Belgische Orde der Artsen ontmoedigt Tor-browser op pc met patiëntengegevens

De Belgische Orde der Artsen raadt artsen aan om geen gebruik te maken van de Tor-browser. Het ontraden van het gebruik van Tor is gekoppeld aan een advies van de nationale raad rond problemen met digitale aanvallen op computers van artsen. De aanvallen kwamen van ransomware.

Tor De nationale raad bestudeerde in een vergadering van 21 mei jongstleden de 'problemen van digitale aanvallen op computers van artsen' en geeft daarbij het advies goed te controleren of een e-mail of website authentiek is, voordat tot 'bepaalde acties' wordt overgegaan, vermoedelijk het downloaden en installeren van programma's.

Aan het eind van de boodschap meldt de raad dat artsen 'om medische gegevens te encrypteren of beveiligde boodschappen te versturen' geen gebruik mogen maken van 'browsers die gekend zijn voor allerlei illegale en criminele praktijken, zoals TOR (The Onion Router) browser, e.a' omdat 'dit soort browsers niet thuis horen op de computer van een arts'. Voor veilige communicatie zouden artsen het Vitalink-platform moeten gebruiken.

Het advies werd opgepikt door Mediplanet.be die navraag deed bij computerwetenschapper Jeroen Baert van de Katholieke Universiteit Leuven. Hij stelt dat ook gewone browsers voor illegale en criminele activiteiten kunnen worden gebruikt. Artsen zouden volgens hem wel degelijk baat hebben bij een netwerk dat encryptie en privacy als belangrijkste handelsmerk ziet. Naast het opzetten van een veilige verbinding, zorgt de browser ook voor het blokkeren van externe scripts.

IT-banen

Reacties (73)

HuHu 30 mei 2016 19:31

Het lijkt mij verstandig dat het ziekenhuis dergelijke faciliteiten zelf aanbiedt. Ik verbaas mij er dan ook over dat dit niet zo is.

Artsen (en ander ziekenhuispersoneel) vallen terug op dit soort oplossingen, omdat de ziekenhuizen zelf het niet aanbieden. Ze zeggen "gebruik encryptie", maar bieden niet de tools. Ze zeggen "verzend bestanden veilig", maar bieden geen mogelijkheden.

Ziekenhuizen moeten:
1) accepteren dat het nu eenmaal zo werkt en artsen (en anderen) de makkelijkste oplossing gebruiken OF
2) het zelf aanbieden

De Nederlandse (academische) ziekenhuizen maken hierin grote stappen. Er is een beveiligde variant van WeTransfer (surffilesender) en ook intern wordt er veel gefaciliteerd. Maar een tool zoals whatsapp is er nog niet, al was dat onlangs ook in het nieuws.

Iets verbieden zonder oplossing te bieden, gaat het probleem echter niet verhelpen. Het creëert eerder een doofpot cultuur, omdat het nu "verboden" is.

Aikon @HuHu • 30 mei 2016 19:36

In het artikel staat dat Vitalink voor 'dat' (veilig communicatie doel je op neem ik maar aan) zou moeten worden gebruikt.

Matthew @Aikon • 30 mei 2016 20:29

Huisartsen gebruiken Vitalink zeer beperkt voor het delen van een korte samenvatting van patiëntendossier, de SumEHR, zodat de arts van wacht een idee heeft wie er voor ze zit met de nodige voorgeschiedenis.

Wanneer het gaat over geadresseerde communicatie gebruiken de ziekenhuizen, labo's huisartsen en overige zorgverstrekkers al een geëncrypteerde kanaal, de eHealthBox. Zoals MeHiSt opsomt zijn er veel alternatieven beschikbaar voor verschillende soorten communicatie. Mediring, Hector & Medibridge kunnen bijvoorbeeld allemaal gebruik maken van dezelfde eHealthBox om te communiceren.

Vanaf volgend jaar zullen de huisartsen een verhoogde premie krijgen afhankelijk van het gebruik van verschillende eHealthdiensten.

Ik kan mij niet voorstellen dat een huisarts, zoals ik ze ken, op eigen houtje Tor gaan downloaden om te betalen voor hun geëncrypteerde files dankzij ransomware/cryptolockers doordat ze een verdachte openstaande factuur ontvangen zouden hebben per mail met bijlage. Want _daar_ gaat het over in het artikel. De artsen gebruiken echt geen Tor om op een veilige manier met elkaar te communiceren..

Geëncrypteerde back-ups maken van de databases van de patiëntendossiers is wel zo nuttig.

@Dred, helemaal gelijk. Bedankt voor de aanvulling.

[Reactie gewijzigd door Matthew op 24 juli 2024 02:27]

Dred @Matthew • 30 mei 2016 22:38

Niet enkel sumehrs. Ook medicatieschema's en vaccins (vaccinnet data) staan in vitalink.

Vooral het medicatieschema (wat het eerste businessproject was van vitalink, sumehr is er pas later bijgekomen) word veel gedeeld met andere zorgactoren (wit gele kruis voor thuisverpleging bv) en ook de patient kan er aan via de vitalink viewer.

Verder zijn er rond vitalink ook nog generieke componenten gebouwd zoals geinformeerde toestemming, digitale therapeutische relaties (en exclusies) etc

[Reactie gewijzigd door Dred op 24 juli 2024 02:27]

AriGold @Dred • 31 mei 2016 00:30

Vitalink is echt nog in een vroege fase imo. Maar het is wel leuk qua layout, zeer eenvoudig voor de gemiddelde huisarts.

En vaccinaties worden toch al heel lang centraal bijgehouden door de overheid? Nu kan je ze als patient ook eenvoudig online zelf raadplegen, maar verder is dit toch niet echt nieuw?

Dred @AriGold • 31 mei 2016 08:35

Vitalink zit toch al even in productie, ben ondertussen al 2 projecten verder. Als ik mij goed herinner zit vitalink nu 3,5j jaar in productie (december 2012).

Je slaat toch even de bal mis wanneer je praat over layout en eenvoudig. Vitalink is een backend service die een SOAP API aanbied. De EMDs (zoals CareConnect) integreren Vitalink.
Vitalink is in essentie niet meer dan een beveiligd stukje opslagruimte om je patientgegevens op te slaan (met oog op gegevensdeling).

Ik was wat kort rond vaccin data, deze wordt inderdaad bijgehouden door de overheid in vaccinnet. Vaccinnet is gekoppeld aan vitalink zodat je direct uit vitalink de vaccin data kan halen zonder dat er een extra koppling met vaccinnet vereist is.

Je kan jouw vaccinaties en medicatie schema raadplegen die in vitalink zitten (en dus ook vaccinnet) via de vitalink viewer: https://vitalink.intermut.be/viewer/
Binnenkort worden ook de kinddosieren van kind en gezin in Vitalink bijgehouden.

AriGold @Dred • 31 mei 2016 22:29

Oeps ik had de patient healthviewer voor, ik dacht dat deze van vitalink zelf was. Maar dat is dus niet het geval... En van deze heb ik recent pas gehoord.

Dred @AriGold • 1 juni 2016 20:01

Ze zijn allemaal hetzelfde, word overkoepelend gemaakt door healthconnect en ter distributie geleverd aan de mutualiteiten (zij sponsorren development)
Maar dat is eerder een referentie implementatie over hoe vitalink gebruikt kan worden en hoe de data die erin zit te verwerken.

Wel makkelijk om als patient je gegevens op te vragen. Maar voor zorgverstrekkers zit dit ingebouwd in hun EMD, meestal gekoppeld aan meer geavanceerde functies.

[Reactie gewijzigd door Dred op 24 juli 2024 02:27]

Verwijderd @Aikon • 30 mei 2016 19:39

Hou je vast, er is vitalink, cozo, sumehr, ehealth, pacsonweb, mediring, hector, medibridge, .... kortom het is een zootje van verschillende bedrijven/overheden. De overheid laat die markt veel te vrij en een arts heeft 10 programma's nodig om elk soort bericht binnen te halen... en het grappie is dat ze elk jaar een premie kregen van 600 euro om digitaal te werken

Verwijderd @Verwijderd • 30 mei 2016 22:01

Hou je vast, er is vitalink, cozo, sumehr, ehealth, pacsonweb, mediring, hector, medibridge, ....

cozo is een van de vele hubs van het ehealth platform, vitalink is een dienst die gebruik maakt van ehealth, ehealth is het overkoepelende platform van de overheid, mediring, hector en medibridge zijn concurrerende tools om gegevens via ehealth(-box) uit te wisselen, als men er 1 heeft heeft men de andere in principe niet nodig. Ik snap je punt dus niet helemaal.
Sumehr is een bestandsformaat en pacsonweb is een dienst voor uitwisseling van medische beelden (en dat kan helemaal nog niet in ehealth) en horen helemaal niet in het rijtje thuis.

De overheid laat die markt veel te vrij

I beg to differ, ze duwen ehealth er langs alle kanten door. 3,5 miljoen belgen zouden expliciet hun toestemming hebben gegeven om via ehealth hun gegevens te laten uitwisselen. Ken jij iemand die dit willens en wetens heeft gedaan?
Wat is trouwens je voorstel: 1 software door de overheid gereguleerd/ontwikkeld? Want dat is ehealth al en dat is een boeltje waar men al 10 jaar aan werkt (met bijzonder mager resultaat....). Gedaan met concurrentie en innovatie. De trabant in de softwarewereld.

een arts heeft 10 programma's nodig om elk soort bericht binnen te halen...

dat klopt gewoon niet.

AriGold @Verwijderd • 30 mei 2016 22:07

Sommige zaken komen echter nog via bv Medibridge binnen ookal heb je Hector. Geen idee waarom dit zo is eigenlijk. Dacht dat het vooral kwam doordat bv ziekenhuizen het nog steeds via Medibridge doorsturen ipv naar je Hector? Maar ik kan mis zijn?

Matthew @AriGold • 30 mei 2016 22:20

Je hebt helemaal gelijk, helaas.
Ziekenhuizen zijn nog niet verplicht om alles via 1 kanaal te verzenden, wat wel al lang de bedoeling is en gelukkig gerealiseerd wordt vanaf 01/06/16, morgen dus. Iedereen op één systeem, eHealthBox. In Vlaanderen bijvoorbeeld is het merendeel eHealthBox, maar in Wallonië is het net het omgekeerde.
bron: http://www.plan-egezondhe...ebruik-van-de-ehealthbox/

Via het Medibridge-kanaal durven ziekenhuizen nog flashberichten sturen, dit zijn opname of ontslagbrieven van patiënten, terwijl ze verslagen via eHealthBox sturen. Dit verschilt soms zelfs per afdeling van bepaalde ziekenhuizen.

Hector = uitsluitend eHealthBox
Medibridge = Medibridge-kanaal + eHealthBox (optioneel)
Het is dus makkelijk om ze met elkaar te verwarren.

AriGold @Matthew • 31 mei 2016 00:25

Maar die ontslagbrieven zijn nu net het belangrijkste voor ons. Heel hatelijk dat medibridge zo nu en dan ook nog gebruikt wordt.

Ik zal vooral tevreden zijn als iedereen online via 3e betaler aangerekend kan worden.

En over cozo en traag zijn, volledig ehealth vind ik gewoon traag. Je verliest echt veel te veel tijd met wachten...

Verwijderd @Verwijderd • 31 mei 2016 00:02

En heb je al het genoegen gehad om die verschillende tools in de praktijk te gebruiken? Mijn vader is huisarts en vloekt zich dood op die dingen. Servers van cozo zijn gigantsich maar echt gigantisch traag en zijn ook regelmatig down.

De comments boven mij tonen ook duidelijk aan dat je het een nog ver verwijderde utopie is dat je kan kiezen tussen hector, mediring en medibridge. Bijgevolg zijn op onze systemen hector EN mediring geinstalleerd.

En men is bezig met ontwikkelen van ehealth, maar laat medische beelden er van tussenuit? Wat is het nut daar nu van... De conclusie is dus dat tijdens 1 raadpleging mijn vader:
zijn EMD pakket heeft openstaan met de patientengegevens
cozo van die patient
programma om af te rekenen
pacsonweb
browsersessie met het labo voor laatste resultaten
eventueel vaccinet
en mediring in de achtergrond

Heel productief en dan ook nog eens feit dat cozo zijn cookies/sessies niet netjes opruimt. Je mag dan volledige browser sluiten... echt troep

jozuf @Verwijderd • 31 mei 2016 07:56

Het verplicht sluiten van de browser heeft een reden, nml veiligheid...
Dus hoe irritant het ook ervaren wordt, het is volledig normaal in dergelijke systemen. Zie bv
https://blogs.technet.mic...t-from-a-sharepoint-site/

Verwijderd @jozuf • 31 mei 2016 08:45

Ik ben er vrij zeker van dat ze bij google meer verstand van die dingen hebben en als ik uitlog op gmail moet ik de browser helemaal niet afsluiten...

Er komt trouwens ook een foutmelding op, niet dat je de browser moet afsluiten (dat is gewoon de oplossing), dus gewoon bagger programmeerwerk

jozuf @Verwijderd • 31 mei 2016 09:23

En het Sharepoint team van MS heeft dat verstand niet? Dit doet SP 2013 standaard.
Lees het artikel. Het is een afweging... Performance versus veiligheid (je kan nml de cache uitschakelen wat performance kost en het probleem ook verhelpt).
Ik ken verder de tool in kwestie niet maar weet wel dat dit een ding is, staat gewoon duidelijk omschreven in het artikel wat ik je link...
Bovendien is ook de vraag in hoeverre het een issue is. Je voorbeeld van GMail gebruikt volop AJAX voor de content, daar heb je niet zoveel last van het probleem dat wordt gemeld in het artikel en werkt ook gewoon helemaal anders op dat niveau.
Maar niet alle websites zijn hetzelfde gemaakt en soms is al die AJAX helemaal niet wenselijk. Het kan bv een hoop complexiteit en hele andere beveiligingsissues introduceren die je in een wat traditioneler (of non-AJAX) website niet hebt.

[Reactie gewijzigd door jozuf op 24 juli 2024 02:27]

Verwijderd @jozuf • 31 mei 2016 14:49

Klopt waarschijnlijk volledig wat je zegt, maar is ook wel beetje typisch dat MS het wel doet (die dwingen gebruikers ook nogal om te doen wat zij willen), je browser volledig moeten afsluiten is een zeer vervelende en tijdrovende procedure

Verwijderd @Verwijderd • 31 mei 2016 13:16

En heb je al het genoegen gehad om die verschillende tools in de praktijk te gebruiken?

nee, maar je oorspronkelijk argument was dat het er 10 waren, nu blijkt dat niet meer te kloppen maar klaag je dat de software slecht is. Ik wil dat nog geloven, maar daar ging het helemaal niet over.

Verwijderd @Verwijderd • 31 mei 2016 14:56

1 EMD pakket
2 cozo
3 programma om af te rekenen
4 pacsonweb
5 browsersessie met het labo voor laatste resultaten
6 vaccinet
7 mediring
8 hector om andere berichten nog binnen te halen van vreemde ziekenhuizen (die bijv volledig uit de regio liggen en niet weten via welk kanaal je je correspondentie binnenhaalt)
9 ID card reader software
10 Belgium eid plugin for firefox
11 e-health Certificaat (moet je gaan aanvragen en installeren)
12 DICOM viewer voor medische beeldvorming die nog met disks werkt
13 nog eens een gewone email-client

Dat heb ik vorige keer allemaal geinstalleerd en geconfigureerd.

Dred @Verwijderd • 31 mei 2016 08:43

Huisdokter en CoZo... ik vraag me af waar de link zit, waarom heeft een huisdokter een link naar het ziekenhuis openstaan voor doorsnee consults?

Bij huisdoktoren word Hector of MediBridge normaliter gedicteerd door het Labo. Wanneer je dit volgt krijg je de berichten via dat kanaal binnen en worden de labo onderzoeken direct in je EMD ingeladen (schrap die labo browsersessie dus al maar)

Wanneer je een treffelijk EMD gebruikt ben je ook met Vitalink verbonden, deze heeft ook alle data van vaccinnet (schrap dus maar vaccinnet). Mocht je CoZo link te maken hebben met (intra)hubs, dan mag je deze ook schrappen bij het gebruik van een treffelijk EMD pakket.

Dat programma om af te rekenen, doet dat iets exotisch? Een treffelijk EMD komt inclusief afrekenmodule.

Dus laat ons even overlopen:
- Hector OF medibridge (wat labo oplegt, dit draait ook volledig op de achtergrond, als je natuurlijk een EMD pakket neemt die er mee overweg kan)
- EMD pakket (Tjah, wat kan ik zeggen, je moet gewoon de beste nemen ongeacht de kost, je moet het toch constant gebruiken)
- pacsonweb (want hier is nog geen oplossing voor... volledig onbegrijpelijk)

Toch iets minder erg dan dat je doet uitschijnen, 2 programma's om te gebruiken (waarbij pacsonweb enkel wanneer je medische beelden van een patient nodig hebt, en dat is een minderheid bij een huisarts) en 1 programma die op de achtergrond draait... ik heb gemiddeld toch iets meer open.

(edit: even nagekeken, facturatie zit gewoon in EMD's in)

[Reactie gewijzigd door Dred op 24 juli 2024 02:27]

Dred @Verwijderd • 31 mei 2016 09:02

Labo's kunnen gewoon tussentijdse resultaten sturen via eHealthBox.

Verwijderd @Dred • 31 mei 2016 14:51

Doen ze bij ons niet, zou daar eens moeten naar informeren of dat mogelijk is. Vraag me wel af of dat een goede zaak is, nog eens pak extra materiaal dat binnenkomt..

AriGold @Verwijderd • 30 mei 2016 21:40

Jup, en met die premie van 600 euro kan je nog niet eens:
1) of een secretaresse betalen voor je sumehr's in te vullen
2) of laat staan dat je als HA je er zelf mee bezig gaat houden
3) of de helft van de programma's betalen

[Reactie gewijzigd door AriGold op 24 juli 2024 02:27]

supersnathan94

Politiek en recht

@AriGold • 31 mei 2016 01:01

Als die verslagen toch al openbaar gemaakt worden is dat geen enkel probleem. Die dropbox is nog altijd minder publiek namelijk. Mocht dat niet het geval zijn, dan hoop ik dat ze hun eigen advies ter harte nemen en de boel encrypted hebben opgeslagen.

PuzzleSolver @Verwijderd • 30 mei 2016 21:43

de overheid laat die markt veel te vrij

Overheidsbemoeienis lost het probleem dan wel op denk je?. Die krijgen hun eigen ICT nog niet eens op orde.

Het probleem is meer de ICT markt zelf die vol zit met consultants die allemaal wel weten hoe het moet. Ze leveren een document op vol moeilijke afkortingen en makkelijke plaatjes (met wolkjes, pijltjes en servers). En vervolgens gaat er weer een paar miljoen op aan een flut oplossing.

analog_ @Aikon • 30 mei 2016 20:03

In België worden er geen n-miljoen ICT projecten gestart (of falen) omdat de visie er mist, maar dat geld wordt gewoon weer verspilt in een miljoen kleine potjes her en der over het land met de benodigde geassocieerde spaghetti aan wetgeving ter verdeling ervan.

Coolstart @HuHu • 31 mei 2016 08:06

Artsen zijn vaak geen ziekenhuispersoneel. Ze hebben een bvba die facturen stuurt. Soms zitten meerdere artsen in een holding. In die holding kan dan administratief en verpleegkundig personeel zitten.

De hoofdarts is vaak 50+ en gezien zijn specialisatie kent hij niets van IT. Ze krijgen wel ondersteuning van het ziekenhuis maar een duidelijke structuur mist.

Ook financieel, sommige artsen vragen hoge erenlonen bovenop hun standaard loon. En dat in een systeem dat volledig gesubsidieerd is door de Overheid. Komt er nog eens bij dat de ego's vaak torenhoog zijn waardoor innovatie in gezondheidszorg in de kiem wordt Gesmoord door publicatiedruk en de angst dat een collegadoctor die het team komt versterken er met de pluimen vandoor gaat.

De huidige structuur is niet optimaal.

CAPSLOCK2000

Politiek en recht
België

@HuHu • 30 mei 2016 21:54

Artsen (en ander ziekenhuispersoneel) vallen terug op dit soort oplossingen, omdat de ziekenhuizen zelf het niet aanbieden.

Dat is een deel van het probleem maar niet het hele verhaal.
Het zelf aanbieden van een vergelijkbare service moeilijk. Wij (geen ziekenhuis maar een vergelijkbare organisatie) bieden wel degelijk veilige alternatieven voor populaire services maar de kwaliteit daar van is niet altijd wat je zou willen. Diensten als WeTransfer en DropBox zo populair zijn zo populair omdat ze enorm goed werken. Die bedrijven hebben veel geld en programmeurs om hun software te verbeteren. De alternatieven zijn een stuk kleiner en minder rijk, het is erg moeilijk om dan dezelfde kwaliteit te bieden.

Een ander probleem is je gebruikers informeren en overtuigen om het anders aan te pakken. Handleidingen en nieuwsbrieven worden slecht gelezen, zeker als gebruikers denken dat ze de oplossing al weten (namelijk de applicaties die ze prive ook gebruiken). Gebruikers denken soms ook dat ze goed bezig zijn door zelf een oplossing voor hun probleem te zoeken in plaats van de IT-afdeling er mee te belasten.

Voor het deel kun je dat oplossen door applicaties en linkjes voor te installeren, maar BYOD maakt dat steeds lastiger. Mensen werken steeds meer vanaf hun eigen apparaten. Of dat nu een goed idee is of niet, ze doen het. Over dat soort systemen heb je geen controle en kun je niks voorinstalleren. Je kan BYOD wel verbieden en alles helemaal dicht timmeren maar gebruikers zoeken dan alsnog een andere manier om te doen wat ze willen, dat maakt het alleen maar erger.

GLaDTheresCake 30 mei 2016 19:32

Dit advies is natuurlijk van de zotte, en compleet bedacht door een stel technofoben die alleen maar van tor hebben gehoord in het nieuws. Een open standaard voor web surfen dat ook nog eens anoniem en encrypted gaat zou juist aangemoedigd moeten worden. In plaats daarvan ontmoedigen ze goede ontwikkelingen, en gaan die artsen ie 6 gebruiken met flash en Java erop omdat ze dit niet expliciet verboden is. Klinkt voor mij in ieder geval als een slechte ontwikkeling.

TheGhostInc @GLaDTheresCake • 30 mei 2016 23:32

Een open standaard voor web surfen dat ook nog eens anoniem en encrypted gaat zou juist aangemoedigd moeten worden.

Er is een prima standaard voor web surfen die encrypted is, maar alleen niet anoniem.

Maar wat je gewoon compleet vergeet is dat ISP's en andere 'tussenpartijen' ook invloed kunnen hebben op je verbinding. De Belgische ISP's zijn niet alleen vrij betrouwbaar, maar ook goed te vervolgen als er iets misgaat. Daarnaast is het ook nog eens een marketing ramp als medische gegevens zouden lekken door de schuld van een ISP!
Maar pak nu eens die Braziliaanse exit-node, waarna je via de VS terugkomt naar België... terwijl je al in België was!

Als ik vanaf een BE ISP naar een BE of EU host ga, dan is de kans op 'ellende' echt vele malen kleiner dan via het 'veilige' TOR, waarbij het verkeer vanaf een 'random' exit node veel langer onderweg is, nog los van het aantal hops binnen het TOR netwerk.

Ramon @GLaDTheresCake • 30 mei 2016 19:36

Na de exit nodes is Tor verkeer niet meer encrypted, daarmee vervalt je argument dus al.

Yoshi @GLaDTheresCake • 30 mei 2016 19:54

Dat artsen oude versies gebruiken van Java heeft meestal te maken met de derden, distributeurs en pharmabedrijven die hun software alleen op oude versies beschikbaar stellen, dan heb je niet zoveel keuze als arts.

Neut72 @GLaDTheresCake • 30 mei 2016 23:19

Je hebt helemaal gelijk. Schoenmakers hou je bij je leest. Laten we hopen dat ze meer verstand hebben van medische zaken.

LopendeVogel @GLaDTheresCake • 31 mei 2016 09:52

Ze vermoeden toch dat het een oorzaak van de ransomware kan zijn.
Indien er ook maar 1 vermoeden is dat een tor browser de oorzaak is. Moet dat programma gewoon direct eraf. Niks vreemds aan hoor.
Maar goed indien facebook niet toegestaan is en via tor wel mogelijk is dan zal dat wel 1 van de redenen voor tor browser zijn.

Ramon 30 mei 2016 19:32

Volgens mij heeft de Belgische Orde der Artsen het hier bij het rechte eind. Tor heeft an sich niet zoveel met veiligheid te maken, eerder met anonimiteit. Bovendien zijn er verhalen waarbij exit-nodes opgezet worden die downloads vervangen door malware, zo kan je dus net zo goed malware op je computer krijgen.

HuHu @Ramon • 30 mei 2016 19:50

Het gaat al mis bij het feit dat het überhaupt mogelijk is om zelf software te installeren op pc's met patiëntengegevens. Die werkplekken moeten compleet afgeschermd zijn en werkplekken waar het wel toegestaan is, moeten niet bij patiëntgegevens kunnen.

Dit, samen met een mogelijkheid om veilig data te kunnen delen, zal het probleem al grotendeels wegnemen. Mijns inziens is verbieden niet de juiste oplossing voor het onderliggende probleem (of de use-cases die artsen willen).

CMD-Snake @HuHu • 30 mei 2016 20:03

Het gaat al mis bij het feit dat het überhaupt mogelijk is om zelf software te installeren op pc's met patiëntengegevens. Die werkplekken moeten compleet afgeschermd zijn en werkplekken waar het wel toegestaan is, moeten niet bij patiëntgegevens kunnen.

Het probleem zit in dat bepaalde software zich plaatst in de ruimte van de gebruiker. Hier heeft de gebruiker namelijk altijd alle rechten. Bijvoorbeeld Chrome installeert zich in je profiel. Hierdoor kan je op een PC die dichtgezet is toch Chrome installeren.

Je moet dan al gaan werken met whitelists. Enkel software die daarop staat mag gestart worden. Om dat helemaal in te richten is veel werk. Ook aanpassingen kunnen tijd vergen. Dat maakt dit soort oplossingen dan minder populair, terwijl ze wel veel bescherming kunnen bieden.

HuHu @CMD-Snake • 30 mei 2016 20:18

De software die toegang geeft tot persoonlijke of medische gegevens zou compleet afgeschermd moeten zijn van "de rest". Het hele systeem (ook in het verleden toegestane software) is potentieel onveilig en daar moet een oplossing omheen bedacht worden.

Verwijderd @CMD-Snake • 30 mei 2016 21:35

Je hebt ook tools zoals sandboxie (www.sandboxie.com) welke het makkelijker maken applicaties die je aan risico's van buitenaf blootstellen te sandboxen, waardoor ze alleen schade binnen de sandbox kunnen aanrichten en niet op de computer zelf.

Verwijderd @HuHu • 30 mei 2016 21:12

Wie beheert dan de PC van een zelfstandige huisarts? Die is de baas over zijn eigen werkplek.

macnerd @HuHu • 30 mei 2016 20:03

Zo zou het wellicht moeten zijn, maar ik vermoed dat het om eigen computers van de maatschap gaat, niet om computers die van het ziekenhuis zijn. Ook de verbinding kan van de maatschap zijn.

Dit vrijheid (van eigen computers en een eigen - vaak veel snellere - verbinding) zullen ze niet snel willen opgeven. Je moet dus voor een fair bedrag een goede service bieden: snelle pc, snel internet, goede applicaties, en ondersteuning van de IT-afdeling (en dan ook nog priority, anders overtuig je ze nog niet). Een goede verbinding met internet kan van belang zijn om snellere/betere diagnoses te stellen.

Kortom, nog niet zo eenvoudig...

HuHu @macnerd • 30 mei 2016 20:14

Klopt, theorie en praktijk liggen vaak ver uit elkaar.

Hier kunnen "eigen" computers (lees: niet door het ziekenhuis gecontroleerde computers) alleen verbinding maken met persoonsgegevens via een virtuele omgeving. Via een Citrix Receiver log je in op een beveiligde omgeving waarin de patiëntgegevens staan. Zo'n oplossing zou een ziekenhuis kunnen afdwingen om eigen computers in een maatschap toegang te geven.

telenut @HuHu • 31 mei 2016 11:44

De meeste ziekenhuizen liggen daar niet echt wakker van. Vrijwel iedereen is hier admin op eigen pc. En ja, daar draait medische software op. Het enige security beleid hier is: heb je een virusscanner? en daarmee is de kous af.

Terrestrial @Ramon • 30 mei 2016 19:44

Het feit dat ziekenhuiscomputers en computers van artsen een tor verbinding kunnen maken zegt al dat het netwerk totaal niet beveiligd is. Als ze tor werkend kunnen krijgen kan elke trojan of malware ook uitgaande verbindingen maken. Juist dat soort dingen zouden niet moeten kunnen

Aikon @Terrestrial • 30 mei 2016 19:48

Uitgaand is niet zo spannend, dat kan vrijwel altijd natuurlijk wel. Ingaand is een stuk kritieker.

Terrestrial @Aikon • 30 mei 2016 19:52

nee juist andersom. Ingaand verkeer is meestal wel beveiligd al is het maar door een simpele NAT router. Het is het uitgaande verkeer wat het gevaarlijkst is. Elk stukje malware zal ook vanuit het interne netwerk verbinding proberen te zoeken met z'n baasje.

Verwijderd @Terrestrial • 30 mei 2016 21:39

nee juist andersom. Ingaand verkeer is meestal wel beveiligd al is het maar door een simpele NAT router.

NAT != firewall. NAT beschermd je helemaal nergens tegen.

Het is het uitgaande verkeer wat het gevaarlijkst is. Elk stukje malware zal ook vanuit het interne netwerk verbinding proberen te zoeken met z'n baasje.

Dit ga je ook nooit tegen houden zolang outbound DNS of ICMP vrijwel altijd toegelaten wordt en je daar je covert communication channel over kan tunnelen.

Het feit dat ziekenhuiscomputers en computers van artsen een tor verbinding kunnen maken zegt al dat het netwerk totaal niet beveiligd is.

Whut? Dus, wat ik al eerder zei, als een bedrijf of organisatie outbound DNS of ICMP toelaat is het netwerk volgens jou 'totaal niet beveiligd' ?

Buitenom het feit dat TOR juist ontworpen is om censurerende netwerkfilters (e.g. firewalls of packet filters) te bypassen, zie bijv. https://blog.torproject.o...look-great-firewall-china

Terrestrial @Verwijderd • 30 mei 2016 22:11

Kom op zeg... ICMP blokkeer je natuurlijk naar de buitenwereld en DNS alleen toestaan vanaf je interne dns servers, dat had je zelf toch ook wel kunnen bedenken.

Verder verkeer inspecteren incl. alle https verbindingen zegt dat je iets?. Kortom op een fatsoenlijk beveiligd netwerk krijg je Tor nooit werkend ongeacht de "obfuscation" die Tor kan proberen toe te passen.

En de great firewall of china vind ik niet vergelijkbaar met een bedrijfsnetwerk.

R4gnax @Verwijderd • 31 mei 2016 09:11

NAT != firewall. NAT beschermd je helemaal nergens tegen.

Zonder dat er een port mapping actief is, kan er niet zomaar via een inkomende verbinding contact met een achterliggende PC gelegd worden.

Het helpt dus een klein beetje, tegen bepaalde soorten aanvallen. (Bijv. aanvallen die RPC trachten te misbruiken.)

HuHu @Aikon • 30 mei 2016 20:16

Uitgaand verkeer vanuit een ziekenhuis is erg spannend, omdat het potentieel persoonlijke of medische gegevens kan bevatten. En in academische ziekenhuizen mogelijk ook nog nieuwe onderzoeksresultaten of andere geheimen.

Yoshi @Terrestrial • 30 mei 2016 19:52

Die dingen kunnen ook niet op ons ziekenhuisnetwerk 😉. Het is een algemene waarschuwing naar artsen toe. Daarbij er zijn genoeg andere tools, al dan niet in een ziekenhuis om geencrypteerd te kunnen werken. Daar heb je idd niet noodzakelijkerwijs tor voor nodig. Het gaat trouwens veel ruimer als dat, het gaat ook over andere zaken die in het oog moeten gehouden worden, en die komen veel meer aan bod dan de passage van tor. Maar dat wordt er dan hier weer uitgelicht waardoor er toch een verkeerde indruk instaat over de initiële waarschuwingen.

Waar wel een einde moet aan komen is aan de versplintering van de werkwijze waarop artsen hiermee omgaan, ze zouden daar beter werk van maken dan dubieuze waarschuwingen rond te sturen.

[Reactie gewijzigd door Yoshi op 24 juli 2024 02:27]

Verwijderd @Terrestrial • 30 mei 2016 21:11

Wie zegt dat het om ziekenhuisartsen gaat?

vide @Terrestrial • 30 mei 2016 21:52

Je kan Tor instellen op "fascist firewall", dan worden enkel relays gebruikt die op poort 80 of 443 werken. Leuke firewall die dat blokkeert

.

Ik weet ook wel dat standaard Tor trafiek heel makkelijk te blokkeren is: alle entry nodes staan in een lijst (dat download je trouwens wanneer je Tor start), dus als je die blacklist, kan je standaard Tor niet gebruiken. Om dit te omzeilen zijn er dan ook net Tor bridges.

Uiteraard zou dit allemaal maar praat voor de vaak moeten zijn en zou je verwachten dat er software restriction policies zijn op ziekenhuis pc's, NAC zodat je geen andere toestellen kunt aansluiten, de nodige VLAN instellingen, ...

Sergelwd 30 mei 2016 20:06

Ik ontmoedig patientengegevens op de pc van artsen..
Stukken veiliger.

Verwijderd @Sergelwd • 30 mei 2016 20:38

Ik ontmoedig patientengegevens op de pc van artsen..
Stukken veiliger.

Wat 'sta' je dan wel toe op de systemen van artsen? Ik heb 6 jaar PC's van artsen onderhouden en beveiligd maar vrijwel alle 'data' daarop was te herleiden tot patienten.

Nog afgezien van het feit dat in Belgie artsen veel macht hebben en je als IT beheerder zeer sterk in je schoenen moet staan en de steun hebben van de directie om druk van artsen te weerstaan. In mijn ervaring doen belangrijke artsen in grote Belgische ziekenhuizen precies wat ze zelf willen.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 02:27]

Sergelwd @Verwijderd • 30 mei 2016 21:17

Alles wat ze maar willen, zolang ze maar niet mijn patientengegevens slecht beveiligd of onbeveiligd rondsturen.

vind het zelfs vreemd dat er geen straffen voor nalatigheid tegenover staan, of in ieder geval niet worden uitgevoerd, aangezien dit gewoon hele grove overtredingen zijn.

[Reactie gewijzigd door Sergelwd op 24 juli 2024 02:27]

HDoc @Sergelwd • 31 mei 2016 07:45

In Nederland staan er een straf op een datalek en zeker als je het dan ook nog eens niet meld.

Tegelijk moet de ICT-sector nu eens echt werk gaan maken van oplossingen die goed werken. Als je iets 100x moet zeggen ligt het dan aan degene die niet luistert of eigenlijk aan je zelf?

De vraag is: waarom worden regels overtreden? NIet omdat men dat zo graag wil maar omdat men anders zaken gewoon niet voor elkaar krijgt. Het is goed mogelijk om een geheel beveiligde infrastructuur in het ziekenhuis aan te bieden waarbij het dan ook mogelijk is om toch voor onderwijs- en researchdoeleinden zaken (geanonimiseerd) te delen etc.. Nadeel: dat kost geld.

Zo heel veel gekke dingen willen dokters namelijk niet: database hier, Powerpoint presentatie daar, paar filmpjes, plaatjes, documenten en dan heb je het vaak wel gehad. Beeldmateriaal komt vaak uit het eigen ZIS.

Zolang de ICT in ziekenhuizen nog altijd als sluitpost wordt gezien zullen mensen altijd eigen wegen bewandelen om voor elkaar te krijgen wat nodig is. En zullen dit soort risico's blijven bestaan.

LopendeVogel @Sergelwd • 31 mei 2016 09:50

Volgens mij was gisteren nog in het nieuws dat afgelopen jaar meer dan 100 mensen doodgegaan zijn in Nederland dankzij fouten van artsen. Echter wordt dat niet toegegeven sterker nog dat verdwijnt in de doofpot.

Als daar al geen straf tegenover staat, laat staan een dossier die onbeveiligd op de pc zou staan.

Verwijderd @Sergelwd • 30 mei 2016 20:11

Hoe zou je de info dan willen bewaren? In de cloud? Of op een gemeenschappelijke server?

Ik denk dat artsen (en praktijken) gewoon hun eigen, gesloten omgeving moeten hebben.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 02:27]

Sergelwd @Verwijderd • 30 mei 2016 20:18

Klinkt leuk, een gesloten omgeving..
Alleen hoe gaan hoe gaan de artsen dit kostenefficient oplossen??
Buitenom het feit dat gesloten al een utopie opzich is.

polthemol Moderator General Chat @Verwijderd • 31 mei 2016 07:37

fijn dan als ik me ergens anders toevallig moet melden met medische complicaties en ze niet aan mijn dossier kunnen komen

Kun je een arts gaan optrommelen midden in de nacht met wat pech, heel ergens anders. Met dank aan de gesloten omgeving

Verwijderd @polthemol • 31 mei 2016 14:37

Volgens mij is er wel een (semi-)gesloten omgeving te verzinnen voor de medische wereld. Ik heb het met gesloten niet over een pc van een arts welke niet verbonden is met het net.

Denk aan de commerciële wereld, met it afdeling welke het beheer uitvoert van dat systeem. Er is helaas altijd kans op 'lekkage'.

CAPSLOCK2000

Politiek en recht
België

@Sergelwd • 31 mei 2016 09:28

Ze zullen het toch ergens moeten opslaan. Terug naar pen en papier gaat niet meer gebeuren. Als het niet bij de huisarts is, waar dan? Een oplossing is om met centrale databanken te werken. Dan hoeven de artsen zelf niks meer op te slaan. Dan moet je wel die centrale databanken vertrouwen anders ben je nog verder van huis. Je zou ook nog met meerdere gekoppelde databanken kunnen werken. Dat is ongeveer hoe het EPD werkt maar dat is ook niet echt enthousiast ontvangen.

Het liefst zou ik hebben dat databanken voor medische gegevens meer worden als banken voor geld. Als klant kun je zelf een bank kiezen die je geld voor jou beheert. Als de ene niet goed of te duur is dan kan het geld eenvoudig naar een andere bank verplaatst worden.

DaFifthSense 30 mei 2016 20:46

tor browser afraden aan dokters is zoals medicijnen afraden aan patienten omdat veel mensen die medicijnen gebruiken ziek zijn, en gezonde mensen meestal geen medicijnen gebruiken.

Het klinkt mij als een nitwit manager die de IT-er aangehoord heeft maar totaal niet begrepen wat er gezegd werd.

Torbrowsers encrpten je verkeer misschien niet maar er zitten veel veiligheden in die "gebruikersvriendelijke" browsers niet hebben zonder dat je allerlei plugins moet instaleren. Https everywhere, noscript, adblockers, flashblock. Als ik een browser mocht kiezen waarin alle artsen zouden moeten werken, zou torbrowser echt nog niet zo'n gekke keuze zijn. Chromium en IE sturen een hoop informatie op naar google respectievelijk Microsoft, onder het mom van "anti virus" en gebruikers gemak.

Torbrowser is niet perfect maar dit advies is raar

bassekeNL @DaFifthSense • 30 mei 2016 21:05

An sich heb je een punt mbt tot noscript en .*blockers.

Aan de andere kant, de tor browser staat gewoon in een mapje op je desktop en hoef je niet te installeren. Elk trojan kan 'm aanpassen zonder dat er om administrator wordt gevraagd.

Daarbij is, als als gezegd, TOR niet bedoeld voor veiligheid, maar voor anonimiteit.

mutley69 30 mei 2016 21:06

De zwakste schakel - is de arts en de verpleegkundige - die interesseren zich niet voor IT - maak daar meteen een buisvak van in eeste bachelor. Geen it -kennis, niet om kunnen met encryptie - geen discipline - gewoon niet verder mogen gaan. De zweep moet er gewoon op! (en dat zou overal moeten gebeuren eigenlijk - ook in de banksector mogen bedienden die pas beginnen gewoon met eigen laptop op het bedrijfsnetwerk - en dat was geen kleine belgische bank waarvan ik dit verhaal gehoord heb). Als't de mijne geweest was - lagen ze asap buiten - en kregen ze de ene audit na de andere via de bankcommissie - ge moogt gerust zijn!

Teejoow

31 mei 2016 12:49

Vreemde toestand. Volgens mij bedoelen ze te zeggen "De TOR browser wordt veel geassocieerd met kinderporno en daarom hebben we liever niet dat artsen ermee browsen.". Daarmee totaal voorbijgaand aan het feit dat (zoals veel Tweakers hier al aanstippen) de TOR browser in zijn factory state juist veiliger is dan menig andere browser.

Verwijderd 30 mei 2016 20:45

Kan je wel heel hard tegen dit soort advies aanschoppen, maar feit is gewoon dat TOR niet zo heel veel te zoeken heeft op een werk pc van een nederlandse arts. Ik beschouw mezelf als een fervent computerenthousiast met bijzondere interesse in netsec, maar ik lees hierboven voor het eerst dat er dus exit nodes zijn die legitieme downloads vervangen door malware. Het is gewoon heel moeilijk om van alle risico's op de hoogte te zijn en te blijven en je kan niet verwachten dat de huisarts bij jou op de hoek verantwoordelijk met dergelijke technologie om kan gaan. Die ene huisarts die ook computerenthousiast is zal zich niet al te veel van dit advies aantrekken en voor hem is het ook niet bedoeld.

Hydranet 30 mei 2016 22:47

Ze zijn toch al bezig met een chatapp zodat artsen op een veilige manier bestanden kunnen uitwisselen met elkaar.

En je hebt ook nog de volgende twee diensten:
http://www.zorgring.nl/
http://www.zorgmail.nl/

[Reactie gewijzigd door Hydranet op 24 juli 2024 02:27]

Geronnimo87 31 mei 2016 06:27

Vergeet niet dat patiënten ook expliciet hun toestemming moeten geven voor het delen van gegevens tussen artsen via hun ziekenfonds of via EHealthConcent. Dit is erg omslachtig! Een basis kan steeds geconsulteerd worden maar in de toekomst zullen er veel meer gegevens zijn die, via een opt-in beschikbaar kunnen gesteld worden aan andere zorgverstrekkers..

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (73)

Sorteer op:

Weergave: