Hackers gijzelen medische data en vragen 10 miljoen dollar losgeld

Interne fraude is wat beter te bestrijden. Verder zijn het vaak criminelen die buiten je grenzen actief zijn dus dat maakt de opsporing en eventuele uitlevering alleen maar lastiger.

EPD en DigiD, de overheid kan willen wat ze willen maar zolang er geen aansprakelijkheidsregels opgesteld worden zullen er weinig mensen voor warm lopen om mee te werken

Misschien 'zien ze dat niet' omdat heel veel mensen de voordelen er van inzien. Ik ben zelf een voorstander van het EPD, al het medisch personeel kan in geval van nood meteen weten over mij wat nodig is.

Als er dan een keer een hacker langs komt en spul mee neemt, tsja dan weet iemand dat ik een keer mijn enkel uit de kom had, dat ik een keer voetschimmelzelf voorgeschreven ben en dat ik ooit wat slaapmiddel heb gehad. Niet echt geheimen waar de rest van de wereld wat mee kan.

(Misschien dat men van sommige info niet wil dat naasten het weten, maar daar is, tenzij het een gerichte aanval is, bij hackers normaal geen sprake van.)

Je slaat de spijker op z'n kop denk ik.

Het EPD komt gewoon in handen van iedereen die bereid is daar flink voor te betalen or in staat is de politieke wil te mobiliseren om misbruik te maken van die gegevens. En die zijn er wel. Van legaal tot illegaal.

Van malafide werkgevers tot fraude-opsporings afdelingen van verzekeraars tot lieden die om wat voor reden dan ook baat hebben bij een lijst van b.v. alle dovige oudere alleenstaanden in Den Haag met ernstige hartklachten (kan b.v. gekoppeld worden aan een GIS kaart met inkomen per postcode voor de planning van inbraken). En denk eens aan "goedwillende" lieden die alle leraren en onderwijzers in Nederland effe willen screenen op b.v. bezoek aan een psychiater of psycholoog of geneesmiddelengebruik dat kan duiden om minder gewenste ziektes. Of politici die ervoor ijveren dat werknemers die gevaarlijke machines moeten bedienen (kan al een vrachtwagen zijn) automatisch gescreend worden op gebruik van geneesmiddelen? Je kan er gewoon op wachten dat het gebeurt.

En waarom komt er illegale toegang? Simpelweg omdat er altijd wel ergens iemand zit die toegang tot de gegevens heeft en ofwel crimineel ofwel omkoopbaar ofwel chanteerbaar ofwel stom en slordig is. Je hoeft er maar 1van te hebben die wordt opgemerkt door data-dieven en het bestand ligt op straat.

Overigens net als de gegevens uit de centrale kentekenregistratie (voor 25 Euro kan je als je over de juiste contacten beschikt zo een kenteken laten natrekken), en b.v. de belastinggegevens (zelfde verhaal, hoger tarief).

Hier komt helemaal geen informatica kennis aan te pas, aleen wat kennis van "social engineering" en enig gegrond wantrouwen.

Waarom trekt noch de overheid noch de politiek zich hier niets van aan? Wel ... het helpt de overheid enorm bij het transparant maken van de vraag naar medische voorzieningen, en daarmee de planning ervan. Als je vanachter je bureau toegang hebt tot dit bestand (voor statistische analyses) dan hoef je niemand meer iets te vragen over capaciteitsplanning. Je kan precies uitrekenen wat per wijk, buurt, gemeente, en regio de verwachte medische hulpvraag is. Politiek is dat aantrekkelijk. En met wat modelletjes voor ontwikkeling van de bevolkingssamenstelling kan je nog prognoses maken voor de hulpvraag ook. En bovendien kan een groot gedeelte van de administratieve rompslomp die nu nog decentraal in ieder ziekenhuis apotheek en huisartsenpost, plaatsvindt gecentraliseerd worden. Kostenbesparing!

Door de polderachtige besluitvorming met z'n stuurgroepen, klankborden, vergaderingen, inspraak, begeleiding, en schijnconcessies draagt niemand meer de eindverantwoordelijkheid. Akelige gevolgen komen dus nooit op het bordje van de planners, en die weten dat ook wel.

Hooguit de uitvoerders kunnen aangesproken worden op het falen in de Mission Impossible van het daadwerkelijk werkelijk geheimhouden en beveiligen van het bestand.

Mocht het misgaan dan is de eerste (standaard) verdedigingslinie: "hoe kunt U antonen dat er een lek is?". Stel dat er deellijsten in de Telegraaf worden afgedrukt, dan is de tweede verdedigingslinie aan bod. De tweede (standaard) uitvlucht is: "De beveiliging, daar zijn procedures voor afgesproken, en die hebben we gevolgd (lees: niemand is ooit verantwoordelijk voor een eindresultaat, men is alleen gehouden om procedures te volgen). Als U denkt dat deze verbeterd kunnen worden dan neemt U maar contact op met de deskundigen die de procedures hebben vastgesteld (lees: "U bent lastig, gaat U maar buitenspelen").

De beveiligingsdeskundigen zeggen dan: "Wel, het was een politiek besluit dat het systeem er moest komen. Wij hebben wel degelijk aangegeven dat er risico's waren, maar men heeft die geaccepteerd. Binnen de beperkingen die ons gesteld zijn hebben wij een zo goed mogelijke (of als de spreker een populaire achtergrond heeft: "zo optimaal mogelijke") beveiligingsstrategie ontworpen, maar rest-risico's zijn nu eenmaal niet uit te sluiten." Is nog waar ook. Gevolg: helemaal niemand is eind-verantwoordelijk.

Kort en goed: niemand die betrokken is bij de planning en uitvoering heeft er persoonlijk belang bij om serieus te overwegen het hele project maar af te blazen vanwegre eventuele problemen. Men heeft er daarentegen wel alle persoonlijk belang bij om een interessant project op tijd af te ronden. Zodoende.

mja..en dat heeft niet veel zin als die hackers buiten Amerika opereren

Dus jij snapt niet wat er kan gebeuren?
Ok, stel nou je wordt overspannen, depressief, whatever (kan altijd gebeuren, je betrapt je vrouw met een ander, zij verlaat jou en weet het zo te spelen dat jij je kinderen nooit meer ziet omdat je ze zogenaamd mishandeld zou hebben... extreem, maar het is maar even om aan te geven dat het iedereen kan gebeuren). Je krijgt hier medicatie voor en na een paar jaar ben je er eindelijk helemaal overheen en je wil je leven opnieuw opbouwen. Je solliciteert bij je droombaan, werkgever googled je en ziet dat je een paar jaar aan de antidepressiva gezeten hebt, concludeert dat je daar blijkbaar vatbaar voor bent en wil liever niet iemand bij wie hij denkt het risico te lopen dat je straks weer de ziektewet in gaat, dus krijg je de baan niet. Elke werkgever doet dit, maw je komt nergens meer aan de bak.
Denk je nog steeds dat het onschuldig is?

Het is niet alsof iemand daar wat aan heeft. Instanties die er wat aan hebben (in geval van meer ernstige zaken dan bij mij) mogen illegaal verkregen informatie toch niet gebruiken.
De nadelen wegen in mijn ogen zeker niet op tegen de voordelen.

Er is een verschil tussen "niet mogen" en "niet doen".
Daarnaast is er een groot verschil tussen wat "voor jou" de potentiële schade zou kunnen zijn en wat "voor iemand" de schade zou kunnen zijn.
IMHO moet je bij dit soort zaken niet als individu redeneren, maar in het algemeen of je dit zou willen als samenleving. Dat er voor jou nu nog niets bijzonders in staat wil niet zeggen dat dat in de toekomst niet zou kunnen gebeuren. Toch heel vervelend als zorgverzekeraars ineens gaan besluiten dat jij 2x zoveel premie zou moeten betalen omdat bepaalde klachten in jouw familie voorkomen, of dat je een bepaalde baan of hypotheek niet zou kunnen krijgen, omdat er gegevens gelekt zijn.

Dan is het aan jou om aan te tonen waarom je dat niet hebt gekregen en dan trek je toch altijd aan het kortste eind.

Er is echt weinig meer persoonlijk dan jouw eigen medische gegevens en dat moet je dus ook niet openbaar willen maken. Er is maar een heel klein groepje wat ooit iets van jouw medische gegevens zou mogen weten en dat groepje is per definitie kleiner dan die 100'000-en die toegang gaan krijgen tot het EPD, laat staan die genen die wel jouw gegevens krijgen en eigenlijk geen toegang horen te hebben.

Nee we gaan echt compleet de verkeerde kant op tegenwoordig en mensen moeten erop gewezen worden dat je echt _recht_ hebt op een beetje privacy en dat dat recht veel meer waard is dan een paar euro korting op je zorgverzekering oid.
Maar zoals zovaak gaan mensen pas nadenken over dit soort dingen als het al goed mis is gegaan. Zo zie ik het nog wel gebeuren dat ziekenhuizen in handen komen van zorgverzekeraars... kun je je voorstellen hoe ongelooflijk verkeerd zo'n situatie is?

En je werkgever achterhaalt dat je een SOA hebt en dus beter maar met een drogreden kunt worden ontslagen want je weet maar nooit (of het aids is). Je ziektekostenverzekeraar heeft zojuist de premie met 3800% verhoogd of gooit je er helemaal uit en omdat je je als welzijnswerker met kinderen bezighoudt kan het dus alleen maar daarvan zijn en laat je vrouw zich van je scheiden nadat een arrestatieteam van 38 man je s'ochtends om 6 uur van je bed komt lichten. Terwijl je al net niet meer kunt praten wordt je, wegens ruimtegebrek maar misschien ook wel express, in een celletje gegooid bij het monster van laakkwartier die het toevallig niet zo opheeft met pedofielen en besluit je eenkoekje van eigen deeg te geven en je van achterneemt met z'n voet maat 54.

Waarschijnlijk allemaal niet waar (hoop ik voor je) maar als je weet hoe makkelijk foute informatie is te injecteren in zo'n systeem en hoe moeilijk te verwijderen zou je er toch iets genuanceerder over mogen denken

Ow, een koortslip is ook een SOA eigenlijk. Je privacy is alleen onbelangrijk zolang je 100% perfect bent

[Reactie gewijzigd door Indoubt op zaterdag 9 mei 2009 13:44]

Maar wat als je EPD openbaar is en bv je werkgever je medische geschiedenis kan uitpluizen, met je gebroken been hoef je niets te vrezen, maar als je bv. HIV hebt en je werkgever of homofoob is en je al meteen als homofiel bestempelt of gewoon bang is (want alhoewel je niets te vrezen hebt is het gewoon een feit dat een groot deel van de mensen al geen hand meer wil geven aan iemand met HIV), misschien eens Philadelphia bekijken, een oudere film maar toch erg relevant mbt tot dit onderwerp. Of wat als je antidepressiva slikt of kanker hebt, kan je verzekeringsmaatschappij mooi elke verzekering gaan weigeren. Ik bedoel maar dat er oneindig veel situaties bestaan waarin ik mijn medische gegevens prive zou willen houden.
DIt voelt gewoon een beetje teveel als privacy afpakken want "je hebt toch niets te verbergen?"

En dat illegaal verkregen gegevens toch niet mogen gebruikt worden is mooi gezegd, maar hoe ga je bewijzen dat je werkgever je ontslagen heeft omdat je HIV hebt of dat je bank je een lening geweigerd heeft omdat je kanker hebt?

[Reactie gewijzigd door Robby517 op zaterdag 9 mei 2009 13:44]

1. Toch wel... Een werkgever zou kunnen besluiten je niet aan te nemen, omdat je vanwege te hoge bloeddruk misschien wel vaak ziek gaan zijn, of niet het risico willen lopen dat je tijdens je werk invalide of hoger wordt waardoor ze aan hoge kosten vastzitten. Zeker als er een andere kandidaat is die geen problemen heeft. Of een verzekering gaat je niet aannemen omdat ze zien dat je een te hoge risicofactor voor ze bent.

2. "Iedereen mag alles van me weten want ik heb niks te verbergen" ??

3. Ik snap niet dat de overheid het als hun werk ziet om medische gegevens van hun burgers centraal op te slaan. Wat mij betreft hebben ze daar niets mee te maken. Ik breng m'n gegevens liever naar een particulier electronisch patientiendossier, waarvoor ik betaal. Zij hebben veel meer belang dat mijn gegevens beschermd blijven en bovendien heb ik daar volledige zeggenschap over.

Ik zou toch maar een verzekeraar, hypotheker of werkgever zijn die toegang heeft tot jouw medische gegevens.

Nee meneer/mevrouw Pozo... u hebt een te hoge bloeddruk, wat tot gevolg kan hebben dat u eerder overlijd aan een hersenbloeding. Derhalve accepteren wij u niet als verzekerde, uw hypotheek wordt niet verstrekt en u krijgt geen vaste aanstelling.

Illegaal verkregen informatie mag zeker niet gebruikt worden. Maar ik kan op basis daarvan wel beslissen om je wel of niet die verzekering, hypotheek of baan te geven.

Ok, maar wat is het probleem dan? Als mijn EPD openbaar zou worden weet er iemand dat ik op 8 jarige leeftijd mijn rechterbeen gebroken heb, ik een te hoge bloeddruk heb (zit in de familie), ik ingeënt ben tegen een aantal tropische ziektes en wat mijn bloedgroep is.

En wat denk je dat er met de premie van je ziektekostenverzekering gebeurt zodra je verzekeraar achter die hoge bloeddruk komt?

En daarom moeten veel meer mensen zorgen dat dat bezwaar-bitje er komt te staan, zodat hopelijk de politici zich eens gaan afvragen of ze er wel goed aan doen om dit willens en wetens in te voeren.
Zie het als een stem tussen de verkiezingen door.

Ja, je kunt wel het betreffende ziekenhuis aanklagen, maar dan is het kwaad al geschied en zwerven jouw medische gegevens dus ergens rond. Als je een keer je been hebt gebroken of je blindedarm verwijderd dan is dat nog niet zo'n ramp, maar als je bv een ongeneeslijke ziekte hebt of je bent ooit depressief of verslaafd geweest dan word je niet blij als onbekenden jouw gegevens kunnen inzien.

De meeste mensen die zeggen 'niks te verbergen' hebben zijn jonge, gezonde mensen die (medisch gezien) inderdaad nog niks te verbergen hebben. Maar geloof me, er zijn genoeg mensen die hun medische geschiedenis liever tussen hun arts en hunzelf houden en daar kunnen jij en Pozo ook zomaar ineens bijhoren. Je hebt niet in de hand welke aandoeningen je krijgt...

Leuke mening maar het getuigt niet van heel veel ervaring. Ik ben een tijdje in Johannesburg geweest ten tijde dat dat nog de meest criminele stad ter wereld was. Een mensenleven was daar minder waard dan een kogel. De moorden werden niet meer geregistreerd maar afgeschaald aan het aantal vermoorde agenten.

In nederland word je heden ten dage meestal niet voor slechts een paar duizend euro vermoord (soms ook wel) maar dat is wel een hele beperkte setting

Dat zou ook niet goed zijn, wat dan heb je in 1 minuut na de hack 60 backups van geencrypte data .

Ik heb dus bezwaar gemaakt, omdat ALS het gebeurt dat ik in een ander ziekenhuis, door een andere dokter of wat dan ook behandeld word, ik altijd zelf nog een formulier kan tekenen waarin ik alleen die specifieke instelling of arts toestemming geef om alleen een beperkte dataset aan informatie uit mijn dossier elders te halen. Geen enkele aandoening die ik nu nog krijg maakt het noodzakelijk dat mijn volledige dossier onder ogen komt van een vreemde behandelaar. En mocht ik buiten bewustzijn verkeren, dan zitten er altijd nog kaartjes van contactpersonen in mijn portemonnee of kan er contact gezocht worden met mijn familie ... zegmaar zoals het altijd al voor iedereen werkte voordat ze op dat EPD kwamen.
Waar ik ook mijn twijfels bij heb is dat bij verdere Europanisering straks al die landelijke systemen gekoppeld worden tot een Europees systeem ... dat zou echt verschrikkelijk zijn imo en nergens voor nodig. Kennis is macht! En medische kennis is niet alleen macht, maar ook handel dus, getuige dit artikel. (Denk ook aan telemarketeers die via enquete formulieren de leeftijd e.d. van mensen hebben verkregen en dat bijvoorbeeld mensen van 50 jaar en ouder gebeld worden voor het afsluiten van een overlijdensrisico verzekering, een rollator of scootmobiel leasen etc.)

De apotheker