Minister VWS: afweging veiligheid en functionaliteit ligt bij zorgverleners zelf

Minister Schippers van Volksgezondheid, Welzijn en Sport stelt in haar beantwoording van Kamervragen dat zorgverleners zelf moeten afwegen of ze veiligheid of functionaliteit belangrijker vinden.

In een brief reageert minister Schippers op Kamervragen die leden van D66 hadden gesteld op basis van een artikel dat Tweakers in september plaatste. Gebruikers van het UZI-register werd in een e-mail afgeraden om hun browsers te updaten, aangezien het register gebruikmaakt van een Java-webapplicatie, die binnenkort niet meer ondersteund wordt.

Schippers geeft aan ervan op de hoogte te zijn dat de afloop van de ondersteuning al sinds januari 2016 bekend is. Volgens haar ligt de verantwoordelijkheid voor de situatie bij de softwareleveranciers, die niet op tijd gereageerd zouden hebben. Het ministerie heeft de mail slechts gestuurd als waarschuwing, zodat gebruikers van het systeem op de hoogte zijn van de mogelijke gevolgen van het updaten van hun browsers.

Op de vraag of zij zich ervan bewust is dat het advies een veiligheidsrisico met zich meebrengt, reageert de minister dat zorgverleners een eigen verantwoordelijkheid hebben voor de beveiliging van hun ict-omgeving. "Het is belangrijk dat zorgverleners zelf de afweging maken tussen beveiliging en mogelijke beperking in functionaliteit", stelt zij.

De leden van D66, Verhoeven en Dijkstra, vroegen of de brief was gecoördineerd met het Nationaal Cyber Security Centrum. Hierop antwoordt Schippers dat het centrum niet betrokken is geweest bij de originele e-mail, maar nu wel met het dossier bezig is. Ze geeft verder aan dat er wordt gewerkt aan een oplossing die voor het einde van het jaar klaar moet zijn.

Op 21 september stuurde het UZI-register zijn gebruikers een e-mail, waarin stond dat binnenkort de software voor het gebruik van de UZI-paslezer niet meer werkt. Met versie 9 stopt Java namelijk met de ondersteuning van de omstreden Java-webplug-in, waarvan de software gebruikmaakt. Om te voorkomen dat de software niet meer werkt, raadde de instantie aan om de automatische updates van de browser uit te schakelen, wat de nodige beveiligingsrisico's met zich meebrengt.

Door Emile Witteman

Nieuwsposter

Feedback • 27-10-2016 13:5842

27-10-2016 • 13:58

42 Linkedin

Lees meer

Twee derde van zorgwebsites ondersteunt nog geen https Nieuws van 17 augustus 2017
Nederlandse zorgminister: ziekenhuizen moeten medische gegevens beter beveiligen Nieuws van 15 februari 2017
D66 pleit voor Europees verbod op onveilige internet-of-things-apparaten Nieuws van 20 november 2016
Medisch bedrijf waarschuwt klanten voor kwetsbaarheid in insulinepomp Nieuws van 5 oktober 2016
Ministerie VWS raadt zorgverleners aan om browsers niet te updaten Nieuws van 22 september 2016
Microsoft en Adobe waarschuwen voor zero-day-kwetsbaarheden Nieuws van 11 mei 2016
Oracle stopt met Java-plug-in voor browsers Nieuws van 28 januari 2016
Secunia: dit jaar al 15 zero day-kwetsbaarheden ontdekt Nieuws van 8 augustus 2015
Adobe dicht ernstige lekken in Flash Player Nieuws van 13 maart 2015
Zuid-Koreaanse overheid zal van Windows naar opensource overstappen Nieuws van 27 juni 2014
Zero day in Internet Explorer 9 en 10 wordt actief misbruikt Nieuws van 14 februari 2014
Php.net-malware benutte lekken in Flash, IE, Java, Silverlight en VLC Nieuws van 25 oktober 2013
Ongepatcht Internet Explorer-lek verschijnt in de openbaarheid Nieuws van 2 oktober 2013
Oracle dicht 40 Java-lekken met komende patch Nieuws van 15 juni 2013
Microsoft werkt aan patch voor zero day in Internet Explorer 8 Nieuws van 6 mei 2013
Oracle dicht opnieuw Java-lekken met noodpatch Nieuws van 5 maart 2013
Java-patch lost vijftig beveiligingsproblemen op Nieuws van 4 februari 2013
'Oracle heeft Java-lek niet gepatcht' Nieuws van 15 januari 2013
Oracle patcht misbruikt Java-lek voortijdig Nieuws van 14 januari 2013
Oracle: Java-lek wordt 'binnenkort' gerepareerd Nieuws van 13 januari 2013
Apple blokkeert Java op Mac OS X Nieuws van 12 januari 2013
Nieuw beveiligingsprobleem Java wordt mogelijk al misbruikt Nieuws van 10 januari 2013
Microsoft waarschuwt voor lek in IE6, -7 en -8 Nieuws van 30 december 2012
Groot beveiligingsprobleem Java pas in februari gedicht Nieuws van 18 oktober 2012
Onderzoeker ontdekt groot beveiligingsprobleem in Java Nieuws van 26 september 2012
'Nieuw lek in oude Internet Explorer-versies wordt actief misbruikt' Nieuws van 17 september 2012
Noodpatch Oracle voor kritiek lek Java bevat nieuwe kwetsbaarheid Nieuws van 31 augustus 2012
Ongepatcht lek in Java 7 wordt actief misbruikt Nieuws van 28 augustus 2012
Lek in Java maakt Windows-pc's kwetsbaar voor aanvallen Nieuws van 10 april 2010
Meer producten en artikelen
Software Activex Beveiliging Java

Reacties (42)

-Moderatie-faq
42
40
21
4
0
11
Wijzig sortering
The Zep Man
27 oktober 2016 14:03
Volgens haar ligt de verantwoordelijkheid voor de situatie bij de softwareleveranciers, die niet op tijd gereageerd zouden hebben.
Nee. De verantwoordelijkheid ligt bij dienstleverancier, de partij waar de gebruiker mee communiceert. Welke software daarvoor gebruikt wordt zijn keuzes/afspraken die de dienstleverancier maakt en waar de gebruiker geen invloed op heeft.
Het ministerie heeft de mail slechts gestuurd als waarschuwing, zodat gebruikers van het systeem op de hoogte zijn van de mogelijke gevolgen van het updaten van hun browsers.
Een waarschuwing is "let op, vanaf browserversie X.Y.Z werkt deze dienst niet meer". Wat het UZI-register gestuurd heeft is niet alleen een waarschuwing, maar ook instructies voor een actie (schakel automatische updates uit van je browser).
Schippers geeft aan ervan op de hoogte te zijn dat de afloop van de ondersteuning al sinds januari 2016 bekend is.

(...)

Ze geeft verder aan dat er wordt gewerkt aan een oplossing die voor het einde van het jaar klaar moet zijn.
Aan die oplossing kon men al in januari beginnen, zodat die voor het uitbrengen van de nieuwe browserversie uitgerold kon worden.

Ik krijg hier sterk het gevoel dat er met vingers gewezen wordt omdat niemand verantwoording af hoeft te leggen. Een slechte zaak wanneer het om zulke gevoelige gegevens gaat.

[Reactie gewijzigd door The Zep Man op 27 oktober 2016 14:15]

Iblies
@The Zep Man27 oktober 2016 16:01
[...]
Nee. De verantwoordelijkheid ligt bij dienstleverancier, de partij waar de gebruiker mee communiceert. Welke software daarvoor gebruikt wordt zijn keuzes/afspraken die de dienstleverancier maakt en waar de gebruiker geen invloed op heeft.
...
Het zijn afspraken, een dienstverlener doet in principe niet aan vrijwilligershulp.

De vraag die beantwoordt moet worden is welke afspraak is gemaakt mbt de browser, plug-in, ondersteuning, etc.
Croga
@Iblies28 oktober 2016 06:32
De vraag die beantwoordt moet worden is welke afspraak is gemaakt mbt de browser, plug-in, ondersteuning, etc.
En dat is exact wat er nu mis gaat in de westerse wereld.... Afspraken zijn belangrijker geworden dan common sense.

"Wij hebben beloofd versie #.## van blabla te ondersteunen dus het feit dat nu patient gegevens onbeveiligd zijn is niet ons probleem"

En dat is ook exact de reden waarom iedereen er mee weg komt. Iedereen kan zich verstoppen achter afspraken. En dat die afspraken vervolgens zorgen dat de patient genaaid wordt zal iedereen een zorg zijn. Tenslotte heeft iedereen zich netjes aan zijn afspraak gehouden.
koelpasta
@The Zep Man27 oktober 2016 16:30
De verantwoordelijkheid ligt bij dienstleverancier, de partij waar de gebruiker mee communiceert.
Ja, en is de overheid niet de dienstverlener van dat UZI register?

De minister zegt nu twee tegenstrijdige dingen.
1) Het systeem dat we aanbieden en waar zorgverleners van afhankelijk zijn kan alleen gebruikt worden met onveilige software.
2) Zorgverleners moeten maar zelf uitmaken of ze veilig willen handelen.

Dat is toch echt verdomd krom.
WDMeaun
@The Zep Man27 oktober 2016 14:16
Het is vrij duidelijk dat Schippers niet op de goede plek zit, maar dat kan je zeggen van bijna elke minister. (zij zal er wel eentje zijn, die het puur alleen doet voor d'r eigen netwerkje; hoe graag ik ook de VVD wil zwart maken.. ze doen het allemaal)

Zorgverleners zullen toch echt wel een vorm van certificering moeten behalen, waarin de veiligheid van de IT infrastructuur behandeld wordt?
- volgen van de certificering / normeringen : verantwoordelijkheid zorgverlener
- controle van de certificering : verantwoordelijkheid overheid (Schippers hier niet snappen)

Het is hun taak om bij zorg verleners de vraag te leggen: zijn ze nog wel in lijn met de regels..
Als niet, moet de hele toko hun bestaansrecht kwijt raken.. Ik vermoed dat het hier hapert, als ik deze teksten lees.

Het updaten van het UZI register zal een -verantwoordelijkheid- zijn van d'r eigen. Als je iemand inhuurt om dat specifieke te doen, dan is de -uitvoering- hun verantwoordelijkheid.
Dat het gebeurt, staat en in de toekomst blijft staan.. is niet de -directe- verantwoordelijkheid van het software huis.
Met de mail, die ze eruit heeft gedaan, zal ze gewoon blind afgegaan zijn van de externe partij, die wellicht ergens via via een kennis is.
i-chat
@WDMeaun27 oktober 2016 14:29
wat ze hier heeft gedaan is vermoedelijk hardstikke strafbaar deze madamme is namelijk een authoriteit en haar 'instructies' kunnen veelal als 'bevel / opdracht' worden gezien, wat ze nu doet is zeggen.. ik geef de opdracht maar de instelling is verantwoordleijk... dat mag niet ...

ik denk dat er zeer snel een bestuurscollege naar deze zaak moet kijken en dat er op zijn minst gevergt kan worden ...

dat deze mail gerectificeerd wordt:... en dat het gebruik van de webaplicatie na het uitkomen van de betreffende browserversie wordt stilgelegd OF dat men de browsermaker verzoekt om tijdelijk een speciale versie voor java uit te blijven geven totdat de leveranier met spoed alsnog met een oplossing komt...

de kosten zijn uiteraard voor rekening van het ministerie...
shadowsalyer
@WDMeaun27 oktober 2016 18:40
Wat een onzin kraam je toch uit. Ze maakt de wereld beter in haar ogen/de ogen van het kabinet. Dat jou mening daar niet mee strookt, moet je zelf weten maar om daarom iemand de duivel te noemen is eerlijk gezegd dom en onnodig, en alleen maar schadelijk. Als je serieus genomen wil worden, helpen dat soort uitspraken niet.
incaz
@shadowsalyer27 oktober 2016 22:07
Schippers heeft nooit geclaimd de wereld beter te maken of dat te willen doen. Het lijkt me goed om dat te beseffen. We hebben nu bestuurders die geen interesse hebben in het algemeen belang, en dat ook openlijk zeggen. Schippers zelf heeft volgens mij zelfs vrijwel nooit verantwoordelijkheid genomen voor het beschermen van de rechten van de patient op welke manier dan ook, maar heeft juist diverse malen aangegeven dat ze dat haar taak niet vindt.

Als je echt goed op je in laat werken wat dat betekent (en dat combineert met het feit dat ze er geen enkel probleem in zag dat haar man geld verdiende met tariefconstructies die de prijs opdrijven terwijl de werkelijk geleverde behandeling achter blijft) schrik je je rot. Met het beter maken an 'de wereld' heeft dat niets te maken.
shadowsalyer
@incaz27 oktober 2016 23:42
Het zal mijn positivisme wel zijn, maar ik geloof dat politici en kabinetsleden vooral hun werk doen omdat ze geloven dat ze op die manier de wereld in hun ogen een beetje beter kunnen maken. Je hoeft het niet eens te zijn met hoe zij dat zien, maar ik denk dat het goed is als we dat respect wel voor elkaar kunnen opbrengen. Ik ben absoluut geen fan van Schippers overigens, maar dat wil nog niet zeggen dat WDMaun's reactie gerechtvaardigd is.
incaz
@shadowsalyer28 oktober 2016 10:01
Ik denk dat kritisch testen van zo'n overtuiging belangrijker is dan geloof en ongetest positivisme. Het is prima om er vanuit te gaan dat mensen meestal handelen uit betrokkenheid, maar het is ook noodzakelijk om ook andere motieven te overwegen. En zowel Rutte als Schippers hebben meerdere keren verklaard zich niet bezig te houden met het algemeen belang, of daar een visie op te hebben.

De reactie van WDMeaun is heftig, maar jij doet het af als 'onzin' en dat is onterecht, want de punten die hij noemt zijn wel degelijk vrij relevant. Op allerlei plekken heeft de commercie zich ingegraven, waardoor heel veel van het geld dat we betalen voor de zorg niet terecht komt bij de zorg maar bij beleggers, speculanten, consultants, bureaucraten, administrateurs. Ze kiest steeds voor het bevoordelen van die posities ten koste van die van de patient en de directe zorgverleners... zelfs als dat de totale kosten op doet lopen en de kwaliteit schaadt.
En dat is bijzonder kwalijk. Ik zou niet weten waarom ik daar respect voor op zou moeten brengen eigenlijk.
shadowsalyer
@incaz28 oktober 2016 10:45
Mijn punt is vooral dat wanneer je de ander als inherent slechte mensen afschildert, zoals WDMeaun, je geen enkel debat meer kunt voeren. Je ziet precies hetzelfde gebeuren in de VS, door de polarisatie zit het land muurvast.
Croga
@incaz28 oktober 2016 06:37
We hebben nu bestuurders die geen interesse hebben in het algemeen belang,
Dat ligt er aan hoe je "algemeen" benoemd.....

Als je het hebt over het algemeen belang van de corporate sector dan heeft Schippers dat wel degelijk. Ze heeft er alles aan gedaan om te zorgen dat grote bedrijven het beter krijgen. Verzekeraars, zorg-conglomeraten, investerings clubs. Dat is ook vrij algemeen.

Of ze iets voor het volk wil doen? Ze komt van de VVD; wat denk je nou zelf?.....
Vr4nckuh
28 oktober 2016 22:28
Gewoon een grote bak ellende. Ik ben zelf werkzaam als fysiotherapeut in een instelling. Alle medewerkers die aanvragen voor hulpmiddelen moeten indienen (bij het zorgkantoor in onze regio) hebben een persoonlijk certificaat en overkoepelend een certificaat van de instelling. Hiervoor staan wij ingeschreven in het AGB-register. Iedere zorgverlener (instelling, therapeuten, etc) heeft een AGB -code. Binnen het register kun je namelijk een aantal zaken opzoeken die te bestempelen zijn als vertrouwelijk. ( o.a. welke zorgverzekeraar je hebt, welke polis, maar ook BSN etc). Het certificaat is niet alleen maar een beveiliging om in te loggen, maar ook om te achterhalen welke informatie er op welk tijdstip en datum is opgezocht. Hiermee kan er in geval van een geschil altijd worden achterhaald of de betreffende persoon wel de bevoegdheid heeft om bepaalde gegevens in te zien.

Ik heb het certificaat nodig als ik wil inloggen in de omgeving van het zorgkantoor. Als ik een rolstoel wil aanvragen binnen onze instelling moet ik een aantal formulieren invullen en deze worden vervolgens ondertekend met mijn certificaat. Als ik niet meer kan inloggen betekent dat, dat ik geen hulpmiddelen meer kan aanvragen voor onze cliënten. Ik snap werkelijk waar niet, waarom deze belachelijke mailing rond is gegaan. Als ze zaken vooraf gecheckt hadden en geregeld was er niks aan de hand..... Nu er opmerkingen zijn gekomen, en daaruit voortvloeiend Kamervragen, wordt mevrouw Schippers eens wakker... Die zit er voor haar eigen centen.
Tunaflish
27 oktober 2016 14:51
Minister Schippers van Volksgezondheid, Welzijn en Sport stelt in haar beantwoording van kamervragen dat zorgverleners zelf moeten afwegen of ze veiligheid of functionaliteit belangrijker vinden.
Dat hoeven ze helemaal niet af te wegen; veiligheid is belangrijker. Klaar, opgelost, graag gedaan. Het is ongelooflijk dat nota bene het ministerie zelf zegt dat veiligheid van gegevens ondergeschikt is aan het functioneren van het bovenliggen systeem.
CAPSLOCK2000
@Tunaflish27 oktober 2016 16:48
Er ligt daar een man dood te bloeden. In de operatiekamer staat een computer met Windows 95.

Wat doe je?
1. Ik ga de computer upgraden.
2. Ik bel de helpdesk en leg de sukkels uit dat ze de computer moeten komen upgraden.
3. Ik schrijf een boze brief aan de minister en aan de vakbond!
4. Ik gooi de computer uit het raam, dat is wel zo veilig.
5. Ik red het leven van de man.

Ik ben een rabiate beveiligingsfreak die altijd iets te klagen of te zeuren heeft, maar je moet het doel niet uit ogen verliezen. Alle IT, zorg en beveiliging is er om ons te helpen. Als het niet helpt dan heeft het geen zin, we doen het niet om de computer gelukkig te maken.
polthemol
@CAPSLOCK200028 oktober 2016 07:54
Het feit dat je die windows 95pc er al hebt zou hebben staan nog voor je begint te opereren is het probleem. Die moet er niet staan, mag er niet staan en onderstreept in jouw voorbeeld het UZI-beleid: niet in staat zijn om een simpele roadmap te lezen van partijen waar je afhankelijk van bent.

IT is er om je te helpen, zorg ook, beveiliging NIET. Beveiliging gaat erom dat gegevens veilig zijn, dat is geen hulp, dat is een basis waar je aan moet voldoen als je met andermans gegevens om gaat, vooral met zoeen gevoelige dossiers als medische zaken.
CAPSLOCK2000
@polthemol28 oktober 2016 10:24
Het feit dat je die windows 95pc er al hebt zou hebben staan nog voor je begint te opereren is het probleem.
Je snapt het voorbeeld niet. Natuurlijk hoort daar geen Windows 95 te staan, maar als om wat voor reden toch zo is, dan is het aan de dokter om te beslissen om hij de patient dood laat gaan of dat hij toch die oude computer maar even gebruikt.

Ander voorbeeld: er gebeurt een ongeluk op straat. Net op het moment dat je 112 wil bellen krijg je een pop-up dat er beveiligingsupdate is. Ga je eerst de update installeren of eerst 112 bellen?
Ik hoop dat je het met me eens bent dat het belangrijker is om snel 112 te bellen dan om de nieuwste versie van Android te draaien.
polthemol
@CAPSLOCK200028 oktober 2016 13:49
de seconde dat die pc een instant probleem is ben je als organisatie te laat. Het ministerie is dus met hun advies extreem nalatig geweest. Dus ik snap je voorbeeld wel, alleen jij ziet het als het probleem dat je opeens met die pc zit opgescheept, ik zie het als een probleem dat je al jarenlang iets hebt staan wat genegeerd is geworden en opeens een instant probleem vormt.

En ze zijn nog eens niet erg relevant: er zijn roadmaps, als je weet dat je software afhankelijk is van het javaframework, dan ga je dus (als je je baan serieus neemt als ontwerper) de ontwikkelingen in het oog houden, dus ook updates op die frameworks, aankondigingen enz. UZI zou dat moeten doen, UZI heeft dat totaal niet gedaan, ontdekt dat ze de boel verneukt hebben door eigen nalatigheid en nu is het advies "goh ja, flikker je security maar overboord, kappen met updaten".

De laatste stap is dat jij basically mag gaan kiezen tussen dossiers inzien of zorgen dat je beveiliging in orde is. Je ziet dat nu als een of/of met je voorbeeld, maar het is simpelweg en/en :)
CAPSLOCK2000
@polthemol31 oktober 2016 11:53
de seconde dat die pc een instant probleem is ben je als organisatie te laat. Het ministerie is dus met hun advies extreem nalatig geweest. Dus ik snap je voorbeeld wel, alleen jij ziet het als het probleem dat je opeens met die pc zit opgescheept, ik zie het als een probleem dat je al jarenlang iets hebt staan wat genegeerd is geworden en opeens een instant probleem vormt.
Nee nee nee, dat is niet het punt dat ik probeer te maken. We zijn het er over eens dat onderliggende probleem moet worden opgelost, het gaat niet om die ene PC maar om veel grotere processsen.

We krijgen het probleem niet van vandaag op morgen oplost krijgen. In de tussentijd zullen we toch iets moeten doen met de middelen die we hebben. Iemand zal van apparaat tot apparaat en van geval tot geval moeten bekijken of de risico's acceptabel zijn of niet.

Die beslissing moet niet worden genomen door de ziekenhuisdirecteur, de zorgverzekeraar of de minister maar door de dokter.
polthemol
@CAPSLOCK200031 oktober 2016 12:55
dat of ipv van maanden later eindelijk eens met het issue te komen, had er al lang een workaround op zijn minst kunnen komen. Want wat je nu hebt is dat er niet patientenlevens in gevaar gaan komen, maar dat hun data wel in gevaar is.
Tunaflish
@CAPSLOCK200028 oktober 2016 00:30
Als je in de operatiekamer nog moet opzoeken wat er allemaal aan de hand is met de patiënt is er ver van tevoren al veel meer verkeerd gegaan.
Croga
@CAPSLOCK200028 oktober 2016 06:41
Je voorbeeld gaat alleen op voor een enkele instantie.....

Nu hebben we diezelfde operatiekamer. Vandaag heb ik 5 man het leven gered. De gegevens van die 5 personen liggen nu op straat. De OK gaat nu voor 10 uur dicht omdat er toch geen artsen binnen zijn.
Morgen ga ik weer 5 man het leven redden. Wat doe ik in die 10 uur? Zorg ik dat er nu wél een beveiligde computer staat? Of gaan de gegevens van deze 5 personen ook weer op straat?
En overmorgen? Dezelfde vraag: Upgraden of wéér 5 personen hun gegevens op straat gooien.

Er ligt geen man dood te bloeden. Dat doet ie mischien morgen middag om 14:33. Maar vandaag hebben we 10 uur de tijd om de upgrade uit te voeren.

Natuurlijk is het ziekenhuis er om mensen te redden. Maar dat kunnen ze ook doen in een omgeving die wél beveiligd is.
CAPSLOCK2000
@Croga28 oktober 2016 10:31
Er ligt geen man dood te bloeden. Dat doet ie mischien morgen middag om 14:33. Maar vandaag hebben we 10 uur de tijd om de upgrade uit te voeren.
Nee, dat is niet zo, want ik heb gesteld dat die man er ligt. Als je de premise van mijn voorbeeld aanvalt dan snap je het probleem niet en maak je precies de fout de de minister hier niet heeft gemaakt.

Als het om medische zorg gaat dan is het uiteindelijk de dokter die beslist, niet de afdeling IT. In een ideale wereld is alle apparatuur altijd modern en veilig maar we leven niet in zo'n wereld. Artsen moeten voortdurend moeilijke keuzes maken en compromissen sluiten over de gezondheid van hun patienten. Of het nu over bijwerkingen van medicijnen gaat of de "bijwerkingen" van slechte IT, iemand moet beslissen. Als de patient dat niet zelf kan dan is het de dokter die de beslissing moet nemen.

Hopelijk trekt hij na z'n beslissing aan de bel om te zorgen dat het probleem is opgelost, maar als puntje bij paaltje komt is het de dokter die beslist wat het beste is voor de patient.
mrdemc
27 oktober 2016 14:07
Beetje vreemd naar mijn idee om eerst een e-mail de deur uit te doen waar een (naar mijn idee) slecht advies wordt gegeven aan mensen die over het algemeen geen benul hebben van IT (huisartsen e.d.) om vervolgens te zeggen dat het een eigen verantwoording is. Geef dan aan dat er een keuze is en welke afweging daarbij genomen moet worden...
djiwie
@mrdemc27 oktober 2016 14:26
Precies. Advies geven om browserupdates uit te schakelen impliceert dat de verantwoording in ieder geval niet 100% bij de eindgebruikers ligt én dat de overheid het noodzakelijk acht om zich hier in te mengen. En dan lijkt het mij dat de overheid zelf de verkeerde afweging maakt: er wordt wel geadviseerd om updates uit te schakelen, maar niet welke maatregelen er dan genomen moeten worden ter beveiliging.
jpsch
@mrdemc27 oktober 2016 18:01
Straks stuurt ze me nog een mailtje dat ik een "voltooid leven" heb en zelf maar een afweging moet maken.
FlyEragon
27 oktober 2016 14:38
Wat staat hier boven de site beste minister Schippers?
https://www.uziregister.nl/uzi-pas

En bij de CPS?
https://www.zorgcsp.nl/cps/ActueelCPS.aspx

Verantwoordelijkheden afschuiven noem ik dat.
CJ_Latitude
@FlyEragon27 oktober 2016 15:02
Exact! De enige partij die de oplossing kan leveren is VWS zelf aangezien zij degene zijn die 1) de huidige oplossing leveren en 2) een alternatieve oplossing moeten aandragen (waar nu "al" aan wordt gewerkt).
CAPSLOCK2000
27 oktober 2016 15:30
Het is vast goed bedoelt maar het pakt wel weer heel knullig uit.
De minister heeft gelijk dat de zorgverleners zelf moeten beslissen. Je kan het niet maken om iemand te laten sterven omdat iemand is vergeten de computer te updaten. Veiligheid is altijd een middel, geen doel op zich.

Dat de situatie zo ver is gekomen dat de minister het nodig vindt om zo'n mail rond te sturen is, dat is het echte probleem. Het UZI-register zou een voorbeeld moeten zijn van goede beveiliging en moderne techniek. Dat ze op het laatste moment moeten waarschuwen dat de software niet compatible is met moderne computers suggereert het omgekeerde.
Ik kan het ze maar moeilijk kwalijk nemen, IT is moeilijk en duur en de gemiddelde Nederlander heeft er geen cent voor over. Treurig maar waar. Daarom vind ik dat dit soort centrale registers (niet specifiek UZI, maar alle centrale databases) zich tot het absolute minimum moeten beperken. Dat is al moeilijk genoeg, alles wat er bij komt vergroot de kans op fouten. Als het even kan heb ik liever dat er helemaal geen database is, dan kan er ook niks mee gebeuren.
TMon
@CAPSLOCK200027 oktober 2016 15:42
Veiligheid is het nemen van n aanvaardbaar risico. Wat je zegt, een leven mag in onze ogen niet afhangen van een update of potentieel lek. Dat is voor ons geen aanvaardbaar risico. Wat je niet kunt zeggen is: veiligheid is een middel.
R4gnax
@CAPSLOCK200028 oktober 2016 08:19
Ik kan het ze maar moeilijk kwalijk nemen, IT is moeilijk en duur en de gemiddelde Nederlander heeft er geen cent voor over.
Juist daarom kan ik het de beleidsmakers zeer kwalijk nemen dat de situatie zover afgegleden is als deze is. Er had gewoon veel eerder op deze problematiek ingegrepen moeten worden.

Als men als onderneming niet bereid is te investeren in beveiliging, dan moet er misschien maar slikken-of-stikken wetgeving komen: verplichte aanmelding bij een controlerend orgaan dat geregeld strenge controles uitvoert, voordat je een product wat op deze schaal persoonsgegevens van deze aard verwerkt, op de markt mag zetten.

[Reactie gewijzigd door R4gnax op 28 oktober 2016 08:22]

PrinsEdje80
27 oktober 2016 19:56
Heel erg spijtig dit. Het lijkt me juist heel duidelijk dat het antwoord veiligheid zou moeten zijn. Stel een zorgverlener update zijn/haar computer niet, maar daardoor krijgt deze persoon een virus, wordt gehackt, noem maar op. Dan krijgt deze persoon gigantisch op de vingers getikt van het CPB/Autoriteit Persoonsgegevens: waarom heeft u uw beveiliging niet op orde??? Daar is de regelgeving omtrent dit soort zaken (medische gegevens) nogal erg streng...
coenox
@PrinsEdje8027 oktober 2016 20:27
En daarmee ligt de verantwoordelijkheid bij de zorgverlener die de eigen situatie (en die van zijn/haar) patiënten het beste kent en ook zelf verantwoordelijk is voor de gebruikte systemen.
polthemol
@coenox28 oktober 2016 07:57
hoe kan een zorgverlener verantwoordelijk zijn voor iets wat niet zijn vak is? Dat is een gevalletje risc management, niet bepaald het probleem oplossen. Je hebt het risico echter wel weg gemanaged op deze manier, dat dan weer wel.
coenox
@polthemol28 oktober 2016 10:24
Zorgverleners zijn ook ondernemers. Een ziekenhuis en een huisartspraktijk hebben een bedrijfsvoering met al of niet ingehuurde specialisten. Overigens is het UZI register wel een verantwoordelijkheid van VWS, maar volgens mij wordt daar aan gewerkt.
polthemol
@coenox28 oktober 2016 10:41
ik weet goed genoeg dat het ondernemers zijn, maar dit is een overkoepelend systeem. Het is niet iets waar je echt veel vrijheid van keuze in hebt en het is iets van het ministerie (of het ministerie is er verantwoordelijk voor). Dat is kortom niet het vak van die zorgverlener, dus het wijzen op hun zogenaamde verantwoordelijkheden is je reinste onzin van de minister. Bijzonder kwalijke zaak dit die onderstreept hoe verdomd goed een overheid is in IT, het besef van hoe schadelijk dat antwoord/advies in die mail is, is totaal niet aanwezig bij die instantie.
PrinsEdje80
@coenox28 oktober 2016 09:12
Nee, want vanuit de Autoriteit ben je verplicht om je systeem up to date te houden, zij het indirect. (Dat vele instituten/zorgverleners hier niet aan gehoor geven door wat voor reden dan ook, kennis, geld, gemakzucht, tijd, menskracht, etc, dat is een geheel andere discussie!) Dus om up-to-date te zijn, wat moet, verdwijnt je functionaliteit.

De zorgverlener is wel verantwoordelijk, maar naast verantwoordelijkheid zitten er ook een heleboel (wettelijke) verplichtingen aan...

Dit is wat het UZI doet (bron)
Het Unieke Zorgverlener Identificatie Register (UZI-register) is de organisatie die de unieke identificatie van zorgaanbieders en indicatieorganen in het elektronisch verkeer mogelijk maakt.
Dit maakt het nog sappiger, zou ik zeggen. De organisatie maakt elektronisch verkeer mogelijk. Spijtig dat ze dus zelf een zwakke schakel behouden...
wouser
27 oktober 2016 14:12
Gek. Ik word opgeleid tot dokter niet ICT deskundige.. Beetje gek dat ze zo een bericht sturen en vervolgens hun handen ervan aftrekken onder het mom van 'de zorgverlener zijn verantwoordelijkheid'. Kwestie van wachten tot het ergens fout gaat voordat er echt iets gaat gebeuren ben ik bang...
Destiny
27 oktober 2016 15:06
Verkeersregels zijn niet nodig, veiligheid is een verantwoordelijkheid van de verkeersdeelnemers zelf.

|:(
mutley69
27 oktober 2016 21:33
Ik als klant/patient bepaal wat het moet zijn qua privacy - en dan raadt u het al - niks is toegelaten tenzij ik het expliciet goedkeur in detail.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee