Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Maatschappij » Politiek & recht » 'Beveiliging aantal ziekenhuizen is ondermaats'

'Beveiliging aantal ziekenhuizen is ondermaats'

Door Joost Schellevis, woensdag 1 juni 2011 16:23, views: 12.235

In een aantal Nederlandse ziekenhuizen is de ict-beveiliging niet op orde, zo blijkt uit onderzoek van Ernst & Young. Van de 35 onderzochte ziekenhuizen hadden er 9 de beveiliging niet op orde. Het is niet bekend om welke ziekenhuizen het gaat.

Van alle 35 onderzochte ziekenhuizen heeft een kwart zijn informatiesystemen onvoldoende beveiligd, blijkt uit een audit van Ernst & Young. Van de 19 onderzochte algemene ziekenhuizen, hebben er 7 problemen met de beveiliging. Bij de 10 topklinische ziekenhuizen, die specialistische zorg aanbieden, waren er bij 2 problemen. Alle 6 onderzochte academische ziekenhuizen kregen een voldoende.

Ernst & Young onderzocht onder andere of het beveiligingsbeleid op papier in orde was, of toegang tot de systemen voldoende werd geautoriseerd en of informatiesystemen fysiek werden beveiligd. Veel zorginstellingen hadden onder andere problemen met het gebruik van wachtwoorden, aldus Ernst & Young, zonder hier nader op in te gaan. Ook werd de beveiliging niet overal goed intern geëvalueerd.

Ict-beveiliging in ziekenhuizen

Voldoende
Onvoldoende
Algemeen
**********
12
**********
7
Topklinisch
**********
8
**********
2
Academisch
**********
6
**********
0
Totaal
**********
26
**********
9

Bron: Ernst&Young

Volgende 16:35 Computex: OCZ combineert ssd met hdd op RevoDrive Hybrid
Vorige 15:45 Age of Empires Online gaat op 16 augustus live
Advertentie

Gerelateerde content

Gerelateerde jobs

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 49 reacties zichtbaar490 Off-topic / Irrelevant: 48 reacties zichtbaar48+1 On-topic: 35 reacties zichtbaar35+2 Informatief: 9 reacties zichtbaar9+3 Spotlight: 2 reacties zichtbaar2
«  1  2  3  »

Door slabetje, woensdag 1 juni 2011 16:26

Score: 0
Dan word het eens gouw tijd dat ze hier aan gaan werken.
Dit is zeker niet netjes. Beveiliging hoort gewoon goed te zijn!

Door Tsurany, woensdag 1 juni 2011 22:40

Score: 3
Beveiliging hoort inderdaad goed te zijn, echter hoort je personeel ook goed opgeleid te zijn met betrekking tot beveiliging. Veel ziekenhuizen hebben wel een goede beveiliging maar schieten dan weer te kort op wachtwoord beleid. Vaak zie je wachtwoorden onder toetsenbord en op monitoren geplakt, dat is natuurlijk absoluut niet veilig.

Een nieuw probleem wat je ziet opduiken is het gebruik van Single Sign-On systemen in combinatie met smartcards. Sommige ziekenhuizen gebruiken smartcards in combinatie met een wachtwoord of pincode waarmee artsen direct in het systeem inloggen en alle applicaties die daarbij horen. Op zich een handig en veilig systeem, echter zie je vaak dat artsen na het invoeren van hun pincode een paar uur lang rond kunnen lopen en kunnen inloggen zonder een wachtwoord te gebruiken.

Dit betekent dus dat als een arts rond 9:30 uur voor het laatst inlogt met een wachtwoord en rond 1 uur zijn kaart verliest tijdens lunch en dit pas rond 2 uur weer opmerkt er gewoon een window is van een half uur lang is waarbij mensen met die kaart toegang hebben tot alle in formatie in het ziekenhuis en alle medische programma's en patiëntgegevens.

Dit haalt natuurlijk het hele voordeel van toegang met smartcards weg. Het idee is juist dat je de combinatie van 'iets dat je hebt' en 'iets dat je weet' gebruikt voor een dubbele beveiliging.

Het is dan ook niet voor niets dat er NEN normeringen komen met betrekking tot informatiebeveiliging. Onder meer het gebruik van groepsaccounts is niet toegestaan en er worden eisen gesteld met betrekking tot secure access van de systemen. Helaas is dit in enorm veel ziekenhuizen nog niet op orde, ze zijn er wel mee bezig maar lopen gewoon ernstig achter.

Er zijn gelukkig genoeg bedrijven die een vorm van secure access bieden, helaas zijn deze pakketten erg duur. Je betaald vaak een groot bedrag per gebruiker, een bedrag dat ziekenhuizen gewoon niet hebben liggen. Een ziekenhuis heeft zo enorm veel projecten liggen en kan het lang niet allemaal tegelijk uitvoeren. Er zal bijvoorbeeld gekozen moeten worden tussen een nieuw EPD of toegang door middel van smartcards. In ziekenhuizen wordt deze beslissing echter gemaakt door artsen, die hebben de meeste macht. Mag jij eens raden wat ze liever hebben, een totaal andere manier van inloggen die ze niet gewend zijn of een beter EPD wat hun werk makkelijker maakt?

Een ander groot probleem zijn de pc's met medische programma's gekoppeld aan apparatuur. Dit zijn pc's waar vaak vanwege compatibiliteitsredenen geen anti-virus software op kan draaien maar die wel in het netwerk moeten hangen voor het opslaan van beelden. Via deze pc's kan een virus zich vaak goed verspreiden en het is erg lastig tegen te gaan.

[Reactie gewijzigd door Tsurany op woensdag 1 juni 2011 22:49]

Door djunicron, donderdag 2 juni 2011 04:28

Score: 1
De belangrijkste reden voor deze gang van zaken en de mentaliteit van artsen is simpelweg tijdsgebrek.

Om nog maar eens wat te noemen: wel eens gezien hoeveel USB sticks er in redelijk openbaar toegankelijke ruimtes in de machines steken. Waarom dat half uurtje op het netwerk proberen uit te buiten als je thuis een complete backup kan doorbladeren?

Maar ook papieren archieven zijn te gemakkelijk te raadplegen. En email conversaties onder personeel maar ook met externe instanties zijn ook niet altijd vrij van informatie waarmee de patient te herleiden is. Het uitlekken van een email + password combinatie van een emailaccount is ook al een nachtmerrie.

Er is ook in de zorg simpelweg niet genoeg tijd om nieuwe dingen te introduceren bij het personeel. Iedere overstap die niet vlekkeloos gaat kost tijd die er niet is. Overwerk wordt niet betaald, maar ik ken niemand die werkelijk 36 uur werkt. Of eigenlijk zelfs niemand die het bij 40 kan houden.

Door Paul-G, woensdag 1 juni 2011 16:27

Score: 1
Wel zeer slecht, als ziekenhuis heb je toch een bom aan kostbare informatie in handen. Best veel ziekenhuizen waar de beveiliging niet goed is.

Edit: Dit onderzoek zouden ze ook eens bij allerlei plaatselijke zieken huizen moeten doen, daar zal het nog wel erger zijn.

[Reactie gewijzigd door Paul-G op woensdag 1 juni 2011 16:28]

Door arjankoole, woensdag 1 juni 2011 16:29

Score: 1
Wel zeer slecht, als ziekenhuis heb je toch een bom aan kostbare informatie in handen. Best veel ziekenhuizen waar de beveiliging niet goed is.
Tja, maar voor een ziekenhuis is dit geen core-business, en de bezuinigingen die de ziekenhuizen voor hun kiezen krijgen zullen ze ook eerder op IT proberen te halen, dan op de zorg zelf.

Door massareal, woensdag 1 juni 2011 16:43

Score: 2
als je ziet wat er bezuinigd is afgelopen jaren, dan kan je afvragen hoe ze het uberhaubt nog draaien weten te houden. Helaas is dit jaar weer (geloof de 7e ronde), weer een bezuinigingsronde.
Ook heb ik het rapport van ernst&young mogen inzien in de tijd dat wij een grote ICT fusie had (wel vreemd dat ik die man niet gesproken heb, terwijl ik toch redelijk de motor van ons gebeuren ben) . Helaas ontbrak hier wel een hoop relevante informatie.
Geloof dat het ook voor de openhaard of monitor steun is gebruikt.

Het is zeker zorgwekkend, als je een netwerkstoring heb, moet je eens tellen hoeveel mensen dan verder kunnen werken <20% .
Alles is geautomatiseerd en een hoop systemen ook aan elkaar gekoppeld.

Een van de grootste probelemen in deze sector en dat is dan vooral in de grotere ziekenhuizen dat de ratio werknemer vs 'handen aan het bed' te klein is.
Er zijn te veel managementlagen en deze lagen zijn vaak ook nog eens te breed.
Hier zitten dus ook bijna de helft van je kosten in terwijl deze groep een klein deel van de werknemers uit maakt.

Door Ronno, woensdag 1 juni 2011 17:42

Score: 2
De crux van het grote probleem, en niet alleen in ziekenhuizen, ligt bij te veel (nutteloze) managementslagen, die onder de zware overhead van bedrijven en instellingen vallen.

Deze vallen eerder buiten de core business van bijvoorbeeld een ziekenhuis dan ICT.
Een groot deel van de ICT valt wel onder de core business omdat veel systemen direct van invloed hebben op het bedienen van patienten en verzorgers.

Bij bezuinigingsrondes zullen de managementslagen zo veel mogelijk in stand worden gehouden.
Anders snijden ze zelf in hun eigen functies en het is een ons-kent-ons ellebogen cultuur.


"ratio werknemer vs 'handen aan het bed' te klein"
Het percentage werkelijke verzorging die bij 'handen aan het bed' hoort, wordt sterk vermindert door nutteloze administratieve handelingen opgedragen door diezelfde managers.

Door djunicron, donderdag 2 juni 2011 04:32

Score: 0
Nutteloze stappen worden veelal gewoon overgeslagen door adequaat personeel. Ik zie totaal niet dat er teveel management beslissingen worden opgelegd die puur administratief zijn. Het wordt redelijk tot het minimum beperkt, het is eerder de overheid, de auditor en de verzekeraar die voor meer administratie zorgt.

Een groot probleem met de administratie is dat de systemen bijzonder slecht samen werken, al helemaal buiten de muren van instanties, maar vaak ook buiten afdelingen.

Door PHiXioN, donderdag 2 juni 2011 01:39

Score: 0
Een auditrapport is er op gericht om een bepaalde hoeveelheid aan zekerheid af te geven en eventuele zwakheden aan te kaarten. Hoe goed een instelling het doet ondanks het lage budget is geen factor om rekening mee te houden. Je stelt een norm en daar voldoet men aan of niet. Eventuele tekortkomingen en het bijbehorende advies is gericht op het management dat bepaalt hoeveel van dat budget beschikbaar is voor het inrichten van informatiebeveiliging of de IT-functie in het algemeen.

[Reactie gewijzigd door PHiXioN op donderdag 2 juni 2011 01:40]

Door Bundin, donderdag 2 juni 2011 11:02

Score: 2
Zeker niet alleen de managementlagen die excessief duur zijn. Kijk vooral ook naar het verziekte DBC-systeem. Het systeem veroorzaakt perverse prikkels omdat het inkomen van specialisten wordt vastgesteld door (DBC x normtijd x uurtarief). Meer DBCs of duurdere DBCs betekent meteen een hoger inkomen voor de arts in kwestie. Daarbij komt nog dat ze op een rare manier gestandaardiseerd zijn zodat ook maar zijdelings betrokken artsen (anesthesist blijvoorbeeld) altijd gecompenseerd wordt voor werk wat niet altijd geleverd hoeft te worden. De prijs wordt dus niet gebaseerd op de handelingen die daadwerkelijk geleverd zijn maar op een "standaardpatient". En volgens een kennis: "ff kort bellen met een collega is uiteraard een interdiciplinair overleg, 10 minuten opschrijven en wegboeken"

Een significant aantal specialisten ging ineens een stuk meer verdienen na invoering van DBCs, goed voor miljoenen per jaar in heel Nederland.

Wat mij betreft gaat de hele sector in loondienst en wordt de hoogte van het inkomen losgekoppeld van DBCs. Verder de numerus fixus verruimen en later afschaffen (inclusief verplichting voor de sector om voldoende opleidingsplaatsen te creëren). Het moet maar eens afgelopen zijn met de kunstmatige schaarste. En het inkomen van zorgbestuurders kan ook worden gestandaardiseerd als je het mij vraagt. Ze worden uiteindelijk allemaal betaald uit de premies die we met z'n allen ophoesten.

De zo vrijgekomen gelden kunnen besteed worden aan projecten als deze en aan voldoende gekwalificeerd, behoorlijk betaald verplegend/ondersteunend personeel.

Door yiNXs, woensdag 1 juni 2011 17:24

Score: 2
geen core-business
Dat is altijd weer het knelpunt, niet alleen bij ziekenhuizen, het is nergens core business. Beveiliging wordt nog steeds als een vervelende en alleen indirect zinvolle kostenpost gezien, als BTW op de kassabon. Het wordt wel altijd meegenomen als standaard onderdeel van het geheel, maar zodra de deadlines naderen, of onvoorziene kosten stijgen, is het nog veel te vaak het eerste onderdeel dat de klappen vangt.

Het is goed dat dit soort onderzoeken gehouden worden, want het enige dat helpt is mensen constant confronteren met dit soort nalatigheid. De enige nog effectievere confrontatie is wanneer er eentje goed op z'n muil gaat, maarja dan vallen er dus onschuldige slachtoffers. Bij ziekenhuizen is dat weer net een iets te zware prijs, dan gaat het niet niet meer over een handvol emailadressen.

Door djunicron, donderdag 2 juni 2011 04:36

Score: 0
Hangt van de afdeling af. "droge laboratoria" (aka wetenschappelijke ondersteuning) kunnen simpelweg niet zonder ICT. Als het doen van analyses en het verzamelen van informatie een hoofdtaak is, is ICT gewoon core-business.

Leuk getal: Als het netwerk van een onderzoekstak van een zorginstelling met 60 voltijds contracten WP er een uur uit ligt, kost dat gemiddeld over de €100.000 aan verloren productiviteit en personeel om het weer te herstellen.

Door lexi, woensdag 1 juni 2011 16:39

Score: 1
Alsof het bedrijfsleven zijn informatie zo goed beveiligd heeft

Door TheNymf, woensdag 1 juni 2011 17:00

Score: 0
Ja, meestal wel en goed genoeg ook....

Door supersnathan94, woensdag 1 juni 2011 17:20

Score: 1
bedrijven hebben geen diepgaande informatie over jouw medisch dossier. dat hebben alleen artsen en doctoren. het medisch dossier is vele malen gevoeliger dan de telefoonnummers en adres gegevens die veel bedrijven hebben. de beveiliging zou daar daarom ook veel hoger moeten zijn. dat is helaas niet het geval. nee het is juist precies andersom.

Door Tijger, woensdag 1 juni 2011 17:20

Score: 1
Wat vind jij erger, jouw medische gegevens slecht beveiligd of dat Duinrell zijn beveiling niet op orde heeft?

Even nadenken wat een kwaadwillend persoon kan doen in medische dossiers, dat kan mensen hun leven kosten.

Door Soldaatje, woensdag 1 juni 2011 16:29

Score: 1
Nou ik vind het nog wel meevallen, het merendeel is voldoende.
Na alle ICT ellende in Nederland is dit eigenlijk nog best goed nieuws.

Door tweaker2010, woensdag 1 juni 2011 16:30

Score: 1
Goed dat de invoering van het landelijk EPD niet doorgegaan is, blijkbaar is in veel ziekenhuizen de beveiliging zo lek als een mandje.

Door lexi, woensdag 1 juni 2011 16:37

Score: 0
En om zulk soort reacties gaat het EPD niet door. Die losers in de tweede kamer die hier over gaan weten er namelijk net zoveel vanaf als jou.

Voor het EPD heb je een UZI pas nodig, een post-it voldoet niet.

Door Xubby, woensdag 1 juni 2011 21:57

Score: 1
De eerste kamer heeft het EPD afgeschoten.
Maar een groot deel van het EPD is al actief en wordt (voorlopig?) niet afgebouwd.

http://privacynieuws.nl/databases/epd.html

Door Tsurany, woensdag 1 juni 2011 22:42

Score: 0
Het landelijk EPD is een systeem dat totaal afgesloten is van het lokale EPD dat in ziekenhuizen gebruikt wordt. Het landelijk EPD heeft een apart systeem om in te loggen met een aparte pas die compleet los staat van de pas die binnen het ziekenhuis zelf gebruikt wordt. Daarnaast heeft enkel een selectieve groep binnen het ziekenhuis toegang tot het EPD, niet vrijwel het gehele ziekenhuis.

Door Xubby, woensdag 1 juni 2011 23:03

Score: 0
Wel eens in een non-profit organisatie naar de inlognamen en wachtwoorden gevraagd?
En gezien waar je ze allemaal kunt vinden op het bureau, onder de bureaulegger, monitor, enz.?

Door Nemean, woensdag 1 juni 2011 16:31

Score: 1
Het is ook niet veel beter in de zorg instellingen. Mocht een keer controle uitvoeren als opdracht, er werd niet gevraagd wie we waren, wat we deden. En de oh zo bekende wachtwoorden met een post-IT op het scherm geplakt. En met die gegevens kan je zo zien welke patiënt / client welke medicijn gebruikte. En dan te bedenken dat ze zich aan de NEN norm moeten houden.

Edit, link werkt niet: http://www.nen7510.org/

[Reactie gewijzigd door Nemean op woensdag 1 juni 2011 16:33]

Door BrennuS, woensdag 1 juni 2011 16:34

Score: 1
Ik mis een stuk methodiek en bronvermelding. welke normen zijn er gehanteerd en wat was de score, welke ziekenhuizen en de bijlage.

Dit document is zo high level (er wordt in categorieen gesproken) dat ik deze conclusies ook wel wil overnemen voor andere branches.

Hoop dat er nog wat meer inzage komt in de onderbouwing van deze audit/conclusie.

Door jip_86, woensdag 1 juni 2011 16:45

Score: 1
De ziekenhuizen zul je wel niet te horen krijgen. Er zijn veel meer ziekenhuizen dan hier vermeld worden. Je hebt er niets aan om die ziekenhuizen aan de schandpaal te nagelen terwijl er ongetwijfeld veel meer ziekenhuizen zijn waar dit het geval is.

Door TheNymf, woensdag 1 juni 2011 17:02

Score: 1
ik weet er niet veel van af, maar ik denk de " NEN 751" norm.

stukje uit de audit:
Om hierbij te helpen is NEN 7510 in het leven geroepen. De norm NEN 7510
gaat over informatiebeveiliging binnen de zorgsector.

Door Ghoztmaster, woensdag 1 juni 2011 16:40

Score: 0
Kan niet veel betekenen, het is onderzocht door Ernst & Young. Niet echt specialisten op dit gebied.
In elke audit die zij uitvoeren (en ik gelezen heb) zitten aantoonbare fouten en zeer veel aannames, die bij doorvragen slechts zelden zo hard zijn als zij in een rapport beweren.

Kul bericht wat mij betreft.

Door Yukkie, woensdag 1 juni 2011 16:51

Score: 1
Dat ze een van de grootste zijn in hun vakgebied is hen ook aan komen waaien! Stelletje prutsers! dat zijn het!


en nu serieus:
ze hebben een speciale afdeling die zich bezig houd met (ICT-)security audits. Dit doen zij ook voor banken etc. Dus het zijn wèl specialisten op dit gebied. EY doet meer dan alleen cijfertjes door rekenen, net zoals PWC, KPMG, etc. Mijn vader heeft ooit een cursus bij KPMG gevolgd over Ethiek op de werkvloer, ook niet iets wat je verwacht van een accountantskantoor. Maar aangezien accountants (en belastingadviseurs trouwens) bij veel bedrijven over de vloer komen en deze bedrijven compleet door lichten, hebben ze in de loop de jaren ook verstand van andere zaken ontwikkeld (of specialisten ingehuurd).

[Reactie gewijzigd door Yukkie op woensdag 1 juni 2011 16:56]

Door Thc_Nbl, woensdag 1 juni 2011 16:54

Score: 1
Ernst & Young, hmm, die zag ik laatst nog voorbij komen in mijn logs.. hahah...
Die moeten eerst zelf maar eens wat aan de beveiliging gaan doen.
Mijn mail servers blokken een aantal van hun netwerk ranges vanwege geinfecteerde pc's in die ranges.
Lang leven spamhaus. }>

Door dubbi3, woensdag 1 juni 2011 17:01

Score: 1
Lekker i.c.m. elektronisch patientendossier! Volgens mij kan ik beter alvast mijn eigen dossier op internet plaatsen, weet ik in ieder geval dat wat er in staat ook daadwerkelijk klopt!

Door TheNymf, woensdag 1 juni 2011 17:20

Score: 1
ehm, dat werkt wel een stukje anders... nu is het altijd mogelijk om bijv. een printscreen te maken van een dossier, maar dit is ook mogelijk met een camera, bij de huisarts ed.
overigens is afiak het EPD versleuteld met je DIGID en daarmee dus ook een type encryptie. Het dosier is dus alleen te openen op een specifieke locatie binnen een specifieke tijd...

Door fdm391, woensdag 1 juni 2011 17:07

Score: 1
Een virus in een computernetwerk van een ziekenhuis is nooit grappig
«  1  2  3  »

Op dit item kan niet meer gereageerd worden.

Volgende 16:35 Computex: OCZ combineert ssd met hdd op RevoDrive Hybrid
Vorige 15:45 Age of Empires Online gaat op 16 augustus live
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011