Is Helena-platform onveilig?

Sinds 27 oktober kunnen gebruikers van Helena alleen nog inloggen met Itsme of met een eID - niet meer met hun Helena-code. Er kwam een klacht tegen het platform van een Waalse huisartsencoöperatie. Een arts zou een Helena-account voor een patiënt hebben gecreëerd zonder bewijs van therapeutische relatie - dat gaat in tegen de veiligheidsvoorschriften.

...

Op de website van Helena vindt de gebruiker zelf de uitleg. Er is niets aan de hand zolang de GMD-houdend huisarts een Helena-account aanmaakt voor zijn patiënt en dan de 'credentials' afdrukt en persoonlijk overhandigt . "Nu is gebleken dat een huisarts de Helena inlogcode aangemaakt heeft zonder dat het eGMD is geverifieerd, en vervolgens deze credentials telefonisch heeft doorgegeven (...)." De producent van Helena noemt dit gedrag extreem onvoorzichtig, en heeft "intussen de nodige stappen ondernomen om dit te verhelpen. Tot de overheid opnieuw haar goedkeuring geeft, kunnen patiënten zich voorlopig niet meer aanmelden via hun inlogcode." Helena is ontwikkeld door HealthConnect, het dochterbedrijf van Corilus dat ook het huisartsenpakket CareConnect heeft ontworpen. Helena was de voorbije periode erg populair bij zorgverleners. Het kan dienen om documenten langs veilige elektronische weg aan patiënten te bezorgen en als platform voor videoconsultaties. Helena geeft toegang tot gezondheidsdocumenten als het SumEHR, verslagen van onderzoeken, het vaccinatiebewijs tegen covid, testresultaten,... Het laat de patiënt toe zijn medicatievoorschriften te beheren. Maar Medispring - een Franstalige coöperatie van huisartsen die een opensource-oplossing heeft ontwikkeld voor het EMD - diende klacht in tegen Helena bij de Gegevens-beschermingsautoriteit. Het denkt dat de aanmeldingsprocedure (de 'authenticatie' zoals dat in het vakjargon heet) van Helena de poort openzet naar mogelijke misbruiken. Medispring zag trouwens het levenslicht toen Corilus het populaire Franstalige pakket Medicure opkocht en de verdere ontplooiing ervan stopzette. Zet Medispring een andere ontwikkelaar van huisartsensoftware een hak? "Het lijkt een radicale stap tegenover een directe concurrent van onze software", erkent David Frenay, manager van Medispring aan onze zusterkrant, Le journal du Médecin. "Maar onze aanpak heeft meer te maken met de roeping van onze coöperatie. We willen de IT-onafhankelijkheid van artsen verzekeren en tegelijk de veiligheid van gegevens verzekeren. Dat zit in het DNA van de coöperatie." Voor Medispring begon het verhaal een paar maanden geleden, legt hij uit, toen het steeds meer verzoeken kreeg om Helena-codes te creëren, meestal op afstand, voor mensen zonder identiteitskaart. "We waren verrast dat zoiets mogelijk was. We gingen op zoek." Volgens Frenay zit de zwakke plek in de richtlijnen die het Informatie-veiligheidscomité(*) binnen de Kruispuntbank Sociale Zekerheid opstelde voor de aanmeldingsprocedure van Helena. Volgens Frenay zwakte de IVC in zijn 'beraadslagingen' de Europese regels af zodat men niet zo strikt hoeft te zijn bij het verifiëren van de identiteit van de persoon."Dat is een belangrijke beveiligingsfout." Men kan de arts om de tuin leiden en hem voor iemand een Helena-code laten creëren met de naam, voornaam en geboortedatum van die persoon, stelt hij. De zorgrelatie tussen de arts die de activatiecode aanmaakt en de persoon die er een account mee opent zou niet worden geverifieerd. Volgens Medispring maakt Helena het zo mogelijk om toegang te krijgen tot iemands medische gegevens zonder ooit een identiteitsbewijs te moeten tonen, dankzij de hulp - weliswaar - van een willekeurige arts. (Die arts is trouwens altijd identificeerbaar, nvdr). Waarom zou je Helena nodig hebben als je al toegang kunt krijgen tot je gegevens met je eID of Itsme? Volgens David Frenay maken vooral Eurocraten graag gebruik van Helena. Ze hebben immers geen Belgisch eID. Helena stelt dat het de lat probeert lager te leggen voor mensen die digitaal niet zo 'geletterd' zijn - die niet goed overweg kunnen met een eID of met Itsme. Toen eind oktober Medispring een klacht indiende bij de GBA, bracht de krant Le Soir in een ophefmakend artikel de zogenaamde inbreuk op de beveiliging van gezondheidsgegevens ook naar buiten. Niet alleen Helena maar ook het eHealth-platform reageerde met een toelichting op zijn website. Het eHealth-platform weerlegt dat, op voorwaarde dat de arts of zorgverlener zorgvuldig genoeg de identiteit van de persoon controleert aan wie hij een activatiecode overhandigt, de Helena-methode onveilig zou zijn. Helena gebruikt, net als het eID en Itsme, een two factor authentication: de gebruiker kan de Helena-code (eerste 'factor') alleen gebruiken op een als vertrouwd verklaard toestel - of in combinatie met een sms naar zijn mobieltje (tweede 'factor'). Volgens het artikel in Le Soir zou de baas van het eHealth-platform, Frank Robben, zich wel erg hebben geëngageerd om bij overheidsdiensten Helena als authenticatietool te gaan aanprijzen. Het artikel beschuldigt hem ervan daarmee de gezondheidsgegevens en andere gevoelige data van Belgische burgers te grabbel hebben gegooid. Het is voor de krant een heus communautair verhaal: Vlaamse en federale instellingen en overheden lieten betijen. Alleen Franstalige artsen en politici durfden in het verweer te komen. De Vlaamse pers liet het verhaal aan zich voorbijgaan. Volgens de toelichting op de website van het eHealth-platform is de oplossing dat de software van de huisarts of het ziekenhuis voortaan een activatiecode voor Helena alleen maar kan aanmaken nadat het bestaan van een zorg- relatie effectief is vastgesteld. Dat dwingt de voorwaarden waaronder een arts een patiënt toegang kan verlenen tot zijn gezondheidsgegevens beter af. Voor de 800.000 burgers die al gebruik maken van Helena kan aan de hand van de loggings in de databank geverifieerd worden of de code inderdaad initieel is aangemaakt door zijn GMD-houdend huisarts. Als dat niet het geval is zal de gebruiker zich moeten aanmelden met Itsme of zijn eID, of zal hij een nieuwe Helena-code door een arts - of een ziekenhuis - met wie hij een zorgrelatie heeft, moeten laten aanmaken.