Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 100, views: 29.483 •
Submitter: GTACrime

Een slecht beveiligde server in een datacenter zou tientallen medische dossiers en honderdduizenden patiŽntgegevens hebben bevat van het Groene Hart Ziekenhuis uit Gouda. De gevoelige gegevens zouden teruggaan tot mei 2008.

Dat meldt Nu.nl die werd getipt door een hacker. Het zou gaan om een publiek toegankelijke server bij een hostingprovider. De server wisselde data uit via onversleutelde ftp-verbindingen en was met een zwak wachtwoord beveiligd. Op de server zouden tientallen medische dossiers zijn te vinden van het in Gouda gevestigde Groene Hart Ziekenhuis. In de dossiers waren onder andere behandelplannen, recepten en diagnoses te vinden.

Naast de medische dossiers zouden er van meer dan 493.000 personen gegevens in een patiëntenbestand zijn opgenomen, waaronder burgerservicenummers en naw-gegevens. De data zou sinds mei 2008 op de server staan. Vermoedelijk zijn de documenten op de slecht beveiligde server geplaatst door een bedrijf dat papieren dossiers helpt te digitaliseren. Verder werden door de hacker kant-en-klare installatieversies van kantoorsoftware aangetroffen, wat er op kan duiden dat de server ook ingezet werd voor het inrichten van werkplekken.

Het Groene Hart Ziekenhuis stelt in een reactie dat 'het onacceptabel is dat deze situatie heeft bestaan' en heeft inmiddels de server en de bijbehorende verbindingen vanuit het ziekenhuisnetwerk afgesloten. Het ziekenhuis gaat samen met het Nationaal Cyber Security Center en beveiligingsbedrijf Fox IT de beveiliging verbeteren. Overigens werd hetzelfde ziekenhuis in 2011 al door de Inspectie voor de Volksgezondheid berispt omdat de it-beveiliging onvoldoende zou zijn.

Reacties (100)

Reactiefilter:-1100094+151+23+30
Ach ja, als er geen EPD is, dan maken de ziekenhuizen er zelf wel een potje van (cq. de onderaannemers) :(
Dit is precies de reden waarom er zoveel mensen tegen het EPD waren.

Erg jammer, want zoiets als dit zal het de invoering van het EPD of een dergelijk project weer jaren vertragen omdat mensen er gewoon nog niet "klaar" voor zijn.

Goed van de hacker dat hij er geen misbruik van gemaakt heeft! Ik ben ook blij dat ze niet besloten hebben hem aan te klagen :).
Nee, het is het EPD wat er nog niet klaar voor is. Zolang de beveiliging nog niet in orde is moet je het niet doen, punt. Dit is zo ongeveer de meest privacy-gevoelige informatie die er bestaat en daar moet zťťr zorgvuldig mee om worden gegaan.

[Reactie gewijzigd door Kurgan op 7 oktober 2012 16:47]

Dit is zo ongeveer de meest privacy-gevoelige informatie die er bestaat en daar moet zťťr zorgvuldig mee om worden gegaan.
Zou jij in het verband van politie-onderzoek nu DNA willen afstaan?
Ik zou DNA slechts op een aantal op papier staande voorwaardes willen afstaan.

1. er wordt niks bewaard dus: DNA kevinp is onschuldig. Al het andere moet vernietigd worden.
2. Als er niet aan 1 wordt voldaan mag het nooit gebruikt worden voor andere zaken.
3. mocht mijn DNA uitlekken wil ik 10 miljoen + inflatie hebben.

Pas als ze dat op papier zetten en ondertekenen door iemand die dat mag (ik zou zeggen de Minister president) dan pas sta ik DNA af.

Er is geen goede rede om de overheid te vertrouwen met digitale gegevens (of semi overheid)

helaas, want het EPD is gewoon een goed idee. Een idee wat mensenlevens kan redden.
je bent zelf 24/7 bezig je dna uit te lekken ;)

Het epd zou misschien een verbetering zijn voor de beveiliging. Als je ziet dat er per ziekenhuis nu maar wat gedaan wordt ... Met een EPD kun je 1 beleid afdwingen (ziekenhuizen als afnemers bv. of je maakt er een soort dumb terminal systeem bij dat beheert wordt door het epd-team ipv. de ziekenhuizen zelf, noem maar op).

In ieder geval serieus zwak dit van die toko. Zo ga je niet met gegevens om. Idem voor het bedrijf trouwens die blijkbaar dossiers aan het digitaliseren was.
Je bedoelt zeker dat dan bij een hack *alle* gegevens van iedereen worden gelekt in plaats van slechts 1 ziekenhuis?
het nadeel van gedecentraliseerd beleid is dat iedereen maar iets doet. Ziekenhuizen moeten zich in feite bezig houden met ziekenhuis zaken, niet met een eigen itbeleid ten opzichte van patientendossiers. Daarbij: er is al zoveel gelekt dat het vrij evident is dat het huidige systeem niet werkt.

Je kunt voor elke beveiliging wel gaan aanvoeren "het is niet 100% beveiligd", maar dat is een argument waarmee je elk informatiesysteem meteen kunt afschaffen (zelfs de papieren dossiers).

Feit is dat 100 verschillende manieren van iets beveiligen, ook 100 keer meer kansen op lekker oplevert, alleen al omdat er geen overzicht is, om dan nog maar te zwijgen over het punt dat al die 100 partijen iets moeten gaan uitvinden om met elkaar te kunnen communiceren. Niet erg efficient en potentieel zelfs erg gevaarlijk als je het over geneeskunde hebt en zieke mensen.
Als de PVV een onderzoek wil naar geloof, ras en afkomst van individuen en daarbij belooft dat alleen ambtenaren van jouw huidige gemeente toegang hebben tot deze informatie. Zou jij deze enquÍte dan invullen?
Nee, het is het EPD wat er nog niet klaar voor is. Zolang de beveiliging nog niet in orde is moet je het niet doen, punt. Dit is zo ongeveer de meest privacy-gevoelige informatie die er bestaat en daar moet zťťr zorgvuldig mee om worden gegaan.
De zwakste plek in iets als het EPD zal waarschijnlijk toch de computer van de huisarts zijn of zoiets, als iemand daar op weet te komen met kwade bedoelingen en dit zal zeker gebeuren gezien het aantal mensen dat toegang gaat krijgen dan zal er altijd wat fout kunnen gaan ongeacht de beveiliging van het systeem zelf.

Overigens denk ik dat zelfs al gaat er soms iets fout met het epd dan nog is het de moeite waard omdat in de huidige situatie er nog al vaak iets fout gaat door gebrekkige informatie. Het zal levens redden. Persoonlijk vind ik dat de niet te voorkomende hacks wel waard.

Maar goed met een opt-out of zelfs een opt-in zal dit toch gewoon aan de persoon zelf liggen.
Wat voor project je er ook van maakt, hoe goed je de beveiliging ook regelt, zolang iets van budgetten afhankelijk is worden er altijd compromissen gesloten.

De realiteit is: sommige gegevens moet je gewoon niet digitaal willen hebben. Punt.
Dit is precies de reden waarom er zoveel mensen tegen het EPD waren.
Uh, nee - dit soort houtje-touwtje lokale database ellende was nou juist 1 van de dingen waar het EPD een einde aan zou moeten maken. Met het afschieten van het EPD heeft men er juist gekozen om alle databases en IT door elke arts en ziekenhuis afzonderlijk zelf te laten regelen.

[Reactie gewijzigd door Dreamvoid op 7 oktober 2012 17:35]

Nee dat was het niet. Het epd is niet meer dan een soort schakelpunt / netwerk voor lokale EPD systemen.
Het EPD kan aan dit soort situaties geen einde maken, het is een kwestie van de kogel en het pantser. Daar is nooit een finale winnaar. Ongeacht wie wat doet.

Sommige zaken moet je gewoon niet digitaal willen hebben. Simpel.
Misschien een domme of naÔeve vraag, maar waarom mag ik zelf mijn dossier niet beheren? Gewoon een map of een ordner die ik elke keer mee naar de behandelend arts neem en die gevuld word (papier) met mijn gegevens en waar ik verantwoordelijk voor ben? Op die manier hoef ik niet meer bang te zijn voor lekken door onkundige IT afdelingen, rouge emplyees of doorverkoop aan derden. Het komt ook mijn privacy ten goede.

[Reactie gewijzigd door Rick2910 op 7 oktober 2012 20:38]

Gebrek aan backup, gebrek aan controle, fraude wordt te makkelijk.

Je zou bv allergie informatie uit het dossier kunnen halen en als de arts dan foute medicijnen voorschrijft doe je snel de info weer in het dossier en klaag je hem aan.
Of een moeder met munchausen by proxy kan op die manier haar misdaden verbergen.
Of een erfgenaam kan het dossier van zijn demente vader bewerken zodat deze sneller overleid.

Waar zo'n situatie uiteindelijk toe leid is dat een arts het dossier niet meer kan/zal vertrouwen, alle testen opnieuw doet (en een schaduw dossier aanlegt) waardoor de zorgkosten nog hoger gaan worden.
Wat een gedoe. Gewoon papieren dossiers. Dat heeft, och, wanneer zouden ze papier zijn gaan gebruiken? Laten we het afronden op 200 jaar maar ik weet niet wanneer men dossiers is gaan houden.
Papier is een fantastische technologie.
Je kunt in zo'n situatie wel degelijk onderscheid maken tussen het zelf bewaren van je dossier en het aanpassen daarvan:

Het bewaren zou je in zo'n situatie zelf mogen doen. Hierbij zeg ik niet dat dat daadwerkelijk veiliger zou zijn, maar in elk geval kun je alleen jezelf nog de schuld geven als je 't kwijt zou raken of zou delen met derden.

Het aanpassen kan nog steeds op een veilige manier gebeuren als je gebruikt maakt van digitale handtekeningen voor elke wijziging (waarbij uiteraard alleen artsen zo'n handtekening hebben).
en wat lost het dan op ? Elke gebruiker moet het thuis opslaan, ik wil niet weten hoeveel medische dossiers dan verloren gaan.

Je kunt dan wel zeggen dat het eigen verantwoordelijkheid is: punt is dat een arts dan bij veel zaken alle testen opnieuw kan / moet gaan doen. We hebben het hier in nederland toch wel zo geregeld dat ze me moeten helpen, dus ze zijn ook verplicht om dan hun werk goed te doen, dus ook als ik mijn dossier kwijt zou raken dat ze ervoor zorgen dat er testgegevens zijn.

Niet uitvoerbaar, niet praktisch en erg duur kortom.

Bij de keuze tussen privacy en mijn gezondheid, ga ik kiezen voor gezondheid. Er zijn grenzen tot waar privacy waarde heeft voor me.
Euh... en wat als je alegrische bent voor bv slaapvloeistof A. En je krijgt een zwaar ongeluk?

Je hebt natuurlijk gelijk, maar er zijn goede rede om dat nu net (zeker niet op papier) te willen.

Maar je zou bv wel een pasje met data, of de sleutel tot de data kunnen hebben. Die kan je in ieder geval altijd bij hebben.
NFC onder je huid en daar bij elk bezoek aan een medische instelling een update en alleen uit te lezen wanneer jij de pincode invoert.
Handig als ze je aan het reanimeren zijn!
en bij detectie van het ontbreken van een hartslag automatisch 112 bellen! en dan automatisch de PIN code op 4x nul instellen zodat hulpverleners het kunnen uitlezen!

Goed idee
gezien bij een kennis die twee verschillende medicaties kreeg voorgeschreven. Gecombineerd ingenomen een serieus verhoogd risico op hartfalen. De man in de drogisterij wist neit dat ander middel ook verstrekt was *oeps*. (gelukkig zelf op tijd achtergekomen door die persoon, maar het geeft je te denken).
Nee, het EPD is om een heel andere reden controversieel. Er is geen goede waarborg tegen het doorspitten van jouw en mijn medische gegevens door marktpartijen.

Alle medische gegevens van alle Nederlanders in een centraal systeem is een goudmijn voor verzekeraars en farmaceutische bedrijven. Je kunt er op wachten dat er een excuus verzonnen wordt waardoor die partijen ook toegang krijgen. Eerst beperkt, daarna steeds meer.

Uiteindelijk draait het er op uit dat je geweigerd wordt voor verzekeringen, vanwege je eigen voorgeschiedenis, of vanwege externe gegevens. Stel, je zus en je moeder hebben allebei een vorm van kanker gehad. Verzekeraar vind daarmee jou en je kinderen een te groot risico, en je wordt geweigerd, of je betaalt de hoofdprijs.
Dat was alleen niet de reden dat het werd afgeschoten door de overheid, want er zijn zat systemen en databases opgezet die potentieel te misbruiken vallen (en sommige die ook misbruikt worden als je het mij vraagt (door politie)), maar dat (initieel) niet wettelijk mag (mocht).

Maja, op het vlak van veiligheid: het punt met het EPD was/is ook dat stel er word toch een fout gemaakt, dan liggen er nu honderdduizenden dossiers op straat, en anders eventjes 17 miljoen. True, het is dus een klein beetje security through obscurity, maar het argument blijft wel valide.

Hoe dan ook, het is alweer een tijdje geleden, maar orgineel wou ik medische informatiekunde studeren en droomde ik van een decentraal EPD systeem, waar Jan en alleman theoretisch z'n eigen servertje zou kunnen hosten met medische gegevens (en de regering zou de open source software ervoor onderhouden (plus financiele prijzen indien je lekken d'r in vind)). Ziekenhuizen zouden standaard alleen nadat jij toestemming geeft die gegevens kunnen inzien (of via een alarm procedure (e.g. na een verkeers ongeluk) waarop flinke boetes staan indien die misbruikt zou worden... dat zou dus wel centraal moeten worden gecoordineerd (wie de procedure kan activeren) maar dat zou een relatief simpeler systeem zijn, dus een relatief kleinere kans dat het open valt (of alternatief een systeem waar je 2 van 5 contacten het ook kunnen goedkeuren)). Het enige nadeel is dat je je eigen dossier zou kunnen aanpassen, maar op zich is dat je goed recht. Word je d'r op betrapt dat je er fraude mee pleegt, dan zou je verzekerings maatschappij je gewoon kunnen aanklagen voor de gelede schade enzo.
Dat is de glijdende schaal die voorkomen moet worden. Ik zie het met gegevens vanuit gemeenten ook al gebeuren. Partijen krijgen, veelal vanuit 'wetenschappelijk' onderzoek, toegang tot allerlei hooggevoelige informatie van burgers, veelal zonder dat de betrokken burgers hiervan op de hoogte worden gesteld. Bij kritiek wordt er aangegeven dat de partijen een geheimhoudingsverklaring hebben afgesloten. Dat is voor veel gemeenten de enige garantie dat derden de geleverde data niet zullen misbruiken. Maar het gebeurd natuurlijk allemaal wel. Zeker als het gaat om gegevens van uitkeringsgerechtigden en jeugd, lijkt alles toegestaan. Een database vanuit RMC wetgeving over het BMI van kinderen, aangevuld met medische gegevens van het kind, prestaties op school, sociale status ouders (werk/uitkering of eventuele detentie) etc etc. Het kan allemaal dus het gebeurd en zonder dat ouders ooit toestemming hebben gegeven.
Dat is het grote risico met databases met persoonsgegevens, zeker met bijzondere persoonsgegevens zoals o.a. medische gegevens. Soms moet je niet (centraal) willen digitaliseren als het blijkt dat beveiliging nooit echt goed dicht is te krijgen. Dan kun je nog beter het risico verspreiden door het decentraal te houden, als er dan een lek ontstaat ligt (hopelijk) niet de gehele database op straat. En als dat ook nog een te groot risico wordt gevonden dan moet je het gewoon bij papier houden, want daar is nog steeds niets mis mee.
Wie weet of andere kwaadwillenden deze server al niet lang en breed in mirror hebben staan elders.

Dat is het grote probleem met dit soort lekken. Er is vaak helemaal niet meer te achterhalen wie wanneer toegang heeft gehad en waartoe.

Het wordt tijd dat de organisaties die verantwoordelijk zijn (en dan dus niet alleen het ziekenhuis, maar vooral de ICT dienstverlener die dit heeft gedaan) op een Wall of Shame terecht komen, alsmede fikse boetes ontvangen en de top strafrechtelijk vervolgen.

Niet dat dat laatste kan, maar ze moesten er eens wetgeving van maken. Dan zul je ineens zien dat dit soort blunders vanjewelste een stuk minder vaak zullen voorkomen.
Dat zou de reden moeten zijn dat het epd er wel komt. In groter verband en door de info in het epd wordt deze publiekelijk veel beter in de gaten gehouden waardoor de kans dat dit gebeurd veel kleiner is.
Ik denk dat je twee dingen door elkaar aan het halen bent.

Met het EPD is helemaal niets mis, dit is namelijk het Elektronisch PatiŽnten Dossier. Dit zijn bijv. pakketten zoals ChipSoft, iSoft, Epic etc etc. Dit zijn pakketten die PER ziekenhuis worden gebruikt, en jou gegevens dus afgeschermd zijn.

Waar jij op doelt is het Landelijk EPD, oftewel 1 pakket voor alle ziekenhuizen., wat dus een stuk gevoeliger ligt.

Echter denk ik het de gegevens niet rechtstreeks uit het EPD zijn onttrokken, maar zijn verkregen via een export die op een FTP server was gezet. EPD's zijn over het algemeen zo beveiligd dat je hier echt niet zomaar inkomt, en zeker niet extern. In het artikel wordt er namelijk ook gesproken over de "een bedrijf dat papieren dossiers helpt te digitaliseren", en daar ligt dan ook het probleem.

Ik kan alleen maar zeggen dat het Ziekenhuis een slechte policy heeft, deze server had gewoon niet extern benaderbaar moeten zijn voor externe (wordt niet in het artikel vermeld, maar daar ga ik maar even vanuit). En zwakke wachtwoorden tja, valt nog mee dat ze het niet van een Post-IT of een USB stik hebben :+
EPD is ook al lang van tafel, opvolger heet GPS
En hierom wil ik dus geen EPD of wat dan ook.
Nee, alle "kleine" ziekenhuisjes, doktoren etc, het allemaal zelf laten regelen/beheren blijkt nu een goeie oplossing te zijn. Of als je van het ene ziekenhuis of arts naar de ander moet en je dossier moet opgestuurd worden via snailmail of je gaat er zelf mee over straat .. DŠt is veilig :/

Het EPD was er (zoals eerder gezegd werd) technisch gezien nog niet klaar voor, maar 1 centrale omgeving waar serieus gekeken wordt naar security kan in potentie vele malen veiliger zijn dan allerlei "Mickey Mouse" oplossingen die iedereen voor zichzelf uit gaat vinden en beheren. En dat soort systemen zul je niet zomaar bij een willekeurige hosting provider vinden.

Je kan alles zeggen over phishing i.c.m. internetbankieren zeggen, maar zo ver ik weet is er nog nooit een hack geweest waarmee een ongeautoriseerd iemand toegang heeft gekregen tot de applicaties die bankkantoren dagelijks gebruiken om hun klanten te bedienen, of achterliggende klantendatabases (vergelijk een ziekenhuis in zo'n geval met een bankkantoor). Waarom kan het daar dan wel veilig?
Als je met 1 dossier over straat gaat is dus vele malen veiliger, dan dat je in 1 keer toegang hebt tot alle dossiers.
Ligt aan de inhoud van dat ene dossier waar jij mee over straat loopt of dat verstuurd wordt ... Als dat je volledige patiŽntendossier is omdat je toevallig bij een ander ziekenhuis een second opinion wil hebben, dan ben je ook niet blij en zal het misschien weinig schelen of minder impact voor je hebben dan je volledige dossier.

Maar doet er nog steeds niet aan af, dat 1 plek (EPD) in theorie vele malen beter te beveiligen is dat alle losse systemen van alle losse zorginstellingen, huisartsen en alle personen die jouw losse dossiers in handen krijgen. Want je kan wel liever 1 dossier kwijtraken, maar gezien de reacties op dit artikel, willen veel mensen ook niet 1 dossier kwijtraken/openbaar hebben.

En dan heb ik het nog niet eens over de voordelen vanuit medisch oogpunt: dat een arts minder snel een fout kan maken omdat hij per ongeluk bepaalde informatie niet had, omdat dat op een kladblaadje bij je huisarts in zijn archief kast zit.
Nee, alle "kleine" ziekenhuisjes, doktoren etc, het allemaal zelf laten regelen/beheren blijkt nu een goeie oplossing te zijn. Of als je van het ene ziekenhuis of arts naar de ander moet en je dossier moet opgestuurd worden via snailmail of je gaat er zelf mee over straat .. DŠt is veilig :/
Ja, dat is veilig ja. 1 enkel medisch dossier is namelijk voor niemand interessant, of je moet al net een stalker of zieke werkgever o.i.d. hebben die nou net in jouw dossier geinteresseerd is. Deze gegevens zijn alleen interessant als je er heel veel van hebt. Dus het EPD zou een zeer interessant doelwit zijn voor hackers. Veiligheidsinstanties zullen standaard al wel toegang hebben, iets met overheid en vertrouwen.
1 enkel medisch dossier op straat wel ja, maar vergeet niet dat alle huisartsen 2000 van die dingen hebben. En IT is nou niet direct hun ding. Hierdoor onstaan, welliswaar in het klein, dezelfde situaties waarvoor iedereen zo bang is bij het EPD. Maar bij elkaar opgeteld (omdat het merendeel van de artsen het niet goed heeft getegeld) is het effect praktisch hetzelfde.
Servers van huisartsen die bv. Medicom gebruiken staan al in een datacenter en niet (meer) bij de huisarts zelf. Idem voor een apotheek (Pharmacom). De gegevens van alle huisartsen met dat pakket worden in feite al op een min of meer centraal punt bewaard...
Er zijn wel degelijk hacks bij banken geweest de afgelopen jaren.
In de meeste gevallen zul jij daar niets van horen...
Ik denk dat je weinig te willen hebt. Hier in de regio is er al een centraal computersysteem van alle huisartsen, de huisartsenpost in het ziekenhuis en de apotheken. Dat systeem was er 'ineens'. Als je er niet in wilt worden opgenomen moet je achteraf bezwaar maken.

Overigens heb ik liever zo'n regionaal systeem, waar nog enige regie is over de beveiliging (en waarvan je 't in de krant leest als die rammelt), dan dat iedere arts zelf z'n systeempje gaat bedenken op een halfbakken beveiligde laptop.
Dit is ech te gek voor woorden, als het nu ging om inlog-gegevens van een of ander forum, maar we hebben het hier over patientendossiers, medische geheimen!

Hoe kan het in hemelsnaam zo zijn dat dit soort gegevens op een FTP-server te vinden zijn en met een zwak wachtwoord beveiligd zijn, daar denk je toch bij na!

Dit toont wat mij betreft nog maar eens aan dat de digitalisering veel te snel gaat, organisaties kunnen er klaarblijkelijk vaak niet goed mee omgaan.

Waarom komt er geen verplichte keuring van datasystemen althans de beveiliging hiervan, speciaal gericht op dit soort organisaties met een publieke functie.

[Reactie gewijzigd door Rubťn89 op 7 oktober 2012 16:40]

Dit toont wat mij betreft nog maar eens aan dat de digitalisering veel te snel gaat, organisaties kunnen er klaarblijkelijk vaak niet goed mee omgaan.
Klopt, het gaat snel maar dat is nu al te laat.
Alles staat van iedereen wel ergens opgeslagen en de kans is groot dat er nog veel meer naar buiten zal lekken.
Het is niet dat we dom zijn met zijn allen, het is de prijs die we ervoor betalen.
Een omgekeerde loterij zeg maar.
Het is jammer maar niks aan te doen blijkbaar.
Dus ik zou zeggen: hou er rekening mee dat jouw gegevens morgen ook op straat liggen.
Over beveiliging wordt meestal pas serieus nagedacht als het al te laat is.

Afgezien daarvan wordt het vaak bewust vermeden als blijkt dat bijvoorbeeld een goede oplossing ook een oplossing is die veel geld kost. Heel veel slechte beveiliging is te wijten aan bezuinigen op "niet direct noodzakelijke voorzieningen".

[Reactie gewijzigd door Uruk-Hai op 7 oktober 2012 20:38]

Bwahaha, ik weet nog dat ik 2 jaar geleden 1 van mijn co-schappen daar liep en de ICT daar op alle pc's de messenger service actief had gelaten en via die service dus ook daadwerkelijk berichten verspreidde naar alle users! Ik heb toen een hoop "net send * 'hoi'" getypt :P Waarom verbaast dit me nou niets van dit ziekenhuis...
Je verwacht het gewoon niet, heh?

En iedereen maar roepen dat mensen die tegen het EPD waren 'gekke alluhoedjes' zijn. Overheid/Semi-overheid i.c.m. ICT gaat gewoon altijd fout. De organisaties zijn te groot en er zitten te veel zwakke schakels in.

Misschien bij een opsplitsing van onderdelen dat het meer beheersbaar is... maar dan krijg je er wel een mooie goedbetaald managementslaag er bij. :'(
Dit komt juist door de opsplitsing. Iedereen die er niet voor opgeleid is (lees: artsen, apothekers, ziekenhuisdirectie) moet nu ineens allerlei dingen zelf gaan bedenken. Als dat centraal wordt geregeld zal dat in ieder geval worden gedaan door mensen met iets meer kennis van zaken. Niet dat het dan per definitie veilig is, er zijn ook budgetten e.d., maar die zijn er bij eerder genoemde disciplines ook
Ziekenhuizen zijn geen overheid ;-)
Sorry hoor, maar dit gaat helemaal niet over een overheidsproject, een ziekenhuis is gewoon een private onderneming.

De overheid komt inderdaad sneller in het nieuws omdat wat de overheid doet ons allemaal aangaat (al was het alleen maar omdat wij de belasting betalen die het mogelijk maakt), maar ik weet zeker dat het net zo vaak, zo niet vaker, mis gaat bij niet-overheidsprojecten. Het systeem van aanbestedingen is daar m.i. debet aan.

Aan de ene kant wordt er te goedkoop geoffreerd, waarna geprobeerd wordt het verlies met "meerwerk" goed te maken. Aan de andere kant is het een utopie van een klant te verwachten dat die van te voren precies en in detail kan uitdrukken wat hij wil. De te hoog gespannen verwachtingen en impliciete aannames zorgen er dan voor dat het project niet doet wat de klant wil, zelfs niet als het "volgens spec" is gemaakt.

[Reactie gewijzigd door Herko_ter_Horst op 7 oktober 2012 17:29]

Misschien moeten er wat hoge sancties komen op zulke neppe beveiligingen. Ben bang dat de overheid dan zeer snel failliet gaat.
Dit is niet het EPD.
Er is niet "het EPD". Elk ziekenhuis en andere zorg instelling heeft een eigen Electronisch Patienten Dossier (EPD). Waar jij op doelt is een centraal beheerd landelijk EPD.
Een publieke toegankelijke server die onversleutelde ftp sessies opzet om bij de data te komen. Wat is er hacken aan?

Als ik de voordeur openzet en iemand haalt het huis leeg is het juridisch gezien ook geen inbraak maar dat terzijde.

Vind dat het ziekenhuis gedwongen moet worden de leidinggevende it-ers accuut te ontslaan en onder toezicht van de overheid goede it-ers in huis moet halen en de beveiliging op orde moet brengen binnen een week anders deuren sluiten en helaas dit jaar geen extra geldpotje. Te belachelijk voor woorden om zulke gevoelige data op publieke servers te zetten en dan ook nog eens onversleuteld communiceren. Schamen die mensen zich niet ik zou me zwaar schamen en ontzettend amateuristich voelen en falende als systeembeheerder van dat ziekenhuis.

Dat dat soort idioten aan zulke functies komen en ik geen werk kan vinden. Net als die achterlijke ambtenaren hier die het stoplicht weghalen voor een rotonde, bouwtekening alles stond in de krant, maar toch bleek op de helft het niet te passen dan maar weer weghalen gevolg geen stoplichten geen rotonde een nog gevaarlijker kruispunt en als je bedenkt dat een lantaarnpaal al 1500 euro kost een hoop geld wegggemieterd en ze gaan weer vrolijk verder. En ik kan dan geen werk vinden.....

moet streng tegen opgetreden worden en keihard bestraft worden anders zal het nooit beter gaan wat security betreft.
Ftp betekent nog niet dat het anonymous ftp betrof waar iedereen zomaar iets van kan bekijken. Buiten dat is ftp natuurlijk not done.
De hacker had ook met het gekraakte of anders verkregen wachtwoord geen toegang mogen krijgen tot de gegevens van patiŽnten.
Gelukkig had deze hacker geen kwade bedoelingen dat is nog het goede nieuws.
Het ziekenhuis zal morgen heel wat uit te leggen hebben aan de aan haar toevertrouwde patiŽnten.
Ftp of ssh zou niet uit mogen maken. Het is een publieke server. Daar eidigt de discussie al. Hoe de data er komt maakt niet meer uit. Deze server zelf kan nooit als vertrouwd worden geschouwen.
Je kan je ook afvragen of de ict afdeling dit wel bedacht heeft. Vaak worden dit soort oplossingen door de Afdelingen zelf verzonnen. Zonder de ict afdeling er bij te betrekken. Want die doen altijd zo moeilijk en alles gaat daar zo Traag, het kost dan zo veel. Alles moet ingewikkeld.

Dat komt omdat de ict afdelingen juist zaken goed moet regelen, maar de afdelingen juist zo traag en lastig zijn.

Je trekt nu al conclusies zonder de feiten te weten......
Tja, dat heb je als je spullen in 'de cloud' zet, dan kan het regenen... :+ .

FTP, echt kansloos....

[Reactie gewijzigd door MrBreaker op 7 oktober 2012 17:54]

De cloud heeft hier niets mee te maken, als ze die server in het ziekenhuis zelf hadden neergezet, was-ie net zo goed te bereiken geweest. Het gaat om goed beheer, niet de locatie.
Je conclusie klopt, maar het gaat hier wel om de cloud.
Het zou gaan om een publiek toegankelijke server bij een hostingprovider. De server wisselde data uit via onversleutelde ftp-verbindingen en was met een zwak wachtwoord beveiligd. Op de server zouden tientallen medische dossiers zijn te vinden van het in Gouda gevestigde Groene Hart Ziekenhuis.
Cloud, dus...

[Reactie gewijzigd door MrBreaker op 7 oktober 2012 17:48]

Sinds wanneer is een server bij een hosting provider een cloud oplossing?
Uhh sinds wanneer niet? Los van 'oplossing' dan....

http://nl.wikipedia.org/wiki/Cloud_computing

[Reactie gewijzigd door MrBreaker op 7 oktober 2012 18:35]

FTP bestond al lang voor "cloud-computing" en voldoet niet aan de omschrijving daarvan.
waarbij de eindgebruiker niet weet op hoeveel of welke computer(s) de software draait of waar die precies staan (uit de door jou aangehaalde bron)
Bij FTP weet je dat wel. Je weet welke server je moet benaderen om bij de data te komen, en je weet dat het op een ftp-server draait.
Niks van dat alles. Of weet jij waar de data welke de FTP-server jou serveert vandaan komt? Als je verbinding maakt met een FTP-server weet jij welke server software draait? En waarom zou je weten waar die server staat?

Nee dus. Toegegeven dat ik een zeer ruime definitie hanteer. Het wordt nu een hele discussie op een grapje welke volgens mij van toepassing was... Anyway, have fun ;)
…ťn server maakt nog geen cloud..
Het gaat gewoon om een remote (gehoste) ftp server. Dat is nog geen "cloud" oplossing
Nee, wel de ingelogde client(s)
Het is maar welke definitie je er aan geeft.
Als je een dergelijk ruime definitie van cloud gebruikt wordt het een synoniem voor "op internet".
cloud is een marketing term, geen technische term ;-)

Het is uit het artikel niet op te maken of het een virtual, dedicated of clusterserver is.
Sinds 2008!

Ik wil wel eens weten hoe ze de gedupeerde gaan vergoeden voor de huidige schaden en de toekomstige.

Je zou maar een bepaalde baan niet krijgen op de je aankomende werkgever een screening heeft laten uitvoeren, bij een bedrijf die deze bestanden in bezit heeft. Of het wel of niet mag, heb je op dat moment niets aan, en het des betreffende bedrijf gaat het echt niet vertellen.

Als straks een zorgverzekering geweigerd wordt, omdat de betreffende zorg verzekering, welke met deze data werkt, ondanks het niet mag?

Zo kan ik nog meer zaken bedenken, waar je in de toekomst last van zou kunnen krijgen, als deze gegevens op straat komen te liggen. Zoals het nu het geval is.


@SirBlade Idd, dat is vrij onmogelijk om te bewijzen. Ik stel dan ook voor, de bewijslast om te draaien. Laat een lekkende partij maar aantonen, dat het niet komt door hun lek.
En laten we eerlijk zijn, lek sinds 2008.. Is zeer verwijtbaar!

@Mr_gadget & Foamy
Klopt een zorg verzekering mag nu nog niet geweigerd worden.
Ik lees mijnbrief van het zilverkruis nog even terug ivm het overstappen.
"U kunt volgend jaar gewoon bij ons terug komen zonder medische keuring"

Met mij sterk de indruk geeft, dat er op een bepaald moment een premie zodanig verhoogd kan worden (ivm risico) dat die als nog niet betaald baar is. Of eigelijk dat je daar door niet bij die zorgverzekeraar terecht kan.

Maar we zullen een paar kabinetten VVD later wel kijken.

[Reactie gewijzigd door wica op 7 oktober 2012 18:03]

Dan moeten gedupeerden eerst bewijzen daadwerkelijk schade geleden te hebben. En dat is practisch onmogelijk.
Een zorgverzekeraar mag je niet weigeren toch? Dat is wettelijk vastgelegd.
Maar ik vind dat ze dit gewoon strafbaar moeten maken, stevige boete waarvan een deel wordt afgetrokken van het dikke salaris van de bestuursvoorzitter. Dan zullen ze wel wat voorzichtiger worden en de boel laten auditen.
Een boete die je kunt aftrekken van het salaris van een bestuursvoorzitter lijkt me behoorlijk laag voor dit soort feiten...
Hoezo? Veel bestuursvoorzitters verdienen gruwelijk veel geld (rond de 200.000 euro) en anders dan gaat de boete ten koste van de patiŽnten, die er helemaal niks aan kunnen doen..De boete moet natuurlijk niet zomaar gegeven worden, als blijkt dat een lagere IT'er opzettelijk iets stoms heeft gedaan dan niet. Maar als de manager met een goedkope beun automatiseerder in zee is gegaan zonder zelf de veiligheid te waarborgen dan wel :)
Een zorgverzekeraar mag je niet weigeren toch? Dat is wettelijk vastgelegd.
Ze mogen je inderdaad niet weigeren voor de basisverzekering maar wanneer ze weet hebben van een aandoening die valt onder een aanvullende verzekering dan kunnen ze het je knap lastig en duur maken om te kunnen toetreden tot de aanvullende verzekering.
Als straks een zorgverzekering geweigerd wordt, omdat de betreffende zorg verzekering, welke met deze data werkt, ondanks het niet mag?
Een zorgverzekering mag niet geweigerd worden. Aanvullende verzekeringen is dan echter weer een ander verhaal.

Op dit item kan niet meer gereageerd worden.