'Datalek ziekenhuizen gaf toegang tot gegevens 200.000 patiënten' - update

Het programma Meldpunt ontdekte dat persoonsgegevens van 200.000 patiënten via internet te benaderen waren. Het zou daarbij niet om medische gegevens gaan. Het vastgestelde lek is inmiddels gedicht en er is melding aan de getroffen patiënten gemaakt.

De site Maxvandaag meldt dat het in Nederland gaat om gegevens van het Nijmeegse Canisius-Wilhelmina Ziekenhuis en het St. Anna Ziekenhuis in Geldrop. Het overgrote deel van de gegevens zou echter afkomstig zijn van een Belgisch ziekenhuis, namelijk de gegevens van zo'n 195.000 patiënten. Het is niet duidelijk om welke Belgische ziekenhuizen het gaat. Op zijn site informeert het St. Anna Ziekenhuis dat het op 21 januari door de redactie van het programma van omroep Max is geïnformeerd over het lek.

Volgens dat bericht gaat het om 4559 getroffen patiënten; het Canisius-Wilhelmina Ziekenhuis bericht dat gegevens van 52 patiënten zijn uitgelekt. Beide berichten dat de gegevens ongeveer een maand toegankelijk waren en dat het gaat om namen, geboortedata, patiëntnummers en bezochte specialismen. Deze dossiers werden gedigitaliseerd door het Belgische scanbedrijf iGuana, dat daarvoor toegang via een onbeschermde internetkoppeling bood.

Maxvandaag meldt verder dat scanbedrijven bij het digitaliseringsproces vaak gedetineerden inzetten om kosten te sparen. Dit zou onder andere gebeuren in de Centrale Gevangenis in Leuven. Ook zou er aangetoond zijn dat meerdere ziekenhuizen op deze manier dossiers hebben laten bewerken, waaronder het Amphia Ziekenhuis in Breda en het Isala Ziekenhuis in Zwolle. Dinsdagavond is er een uitzending over het incident.

Update, 16.50:

IGuana heeft een bericht op zijn website geplaatst met meer informatie over de toedracht van het incident. Ook blijkt uit het bericht dat het om gegevens van een enkel Belgisch ziekenhuis zou gaan.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 25-01-2016 15:10
104 • submitter: thof1

25-01-2016 • 15:10

104 Linkedin

Submitter: thof1

Lees meer

VUmc-ziekenhuis meldt datalek door gestolen usb-stick met patiëntgegevens Nieuws van 26 mei 2017
Ziekenhuis meldt datalek na diefstal van laptop met patiëntgegevens Nieuws van 25 januari 2017
Minstens vier ziekenhuizen in Verenigd Koninkrijk getroffen door malware Nieuws van 14 januari 2017
'Nederlandse ziekenhuizen meldden dit jaar 304 datalekken' Nieuws van 24 november 2016
Hacker verkoopt medische databases Amerikaanse patiënten Nieuws van 27 juni 2016
Privacytoezichthouder berispt ziekenhuizen over digitaliseren patiëntdossiers Nieuws van 17 mei 2016
Autoriteit Persoonsgegevens vermoedt dat organisaties datalekken niet melden Nieuws van 13 mei 2016
Webwinkel ReplaceDirect en zustersite Twindis melden datalek - update Nieuws van 27 april 2016
Persoonsgegevens burgers Rotterdam en Oegstgeest waren toegankelijk door fout Nieuws van 9 maart 2016
Belgisch bedrijf dicht lek dat toegang tot röntgenfoto's en patiëntgegevens gaf Nieuws van 11 februari 2016
Lek in website farmaceutisch bedrijf maakte handel met voorkennis mogelijk Nieuws van 8 februari 2016
Autoriteit Persoonsgegevens: twintig datalekken gemeld in eerste week Nieuws van 8 januari 2016
CBP-voorzitter Kohnstamm vreest voor tekort bij behandelen datalekken Nieuws van 30 december 2015
Persoonsgegevens 191 miljoen geregistreerde Amerikaanse kiezers lekken uit Nieuws van 28 december 2015
CBP publiceert definitieve beleidsregels meldplicht datalekken Nieuws van 9 december 2015
Europese meldplicht voor datalekken komt eraan Nieuws van 8 december 2015
Lek gaf toegang tot gegevens 80.000 'vrienden' Centraal Bureau voor Genealogie Nieuws van 4 november 2015
CBP publiceert conceptrichtlijnen voor melden datalekken Nieuws van 21 september 2015
Nederlandse overheid: meldplicht datalekken geldt vanaf volgend jaar Nieuws van 10 juli 2015
Eerste Kamer steunt meldplicht datalekken Nieuws van 27 mei 2015
Meer producten en artikelen
Netwerk en systeembeheer Datalek Security

Reacties (104)

-Moderatie-faq
104
103
78
7
0
8
Wijzig sortering
MBI
25 januari 2016 15:21
Er is een speciale NEN norm (7512), afgeleide van ISO:27001, voor "vertrouwensbasis voor gegevensuitwisseling in de zorg". Ben benieuwd welke bedrijven die een handje hebben gehad in dit fiasco, beweren hiervoor gecertificeerd te zijn. Of zouden ze gewoon naar de goedkoopste aanbieder hebben gezocht...
herbalx
@MBI25 januari 2016 16:55
Dergelijke normen zeggen niks over de absolute veiligheid van de een informatieverwerkingsproces binnen één of meerdere organisaties.

Ze zeggen iets over het management of de aantoonbaarheid van processen binnen een organisatie. Immers kan je hele organisatie alle processen netjes op papier hebben staan, aan alle voorwaarde voldaan hebben maar alsnog een informatiesysteem met het netwerk hebben dat kritiek lekken bevat of informatie lekt via een onbeschermde koppeling.

Dergelijke certificaten als ISO27001 en NEN7510 certificeren een management proces en niet te absolute veiligheid van een organisatie. Het geeft aan dat de organisatie of een deel daarvan "in control is" of dat op een juiste manier weet aan te tonen". Het certificaat wordt uitgegeven na aanleiding van een aangekondigde moment opnamen.

Anderzijds kun je afvragen; hoe ver ga je ? 100% beveiliging is niet mogelijk en fouten zijn onlosmakelijk verbonden met het uitvoeren van menselijke handelingen.

De sterkte van de algehele beveiliging wordt bepaald door een combinatie van technische en organisatorische maatregelen en een juiste implementatie daarvan.

Afgezien kun je al een hele groot stap maken door onnodige beschikbaarheid uit te sluiten. Waarom zou je immers dergelijke toegang tot (onversleutelde) informatie via het internet willen ontsluiten? Wat is de noodzaak hiervan? Wat is er mis met offline batchverwerking ?

Tegenwoordig zie je dat er steeds meer informatie ongevraagd en onnodige beschikbaar wordt gesteld via internet ? Natuurlijk vinden sommige mensen het leuk om zijn of haar medisch dossier via internet in te zien, maar ter gelijker tijd zijn er ook tal van mensen die zich niet bloot willen stellen aan dergelijke risico's die komen kijken bij een dergelijke toegankelijkheid. Die mensen weiger online inzage, maar in plaats dat hun informatie offline wordt gehaald wordt vaak de algemene toegangsweg (de daarvoor bedoelde authenticatie weg) afgesloten. Met als mogelijk gevolg dat de informatie als nog op straat ligt wanneer de server wordt gecompromitteerd door een eventuele kwetsbaarheid. En dat is precies moet men beoogde te voorkomen...... en dit is dat ook een behoorlijke doorn in het oog van de betrokkenen die bijv. online inzage weigeren.

