Ziekenhuis meldt datalek na diefstal van laptop met patiëntgegevens

Het Onze Lieve Vrouwe Gasthuis in Amsterdam heeft melding gemaakt van een datalek bij de Autoriteit Persoonsgegevens. Dit gebeurde naar aanleiding van de diefstal van een laptop met gegevens van 'een aantal patiënten'. Ook de inloggegevens zijn mogelijk buitgemaakt.

De inloggegevens lagen in de buurt van de laptop 'ten behoeve van de snelheid van handelen bij nood', aldus het ziekenhuis. Volgens het ziekenhuis diende de laptop als back-up voor bepaalde patiëntgegevens, voor het geval dat het Elektronisch Patiëntendossier niet beschikbaar is.

Op de gestolen laptop zijn adresgegevens te vinden, naast afspraken van patiënten op de afdelingen radiologie en nucleaire geneeskunde. Er zouden geen uitslagen op het apparaat staan opgeslagen. Het gaat alleen om gegevens opgeslagen in de eerste week van januari.

Naast het inlichten van de privacytoezichthouder heeft het ziekenhuis aangifte gedaan bij de politie en heeft het de getroffen patiënten met een brief op de hoogte gebracht. De laptop stond uit het zicht en was bevestigd met een beveiligingskabel, die is doorgeknipt.

Vorig jaar meldde het Isala-ziekenhuis eveneens een datalek dat ontstond door een gestolen laptop. Het ging toen om een privélaptop van een coassistent, waarop de gegevens van 504 patiënten waren opgeslagen. De Autoriteit Persoonsgegevens maakte in november bekend dat ziekenhuizen in 2016 verantwoordelijk waren voor 304 meldingen van in totaal 4700 datalekken. Sinds januari 2016 is het verplicht om datalekken te melden.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 25-01-2017 11:53158

25-01-2017 • 11:53

158 Linkedin

Lees meer

Dieven stelen kluis met data honderdduizenden NL-klanten Allianz-reisverzekeraar Nieuws van 19 september 2019
Medische data van 'honderdduizenden' Nederlanders is opgeslagen op Google Cloud Nieuws van 30 maart 2019
Amsterdams ziekenhuis gaf veel te ruime toegang tot digitale patiëntendossiers Nieuws van 15 februari 2019
'Beveiliging gegevens in Nederlandse gezondheidsinstellingen is onvoldoende' Nieuws van 14 mei 2018
Nederlandse zorginstellingen starten gedeeld cert voor beveiligingsincidenten Nieuws van 24 januari 2018
VUmc-ziekenhuis meldt datalek door gestolen usb-stick met patiëntgegevens Nieuws van 26 mei 2017
Ziekenhuis implanteert hartmonitor die verbonden is met smartphone Nieuws van 7 april 2017
Honderden Brabanders zagen belastinggegevens enkel persoon in door ict-fout Nieuws van 20 februari 2017
Lek in Kamernet gaf toegang tot 1,3 miljoen privéberichten Nieuws van 6 februari 2017
Hack bij forum CD Projekt RED trof 1,9 miljoen accounts - update Nieuws van 31 januari 2017
'Helft datalekken gemeenten niet gemeld aan Autoriteit Persoonsgegevens' Nieuws van 28 januari 2017
'Nederlandse ziekenhuizen meldden dit jaar 304 datalekken' Nieuws van 24 november 2016
Ziekenhuis meldt datalek na diefstal privélaptop met patiëntgegevens Nieuws van 6 oktober 2016
Privacytoezichthouder berispt ziekenhuizen over digitaliseren patiëntdossiers Nieuws van 17 mei 2016
'Datalek ziekenhuizen gaf toegang tot gegevens 200.000 patiënten' - update Nieuws van 25 januari 2016
Meer producten en artikelen
Privacy Netwerk en systeembeheer Datalek Security

Reacties (158)

-Moderatie-faq
158
154
52
10
0
91
Wijzig sortering
jerkitout
25 januari 2017 11:54
>De inloggegevens lagen in de buurt van de laptop 'ten behoeve van de snelheid van handelen bij nood', aldus het ziekenhuis.

Classic, maar ik snap het wel. In de zorg zijn veel systemen niet gekoppeld. Mijn moeder werkt in de zorg en moet 4 keer inloggen voordat zij haar werk kan doen, en de wachtwoorden moeten na x maanden worden veranderd . Dan krijg je een leuk systeem van sticky notes met wachtworden.

Oh ja, en ze heeft maar 200mb email ruimte }:O Elke maand emails deleten om ruimte te maken, en dan paniek omdat ze toch een paar van die emails nodig had. Heeft niks met veiligheid te maken, maar geeft mij als ICTer een wtf gevoel. Zoveel tijd wordt hier aan verspild.. En ja deze probleem is gemeld, maar er wordt niks aan gedaan.

[Reactie gewijzigd door jerkitout op 25 januari 2017 12:11]

Dorus12
@jerkitout25 januari 2017 12:02
De enige manier om te voorkomen van dit soort zaken is ontslag van een van de bestuurders.
En zonder afscheid bonus / oprot premie.
Iedere keer weer 'n bestuurder ontslaan indien er patiënten gegevens gejat worden.
Misschien dat diezelfde bestuurders dan hun organisatie zorgvuldiger gaan aansturen.
Want het versturen van een "sorry" brief naar alle betrokken patiënten is een lachertje.

Er zijn wel degelijk bestuurs maatregelen nodig om dit te voorkomen.
Dat hier onder dat "draconisch" wordt genoemd getuigd niet echt van inzicht.
Er ligt beleid aan ten grondslag zo simpel is dat.
En dat beleid voldoet niet dus wie is daar dan voor verantwoordelijk.... juist de bestuurder.
Laat die maar op de blaren zitten en niet een of andere tussenlaag in de organisatie die geslachtofferd wordt.

Ik vind werkelijk niet dat een brief aan de patiënten dit kan goedmaken.
Ook niet omdat het zogenaamd maar weinig voorkomt.
Het is scheer en inslag en juist de patient info ligt op straat en niet die van de veroorzakers.
Dat is een kwalijke zaak en zou andersom moeten zijn.

[Reactie gewijzigd door Dorus12 op 25 januari 2017 14:27]

Anoniem: 310408
@Dorus1225 januari 2017 12:15
De enige manier om te voorkomen van dit soort zaken is ontslag van een van de bestuurders.
Als de baan van een bestuurder hangt aan een fout van een van zijn honderden/duizenden medewerkers dan zouden er weinig managers zijn. Mensen maken fouten en mensen proberen meestal hun werk zo efficiënt mogelijk te doen. Dat betekent soms dat een te sterke beveiliging mensen ertoe doet bewegen om die te omgaan.

In mijn ervaring (zakelijk en als ex-medewerker) zijn de meeste mensen best wel overtuigd van de noodzaak tot het veilig houden van gegevens en zullen ze hun best doen. Maar nogmaals mensen maken fouten. Als jij denkt dat draconische maatregelen zullen helpen om dit soort dingen te voorkomen snap je niet veel van psygologie. Zo werkt een mens niet. Alleen voortdurende bewustmaking is enigermate effectief.
Grrrrrene
@Anoniem: 31040825 januari 2017 12:22
Ik begrijp nooit zo dat bedrijven serieus mensen iedere 3 mnd een nieuw wachtwoord laten kiezen. Dat gaat niemand onthouden, zeker niet als je de eisen aan het wachtwoord zwaar maakt. Gevolg: her en der briefjes met het wachtwoord opgeschreven en die liggen uiteraard daar waar je het wachtwoord moet ingeven. In het geval van een laptop een stickertje boven het toetsenbord 8)7

De hieronder genoemde two-factor authentication lijkt me _de_ oplossing. Via sms of een usb-key, het maakt mij niks uit. Ik gebruik dat buiten mijn werk ook voor de belangrijkste zaken, zoals bijvoorbeeld m'n webmail en belastingzaken.

[Reactie gewijzigd door Grrrrrene op 25 januari 2017 12:23]

Edwin
@Grrrrrene25 januari 2017 13:15
Is heel simpel te omzeilen.

Neem voor jezelf een basis password, daar volg je dan elke 3 maanden een ander volgwoord aan toe.

Stel je neemt als basis: xyZ123-
Dan verzin je elke 3 maanden een ander volgwoord;
xyZ123-Winter
xyZ123-Jarig
xyZ123-Auto
...

Zo is hij telkens uniek en toch redelijk makkelijk te onthouden.
Edwin
@Aaargh!25 januari 2017 13:39
Hoe moeilijk hij voor een mens is te onthouden zegt niet veel over hoe makkelijk hij te kraken is.

CorrectHorseBatteryStaple
Aaargh!
@Edwin25 januari 2017 13:41
Dat gaat niet meer op
DitisKees
@Aaargh!25 januari 2017 14:00
Interessant verhaal, maar ik zie niet in hoe dit de xkcd methode onbruikbaar maakt.
Aaargh!
@DitisKees25 januari 2017 14:07
Staat letterlijk in het gelinkte artikel:
Modern password crackers combine different words from their dictionaries:
(..)
This is why the oft-cited XKCD scheme for generating passwords -- string together individual words like "correcthorsebatterystaple" -- is no longer good advice. The password crackers are on to this trick.
T-MOB
@Aaargh!25 januari 2017 15:52
Dan heeft de auteur van dat artikel de "XKCD-methode" niet begrepen. In de comic kun je zien dat er 11 bits entropie wordt gerekend per woord om tot een totaal van 44bits entropie te komen. Die 11bits entropie bereik je (al) door een willekeurig woord uit een lijst van (211=) 2048 woorden te kiezen. Een aanvaller die deze lijst heeft (en weet dat jouw wachtwoord bestaat uit 4 woorden) doet er vervolgens 550 jaar over om te kraken (bij 1000 pogingen/s). Hij moet immers (tot) 2048*2048*2048*2048 combinaties controleren

De enige manier waarop het "niet meer veilig" zou kunnen zijn, is als de aanname van 2048 woorden niet klopt. Als dus blijkt dat er een veel kleiner dictionairy is waaruit mensen woorden kiezen. Maar de gemiddelde mens heeft een woordenschat van ruim 40.000 woorden, dus ik denk dat die 211 aan de veilige kant geschat is.
Aaargh!
@T-MOB25 januari 2017 16:18
Een aanvaller die deze lijst heeft (en weet dat jouw wachtwoord bestaat uit 4 woorden) doet er vervolgens 550 jaar over om te kraken (bij 1000 pogingen/s).
1000 pogingen/s is (afhankelijk v/h type hash) extreem weinig. B.v. een systeem met 8 GTX 1080's doet 200 miljard MD5 hashes/seconde, of 68,7 Miljard SHA1 hashes/sec, 8.6 miljard SHA512 hashes/sec. Zo'n password gehashed met MD5 duurt dan geen 550 jaar maar ong. anderhalve minuut, 200 miljoen keer sneller. bron

Nu zijn dit allemaal snelle hashing algorithmes en dus niet geschikt voor het hashen van wachtwoorden maar desondanks worden ze hier wel heel vaak voor gebruikt. Als ik b.v. m'n eigen Linux bakkies check (Debian GNU/Linux) gebruiken die allemaal SHA-512.

[Reactie gewijzigd door Aaargh! op 25 januari 2017 16:20]

Orthodroom
@Aaargh!25 januari 2017 16:14
Stel ik neem een wachtzin van 8 woorden terwijl het vroeger een wachtwoord van 8 tekens moest zijn.
Bruteforcen met alleen alpha duurt langer want ik gebruik meer tekens. Ga je woorden gebruiken met bruteforcen duurt het nog steeds langer want a-z 26 tekens terwijl er heel wat meer woorden staan in het woordenboek
The Third Man
@Aaargh!25 januari 2017 14:12
Het enige wat hij zegt is "This is why the oft-cited XKCD scheme for generating passwords -- string together individual words like "correcthorsebatterystaple" -- is no longer good advice. The password crackers are on to this trick."

Er staat echter niet waarom dat zo is. De voorbeelden die hij toont zijn allegaartjes van woorden en getallen/leestekens, dus bijvoorbeeld "Sh1a-labe0uf," , maar dat is wezenlijk wat anders dan een serie van normale woorden nemen. De sterkte komt namelijk niet voort uit de willekeur of de leesteken-maskering, maar door het aantal verschillende bronwoorden (4 bij XKCD).

Het aantal permutaties van woorden in de algemene vocubulaire is zo extreem groot dat het niet waard is om te brute forcen. Laat staan als je er een woord uit een andere taal in mixt. 'correctbatterijpferdagrafe' is niet veel moeilijker dan het XKCD voorbeeld als je het een paar keer in hebt getikt, terwijl het aantal permutaties nog eens een paar ordes van grootte is gestegen.
Aaargh!
@The Third Man25 januari 2017 14:56
Er staat echter niet waarom dat zo is.
Letterlijk de eerste zin in de gequote tekst: "Modern password crackers combine different words from their dictionaries"
Het aantal permutaties van woorden in de algemene vocubulaire is zo extreem groot dat het niet waard is om te brute forcen.
Ik denk dat je onderschat hoe snel je met een dictionary attack dat soort passwords kan vinden.
The Third Man
@Aaargh!25 januari 2017 16:01
"Ik denk dat je onderschat hoe snel je met een dictionary attack dat soort passwords kan vinden."

Dat is nou precies het punt. Dat gaat op bij 1, misschien 2 combinaties van woorden, maar het aantal mogelijkheden neemt exponentieel toe met het aantal woorden dat je gebruikt. De Oxford Dictionary bevat 600.000 woorden, en al zou je dat beperken tot 100.000 dan ben je nog 100.000 * 99.999 * 99.998 * 99.997 woorden aan het uitproberen als de gebruiker tenminste geen woorden dubbel gebruikt.

Het tweede effect is namelijk dat het wachtwoord ook zo lang is dat het niet in rainbowtables terugkomt, dus die attack valt ook weg. Gebruik je een random hoofdletter, dan kan je het echt wel vergeten met je dictionary attack. Gebruik je 4 talen in je wachtwoord? Reken maar uit met 400.000 per woord...

De extreme stijging van het aantal permutaties is wat dit zo sterk maakt, want dictionaries werken prima voor enkele woorden of samenstellingen, misschien nog zinnen als 'MyFirstPassword123', maar niet tegen 4 woorden die random bij elkaar gevist zijn en dus niet in een tekst of in een eerder kraak voorkomen.

Eigenlijk is de clue van het verhaal dat je niet willekeurige karakters moet gebruiken, omdat het snel moeilijk wordt om dit boven de 8 stuks te onthouden en de complexiteit per karakter vrij laag is (52 letters, 10 cijfers, misschien 10-20 leestekens). Gebruik je willekeurige woorden, dan vergroot je de sterkte van je wachtwoord met een veelvoud.

[Reactie gewijzigd door The Third Man op 25 januari 2017 16:09]

Rav
@The Third Man25 januari 2017 16:47
Als je trouwens woorden wil gebruiken in je wachtwoord, kies dan ook Nederlandse woorden. Die worden over de hele wereld gezien minder vaak gebruikt dan Engelse en zullen dus minder veel voorkomend zijn in lijsten die worden gebruikt om je wachtwoord te raden. Dialect is nog beter ;)

Heck, zelfs Fries heeft hier eindelijk een voordeel boven ABN :o
The Third Man
@Rav25 januari 2017 17:12
Precies, en het wordt nog leuker als je een reeks cijfers toevoegt. Het onderstreept nogmaals dat de truuk in de samenstelling van verschillende (wacht)woorden zit, en niet in de ouderwetse veronderstelling dat je 1 wachtwoord moet hebben dat 'sterk' is.
Aaargh!
@The Third Man25 januari 2017 16:37
De Oxford Dictionary bevat 600.000 woorden, en al zou je dat beperken tot 100.000 dan ben je nog 100.000 * 99.999 * 99.998 * 99.997 woorden aan het uitproberen
Uitgaande van 100k woorden in je dictionary (is erg veel. de gemiddelde volwassene heeft een vocabulaire van zo'n 20k woorden) en 4 woorden achter elkaar, hebben we het over 10^20 permutaties.

Stel dat deze gehashed zijn met MD5, en je doet 200Gh/s met 8 GTX 1080's dan kost het dus 500 miljoen seconden, dat is 8.3M minuten, 138k8 uur of 5768 dagen. Niet iedereen heeft 8 GTX 1080's dus laten we het voor het gemak vermenigvuldigen met 16 voor een 'gemiddelde' PC: Dan ben je dus 92592 dagen bezig. Dus met een botnet met 100k machines ben je er in een dag doorheen.
Het tweede effect is namelijk dat het wachtwoord ook zo lang is dat het niet in rainbowtables terugkomt, dus die attack valt ook weg.
Rainbowtables zijn sowieso niet bruikbaar als je wachtwoorden goed opslaat.
The Third Man
@Aaargh!25 januari 2017 17:09
Dat is ten eerste uitgaande van een md5 zonder salt. Zoals hier vaak genoeg voorbij komt zijn er nog steeds prutsende sites die hier gebruik van maken, maar het is zeker niet de standaard. Al door een salt toe te voegen gaat je vergelijking niet op, en je gaat dus uit van het meest snelle voorbeeld, terwijl het juist niet het meest voorkomt. Probeer eens met blowfish of sha-2.

" Dus met een botnet met 100k machines ben je er in een dag doorheen."

En om dan maar met de dooddoener te komen: reken nu eens uit hoe lang het duurt met een regulier 12, ok misschien 15 karakters lang wachtwoord met 52 letters, 10 cijfers, 10 leestekens. Verschilt dat zo veel met de XKCD brute force tijd? Ik denk het niet, dus je argument is tegen MD5 , niet tegen de XKCD methode. Zie ook dit kostentabel. MD5 is nooit bedoeld als password hash methode, het is gewoon een blunder uit het begin van webscripting geweest om dat voor hashing te gebruiken. Het is geen beveiligingslaag, ongeacht of je nou XKCD of je random password generator gebruikt.

Je blijft dus argumenten aanvoeren die op alle unsalted brute force methodes van toepassing zijn, en daar gaat het hier niet om. Als je dat wilt moet je een 2048 bits private key gebruiken en wachtwoorden vergeten. Het punt van XKCD is dat je het eenvoudig maakt om een sterk doch makkelijk te onthouden wachtwoord te maken, niet om iets onhashbaars te maken.

[Reactie gewijzigd door The Third Man op 25 januari 2017 17:18]

jsnl
@The Third Man26 januari 2017 12:47
Zou je het nog sterker maken door b.v. dialect te gebruiken..
Edwin
@Aaargh!25 januari 2017 13:55
Dat dat voorbeeld niet meer werkt is omdat die techniek bekent is en de krakers daar dus rekening mee houden.

Als je die "Schneier scheme" gebruikt (nooit geweten dat er een term voor is) heb je nog steeds een makkelijk te onthouden wachtwoord dat moeilijk te raden is.

Daarnaast verwacht ik dat een ICT afdeling slim genoeg is om na x foute pogingen het account te locken.
10 feet high
@Edwin25 januari 2017 18:15
Ik hoop dat je beseft dat het exact door dit soort redeneringen komt dat die datalekken en andere toestanden ontstaan. Het gaat hier om een ziekenhuis, en door mensen uit te sluiten van hun account (of toegang tot bepaalde zaken af te sluiten) kan je gewoon je werk niet meer doen. Misschien dat een netwerkbeheerder dat geen probleem vindt, maar voor een ziekenhuis in zijn geheel is dat iets wat je net wil vermijden.

Eigenlijk duidt dit hele probleem (waar jullie over discussiëren en waar het artikel over gaat) er eerder op dat het werken met paswoorden misschien toch geen goed idee is, of dat het tenminste hoog tijd wordt dat er ook in complexe omgevingen harder gezocht wordt naar manieren om het gebruik van paswoorden (drastisch) te kunnen verminderen en vereenvoudigen.
Edwin
@10 feet high26 januari 2017 09:21
Altijd beter dan een post-it op het scherm omdat het wachtwoord zo complex moet zijn dat niemand het meer kan onthouden ;)

Volgens mij is elke beveiliging te kraken als de motivatie ertoe maar groot genoeg is.

Met je eigen huis is het net zo. Je kunt je huis beveiligen met stalen deuren en er een ware bunker van maken maar binnen komen ze toch.
Desnoods rijden ze er een bulldozer tegenaan.

Enige wat je eigenlijk doet is hopen dat het zo moeilijk is dat een ander huis meer de moeite waard is voor de moeite die het ze gaat kosten.
Aaargh!
@Edwin25 januari 2017 16:41
Daarnaast verwacht ik dat een ICT afdeling slim genoeg is om na x foute pogingen het account te locken.
Ja, zolang je kan beperken hoe veel pogingen je kan doen, dan maakt het allemaal sowieso weinig uit. Ook als je je wachtwoorden goed opslaat (met b.v. bcrypt, scrypt of argon2) met een goeie work factor dan boeit het ook niet heel erg.

Het is alleen problematisch als je wachtwoorden onveilig hashed (b.v. met MD5, SHA1/256/512) en iemand krijg je database in handen.
Vr4nckuh
@Edwin25 januari 2017 13:22
Helaas. Door nieuwe aanvullende eisen mbt wachtwoorden mag er binnen onze organisatie geen wachtwoord worden gebruikt die sterk lijken op de voorgaande 12 wachtwoorden. (Maandelijks een nieuw wachtwoord).

Dus succes met een nieuw wachtwoord vinden... En ja bij ons hangen dus briefjes met het wachtwoord ....
3raser
@Vr4nckuh25 januari 2017 13:44
Jullie organisatie slaat daarbij dus ook nog eens de laatste 12 wachtwoorden per gebruiker op. Die wachtwoorden zijn niet gehashed omdat je anders de inhoud niet meer kan vergelijken. En dat vinden zij een goede policy? |:(

Daarnaast ben ik dan zo'n persoon die zijn wachtwoord simpelweg 13 keer wijzigt totdat ik weer mijn oude wachtwoord kan gebruiken. Al was het alleen maar om te laten zien dat die policy niet werkt. En ja, mijn wachtwoord valt uiteraard onder de categorie "veilig".
Edwin
@3raser25 januari 2017 13:57
Dat x keer wijzigen tot je weer de oude hebt hebben ze bij ons afgevangen door max 1 aanpassing per dag te accepteren.

Je kunt het dan nog steeds maar dan moet je wel erg vasthoudend zijn. (en ja er zijn er die dat doen ;))
stresstak
@Edwin25 januari 2017 15:50
Je kunt het dan nog steeds maar dan moet je wel erg vasthoudend zijn.
Het is een kwestie van ritueel en routine. Net als koffiedrinken of schaften om half een.
Anoniem: 167912
@3raser25 januari 2017 15:26
Jullie organisatie slaat daarbij dus ook nog eens de laatste 12 wachtwoorden per gebruiker op. Die wachtwoorden zijn niet gehashed omdat je anders de inhoud niet meer kan vergelijken.
Er is geen enkele reden waarom die paswoorden (die overigens niet meer geldig zijn) niet gehashed zouden worden opgeslagen.
TheMak
@3raser25 januari 2017 15:52
De computer kan variaties op het nieuwe wachtwoord maken en controleren of deze overeenkomt met de oude hashes.
Edwin
@Vr4nckuh25 januari 2017 13:32
Hoe wordt dat 'sterk lijken' getest? (nieuwsgierig :))
Delen van de code vergelijken?

Er moet een bepaald balans zijn tussen gebruikersgemak en veiligheid.

Ik kan echt niet begrijpen hoe naïef jullie ICT afdeling is als ze denken dat dit een goede oplossing is.
r2504
@Edwin25 januari 2017 14:08
Hier mag zelfs een karakter niet op dezelfde plaats voorkomen als in het vorige paswoord... wat mij betreft zijn dergelijke regels het aanzetten tot een onveilig paswoord gebruik (omdat het enorm moeilijk is telkens iets te vinden).
Edwin
@r250425 januari 2017 14:54
ABCDEF
BCDEFA
CDEFAB

Dit is inderdaad voorbij de grens van absurditeit en geeft mij een erg "Respect my authoritah" gevoel.
Rik.
@Grrrrrene25 januari 2017 13:54
Two-factor authentication is in verschillende ziekenhuizen al gewoon ingevoerd. Het ziekenhuis waar ik een tijdje stage heb gelopen moest je inloggen met je pas op een paslezer die aan iedere PC hing, dit was even je pas erop en je bent ingelogd. Aan het begin van de dag moest je behalve je pas, ook nog je wachtwoord gebruiken.

Het risico is er natuurlijk dan wel dat als je al 1x bent ingelogd en je pas kwijt raakt er iemand anders mee in kan loggen. Maar aangezien je je pas zo vaak nodig hebt merk je dat vrijwel direct en laat je deze natuurlijk direct blokkeren.

Artsen moeten zelfs op plekken waar persoonsgegevens staan, inloggen met een uzi pas volgens mij, ik weet niet precies bij welke systemen dit is, maar het moet in ieder geval redelijk vaak.
casd18
@Rik.25 januari 2017 14:13
zo'n pas kan je gewoon skimmen net als elke andere pas en maakt het dus net zo goed mogelijk binnen te komen als je dat echt wil. Voorkomt ook niet dat mensen onzorgvuldig met storage devices omgaan.
Blokker_1999
@Grrrrrene25 januari 2017 12:28
Kan je perfect onthouden. Je krijgt alleen iets in de vorm van password01 password02 ... . De gedachtengang is dat mensen af en toe wel eens hun wachtwoord doorgeven of dat iemand anders het wachtwoord heeft kunnen bemachtigen (door af te kijken tijdens het invoeren). Door dit regelmatig te veranderen is het de bedoeling dat ongeauthoriseerde toegang na een tijdje terug onmogelijk wordt.
Grrrrrene
@Blokker_199925 januari 2017 12:32
...want die ander kan "password02" na "password01" niet verzinnen? :P

Ik snap het doel wel, maar 2-factor authorization maakt dat ook mogelijk zonder de hele password-hassle. Lever die usb-key of bedrijfstelefoon bij vertrek maar in en je kunt nergens meer bij. Ook niet via het nog 3mnd actieve wachtwoord van een ex-collega.

[Reactie gewijzigd door Grrrrrene op 25 januari 2017 12:33]

Crazy D
@Grrrrrene25 januari 2017 15:10
Lig jij half dood te gaan, moet je wachten op een SMS zodat de arts kan inloggen.... Batterij van de arts net leeg...

Je hebt gelijk hoor, maar ik denk dat een groter probleem is, dat er blijkbaar een noodzaak is om een laptop erbij te moeten hebben voor het geval dat het EDP niet bereikbaar is. Dat lijkt mij in dit specifieke geval een groter probleem... EDP is discutabel maar als het gebruikt wordt, moet de uptime 100% zijn zodat je nooit een backup lokaal hoeft te hebben "voor het geval dat".
William_H
@Crazy D27 januari 2017 13:09
Het EPD is helemaal niet bedoelt voor noodgevallen. Als er een noodgeval is en jij komt binnen op de SEH, dan wordt er gewoon middels een (nood) procedure gewerkt. Men ging vroeger ook niet wachten tot iemand dossier gevonden was. En er vielen ook geen doden bij duizenden omdat er geen EPD was. Dus dat hele idee dat het EPD noodzakelijk is en veel meer levens redt, is 1 van de grootste leugens van de laatste jaren in onze maatschappij en een zeer groot gevaar voor onze privacy en persoonlijke veiligheid.
Dat bewijst deze situatie uit het artikel maar weer.
Lennart-IT
@Grrrrrene25 januari 2017 15:23
Inderdaad, wij gebruiken een RSA token die mensen aan hun sleutelbos hangen. Dit is de 2/fa manier voor inloggen die beveiliging gegarandeerd. Ook al hergebruikt de persoon zijn wachtwoord elders, iets wat wij afraden, de kans dat men in ons netwerk kan komen blijft gering vanwege de token die vereist is. Pogingen om in te loggen als een gebruiker die niet van locaties afkomen waar de gebruiker bekend is gaat bij ons een rode vlag omhoog.

Deze token vervangen wij eens in de 2 jaar, USB of smartphone 2/fa zijn onveilig en zijn echter vaak de reden waarom een hacker kan binnenbreken.

Als men de sleutel verliest of wordt gestolen kunnen we de token deactiveren. Daarboven op heeft men een vast wachtwoord dat men eens aan het begin van het jaar moet veranderen, of wanneer wij intrusies detecteren, ook doen wij bureau checks voor opgeschreven wachtwoorden. Bekende plekjes zijn onder het toetsenbord, in de la, onder de computer of op het beeldscherm waar men een opgeschreven wachtwoord plaatst.

Wij houden websites waar scriptkiddies/hackers data inbreuken publiceren in de gaten en hebben al meerdere malen een persoonlijk gesprek met een gebruiker van ons moeten hebben omdat hun wachtwoord/gebruikersnaam voor hun prive adressen op straat lag.
Offens1490
@Grrrrrene25 januari 2017 15:50
Wij gebruiken een cryptocard.

Je hebt je emailadres nodig
Je eigen Windows wacht woord
Je eigen 5 cijferige pin en dan crypto nummer van 8 cijfers

Het is misschien even wennen maar het werkt wel.
killzonex
@Grrrrrene26 januari 2017 09:35
Je pasje scannen aan een reader en je eigen ww gebruiken is al een hele goede stap in de richting
MadEgg
@Anoniem: 31040825 januari 2017 12:27
Ik ben het met je eens dat een dergelijke fout niet zou moeten leiden tot het ontslag van ofwel de direct betrokken medewerkers, ofwel het management.

Bij een falend ICT-beleid op het gebied van veiligheid zou er wel degelijk een two-strikes-and-you're-out regel mogen zijn. Ja twee, strikes, drie is echt te veel in dit geval. Een eigenlijk ook al.

Er wordt heel vaal bespaard op fatsoenlijke ICT-infrastructuur want dat kost allemaal zo veel, en ze willen zelf een grotere bonus. Dat mag best afgestraft worden.

Er zou ook consequent strenger op gecontroleerd moeten worden bij zorgorganisaties (en overheidsorganisaties): is de ICT-infrastructuur in orde. Zwerven er geen sticky notes rond met login-gegevens, wordt er geen software gedraaid die niet up-to-date of niet ondersteund is, zijn de login-systemen op een wijze ingericht dat gebruikers er daadwerkelijk efficiënt mee kunnen werken (inhakend op wat jerkitout in 'nieuws: Ziekenhuis meldt datalek na diefstal van laptop met pat... hierboven zegt). Zo nee? Direct actie, na een maand (of twee) hercontrole, en dan ook harde consequenties als er niet voldoende vooruitgang geboekt is.

Er staan zeer gevoelige gegevens op het spel, daar moet voldoende zorg voor gedragen worden. En de manager is wel uiteindelijk verantwoordelijk voor het beleid, dus die mag daar ook best de consequenties van voelen.
kimborntobewild
@MadEgg25 januari 2017 12:43
wordt er geen software gedraaid die niet up-to-date of niet ondersteund is ... Direct actie, na een maand (of twee) hercontrole, en dan ook harde consequenties als er niet voldoende vooruitgang geboekt is.
Klinkt leuk maar je kan nooit garanderen dat alle PC's/laptops zaken als Java, Flash en Windows altijd up-to-date hebben. Terwijl je op een PC werkt kunnen er updates verschijnen. En normale gebruikers zijn vaak niet gemachtigd om al die updates te installeren. Dus worden zulke updates vaak pas geïnstalleerd bij het uitzetten of herstarten. Je loopt dus 'altijd' achter. Eigenlijk net zoals bij virusscanners: de virusdatabases lopen altijd achter.
MadEgg
@kimborntobewild25 januari 2017 12:48
Ja, dat snap ik. Ik doelde meer op Windows XP of dergelijke achterhaalde zaken. Flash zou sowieso geen plek moeten hebben op PC's in een ziekenhuis, overigens.
Kalevandaal
@MadEgg25 januari 2017 13:59
Zeg je hier echt Windows XP? Dat besturingssysteem waar complete OK's afhankelijk van zijn.
Let wel, ik deel je mening, maar ICT en ziekenhuizen zijn meestal niet in één lijn. Don't fix what's not broken
kimborntobewild
@MadEgg26 januari 2017 17:25
Windows XP
Tja, alsof Windows7 en Windows10 nu zo bullet-proof zijn... niet bepaald. Er zijn miljoenen verschillende Windows-virussen.
MadEgg
@kimborntobewild26 januari 2017 17:45
Ja. Maar Windows 7, 8 en 10 krijgen nog patches van Microsoft. Windows XP niet, dus elk lek dat gevonden wordt wordt niet meer gedicht. Daarom zou je geen Windows XP meer moeten gebruiken, niet omdat de software per se slechter is.
kimborntobewild
@MadEgg30 januari 2017 12:34
Als de PC niet aan 't internet hangt en geen USB-sticks van medewerkers accepteert, en verder de firewall van het ziekenhuis gebruikt voor het intranet (als de PC al op het netwerk moet), dan valt 't wel mee... Maar inderdaad, indien keuze, dan overstappen. Op een OpenSource OperatingSystem ;). Die hebben bij mij toch een veel hoger aanzien, qua veiligheid.
Cerberus_tm
@Anoniem: 31040825 januari 2017 19:07
Het zou toch best wel chill zijn er er minder managers zouden zijn?

De overhead groeit en groeit, er komen er steeds meer.

Ze krijgen vaak veel meer betaald dan de mensen die het inhoudelijke werk doen; daarom kunnen de laatsten vaak alleen maar promoveren door manager te worden. Zo stoppen de beste politieagenten, leraren, etc. vaak met inhoudelijk werk.

Alle formulieren en eisen en tijd kosten de niet-managers heel veel energie en tijd. Hoeveel geld zou de samenleving wel niet besparen als het aantal managers met 80% verminderd werd?
Cio
@Dorus1225 januari 2017 12:06
Nou, zullen we eerlijk zijn en zeggen dat zo'n fout niet op één plek in de keten ontstaat? Bestuurders en IT'ers zijn samen verantwoordelijk, het is iedereens plicht om aan te geven dat een systeem niet werkt.

Volgens mij is het grootste probleem dat misstanden nergens met succes gemeld kunnen worden omdat de toezichthouder(s) veel te weinig capaciteit hebben en medewerkers moeten vrezen voor hun inkomen als hun melding niet goed opgepakt wordt....
enigmafan
@Cio25 januari 2017 12:21
Nou, zullen we eerlijk zijn en zeggen dat zo'n fout niet op één plek in de keten ontstaat?
Vast wel, maar het bestuur is wel verantwoordelijk voor het veiligheidsbeleid, dat is een van de redenen dat ze zo goed betaald krijgen. Het zou dus wel degelijk impact hebben als het bestuur op die verantwoordelijkheid wordt afgerekend bij een datalek, de praktijk wijst namelijk uit dat mensen die veel geld verdienen dat willen blijven doen en als de mogelijkheid bestaat dat dat geld niet meer verdiend kan worden, ze beter luisteren naar degenen die hen adviseren over dit soort zaken en deze adviezen ook uitvoeren in plaats van denken 'dat is veel te duur'.
Rik.
@Cio25 januari 2017 13:55
IT'ers krijgen vaak de schuld, maar het ligt niet altijd aan die kant. Als een gebruiker overal zijn/haar wachtwoorden laat slingeren dan is het niet de schuld van de IT afdeling lijkt mij? Als je je huissleutel overal laat slingeren, en iemand komt daarmee je huis binnen dan zeg je toch ook niet dat het de schuld is van de sleutelboer?
Cio
@Rik.25 januari 2017 14:25
De (interne) IT'er staat wel iets dichter op het probleem dat de sleutelboer hé!

Als een gebruiker constant wachtwoorden laat slingeren is het uiteindelijk de verantwoording van IT op diegene toegang tot het systeem te ontzeggen als een leidinggevende, interne auditors etc hier niets mee doen. Dat het niet de schuld van IT is kan best zijn dus, maar daarmee blijft het wel taak van IT op problemen met systemen in hun beheer op te vangen... helaas ook de PBCK dingetjes.
mashell
@Cio25 januari 2017 14:38
uiteindelijk de verantwoording van IT op diegene toegang tot het systeem te ontzeggen
Dat hangt er maar net vanaf. Normaal gesproken is IT een ondersteunende stafdienst. Daar horen disciplinaire zaken niet thuis. In zo'n geval zou een goede directie ook disciplinaire maatregelen bij IT moeten nemen.
Cio
@mashell25 januari 2017 15:16
Beetje slecht geformuleerd van mijn kant. Een account blokkeren is in mijn voorbeeld geen disciplinaire maatregel, maar een oplossing voor een beveiligingsprobleem: IT concludeert dat een account gecompromitteerd is en blokkeert de betreffende account. Meestal mag een gebruiker bij gevoelige systemen maar één account hebben, dus dat resulteert in een feitelijke blokkade van de gebruiker.

Ik snap wel dat het (in veel situaties) onrealistisch is wat ik voorstel, maar wat mij betreft... with great power comes great responsibility ;)
jsnl
@Cio26 januari 2017 12:27
Waarom niet een beleid uitvoeren waarbij regelmatige kontrole op post-it briefjes, vertrouwelijke documenten etc.
Werk in beveiliging, bij een overheidsbedrijf hadden we al jaren geleden deze kontroles, ook o.a. open kasten, open buro's, rondslingerende badges etc.
Verantwoordelijke leidinggevende bleef terplaatse totdat kontrole voltooid was en besliste wat er moest gebeuren met vertrouwelijke documenten, sleutels, badges.
Betrokkene personeelsleden konden zich 's-morgens melden voor hun spullen.
10 feet high
@Rik.25 januari 2017 14:47
Schuldigen zoeken/aanwijzen mag je zelf doen. Maar in dit geval is het wel degelijk de verantwoordelijkheid van een IT-afdeling om dit soort moeilijkheden op voorhand in te schatten en de kans op problemen te minimaliseren. En als dat nog niet genoeg is, is het ook nog eens hun verantwoordelijkheid om te zorgen voor een gebruiksvriendelijk systeem. Niet zomaar gebruiksvriendelijk in een omgeving waarbij computers de draaischijf van het werk vormen, maar in een zorgomgeving.

Vaak zie je toch wel degelijk dat er meer datalekken en vergelijkbare veiligheidsproblemen zijn bij een IT-systeem dat minder gebruiksvriendelijk is (zoals ziekenhuizen waarbij medewerkers tot over een dozijn paswoorden moeten gebruiken) en waarbij de paswoordsystemen ingewikkelder worden.

Met huissleutels of eender welke thuissituatie heeft dit natuurlijk niks te maken.
hhoekstra
@Rik.25 januari 2017 14:57
Wij gebruiken hiervoor een sso oplossing zodat gebruikers nog maar 1 wachtwoord hoeven te onthouden. Daartegen zijn we wel strenger geworden met het wachtwoord reset beleid. Persoonlijk langs komen en niet meer via via..
stresstak
@Cio25 januari 2017 15:45
Nou, zullen we eerlijk zijn en zeggen dat zo'n fout niet op één plek in de keten ontstaat?
Zullen we ook eerlijk zijn over de verantwoordelijkheid die bestuurders wel willen nemen als er bonussen worden uitgedeeld maar niet als er ellende op hun bordje ligt. ?
Ontsla er inderdaad maar een of meer. Als signaal naar de wereld dat er voortaan beter opgelet moet worden.
zovty
@Dorus1225 januari 2017 15:11
Whut? Want bestuurders kiezen voor een 200 Mb limiet?

Als er anno 2017 nog een 200Mb liemit op mai lstaat dan is de verantwoordelijke ICTer niet inst staat te communiceren naar zijn leidinggevenden hoe volstrekt achterhaald en achterlijk zo'n beleid is. En dus een ongeschikt ICTer.

Lekker makkelijk om altijd alles maar op mgmt af te schuiven, en ook nog eens verweiten dat ze van toeten nog blazen weten. Het is juiste de taak van ICTers om die mensen de educeren.
Dorus12
@zovty25 januari 2017 15:18
De hoeveelheid aannames in je schrijven die niet in het artikel en mijn reactie staan zijn schrikbarend.
Lees het nog eens!
Luco
@Dorus1225 januari 2017 17:28
Deze laptop stond uit zicht en was met een veiligheidskabel vastgemaakt. De kabel is doorgeknipt. Wat had men nog meer moeten doen om diefstal te voorkomen?
MaD_co
@jerkitout25 januari 2017 12:10
Tijd dat er mee gebruik gemaakt gaat worden van Two-factor authentication.

usb-key + simpel password bijvoorbeeld,
Raak je de key kwijt, geen probleem, daar kunnen ze toch niks mee,
en de gebruiker kan gebruik maken van makkelijkere inlog gegevens.

In geval van diefstal van een laptop, zullen dus zowel een key als gebruikersnaam+wachtwoord gestolen moeten worden om bij* de gegevens te kunnen komen.

*tenzij er lokaal gegevens staan opgeslagen zonder encryptie o.i.d.
Dorus12
@jerkitout • 25 januari 2017 12:02

De enige manier om te voorkomen van dit soort zaken is ontslag van een van de bestuurders.
En zonder afscheid bonus / oprot premie.
Iedere keer weer 'n bestuurder ontslaan indien er patiënten gegevens gejat worden.
Misschien dat diezelfde bestuurders dan hun organisatie zorgvuldiger gaan aansturen.
Want het versturen van een "sorry" brief naar alle betrokken patiënten is een lachertje.
helaas, (alle) diefstallen ga je er echt niet mee voorkomen.
-Je kan het personeel opvoeden beter op de veiligheid te letten,
-ICT optimaliseren dat het al lastiger wordt om bij gegevens te kunnen
-Diefstal minder makkelijk maken

Maar door mensen hiervoor te ontslaan, zal het waarschijnlijk alleen maar stil gehouden worden als er apparatuur/gegevens gestolen worden, en dat is iets wat je juist NIET wilt hebben

[Reactie gewijzigd door MaD_co op 25 januari 2017 12:13]

jerkitout
@MaD_co25 januari 2017 12:17
Werkt een USB ook over cisco remote desktop?
biglia
@MaD_co25 januari 2017 12:26
usb-key + simpel password bijvoorbeeld,
Ze kunnen het ook implementeren in hun badge waarmee ze momenteel al fysieke toegangsdeuren kunnen openen.
TheGhostInc
@MaD_co25 januari 2017 13:07
usb-key + simpel password bijvoorbeeld,
Raak je de key kwijt, geen probleem, daar kunnen ze toch niks mee,
en de gebruiker kan gebruik maken van makkelijkere inlog gegevens.
Een USB key?

Stel de gemiddelde verpleegkundige logt 10x? per dag in. Hoe vaal vergeet ze dat ding dan eruit te halen? Of pak zo'n auto oprol touwtje! Dan krijg je dat als de verpleegkundige wegrent naar iets belangrijks dat de pc gelanceerd wordt.
En dan hebben we het nog niet gehad over hoe onhygiënisch het is. En over hoeveel verschillende systemen er gebruikt worden die een eigen autorisatie systeem gebruiken.
(En dan gaan we nog voorbij aan alle politiek in een ziekenhuis)

Overigens is het niet acceptabel al die lekken, maar een 'simpele' oplossing is niet altijd mogelijk. Een groot deel van de IT afdelingen zijn al lang blij als alles blijft draaien.
SuBBaSS
@TheGhostInc25 januari 2017 14:40
Dan wordt het tijd dat ze leren er zorgvuldig mee om te gaan? Het is niet "iets erbij" maar is gewoon een belangrijk deel van hun werk. En het is niet iets waar je hogere wiskunde voor gestudeerd hoeft te hebben..
Als ze bijv. met een pasje toegang tot het pand krijgen en deze 2x per week vergeten worden ze er zelf (en de beveiliging) snel genoeg flauw van.

Hygiene zou natuurlijk geen probleem in een ziekenhuis moeten zijn. Zet bij elke balie een dispenser met desinfecterende meuk (als dat nu al niet overal gebeurd).

Dat er niet altijd een simpele oplossing is klopt. Verhoogde beveiliging gaat altijd ten koste van gebruiksgemak en gebruikers steunen en zuchten nu al als er weer eens een wachtwoord gewijzigd moet worden.
Ze leren het maar!

- Als nodig: pas security policy aan. Zorg dat het bekend is bij alle gebruikers.
- Voer audits uit en spreek medewerkers erop aan. Briefjes op/onder toetsenbord: een doodzonde!
- Na x periode: laakbaar gedrag? Boete/berisping oid.

Lijkt me duidelijk dat in deze tijd van datalekken/hacks ed. niemand meer aan hoeft te komen met "ik heb geen zin om elke maand een nieuw wachtwoord in te stellen".
Da's gebruikers verantwoordelijkheid en het wordt tijd dat de gebruiker beseft dat data-beveiliging alleen werkt als iedereen zich aan de afspraken houdt.
zovty
@TheGhostInc25 januari 2017 15:14
Ja, en wat als een verpleegster vergeet de medicijnen te geven, en wat als ze moet rennen met een schaar?
Blokker_1999
@MaD_co25 januari 2017 12:30
En dan heb je meerdere mensen die op het systeem moeten kunnen en licht de key gewoon in het bovenste schuifje met een sticker op de laptop om mensen eraan te herinneren.
MaD_co
@Blokker_199925 januari 2017 12:37
jerkitout
@MaD_co • 25 januari 2017 12:17

Werkt een USB ook over cisco remote desktop?
Weet niet of het out of the box werkt, maar vast wel zo te maken.
biglia
@MaD_co • 25 januari 2017 12:26

Ze kunnen het ook implementeren in hun badge waarmee ze momenteel al fysieke toegangsdeuren kunnen openen.
Dacht ik ook aan, maar dan moeten alle apparatuur voorzien worden van RFID(?) scanners
Blokker_1999

@MaD_co • 25 januari 2017 12:30
En dan heb je meerdere mensen die op het systeem moeten kunnen en licht de key gewoon in het bovenste schuifje met een sticker op de laptop om mensen eraan te herinneren.
Nee hoor, de key's moeten persoonlijk verstrekt worden.
Mocht er een gestolen/kwijt raken dan moet de eigenaar zowiezo een nieuwe hebben om te kunnen werken, en kan de oude geblokkeerd worden.
Anders zou het idd weinig nut hebben ;)

[Reactie gewijzigd door MaD_co op 25 januari 2017 12:38]

ArcticLight
@jerkitout25 januari 2017 12:11
Die 200MB voor email is echt bizar! Wat kost opslagruimte nou nog tegenwoordig?
Reloader
@ArcticLight25 januari 2017 12:20
wat kost veilige en redundante opslag nou tegenwoordig :+
zovty
@Reloader25 januari 2017 15:18
90 euro per jaar voor onbeperkte opslag.
bytemaster460
@ArcticLight25 januari 2017 12:22
Dat heeft niet (alleen) met kosten te maken, maar het is ook een middel om te voorkomen dat medewerkers geen hele medische archieven in de mail gaan aanleggen waar dan alleen de medewerker zelf toegang tot heeft. Men wordt hiermee gedwongen om relevante gegevens niet in de mail te laten staan maar op te slaan op een fileserver, EPD of DMS.
jerkitout
@bytemaster46025 januari 2017 14:30
Zou er ook een reden zijn waarom ze haar een laptop met een resolutie van 720p geven, en de cisco remote draait op 1080p, maar er is geen scroll bar of zoiets dus halve de scherm kan je gewoon niet zien? Ik heb zelf er mij gepuzzeld maar kon niet de resolutie veranderen (geen rechten op de remote), en waar die scrollbar zit is mij ook een raadsel.

Ik wil er geloven dat ze weten wat ze doen, benefit of the doubt etc, maar volgens mij is het gewoon een zooitje. (Ik begrijp ook dat dit per gemeente anders is geregeld, dus ik wil niet zeggen dat het overal in Nederland zo erg is).

[Reactie gewijzigd door jerkitout op 25 januari 2017 14:33]

zovty
@bytemaster46025 januari 2017 15:15
waar dan alleen de medewerker zelf toegang tot heeft
Als informatie niet gedeeld word is het niet belangrijk.
bytemaster460
@zovty25 januari 2017 15:21
Je moest eens weten hoeveel privé-archieven de artsen erop na houden, terwijl dat eigenlijk allemaal ion het EPD moet zitten. Geen enkele arts heeft de discipline om alle relevante gegevens die hij op de mail krijgt netjes in het EPD of DMS te hangen.
zovty
@bytemaster46025 januari 2017 15:23
Jajong, boeien, je kan toch ook z'n mail doorzoeken als hij onder een tram komt. Als het maar ergens staat dan kan het teruggevonden worden.
De tijd van gestructureerde data is toch wel zo'n beetje voorbij. We leven nu in de tijd: sla maar op, we zoeken later wel uit hoe we het willen tonen.
bytemaster460
@zovty25 januari 2017 15:25
Nooit in een ziekenhuis gewerkt, blijkbaar...
zovty
@bytemaster46025 januari 2017 15:27
Oeps, nee, ik wist niet dat dat een vereiste was? Ik mag die zooi alleen betalen en als ze dan mijn gegevens kwijt dan mag ik blij zijn dat er niet meer gegevens kwijtgeraakt zijn.

Jaja.
MadEgg
@ArcticLight25 januari 2017 12:30
200MB is echt een enorme hoeveelheid tekst! Gevoelige gegevens zoals röntgenfoto's, dossiers en weet ik wat er allemaal voorbij kan komen zou sowieso niet in de e-mail moeten staan maar via een apart gereguleerd systeem moeten gaan. Het totaalplaatje moet kloppen, maar als de infrastructuur voldoende adequaat is zou 200MB voor e-mail echt voldoende moeten zijn om decennialang e-mails te verzamelen.
Rik.
@MadEgg25 januari 2017 13:57
Röntgenfoto's, dossiers etc... gaan vaak via een beveiligd mail systeem, waarbij het uiteindelijk alsnog in je mail uitkomt (Hierbij moet je wel een speciaal wachtwoord invoeren om je mail te kunnen lezen)
jerkitout
@Rik.25 januari 2017 14:37
Volgens mij zijn het allemaal PDFs. Als ik mijn moeder geloof (en doe ik ook), dan mag waar zij werkt geen medisch documenten digitaal versturen buiten de organisatie. Dat moet via de snail-mail! Dus printen -> mailen -> inscannen -> met de hand overtypen weer in de programma. :+

[Reactie gewijzigd door jerkitout op 25 januari 2017 14:39]

beefunit41
@jerkitout25 januari 2017 12:34
Dit zou niet echt een probleem mogen zijn wanneer je Keepass gebruikt, toch?
rvt1
@jerkitout25 januari 2017 12:59
Oh ja, en ze heeft maar 200mb email ruimte }:O Elke maand emails deleten om ruimte te maken,
heeft dit te maken dat de ICT admin in kwestie wilt voorkomen dat jan en alleman emails gaat rondsturen met attachments juist over patiënten terwijl er wellicht een systeem is om dit correct te delen met de juiste permissies?

...eerlijke vraag...
tweaknico
@jerkitout25 januari 2017 16:17
Iedereen in de zorg die bij gegevens mag heeft toch een Smartcard UZI pas?
Waarom is er geen authenticatie op basis van deze smartcard als 1e (of enige) factor..?
Dan is ww. rotatie ook een stuk minder snel noodzakelijk.

Voor verificatie is dan een link naar een live server nodig... dan is er gelijk een mogelijk heid om te zien waar het apparaat is... Maakt diefstal een stuk minder nuttig.
ArtGod
@jerkitout25 januari 2017 13:02
Sorry, maar dat is gewoon onacceptabel. Je kan niet vanwege gemak en snelheid alle beveiliging teniet laten doen, dat kan en mag gewoon niet.

Laptops met dit soort belangrijke persoonlijke gegeven moeten altijd versleuteld zijn, desnoods met een fysieke USB dongle.

Ik zeg een boete van 2% van de jaaromzet voor dit geintje.
Anoniem: 100047
@ArtGod25 januari 2017 13:20
Er zat een versleuteling op, het probleem zit 'm in dit geval weer eens tussen de monitor en het toetsenbord. Je kan verzinnen wat je wilt, maar gemakzucht wint het helaas altijd. De verklaring van het ziekenhuis zegt in dit geval genoeg. Het is een backup, maar moet in geval van nood snel gebruikt worden. Waarom moet er dan een briefje naast liggen met inloggegevens, waarom niet in een afgesloten lade of sleutelkastje desnoods? Dat is lastig, dus doen we gemakzuchtig.
Stammie82
@Anoniem: 10004725 januari 2017 14:47
Tussen stoelleuning en monitor bedoel je. Anders is het zo'n raar gezicht :)
Anoniem: 100047
@Stammie8225 januari 2017 18:01
Nope, in dit geval tussen de vingertjes en de oortjes. Daar tussenin zit het brein die ervoor kiest om de makkelijkste weg te nemen :)
M3E46
@ArtGod25 januari 2017 13:21
Maar 2% ? Dat is een grapje mag ik hopen.
2% is niks. Minimaal. 37%
ArtGod
@M3E4625 januari 2017 13:23
Ziekenhuizen hebben hoge omzetten (honderden miljoenen) maar maken weinig winst.
bytemaster460
@ArtGod25 januari 2017 15:19
Je hebt gelijk, maar in de praktijk is er een spanningsveld tussen de eisen voor een accreditatie en de bruikbaarheid in de dagelijkse praktijk. De IT-afdeling wordt verplicht aan een bepaalde ISO of NEN-norm te voldoen. Wat je dan vaak ziet is dat het voor de gebruiker niet meer werkbaar is, maar als het fout gaat kan de IT-afdeling zich beroepen om veiligheidsvoorzieningen conform hun kwaliteitssysteem en kan de verantwoordelijkheid volledig bij de gebruiker gelegd worden.
tweaknico
@bytemaster46025 januari 2017 17:27
UZI pas is toch een smartcard?
Smartcard authenticatie via online server van het ziekenhuis zelf?

Niet ingewikkeld sneller dan typen, zeker als er zoveel stress is dat een backdienst moet werken.
bytemaster460
@tweaknico25 januari 2017 19:22
Probleem is dat in dit geval die laptop opgetuigd is voor als de systemen niet bereikbaar zijn. Als het netwerk plat ligt, is er dus ook geen verificatie met de server mogelijk. Daarom hebben ze waarschijnlijk die lokale credentials aangemaakt.
tweaknico
@bytemaster46025 januari 2017 19:46
Als er geen stroom is in het ziekenhuis dan is er ook geen radiologie en is een backup laptop niet echt nodig...
Het netwerk van een ziekenhuis hoort m.i. toto de critieke infrastructuur die ook bij noodstroom moet blijven werken evenals een server voor afspraken etc.
bytemaster460
@tweaknico25 januari 2017 19:51
Is ook mijn mening, maar uit ervaring kan ik zeggen dat dat toch niet altijd op gaat. Zo kan ik me een flinke virusuitbraak herinneren, waardoor alle clients uitgeschakeld moesten worden. Radiologie is natuurlijk niet de enige discipline.
Niet alle systemen hebben ook een 24/7 support binnen een ziekenhuis. Dat kost dan een paar ton en dan kiest men liever voor een off line backupsysteem omdat de kans op een storing maar eens in de tien jaar reëel is. Uiteraard moet dat off line systeem dan wel beter beveiligd worden dan hier nu gebeurd is.
badboyqxy
@jerkitout25 januari 2017 13:07
Het geval bij veel ziekenhuizen

wordt er een lijst van de afspraken van 1 dag of week overgekopierd naar een calimiteiten computer.
Deze wordt gebruikelijk achter slot en grendel opgeslagen en kan alleen geopend worden in geval dat de calimiteiten procedure wordt gestart.

Blijkbaar hebben ze deze beveiliging in amsterdam niet goed uitgewerkt.

De calimiteiten computers worden bijv. gebruikt om patienten te kunnen bellen om aan te geven dat hun afspraak door reden x niet door kan gaan..

Voorbeeld hiervan: Het Jeroen Bosch Ziekenhuis moest in Oktober afgelopen jaar 1 hele dag dicht. Nadat door een menselijke fout, het netwerk niet meer na behoren communiceerde. Deze patienten moesten wel tijdig op de hoogte gebracht worden.
TweakOverflow
@jerkitout25 januari 2017 14:33
Dan is de ICT daar naar mijn idee slecht ingeregeld, er zijn een heleboel mooie oplossingen om SSO te implementeren in een organisatie!
CSB
@jerkitout25 januari 2017 18:15
De situatie die jij schetst is zeer herkenbaar maar zeer goed te verklaren: Geld.
De zorg krijgt nou eenmaal niet veel geld en dat gaat al zeker op voor ICT in de zorg. Dus als er gekort wordt op SSO en identitymanagement omdat een zorginstelling vaak ook verouderde systemen hebben die dat niet eens kunnen, dan is ook dat vaak een geldkwestie.

Daarnaast vind ik het inderdaad wel vreemd dat gebruikers in deze tijd nog te maken hebben met een mailbox quota van 200 MB. Storage is niet zo heel duur meer en al helemaal niet als je het uit de cloud pakt.
djiwie
@jerkitout25 januari 2017 18:20
Zoals ik het artikel lees is dit een laptop met een backup van belangrijke patiëntgegevens voor het geval het EPD niet beschikbaar is. Veel ziekenhuizen hebben dat, informatiebeveiliging is immers niet alleen toegang tot informatie beveiligen, maar ook waarborgen dat belangrijke informatie ten alle tijde beschikbaar is. En vaak wordt dat opgelost met een offline kopie van EPD etc.

Beetje jammer dat er wel netjes een kabel gebruikt was maar dat deze toch doorgeknipt kon worden, en dat de inloggegevens in de buurt lagen. Juist die twee hadden zo te lezen wel beter gescheiden mogen worden.
Anoniem: 100047
@djiwie25 januari 2017 20:20
Of ze hadden de kabel om de tafelpoot heen gelust :z |:(
SNAFU
@jerkitout25 januari 2017 21:10
200 MB? Wat een luxe!!! Ik heb 50 MB voor mn mailbox op de zaak. :X
Padje
@SNAFU26 januari 2017 05:32
50MB hier 50GB
AvanCade
@jerkitout25 januari 2017 22:03
Ik ben het niet eens met je dat je snapt dat er post-it's zijn met gebruikersnaam en wachtwoord. Als je een beetje verantwoordelijkheidsgevoel hebt, zowel voor je patient als het bedrijf waar je gelukkig mag werken, kun je best op zijn minst je gebruikersnaam onthouden of nadenken over een iets slimmere systematiek.

Zo zou je ervoor kunnen kiezen om je wachtwoord op te slaan op je telefoon die achter een code zit. En nee, het is niet optimaal maar het is wel al vele malen beter dan de gegevens bij elkaar te bewaren.

Daarnaast is dit een cultuur ding. De post-it's worden waarschijnlijk gedoogd. Dit moet niet kunnen. Binnen het bedrijf waar ik werk is dit echt uit den boze en er wordt ook opgelet. Door zowel leidinggevenden als directe collega's (wij kunnen potentieel ook met patiëntdata werken).
psyBSD
25 januari 2017 16:03
Er wordt hier door veel mensen hoog van de toren geblazen dat er weer fout op fout gemaakt is en weet ik het allemaal niet meer. En ik moet zeggen dat mijn eerste reactie ook was: "ow kut... alweer?!"

Maar als we een stapje terug nemen en de feiten op een rij zetten.

1) De laptop lag uit het zicht, vergrendeld aan een kabelslot. Op het gebied van fysieke beveiliging kan je niet veel meer doen behalve ervoor zorgen dat er geen laptop is. En dat is geen optie, er moet wel gewerkt worden.

2) Er lag een blaadje met inloggegevens bij de laptop. Dat is niet handig, maar zonder meer details over waar die laptop echt voor gebruikt wordt kunnen we daar geen waardeoordeel over vellen. Misschien is die laptop bedoelt om een uniek stukje (semi-antieke) software te draaien die nergens anders gebruikt wordt. (bijvoorbeeld om met een medisch aparaat te interfacen dat men onderweg meeneemt) Is het ding nooit bedoelt geweest om vertrouwelijke gegevens op op te slaan maar was een van de gebruikers zich daar niet van bewust.

3) Het lek heeft plaatsgevonden in januari 2017, het is nog steeds januari 2017 en alle betrokkenen zijn geinformeerd.

Ik kan op basis van het artikel maar 1 conclusie trekken: De wetgeving werkt en het ziekenhuis heeft pro-actief zijn verantwoordelijkheid genomen. In zeer korte tijd (want minder dan 4 weken) is er een impact-analyse uitgevoerd en zijn alle betrokkenen en de autoriteiten geinformeerd. Ja, er worden fouten gemaakt, we zijn allemaal mensen. Maar de manier waarop je omgaat met je fouten, daar zie je het verschil tussen de mannen en de jongens.

Ik kan betreuren dat er informatie is gelekt, maar de manier waarop dit is aangepakt mag in mijn ogen als voorbeeld dienen voor vele organisaties die met vertrouwelijke gegevens omgaan.
MartijnMartijn
25 januari 2017 11:57
Op deze manier kan je net zo goed geen inloggegevens gebruiken.. wat een stomme fout. Zeker met zulke gegevens. Je zou zeggen dat een ziekenhuis wel beter weet.
Aial0n
@MartijnMartijn25 januari 2017 12:06
Zoals elders al genoemd zijn ziekenhuissystemen soms erg onhandig/langzaam. Als een dokter een keuze moet maken tussen een gezondheidsrisico door te weinig data en een pricavyrisico door te veel data, zal hij niet vaak voor het 1e kiezen.
flabber
@Aial0n25 januari 2017 12:20
Maar in dit geval gaat het niet om gezondheidsrisico's:
... adresgegevens te vinden
... afspraken van patiënten
... geen uitslagen
... alleen om gegevens opgeslagen in de eerste week van januari.
Als je werk als arts opeens risico vol wordt als je niet weet waar iemand woont of wanneer deze een afspraak heeft, dan ben je ongeschikt.
Er staan geen uitslagen op en enkel data van een week, dus je gaat aan de slag zonder voorgeschiedenis aan data. Dat lijkt me nog veel meer risicovol.
The Realone
@Aial0n25 januari 2017 12:24
Dit is ook niet iets wat je een dokter aan kunt rekenen, maar de verantwoordelijken van de IT security. Zij dienen met een beveiliging te komen die afgedwongen wordt, maar waarbij het welk in de praktijk werkbaar blijft. Dit is altijd een moeilijk iets, want het makkelijkste is een wereld waarin alles wagenwijd open staat zonder wachtwoorden en het veiligste is het dusdanig dicht te timmeren dat je het beeldscherm nog niet aan kunt zetten.

Er worden mensen betaald om daarin de gulden middenweg te zoeken en om die middenweg dan ook af te dwingen bij gebruikers. Dat is niet altijd even makkelijk en daar wordt hier in de comments vaak ook erg makkelijk over gedacht, maar is wel essentieel.
metalmania_666
@Aial0n25 januari 2017 12:24
Totdat hij een keer een echte boete krijgt van de AP.

Er staat duidelijk in de Wbp dat dit niet is toegestaan
ArtGod
@Aial0n25 januari 2017 13:04
Dan moet de wetgever hem maar op andere gedachten brengen met een berg aan bureaucratische regels die dit verbieden.

Ik hoor vaak dat zorgverleners roepen dat er teveel regeltjes zijn, maar dit geval doet mij juist denken dat er te weinig zijn! Of dat ze de regels die er wel zijn gewoon naast zich neer leggen.

[Reactie gewijzigd door ArtGod op 25 januari 2017 13:26]

Distrax1988
25 januari 2017 12:05
'Ooh wat goed dat het gemeld is...'' nee dit is een verplichting geworden sinds januari 2016 zo niet dan zijn er hoge boetes (en zelfs winst beperkingen) als gevolg.

Ik vindt dat er naast het meldt plicht ook een security plicht in het leven moet worden geroepen en al helemaal voor overheids instanties. (met onder andere audits op de werkvloer)
met dezelfde sancties als het niet melden van een datalek.
Level 1: Inlog
Level 2: Bitlocker + Inlog
Level 3: Bitlocker + two way authentication.
etc
etc

[Reactie gewijzigd door Distrax1988 op 25 januari 2017 12:07]

thijsguelen22
@Distrax198825 januari 2017 12:11
Dan zijn de mensen nog steeds de zwakste schakel. Als de inloggegevens niet langs die laptop gelegen hadden, was dit al voorkomen. Maar helaas is het standaard bij dit soort bedrijven om wachtwoorden na 3-4 maanden te laten verlopen. Dus dan worden de sticky notes en notities in agenda's toch al gauw gemaakt.
flabber
@thijsguelen2225 januari 2017 12:23
Het gaat volgens het ziekenhuis om een fall-back voor als het EPD niet te benaderen is.
Het EPD bevat patienten-data waardoor er met individuele accounts wordt gewerkt.
(Althans, dat zou wel zo moeten zijn..)
Waarom zou je dan bij een fall-back in eens allemaal dezelfde rechten krijgen met inlog gegevens die erbij in de buurt lagen.

Patienten-data blijft patienten-data, ongeacht of het in een EPD zit of op een laptop staat.
De beveiliging ervan moet gebaseerd zijn op de data, niet op het device waar ze toevallig op aanwezig zijn.
Daniel_Elessar
@thijsguelen2225 januari 2017 12:21
Of op white boards achter de professor, iedereen die een beetje oplet kan dan zo in zijn systeem.

Dit is inderdaad een groot probleem en je zou zeggen dat je tegenwoordig toch goede oplossingen hebt? Helaas zijn veel van de systemen die gebruikt worden niet gekoppeld en moet je meerdere keren inloggen voordat je iets kunt doen.
Distrax1988
@thijsguelen2225 januari 2017 23:27
Klopt, security moet een brug zijn naar je systeem en lees een werkbaar systeem.
Bitlocker was hierin een voorbeeld maar sancties een regel, als m'n manager een post-it ziet op mijn scherm met wachtwoorden moet dit niet getolereerd worden, net zoals je pincode op je pasje schrijven.
m.z
25 januari 2017 12:04
Zo vraag ze je voor "toestemmingsverklaringen", maar kunnen wel gegeven meenemen op de (werk)notebook. Waarom word hier niet een overeenkomst over gemaakt?

Vindt niet kunnen dat deze organisatie niet VM gebruiken, maar lokaal gebruik maken. (zoals bergijp uit dit en vorig incident.)

nieuws: Ziekenhuis meldt datalek na diefstal privélaptop met patiëntgegevens

Achja, offtopic: het zou schijnbaar hun een zorg zijn :/ Leuk dat ze een melding doen van gestolen laptop met die gegevens, maar hoe veilig waren deze daarvoor al?
1. was deze notebook voorzien van een beveiligd account?
2. Was deze beveiligd met virusbeveliging of firewall (oké staat deze standaard aan, maar alsnog)?
3. Gaat dit om een medewerkersnotebook (meestal veiliger/beleid) of nogmaals om privénotebook met andermans privégegevens?

[Reactie gewijzigd door m.z op 25 januari 2017 12:15]

Senaxx
@m.z25 januari 2017 13:05
Bij Isala wordt er ook gebruik gemaakt van een toestemmingsverklaring. Elke data aanlevering wordt hier aan getoetst.

Ook bij elke data aanlevering (i.v.m. wettelijke verplichting) worden patiënt nummers, BSN nummers, opname nummers versleuteld. Ook worden leeftijden in leeftijdsgroepen ingedeeld, en bij postcodes worden de letters er van verwijderd. (en uiteraard geen straat + nummer).
Dit om er voor te zorgen dat geen enkele regel te herleiden is naar een unieke patiënt of opname, maar wel gebruikt kan worden voor analyse doeleinden. Of verantwoording naar verzekeringen toe bijvoorbeeld.

Wat er mis is gegaan bij de datalek vorig jaar is dat de betreffende stagiair een kleine dataset van het interne rapportage systeem op zijn privé laptop heeft gezet. Door bijvoorbeeld vanuit Cognos een export te maken naar Excel en deze zichzelf toe gemaild. En vanuit huis je werk email benaderen via webmail. Ik weet niet hoe dat exact gegaan is maar dit is een optie.

Waar het in dit geval fout is gegaan is dat de persoon deze gegevens op zijn eigen laptop heeft gezet (wat strikt verboden is). Deze privé laptop is vervolgens bij hem thuis gestolen. Wel was deze laptop beveiligd met een wachtwoord.

En de diefstal is ook niet gedaan vanwege de gegevens die er op stonden, maar collateral damage. (wat het niet minder erg maakt). Deze dataset had nooit op zijn laptop mogen staan.

Deze gegevens zijn binnen Isala goed beveiligd, (patientgegevens staan nooit op de clients, bitlocker encrypte domme clients, inlog via badge, tweede laag van gebruikers rollen authenticatie in het rapportage systeem) maar waar niet tegen te beveiligen is dat gebruikers de regels niet hanteren.

De zwakste schakel zit in dit geval bij de gebruiker en niet bij de techniek. Als een rechtmatige gebruiker toegang heeft tot de data, maar er niet goed mee om gaat kan je er nog zoveel beveiliging op zetten maar het gaat niet helpen.

De enige manier hoe dit voorkomen had kunnen worden is doordat de gebruiker niet die gegevens op zijn laptop had kunnen zetten. Hij had rechtmatig toegang tot deze gegevens omdat hij deze nodig had voor zijn functie.

[Reactie gewijzigd door Senaxx op 25 januari 2017 13:14]

m.z
@Senaxx25 januari 2017 13:49
Bedankt voor de uitgebreide info. Had misschien misvat, over hoe deze gegevens/data beveiligd is. Inderdaad het is wel vervelend voor client en deels van de zorgverlener.

Had ook wel vermoeden, dat grotendeels organisatie (beleid)regels laks en/of niet worden gevolgd. Hierbij is dan inderdaad de eindgebruiker/zorgverlener de zwakkere schakel. Terwijl clienten wel deels de ''dupe'' zijn, van dit incident.
Falcon10
25 januari 2017 12:10
Ach, heel dat paswoord postit gedoe is toch poepsimpel op te lossen met een badgelezer op de laptop/PC ?
Een deel laptops heeft reeds standaard een elektronisch paspoort lezer aan boord, of je koopt een extern toetsenbord waar er 1 inzit, of gewoon enkel een lezer op USB.

Kan je het koppelen aan paspoorten, of elektronische badges, die bv ook dienen voor deuren open/toe te laten gaan.
Probleem is ( net zoals waar ik werk ) : moneyyyyyyyy.
Want "weet je wel wat dat kost ?"

Dus gaan we maar verder met de zogenoemde security, door postitjes met de paswoorden rondom de PCs te laten plakken.
rhk22463
@Falcon1025 januari 2017 13:00
Geld is altijd de reden dat dit soort verbeteracties nooit opgestart of zelfs maar aangekaart worden. Het hogere management kijkt alleen naar cijfertjes dus als IT afdeling moet je een goede business case hebben om budget te krijgen voor deze noodzakelijke aanpassingen: het is geen IT probleem maar IT'ers vinden het vaak wel "hun" probleem. Mensen moeten daarom leren om overal gelijk een "vertaling" te maken naar geld en zo de bobo's voor te rekenen wat het hun organisatie kost als dit gebeurt. In een amerikaanse cultuur waar patienten gelijk een rechtzaak aanspannen en miljoenen kunnen eisen is het weliswaar sneller rendabel om geld vrij te maken maar ook hier in Nederland moet je overal een prijskaartje aan hangen en het probleem op de juiste plek in de organisatie aankaarten. De aanhouder wint, het is nooit makkelijk maar het is niet onmogelijk om (met kleine stapjes) verbeteringen in te voeren.
Distrax1988
@rhk2246325 januari 2017 23:31
Dat is waar vwbt het geld issue, juist dit soort berichten kan ervoor zorgen dat er actie zal worden ondernomen.

Ik ben zelf werkzaam bij een bedrijf dat benoemd is bij de Panama papers, hierna is er pas budget vrijgemaakt en compliancy in de aandacht gekomen, kalf vedronken en de put idee.
Joen
@Falcon1025 januari 2017 12:31
Probleem is ( net zoals waar ik werk ) : moneyyyyyyyy.
Want "weet je wel wat dat kost ?"
En ik denk dat mijn reactie dan zou zijjn: "En weet je wel hoeveel kosten het kan voorkomen?" :P
Managers kijken nooit langer dan hun neus lang is en denken alleen maar aan de financiële gevolgen op korte termijn.
Anoniem: 287804
@Joen25 januari 2017 12:39
Erger nog: Een manager eist (terecht) meer veiligheid op iPhone en mobiele apparatuur - en schiet acuut in de stress als ik een usb-stick met beveiliging aflever:

'Ja maar, dat wil ik niet onthouden hoor'.

Zijn usb-poorten staan nu dicht totdat hij door heeft hoe het werkt. }:O
stresstak
@Anoniem: 28780425 januari 2017 16:12
'Ja maar, dat wil ik niet onthouden hoor'.
Mogen we dat citeren in zijn eerstvolgende evaluatie /functioneringsgesprek.?
Blokker_1999
@Falcon1025 januari 2017 12:34
Duurt te lang. Je moet je smartcard bovenhalen, in de kaartlezer steken, wachten op authenticatie, terug verwijderen en wegsteken. Dat zijn te veel stappen die te veel kostbare tijd in beslag nemen. Om nog te zwijgen over het feit dat je voor dit soort eenvoudige fallbacks graag ook weer 1 enkel gebruikersaccount hebt om rechten issues te voorkomen.
bytemaster460
@Blokker_199925 januari 2017 15:45
Ziekenhuispersoneel dient de smartcard altijd zichtbaar te dragen, dus zoveel moeite is dat niet. Tenminste, als toegangspas en personeelspas één pasje is.
10 feet high
@Falcon1025 januari 2017 15:51
Het gaat hier om een zorginstelling. Denk je nu echt dat die geen ervaring hebben met kaartlezers en badges?

Het probleem zit hem echter meestal niet bij de gewone werkstations en zaken die aan de lopende band gebruikt worden, maar bij de systemen die op een of andere manier voor backup moeten zorgen, weinig gebruikt worden, oudere software gebruiken of hoedanook niet compatibel zijn om op het standaardnetwerk aan te sluiten. En dan gaat het er niet om dat het ziekenhuis een paar duizend kaartlezers extra moet kopen, maar vooral operationeel moet blijven.

Dus neen, in het ziekenhuis is het probleem meestal niet dat iets een financiële impact heeft, maar dat je als organisatie in 100% van de gevallen patiëntgericht moet kunnen werken, niet in 99% van de gevallen.
Roy23
25 januari 2017 12:08
Geweldig hoe de discussie zich hier altijd concentreert op de persoon of organisatie van wie de laptop gestolen is. De discussie begint daar waar de login gegevens voor het grijpen liggen of dat de laptop niet achter slot en grendel lag. Het lijkt wel helemaal normaal geworden dat wanneer iets niet aan een ketting ligt je het gewoon mee mag nemen. "Eigen schuld van het ziekenhuis. Hadden ze het maar beter moeten beveiligen!"

Uiteraard ben ik het er mee eens dat je dit zo veel mogelijk moet zien te voorkomen, en er zijn mogelijkheden om login gegevens op een post-it te voorkomen. Maar laten we a.u.b. beginnen bij het begin; blijf van andermans spullen af!
flabber
@Roy2325 januari 2017 12:14
... Het lijkt wel helemaal normaal geworden dat wanneer iets niet aan een ketting ligt je het gewoon mee mag nemen.
Eh, het lag wel aan de ketting:
" ...
De laptop stond uit het zicht en was bevestigd met een beveiligingskabel, die is doorgeknipt.
... "
enigmafan
@flabber25 januari 2017 12:24
[...]
Eh, het lag wel aan de ketting:
Roy23's betoog was dat, zelfs als het niet aan de ketting had gelegen, men er toch met z'n poten af had moeten blijven. Een gedachte waar ik ook achter sta, maar helaas zijn er veel mensen die daar lak aan hebben.
The Realone
@Roy2325 januari 2017 12:16
Het punt is dat we allemaal wel snappen dat diefstal not-done is en dat dit collectief veroordeeld wordt. Maar we weten ook allemaal dat dit aan de orde van de dag is en dat er nog steeds erg laks gedaan wordt over beveiliging, zo ook weer hier, het zoveelste geval.

Het feit dat iets gestolen wordt is niet per definitie altijd de schuld van de betreffende organisatie, maar het feit dat door die diefstal gegevens op straat komen liggen is dat wel degelijk, want dat had gewoon voorkomen moeten en kunnen worden.

Laten we, zoals dat hoort op een techsite, a.u.b. beginnen bij het begin; als je weet dat diefstal veelvuldig voor komt, zorg er in hemelsnaam voor dat andersmans gegevens daardoor niet op straat komen liggen!
rhk22463
@Roy2325 januari 2017 12:31
Dat is inderdaad het grootste probleem dat men niet met zijn/haar tengels van andermans spullen kan afblijven. Zorg dat er geen onbevoegden bij kunnen want hele generaties heropvoeden wat normen en waarden zijn lukt duidelijk niet in onze maatschappij die bol staat van respectloos en schofterig gedrag.

Organisaties weten dat ook en dan is het wel zaak om te zorgen dat het die grijpgrage vingertjes zo moeilijk mogelijk gemaakt is. Het verbaast mij iedere keer weer hoeveel organisaties maar aan zitten te klungelen met tig verschillende applicaties met hun eigen security-policy (of gebrek daaraan) waar de gebruiker gillend gek van zal worden. Maak het gebruikers wat makkelijker met goede persoonsgebonden authenticatie (single signon als dat kan) en je hebt niet meer die plakkertjes met wachtwoorden die overal hangen. In dit geval is er blijkbaar een uitwijk nodig die decentraal werkt en tja... die is nu gejat. Knullig opgezet maar het lijkt mij wel eenvoudig te verbeteren en ja ik weet het : dat kost inderdaad tijd en geld. Beter is om alle losse applicaties te vervangen door een geintegreerd systeem met disaster recovery en een goede backup strategie maar gezien de ervaring met dit soort projecten bij dit soort organisaties zie ik dat niet snel een succes worden.

[Reactie gewijzigd door rhk22463 op 25 januari 2017 12:50]

SSDtje
25 januari 2017 12:07
Misschien handig voor ze, een laptop met fingeafdruk scanner, of gezichtsherkenning, of beiden natuurlijk.
Kan aan mij liggen.
Ik bedoel, stop alle vingers van de heren en dames die de laptop mogen gebruiken er in, en hetzelfde geld voor hun gezichten.

Zo moeilijk hoeft dat toch niet te zijn.
Blokker_1999
@SSDtje25 januari 2017 12:32
Maar die kan je niet allemaal aan hetzelfde gebruikersaccount koppellen, krijg je weer rechten issues.
MadEgg
@SSDtje25 januari 2017 12:33
Daar zou op zijn minst een "smartcard" aan toegevoegd moeten zijn. Vingerafdrukken / gezichtsherkenning is een vervanging van je gebruikersnaam, niet van je wachtwoord.

Lopen de meeste werknemers in een ziekenhuis niet sowieso al met een pasje aan hun vestzakje? Of is dat alleen voor de koffieautomaat :X
SSDtje
@MadEgg25 januari 2017 13:11
Goeie van je, dat is ook zo.
Het is ter vervanging van je gebruikersnaam inderdaad, stom van me :z
Dat idee van een smartcard van je, is dan een betere optie.
Al is het dan wel weer zo, dat als er één ze'n pasje kwijt is, het ook niet meer veilig is te noemen.
Maar goed, zo is niks veilig meer te noemen natuurlijk.
En zo kunnen we dan nog wel even doorgaan.

Hoe dan ook, beter iets dan niets :Y)
biglia
25 januari 2017 12:31
Op de gestolen laptop zijn adresgegevens te vinden, naast afspraken van patiënten op de afdelingen radiologie en nucleaire geneeskunde.
Voor een buitenstaander lijkt een ziekenhuis als 1 "bedrijf". Maar vaak werken die afdelingen als eilanden. Sommige afdelingen huren gewoon een ruimte in een ziekenhuis. Indien ze dan de algemene IT dienst van het ziekenhuis nodig hebben, dan worden de kosten gewoon gefactureerd aan die afdeling. Dat maakt het allemaal bijzonder lastig.
[Remmes]
25 januari 2017 12:51
Dan heb je een beveiligd systeem, laat je de inloggegevens lekker rondslingeren.... om te janken eigenlijk.

Het is jammer dat bedrijven/instellingen zo slecht om kunnen gaan met gegevens van anderen.Ben ook beniewd waar die laptop precies stond (meer dan "uit het zicht", en of er videobewaking is.
bytemaster460
@[Remmes]25 januari 2017 15:49
Je kunt als IT-afdeling de beveiliging perfect voor elkaar hebben, maar als je dan afdwingt dat gebruikers iedere 4 weken hun wachtwoord moeten wijzigen en daarbij moeten voldoen aan minimaal 8 tekens, minimaal 1 cijfer, minimaal 1 leesteken, minimaal 1 letter en minimaal 1 hoofdletter en de eerste vier tekens mogen niet overeenkomen met de eerste vier van het vorige wachtwoord, dan lok je het post-it gebruik ook wel enigszins uit.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee