Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 104 reacties
Submitter: thof1

Het programma Meldpunt ontdekte dat persoonsgegevens van 200.000 patiŽnten via internet te benaderen waren. Het zou daarbij niet om medische gegevens gaan. Het vastgestelde lek is inmiddels gedicht en er is melding aan de getroffen patiŽnten gemaakt.

De site Maxvandaag meldt dat het in Nederland gaat om gegevens van het Nijmeegse Canisius-Wilhelmina Ziekenhuis en het St. Anna Ziekenhuis in Geldrop. Het overgrote deel van de gegevens zou echter afkomstig zijn van een Belgisch ziekenhuis, namelijk de gegevens van zo'n 195.000 patiënten. Het is niet duidelijk om welke Belgische ziekenhuizen het gaat. Op zijn site informeert het St. Anna Ziekenhuis dat het op 21 januari door de redactie van het programma van omroep Max is geïnformeerd over het lek.

Volgens dat bericht gaat het om 4559 getroffen patiënten; het Canisius-Wilhelmina Ziekenhuis bericht dat gegevens van 52 patiënten zijn uitgelekt. Beide berichten dat de gegevens ongeveer een maand toegankelijk waren en dat het gaat om namen, geboortedata, patiëntnummers en bezochte specialismen. Deze dossiers werden gedigitaliseerd door het Belgische scanbedrijf iGuana, dat daarvoor toegang via een onbeschermde internetkoppeling bood.

Maxvandaag meldt verder dat scanbedrijven bij het digitaliseringsproces vaak gedetineerden inzetten om kosten te sparen. Dit zou onder andere gebeuren in de Centrale Gevangenis in Leuven. Ook zou er aangetoond zijn dat meerdere ziekenhuizen op deze manier dossiers hebben laten bewerken, waaronder het Amphia Ziekenhuis in Breda en het Isala Ziekenhuis in Zwolle. Dinsdagavond is er een uitzending over het incident.

Update, 16.50:

IGuana heeft een bericht op zijn website geplaatst met meer informatie over de toedracht van het incident. Ook blijkt uit het bericht dat het om gegevens van een enkel Belgisch ziekenhuis zou gaan.

Moderatie-faq Wijzig weergave

Reacties (104)

Er is een speciale NEN norm (7512), afgeleide van ISO:27001, voor "vertrouwensbasis voor gegevensuitwisseling in de zorg". Ben benieuwd welke bedrijven die een handje hebben gehad in dit fiasco, beweren hiervoor gecertificeerd te zijn. Of zouden ze gewoon naar de goedkoopste aanbieder hebben gezocht...
Dergelijke normen zeggen niks over de absolute veiligheid van de een informatieverwerkingsproces binnen ťťn of meerdere organisaties.

Ze zeggen iets over het management of de aantoonbaarheid van processen binnen een organisatie. Immers kan je hele organisatie alle processen netjes op papier hebben staan, aan alle voorwaarde voldaan hebben maar alsnog een informatiesysteem met het netwerk hebben dat kritiek lekken bevat of informatie lekt via een onbeschermde koppeling.

Dergelijke certificaten als ISO27001 en NEN7510 certificeren een management proces en niet te absolute veiligheid van een organisatie. Het geeft aan dat de organisatie of een deel daarvan "in control is" of dat op een juiste manier weet aan te tonen". Het certificaat wordt uitgegeven na aanleiding van een aangekondigde moment opnamen.

Anderzijds kun je afvragen; hoe ver ga je ? 100% beveiliging is niet mogelijk en fouten zijn onlosmakelijk verbonden met het uitvoeren van menselijke handelingen.

De sterkte van de algehele beveiliging wordt bepaald door een combinatie van technische en organisatorische maatregelen en een juiste implementatie daarvan.

Afgezien kun je al een hele groot stap maken door onnodige beschikbaarheid uit te sluiten. Waarom zou je immers dergelijke toegang tot (onversleutelde) informatie via het internet willen ontsluiten? Wat is de noodzaak hiervan? Wat is er mis met offline batchverwerking ?

Tegenwoordig zie je dat er steeds meer informatie ongevraagd en onnodige beschikbaar wordt gesteld via internet ? Natuurlijk vinden sommige mensen het leuk om zijn of haar medisch dossier via internet in te zien, maar ter gelijker tijd zijn er ook tal van mensen die zich niet bloot willen stellen aan dergelijke risico's die komen kijken bij een dergelijke toegankelijkheid. Die mensen weiger online inzage, maar in plaats dat hun informatie offline wordt gehaald wordt vaak de algemene toegangsweg (de daarvoor bedoelde authenticatie weg) afgesloten. Met als mogelijk gevolg dat de informatie als nog op straat ligt wanneer de server wordt gecompromitteerd door een eventuele kwetsbaarheid. En dat is precies moet men beoogde te voorkomen...... en dit is dat ook een behoorlijke doorn in het oog van de betrokkenen die bijv. online inzage weigeren.

In het geval van dit incident moet de Autoriteit Persoonsgegevens bepalen of de verantwoordelijk (st Anna Zorggroep) voldoende passende technische en organisatorische maatregelen heeft getroffen om een datalek bij bewerker (iGuana) te voorkomen.
[...]
Anderzijds kun je afvragen; hoe ver ga je ? 100% beveiliging is niet mogelijk en fouten zijn onlosmakelijk verbonden met het uitvoeren van menselijke handelingen. [...]
Tsja en hier zaten ze ook al heel dicht bij de 100% beveiliging natuurlijk.
Gedetineerden zijn natuurlijk de meest betrouwbare partij als het gaat om zo'n beetje de meest vertrouwelijke documenten. Verklaring omtrent goed gedrag is dan ook meer een belediging dan noodzaak.
En documenten open en bloot op een webserver zetten, voor iedereen toegankelijk geeft blijk van gevoel voor efficiŽntie.

Nee hier zijn dusdanig veel dingen zo ongelooflijk fout gegaan dat strafrechtelijke vervolging helemaal niet misplaatst zou zijn.
Ook als het gaat om relatief oude documenten, is uitlekken ervan niet meer ongedaan te maken.
Een credit-card die gejat wordt kun je nog terugbetalen en een nieuw pasje uitgeven met een ander nummer. Een medisch dossier wat openbaar is, is niet ongedaan te maken.

Dit lijkt mij een prima zaak om compleet uit te laten pluizen zodat ook andere bedrijven zich wel even achter de oren gaan krabben om te bedenken of zij niet ook verkeerd bezig zijn. Ik kan me namelijk niet voorstellen dat dit een uitzondering betreft.
Men kijkt gewoon naar de prijs en niet naar wat erbij zou moeten komen kijken en dat is een prima recept voor dit soort idioterie.
Sorry, maar dit is er een beetje over. Iguana (vroeger Allgeier) werkt met zowat alle ziekenhuizen in Nederland en BelgiŽ. Heb je hun referentielijst al eens gezien ? Pech voor de betrokken ziekenhuizen en vooral voor de Belgisch ziekenhuizen.

Veel Christelijk geÔnspireerde zorginstellingen zullen trouwens het werken met gevangen als positief beoordelen.
[...]
Veel Christelijk geÔnspireerde zorginstellingen zullen trouwens het werken met gevangen als positief beoordelen.
Prima als ze dat willen doen, maar dan wel met andere dingen.
Niet met de meest vertrouwelijke dossiers denkbaar. Prima dat je gedetineerden niet buiten de maatschappij wilt sluiten, maar er hoeft er maar 1 bij te zitten met minder goede bedoelingen en dan heb je al grote problemen.
En de kans dat er bij gedetineerden er 1 bij zit met een wat minder eerlijke kijk op zaken is wat groter dan bij personeel wat getoetst is.
Je laat gedetineerden ook niet een crŤche runnen en ook niet geldtransporten doen voor Brinks, dus waarom wel de meest vertrouwelijk mogelijke dossiers verwerken?
Derden toegang geven tot medische dossiers is altijd delicaat. Ik ga even advocaat van de duivel spelen. Keuze 1. Een medisch dossier laten scannen door iemand die voor jaren in de gevangenis zit en dus nauwelijks over de inhoud kan communiceren
2. Een medisch dossier laten scannen door een werknemer die 's avonds tegen zijn vrouw gaat vertellen dat hij het dossier van nonkel jan heeft gezien.
In BelgiŽ valt alles wat met medische dossiers te maken heeft trouwens onder de hoofdgeneesheer (ziekenhuiswet). IT kan enkel adviezen geven.
Staat toevallig in de brief van Iguana, dat ze gespecialiseerder ISO27k willen doen. Beetje laat natuurlijk, maar ze hadden er dus aan gedacht ;-)
Leuk die NEN Normen maar in de praktijk zie je dat de naleving maar zeker de controle heel slecht gedaan wordt, en is het meer aan het ziekenhuis zelf om de zaken op orde te hebben als dat zon Norm het waarborgt
Certificering zegt alleen wat over de processen maar niets over hoe de beveiliging daadwerkelijk is en of het personeel zich er aan houdt. Ik zie liever een publicatie met een sitescan door bijvoorbeeld Fox IT en een tweede bedrijf waarin staat hoe veilig e.e.a. is.

Ook werkt het bedrijf met "gescreende" gedetineerden, op zich heel leuk. Maar ik heb al een bezwaar als "gescreende" niet gedetineerden automatiseerders en andere werknemers toegang hebben tot mijn gegevens. Het liefst zou ik ieder bedrijf/instelling persoonlijk op bezoek willen om de personen te ontmoeten die mijn gegevens kunnen inzien en persoonlijk willen screenen, maar ik moet het maar doen met een "vertrouwensband" met een bedrijf/instelling.

Ik vraag me steeds meer af hoe veel gegevens bedrijven en instellingen te grabbel gooien en waar je schade kan claimen wanneer data in "volgens eigen inzicht" verkeerde handen terecht komt.
Tsja.... je kan gedetineerden een NDA laten tekenen :+
Hebben ze dus ook gedaan ;)
En een verklaring omtrent gedrag laten opvragen bij de gemeente 8)7.

Zolang ze niet voor oplichting zitten, is de kans best groot dat ze hem krijgen.
Iquana heeft ook een brief op hun website geplaatst waar ze de schuld volledig op zich nemen.
Die brief verklaart ook wat beter wat hier in het artikel staat.
De gegevens waren immers toegankelijk vanop een server van Iquana, en niet vanop het netwerk van de ziekenhuizen.

http://iguana-idm.com/igu...v-brief-aan-ziekenhuizen/
Sterke brief. Open en transparant en antwoord gevende op mogleijke vragen. Prima comminicatie medewerker hebben ze daar die van een ramp een voordeel weet te maken.
Vraag ik me wel af wie dat bedrijf uit de markt is die ook de gegevens heeft gedownload en of dat voor of na Max is gedaan. Dat zou dan namelijk de bron van de melding zijn. Alternatief is dat er wel degelijk een derde ( of meer) download heeft plaatsgevonden die men niet heeft weten te traceren.
Sterke brief. Open en transparant en antwoord gevende op mogleijke vragen. Prima comminicatie medewerker hebben ze daar die van een ramp een voordeel weet te maken.
Vraag ik me wel af wie dat bedrijf uit de markt is die ook de gegevens heeft gedownload en of dat voor of na Max is gedaan. Dat zou dan namelijk de bron van de melding zijn. Alternatief is dat er wel degelijk een derde ( of meer) download heeft plaatsgevonden die men niet heeft weten te traceren.
Ik vind het een zwakke brief, ja het zegt een hoop, maar eigenlijk zegt de brief niets anders dan:
1. We hebben ISO normering maar houden ons er niet aan - anders had nieuwe server nooit ongetest online mogen staan;
2. We weten dat er zaken gedownload zijn maar weten niet waar die allemaal heen zijn gegaan;
3. Ze bagatelliseren de belangrijkheid van de gegevens, persoonlijk vind ik al erg dat een persoon met een ziekenhuis gelinkt kan worden, zelfs al zijn het geen medische dosiers;
4. Deze brief is meer dan normaal want dit zijn ze verplicht volgens de nieuwe EU regels van 2016 op de wet datalekken.

Daarnaast is er volgens mij veel meer aan de hand. Alleen is de vraag wat komt er allemaal naar buiten.
Je mist het belangrijkste punt. Ze geven de fout gewoon toe zonder dralen en nemen hun verantwoordelijkheid.
Dat er iets fout is gegaan was wel duidelijk. Nu geven ze precies aan wat en hoe.
Je zou je soms afvragen of we wel echt in 2016 leven... Een onbeveiligde link... -_-
Wat denken de ICT'ers zelf eigenlijk als ze zoiets aan het implementeren zijn vraag ik me dan af..

[Reactie gewijzigd door florejaen op 25 januari 2016 15:17]

Totdat de opdrachtgever zegt; het moet nu gebeuren en die onbeveilgde verbinding; "Who cares ?"
Dan zeg je tegen de opdrachtgever dat ze wettelijk verplicht zijn om deze data te beschermen, en dat die nooit over een onbeveiligde verbinding mag gaan.
dan gaat de opdracht naar iemand anders die het minder nauw neemt ;) want nu is nu en kosten spelen een rol...
Nee hoor, op het moment dat je de juiste persoon binnen de opdrachtgever kietelt, meestal degene verantwoordelijk voor (data)veiligheid, dan is e.e.a. snel opgelost. Niemand durft namelijk verantwoordelijkheid te dragen voor slecht beveiligde persoonsgegevens.
Veelal worden de additionele offertes die zijn uitgebracht om e.e.a. te beveiligen dan razendsnel geaccordeerd.

Ik heb dat zelf in gemeenteland meegemaakt, waar men ook van externe diensten gebruik wilde maken over een onbeveiligde verbinding. Daarover zouden ook persoonsgegevens lopen. Een collega van mij die dat ter oren kwam heeft daar zeer gemakkelijk een compleet systeem verkocht ter beveiliging van die data.
meestal degene verantwoordelijk voor (data)veiligheid, dan is e.e.a. snel opgelost.
Als je inderdaad die bewegingsvrijheid hebt binnen de organisatie van de opdrachtgever dan kun je dat zeker proberen. Als je opdrachtgever nou enkel een manager/middenkader mannetje is zonder specifieke verstand van zaken dan kun je het aan hem doorgeven maar zonder garantie dat daar op wordt gehandeld/doorgedacht.... En natuurlijk blijft security een mooie buzz-word waar vaak op gereageerd wordt maar is zeker geen garantie...
Ze zijn wettelijk verplicht "hun best" te doen. Als de hoogst gekwalificeerde IT'r een gedetineerde is die een office opleiding online heeft gevolgd...

Overigens is in een bedrijf waar je moet concurreren met gedetineerde nog maar de vraag hoe hard je je baas onder druk kunt zetten om veilig te zijn.
Dit dus en dat het natuurlijk van de zotte is dat je niet even iets simpels als een VPN hiervoor gebruikt. Dan is je data intern gewoon beschikbaar, maar extern niet zonder credentials. Belachelijk dat het op deze manier gebeurt.
Ja. godwin dan maar? Zijn ICT'ers de bruinhemden van onze tijd? We doen maar wat de baas zegt en of we nu volledig incompetent zijn, of een zesjes mentaliteit hebben, ach, ik werk hier alleen maar...in het Jappenkamp.

Ik kan hetzelfde zeggen tegen agenten die mensen op straat dood wurgen. Ja hallo, je voert gewoon de nek-klem uit zoals je dat door een instructeur geleerd werd? Fout! Je bent agent en je bent daarmee verantwoordelijk voor de bescherming van mensen, ook degenen die je arresteert en je hebt de plicht om die in leven te houden, ongeacht regels of procedures. En als de procedures risicovol zijn, dan moet je die niet volgen.

Je bent als ICT'er wel verantwoordelijk te houden en als je je wilt verschuilen achter je baas, dan zegt het Neurenberg Tribunaal daar nog wel even wat anders over.

"Individuals have international duties which transcend the national obligations of obedience ... Therefore [individual citizens] have the duty to violate domestic laws to prevent crimes against peace and humanity from occurring."
-- Nuremberg War Crimes Tribunal

ICT is de oorlog tegen privacy, wat een mensenrecht is.

"Niemand mag worden onderworpen aan willekeurige of onwettige inmenging in zijn priveleven, zijn gezinsleven, zijn huis en zijn briefwisseling, noch aan onwettige aantasting van zijn eer en goede naam. Een ieder heeft recht op bescherming door de wet tegen zodanige inmenging of aantasting."
-- VN wet op de privacy

Zie verder internationale verdragen en het charter van de NAVO. Als ICT'er heb je een enorme en bijzondere verantwoordelijkheid, in sommige opzichten nog meer dan een agent.

Daarom pleit ik voor strengere opleidingsnormen, examens en beŽdiging, net als notarissen, zodat ze hun werk serieuzer nemen. En dat achterlijke incompetente gemorrel dat dient zwaar bestraft te worden. Want alles gaat meer en meer via netwerken met alle risico's van dien. Het moet niet langer mogelijk zijn dat elke sukkel zo maar ICT'er kan worden.
In wat voor een wereld leven wij dat menselijke fouten niet meer mogelijk zouden kunnen zijn? Iedereen maakt fouten en de eerste die zecht dat hij/zij dat niet doet die plak ik een grote stempel leugenaar op.

Dat controle procedures ook fout lopen komt ook weer door diezelfde menselijke factor. De ICTers die zoiets implementeren staan vaak onder grote tijdsdruk om zo snel en goedkoop mogelijk goed werk te leveren. En dat zijn nu net 3 elementen die niet samengaan.
Het gevoel wat ik steeds krijg is het beste samen te vatten met 'befehl ist befehl'. Niet alleen de opdrachtgever is verantwoordelijk.

De meeste IT'ers weten wel dat persoonsgegevens onbeveiligd verzenden niet mag. Het zou prettig zijn als er juridische waarborgen zijn (zoals aansprakelijkheid), om IT'ers de ruimte te geven zo'n taak te weigeren.
Dit valt niet meer onder de categorie "menselijk fouten", maar onder de categorie "grove nalatigheid". Natuurlijk maakt iedereen fouten, maar NIET dit soort fouten. Persoonsgegevens mogen NOOIT over een onbeveiligde lijn naar buiten, en mogen Łberhaupt alleen onder zeer strike voorwaarden door derden behandeld worden. Het beeld wat hier geschildert wordt, is dat er fout op fout gestapeld is. En persoonsgegevens door gedetineerden laten behandelen is gewoon te absurd voor woorden. Dat is geen foutje meer...
In wat voor een wereld leven wij dat menselijke fouten niet meer mogelijk zouden kunnen zijn? Iedereen maakt fouten en de eerste die zecht dat hij/zij dat niet doet die plak ik een grote stempel leugenaar op.
[...]
Na hoeveel opeen gestapelde fouten spreek je niet meer van een menselijke fout, maar van een structureel probleem?
En menselijke fout is bijvoorbeeld wanneer je de kluis van de backup tapes niet goed afsluit en ze gejat worden.
Het is echter een structurele fout als de dief wat aan die tapes heeft doordat ze niet versleuteld zijn.
En dit is ook zo'n opeenstapeling van fouten dat er geen sprake meer is van een menselijke fout.
Daarnaast speelt mee dat de gevolgen voor uitlekken van de gegevens rampzalig kan uitpakken en er geen enkele mogelijkheid om dat terug te draaien.
Pas dat dan toe op kerncentrales. Ach, menselijk foutje... Of een olietanker. Weet je wat er met een kust gebeurt als zo'n ding op de klippen loopt?
Je zou je soms afvragen of we wel echt in 2016 leven... Een onbeveiligde link... -_-
Wat denken de ICT'ers zelf eigenlijk als ze zoiets aan het implementeren zijn vraag ik me dan af..
De ICT'er die het geÔmplementeerd heeft, heeft de link waar die data op stond erg goed beveiligd.

De ICT'er die de webserver (mogelijk jaren later, dat kan ik er zo niet uit halen) gemigreerd heeft naar een andere server heeft mogelijk totaal niet geweten van die ene uitzonderingsdirectory (documentatie over de server op locatie A, documentatie over de beveiligde map op locatie B...) en gewoon de data overgezet van de oude naar de nieuwe webserver et voilŗ, niemand doet iets echt iets heel erg (of bewust) fout, en toch gaat het mis :)
De ICT'er die de webserver (mogelijk jaren later, dat kan ik er zo niet uit halen) gemigreerd heeft naar een andere server heeft mogelijk totaal niet geweten van die ene uitzonderingsdirectory (documentatie over de server op locatie A, documentatie over de beveiligde map op locatie B...) en gewoon de data overgezet van de oude naar de nieuwe webserver et voilŗ, niemand doet iets echt iets heel erg (of bewust) fout, en toch gaat het mis :)
Dit is dus precies waarom ik al jaren pleit voor HTTPS-only. Je weet nooit wat er in de toekomst met een server gaat gebeuren. HTTPS aanzetten is een kleine moeite. Als je dat maar structureel overal doet dan heb je in ieder geval een zeker minimum aan beveiliging tegen domme lekken.
Deze dossiers werden gedigitaliseerd door het Belgische scanbedrijf iGuana, dat daarvoor toegang via een onbeschermde internetkoppeling bood
Je gaat er wel aan voorbij dat het een onbeveiligde LINK is. Als alle patientgegevens bij wijze van spreken op

https://www.iguana.com/patientgegegevens.zip

staan, dan kan die verbinding nog zo leuk beveiligd zijn, maar als er geen authenticatie gevraagd wordt bij het opvragen van dat adres is de boel nog steeds zo lek als een mandje. Nog veel meer zelfs dan als het over een HTTP-verbinding was gegaan waarbij er wťl om een wachtwoord gevraagd werd. True, in dat laatste geval kun je alsnog de boel opvragen maar dan moet je er wel aanzienlijk meer moeite in steken om de data te onderscheppen. In dit geval is op een link klikken voldoende.

Ernstige nalatigheid inderdaad.

[Reactie gewijzigd door MadEgg op 25 januari 2016 18:30]

Klopt, sorry voor het misverstand. In dit geval zou het niet hebben geholpen. Het was als algemene pleidooi voor secure-by-default.
En wat had dat in dit geval opgelost?
Dat je https://<link of ip> ipv http://<link of ip> had moeten typen.

Als ik dit zo lees had deze webserver alleen intern benaderbaar moeten zijn alleen is deze, door welke rede dan ook, ook vanaf buiten benaderbaar geweest.

Misschien dat iemand de opdracht verkeerd begrepen heeft of dat iemand de opdracht verkeerd gegeven heeft daar zullen we nooit echter komen tenzij ze nog meer info geven maar dat denk ik niet.
Dus eigenlijk weet iGuana niet meer wat waar staat op hun servers? Maar dat wat er op staat zijn wel hoogst persoonlijke gegevens?

Normaal hebben ze toch een lijstje van locaties van gegevens? Verantwoordelijken per set van gegevens? Procedures om te volgen voor het repliceren van een server? Maar niet dus. Gewoon clickers in plaats van ITers die een nieuw servertje bij elkaar klikken en achteloos wat mapjes kopieeren. Ik heb het al vaak genoeg zien gebeuren. Eigenlijk is het altijd gruwelijk onaanvaardbaar.

Tijd dat iGuana failliet gaat dus.
Dat is natuurlijk wel erg gemakkelijk gedacht :) Wat niet wil zeggen dat het niet waar is, maar dat is maar ťťn van de mogelijke scenario's.

Juist omdat ze _precies_ weten wat er staat, en ze _precies_ weten wie wat gedownload heeft denk ik juist dat ze over het algemeen hun zaakjes juist erg goed op orde hebben.

Je kunt alle documenten hebben, ze iedere bij iedere change die je uitvoert updaten, regelmatig controleren of ze kloppen en alle procedures volgen, maar er hoeft maar ťťn keer een stapje te worden overgeslagen en zoiets kan gebeuren, en fouten maken is nu eenmaal menselijk. Ik heb met nog niet ťťn bedrijf samengewerkt dat nog nooit een foutje heeft gemaakt, en dan is nou net een bedrijf dat het ruiterlijk toegeeft en verbetering belooft, iets wat ik liever heb dan dat ze proberen de boel te verstoppen...
De ICT'ers zijn het daar zelf totaal niet mee eens doorgaans. Maar beslissen niet alles zelf... En ga je zelf mensen gaan wijzen op het gevaar, dan ben je zelf de hoofdverdachte bij lekken.
Maxvandaag meldt verder dat scanbedrijven bij het digitaliseringsproces vaak gedetineerden inzetten om kosten te sparen. Dit zou onder andere gebeuren in de Centrale Gevangenis in Leuven. Ook zou er aangetoond zijn dat meerdere ziekenhuizen op deze manier dossiers hebben laten bewerken, waaronder het Amphia Ziekenhuis in Breda en het Isala Ziekenhuis in Zwolle. Dinsdagavond is er een uitzending over het incident.
Dit is toch een grapje mag ik hopen?! Zo niet, wie is hier verantwoordelijk voor? Welke idioot bedenkt nou om criminelen te overladen met persoonsgegevens? lekker handig, ik hoop dat dit serieus aan de kaak gesteld word, los van het genoemde lek vind ik dit een veel groter probleem.
Ik vermoed dat het ziekenhuis het niet eens wist, dat er gedetineerden worden ingezet. Zo'n scan toko zegt hooguit dat het wordt uitbesteed aan groepen mensen met 'lage loonkosten'.

Even praktisch gezien: er van uit gaande dat alles door een stackfeeder de scanner in gaat (a 60 p/min, of meer) blijft er niet veel tijd over om te lezen waar het om gaat. Ook het indexeren van de documenten kan mbv OCR & templates (iets als "rechts boven 3cm van de bovenkant staat het patient nr"). Dan vermoed ik dat de gedetineerden weinig zullen mee krijgen van de inhoud.

Wil niet zeggen dat er geen risico is. Het idee dat een gedetineerde willekerig dossiers kan lezen, spreekt me niet erg aan.
Het ziekenhuis hoort dit soort zaken te controleren. Vereiste hoort te zijn dat medewerkers minstens een VOG kunnen overleggen en een geheimhoudingsverklaring tekenen.

Tijdens het ontdoen van de dossiers van hechtmaterialen en indelen in dossieronderdelen is er meer dan genoeg tijd om summier te lezen wat er in een dossier staat. De personen achter de scanner worden geacht de kwaliteit van de gescande documenten te controleren en lezen dus onbewust ook mee.

Gedetineerden privacygevoelige dossiers laten bewerken is volkomen idioot. Het laten doen door bijstandsgerechtigden is al een slecht idee, omdat dit de kwaliteit van het werk niet ten goede komt. Uiteindelijk is het met dit soort zaken altijd: Goedkoop is duurkoop. Je krijgt rommel terug als je voor de laagste bieder gaat.
Het ziekenhuis hoort dit soort zaken te controleren.
Ben ik eigenlijk niet met je eens, het ziekenhuis huurt een bedrijf in om die contracten te verwerken, dat doen ze vast en zeker in de veronderstelling (op basis van contracten/wetten/etc) dat het ingehuurde bedrijf op een veilige manier met zorg en respect de gegevens zal behandelen, daar zijn zulke bedrijven immers voor.

Verder helemaal met je reactie eens.

Wat mij betreft moet het bedrijf in kwestie publiekelijk aan de schandpaal genageld worden, en vervolgens door een rechter opgeheven. Daarna mag het parlement een commissie instellen (daar houden we in dit land immers zo van) die al die bedrijven gaat controleren zodat zoiets als dit nooit meer kan gebeuren.

Oh en ALLE personen die in die dataset zaten moeten wat mij betreft minimaal een nieuw BSN toegewezen krijgen, dat moet de overheid voorstellen en regelen zodra dit bericht wat breeder in het nieuws opgepakt is. Zodat iedereen ook snapt dat dit een hele serieuze zaak is. Waar zijn anders al die Postbus51 reclames goed voor? 'de overheid' wil dat we allemaal een beetje nadenken over onze privacy nu alles steeds meer digitaal gaat, dan moeten ze dit soort grove misstappen ook streng oplossen.
[...]

Ben ik eigenlijk niet met je eens, het ziekenhuis huurt een bedrijf in om die contracten te verwerken, dat doen ze vast en zeker in de veronderstelling (op basis van contracten/wetten/etc) dat het ingehuurde bedrijf op een veilige manier met zorg en respect de gegevens zal behandelen, daar zijn zulke bedrijven immers voor.

Verder helemaal met je reactie eens.
De gegevens worden beheerd door een ziekenhuis, de aangestelde gegevensbewaker die deze rol heeft geaccepteerd. Die is en blijft eindverantwoordelijk. Een patiŽnt (de gegevenseigenaar) heeft geen afspraak met of inspraak in wat derde partijen doen met deze gegevens.

Het ziekenhuis is een commerciele organisatie, dus een boete zal tot gevolg hebben dat patiŽnten en verzekeringen verder uitgeknepen worden. Ik heb het al eens eerder voorgesteld: bij verwaarlozing van de zorgfunctie met betrekking tot persoonsgegevens (tot in redelijkheid en billijkheid, we hebben immers rechters die dit moeten toetsen) strafrechtelijke vervolging vanaf de managementlaag die deze beslissing nam tot en met de hoogst verantwoordelijke in het bedrijf. Dit klinkt zwaar, maar je speelt niet meer met geld maar met persoonsgegevens, en daarmee met levens.

In de VS is de Sarbanes-Oxley Act geÔntroduceerd in 2002 om boekhoudfraude te reduceren, met persoonlijke strafrechtelijke gevolgen als de personen in organisaties hier niet aan mee doen. Sinds die tijd zijn de boeken perfect op orde. Als zoiets voor geld kan, dan kan het ook voor mensenlevens.

[Reactie gewijzigd door The Zep Man op 25 januari 2016 18:13]

Het is genuanceerder. Om te beginnen hebben alle ziekenhuizen een Informatieveiligheidsconsulent in dienst. Die geniet dezelfde arbeidsrechtelijke bescherming als een veiligheidsconsulent en zijn adviezen kunnen directies niet zo maar naast zich neer leggen.
Die personen moeten goedgekeurd worden door de privacycommissie en hun CV wordt wel degelijk serieus gescreend. Je krijgt die job niet als schoolverlater. Ik ken er een paar en die gasten verdienen 'behoorlijk' hun brood.
Het is gewoon rottig. Je zal als organisatie maar jarenlang serieus met IT-veiligheid bezig zijn en dan door een leverancier in de krant worden gebracht.
Deze gedetineerden werden ingezet om nietjes e.d. weg te halen uit de dossiers, niet om ze in te scannen (maar om ze klaar te maken om te scannen). Die hadden dus tijd genoeg om ze te lezen en te beoordelen.

En verder zal er inderdaad gekozen zijn voor de goedkoopst mogelijke werkkrachten aangezien dat werk erg ongeschoold en monotoom is.
En als ze dit door de goedkoopst mogelijke krachten laten doen, wie garandeert mij dan dat de dossiers niet door elkaar komen?
Je mag hopen dat er nog op elke bladzijde voldoende informatie staat om de boel te kunnen reconstrueren nadat het gedigitaliseerd is.

En als er zo slecht met de beveiliging wordt omgesprongen, waarom zou je dan de dossiers inzien als je ongetwijfeld tussen het scannen en de onbeveiligde webserver nog voldoende gelegenheid hebt om een backupje te trekken.
Nouja, met 200.000 documenten duurt het dus alsnog ongeveer 60 uur met 1 scanner. In die tijd kan je er toch een aantal van de stapel lezen terwijl je zit te wachten tot de volgende stapel er in mag.
Ik vermoed dat het ziekenhuis het niet eens wist, dat er gedetineerden worden ingezet. Zo'n scan toko zegt hooguit dat het wordt uitbesteed aan groepen mensen met 'lage loonkosten'.
Het ziekenhuis heeft een wettelijke verplichting om zich ervan te verzekeren dat de derde partij waarmee zij in zee zouden willen gaan, adequate bedrijfsprocessen en beveilingsmaatregelen zal hanteren om de veiligheid van de verwerking van persoonsgegevens te garanderen.

Als het ziekenhuis daar niet verzekerd van is, dan mag men Łberhaupt niet met die derde partij in zee gaan.

[Reactie gewijzigd door R4gnax op 25 januari 2016 21:47]

En mag ik dan vragen waarom jij dat een probleem vind? Ken jij deze mensen? Weet jij waarom ze veroordeeld zijn of hoe hun houding tegenover de maatschapij is? Of ben jij van mening dat wanneer iemand 1x met het gerecht in aanraking is gekomen deze nooit nog tot iets goeds in staat zal zijn?

En waarom zou een kantoormedewerker die onderbetaald word en zijn/haar baan misschien niet eens graag doet ineens wel betrouwbaar zijn voor dit soort werk? Wil je absolute zekerheid dat niemand die dossiers kan lezen bij het inscannen dan zouden ze naar een bedrijf moeten waar iedereen ongeletterd is ... maar laat ze daar maar eens de dossiers goed klasseren ...
Ik vind het een probleem zodra ook maar IEMAND die niet gecertificeerd is, mijn privť-gegevens ziet. En ik van een gedetineerde weet ik vrij zeker dat die niet gecertificeerd is.

Zo dachten ze bij mijn werk ook dat collega's 'op de bank' (even zonder betaalde klus) wel even alle personeelsdossiers konden inscannen voor het electronisch maken van die dossiers, en daarna ook nog eens een volledigheidscontrole mochten uitvoeren (waarbij ze de documenten dus echt moeten bekijken). Ik dacht het niet dus!

Daar zijn gecertificeerde bedrijven voor. En als die dan gedetinieerden inzetten, hoop ik dat die HELE hoge boetes krijgen, en onmiddelijk hun certificaat kwijt raken.
iguana is certificeerd.
iguana is certificeerd.
Knap dan dat ze het werk door gedetineerden kunnen doen. Mag hopen dat er iemand ondertussen al een aansteker onder het certificaat gehouden heeft.
Ik geloof dat een persoon niet gecertificeerd kan zijn. Waarschijnlijk bedoel je dat voor gecertificeerde bedrijven alleen mensen zouden mogen werken die in aanmerking zouden kunnen komen voor de voorwaarden voor het verkrijgen van een VGB (verklaring van geen bezwaar voor een vertrouwensfunctie). Het lijkt hier echter niet te gaan om een vertrouwensfunctie waarvoor een VGB is vereist.

Een VOG (verklaring omtrent gedrag) is een minder strenge eis dan een VGB en zal waarschijnlijk wel vereist moeten zijn. Gedetineerden zullen niet zomaar een VOG kunnen krijgen.

[Reactie gewijzigd door pmeter op 25 januari 2016 17:20]

Een eerste veroordeling is vaak nog geen detentie (behoudens zware delicten), het is bij gedetineerden in ieder geval bewezen dat zij de wet niet zo nauw volgen en daarom lijkt het me een valide opmerking dat dit wel degelijk een discutabele situatie op kan leveren.

Dat een onderbetaalde (vanwaar onderbetaald?) kantoormedewerker wel betrouwbaar is was niet het argument. Overigens mag/moet je van normale werknemers verwachten dat zij hun werk naar behoren vervullen, mogelijk met plicht tot geheimhouding, en die kantoormedewerkers hebben iets te verliezen als zij een scheve schaats rijden.

De praktijk leert dat waar mensen werken dat er ook mensen in de fout gaan maar het lijkt mij wel degelijk te verwachten dat gedetineerden eerder/makkelijker in de fout gaan dan een doorsnee kantoormedewerker.
Ik vind het gewoon raar, nee, natuurlijk valt niet iedere crimineel in herhaling, en ja ze kunnen hun leven beteren, alleen vind ik het een beetje ver gaan om maar aan te nemen dat ze allemaal zulke goeie bedoelingen hebben, er hoeft er maar eentje tussen te zitten die 3-4 setjes persoonsgegevens achterover drukt, en vervolgens zijn die mensen de rest van hun leven 'de sjaak' omdat een of ander onverlaat op hun naam creditcards hypotheken en weet ik wat nog meer afsluit.

En iemand die in een (kwalitatief) kantoor zit dat met persoonsgegevens werkt heeft een contract waar dit soort dingen in staan (persoonsgegevens met respect behandelen en niet zomaar delen) als ze dat contract breken liggen er zware straffen op, dat zal 'jan modaal' ervan weerhouden om als ie z'n baas niet meer lief vind gegevens van klanten te gaan gebruiken/verkopen.

In de gevangenis, geen idee of ze daar zulke contracten hebben, maar laten we even aannemen van wel, dan nog, zoals gezegd, in de gevangenis zitten criminelen, sommige daarvan zijn echt niet van plan om 'weer aan de maatschappij deel te nemen' en zullen gewoon schijt hebben aan zo'n contract, als dat er Łberhaupt is.
Er staat dat bij de gegevens medische informatie bevat zoals bezochte specialisten. Deze informatie is natuurlijk perfect voer voor afpersing. Kan mij voorstellen dat er dossiers zat zijn met cases die je niet openbaar wil zien.
[...] Of ben jij van mening dat wanneer iemand 1x met het gerecht in aanraking is gekomen deze nooit nog tot iets goeds in staat zal zijn?
[...]
Er is nogal een verschil tussen een gedetineerde en iemand die z'n straf heeft uitgezeten.
En inderdaad, zodra iemand vast heeft gezeten, zullen er bepaalde functies niet meer tot de mogelijkheden behoren.
Zeg maar alle functies waarbij "onberispelijk gedrag" een vereiste is.
Uiteraard heb je altijd mensen die onterecht in de cel komen, maar dat is een ander verhaal.

En persoonlijk vind ik het geen vreemde eis om te stellen dat iemand die met de meest persoonlijke dossiers in aanraking komt, van onberispelijk gedrag is.
Dus dan vallen gedetineerden af.
Maxvandaag meldt verder dat scanbedrijven bij het digitaliseringsproces vaak gedetineerden inzetten om kosten te sparen. Dit zou onder andere gebeuren in de Centrale Gevangenis in Leuven. Ook zou er aangetoond zijn dat meerdere ziekenhuizen op deze manier dossiers hebben laten bewerken, waaronder het Amphia Ziekenhuis in Breda en het Isala Ziekenhuis in Zwolle. Dinsdagavond is er een uitzending over het incident.

Dit is toch hopelijk een grap!? Sowieso al bizar dat vreemden toegang hebben tot medische dossiers. En al helemaal gedetineerden!? Dit kan je niet meer serieus nemen, wat een incompetentie. Ik vind het schokkend.

[Reactie gewijzigd door Kev0 op 25 januari 2016 15:16]

De fout zit in het ziekenhuis die het uitbesteed. Vanaf dat een dossier het ziekenhuis verlaat ben je verkeerd bezig. En dan maakt het echt niet uit of het bij gedetineerden komt of niet. Waarom zouden die minder te betrouwen zijn dan iemand op een kantoor die nog eens veel eenvoudiger in contact komt met anderen?
Alle dossiers moeten ingescand worden, dat kan niet in het ziekenhuis zelf. Die hebben er de apparatuur niet voor. Dus moeten ze het ziekenhuis wel verlaten. Hier is ook contact geweest met de betreffende firma. Toen we hoorden dat de patiŽntendossiers ingescand zouden worden door gedetineerden zeiden we; "We kijken nog even verder".
En dat vind ik een zeer spijtige reactie van jullie. Die mensen zijn niet meer of minder betrouwbaar dan een persoon op kantoor. Het is en blijft vertrouwelijke informatie en die wil je liefst niet buiten je eigen organisatie zien.

Vele gedetineerden (en dat zijn vaak diegene die NIET in het nieuws komen) willen gewoon werken aan hun herintegratie in de maatschapij, en door dit soort domme beslissingen word dat hen zeer moeilijk gemaakt. Ze hebben een fout gemaakt, zitten daar een straf voor uit en zullen hun hele leven met die stempel moeten leven. Dat betekend nog niet dat het allen in de grond slechte mensen zijn.
Lekker kortzichtig. Waarom denk je dat men voor veel banen een VOG moet overleggen... Je gaat niet vertrouwelijke data toevertrouwen aan iemand die de wet al heeft gebroken.. Dat is een demonstratie van onbetrouwbaar gedrag. De kans op herhaling is groter per definitie.
Je weet dat een veroordeling voor het een niet automatisch betekent dat je nooit een VOG krijgt? Bij de VOG wordt gekeken naar wat je gaat doen. Dus als je een VOG nodig hebt omdat je met vertrouwelijke informatie moet omgaan en je hebt een veroordeling voor iets anders, dan kun je nog altijd je VOG krijgen.
Het gaat er niet om dat ze "allen in de grond slechte mensen zijn" maar als je een reeks gedetineerden bij elkaar zet, mag je wel verwachten dat er een significant aantal mensen met verminderd moreel besef tussenzit. Daar gaat het ook om: een of twee zijn genoeg om inbreuk te plegen, het gaat niet om iedereen.

Privacy is natuurlijk altijd moeilijk met zulke dingen. De artsen en verplegers moet je ook maar vertrouwen, en wij weten ook de selectie van de betreffende gedetineerden niet. Maar ze kunnen vast iets beters verzinnen voor hun werkzaamheden.
De angst regeert. We willen niet met onze naam in chocolade letters op de voorpagina van de ochtendkrant. Dus kies je voor een organisatie die niet met gedetineerden werkt, of dat beter/veiliger is? Ik weet wel zeker van niet.
natuurlijk gaat dat, in UZ Leuven wordt dit in het ziekenhuis zelf gedaan. (wel vreemd dat net de naam van de gevangenis van Leuven valt)

[Reactie gewijzigd door white modder op 25 januari 2016 18:46]

Er is geen reden waarom de dossiers niet in het ziekenhuis zelf kan gebeuren. De benodigde apparatuur kan tijdelijk in een kantoor worden geplaatst. Dat is helemaal geen probleem. En aangezien het hier niet alleen om persoonsgegevens gaat, maar zelfs om medische gegevens, is het logisch dat geheimhouding hier hoger telt, en je er dus eventueel extra kosten voor moet maken.
ALS het dusdanig lastig is het in het Ziekenhuis te doen, dan moet je zeer goed bekijken dat de derde partij uiterst zorgvuldig met de gegevens omspringt. Dat is duidelijk niet gedaan, als dit soort zaken konden gebeuren.
Als je de bronnen bekijkt is duidelijk dat het lek is ontstaan in een systeem van de dataverwerker (iGuana) door een technische fout. De fout zat dus echt bij de verwerker. Of het ziekenhuis ook fout zat blijkt niet uit dit artikel.

Dossiers door een 3e partij (binnen de EU) laten verwerken zonder expliciete toestemming is NIET altijd verboden.

Dat de verwerker gedetineerden gebruikt lijkt me WEL van belang, VOG aanvraag (of Belgisch equivalent) lijkt me noodzakelijk voor alle medewerkers. Dat zal een uitdaging zijn.
Dossiers door een 3e partij (binnen de EU) laten verwerken zonder expliciete toestemming is NIET altijd verboden.
Dat klopt.

Maar het is wel altijd verboden om zonder expliciete toestemming van de betreffende personen dossiers met medische gegevens of gegevens die raken aan medische gegevens -- Dus ook gegevens die enkel laten zien dat jij bij een ziekenhuis een medische afspraak hebt gehad, en niet eens met wie of waarover. -- door derden te laten verwerken die niet een medische geheimhoudingsplicht of equivalente geheimhoudingsplicht hebben.

Een derde partij die zo'n plicht wel heeft mag ook niet zomaar het verwerken uitbesteden aan gedetineerden of aan een sub-contractor die met gedetineerden werkt, omdat zij op hun beurt die plicht niet hebben.
Makkelijk praten natuurlijk. Alle nieuwe data wordt rechtstreeks in de ziekenhuissystemen gemaakt. Je zit daar met een archief van jaren waar van je de gegevens tot x jaar na de dood van de patiŽnt moet bewaren.
Wat stel je dan concreet voor : tijdelijke personeelsleden aannemen om te scannen ? Hoe garanderen die meer veiligheid ?
Gedetineerde worden vaker ingezet voor het verrichten van veelal productiewerk. Denk aan het plakken van dingen, het in elkaar lassen van bijv wc-hangers ofzo. Ik denk dat de keuze op gedetineerde gevallen is in Belgie omdat dat A, kostenbesparend was ( :') ), B, een gedetineerde uit Belgie verder weinig kon met gegevens van een nederlander, en C je moeilijk vacatures in NL kunt aan gaan bieden waarbij gewerkt wordt met medische gegevens.

Treurig. Ik had een ziekenhuis of dokter platgesued voor het laten lekken van mijn gegevens (mochten die er tussen staan). Patientendossiers worden oh zo mooi verkocht in het ziekenhuis voor spoedeisende zaken, bijv iemand die op de IC binnenkomt en een bepaald medicijn toegediend zou krijgen, er via het dossier afgelezen kon worden of diegene een allergie had ofniet.

Dat is het gedachtegoed erachter, maar er gebeurd veel meer mee dan dat je denkt. Verzekeraars delen die lijsten onderling ook. Soort risico-factor of iemand duur gaat worden in de verzekering ofniet.
je moeilijk vacatures in NL kunt aan gaan bieden waarbij gewerkt wordt met medische gegevens.
Hoezo niet? Er zijn legio manieren om er voor te zorgen dat de gegevens bij desbetreffende persoon blijven en er niet uit komen. Een NDA met §250K dwangsom bijvoorbeeld, of maak er een vakantiebaan van voor studenten geneeskunde. Die personen kunnen het geld ook goed gebruiken en weten hoe je met dergelijke gegevens om moet gaan. Doen ze dat niet dan kunnen ze ook per direct stoppen met hun studie, want dan kom je nooit meer aan een baan.
Zoiets heeft het UMCG een poos geleden ook gehad, waarbij een sociale werkplaats oude dossiers vernietigde.

Ik meen dat hun werknemers daarbij wat genantere rontgenfoto's met elkaar had gedeeld.
En wederom wordt ik (ook als IT'er) weer een beetje misselijker.
"Kosten besparen" is wederom het goed-praat-woord van een blunder van enorme proporties.
Hoelang duurt het nog voordat het besef "goedkoop is duurkoop" ook in deze sector fatsoenlijk doordringt?! |:(

En tuurlijk; ik heb ook wel mijn blunders gemaakt. Eigenlijk altijd op ontwikkel / test omgevingen waar iedereen dan even om gniffelt, je het oplost en weer verdergaat.
Maar 'vergeten' om je beveiliging op een productie server Łberhaupt aan te zetten, ik zou een verrekte goed gesprek krijgen of rechtstreeks een enkeltje UWV :P
Hoelang duurt het nog voordat het besef "goedkoop is duurkoop" ook in deze sector fatsoenlijk doordringt?!
Waarschijnlijk pas als het bedrijf zelf enorme schade lijdt i.p.v. de klant(en). Dit kleine beetje imago-schade is iedereen over een half jaar weer vergeten, terwijl de klant met uitgelekte data misschien de komende 30 jaar er gezeik van heeft. (onder de aanname dat bigdata door gaat en de profilering intelligenter en diep(er)gaand dan nu nog het geval is)

Ik vind wat dat betreft dat er hoge boetes op mogen worden gezet. Uiteindelijk zijn keuzes vaak op de financiŽn gebaseerd. Met een afschrikboete stuur je bedrijven toch een eind de goede richting op. Althans dat zou je verwachten...
"Kosten besparen" is wederom het goed-praat-woord van een blunder van enorme proporties.
Euh? Heb je het artikel (en/of de bron) Łberhaupt gelezen? Het lek zat niet in de kostenbesparende maatregel van het inzetten van gedetineerden om nietjes en paperclips te verwijderen...
Volgens NOS.nl hadden de scanbedrijven zelf weer onderaanemers aangenomen, die het dan weer bij gevangenissen uitzet. Raar dat dit heeft kunnen gebeuren, helemaal gezien hoe vaak medische dossier missers in het nieuws komen.
Ziekenhuizen nemen gespecialiseerde bedrijven in de arm om hun papieren patiŽntendossiers te laten digitaliseren.
...
De bedrijven in de arm huren onderaannemers in om het scannen van de papieren voor te bereiden.
http://nos.nl/artikel/208...se-patientendossiers.html
Volgens NOS.nl hadden de scanbedrijven zelf weer onderaanemers aangenomen, die het dan weer bij gevangenissen uitzet. Raar dat dit heeft kunnen gebeuren, helemaal gezien hoe vaak medische dossier missers in het nieuws komen.
Dubbeltje, eerste rij, etc.

Makkelijkste stukje werk om op te beknibbelen is de papiermolen. Ziekenhuizen hebben het tenslotte 'toch al niet al te breed', tenminste als we de directies mogen geloven. Je weet wel; die personen die vaak genoeg zelf nog steeds in dure pakken rondlopen en dikke BMWs mogen rijden.
Volgens CWZ:
Om de werking van onze systemen te kunnen garanderen, voeren wij met leveranciers regelmatig onderhoud uit. Hierbij is het nodig dat de leverancier toegang krijgt tot onze systemen. In dit geval heeft de leverancier schermafdrukken gemaakt en deze buiten de beveiligde omgeving van CWZ opgeslagen.
En de leverancier spreekt van "technische documentatie".
Maak dan in godsnaam een screenshot van een versie met geanonimiseerde data.
Of gebruiken ze geen fatsoenlijke OTAP straat?

Sorry, maar dit is zo knullig dat ze bijna zelf gedetineerd zouden mogen worden voor zoiets.
Uitleg van het bedrijf zelf:
http://iguana-idm.com/igu...v-brief-aan-ziekenhuizen/

Als je dit doorleest, dan zie je dat gedetineerden gescreend zijn en ook een verklaring hebben moeten ondertekenen. Gedetineerden met een honger voor gegevens werden hierbij sowieso uitgesloten.

Daarnaast is de fout ontstaan nadat de beveiligde webserver gemigreerd werd, waarbij de beveiliging is vergeten. Het is dus niet zo dat er iemand heeft gekozen om dit onbeveiligd te doen.
"Scanbedrijven zetten bij het digitaliseringsproces vaak gedetineerden in".
What's next? Fiscale fraudeurs aan de Belastingtelefoon?

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True