Medische website gaf toegang tot duizenden patiëntgegevens - update
Medische gegevens van duizenden Brabanders zouden eenvoudig opvraagbaar zijn geweest via de website van medisch onderzoekscentrum 'Diagnostiek Voor U'. De informatie was beveiligd met een eenvoudig te raden wachtwoord.
Dat meldt Omroep Brabant, dat een tip kreeg van Henk Krol, lijsttrekker van de partij 50Plus. Medisch onderzoekscentrum 'Diagnostiek Voor U' doet bloedonderzoek voor onder andere ziekenhuizen en huisartsen, waarbij medici via de webapplicatie Cyberlab laboratoriumuitslagen konden invoeren en inzien. Volgens Krol ontdekte een partijlid dat met een eenvoudig te raden wachtwoord toegang tot het systeem verkregen kon worden en duizenden medische dossiers van Brabanders opgevraagd konden worden.
Uit de medische gegevens zou onder andere opgemaakt kunnen worden of patiënten drugs of alcohol hebben gebruikt, terwijl ook het medicijngebruik inzichtelijk was. De Cyberlab-website is inmiddels 'wegens een beveiligingsincident' uit de lucht gehaald. Diagnostiek voor U stelt dat het alle belanghebbenden zal inlichten over de problemen.
Update 18:50: Diagnostiek voor U meldt in een persbericht dat de inloggegevens van een bestaand artsenaccount door een 'individu' zijn gebruikt. Het onderzoekscentrum stelt dat 'voor zover bekend' er geen aanwijzingen zijn dat patiëntgegevens zijn gekopieerd. Daarbij zou navraag gedaan zijn bij Krol en zijn partijgenoot. Het is onduidelijk hoe de inloggegevens in verkeerde handen zijn gekomen.
Reacties (64)
Laat me raden... username: admin, password: admin ??
zal het straks even navragen, mijn schoonzusje werkt er namelijk 
toch niet als beveiligingsexpert?
neen, ik zei toch "werkt"
+1
Ik werk zelf met het ' niet bestaande epd' en vind dit érg slecht. Vooral omdat wij, als bedrijf, aan een hoop beveiligings-voorwaarden en NEN normen dienen te voldoen en (terecht) ABSOLUUT NIETS op mogen slaan.
érg slechte zaak
Ik werk zelf met het ' niet bestaande epd' en vind dit érg slecht. Vooral omdat wij, als bedrijf, aan een hoop beveiligings-voorwaarden en NEN normen dienen te voldoen en (terecht) ABSOLUUT NIETS op mogen slaan.
érg slechte zaak
De relevantie van "opslaan" ontgaat me hier. Wat zou er in jouw ogen niet mogen worden opgeslagen? Er zal ALTIJD data worden opgeslagen. Hoe wil je anders een bloeduitslag bij een arts krijgen, een urine analyse bij een specialist?
Dit is een typisch geval van bewust worden, een van de grootste (zo niet DE grootste) NEN uitdagingen.
Je kan alles beveiligen en dicht timmeren, medewerkers en iedereen die met je te maken heeft bewust te laten worden van de gevolgen van data exposure is een kleine nachtmerrie. Helaas is het vaak zo dat er eerst iets moet gebeuren, zoals dit, voordat die gevolgen bij iedereen landen.
Het is ook een beetje de aard van de mens. Veruit de meeste mensen zijn reactief ingesteld, de minderheid is proactief. 'Wat kan er misgaan als ik (een deel van) mijn inlognaam gebruik in mijn wachtwoord ... De kans dat dat gebruikt wordt is zooo klein ...'
Helaas zijn in de zorg nog tal van systemen in productie, die dat zonder morren toestaan. Sterker, er zijn genoeg voorbeelden van systemen waar je gebruikersnaam je wachtwoord moet zijn, omdat het niet anders kan.
En met die opmerking wordt het probleem ineens een stuk complexer, omdat ook leveranciers van HIS en ZIS systemen eens in actie moeten komen.
Ik werk overigens ook in de zorg, en in de ICT tak daarvan, en ben betrokken bij de invoering van NEN7510 binnen het bedrijf. De problematiek is me zeer bekend, en is een enorme uitdaging. En zeker niet alleen voor de zorg sector.
Dit is een typisch geval van bewust worden, een van de grootste (zo niet DE grootste) NEN uitdagingen.
Je kan alles beveiligen en dicht timmeren, medewerkers en iedereen die met je te maken heeft bewust te laten worden van de gevolgen van data exposure is een kleine nachtmerrie. Helaas is het vaak zo dat er eerst iets moet gebeuren, zoals dit, voordat die gevolgen bij iedereen landen.
Het is ook een beetje de aard van de mens. Veruit de meeste mensen zijn reactief ingesteld, de minderheid is proactief. 'Wat kan er misgaan als ik (een deel van) mijn inlognaam gebruik in mijn wachtwoord ... De kans dat dat gebruikt wordt is zooo klein ...'
Helaas zijn in de zorg nog tal van systemen in productie, die dat zonder morren toestaan. Sterker, er zijn genoeg voorbeelden van systemen waar je gebruikersnaam je wachtwoord moet zijn, omdat het niet anders kan.
En met die opmerking wordt het probleem ineens een stuk complexer, omdat ook leveranciers van HIS en ZIS systemen eens in actie moeten komen.
Ik werk overigens ook in de zorg, en in de ICT tak daarvan, en ben betrokken bij de invoering van NEN7510 binnen het bedrijf. De problematiek is me zeer bekend, en is een enorme uitdaging. En zeker niet alleen voor de zorg sector.
Ach, als zelfs het netwerk van een grote ISP door een 17 jarige kan worden gekraakt. Dan zullen er vast meer bedrijven zijn die op zo'n zelfde manier opengebroken kunnen worden..
Je kan nog zo veel beveiligen cq afschermen. maar als je eenmaal door hebt hoe de beveiliging inelkaarzit dan kan je de donder op zeggen dat zo'n hacker gemakelijker kan inbreken.
Je kan nog zo veel beveiligen cq afschermen. maar als je eenmaal door hebt hoe de beveiliging inelkaarzit dan kan je de donder op zeggen dat zo'n hacker gemakelijker kan inbreken.
Een post it note natuurlijk.
password, wachtwoord, ziekenhuis, patient, ziek, geheim...
Ben toch benieuwd wat dat wachtwoord dan wel niet was. Het is echter schandalig hoe sommige systeembeheerders omgaan met de veiligheid binnen hun bedrijf. Die mensen zouden per direct een cursus internetveligheid moeten gaan volgen. Een enorm aantal bedrijven in nederland worden dagelijks gehackt omdat de beveiliging gewoon niet in orde is, terwijl het in princiepe niet zo´n hele moeilijke taak is voor iemand die er een beetje verstand van heeft.
Ben toch benieuwd wat dat wachtwoord dan wel niet was. Het is echter schandalig hoe sommige systeembeheerders omgaan met de veiligheid binnen hun bedrijf. Die mensen zouden per direct een cursus internetveligheid moeten gaan volgen. Een enorm aantal bedrijven in nederland worden dagelijks gehackt omdat de beveiliging gewoon niet in orde is, terwijl het in princiepe niet zo´n hele moeilijke taak is voor iemand die er een beetje verstand van heeft.
mwa. als je wil kom je er altijd wel in mits je genoeg skills hebt. niks is waterdicht ;-)
en beveiliging == geld
en voor de programeurs onder ons:
Zorg =! geld...
en beveiliging == geld
en voor de programeurs onder ons:
Zorg =! geld...
Nou, ik kan je vertellen: ik werk in de zorg in de IT (niet onderdeel van zorgorganisatie) en we hebben het verschrikkelijk druk. Geld genoeg, zolang het op de langere termijn maar tot besparingen leidt.
[Reactie gewijzigd door CJ_Latitude op donderdag 19 april 2012 15:52]
Betekend dat niet gewoon dat jullie een mannetje tekort hebben? omdat daar geen geld voor is? Of meen je het echt dat jullie geen geld hebben
Wij maken software voor de zorg en zijn niet onderdeel van een zorgorganisatie.
Van de IT afdeling van een ziekenhuis mag je toch verwachten dat ze er alles aan doen om de beveiliging goed te regelen. Of is dat verkeerd gedacht?
Als ik van de zijlijn zie hoe de IT ingevuld wordt bij een zekere grote GGD, dan zou ik me bijna gaan schamen om het feit dat ik ook IT-er ben. Mijn handen jeuken om daar grote schoonmaak te houden en de zaak goed op poten te zetten. Zoals het nu is opgezet kost het enorm veel geld, vooral omdat gebruikers niet kunnen werken zoals ze moeten werken en stomweg heel veel niet kunnen doordat "IT heeft besloten dat...".
Ik krijg soms de indruk dat ze daar BOFH af en toe letterlijk toepassen.
Ik krijg soms de indruk dat ze daar BOFH af en toe letterlijk toepassen.
Hack jij dan maar eens AES256 versleutelde bestanden, succes. 
Of probeer maar betalingsverkeer van sns te hacken, zul je zien dat het toch wel zo lastig gemaakt kan worden dat je kan stellen dat het komende 10 jaar of langer niet gehack kan worden. Je hebt gelijk alles is te hacken, maar niet alles is ook te hacken in redelijk tijd dat het aantrekkelijk is. Als je 20 jaar moet wachten voordat je de sleutel heb geraden dan is het dus hackbaar maar geen hacker die het voor elkaar krijgt op dit moment en tegen die tijd zijn we lang weer over op AES 2048 of zo. Je blijft dus wachten en wachten en zal nooit voor elkaar krijgen om erbij te komen voordat ze weer overgestapt zijn naar sterker beveiliging.
Of probeer maar betalingsverkeer van sns te hacken, zul je zien dat het toch wel zo lastig gemaakt kan worden dat je kan stellen dat het komende 10 jaar of langer niet gehack kan worden. Je hebt gelijk alles is te hacken, maar niet alles is ook te hacken in redelijk tijd dat het aantrekkelijk is. Als je 20 jaar moet wachten voordat je de sleutel heb geraden dan is het dus hackbaar maar geen hacker die het voor elkaar krijgt op dit moment en tegen die tijd zijn we lang weer over op AES 2048 of zo. Je blijft dus wachten en wachten en zal nooit voor elkaar krijgen om erbij te komen voordat ze weer overgestapt zijn naar sterker beveiliging.
Dan loopt de hacker even bij een huisarts naar binnen, deelt een paar tikken uit en loopt vervolgens met wachtwoorden op zak naar buiten.. Zie bijvoorbeeld deze strip: http://xkcd.com/538/
Daarbij als de website de gegevens in de database kan zetten, is de kans ook ontzettend groot dat deze de gegevens weer uit de database kan halen. Dat maakt de encryptie in de database niet meer dan een wassen neus.
Je kan natuurlijk elk record afzonderlijk gaan encrypten, maar dan kun je weer niet gebruik maken van de aggregate functies van je database. En reken maar men vaak cijfers uit die database wil hebben.
Het grootste probleem is en blijft is dat dergelijke database gebruikt worden door mensen en die houden niet van lastige wachtwoorden. En daar zit dus de zwakste schakel.
Een beter instrument is autorisatie welke bepaald welke user bij welke gegevens mag. Is vele malen eenvoudiger te implementeren en vaak ook effectiever. Zo hoeft een huisarts alleen bij de gegevens van zijn eigen patienten te kunnen. Dus zelfs als dan de login gegevens achterhaald worden, dan nog is het aantal gegevens dat ingezien kan worden beperkt..
Daarbij als de website de gegevens in de database kan zetten, is de kans ook ontzettend groot dat deze de gegevens weer uit de database kan halen. Dat maakt de encryptie in de database niet meer dan een wassen neus.
Je kan natuurlijk elk record afzonderlijk gaan encrypten, maar dan kun je weer niet gebruik maken van de aggregate functies van je database. En reken maar men vaak cijfers uit die database wil hebben.
Het grootste probleem is en blijft is dat dergelijke database gebruikt worden door mensen en die houden niet van lastige wachtwoorden. En daar zit dus de zwakste schakel.
Een beter instrument is autorisatie welke bepaald welke user bij welke gegevens mag. Is vele malen eenvoudiger te implementeren en vaak ook effectiever. Zo hoeft een huisarts alleen bij de gegevens van zijn eigen patienten te kunnen. Dus zelfs als dan de login gegevens achterhaald worden, dan nog is het aantal gegevens dat ingezien kan worden beperkt..
Klopt volledig.
Echter dan ben je op vakantie in de Veluwe, wordt je daar ziek en heb je daar medische hulp nodig en wilt de huisarts daar je gegevens in kijken. Om die reden moet het dus mogelijk zijn een ruimere toegang te krijgen.
Één mogelijke oplossing zou zijn met een smartcard die je dan als patiënt bij je moet hebben. Helaas licht die dan toevallig thuis of had je die niet mee naar het zwembad/strand/... toen je die beroerte kreeg.
De RIFD-chip die in je hand of voorhoofd gezet wordt (maart 2013 in de USA) is om weer andere redenen heel eng. Daar heb je immers als houder geen enkele controle meer over.
Echter dan ben je op vakantie in de Veluwe, wordt je daar ziek en heb je daar medische hulp nodig en wilt de huisarts daar je gegevens in kijken. Om die reden moet het dus mogelijk zijn een ruimere toegang te krijgen.
Één mogelijke oplossing zou zijn met een smartcard die je dan als patiënt bij je moet hebben. Helaas licht die dan toevallig thuis of had je die niet mee naar het zwembad/strand/... toen je die beroerte kreeg.
De RIFD-chip die in je hand of voorhoofd gezet wordt (maart 2013 in de USA) is om weer andere redenen heel eng. Daar heb je immers als houder geen enkele controle meer over.
In dit specifieke geval is je voorbeeld niet van toepassing.
De onderzoeksresultaten in die database zijn bedoeld voor de arts die het onderzoek heeft aangevraagd.
(Ookal betwijfel ik dat die arts op de Veluwe een account heeft bij een bedrijf dat voor Brabantse artsen en ziekenhuizen werkt.)
In de praktijk zal die arts in de Veluwe contact opnemen met jou huisarts, of wanneer dit niet lukt en het dringend is mag je naar het ziekenhuis waar het nodige onderzoek met spoed uitgevoerd wordt. Zo nodig gewoon opnieuw.
Het is ook helemaal niet de bedoeling dat iedere arts zomaar bij ieders gegevens kan. Zie de hele discussie over het EPD.
Mijn mening
In dit geval zou dit instituut inderdaad geen toegang tot de gegevens van andere patiënten moeten geven. Juist de verspreiding van die informatie zorgt voor een verlaging van het risico.
Maar wat die hacker betreft die de arts slaat. Wat dacht je van de pc van de arts? Je wil niet weten wat daar soms in staat ....
Of als je toch een hacker bent:
Hoeveel artsen zouden verstandig genoeg zijn om hun werk pc / netwerk los te houden van het internet?
Ja, een aparte pc voor het internet is zeker de moeite waart.
De onderzoeksresultaten in die database zijn bedoeld voor de arts die het onderzoek heeft aangevraagd.
(Ookal betwijfel ik dat die arts op de Veluwe een account heeft bij een bedrijf dat voor Brabantse artsen en ziekenhuizen werkt.)
In de praktijk zal die arts in de Veluwe contact opnemen met jou huisarts, of wanneer dit niet lukt en het dringend is mag je naar het ziekenhuis waar het nodige onderzoek met spoed uitgevoerd wordt. Zo nodig gewoon opnieuw.
Het is ook helemaal niet de bedoeling dat iedere arts zomaar bij ieders gegevens kan. Zie de hele discussie over het EPD.
Mijn mening
In dit geval zou dit instituut inderdaad geen toegang tot de gegevens van andere patiënten moeten geven. Juist de verspreiding van die informatie zorgt voor een verlaging van het risico.
Maar wat die hacker betreft die de arts slaat. Wat dacht je van de pc van de arts? Je wil niet weten wat daar soms in staat ....
Of als je toch een hacker bent:
Hoeveel artsen zouden verstandig genoeg zijn om hun werk pc / netwerk los te houden van het internet?
Ja, een aparte pc voor het internet is zeker de moeite waart.
[Reactie gewijzigd door R-J_W op vrijdag 20 april 2012 21:30]
De enige spelden die tussen dit verhaal zijn te krijgen zijn exploits.
Dat klopt niet wat je zegt. Encryptie werkt namelijk op een manier waarmee je zonder het juiste wachtwoord niets kunt. Alle bits, bytes en blocks (gewoon stukken van het totaal geencrypte bestand) worden op een manier door elkaar gehusseld en omgekeerd die alleen af te leiden is van het correcte antwoord. Het is waterdicht op bruteforce na, maar als je je wachtwoord lang genoeg maakt ben je een miljoen jaar bezig totdat je alle wachtwoorden hebt uitgeprobeerd.
Exploits zouden misschien te gebruiken zijn in het bankverhaal maar ik denk niet dat je die kunt toepassen op de bank. Wel zou het misschien kunnen op de gebruiker, maar een beetje antivirus prikt daar wel doorheen. Overigens word daar gebruik gemaakt van public key encryptie om de verbinding op te zetten.
Edit:
Mocht zich nog een zaak voordoen als bij Diginotar is het natuurlijk een ander verhaal.
Exploits zouden misschien te gebruiken zijn in het bankverhaal maar ik denk niet dat je die kunt toepassen op de bank. Wel zou het misschien kunnen op de gebruiker, maar een beetje antivirus prikt daar wel doorheen. Overigens word daar gebruik gemaakt van public key encryptie om de verbinding op te zetten.
Edit:
Mocht zich nog een zaak voordoen als bij Diginotar is het natuurlijk een ander verhaal.
[Reactie gewijzigd door M.l. op donderdag 19 april 2012 16:42]
Kwalijke zaak. Dat je website bijvoorbeeld gehackt wordt is tot daar aan toe, maar om een simpel te raden wachtwoord te gebruiken voor iets dat absoluut niet "op straat" hoor te komen, is zéér onprofessioneel en bezwaarlijk.
En "dit soort" ziekenhuizen gaat straks een Electronisch Patienten Dossier beheren ...Kwalijke zaak. Dat je website bijvoorbeeld gehackt wordt is tot daar aan toe, maar om een simpel te raden wachtwoord te gebruiken voor iets dat absoluut niet "op straat" hoor te komen, is zéér onprofessioneel en bezwaarlijk.
Ben blij dat ik me afgemeld heb voor het EPD.
Het EPD zal best "beter" beveiligd worden, maar mijn vertrouwen blijft weg.
En we hebben mogen kennisnemen van een ander misstand: Men heeft toegang tot alle dossiers.
En dan bedoel ik niet hackers, lekken oid, maar gewoon mensen die volgens de normale gang van zaken toegang hebben tot het systeem.
Dus niet alleen mijn behandelend arts heeft toegang tot mijn gegevens, maar anderen ook. Vast wel de beheerders van het systeem, want ondanks dat ze zouden moeten zorgen dat mijn dossier ook niet voor hen in te zien is, gebeurt dat zelden. Een admin is vaak God op zijn systemen.
En misschien heeft wel elke arts, of apotheken, de receptioniste, of misschien zelfs wel iedereen die toegang tot het systeem de mogelijkheid mijn dossier in te zien en wordt er op goed fatsoen vertrouwd dat niemand even voor 'de lol' het dossier van de koningin, of zijn buurman opent.
Dat is potentieel een grove schending van privacy, medisch beroepsgeheim, vertrouwen, etc. Een systeem dat dit toestaat zou niet mogen bestaan, maar we hebben zojuist geleerd dat het wel bestaat.
Mijn medisch dossier zou door mij en mijn artsen ingezien/aangepast moeten kunnen worden, verder door niemand zonder mijn toestemming, zelfs niet de beheerder van het systeem. Maar behalve dat ik er zelf niet eens toegang toe heb, hebben anderen dat blijkbaar wel.
En dan bedoel ik niet hackers, lekken oid, maar gewoon mensen die volgens de normale gang van zaken toegang hebben tot het systeem.
Dus niet alleen mijn behandelend arts heeft toegang tot mijn gegevens, maar anderen ook. Vast wel de beheerders van het systeem, want ondanks dat ze zouden moeten zorgen dat mijn dossier ook niet voor hen in te zien is, gebeurt dat zelden. Een admin is vaak God op zijn systemen.
En misschien heeft wel elke arts, of apotheken, de receptioniste, of misschien zelfs wel iedereen die toegang tot het systeem de mogelijkheid mijn dossier in te zien en wordt er op goed fatsoen vertrouwd dat niemand even voor 'de lol' het dossier van de koningin, of zijn buurman opent.
Dat is potentieel een grove schending van privacy, medisch beroepsgeheim, vertrouwen, etc. Een systeem dat dit toestaat zou niet mogen bestaan, maar we hebben zojuist geleerd dat het wel bestaat.
Mijn medisch dossier zou door mij en mijn artsen ingezien/aangepast moeten kunnen worden, verder door niemand zonder mijn toestemming, zelfs niet de beheerder van het systeem. Maar behalve dat ik er zelf niet eens toegang toe heb, hebben anderen dat blijkbaar wel.
Ik ben bang dat door je commentaar mensen bang gaan worden voor gezondheidsdossiers in de bredere zin van het woord en niet alleen voor dit soort on-line dossiers.
Als je dit namelijk vindt van alle zorgdossiers, wat ik toch wel proef, loop je door je stricte houding zeer veel gezondheidsrisico's. Zorgverleners (en ja, daar vallen apotheken ook onder, en nee secretaresses niet) mogen nu al alleen met een zorgvraag je dossier inzien. Wel vreemd dat je alleen je behandelend arts toestemming wilt geven. In noodgevallen kom je in het ziekenhuis. Daar lopen andere artsen, die vast ook graag je medicijngegevens inzien, dan bellen ze je apotheek. Wel lastig als die je dossier niet in mag zien. Er zal dus voor zorgverleners altijd een mogelijkheid moeten zijn om bij een zorgvraag je dossier in te kunnen zien. En we hebben allen inderdaad beroepsgeheim en ik mag toch graag denken dat we ons daar allen aan houden. Daarnaast gaan we niet uit van goed fatsoen, maar is er wel degelijk een toezichthouder.
Prima dat je wilt dat alles goed geregeld is, maar je moet wel heel erg oppassen dat je privacy ergens niet ten koste gaat van je gezondheid. Amerikaanse taferelen lijken mij niet gewenst.
Overigens ben ik wél van mening dat het onverstandig is dit soort dossiers online te zetten. Momenteel gebeurt dit in een goed beveiligde omgeving waarbij elke opvraging gelogd wordt etc.
Als je dit namelijk vindt van alle zorgdossiers, wat ik toch wel proef, loop je door je stricte houding zeer veel gezondheidsrisico's. Zorgverleners (en ja, daar vallen apotheken ook onder, en nee secretaresses niet) mogen nu al alleen met een zorgvraag je dossier inzien. Wel vreemd dat je alleen je behandelend arts toestemming wilt geven. In noodgevallen kom je in het ziekenhuis. Daar lopen andere artsen, die vast ook graag je medicijngegevens inzien, dan bellen ze je apotheek. Wel lastig als die je dossier niet in mag zien. Er zal dus voor zorgverleners altijd een mogelijkheid moeten zijn om bij een zorgvraag je dossier in te kunnen zien. En we hebben allen inderdaad beroepsgeheim en ik mag toch graag denken dat we ons daar allen aan houden. Daarnaast gaan we niet uit van goed fatsoen, maar is er wel degelijk een toezichthouder.
Prima dat je wilt dat alles goed geregeld is, maar je moet wel heel erg oppassen dat je privacy ergens niet ten koste gaat van je gezondheid. Amerikaanse taferelen lijken mij niet gewenst.
Overigens ben ik wél van mening dat het onverstandig is dit soort dossiers online te zetten. Momenteel gebeurt dit in een goed beveiligde omgeving waarbij elke opvraging gelogd wordt etc.
Wat mij betreft krijgt het CBP het recht om aan dit soort partijen een miljoenen-boete op te leggen; dat lijkt de enige manier om security hoger op de agenda te krijgen
En, wat die boete uiteindelijk zou moeten doen; einde bedrijf
Handig, als het enige ziekenhuis in een streek opeens moet sluiten door een ICT fout. 
Dit is natuurlijk wel echt levensgevaarlijk. Als er gegevens veranderd zouden kunnen worden, kan er natuurlijk cruciale informatie bewerkt worden, wat je natuurlijk niet moet willen.
Volgens mij hebben de meeste bedrijven nog niet door hoe gevaarlijk dit soort dingen kunnen zijn. Laatst ook de gateway van school eruit gegooit, omdat ze dit beveiligt hadden met...... gebruikersnaam:admin wachtwoord:password
Volgens mij hebben de meeste bedrijven nog niet door hoe gevaarlijk dit soort dingen kunnen zijn. Laatst ook de gateway van school eruit gegooit, omdat ze dit beveiligt hadden met...... gebruikersnaam:admin wachtwoord:password
Je kunt je ook afvragen waarom Cyberlabs de naam van een patient nodig heeft. SOA testen die via de GGD worden afgenomen worden alleen van een code voorzien. Het testlab heeft dan geen inzicht in wie er precies chlamydia heeft opgelopen.
Overigens moet ik daarbij opmerken dat de SOA EPDs van GGD ook online staan en bepaalde gevens bevatten die gebruikt kunnen worden voor identificatie. De maker is OrangeHill, dus dan weet je het wel...
Overigens moet ik daarbij opmerken dat de SOA EPDs van GGD ook online staan en bepaalde gevens bevatten die gebruikt kunnen worden voor identificatie. De maker is OrangeHill, dus dan weet je het wel...
ook weer een consequentie van bezuinigingen in de zorg.
Dit soort nalatigheid is een mentaliteits kwestie, en heeft niets met het budget te maken.
dit ligt er natuurlijk aan als het echt mentaliteit is of als er om geld uit te sparen minder geschoolde mensen hierop zijn gezet.
het is jammer dat ik hier niet meer over "mag" toelichten maar het is wel scheer en inslag de laatste tijd bij de zorg/medische clubs
slordig dit en erg jammer
slordig dit en erg jammer
Vertel gewoon waar je het over hebt, of begin er niet over.. Semi-interessant gedoe.het is jammer dat ik hier niet meer over "mag" toelichten
Tragisch dat dit soort dingen gebeuren, maar al onze gegevens liggen in de US of A binnenkort ook gewoon op straat, dus dan kan dit er ook nog wel bij.
Precies een van de redenen waarom zoveel mensen tegen centraal patiënten database zijn.
Er hoeft ergens maar een domme fout te zitten en al je gegevens liggen op straat.
Dat is nog tot daar aan toe, maar het wordt inderdaad pas echt link als men ook die gegevens kan bewerken.
Zonder dat je het weet heb je dadelijk ineens de meest vreselijke ziekten.
Buiten dat wordt dat qua verzekeringen en dergelijke ook ineens een groot drama en ben je nog veel verder van huis.
Het is toch wel bijzonder kwalijk dat persoon die hier verantwoordelijk voor is hier zo gemakkelijk mee om is gegaan.
Er hoeft ergens maar een domme fout te zitten en al je gegevens liggen op straat.
Dat is nog tot daar aan toe, maar het wordt inderdaad pas echt link als men ook die gegevens kan bewerken.
Zonder dat je het weet heb je dadelijk ineens de meest vreselijke ziekten.
Buiten dat wordt dat qua verzekeringen en dergelijke ook ineens een groot drama en ben je nog veel verder van huis.
Het is toch wel bijzonder kwalijk dat persoon die hier verantwoordelijk voor is hier zo gemakkelijk mee om is gegaan.
[Reactie gewijzigd door B_FORCE op donderdag 19 april 2012 15:37]
Echt bizar inderdaad hoe iemand die met dit soort vertrouwelijke gegevens om moet gaan kiest voor zo'n simpel wachtwoord dat het te raden is (klinkt als: we hebben het niet eens hoeven brute forcen). Hoe lui kun je zijn als je je eigen moeite om een paar tekens in te toetsen bij het inloggen boven de beveiliging van dit soort gegevens stelt? 
Maar zoals altijd loopt dit met een sisser (lees: kamervragen door de oppositie, verder geen serieuze actie) af. Zo'n instantie moet een flinke boete krijgen en onder een soort van ICT curatele geplaatst worden.
En ja, de discussie of je dit soort zaken nu wel centraal moet opslaan is een heel terechte. Ik heb eerlijk gezegd meer vertrouwen in het kaartenbakje van mijn huisarts dan in de ICT-skills van een halve overheidsorganisatie.
Als het ook nog eens zo is dat (zoals hierboven door iemand beweerd wordt, maar niet met zoveel woorden in het artikel staat) met het gehackte account ook gegevens gewijzigd konden worden, is het niet alleen privacy schending, maar potentieel nog heel gevaarlijk ook!
Maar zoals altijd loopt dit met een sisser (lees: kamervragen door de oppositie, verder geen serieuze actie) af. Zo'n instantie moet een flinke boete krijgen en onder een soort van ICT curatele geplaatst worden.
En ja, de discussie of je dit soort zaken nu wel centraal moet opslaan is een heel terechte. Ik heb eerlijk gezegd meer vertrouwen in het kaartenbakje van mijn huisarts dan in de ICT-skills van een halve overheidsorganisatie.
Als het ook nog eens zo is dat (zoals hierboven door iemand beweerd wordt, maar niet met zoveel woorden in het artikel staat) met het gehackte account ook gegevens gewijzigd konden worden, is het niet alleen privacy schending, maar potentieel nog heel gevaarlijk ook!
[Reactie gewijzigd door Grrrrrene op donderdag 19 april 2012 15:46]
Het is bizar dat iemand een simpel wachtwoord KAN maken. Password rules anyone?Echt bizar inderdaad hoe iemand die met dit soort vertrouwelijke gegevens om moet gaan kiest voor zo'n simpel wachtwoord dat het te raden is (klinkt als: we hebben het niet eens hoeven brute forcen). Hoe lui kun je zijn als je je eigen moeite om een paar tekens in te toetsen bij het inloggen boven de beveiliging van dit soort gegevens stelt?
En daarom bestaan die dingen ook nietcentraal patiënten database
Maar is het 'het' EPD een schakelpunt waar via een met UZI-passen beveiligde verbinding data wordt verstuurd en waar de data alleen in het bronsysteem blijft opgeslagen (bijv. bij je eigen huisarts)
Het is al link als de gegevens uberhaupt zichtbaar zijn. Niet voor gezonde mensen, maar als je een chronische ziekte hebt of je bent bijvoorbeeld depressief geweest, en dat lekt uit, dan kun je grote problemen krijgen als je bijvoorbeeld een nieuwe baan zoekt. Officieel mogen werkgevers hier niet naar vragen, maar als ze op de achtergrond zo'n bestand hebben gekocht en je daar ff in checken...
Wordt nog gevaarlijker omdat de afkomst van dit soort bestanden op een gegeven moment onduidelijk wordt. En daarmee de betrouwbaarheid. Straks kun je geen baan meer krijgen omdat degene onder jou op de lijst HIV had en de aandoeningen een positie verschoven zijn t.o.v. de namen...
Wordt nog gevaarlijker omdat de afkomst van dit soort bestanden op een gegeven moment onduidelijk wordt. En daarmee de betrouwbaarheid. Straks kun je geen baan meer krijgen omdat degene onder jou op de lijst HIV had en de aandoeningen een positie verschoven zijn t.o.v. de namen...
En daar hebben we het grootste gevaar van het EPD of soortgelijke initiatieven. De beveiliging zal nooit zodanig zijn dat er niet van tijd tot tijd gegevens op straat komen te liggen.
Ik zeg dus niet dat de beveiliging niet ijzersterk KAN zijn. Ik geloof best dat dat theoretisch goed mogelijk is als zelfs praktisch kan ALS men er het op een juiste manier implementeert en onderhoud ect.
Maar dat is het 'em; van die ALS mag je niet uitgaan. Je moet in je eigen handelen altijd rekening houden met de incompetentie van organisaties (zeker als het om overheid of semi-overheid gaat). Dus is voor mij als individu een EPD of iets soortgelijks volstrekt niet acceptabel omdat ik simpelweg geen invloed heb op de securitypolicy van de organisatie.
Dan heb ik trouwens nog niet eens over het misbruik dat binnen een goedbeveiligd systeem kan worden gepleegt. Denk daarbij aan de apothekersassistente die zo af en toe wat gegevens opzoekt van mensen die klant willen worden bij een verzekeraar omdat ze daar een kleine vergoeding voor krijgt. En mensen die dat ver gezocht vinden: hahaha en ha voor uw naiviteit. Die dingen gebeuren. Nu al.
Ik zeg dus niet dat de beveiliging niet ijzersterk KAN zijn. Ik geloof best dat dat theoretisch goed mogelijk is als zelfs praktisch kan ALS men er het op een juiste manier implementeert en onderhoud ect.
Maar dat is het 'em; van die ALS mag je niet uitgaan. Je moet in je eigen handelen altijd rekening houden met de incompetentie van organisaties (zeker als het om overheid of semi-overheid gaat). Dus is voor mij als individu een EPD of iets soortgelijks volstrekt niet acceptabel omdat ik simpelweg geen invloed heb op de securitypolicy van de organisatie.
Dan heb ik trouwens nog niet eens over het misbruik dat binnen een goedbeveiligd systeem kan worden gepleegt. Denk daarbij aan de apothekersassistente die zo af en toe wat gegevens opzoekt van mensen die klant willen worden bij een verzekeraar omdat ze daar een kleine vergoeding voor krijgt. En mensen die dat ver gezocht vinden: hahaha en ha voor uw naiviteit. Die dingen gebeuren. Nu al.
Integendeel!
Dit voorbeeld laat juist het gevaar zien, van het ontbreken van een centraal EPD. Want dan gaan de medische instellingen op kleine schaal, met kleine projectes aan de slag, bij instellingen die te weinig kennis hebben, en wordt de beveiliging een ondergeschoven kindje.
Bij het landelijke centrale EPD zou beveiliging juist een hoofdthema zijn, en zou daar enorm veel werk aan besteed worden, door professionals op dat gebied. Verder zou het ook één te controleren systeem zijn, waardoor externen heel snel eventuele problemen aan de kaak zouden kunnen stellen. Daardoor heb je ook één te controleren security policy.
Met een versnippering van verschillende systemen kan dat niet, en heb je dus veel meer kans op slechte security, zoals in dit voorbeeld.
Dit voorbeeld laat juist het gevaar zien, van het ontbreken van een centraal EPD. Want dan gaan de medische instellingen op kleine schaal, met kleine projectes aan de slag, bij instellingen die te weinig kennis hebben, en wordt de beveiliging een ondergeschoven kindje.
Bij het landelijke centrale EPD zou beveiliging juist een hoofdthema zijn, en zou daar enorm veel werk aan besteed worden, door professionals op dat gebied. Verder zou het ook één te controleren systeem zijn, waardoor externen heel snel eventuele problemen aan de kaak zouden kunnen stellen. Daardoor heb je ook één te controleren security policy.
Met een versnippering van verschillende systemen kan dat niet, en heb je dus veel meer kans op slechte security, zoals in dit voorbeeld.
O ja, natuurlijk. Security zou ongetwijfeld hoog op de agenda komen, er zullen miljoenen aan besteed worden en uiteindelijk blijkt de sufste hacker er met drie muisklikken toch in te kunnen. Want we weten allemaal hoe het gaat met grote IT-projecten in dit land...
O ja, ik had even over het hoofd gezien dat beveiliging bij het EPD een hoofdthema zou zijn. En aangezien het een hoofdthema is dat dan vanuit een ministerie strak en professioneel gemanaged gaat worden, komt het helemaal goed. Hoe komt het dat ik niet geloof dat dit inderdaad zal verlopen zoals de bedoeling is? O wacht even, omdat ik al teveel berichten heb gezien van een enorme IT-fail bij de overheid. Maar deze keer.....misschien....ja....lukt het...wel......wellicht....
Come on. Get real. Als je 5 keer faalt op iets is de les niet dat je het een zesde keer moet doen, maar dat je dat iets met rust moet laten. Dat snapt iedereen, behalve 1 bepaalde kaste. Laat dat nou net de kaste der politicie zijn.
Come on. Get real. Als je 5 keer faalt op iets is de les niet dat je het een zesde keer moet doen, maar dat je dat iets met rust moet laten. Dat snapt iedereen, behalve 1 bepaalde kaste. Laat dat nou net de kaste der politicie zijn.
/sarcasm onDenk daarbij aan de apothekersassistente die zo af en toe wat gegevens opzoekt van mensen die klant willen worden bij een verzekeraar omdat ze daar een kleine vergoeding voor krijgt. En mensen die dat ver gezocht vinden: hahaha en ha voor uw naiviteit. Die dingen gebeuren. Nu al.
Serieus?! Welke verzekeraar doet dat? Ik heb nog 5000 patiëntendossiers te koop!
/sarcasm off
Laat me niet lachen, dat is niet alleen ver gezocht, maar gewoonweg niet waar. Ik mocht serieus willen dat de verzekeraars daarvoor betalen, maar dat doen ze niet. Waarom zouden ze iets onwettelijks doen als ze ook gewoon een iPad weg kunnen geven online áls je ten minste even een vragenlijstje invult (vergis je niet hoeveel mensen dat doen. De Thuisapotheek had 100000 inschrijvingen die ze voor een groot deel op deze manier binnenhaalden).
Bovendien (nog veel belangrijker), ze hebben alle informatie al lang gekregen van je huisarts en de apotheek omdat iedereen zo stom is een naturapolis te nemen. (Bij restitutie heb je dat ook, maar heb je de mogelijkheid zelf bepaalde declaraties niet in te sturen)
Prima dat je kritisch bent op beveiliging van EPD's e.d., maar laten we het wel de feiten houden.
En iedereen loopt overigens leuk af te geven op de overheid en hun prioriteit bij beveiliging, maar laten we niet vergeten dat dit nu gebeurd is bij een private organisatie, die ongetwijfeld uit budgetoverwegingen (vaak nog meer dan de overheid) een of andere kneus dit heeft laten implementeren.
[Reactie gewijzigd door Oorlam op donderdag 19 april 2012 22:43]
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