In het geval van dit incident moet de Autoriteit Persoonsgegevens bepalen of de verantwoordelijk (st Anna Zorggroep) voldoende passende technische en organisatorische maatregelen heeft getroffen om een datalek bij bewerker (iGuana) te voorkomen.
TD-er
@herbalx25 januari 2016 19:50
[...]
Anderzijds kun je afvragen; hoe ver ga je ? 100% beveiliging is niet mogelijk en fouten zijn onlosmakelijk verbonden met het uitvoeren van menselijke handelingen. [...]
Tsja en hier zaten ze ook al heel dicht bij de 100% beveiliging natuurlijk.
Gedetineerden zijn natuurlijk de meest betrouwbare partij als het gaat om zo'n beetje de meest vertrouwelijke documenten. Verklaring omtrent goed gedrag is dan ook meer een belediging dan noodzaak.
En documenten open en bloot op een webserver zetten, voor iedereen toegankelijk geeft blijk van gevoel voor efficiëntie.

Nee hier zijn dusdanig veel dingen zo ongelooflijk fout gegaan dat strafrechtelijke vervolging helemaal niet misplaatst zou zijn.
Ook als het gaat om relatief oude documenten, is uitlekken ervan niet meer ongedaan te maken.
Een credit-card die gejat wordt kun je nog terugbetalen en een nieuw pasje uitgeven met een ander nummer. Een medisch dossier wat openbaar is, is niet ongedaan te maken.

Dit lijkt mij een prima zaak om compleet uit te laten pluizen zodat ook andere bedrijven zich wel even achter de oren gaan krabben om te bedenken of zij niet ook verkeerd bezig zijn. Ik kan me namelijk niet voorstellen dat dit een uitzondering betreft.
Men kijkt gewoon naar de prijs en niet naar wat erbij zou moeten komen kijken en dat is een prima recept voor dit soort idioterie.
Anoniem: 693870
@TD-er25 januari 2016 20:01
Sorry, maar dit is er een beetje over. Iguana (vroeger Allgeier) werkt met zowat alle ziekenhuizen in Nederland en België. Heb je hun referentielijst al eens gezien ? Pech voor de betrokken ziekenhuizen en vooral voor de Belgisch ziekenhuizen.

Veel Christelijk geïnspireerde zorginstellingen zullen trouwens het werken met gevangen als positief beoordelen.
TD-er
@Anoniem: 69387025 januari 2016 22:04
[...]
Veel Christelijk geïnspireerde zorginstellingen zullen trouwens het werken met gevangen als positief beoordelen.
Prima als ze dat willen doen, maar dan wel met andere dingen.
Niet met de meest vertrouwelijke dossiers denkbaar. Prima dat je gedetineerden niet buiten de maatschappij wilt sluiten, maar er hoeft er maar 1 bij te zitten met minder goede bedoelingen en dan heb je al grote problemen.
En de kans dat er bij gedetineerden er 1 bij zit met een wat minder eerlijke kijk op zaken is wat groter dan bij personeel wat getoetst is.
Je laat gedetineerden ook niet een crèche runnen en ook niet geldtransporten doen voor Brinks, dus waarom wel de meest vertrouwelijk mogelijke dossiers verwerken?
Anoniem: 693870
@TD-er5 februari 2016 09:53
Derden toegang geven tot medische dossiers is altijd delicaat. Ik ga even advocaat van de duivel spelen. Keuze 1. Een medisch dossier laten scannen door iemand die voor jaren in de gevangenis zit en dus nauwelijks over de inhoud kan communiceren
2. Een medisch dossier laten scannen door een werknemer die 's avonds tegen zijn vrouw gaat vertellen dat hij het dossier van nonkel jan heeft gezien.
In België valt alles wat met medische dossiers te maken heeft trouwens onder de hoofdgeneesheer (ziekenhuiswet). IT kan enkel adviezen geven.
johnkeates
@MBI25 januari 2016 15:33
Staat toevallig in de brief van Iguana, dat ze gespecialiseerder ISO27k willen doen. Beetje laat natuurlijk, maar ze hadden er dus aan gedacht ;-)
xleeuwx
@MBI25 januari 2016 15:34
Leuk die NEN Normen maar in de praktijk zie je dat de naleving maar zeker de controle heel slecht gedaan wordt, en is het meer aan het ziekenhuis zelf om de zaken op orde te hebben als dat zon Norm het waarborgt
Wim-Bart
@MBI25 januari 2016 22:54
Certificering zegt alleen wat over de processen maar niets over hoe de beveiliging daadwerkelijk is en of het personeel zich er aan houdt. Ik zie liever een publicatie met een sitescan door bijvoorbeeld Fox IT en een tweede bedrijf waarin staat hoe veilig e.e.a. is.

Ook werkt het bedrijf met "gescreende" gedetineerden, op zich heel leuk. Maar ik heb al een bezwaar als "gescreende" niet gedetineerden automatiseerders en andere werknemers toegang hebben tot mijn gegevens. Het liefst zou ik ieder bedrijf/instelling persoonlijk op bezoek willen om de personen te ontmoeten die mijn gegevens kunnen inzien en persoonlijk willen screenen, maar ik moet het maar doen met een "vertrouwensband" met een bedrijf/instelling.

Ik vraag me steeds meer af hoe veel gegevens bedrijven en instellingen te grabbel gooien en waar je schade kan claimen wanneer data in "volgens eigen inzicht" verkeerde handen terecht komt.
noidea_2
@MBI25 januari 2016 15:30
Tsja.... je kan gedetineerden een NDA laten tekenen :+
WDMeaun
@noidea_225 januari 2016 16:53
Hebben ze dus ook gedaan ;)
Nystran
@noidea_225 januari 2016 19:46
En een verklaring omtrent gedrag laten opvragen bij de gemeente 8)7.

Zolang ze niet voor oplichting zitten, is de kans best groot dat ze hem krijgen.
Covi
25 januari 2016 15:20
Iquana heeft ook een brief op hun website geplaatst waar ze de schuld volledig op zich nemen.
Die brief verklaart ook wat beter wat hier in het artikel staat.
De gegevens waren immers toegankelijk vanop een server van Iquana, en niet vanop het netwerk van de ziekenhuizen.

http://iguana-idm.com/igu...v-brief-aan-ziekenhuizen/
SED
@Covi25 januari 2016 16:30
Sterke brief. Open en transparant en antwoord gevende op mogleijke vragen. Prima comminicatie medewerker hebben ze daar die van een ramp een voordeel weet te maken.
Vraag ik me wel af wie dat bedrijf uit de markt is die ook de gegevens heeft gedownload en of dat voor of na Max is gedaan. Dat zou dan namelijk de bron van de melding zijn. Alternatief is dat er wel degelijk een derde ( of meer) download heeft plaatsgevonden die men niet heeft weten te traceren.
Wim-Bart
@SED25 januari 2016 23:02
Sterke brief. Open en transparant en antwoord gevende op mogleijke vragen. Prima comminicatie medewerker hebben ze daar die van een ramp een voordeel weet te maken.
Vraag ik me wel af wie dat bedrijf uit de markt is die ook de gegevens heeft gedownload en of dat voor of na Max is gedaan. Dat zou dan namelijk de bron van de melding zijn. Alternatief is dat er wel degelijk een derde ( of meer) download heeft plaatsgevonden die men niet heeft weten te traceren.
Ik vind het een zwakke brief, ja het zegt een hoop, maar eigenlijk zegt de brief niets anders dan:
1. We hebben ISO normering maar houden ons er niet aan - anders had nieuwe server nooit ongetest online mogen staan;
2. We weten dat er zaken gedownload zijn maar weten niet waar die allemaal heen zijn gegaan;
3. Ze bagatelliseren de belangrijkheid van de gegevens, persoonlijk vind ik al erg dat een persoon met een ziekenhuis gelinkt kan worden, zelfs al zijn het geen medische dosiers;
4. Deze brief is meer dan normaal want dit zijn ze verplicht volgens de nieuwe EU regels van 2016 op de wet datalekken.

