donderdag 24 augustus 2017

OV chipkaart voor buitenlandse bezoekers

Toeristen en andere bezoekers van ons land worden in Nederland niet echt getrakteerd op een geweldig betaalbare OV ervaring. Ze kunnen kiezen tussen gebruik van wegwerpkaartjes (die relatief duur zijn), of het aanschaffen van een tamelijk dure OV chipkaart waar een flink bedrag op gezet moet worden waarvan ze het restant niet eenvoudig terug kunnen krijgen bij vertrek uit ons land. Die eenmalige kaartjes of OV chipkaart kunnen ze vaak niet met hun credit card betalen.

Dat moet beter kunnen

Het meeste gemak van een OV chipkaart heb je met automatisch opladen, of bij betalen achteraf. Automatisch opladen kan helaas alleen voor een persoonlijke OV chipkaart en alleen in combinatie met een Nederlandse bankrekening.

Achteraf betalen is standaard bij de NS business card en de gespecificeerde rekeningen komen bij een bedrijf terecht. De NS Afdelingskaart kan ongeveer wat ik bedoel. De afdelingskaart is een variant op de NS businesskaart die eenvoudig, tijdelijk aan een bepaalde persoon kan worden gekoppeld en ook weer losgekoppeld. Hij is duidelijk bedoeld voor medewerkers van een bedrijf; dus het zal wel tegen de regels zijn om zo'n kaart aan een buitenlandse bezoeker of een toerist te koppelen.

Als NS hieraan zou meewerken (door niet te zeuren dat buitenlandse bezoekers en touristen geen medewerkers zijn, of die regel te verruimen), is het mogelijk een bedrijf voor OV chipkaart verhuur op te zetten waar buitenlandse bezoekers een OV chipkaart in bruikleen kunnen krijgen. Dit bedrijf zou van die gebruiker garantie middels een credit card kunnen vragen. Bij vertrek levert de bezoeker de kaart weer in (of stuurt 'm op) waarna het bedrijf de balans opmaakt en de gemaakte reiskosten (vermeerderd met een bedrag voor de service van het bedrijf) via de credit card van de bezoeker incasseert. Daarna kan de kaart aan een volgende bezoeker worden gekoppeld.

Dit bedrijf zou een balie in de stationshal van Schiphol en de andere Nederlandse luchthavens en zeehavens moeten hebben voor het ophalen en retourneren van de OV chipkaarten en het verifiëren van de credit cards van de klanten.

dinsdag 22 augustus 2017

Zero day worm voor personal computers of smart phones

Met de recente berichten over WannaCry en Petya/NotPetya is aanleiding om eens na te gaan hoeveel erger het kan worden. Wat is het ergste, geloofwaardige rampscenario dat ons kan overkomen?
Dit zou een worm zijn (programma dat zich zonder interactie van gebruikers over de hele wereld verspreidt) en daarna alle geïnfecteerde computers of smart phones onbruikbaar maakt.

Kan dat echt?

Helaas wel. Er worden om de haverklap zero-day problemen ontdekt in veel gebruikte software. Zo maakte WannaCry gebruik van een fout in de SMBv1 implementatie van Microsoft Windows. Kwetsbaar waren alle Windows versies die in de afgelopen 15 jaar zijn gemaakt met uitzondering van Windows 10 (en dan alleen na een update die voorjaar 2017 uitkwam). Er zijn twee redenen dat voornamelijk bedrijven werden getroffen. Consumenten PCs bevinden zich vaak achter een masquerading firewall die inkomend SMB protocol verkeer tegengehoudt en de Petya/NotPetya aanval was gericht tegen bedrijven in Oekraïne.

Wat voor andere software of hardware zou zero-day problemen kunnen bevatten die snelle verspreiding van een worm over de hele wereld mogelijk maken?

Intel Active Management Technology (AMT) is een kandidaat. Heel veel Intel CPUs bevatten de Intel Management Engine. Dat is een kleine extra processor die onzichtbaar voor Windows, Linux, of BSD-unix het geheugen kan lezen en schrijven, via het netwerk berichten kan ontvangen en verzenden, maar ook schijven formatteren, enz. De Intel AMT is vooral bedoeld om het besturingssysteem van een computer op afstand opnieuw te installeren. Als je dat kan, dan kun je gewoon alles doen. Het is dus van het grootste belang dat dit alleen in opdracht van gerechtigde partijen kan gebeuren.

De Intel AMT baart mij grote zorgen. De NSA heeft ongetwijfeld een exploit klaarliggen waarmee ze elke computer met een Intel AMT kunnen overnemen (net zoals ze al jaren de exploit hadden die, nadat die uitlekte, gebruikt is in WannaCry). Er is geen reden om te geloven dat NSA haar AMT exploit wel goed geheim kan houden. Wie de Intel AMT kan overnemen kan de computer onbruikbaar maken. Als zo'n worm de wereld over gaat zijn de rapen pas echt gaar.

Kun je die Intel AMT dan niet uitschakelen?

Sommige computers hebben een instelling in de BIOS die pretendeert de AMT uit te schakelen. De effectiviteit van die instelling is lastig te verifiëren. Veel computers hebben niet eens zo'n instelling in de BIOS en binnen bedrijven die AMT gebruiken voor remote management van PCs kun je het niet uitschakelen.

Werkt een firewall hiertegen?

Ja, een firewall die is geconfigureerd om verkeer voor de TCP ports die AMT gebruikt te blokkeren scheelt een hoop. Maar binnen bedrijven die AMT gebruiken voor het managen van PCs is dit geen oplossing. Uiteraard zal elke zichzelf respecterende ICT afdeling ervoor zorgen dat deze ports niet van buiten het bedrijf toegankelijk zijn. Een worm die AMT aanvalt zal dus een tweede verspreidingsmethode moeten hebben om een bedrijf binnen te komen. Maar zelfs als die tweede verspreidingsmethode maar 1% van de PCs kan infecteren is geen enkel groot bedrijf veilig.

Die hele Intel AMT is een vreselijk slecht idee en dat wordt een keer een ramp.

Hoe kunnen we de gevolgen beperken?

Een worm die de Intel AMT aanvalt kan waarschijnlijk de hardware van de computer vernietigen of onbruikbaar maken. Het enige wat tegen zo'n aanval helpt is een reserve computer die pas aan het netwerk gekoppeld mag worden wanneer de aanval volledig is geëlimineerd.

Stap 1 is regelmatig een backup te maken en die off-line (dus niet gekoppeld aan enige computer) te bewaren. Hierdoor kan de informatie niet verloren gaan. Daarnaast moet er goede documentatie zijn over wat welke computer van het bedrijf doet en waar de backups zich bevinden. Die informatie moet 100% actueel zijn en ook na het onbruikbaar worden van veel computers beschikbaar zijn; dus een papieren versie kan zinvol zijn.
Stap 2 is de aanval stoppen en vaststellen dat de aanval 100% is gestopt. Vanwege een schrikbarend gebrek aan goede informatie over de Intel AMT zal dit niet gemakkelijk zijn.
Stap 3 is het inrichten van de reserve computer(s) om alle functies van de onbruikbaar geworden computer(s) over te nemen en deze computer(s) in gebruik te nemen.

Zijn er nog andere computer problemen die tot zo'n ramp kunnen leiden?

Jazeker; de meeste zijn misschien nog niet gevonden. Maar een leuk voorbeeld zit in de WiFi zender/ontvangers die in smart phones zitten. Heel veel gebruiken een chip set van Broadcom die in feite een embedded computer is met buggy software kort bericht, langer en meer technisch artikel (de gelinkte artikelen zijn in het Engels). Er zijn ongeveer 1 miljard smart phones in de wereld die deze chip set gebruiken. Een worm die deze kwetsbare chip set aanvalt kan dus 1 miljard smart phones onbruikbaar maken. Interactie van de gebruiker van de smart phone is niet nodig; het is voldoende als de WiFi radio ingeschakeld is en een besmette smart phone zich binnen WiFi bereik bevindt. Dit probleem wordt geleidelijk gefixt doordat sommige smart phones updates krijgen die het probleem verhelpt. Andere smart phones worden vervangen door nieuwere waarin het probleem reeds verholpen is. In dit tempo duurt het nog jaren voordat dit probleem de wereld uit is.

Toevoeging 13 september 2017.
Bijna alle apparaten die via BlueTooth kunnen communiceren zijn kwetsbaar voor een hele serie problemen. De kwetsbaarheid heet BlueBorne (artikel in het Engels). Alleen recente versies van IOS zijn niet kwetsbaar. De belangrijkste oorzaak van dit probleem is de gigantische complexiteit van BlueTooth.

dinsdag 4 juli 2017

EPD/LSP - voldongen feiten strategie

Het Landelijk SchakelPunt (LSP) is een systeem waarmee artsen in Nederland het Eelektronisch Patienten Dossier (EPD) van patiënten kunnen opvragen. De dossiers blijven in de administratie van de arts die de informatie heeft ingevoerd. Het LSP is ingevoerd met als argument dat sommige medische informatie in bijzondere gevallen snel toegankelijk moet zijn voor alle artsen die met een patiënt te maken kunnen krijgen.

De informatie die beschikbaar is via het LSP betreft meestal de professionele samenvatting van het dossier van de huisarts, plus alle informatie van ketenzorg artsen. Dat maakt de informatie een goudmijn voor verzekeraars met minder scrupules. Slechts een zeer klein deel van die informatie zal in levensbedreigende situaties snel beschikbaar moeten zijn. Er is nogal gesteggeld over deze deling van medische informatie die op gespannen voet staat met het medisch geheim:
Via het LSP is erg veel opvraagbaar. Gelukkig wordt elke opvraging gelogd. Maar, als de patiënt er al ooit achter komt is het kwaad (inbreuk op het medisch geheim) al geschied. Daarnaast gebeurt het nogal eens dat er dossiers beschikbaar worden gemaakt via het LSP zonder dat de betrokken patiënt daar toestemming voor heeft gegeven (dat is mij overkomen).

Kan het niet een beetje minder?

Is het niet mogelijk alleen opvraging van informatie toe te staan die bij een plotseling noodzakelijk medische handeling nodig kan zijn? Is het mogelijk medische informatie te scheiden in gegevens waarvan snelle beschikbaarheid levens kan redden en de rest? Waarbij die rest niet zonder een handeling van de arts die het (deel-)dossier beheert is op te vragen?

Natuurlijk kan dat. Maar dan moeten de betrokken medici wel, in hun dossiers, de informatie die snel beschikbaar moet zijn voor collega artsen een speciale markering geven.

Snel beschikbaar moet zijnRedenen, inperkingen
Bloedgroep en Rhesus factorAanvulling bloed bij zwaar bloedverlies
Bekende allergieenPreventie van toediening medicatie die voor deze patiënt gevaarlijk is; geldt alleen voor medicatie waarvan de toediening urgent kan zijn
Verslavingen waarvoor op dit moment (onderdrukkende) medicatie wordt gebruiktNiet tijdig toedienen lijdt tot ernstige afkickverschijnselen
Huidig medicijngebruikVoorzover deze medicijnen niet met andere, in urgente gevallen gebruikte, medicijnen gecombineerd mogen worden en medicijngebruik waarvan plotseling stoppen tot schade kan leiden
Niet reanimerenverklaringTer voorkoming van reanimatie van personen die daar niet van gediend zijn
Bijzonder gevaar voor hulpverlenersPsychiatrische patiënten die plotseling aggresief kunnen worden

Dit beperkt de direct via het LSP beschikbare informatie ruwweg tot informatie waarbij vertraging van een dag gevaar oplevert. Informatie waarvan een opvraging nooit urgent kan zijn hoort er dan per definitie niet in thuis.

Dit beperkte LSP is minder bruikbaar voor waarnemende artsen dan het huidige. Voor waarnemende artsen is het nuttig het huidige medicijngebruik en recente diagnoses in te zien. Waarneming is i.h.a. beperkt tot een waarnemende arts of huisartenpost in de eigen regio. Specifiek voor de waarnemende artsen kan, elke keer dat de praktijk van een huisarts sluit, toestemming worden verleend en natuurlijk alleen voor patënten die expliciet toestemming hebben gegeven voor deling van hun hele dossier met waarnemende artsen.

Als een patient buiten de regio acute medische hulp nodig heeft kan de plaatselijke medicus de urgent noodzakelijke informatie ophalen bij de huisarts van de patënt. Voor de overige informatie zal de plaatselijke medicus contact moeten opnemen met die huisarts, of een waarnemende arts van de patiënt. De behandelende arts zal daarbij moeten aantonen dat hij toestemming heeft van de patiënt, of, indien de patient bewusteloos is, dat de informatie nodig is en de patiënt niet in staat is toestemming te geven. Dit is ietwat inefficient, maar dat is de prijs van privacy.

Aanvullingen aan een dossier door waarnemende artsen zijn eigenlijk nooit urgent. Deze zouden altijd gescreend moeten worden door eigen arts om de kwaliteit van het dossier te borgen.

Zelf controleren welke artsen uw EPD hebben geraadpleegd, of informatie beschikbaar stellen?

Dat kan op de site van VZVZ: https://www.vzvz.nl/page/Zorgconsument/Inzage/Inzage-overzicht (DigiD nodig).

dinsdag 31 januari 2017

Religieuze symbolen vs integratie

Journaliste Ebru Umar, schrijfster van kritische columns en tweets over Turkije, de Islam en de Turkse president Erdogan zat twee weken vast in Turkije als gevolg van de lange tenen en armen van deze Turkse president.

De meningen hierover zijn in Nederland sterk verdeeld. In Metro van dinsdag 26 april (op pagina 3) stonden FaceBook reacties die de standpunten van beide groepen duidelijk weergeven. De mensen met Nederlands klinkende namen (linker kolom) wensen Ebru Umar het beste toe, de mensen met niet Nederlands (Turks?) klinkende namen (rechter kolom) spreken schande van Ebru Umar en wensen haar vreselijke dingen toe. Er zaten nog net geen oproepen tot geweld tegen Ebru Umar bij, maar misschien heeft de redactie van Metro zulke reacties uitgesloten.

Voor deze lieden is ons grondrecht op vrije meningsuiting kennelijk ondergeschikt aan de lange tenen van Erdogan. Je mag in Nederland zeker zeggen dat je het met iemand niet eens bent. Sterker nog; ik zal dat recht altijd verdedigen. Maar wie zegt dat anderen dat recht niet mogen gebruiken gaat te ver. Wie de Nederlandse grondwet zo duidelijk niet respecteert hoort hier niet thuis en zou moeten overwegen te emigreren naar een land waar journalisten regelmatig voor hun leven moeten vrezen.

Uit het feit dat de meningen zo duidelijk verdeeld zijn blijkt wel dat de integratie van de derde generatie Turken in de Nederlandse samenleving niet erg lukt.

Hoe is het mogelijk dat integratie zo faalt?

Een van de mogelijke oorzaken kan zijn dat we het in Nederland maar accepteren dat groepen zich isoleren van de rest van de samenleving door kleding, religieuze symbolen en gedrag. Het dragen van religieus geïnspireerde kleding en symbolen heeft een lange traditie en stamt van ver voor de komst van Turkse gastarbeiders naar Nederland. Ik denk hierbij aan Christelijke symbolen (kruisjes aan kettinkjes, de behoorlijk verhullende kledij van nonnen). Dat verschilt niet echt van het dragen van hoofddoekjes of chador als teken van de Islam. Minder geaccepteerd is het dragen van kleding die het gezicht volledig bedekt. Dat geldt voor Boerka, maar net zo goed voor een integraalhelm (op momenten dat dragen daarvan niet verplicht is) en de puntmutsen van de Ku Klux Klan.

Het gebruik van zulke symbolen en kleding maakt het makkelijker om gelijkgezinde personen te herkennen en contacten met anderen te vermijden. Dat laatste is niet goed voor een samenleving zoals de onze waar goede samenwerking tussen personen van verschillende stromingen belangrijk is. Het lijkt mij dat veel religieuze (en ook niet religieuze) symbolen worden gedragen om contacten met andere personen te ontmoedigen en in sommige gevallen andere personen te intimideren.

Het in het openbaar dragen van (religieuze) symbolen en verhullende kleding is soms een uiting van minachting ten aanzien van de rest van de bevolking.

Met het dragen van onderscheidende kleding en symbolen in eigen kerk, club of vereniging heb ik geen probleem. In die situatie werkt het niet als middel om contacten met gelijkgezinden te bevorderen ten koste van die met anders gezinden. Maar op scholen, of door personeel in winkels, ziekenhuizen, enz. is het niet zo onschuldig. We zijn in Nederland heel terughoudend met het verbieden van zulke zaken, maar misschien moeten we daar veel minder terughoudend mee zijn.

Volgens het Europees hof van Justitie mogen werkgevers het zichtbaar dragen van politieke en religieuze symbolen verbieden. Deze vorm van discriminatie kan gerechtvaardigd zijn door het streven van de werkgever om een bedrijfsbeleid van religieuze en levensbeschouwelijke neutraliteit te handhaven. Kennelijk moet je daar als werkgever wel eerst een beleid voor formuleren.

Aanvulling 14 maart 2017

Het advies aan het Europees hof van Justitie is inmiddels een uitspraak geworden: EU-hof: werkgevers mogen hoofddoek verbieden (in de Telegraaf).
De uitspraak staat hier: An internal rule of an undertaking which prohibits the visible wearing of any political, philosophical or religious sign does not constitute direct discrimination.

maandag 28 november 2016

Hackvoorstel - Wetsvoorstel computercriminaliteit III

De (aanstaande) wet Computercriminaliteit III geeft de politie de bevoegdheid in te breken op computers en smart-phones van verdachte personen en instanties. Ik verwacht dat deze wet zeer diverse gevolgen zal hebben.
  • De overheid zal kwetsbaarheden in computersystemen onder de pet houden zodat ze niet (of veel later; nadat ze op een andere manier in de publiciteit gekomen zijn) gerepareerd worden. Alle gebruikers van computers en smart-phones worden benadeeld door vermijdbare onveiligheid van hun apparaten.
  • Bewijsmateriaal afkomstig van computers of smart-phones zal voor de rechter weinig gewicht hebben omdat het niet goed mogelijk is te bewijzen dat de overheid niet heeft ingebroken en het bewijsmateriaal niet bij die gelegenheid heeft geplaatst, of (al of niet per ongelijk) gemodificeerd.
  • Burgers zullen minder geneigd zijn hun informatie op computers en smart-phones op te slaan en/of daarvan deugdelijke backups te maken.
Eigenlijk is er voor de overheid alleen een voordeel in de opsporingsfase; Ik denk niet dat dit voordeel opweegt tegen de nadelen bij een eventuele procesgang.

woensdag 7 september 2016

Encryptie

In NRC Handelsblad van 25 augustus 2016 stond een verontrustend redactioneel commentaar met de titel Ook encryptie heeft grenzen. De redactie van deze kwaliteitskrant stelt dat telefoons getapt moeten worden, huizen doorzocht, personen gefoulleerd, mits met rechtelijke waarborgen omkleed en dat (dus) ook encryptie niet absoluut kan zijn.

Zelden zag ik in deze krant zulke onzin staan. Ik heb er dan ook een reactie aan de redactie aan gewaagd waar ik niets meer over heb vernomen. In mijn reactie vergelijk ik een wettelijke mogelijkheid om encryptie te doorbreken met een wettelijke mogelijkheid om de zon vanavond niet onder te laten gaan.
Deze vergelijking snijdt hout omdat:
  1. Het technisch onmogelijk is.
  2. Criminelen maken graag gebruik van duisternis. Een opsporingsinstantie zou zichzelf kunnen wijsmaken dat door duisternis af te schaffen de criminaliteit vermindert.
  3. De gevolgen voor niet-criminelen zouden rampzalig zijn.

1: Waarom is het technisch niet mogelijk?

Cryptografie is vreselijk lastig correct te implementeren. Veel cryptografische systemen bleken onveilig door subtiele fouten. Andere bleken onveilig door - wettelijk voorgeschreven - veel te korte sleutels.
Ruwweg zijn er twee benaderingen om opsporingsinstanties toegang te geven tot versleutelde informatie:
  1. Het systeem heeft een extra sleutel voor de opsporingsinstanties.
  2. Het systeem heeft zulke zwakke sleutels dat een opsporingsinstantie die voldoende rekenkracht kan inzetten de encryptie binnen redelijk tijd kan kraken.
Een cryptografisch systeem met een achterdeur (extra sleutel) voor de opsporingsinstanties is veel ingewikkelder dan een systeem zonder achterdeur. Dat is niet 2x zo ingewikkeld, maar wel 10x zo ingewikkeld. De kans dat er in zulke software ook onbedoelde kwetsbaarheden zitten is dus ook 10x zo groot. De extra sleutel voor de opsporingsinstanties moet zo verschrikkelijk goed geheim worden gehouden dat ik geen enkele overheid daartoe in staat acht. Als Edward Snowden met de kroonjuwelen van de NSA kan weglopen en een bedrijf als DigiNotar de hackers niet buiten kan houden, dan zal de Nederlandse staat dat zeker niet kunnen.
Een systeem met zwakke sleutels is niet alleen toegankelijk voor de bedoelde opsporingsinstanties, maar ook voor elke goed voorziene criminele organisatie of vreemde mogendheid. Bovendien neemt de rekenkracht van computers (en vooral grafische kaarten) nog steeds exponentieel toe. Wat vandaag veilig is voor alles behalve een opsporingsinstantie die een week rekentijd op een supercomputer kan inzetten, is over vijf of tien jaar met een GPU van een paar honderd Euro in een week te doen.

2: Criminelen en duisternis

Wie denkt dat criminelen duisternis echt nodig hebben is naief. De grootste buit wordt niet geroofd door bij nacht en ontij in te breken in een gebouw en daar de kluis open te breken. Dat gaat tegenwoordig door bij klaarlichte dag door bankrekeningen te plunderen met buitgemaakte inloggegevens of door valse emails naar de financiële afdeling van grote bedrijven te sturen met het verzoek (zogenaamd afkomstig van een hoge pief in de organisatie) om direct een smak geld over te maken naar een buitenlandse rekening. Er is nog nooit aangetoond dat een terroristische aanslag voorkomen had kunnen worden door wettige toegang tot versleutelde berichten mogelijk te maken. Natuurlijk geven dat soort resultaten uit het verleden geen garantie voor de toekomst. Maar criminelen hebben altijd gebruik gemaakt van boeventaal om met onschuldige klinken bewoordingen te overleggen over onveilige communicatiekanalen. In plaats van "vermoorden" spreken ze over "met pensioen sturen". Het gebruik van een door de overheid goedgekeurd encryptiesysteem is niet af te dwingen, tenzij je alle communicatie die de opsporingsinstanties niet kunnen lezen zou blokkeren. Maar dan ontwikkelen de criminelen en terroristen gewoon een boeventaaltje. Het technische equivalent hiervan is steganografie.

3: De gevolgen voor de rest van de maatschappij zijn rampzalig

Als de zon niet onder zou gaan, raken mensen, dieren en planten enorm van slag. Als veilige communicatie niet mogelijk is, dan zijn journalisten in de halve wereld niet meer veilig (en dat zou de redactie van NRC toch aan het hart moeten gaan).

Wat dan wel?

Opsporingsinstanties zullen moeten leren te werken in een wereld waarin ze niet tot alle informatie toegang hebben. Daarbij voorzie ik ook dat het afluisteren van telefoongesprekken haar bruikbaarheid als opsporingsmiddel gaat verliezen. Het is goed mogelijk een telefoniesysteem te ontwikkelen dat via Internet werkt en waarbij opsporingsinstanties tengevolge van sterke encryptie niet alleen niet bij de inhoud van de gesprekken kunnen, maar ook niet bij de verkeersgegevens (wie communiceert met wie). Zulke systemen zullen over TOR of een soortgelijk netwerk communiceren en die netwerken zijn zo opgezet dat het extreem lastig is te achterhalen welke partijen met elkaar communiceren.
Een krantenredactie die argumenten van deskundige hackers wegzet met bewoordingen als Ongetwijfeld gestimuleerd door het anarchistische techwereldje te Silicon Valley wier anti-gouvernementele houding past in de Amerikaanse frontier-traditie draagt niet bij aan een zinnige discussie.

donderdag 17 december 2015

Ziektekostenverzekeringen - een falend systeem

In Nederland hebben we besloten dat iedereen moet kiezen voor een van de aangeboden basis-ziektekostenverzekeringen. Men kan alleen per ingang van het nieuwe jaar van verzekeraar wisselen.

De ziektekostenverzekeringen komen in twee soorten: naturapolis en restitutiepolis. Bij een naturapolis is de premie lager maar moet de verzekerde zich voor niet spoedeisend ziekenhuisbezoek wenden tot een door de verzekeraar gecontracteerd ziekenhuis. Bij een restitutiepolis kan de verzekerde zich voor niet spoedeisende hulp wenden tot elk erkend ziekenhuis in Nederland. (Voor spoedeisende hulp kan elke verzekerde terecht bij elk Nederlands ziekenhuis dat spoedeisende hulp biedt.)

Wie een naturapolis heeft en zich voor niet spoedeisende hulp tot het verkeerde ziekenhuis wendt moet (een deel van de) kosten zelf betalen. Elke inwoner van Nederland moet minimaal een basis-ziektekostenverzekering afsluiten. De medische behandelingen die binnen de basis-ziektekostenverzekering vallen worden vastgesteld door de staat; deze zijn (in principe) voor alle verzekeringsmaatschappijen gelijk. De verschillen in tarief hangen samen met de gekozen verzekeraar, het (door de verzekerde) gekozen eigen risico en de leeftijd van de verzekerde.

Één van de beginselen van elke normale overeenkomst (een verzekeringspolis is een overeenkomst) is dat de rechten en plichten van de partijen aan beide partijen bekend zijn op het moment dat de overeenkomst wordt gesloten. Wie een naturapolis overweegt moet weten bij welke ziekenhuizen hij terecht kan voor niet spoedeisende hulp. Om dat mogelijk te maken moeten de verzekeraars en de ziekenhuizen uiterlijk 18 november de afspraken hebben gemaakt. Dit jaar is daar opmerkelijk weinig van terecht gekomen.

Het Martini ziekenhuis Groningen en verzekeraar VGZ zijn er op 11 december 2015 nog steeds niet uit (http://www.dichtbij.nl/groningen/regionaal-nieuws/artikel/4207059/martini-ziekenhuis-en-vgz-komen-er-niet-uit.aspx). De onderhandelingen zijn vastgelopen en dit ziekenhuis waarschuwt de 25000 VGZ verzekerden onder haar klanten dat ze serieus moeten overwegen een andere maatschappij te kiezen omdat ze anders misschien ver moeten reizen voor niet spoedeisende ziekenhuis zorg. VGZ heeft met 49% van de ziekenhuizen nog geen afspraken. De grotere ziektekostenverzekeraars (Menzis en Achmea) hebben die wel; dus je zou zeggen dat VGZ de grootste schuld aan het probleem heeft.

Maar misschien is het toch niet zo simpel. Met afgeronde afspraken met de grootste verzekeraars op zak kan een ziekenhuis namelijk hoog spel spelen met de kleintjes.

Is het Nederlandse systeem wel houdbaar?

De in Nederland active zorgverzekeraars bieden voor 2016 meer dan 2000 verschillende verzekeringen aan. Nog meer dan de ruim 1000 waar we voor 2015 uit moesten kiezen. Als het ze lukt om zoveel verschillende polissen te verzinnen, maar niet om de deadline van 18 november te halen, dan liggen de prioriteiten verkeerd. De deadline voor de verzekerden om voor het einde van het jaar de nieuwe verzekering te kiezen is namelijk wel keihard. Nu zijn de mensen die zich moeten verzekeren de klos.

Zolang de verzekeraars niet alle afspraken met de ziekenhuizen hebben afgerond zijn de polisvoorwaarden feitelijk onvergelijkbaar en kunnen we niet goed kiezen. Ik verwacht dat sommige verzekerden in 2016 (desnoods met een gang naar de rechter) vergoedingen gaan afdwingen voor niet spoedeisende hulp waarvan ze in de keuzeperiode (18 november tot 31 december 2015) niet konden weten of het verzekerd zou zijn. Verzekeraars die polissen verkopen met ondoorzichtige voorwaarden lopen in ons land grote risico's.

Een systeem dat meer dan 2000 verschillende verzekeringen oplevert is duidelijk defect. Met zoveel keus kan een normaal mens niet meer kiezen. En de consequenties van de keuze kunnen groot zijn. De verzekeringsmaatschappijen en de ziekenhuizen hebben lang genoeg spelletjes gespeeld; misschien moet het nu maar eens afgelopen zijn.

Hoe lossen we het echt op?

Ik denk dat de basisverzekering een collectieve verzekering moet worden (zoals WAO, AOW). De markt van de commerciële verzekeraars wordt dan beperkt tot aanvullende pakketten.

Bij deze aanpak stelt de Nederlandse staat de tarieven vast voor de behandelingen die in de basisverzekering zitten. De premies voor de collectieve verzekering worden via het belastingsstelsel geïncasseerd. Ziekenhuizen en verzekeraars moeten dan nog steeds onderhandelen, maar alleen over zaken die onder de aanvullende verzekeringen vallen. Dat zijn (relatieve) kleinigheden. Bijkomstig: de looptijd van die aanvullende verzekeringen hoeft niet samen te vallen met kalenderjaren.

In zo'n collectieve verzekering zou een (flink) eigen risico kunnen zitten. Ik zou het geen probleem vinden als je dat bij een commerciële verzekeraar geheel of gedeeltelijk kunt bijverzekeren.