De pas die zorgverleners gebruiken om toegang tot het elektronisch patiëntendossier te krijgen, is gekraakt. Om de kwetsbaarheid weg te nemen, krijgt de zogenaamde UZI-pas in het derde kwartaal van dit jaar een modernere chip. Dat meldt de minister van Volksgezondheid Ab Klink in een Kamerbrief.

Omwisseling
De geldigheid van UZI-passen is drie jaar. Vanaf het moment dat de nieuwe chip beschikbaar is, zullen de al verstrekte passen niet na drie jaar, maar na twee jaar worden vervangen. Desgewenst kan de omwisseling ook eerder gebeuren, aldus de minister.

De UZI-pas is een digitaal paspoort voor zorgverleners. Het is een persoonsgebonden ‘waardedocument’ voor toegang tot het elektronisch patiëntendossier. Om de UZI-pas te kunnen gebruiken, is ook een pincode vereist.

Private sleutel
Klink geeft in zijn brief meer uitleg over de ontdekte kwetsbaarheid. "Het betreft de toepassing van het Chinese Remainder Theorem (CRT) om het uitvoeren van bepaalde berekeningen te versnellen. In een laboratoriumsituatie zijn experts in staat gebleken om de private sleutel van een chip te achterhalen.

"Om een private sleutel te achterhalen, is het telkens weer nodig om te beschikken over de smartcard én bijbehorende pincode, grote deskundigheid en gespecialiseerde apparatuur."

Weinig risico
Volgens de minister vormt de zwakke plek "een zeer gering operationeel risico" voor het gebruik van de UZI-passen voor de toegang tot het EPD. Hij wijst ter verklaring op aanvullende beveiligingsmaatregelen. De bewindsman heeft de kraak van de chip, verricht door beveiligingsexpert Erik Westhovens, medio februari al omslachtig vermeld in een eerdere Kamerbrief.

EPD uitgesteld
Vorige week maakte Klink bekend dat het EPD wordt stilgelegd tot 1 juni. Er is namelijk meer tijd nodig voor de verwerking van onvolledige of slecht leesbare bezwaren van burgers die niet willen meedoen. Het ministerie heeft tot half maart circa 438.000 bezwaren ontvangen.

Bron: ZDNet [link naar artikel]