Daarnaast is er volgens mij veel meer aan de hand. Alleen is de vraag wat komt er allemaal naar buiten.
SED
@Wim-Bart26 januari 2016 12:58
Je mist het belangrijkste punt. Ze geven de fout gewoon toe zonder dralen en nemen hun verantwoordelijkheid.
Dat er iets fout is gegaan was wel duidelijk. Nu geven ze precies aan wat en hoe.
florejaen
25 januari 2016 15:13
Je zou je soms afvragen of we wel echt in 2016 leven... Een onbeveiligde link... -_-
Wat denken de ICT'ers zelf eigenlijk als ze zoiets aan het implementeren zijn vraag ik me dan af..

[Reactie gewijzigd door florejaen op 25 januari 2016 15:17]

sjansen
@florejaen25 januari 2016 15:20
Totdat de opdrachtgever zegt; het moet nu gebeuren en die onbeveilgde verbinding; "Who cares ?"
AHBdV
@sjansen25 januari 2016 15:26
Dan zeg je tegen de opdrachtgever dat ze wettelijk verplicht zijn om deze data te beschermen, en dat die nooit over een onbeveiligde verbinding mag gaan.
TIGER79
@AHBdV25 januari 2016 15:35
dan gaat de opdracht naar iemand anders die het minder nauw neemt ;) want nu is nu en kosten spelen een rol...
resma
@TIGER7925 januari 2016 15:50
Nee hoor, op het moment dat je de juiste persoon binnen de opdrachtgever kietelt, meestal degene verantwoordelijk voor (data)veiligheid, dan is e.e.a. snel opgelost. Niemand durft namelijk verantwoordelijkheid te dragen voor slecht beveiligde persoonsgegevens.
Veelal worden de additionele offertes die zijn uitgebracht om e.e.a. te beveiligen dan razendsnel geaccordeerd.

Ik heb dat zelf in gemeenteland meegemaakt, waar men ook van externe diensten gebruik wilde maken over een onbeveiligde verbinding. Daarover zouden ook persoonsgegevens lopen. Een collega van mij die dat ter oren kwam heeft daar zeer gemakkelijk een compleet systeem verkocht ter beveiliging van die data.
TIGER79
@resma25 januari 2016 16:48
meestal degene verantwoordelijk voor (data)veiligheid, dan is e.e.a. snel opgelost.
Als je inderdaad die bewegingsvrijheid hebt binnen de organisatie van de opdrachtgever dan kun je dat zeker proberen. Als je opdrachtgever nou enkel een manager/middenkader mannetje is zonder specifieke verstand van zaken dan kun je het aan hem doorgeven maar zonder garantie dat daar op wordt gehandeld/doorgedacht.... En natuurlijk blijft security een mooie buzz-word waar vaak op gereageerd wordt maar is zeker geen garantie...
svennd
@AHBdV25 januari 2016 15:37
Ze zijn wettelijk verplicht "hun best" te doen. Als de hoogst gekwalificeerde IT'r een gedetineerde is die een office opleiding online heeft gevolgd...

Overigens is in een bedrijf waar je moet concurreren met gedetineerde nog maar de vraag hoe hard je je baas onder druk kunt zetten om veilig te zijn.
supersnathan94
@AHBdV25 januari 2016 15:39
Dit dus en dat het natuurlijk van de zotte is dat je niet even iets simpels als een VPN hiervoor gebruikt. Dan is je data intern gewoon beschikbaar, maar extern niet zonder credentials. Belachelijk dat het op deze manier gebeurt.
Anoniem: 399807
@sjansen26 januari 2016 13:22
Ja. godwin dan maar? Zijn ICT'ers de bruinhemden van onze tijd? We doen maar wat de baas zegt en of we nu volledig incompetent zijn, of een zesjes mentaliteit hebben, ach, ik werk hier alleen maar...in het Jappenkamp.

Ik kan hetzelfde zeggen tegen agenten die mensen op straat dood wurgen. Ja hallo, je voert gewoon de nek-klem uit zoals je dat door een instructeur geleerd werd? Fout! Je bent agent en je bent daarmee verantwoordelijk voor de bescherming van mensen, ook degenen die je arresteert en je hebt de plicht om die in leven te houden, ongeacht regels of procedures. En als de procedures risicovol zijn, dan moet je die niet volgen.

Je bent als ICT'er wel verantwoordelijk te houden en als je je wilt verschuilen achter je baas, dan zegt het Neurenberg Tribunaal daar nog wel even wat anders over.

"Individuals have international duties which transcend the national obligations of obedience ... Therefore [individual citizens] have the duty to violate domestic laws to prevent crimes against peace and humanity from occurring."
-- Nuremberg War Crimes Tribunal

ICT is de oorlog tegen privacy, wat een mensenrecht is.

"Niemand mag worden onderworpen aan willekeurige of onwettige inmenging in zijn priveleven, zijn gezinsleven, zijn huis en zijn briefwisseling, noch aan onwettige aantasting van zijn eer en goede naam. Een ieder heeft recht op bescherming door de wet tegen zodanige inmenging of aantasting."
-- VN wet op de privacy

Zie verder internationale verdragen en het charter van de NAVO. Als ICT'er heb je een enorme en bijzondere verantwoordelijkheid, in sommige opzichten nog meer dan een agent.

Daarom pleit ik voor strengere opleidingsnormen, examens en beëdiging, net als notarissen, zodat ze hun werk serieuzer nemen. En dat achterlijke incompetente gemorrel dat dient zwaar bestraft te worden. Want alles gaat meer en meer via netwerken met alle risico's van dien. Het moet niet langer mogelijk zijn dat elke sukkel zo maar ICT'er kan worden.
Blokker_1999
@florejaen25 januari 2016 15:39
In wat voor een wereld leven wij dat menselijke fouten niet meer mogelijk zouden kunnen zijn? Iedereen maakt fouten en de eerste die zecht dat hij/zij dat niet doet die plak ik een grote stempel leugenaar op.

Dat controle procedures ook fout lopen komt ook weer door diezelfde menselijke factor. De ICTers die zoiets implementeren staan vaak onder grote tijdsdruk om zo snel en goedkoop mogelijk goed werk te leveren. En dat zijn nu net 3 elementen die niet samengaan.
Cio
@Blokker_199925 januari 2016 16:03
Het gevoel wat ik steeds krijg is het beste samen te vatten met 'befehl ist befehl'. Niet alleen de opdrachtgever is verantwoordelijk.

De meeste IT'ers weten wel dat persoonsgegevens onbeveiligd verzenden niet mag. Het zou prettig zijn als er juridische waarborgen zijn (zoals aansprakelijkheid), om IT'ers de ruimte te geven zo'n taak te weigeren.
AHBdV
@Blokker_199925 januari 2016 16:07
Dit valt niet meer onder de categorie "menselijk fouten", maar onder de categorie "grove nalatigheid". Natuurlijk maakt iedereen fouten, maar NIET dit soort fouten. Persoonsgegevens mogen NOOIT over een onbeveiligde lijn naar buiten, en mogen überhaupt alleen onder zeer strike voorwaarden door derden behandeld worden. Het beeld wat hier geschildert wordt, is dat er fout op fout gestapeld is. En persoonsgegevens door gedetineerden laten behandelen is gewoon te absurd voor woorden. Dat is geen foutje meer...
TD-er
@Blokker_199925 januari 2016 19:59
In wat voor een wereld leven wij dat menselijke fouten niet meer mogelijk zouden kunnen zijn? Iedereen maakt fouten en de eerste die zecht dat hij/zij dat niet doet die plak ik een grote stempel leugenaar op.
[...]
Na hoeveel opeen gestapelde fouten spreek je niet meer van een menselijke fout, maar van een structureel probleem?
En menselijke fout is bijvoorbeeld wanneer je de kluis van de backup tapes niet goed afsluit en ze gejat worden.
Het is echter een structurele fout als de dief wat aan die tapes heeft doordat ze niet versleuteld zijn.
En dit is ook zo'n opeenstapeling van fouten dat er geen sprake meer is van een menselijke fout.
Daarnaast speelt mee dat de gevolgen voor uitlekken van de gegevens rampzalig kan uitpakken en er geen enkele mogelijkheid om dat terug te draaien.
Anoniem: 399807
@Blokker_199927 januari 2016 18:48
Pas dat dan toe op kerncentrales. Ach, menselijk foutje... Of een olietanker. Weet je wat er met een kust gebeurt als zo'n ding op de klippen loopt?
Paul
@florejaen25 januari 2016 16:26
Je zou je soms afvragen of we wel echt in 2016 leven... Een onbeveiligde link... -_-
Wat denken de ICT'ers zelf eigenlijk als ze zoiets aan het implementeren zijn vraag ik me dan af..
De ICT'er die het geïmplementeerd heeft, heeft de link waar die data op stond erg goed beveiligd.

De ICT'er die de webserver (mogelijk jaren later, dat kan ik er zo niet uit halen) gemigreerd heeft naar een andere server heeft mogelijk totaal niet geweten van die ene uitzonderingsdirectory (documentatie over de server op locatie A, documentatie over de beveiligde map op locatie B...) en gewoon de data overgezet van de oude naar de nieuwe webserver et voilà, niemand doet iets echt iets heel erg (of bewust) fout, en toch gaat het mis :)
CAPSLOCK2000
@Paul25 januari 2016 17:12
De ICT'er die de webserver (mogelijk jaren later, dat kan ik er zo niet uit halen) gemigreerd heeft naar een andere server heeft mogelijk totaal niet geweten van die ene uitzonderingsdirectory (documentatie over de server op locatie A, documentatie over de beveiligde map op locatie B...) en gewoon de data overgezet van de oude naar de nieuwe webserver et voilà, niemand doet iets echt iets heel erg (of bewust) fout, en toch gaat het mis :)
Dit is dus precies waarom ik al jaren pleit voor HTTPS-only. Je weet nooit wat er in de toekomst met een server gaat gebeuren. HTTPS aanzetten is een kleine moeite. Als je dat maar structureel overal doet dan heb je in ieder geval een zeker minimum aan beveiliging tegen domme lekken.
MadEgg
@CAPSLOCK200025 januari 2016 18:29
Deze dossiers werden gedigitaliseerd door het Belgische scanbedrijf iGuana, dat daarvoor toegang via een onbeschermde internetkoppeling bood
Je gaat er wel aan voorbij dat het een onbeveiligde LINK is. Als alle patientgegevens bij wijze van spreken op

https://www.iguana.com/patientgegegevens.zip

staan, dan kan die verbinding nog zo leuk beveiligd zijn, maar als er geen authenticatie gevraagd wordt bij het opvragen van dat adres is de boel nog steeds zo lek als een mandje. Nog veel meer zelfs dan als het over een HTTP-verbinding was gegaan waarbij er wél om een wachtwoord gevraagd werd. True, in dat laatste geval kun je alsnog de boel opvragen maar dan moet je er wel aanzienlijk meer moeite in steken om de data te onderscheppen. In dit geval is op een link klikken voldoende.

Ernstige nalatigheid inderdaad.

[Reactie gewijzigd door MadEgg op 25 januari 2016 18:30]

CAPSLOCK2000
@MadEgg25 januari 2016 18:33
Klopt, sorry voor het misverstand. In dit geval zou het niet hebben geholpen. Het was als algemene pleidooi voor secure-by-default.
Jelle_D
@CAPSLOCK200025 januari 2016 18:36
En wat had dat in dit geval opgelost?
Dat je https://<link of ip> ipv http://<link of ip> had moeten typen.

Als ik dit zo lees had deze webserver alleen intern benaderbaar moeten zijn alleen is deze, door welke rede dan ook, ook vanaf buiten benaderbaar geweest.

Misschien dat iemand de opdracht verkeerd begrepen heeft of dat iemand de opdracht verkeerd gegeven heeft daar zullen we nooit echter komen tenzij ze nog meer info geven maar dat denk ik niet.
freaxje
@Paul25 januari 2016 20:52
Dus eigenlijk weet iGuana niet meer wat waar staat op hun servers? Maar dat wat er op staat zijn wel hoogst persoonlijke gegevens?

Normaal hebben ze toch een lijstje van locaties van gegevens? Verantwoordelijken per set van gegevens? Procedures om te volgen voor het repliceren van een server? Maar niet dus. Gewoon clickers in plaats van ITers die een nieuw servertje bij elkaar klikken en achteloos wat mapjes kopieeren. Ik heb het al vaak genoeg zien gebeuren. Eigenlijk is het altijd gruwelijk onaanvaardbaar.

Tijd dat iGuana failliet gaat dus.
Paul
@freaxje25 januari 2016 21:43
Dat is natuurlijk wel erg gemakkelijk gedacht :) Wat niet wil zeggen dat het niet waar is, maar dat is maar één van de mogelijke scenario's.

Juist omdat ze _precies_ weten wat er staat, en ze _precies_ weten wie wat gedownload heeft denk ik juist dat ze over het algemeen hun zaakjes juist erg goed op orde hebben.

Je kunt alle documenten hebben, ze iedere bij iedere change die je uitvoert updaten, regelmatig controleren of ze kloppen en alle procedures volgen, maar er hoeft maar één keer een stapje te worden overgeslagen en zoiets kan gebeuren, en fouten maken is nu eenmaal menselijk. Ik heb met nog niet één bedrijf samengewerkt dat nog nooit een foutje heeft gemaakt, en dan is nou net een bedrijf dat het ruiterlijk toegeeft en verbetering belooft, iets wat ik liever heb dan dat ze proberen de boel te verstoppen...
telenut
@florejaen25 januari 2016 16:03
De ICT'ers zijn het daar zelf totaal niet mee eens doorgaans. Maar beslissen niet alles zelf... En ga je zelf mensen gaan wijzen op het gevaar, dan ben je zelf de hoofdverdachte bij lekken.
434365
25 januari 2016 15:14
Maxvandaag meldt verder dat scanbedrijven bij het digitaliseringsproces vaak gedetineerden inzetten om kosten te sparen. Dit zou onder andere gebeuren in de Centrale Gevangenis in Leuven. Ook zou er aangetoond zijn dat meerdere ziekenhuizen op deze manier dossiers hebben laten bewerken, waaronder het Amphia Ziekenhuis in Breda en het Isala Ziekenhuis in Zwolle. Dinsdagavond is er een uitzending over het incident.
Dit is toch een grapje mag ik hopen?! Zo niet, wie is hier verantwoordelijk voor? Welke idioot bedenkt nou om criminelen te overladen met persoonsgegevens? lekker handig, ik hoop dat dit serieus aan de kaak gesteld word, los van het genoemde lek vind ik dit een veel groter probleem.
noidea_2
@43436525 januari 2016 15:29
Ik vermoed dat het ziekenhuis het niet eens wist, dat er gedetineerden worden ingezet. Zo'n scan toko zegt hooguit dat het wordt uitbesteed aan groepen mensen met 'lage loonkosten'.

Even praktisch gezien: er van uit gaande dat alles door een stackfeeder de scanner in gaat (a 60 p/min, of meer) blijft er niet veel tijd over om te lezen waar het om gaat. Ook het indexeren van de documenten kan mbv OCR & templates (iets als "rechts boven 3cm van de bovenkant staat het patient nr"). Dan vermoed ik dat de gedetineerden weinig zullen mee krijgen van de inhoud.

Wil niet zeggen dat er geen risico is. Het idee dat een gedetineerde willekerig dossiers kan lezen, spreekt me niet erg aan.
Anoniem: 728630
@noidea_225 januari 2016 16:18
Het ziekenhuis hoort dit soort zaken te controleren. Vereiste hoort te zijn dat medewerkers minstens een VOG kunnen overleggen en een geheimhoudingsverklaring tekenen.

Tijdens het ontdoen van de dossiers van hechtmaterialen en indelen in dossieronderdelen is er meer dan genoeg tijd om summier te lezen wat er in een dossier staat. De personen achter de scanner worden geacht de kwaliteit van de gescande documenten te controleren en lezen dus onbewust ook mee.

Gedetineerden privacygevoelige dossiers laten bewerken is volkomen idioot. Het laten doen door bijstandsgerechtigden is al een slecht idee, omdat dit de kwaliteit van het werk niet ten goede komt. Uiteindelijk is het met dit soort zaken altijd: Goedkoop is duurkoop. Je krijgt rommel terug als je voor de laagste bieder gaat.
434365
@Anoniem: 72863025 januari 2016 17:27
Het ziekenhuis hoort dit soort zaken te controleren.
Ben ik eigenlijk niet met je eens, het ziekenhuis huurt een bedrijf in om die contracten te verwerken, dat doen ze vast en zeker in de veronderstelling (op basis van contracten/wetten/etc) dat het ingehuurde bedrijf op een veilige manier met zorg en respect de gegevens zal behandelen, daar zijn zulke bedrijven immers voor.

Verder helemaal met je reactie eens.

Wat mij betreft moet het bedrijf in kwestie publiekelijk aan de schandpaal genageld worden, en vervolgens door een rechter opgeheven. Daarna mag het parlement een commissie instellen (daar houden we in dit land immers zo van) die al die bedrijven gaat controleren zodat zoiets als dit nooit meer kan gebeuren.

Oh en ALLE personen die in die dataset zaten moeten wat mij betreft minimaal een nieuw BSN toegewezen krijgen, dat moet de overheid voorstellen en regelen zodra dit bericht wat breeder in het nieuws opgepakt is. Zodat iedereen ook snapt dat dit een hele serieuze zaak is. Waar zijn anders al die Postbus51 reclames goed voor? 'de overheid' wil dat we allemaal een beetje nadenken over onze privacy nu alles steeds meer digitaal gaat, dan moeten ze dit soort grove misstappen ook streng oplossen.
The Zep Man
@43436525 januari 2016 17:48
[...]

Ben ik eigenlijk niet met je eens, het ziekenhuis huurt een bedrijf in om die contracten te verwerken, dat doen ze vast en zeker in de veronderstelling (op basis van contracten/wetten/etc) dat het ingehuurde bedrijf op een veilige manier met zorg en respect de gegevens zal behandelen, daar zijn zulke bedrijven immers voor.

Verder helemaal met je reactie eens.
De gegevens worden beheerd door een ziekenhuis, de aangestelde gegevensbewaker die deze rol heeft geaccepteerd. Die is en blijft eindverantwoordelijk. Een patiënt (de gegevenseigenaar) heeft geen afspraak met of inspraak in wat derde partijen doen met deze gegevens.

Het ziekenhuis is een commerciele organisatie, dus een boete zal tot gevolg hebben dat patiënten en verzekeringen verder uitgeknepen worden. Ik heb het al eens eerder voorgesteld: bij verwaarlozing van de zorgfunctie met betrekking tot persoonsgegevens (tot in redelijkheid en billijkheid, we hebben immers rechters die dit moeten toetsen) strafrechtelijke vervolging vanaf de managementlaag die deze beslissing nam tot en met de hoogst verantwoordelijke in het bedrijf. Dit klinkt zwaar, maar je speelt niet meer met geld maar met persoonsgegevens, en daarmee met levens.

In de VS is de Sarbanes-Oxley Act geïntroduceerd in 2002 om boekhoudfraude te reduceren, met persoonlijke strafrechtelijke gevolgen als de personen in organisaties hier niet aan mee doen. Sinds die tijd zijn de boeken perfect op orde. Als zoiets voor geld kan, dan kan het ook voor mensenlevens.

[Reactie gewijzigd door The Zep Man op 25 januari 2016 18:13]

Anoniem: 693870
@43436525 januari 2016 20:10
Het is genuanceerder. Om te beginnen hebben alle ziekenhuizen een Informatieveiligheidsconsulent in dienst. Die geniet dezelfde arbeidsrechtelijke bescherming als een veiligheidsconsulent en zijn adviezen kunnen directies niet zo maar naast zich neer leggen.
Die personen moeten goedgekeurd worden door de privacycommissie en hun CV wordt wel degelijk serieus gescreend. Je krijgt die job niet als schoolverlater. Ik ken er een paar en die gasten verdienen 'behoorlijk' hun brood.
Het is gewoon rottig. Je zal als organisatie maar jarenlang serieus met IT-veiligheid bezig zijn en dan door een leverancier in de krant worden gebracht.
Kees
@noidea_225 januari 2016 16:08
Deze gedetineerden werden ingezet om nietjes e.d. weg te halen uit de dossiers, niet om ze in te scannen (maar om ze klaar te maken om te scannen). Die hadden dus tijd genoeg om ze te lezen en te beoordelen.

En verder zal er inderdaad gekozen zijn voor de goedkoopst mogelijke werkkrachten aangezien dat werk erg ongeschoold en monotoom is.
TD-er
@Kees25 januari 2016 20:08
En als ze dit door de goedkoopst mogelijke krachten laten doen, wie garandeert mij dan dat de dossiers niet door elkaar komen?
Je mag hopen dat er nog op elke bladzijde voldoende informatie staat om de boel te kunnen reconstrueren nadat het gedigitaliseerd is.

En als er zo slecht met de beveiliging wordt omgesprongen, waarom zou je dan de dossiers inzien als je ongetwijfeld tussen het scannen en de onbeveiligde webserver nog voldoende gelegenheid hebt om een backupje te trekken.
supersnathan94
@noidea_225 januari 2016 15:40
Nouja, met 200.000 documenten duurt het dus alsnog ongeveer 60 uur met 1 scanner. In die tijd kan je er toch een aantal van de stapel lezen terwijl je zit te wachten tot de volgende stapel er in mag.
R4gnax
@noidea_225 januari 2016 21:47
Ik vermoed dat het ziekenhuis het niet eens wist, dat er gedetineerden worden ingezet. Zo'n scan toko zegt hooguit dat het wordt uitbesteed aan groepen mensen met 'lage loonkosten'.
Het ziekenhuis heeft een wettelijke verplichting om zich ervan te verzekeren dat de derde partij waarmee zij in zee zouden willen gaan, adequate bedrijfsprocessen en beveilingsmaatregelen zal hanteren om de veiligheid van de verwerking van persoonsgegevens te garanderen.

Als het ziekenhuis daar niet verzekerd van is, dan mag men überhaupt niet met die derde partij in zee gaan.

[Reactie gewijzigd door R4gnax op 25 januari 2016 21:47]

Blokker_1999
@43436525 januari 2016 15:42
En mag ik dan vragen waarom jij dat een probleem vind? Ken jij deze mensen? Weet jij waarom ze veroordeeld zijn of hoe hun houding tegenover de maatschapij is? Of ben jij van mening dat wanneer iemand 1x met het gerecht in aanraking is gekomen deze nooit nog tot iets goeds in staat zal zijn?

En waarom zou een kantoormedewerker die onderbetaald word en zijn/haar baan misschien niet eens graag doet ineens wel betrouwbaar zijn voor dit soort werk? Wil je absolute zekerheid dat niemand die dossiers kan lezen bij het inscannen dan zouden ze naar een bedrijf moeten waar iedereen ongeletterd is ... maar laat ze daar maar eens de dossiers goed klasseren ...
chrisboers
@Blokker_199925 januari 2016 16:36
Ik vind het een probleem zodra ook maar IEMAND die niet gecertificeerd is, mijn privé-gegevens ziet. En ik van een gedetineerde weet ik vrij zeker dat die niet gecertificeerd is.

Zo dachten ze bij mijn werk ook dat collega's 'op de bank' (even zonder betaalde klus) wel even alle personeelsdossiers konden inscannen voor het electronisch maken van die dossiers, en daarna ook nog eens een volledigheidscontrole mochten uitvoeren (waarbij ze de documenten dus echt moeten bekijken). Ik dacht het niet dus!

Daar zijn gecertificeerde bedrijven voor. En als die dan gedetinieerden inzetten, hoop ik dat die HELE hoge boetes krijgen, en onmiddelijk hun certificaat kwijt raken.
Anoniem: 693870
@chrisboers25 januari 2016 20:04
iguana is certificeerd.
R4gnax
@Anoniem: 69387025 januari 2016 21:50
iguana is certificeerd.
Knap dan dat ze het werk door gedetineerden kunnen doen. Mag hopen dat er iemand ondertussen al een aansteker onder het certificaat gehouden heeft.
pmeter
@chrisboers25 januari 2016 17:06
Ik geloof dat een persoon niet gecertificeerd kan zijn. Waarschijnlijk bedoel je dat voor gecertificeerde bedrijven alleen mensen zouden mogen werken die in aanmerking zouden kunnen komen voor de voorwaarden voor het verkrijgen van een VGB (verklaring van geen bezwaar voor een vertrouwensfunctie). Het lijkt hier echter niet te gaan om een vertrouwensfunctie waarvoor een VGB is vereist.

Een VOG (verklaring omtrent gedrag) is een minder strenge eis dan een VGB en zal waarschijnlijk wel vereist moeten zijn. Gedetineerden zullen niet zomaar een VOG kunnen krijgen.

[Reactie gewijzigd door pmeter op 25 januari 2016 17:20]

botoo
@Blokker_199925 januari 2016 16:16
Een eerste veroordeling is vaak nog geen detentie (behoudens zware delicten), het is bij gedetineerden in ieder geval bewezen dat zij de wet niet zo nauw volgen en daarom lijkt het me een valide opmerking dat dit wel degelijk een discutabele situatie op kan leveren.

Dat een onderbetaalde (vanwaar onderbetaald?) kantoormedewerker wel betrouwbaar is was niet het argument. Overigens mag/moet je van normale werknemers verwachten dat zij hun werk naar behoren vervullen, mogelijk met plicht tot geheimhouding, en die kantoormedewerkers hebben iets te verliezen als zij een scheve schaats rijden.

De praktijk leert dat waar mensen werken dat er ook mensen in de fout gaan maar het lijkt mij wel degelijk te verwachten dat gedetineerden eerder/makkelijker in de fout gaan dan een doorsnee kantoormedewerker.
434365
@Blokker_199925 januari 2016 17:11
Ik vind het gewoon raar, nee, natuurlijk valt niet iedere crimineel in herhaling, en ja ze kunnen hun leven beteren, alleen vind ik het een beetje ver gaan om maar aan te nemen dat ze allemaal zulke goeie bedoelingen hebben, er hoeft er maar eentje tussen te zitten die 3-4 setjes persoonsgegevens achterover drukt, en vervolgens zijn die mensen de rest van hun leven 'de sjaak' omdat een of ander onverlaat op hun naam creditcards hypotheken en weet ik wat nog meer afsluit.

En iemand die in een (kwalitatief) kantoor zit dat met persoonsgegevens werkt heeft een contract waar dit soort dingen in staan (persoonsgegevens met respect behandelen en niet zomaar delen) als ze dat contract breken liggen er zware straffen op, dat zal 'jan modaal' ervan weerhouden om als ie z'n baas niet meer lief vind gegevens van klanten te gaan gebruiken/verkopen.

In de gevangenis, geen idee of ze daar zulke contracten hebben, maar laten we even aannemen van wel, dan nog, zoals gezegd, in de gevangenis zitten criminelen, sommige daarvan zijn echt niet van plan om 'weer aan de maatschappij deel te nemen' en zullen gewoon schijt hebben aan zo'n contract, als dat er überhaupt is.
Vipertje
@Blokker_199925 januari 2016 17:38
Er staat dat bij de gegevens medische informatie bevat zoals bezochte specialisten. Deze informatie is natuurlijk perfect voer voor afpersing. Kan mij voorstellen dat er dossiers zat zijn met cases die je niet openbaar wil zien.
TD-er
@Blokker_199925 januari 2016 22:09
[...] Of ben jij van mening dat wanneer iemand 1x met het gerecht in aanraking is gekomen deze nooit nog tot iets goeds in staat zal zijn?
[...]
Er is nogal een verschil tussen een gedetineerde en iemand die z'n straf heeft uitgezeten.
En inderdaad, zodra iemand vast heeft gezeten, zullen er bepaalde functies niet meer tot de mogelijkheden behoren.
Zeg maar alle functies waarbij "onberispelijk gedrag" een vereiste is.
Uiteraard heb je altijd mensen die onterecht in de cel komen, maar dat is een ander verhaal.

En persoonlijk vind ik het geen vreemde eis om te stellen dat iemand die met de meest persoonlijke dossiers in aanraking komt, van onberispelijk gedrag is.
Dus dan vallen gedetineerden af.
Kev0
25 januari 2016 15:15
Maxvandaag meldt verder dat scanbedrijven bij het digitaliseringsproces vaak gedetineerden inzetten om kosten te sparen. Dit zou onder andere gebeuren in de Centrale Gevangenis in Leuven. Ook zou er aangetoond zijn dat meerdere ziekenhuizen op deze manier dossiers hebben laten bewerken, waaronder het Amphia Ziekenhuis in Breda en het Isala Ziekenhuis in Zwolle. Dinsdagavond is er een uitzending over het incident.

Dit is toch hopelijk een grap!? Sowieso al bizar dat vreemden toegang hebben tot medische dossiers. En al helemaal gedetineerden!? Dit kan je niet meer serieus nemen, wat een incompetentie. Ik vind het schokkend.

[Reactie gewijzigd door Kev0 op 25 januari 2016 15:16]

Blokker_1999
@Kev025 januari 2016 15:45
De fout zit in het ziekenhuis die het uitbesteed. Vanaf dat een dossier het ziekenhuis verlaat ben je verkeerd bezig. En dan maakt het echt niet uit of het bij gedetineerden komt of niet. Waarom zouden die minder te betrouwen zijn dan iemand op een kantoor die nog eens veel eenvoudiger in contact komt met anderen?
Bartjoo71
@Blokker_199925 januari 2016 15:57
Alle dossiers moeten ingescand worden, dat kan niet in het ziekenhuis zelf. Die hebben er de apparatuur niet voor. Dus moeten ze het ziekenhuis wel verlaten. Hier is ook contact geweest met de betreffende firma. Toen we hoorden dat de patiëntendossiers ingescand zouden worden door gedetineerden zeiden we; "We kijken nog even verder".
Blokker_1999
@Bartjoo7125 januari 2016 16:05
En dat vind ik een zeer spijtige reactie van jullie. Die mensen zijn niet meer of minder betrouwbaar dan een persoon op kantoor. Het is en blijft vertrouwelijke informatie en die wil je liefst niet buiten je eigen organisatie zien.

Vele gedetineerden (en dat zijn vaak diegene die NIET in het nieuws komen) willen gewoon werken aan hun herintegratie in de maatschapij, en door dit soort domme beslissingen word dat hen zeer moeilijk gemaakt. Ze hebben een fout gemaakt, zitten daar een straf voor uit en zullen hun hele leven met die stempel moeten leven. Dat betekend nog niet dat het allen in de grond slechte mensen zijn.
KillerAce_NL
@Blokker_199925 januari 2016 16:13
Lekker kortzichtig. Waarom denk je dat men voor veel banen een VOG moet overleggen... Je gaat niet vertrouwelijke data toevertrouwen aan iemand die de wet al heeft gebroken.. Dat is een demonstratie van onbetrouwbaar gedrag. De kans op herhaling is groter per definitie.
Ralph Smeets
@KillerAce_NL25 januari 2016 16:19
Je weet dat een veroordeling voor het een niet automatisch betekent dat je nooit een VOG krijgt? Bij de VOG wordt gekeken naar wat je gaat doen. Dus als je een VOG nodig hebt omdat je met vertrouwelijke informatie moet omgaan en je hebt een veroordeling voor iets anders, dan kun je nog altijd je VOG krijgen.
willemd
@Blokker_199925 januari 2016 16:15
Het gaat er niet om dat ze "allen in de grond slechte mensen zijn" maar als je een reeks gedetineerden bij elkaar zet, mag je wel verwachten dat er een significant aantal mensen met verminderd moreel besef tussenzit. Daar gaat het ook om: een of twee zijn genoeg om inbreuk te plegen, het gaat niet om iedereen.

Privacy is natuurlijk altijd moeilijk met zulke dingen. De artsen en verplegers moet je ook maar vertrouwen, en wij weten ook de selectie van de betreffende gedetineerden niet. Maar ze kunnen vast iets beters verzinnen voor hun werkzaamheden.
Bartjoo71
@Blokker_199925 januari 2016 16:27
De angst regeert. We willen niet met onze naam in chocolade letters op de voorpagina van de ochtendkrant. Dus kies je voor een organisatie die niet met gedetineerden werkt, of dat beter/veiliger is? Ik weet wel zeker van niet.
Yoshi
@Bartjoo7125 januari 2016 16:26
natuurlijk gaat dat, in UZ Leuven wordt dit in het ziekenhuis zelf gedaan. (wel vreemd dat net de naam van de gevangenis van Leuven valt)

[Reactie gewijzigd door Yoshi op 25 januari 2016 18:46]

AHBdV
@Bartjoo7125 januari 2016 19:01
Er is geen reden waarom de dossiers niet in het ziekenhuis zelf kan gebeuren. De benodigde apparatuur kan tijdelijk in een kantoor worden geplaatst. Dat is helemaal geen probleem. En aangezien het hier niet alleen om persoonsgegevens gaat, maar zelfs om medische gegevens, is het logisch dat geheimhouding hier hoger telt, en je er dus eventueel extra kosten voor moet maken.
ALS het dusdanig lastig is het in het Ziekenhuis te doen, dan moet je zeer goed bekijken dat de derde partij uiterst zorgvuldig met de gegevens omspringt. Dat is duidelijk niet gedaan, als dit soort zaken konden gebeuren.
Cio
@Blokker_199925 januari 2016 16:17
Als je de bronnen bekijkt is duidelijk dat het lek is ontstaan in een systeem van de dataverwerker (iGuana) door een technische fout. De fout zat dus echt bij de verwerker. Of het ziekenhuis ook fout zat blijkt niet uit dit artikel.

Dossiers door een 3e partij (binnen de EU) laten verwerken zonder expliciete toestemming is NIET altijd verboden.

Dat de verwerker gedetineerden gebruikt lijkt me WEL van belang, VOG aanvraag (of Belgisch equivalent) lijkt me noodzakelijk voor alle medewerkers. Dat zal een uitdaging zijn.
R4gnax
@Cio25 januari 2016 22:08
Dossiers door een 3e partij (binnen de EU) laten verwerken zonder expliciete toestemming is NIET altijd verboden.
Dat klopt.

Maar het is wel altijd verboden om zonder expliciete toestemming van de betreffende personen dossiers met medische gegevens of gegevens die raken aan medische gegevens -- Dus ook gegevens die enkel laten zien dat jij bij een ziekenhuis een medische afspraak hebt gehad, en niet eens met wie of waarover. -- door derden te laten verwerken die niet een medische geheimhoudingsplicht of equivalente geheimhoudingsplicht hebben.

Een derde partij die zo'n plicht wel heeft mag ook niet zomaar het verwerken uitbesteden aan gedetineerden of aan een sub-contractor die met gedetineerden werkt, omdat zij op hun beurt die plicht niet hebben.
Anoniem: 693870
@Blokker_199925 januari 2016 20:15
Makkelijk praten natuurlijk. Alle nieuwe data wordt rechtstreeks in de ziekenhuissystemen gemaakt. Je zit daar met een archief van jaren waar van je de gegevens tot x jaar na de dood van de patiënt moet bewaren.
Wat stel je dan concreet voor : tijdelijke personeelsleden aannemen om te scannen ? Hoe garanderen die meer veiligheid ?
Jism
@Kev025 januari 2016 15:29
Gedetineerde worden vaker ingezet voor het verrichten van veelal productiewerk. Denk aan het plakken van dingen, het in elkaar lassen van bijv wc-hangers ofzo. Ik denk dat de keuze op gedetineerde gevallen is in Belgie omdat dat A, kostenbesparend was ( :') ), B, een gedetineerde uit Belgie verder weinig kon met gegevens van een nederlander, en C je moeilijk vacatures in NL kunt aan gaan bieden waarbij gewerkt wordt met medische gegevens.

Treurig. Ik had een ziekenhuis of dokter platgesued voor het laten lekken van mijn gegevens (mochten die er tussen staan). Patientendossiers worden oh zo mooi verkocht in het ziekenhuis voor spoedeisende zaken, bijv iemand die op de IC binnenkomt en een bepaald medicijn toegediend zou krijgen, er via het dossier afgelezen kon worden of diegene een allergie had ofniet.

Dat is het gedachtegoed erachter, maar er gebeurd veel meer mee dan dat je denkt. Verzekeraars delen die lijsten onderling ook. Soort risico-factor of iemand duur gaat worden in de verzekering ofniet.
supersnathan94
@Jism25 januari 2016 15:43
je moeilijk vacatures in NL kunt aan gaan bieden waarbij gewerkt wordt met medische gegevens.
Hoezo niet? Er zijn legio manieren om er voor te zorgen dat de gegevens bij desbetreffende persoon blijven en er niet uit komen. Een NDA met €250K dwangsom bijvoorbeeld, of maak er een vakantiebaan van voor studenten geneeskunde. Die personen kunnen het geld ook goed gebruiken en weten hoe je met dergelijke gegevens om moet gaan. Doen ze dat niet dan kunnen ze ook per direct stoppen met hun studie, want dan kom je nooit meer aan een baan.
proatjeboksem
@Kev025 januari 2016 15:25
Zoiets heeft het UMCG een poos geleden ook gehad, waarbij een sociale werkplaats oude dossiers vernietigde.

Ik meen dat hun werknemers daarbij wat genantere rontgenfoto's met elkaar had gedeeld.
MaartenBos
25 januari 2016 15:39
En wederom wordt ik (ook als IT'er) weer een beetje misselijker.
"Kosten besparen" is wederom het goed-praat-woord van een blunder van enorme proporties.
Hoelang duurt het nog voordat het besef "goedkoop is duurkoop" ook in deze sector fatsoenlijk doordringt?! |:(

En tuurlijk; ik heb ook wel mijn blunders gemaakt. Eigenlijk altijd op ontwikkel / test omgevingen waar iedereen dan even om gniffelt, je het oplost en weer verdergaat.
Maar 'vergeten' om je beveiliging op een productie server überhaupt aan te zetten, ik zou een verrekte goed gesprek krijgen of rechtstreeks een enkeltje UWV :P
Aardwolf
@MaartenBos25 januari 2016 16:10
Hoelang duurt het nog voordat het besef "goedkoop is duurkoop" ook in deze sector fatsoenlijk doordringt?!
Waarschijnlijk pas als het bedrijf zelf enorme schade lijdt i.p.v. de klant(en). Dit kleine beetje imago-schade is iedereen over een half jaar weer vergeten, terwijl de klant met uitgelekte data misschien de komende 30 jaar er gezeik van heeft. (onder de aanname dat bigdata door gaat en de profilering intelligenter en diep(er)gaand dan nu nog het geval is)

Ik vind wat dat betreft dat er hoge boetes op mogen worden gezet. Uiteindelijk zijn keuzes vaak op de financiën gebaseerd. Met een afschrikboete stuur je bedrijven toch een eind de goede richting op. Althans dat zou je verwachten...
Paul
@MaartenBos25 januari 2016 16:30
"Kosten besparen" is wederom het goed-praat-woord van een blunder van enorme proporties.
Euh? Heb je het artikel (en/of de bron) überhaupt gelezen? Het lek zat niet in de kostenbesparende maatregel van het inzetten van gedetineerden om nietjes en paperclips te verwijderen...
NightFox89
25 januari 2016 15:14
Volgens NOS.nl hadden de scanbedrijven zelf weer onderaanemers aangenomen, die het dan weer bij gevangenissen uitzet. Raar dat dit heeft kunnen gebeuren, helemaal gezien hoe vaak medische dossier missers in het nieuws komen.
Ziekenhuizen nemen gespecialiseerde bedrijven in de arm om hun papieren patiëntendossiers te laten digitaliseren.
...
De bedrijven in de arm huren onderaannemers in om het scannen van de papieren voor te bereiden.
http://nos.nl/artikel/208...se-patientendossiers.html
R4gnax
@NightFox8925 januari 2016 21:42
Volgens NOS.nl hadden de scanbedrijven zelf weer onderaanemers aangenomen, die het dan weer bij gevangenissen uitzet. Raar dat dit heeft kunnen gebeuren, helemaal gezien hoe vaak medische dossier missers in het nieuws komen.
Dubbeltje, eerste rij, etc.

Makkelijkste stukje werk om op te beknibbelen is de papiermolen. Ziekenhuizen hebben het tenslotte 'toch al niet al te breed', tenminste als we de directies mogen geloven. Je weet wel; die personen die vaak genoeg zelf nog steeds in dure pakken rondlopen en dikke BMWs mogen rijden.
flabber
25 januari 2016 15:49
Volgens CWZ:
Om de werking van onze systemen te kunnen garanderen, voeren wij met leveranciers regelmatig onderhoud uit. Hierbij is het nodig dat de leverancier toegang krijgt tot onze systemen. In dit geval heeft de leverancier schermafdrukken gemaakt en deze buiten de beveiligde omgeving van CWZ opgeslagen.
En de leverancier spreekt van "technische documentatie".
Maak dan in godsnaam een screenshot van een versie met geanonimiseerde data.
Of gebruiken ze geen fatsoenlijke OTAP straat?

Sorry, maar dit is zo knullig dat ze bijna zelf gedetineerd zouden mogen worden voor zoiets.
Ralph Smeets
25 januari 2016 16:13
Uitleg van het bedrijf zelf:
http://iguana-idm.com/igu...v-brief-aan-ziekenhuizen/

Als je dit doorleest, dan zie je dat gedetineerden gescreend zijn en ook een verklaring hebben moeten ondertekenen. Gedetineerden met een honger voor gegevens werden hierbij sowieso uitgesloten.

Daarnaast is de fout ontstaan nadat de beveiligde webserver gemigreerd werd, waarbij de beveiliging is vergeten. Het is dus niet zo dat er iemand heeft gekozen om dit onbeveiligd te doen.
Tweddy
25 januari 2016 16:49
"Scanbedrijven zetten bij het digitaliseringsproces vaak gedetineerden in".
What's next? Fiscale fraudeurs aan de Belastingtelefoon?
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee