro” betekent). Tenslotte zijn er ook pinapparaten waarbij je het bedrag krijgt te zien, en meteen je pincode moet invoeren en voor akkoord op “ok” drukken. Er is dus geen aparte stap waarbij het bedrag wordt goedgekeurd. Dat zijn dus drie verschillende manieren om te pinnen. (En misschien zijn er nog wel meer… ik hoor het graag.) Bij geldautomaten is er ook iets veranderd: soms moet een pincode bevestigd worden door op de “ok” te drukken, soms ook niet.
Ik vind het maar verwarrend, en snap niet waarom de banken niet heel strikt hebben vastgelegd hoe pinapparaten werken, welke stappen daarbij doorlopen worden, en welke (gebruikersvriendelijke) informatie bij iedere stap aan de gebruiker getoond wordt. Voor gebruikers is het makkelijker als het nieuwe pinnen overal hetzelfde werkt. Dan maken ze minder snel fouten, en is het pinnen ook veiliger. Dat lijkt me ook in het belang van de banken.
Discussie over gebruik BSN is een achterhoedegevecht.
Het gebruik van het Burger Service Nummer (BSN) is sterk gereguleerd. In principe mag het alleen gebruikt worden door overheidsorganen, voor het uitvoeren van hun publieke taak. Soms is hier onenigheid over. Zo vind het CBP dat de ministeries het BSN niet mogen gebruiken in het uitgifteprocers van de Rijspas aan ambtenaren. Het ministerie van Binnenlanse zaken is het hier niet mee eens. Maar eigenlijk is dit een achterhoedegevecht dat de aandacht afleidt van de werkelijke problemen.
Een veilig en privacy-vriendelijk EPD. Kan dat?
Deze blogpost is gebaseerd op een ronde tafel gesprek die ik maandag, samen met Jaap Dijkstra had met de Privacy werkgroep van Groen Links over het Elektronisch Patiënten Dossier (EPD).
Het doel van een ICT systeem bepaalt de functionaliteit, en de functionaliteit bepaald de uiteindelijke architectuur van het systeem. Privacy en security eigenschappen van het systeem zijn afhankelijk van deze architectuur. Bij het invoeren van een landelijk ICT systeem is het daarom belangrijk om transparant te zijn over de doelen, de daaruit voortvloeiende architectuur, en goed te kijken naar de consequenties van deze keuzes. Dit geld dus ook voor het EPD.
Voor het EPD zijn de twee belangrijkste doelen
- efficiëntieverhoging in de zorg, en
- directe toegang tot medische gegevens bij noodsituaties.
Minder bekend is dat het EPD ook als doel heeft om als informatiebron te dienen voor allerlei onderzoeken van zorgverzekeraars, ziekenhuizen, en de farmaceutische industrie.
Hoe ziet een veilig en privacyvriendelijk EPD dat aan deze doelen voldoet er uit? Voor efficiëntieverhoging in de zorg is het voldoende om een min of meer standaard systeem op te zetten, dat het zorgverleners mogelijk maakt om direct onderling informatie uit te wisselen. Wel is het van belang dat bij ieder verzoek om informatie de patiënt expliciet toestemming voor deze uitwisseling wordt gevraagd. Dit is een wettelijke eis. Bovendien moet worden vastgesteld welke zorgverlener om de informatie vraagt, en of dat verzoek redelijk is. Dit laatste is de verantwoordelijkheid van de informatie verstrekkende zorgverlener. Dit vereist overigens een veilig systeem van identificatie en authenticatie van patiënten en zorgverleners, bij voorkeur gebaseerd op chipkaarten (of vergelijkbaar). Zo’n landelijke elektronische identiteitsinfrastructuur is op dit moment niet beschikbaar…
Voor directe toegang tot medische gegevens bij noodsituaties, bijvoorbeeld bij een ernstig ongeluk, is het niet redelijk om de (zwaargewonde) patiënt zelf om toestemming te vragen. Het is nog wel steeds essentieel om de identiteit van de patiënt met zekerheid vast te stellen. In die gevallen moet de zorgverlener direct bij de gegevens kunnen. Maar lang niet alle gegevens in het EPD zijn relevant bij noodsituaties. Sterker nog, slechts een beperkte set van gegevens (bloedgroep, allergiën, misschien medicijngebruik) is waarschijnlijk van belang. Bij inzage voor noodsituaties kan de toegang van de zorgverlener dus beperkt worden tot deze set gegevens (die vooraf, na uitvoerige consultatie met medisch specialisten en anderen, is vastgelegd). Daarnaast zal het systeem moeten bijhouden welke zorgverlener een beroep op de noodprocedure heeft gedaan, om misbruik achteraf te kunnen traceren.
Voor het doen van onderzoek gebaseerd op gegevens uit het EPD is het niet duidelijk hoe het systeem er uit zou moeten zien. Rechtstreekse toegang tot gegevens uit het EPD schaadt de privacy. Medische gegevens zijn immers extreem privacy gevoelig. Er bestaan wel technieken om deze gegevens eerst te anonimiseren en vervolgens op geaggregeerd nivo onderzoek te doen naar onderlinge verbanden, maar deze technieken zijn nog experimenteel. Het is daarom niet gewenst om deze functionaliteit toe te voegen.
Tenslotte nog twee andere punten die belangrijk zijn om te noemen. Ten eerste is de term Elektronisch Patiënten Dossier misleidend. Er is niet één dossier per patiënt. In plaats daarvan zijn er meerdere dossiers, die door verschillende zorgverleners gescheiden worden bijgehouden. Dit zal in de toekomst ook zo blijven: de zorgverlener zelf is immers verantwoordelijk voor zijn dossier. Ten tweede is de integriteit van de gegevens in een (deel)dossier waarschijnlijk een nog groter security probleem dan het confidentieel houden van die gegevens. Gegevens zijn immers vaak verouderd, verkeerd bijgehouden, en kunnen na overdracht aan een andere zorgverlener anders (en misschien verkeerd) geïnterpreteerd worden.
Kwetsbaarheid certificaten is niet alleen Nederlands probleem.
Afgelopen week werd bekend dat twee maanden geleden een digitale inbraak heeft plaatsgevonden bij Diginotar, een Nederlandse Certification Authority (CA). De berichtgeving rondom dit incident wekt de suggestie dat de veiligheid van vooral Nederlandse websites in het geding is geweest. Dit is onterecht.
De consequenties van het Diginotar incident voor de consument.
Vorige week werd bekend dat er twee maanden geleden een digitale inbraak bij certificate authority (CA) Diginotar heeft plaatsgevonden. Vrijdag bleek dat het niet is uit te sluiten dat ook PKIOverheid certificaten (die bijvoorbeeld door DigiD gebruikt worden) betrokken zijn geweest bij deze inbraak. Daarom doet de overheid Diginotar in de ban en zeggen browsermakers het vertrouwen in alle Diginotar certificaten op. De consequenties hiervan zijn groot, maar worden niet door iedereen even goed begrepen.
leave a comment