VUmc-ziekenhuis meldt datalek door gestolen usb-stick met patiëntgegevens

Het Amsterdamse VU medisch centrum heeft bekendgemaakt dat eerder deze maand een usb-stick is gestolen met daarop patiëntgegevens. Het gaat om gegevens van in totaal bijna 2000 personen. De gegevens bevatten onder andere informatie over 'bij het ziekenhuis uitgevoerde handelingen'.

Lek beveiliging privacyIn een mededeling op zijn website schrijft het ziekenhuis dat het gaat om identificerende gegevens en laboratoriumdata. Deze waren door een verkeerde instelling van apparatuur tijdens onderhoud op de usb-drive van een medewerker van Roche Diagnostics terechtgekomen. Dit was niet de bedoeling, aldus het ziekenhuis. De usb-drive is vervolgens van een medewerker van het diagnostiekbedrijf gestolen.

Naar aanleiding van het datalek heeft het VUmc melding gemaakt bij de politie en bij de Autoriteit Persoonsgegevens. Bovendien zijn er met het bedrijf 'verscherpte protocollen' afgesproken om gegevensverlies te voorkomen. De getroffen patiënten hebben volgens het ziekenhuis een brief ontvangen.

Dit jaar en vorig jaar meldden ziekenhuizen eerder datalekken, in beide gevallen door een gestolen laptop met daarop patiëntgegevens. De Autoriteit Persoonsgegevens maakte in november bekend dat ziekenhuizen in 2016 verantwoordelijk waren voor 304 meldingen van in totaal 4700 datalekken. Sinds januari 2016 is het verplicht om datalekken te melden.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 26-05-2017 17:33 156

26-05-2017 • 17:33

156

Lees meer

Amsterdams ziekenhuis gaf veel te ruime toegang tot digitale patiëntendossiers
Amsterdams ziekenhuis gaf veel te ruime toegang tot digitale patiëntendossiers Nieuws van 15 februari 2019
Radboud-ziekenhuis Nijmegen sluit spoedeisende hulp vanwege ict-storing - update
Radboud-ziekenhuis Nijmegen sluit spoedeisende hulp vanwege ict-storing - update Nieuws van 26 januari 2018
Nederlandse zorginstellingen starten gedeeld cert voor beveiligingsincidenten
Nederlandse zorginstellingen starten gedeeld cert voor beveiligingsincidenten Nieuws van 24 januari 2018
Gegevens 20.000 autokopers waren in te zien door lek bij kredietverstrekker
Gegevens 20.000 autokopers waren in te zien door lek bij kredietverstrekker Nieuws van 29 augustus 2017
Crimineel eist losgeld na onderscheppen wachtwoorden Belgische patiënten
Crimineel eist losgeld na onderscheppen wachtwoorden Belgische patiënten Nieuws van 18 juli 2017
Onbeveiligde database gaf toegang tot gegevens van 198 miljoen kiezers in VS
Onbeveiligde database gaf toegang tot gegevens van 198 miljoen kiezers in VS Nieuws van 19 juni 2017
Gegevens 2385 patiënten AMC-ziekenhuis lagen op straat
Gegevens 2385 patiënten AMC-ziekenhuis lagen op straat Nieuws van 28 februari 2017
'Bij het EPD is de balans tussen privacy en medische efficiëntie doorgeschoten'
'Bij het EPD is de balans tussen privacy en medische efficiëntie doorgeschoten' Nieuws van 17 februari 2017
Ziekenhuis meldt datalek na diefstal van laptop met patiëntgegevens
Ziekenhuis meldt datalek na diefstal van laptop met patiëntgegevens Nieuws van 25 januari 2017
'Nederlandse ziekenhuizen meldden dit jaar 304 datalekken'
'Nederlandse ziekenhuizen meldden dit jaar 304 datalekken' Nieuws van 24 november 2016
Ziekenhuis meldt datalek na diefstal privélaptop met patiëntgegevens
Ziekenhuis meldt datalek na diefstal privélaptop met patiëntgegevens Nieuws van 6 oktober 2016
Belgisch bedrijf dicht lek dat toegang tot röntgenfoto's en patiëntgegevens gaf
Belgisch bedrijf dicht lek dat toegang tot röntgenfoto's en patiëntgegevens gaf Nieuws van 11 februari 2016
'Datalek ziekenhuizen gaf toegang tot gegevens 200.000 patiënten' - update
'Datalek ziekenhuizen gaf toegang tot gegevens 200.000 patiënten' - update Nieuws van 25 januari 2016
Meer producten en artikelen
Privacy Datalek

Reacties (156)

-Moderatie-faq
156
128
78
6
2
27
Wijzig sortering
The Wizard Moderator Mobile 26 mei 2017 21:11
Ik lees hier veel onzin. Het betreft een analyser van Roche waarbij de monteur zeer waarschijnlijk logfiles eraf heeft gehaald om deze te analyseren, standaard procedure bij (complexe) storingen. Waarschijnlijk is er iets mis gegaan met het exporteren waarbij patiënten​data mee is gekomen, je kan op verschillende manieren logfiles exporteren.

Updaten van de software van de analyser gebeurd ook gewoon via de USB poort door de monteur, uiteraard niet via remote aangezien je vaak ook hardwarematige aanpassingen moet uitvoeren en controles draaien.

Ook is in de meeste gevallen de klant geen eigenaar van de analyser maar worden deze geleased of via een andere constructie.
Idd draaien sommige pc's nog op Win XP, vergeet niet dat de gemiddelde analyser 10 tot 12 jaar mee gaat en in de meeste gevallen ontwikkeld is voor 1 bepaald besturingssysteem (en de bijbehorende drivers, software, etc). Alles moet in den treuren getest worden, je kan je niet veroorloven dat door een foutieve geplaatste byte een uitslag veranderd.

En nee, ik werk niet voor Roche, maar wel in deze branche.

Wat wordt er in een gemiddelde analyser opgeslagen? Intern labnummer, naam, geboortedatum en patiënt nummer en de bijbehorende uitslag. Waarom al deze gegevens? Als de koppeling eruit ligt, moet je een eenduidige identificatie hebben, en met alleen een patiënt nummer of labnummer heb je dat niet conform de opgestelde eisen volgens ISO 15189.
AiR60 @The Wizard26 mei 2017 22:51
Dat is wel een goede verklaring en geeft wel ander licht op de zaak...

Kan met ook niet voorstellen dat zo'n medewerker expres data op een usb stick zet...
Wim-Bart @The Wizard27 mei 2017 16:28
Maar hoe kan die stick het ziekenhuis dan verlaten met dr data er op. Bij ons komt er geen USB in of uit op de locaties want dan gaat de bodyscanner gelijk af.

[Reactie gewijzigd door Wim-Bart op 23 juli 2024 22:35]

The Wizard Moderator Mobile @Wim-Bart27 mei 2017 17:28
In een ziekenhuis? Kom zo'n beetje in elk ziekenhuis in Nederland en heb daar nog nooit een bodyscanner gezien, afgezien van een MRI of CT... 😋.
Wim-Bart @The Wizard27 mei 2017 20:20
Ik heb het niet over een ziekenhuis. Bij ons is het eenvoudiger handhaven omdat iedereen door ern scanner moet. In een ziekenhuis is het een andere zaak em moeilijker handhaven. Maar daarvoor kunnen devices wel voorzien worden van maatregelen zoals Devicelock.
kr4t0s @Wim-Bart28 mei 2017 20:01
Je overschat ziekenhuis beveiliging nogal. Ken een ziekenhuis kun je gewoon naar binnen (ICT is een apart gebouw, deur is open, zijn wel toegangsscanners maar die hangen daar voor nopes) gewoon naar boven lopen ICT-afdeling en op een flex plek gaan zitten. Waar thin clients aangesloten zitten in het beheerdersnetwerk.

[Reactie gewijzigd door kr4t0s op 23 juli 2024 22:35]

Wim-Bart @kr4t0s28 mei 2017 23:14
Wow. En niemand doet er wat aan?
Anoniem: 917165 27 mei 2017 02:14
Ik wil graag alle 'nee zeggers' en mensen die beweren dat wat ik zeg niet kan, de volgende vraag stellen.

Een MRI 2 uur plat leggen kan volgens deze mensen absoluut niet. Kennelijk wegen zij dus het 2 uur platleggen van een MRI (Die sowieso echt NEVER NOOIT NIET 24/7 draaien in NL) zwaarder dan het even kwijtraken van patientgegevens. Want dát kan dan wel?

Dit is wat er ZO vaak mis gaat in de IT in Nederland. Men kan wel overal de beren op de weg benoemen van wat de risico's zijn van iets WEL doen. Daar zijn we in Nederland heel goed in. Ja maar als we upgraden, dan <risico's>. Gemakshalve vergeet men de tweede helft van de analyse, namelijk wat er gebeurd als je iets NIET doet. Dat aspect wordt gewoon volledig overheen gekeken.

Dat kan ik ook wel uitleggen. Als iets fout gaat, en jij hebt er aan gezeten, dan is het jouw fout/jouw verantwoordelijkheid. Als er daarentegen iets fout gaat zonder dat je er aan hebt gezeten, kun je de bal van verantwoordelijkheid voor je uit schuiven. Dan lag het aan het beheer in het verleden, aan de manager die het niet wilde, aan de fabrikant van het apparaat, maar niet aan jou.

Dit even afgezien van het feit dat die hele discussie over die paar incidentele exoten in een ziekenhuis, helemaal niet relevant is. Want het gaat niet over MRI's of dat soort apparaten waar deze gegevens af komen. Die komen gewoon vanaf werkstations. Waarvan er een factor honderd meer zijn in een ziekenhuis, en ja, dat had makkelijk voorkomen worden.

[Reactie gewijzigd door Anoniem: 917165 op 23 juli 2024 22:35]

Annihlator 26 mei 2017 18:31
Ik snap niet hoe het feit dat de stick gestolen is indirect de doorslaggevende factor van het datalek wordt benoemd... eerste klas kudtsmoes om niet toe te geven dat het al een datalek was op het moment dat de stick beschreven werd...

We noemen een gaslek toch ook een lek noch voordat de boel ontploft?

Dit is niet heel erg anders als hoe ik zie dat de NSA schuldig zou zijn aan de wana infecties; de opportuniteit is door hen (al dan niet indirect) gecreeerd; dát is dus ook het lek.
SunnieNL @Annihlator26 mei 2017 21:45
Hoe weten ze dat die data op de stick staat als de data er per ongeluk op terecht gekomen is door een verkeerde procedure en daarna werd gejat?

En als ze wisten dat de data op de usb stick terecht is gekomen, waarom werd die niet direct gewist op dat moment?

Ik stel ook mijn vraagtekens bij het hele verhaal.
kr4t0s @Annihlator26 mei 2017 23:57
Omdat die stick in handen was van een toeleverancier, toen was het nog geen lek (wel heel dom!). Vermoed dat de medewerken gewoon de gegevens thuis wilde verder analyseren ipv op locatie (ook dom) en domste van alles laptop in de auto laten liggen. Ik laat de laptop nooit in de auto, zelfs niet met tanken of even naar supermarkt.

Denk dat het ongeveer als volgt gegaan is. Medewerker kopieert gegevens op stick om thuis of kantoor verder te werken omdat hij een rapport moet opleveren en dit niet afkrijgt op klantlocatie. Helaas wordt zijn laptoptas; laptop + usb stick gejat. Toen heeft Roche Diagnostics het moeten melden en met de billenbloot naar alle klanten moeten gaan. Omdat mochten deze gegevens op straat komen het terug te leiden is naar Roche. En dit tegenwoordig hier een gigaboete op staat als je het niet meldt (binnen 72 uur) + nog meer reputatieschade veroorzaakt.

[Reactie gewijzigd door kr4t0s op 23 juli 2024 22:35]

alt-92 @kr4t0s28 mei 2017 12:45
Omdat die stick in handen was van een toeleverancier, toen was het nog geen lek (wel heel dom!).
WBP & AM zeggen van wel, zelfs op dat moment al.
Er is immers een niet geautoriseerd persoon die toegang heeft tot data waar hij geen zak mee te maken heeft.
kr4t0s @alt-9228 mei 2017 19:55
Hij was wel geautoriseerd om met deze data om te gaan blijkbaar. Alleen op stick zetten mocht natuurlijk niet dus technisch heb je gelijk. Maar ja in de praktijk is dat lastig te controleren, als je een externe inhuurt ga je niet een eigen medewerker de gehele dag naast zetten. En het ziekenhuis kwam er natuurlijk pas achter toen Roche dit melde bij hen.

[Reactie gewijzigd door kr4t0s op 23 juli 2024 22:35]

Fab1Man 26 mei 2017 17:38
Ik vind het vrij apart dat door een foutieve instelling er opeens gegevens op een flashdrive komen. Tot daar aan toe, ervan uitgaande dat de medewerker het niet doorhad. Wel erg toevallig weer dat die flashdrive gestolen wordt. Ik zou me als derde partij bij dat ziekenhuis toch serieus gaan afvragen wat ik aan het doen ben daar.
Caelestis @Fab1Man26 mei 2017 17:55
Ervan uitgaande dat de medewerker het niet door had en dan het stick missen en dan toch weten wat erop staat.
Oftewel de medewerker heeft het protocol niet gevolgd en moedwillig de data gekopieerd voor welke reden je ook kan bedenken (goed of fout maakt niet) en is vervolgens per ongeluk het stick kwijt geraakt.
Dat hele "usb stick gestolen" verhaal is dus gewoon het bedrijf dat zichzelf als slachtoffer neer zet ipv schuldige.
uubee @Caelestis26 mei 2017 18:19
Daarom is het zo heerlijk dat ik op directie vragen altijd kan antwoorden:
  • Laptop is versleuteld en we werken via Citrix, enige data is prive data van werknemer;
  • USB key is versleuteld;
  • Nee we werken met Dell Wyse Thin Clients;
  • Nee, PC's zijn versleuteld met BitLocker en TPM chip.
  • Nee, media dragers gaan de vernietiger in als device weg gaat.
uubee @Fab1Man26 mei 2017 17:57
De vraag is of er gewoonweg geen opzet in het spel is. Wel erg toevallig dat:
  • Foute Instelling Software door een "specialist"
  • Data van patienten op USB stick
  • Uitgerekend die stick wordt gestolen.
Wat kost een USB stikkie tegenwoordig nog. Nagenoeg niks. En waarom werken medewerkers van "Roche Diagnostics" met USB sticks welke niet versleuteld zijn. Zeker als je die aan systemen van klanten hangt. Dit bedrijf dient opgedoekt te worden, want dit kan echt niet meer in 2017.

Daarnaast had de interne medewerker alarm moeten slaan zodra de externe medewerker een "onversleutelde" consumenten stick uit de zak/tas haalde, nog voordat de stick werd aangesloten.

Regel moet zijn: Alleen versleutelde sticks met "gewassen" data onder 100% toezicht van een interne medewerker.

De verantwoordelijke interne medewerker had bij mij een officiële waarschuwing gehad en bij herhaling ontslag. Dit kan namelijk niet en ik hoop dat de collega manager van deze werknemer niet zo laks was door te zeggen "laat die Roche Diagnostics man maar ongezien zijn werk doen want ik heb andere prioriteiten voor interne mededwerkers". Zo een collega manager moet de straat op geschopt worden, totaal ongeschikt.
eric.1 @uubee26 mei 2017 18:35
Je kan het nog verder doorpakken; geen enkele USB-stick of andere externe informatiedrager toestaan. De kans dat een USB-stick de enige bruikbare oplossing bied....is zeer gering.

Mocht het echt noodzakelijk zijn; uitzondering aanvragen en daar een procedure achter hangen. En bij onderhoud van een leverancier of externe partij zal sowieso toezicht moeten zijn. Een USB-stick van een leverancier of derde partij (eigenlijk alle USB-sticks) wordt hier sowieso al als onveilig beschouwd, dat ze er data op kunnen zetten is niet eens het belangrijkste ^^.

Voordeel bij volledig verbod; iedereen kan aan de bel trekken indien een USB-stick tevoorschijn komt, ongeacht hoe deze eruit ziet of dat die versleuteld is. Enige maar; iedereen moet het wel weten.
Yoshi @eric.126 mei 2017 18:55
Dat is niet mogelijk. Het is ofwel de oude bakken van het netwerk halen en werken met usb sticks ofwel ze wel toelaten op het netwerk. Om over de om updates van ander apparaatuur maar te zwijgen. Wat wel had moeten zijn is minstens versleuteling.

Er zijn tegenwoordig ook een pak patiënten die hun dossiers op usb laten zetten.
R4gnax
@Yoshi26 mei 2017 19:50
Dat is niet mogelijk. Het is ofwel de oude bakken van het netwerk halen en werken met usb sticks ofwel ze wel toelaten op het netwerk.
Of die oude PCs verbinden aan een nieuwe PC via een cross-over kabel en een secundaire NIC, zodat ze toch niet direct op het netwerk zitten.
Sissors @R4gnax26 mei 2017 23:56
En hoe is dat fundamenteel anders dan via een router met firewall erop hetzelfde doen? In beide gevallen is hij gewoon verbonden met het internet.
R4gnax
@Sissors27 mei 2017 17:42
En hoe is dat fundamenteel anders dan via een router met firewall erop hetzelfde doen?
Wie zegt dat ze onderdeel moeten zijn v/h zelfde netwerk? Je kunt ook een gescheiden ad-hoc netwerk maken door de connectie op het moderne systeem niet te bridgen, maar gescheiden te houden.

Dat is wel degelijk veiliger dan via firewalls de oude PC proberen af te schermen.
bazzi @R4gnax26 mei 2017 22:20
Cross over is niet meer nodig bij Gbit en hoger, naja officieel niet in de specs, in praktijk overal ondersteund ;)
sigmundfreund @uubee26 mei 2017 18:00
Het zou een mooie wereld zijn als dit haalbaar was. ;)
uubee @sigmundfreund26 mei 2017 18:03
Hoe moeilijk is het om:
  • Medewerkers te voorzien van "versleutelde USB sticks". Je hebt ze met vingerafdruk die geen software nodig hebben dus universeel zijn;
  • Medewerker te instrueren om mee te kijken wat een externe service medewerker doet.
Twee simpele dingen die geen moeite kosten lijkt mij. Anders neem je automatisering en veiligheid niet serieus.

Gratis reclame, maar zo iets is toch eenvoudig lijkt mij:
pricewatch: Apricorn Aegis Secure Key 2.0 16GB Zwart

[Reactie gewijzigd door uubee op 23 juli 2024 22:35]

Anoniem: 665613 @uubee26 mei 2017 18:37
Maar het kost tijd van een medewerker = geld = overhead. Overhead waar geen budget meer voor is omdat verzekeraars onder de kostprijs vergoeden.
TheMak @uubee26 mei 2017 22:23
Nou, als je als labmedewerker twee weken vooruitdenkt, en begint met de administratie om zo een USB-stick te bestellen. Dan moet het wel gaan lukken. Als alternatief kan je bij de ICT dienst proberen een account aan te maken voor de gasttechnicus, en toegang tot een of andere locatie voor de backups. En dan er achter komen dat je moet ingelogd zijn als die account niet werkt icm de device waar die aan werkt.
Anoniem: 418540 @uubee27 mei 2017 09:52
De medewerker zou niet eens patiëntgegevens mogen inzien, laat staan hebben. Er is immers geen behandelrelatie.

Mocht nadere analyse nodig zijn, lijkt dit meer een onderzoek en dan moet een commissie oordelen of en welke gegevens gebruikt mogen worden.
bytemaster460 @uubee26 mei 2017 18:54
Ik snap je bedoeling, maar die apparaten hebben tegenwoordig allemaal eigen USB-aansluitingen en op die apparaten draait gewoon een gesloten besturingssysteem dat helemaal niets kan met versleutelde sticks.
Veel vreemder vind ik echter dat een apparaat patiéntgegevens kan uitspugen naar een USB-stick. Een apparaat behoort enkel een sample-ID te bevatten met de bijbehorende meta-data. Zeker geen patiëntgegevens.
Jack Flushell @uubee26 mei 2017 20:32
Totaal onrealistisch. Medewerkers in ziekenhuizen gebruiken massaal niet-versleutelde USB sticks.
Wim-Bart @Jack Flushell27 mei 2017 00:53
Totaal onrealistisch. Medewerkers in ziekenhuizen gebruiken massaal niet-versleutelde USB sticks.
En wat is de reden? Kosten? Laksheid?
Jack Flushell @Wim-Bart27 mei 2017 03:12
En wat is de reden? Kosten? Laksheid?
Stel je eens voor: Een ziekenhuis met honderden, vaak duizenden medewerkers. Van de directeur, via administratief personeel, verpleegkundigen, artsen en keukenpersoneel naar schoonmakers. Etcetera.
Wim-Bart @Jack Flushell27 mei 2017 03:15
Waarom hebben die allemaal een USB stick nodig? De vraag is sowieso waarom er USB sticks nodig zijn, want intern gebruik van een USB stick geeft alleen maar aan dat IT gefaald heeft voor de doelgroep.

Er zijn zat andere methoden om data te transporteren/bewerken. Bijvoorbeeld thuiswerken met een Citrix oplossing.
Jack Flushell @Wim-Bart27 mei 2017 03:35
Mee eens. In de praktijk zijn er maar weinig (ken er geen) zorginstellingen die usb sticks blokkeren. Dat lijkt me ook best lastig. Een aantal mensen hier denkt dat dat niet vaak voorkomt, maar ik schat dat je bij meer dan 99% van de ziekenhuizen een usb stick kunt gebruiken in vrijwel elke pc.
Wim-Bart @Jack Flushell27 mei 2017 03:41
Terwijl het tegenwoordig zo eenvoudig is om ze te blokkeren. Beetje enterprise pakket kan het zoals McAfee en heb je dat niet kan je met Windows Device Policies ook ver komen. En anders good old DeviceLock nog. Mogelijkheden te over :)
ninjazx9r98 @Wim-Bart27 mei 2017 13:04
En toen kwam de wens/eis van je patiënten om hun dossier op USB te krijgen om maar een dwarsstraat te noemen? Dat is vaak ook het probleem met security gerelateerde maatregelen, iedereen is het er over eens dat het veilig moet maar tegelijkertijd wil niemand last hebben van de beveiliging.
Wim-Bart @ninjazx9r9827 mei 2017 16:12
Voor zo iets heb je een web portaal, of een uitwissel service met andere zorgverleners. Er is met huidige techniek geen enkele reden om iets op USB te zetten. En met een goed verhaal zal de patient het best wel begrijpen. En is de patient het er niet mee eens, dan start deze maar een juridische procedure om een zorginstelling te dwingen privacy opzij te zetten voor een individu.
ninjazx9r98 @Wim-Bart27 mei 2017 16:32
Het is niet dat ik het zelf verzonnen heb, het is gewoon de realiteit dat er USB sticks gebruikt worden.
Voor 5 euro krijg je bij het olvg een kopie op een beveiligde stick om maar eens een voorbeeld te noemen.
https://www.olvg.nl/afspr..._plichten/medisch_dossier
Wim-Bart @ninjazx9r9827 mei 2017 16:37
Er staat duidelijk bij. Op een beveiligde USB stick. Daar is niks mis mee. Maar welke patient heeft een beveiligde USB stick? Een beetje stick zit je zo op de 100 euro.

En bovendien, er is nogal wat nodig om dit te regelen. Zit een procedure om heen en zoet er van buiten af goed uit. Dus er gaat geen data, onbeveiligd zo maar de deur uit.

Wat er gebeurd met de data van die patient op het moment dat deze naar buiten loopt is dan de verantwoording van de persoon.

[Reactie gewijzigd door Wim-Bart op 23 juli 2024 22:35]

noguru @Fab1Man26 mei 2017 19:02
Waar het al fout gaat is dat er op apparatuur die door derden beheerd wordt en/of toegankelijk is persoonsgegevens aanwezig zijn. Het gaat hier namelijk om een apparaat, niet om een EPD server of zoiets. Dat zou beperkt moeten zijn tot een nummer en een barcode. Die barcodes en nummers koppel je vervolgens aan de juiste persoonsgegevens in een database waar je zelf wél controle over hebt. Helaas komt het, wellicht uit gewoonte geboren in een papieren tijdperk, toch nog heel vaak voor dat, ook op het lab, materiaal geïdentificeerd is met naam en geboortedatum.

Want die apparaat bouwers zijn allemaal klootviolen die je niet kunt vertrouwen. Je rusten je dure apparatuur uit met verouderde software, ze vertellen je dat je de firewall uit moet en dat er geen Windows updates geïnstalleerd mogen worden. Doe je dat wel dan maak je het dure service contract ongeldig.
TheMak @noguru26 mei 2017 22:40
In het ziekenhuis waar ik gewerkt heb had je geen controle over een database waar je controle over had. Het EPD was helemaal afgeschermd. Of je moet zelf een database opzetten. Maar dat is niet de bedoeling en ook ongewenst. Bij ziekenhuis is het ook altijd de bedoeling dat je de naam en geboortedatum verifieert om fouten te vermijden. Dus dan moeten deze in het apparaat staan, of een koppeling maken met het EPD. Overigens waren er bij het EPD in het ziekenhuis waar ik werkte zoveel koppelingen gemaakt, dat de mensen er niet meer wijs uit werden. Bij een academisch ziekenhuis heb je ook veel tijdelijke onderzoeken. Tegen de tijd dat alles netjes opgezet is, is de financiering ook afgelopen.
Wim-Bart @TheMak27 mei 2017 01:03
Standaardisatie en procedures. Het lijkt voor veel mensen een utopie, maar het is mogelijk. Ik zie het in de dagelijkse praktijk waar organisaties top-down worden aangestuurd en alles procedureel is dichtgetimmerd, daar werkt het niet. Daar is men alleen maar bezig met ITIL en starheid. Aan de andere kant is er in dat zelfde bedrijf een innovatieclub, deze club heeft een eigen omgeving gebouwd, met duidelijke eenvoudige beschijving van de omgevingen, korte procedures om tenants er in te bouwen inclusief vlan's, routering, firewall rules, databases, active directory, exchange, Skype4Business, SharePoint et cetera. Het is zo erg dat projecten en tijdelijke teams naar dat clubje gaan omdat ze daar binnen 5 werkdagen alles, inclusief secure koppelingen, databases, certificaten, eigen AD en dergelijke opgetuigd hebben. Terwijl het zelfde via de reguliere weg 6 tot 8 maanden moet duren. Het enige verschil is, in dat clubje hebben ze de focus op documenteren van techniek en implementatie in plaats van lange administratieve processen.

Overigens hebben beide de zelfde processen qua inrichting, alleen in plaats van 12 change managers zijn er nu 2 die reviewen en beslissen, om maar een voorbeeld te geven.

Maar het belangrijkste was, tijd nemen voor initieel ontwerp, dit schaalbaar maken, vastleggen, werk instructies maken. Daarna is het zelfs zonder automatische provisioning tools een simpele klus.
AiR60 @Fab1Man26 mei 2017 22:54
Ook hier ben ik het helemaal mee eens.

Logfiles of patientendata, in beide gevallen had het gewoon niet gejat mogen worden.
Nalatigheid noemen we dat toch als iets gejat wordt?

Eigenlijk zijn USB sticks natuurlijk al een risico op zich, ze zijn dusdanig klein dat ze gewoon makkelijk te verliezen zijn en vervolgens in verkeerde handen kunnen vallen.

Daar moet je eigenlijk encrypted usb drives voor hebben, maarja, als ik hoor dat het apparatuur is van 12 jaar met Windows XP....meeste encrypte USB drives hebben Windows 7 of hoger nodig, daarnaast zijn de kosten voor encrypted weer te hoog en te "nutteloos" voor enkel logfiles..

Kip-ei :)
Daniel_Elessar 26 mei 2017 17:55
Ik kan me voorstellen dat je in sommige gevallen een backup maakt naar bijvoorbeeld een USB stick. Maar dat dan nét die gestolen wordt?! Heel toevallig maar neemt niet weg dat dit weer best ernstig te noemen is. Lab uitslag en identificatie gegevens, behoorlijk serieus dus.

Het lijkt me dat je zo'n stick even hebt voor backup en niet dat je daarmee gaat rondzeulen. En eigenlijk moet die USB ook versleuteld zijn, maar dat zal vast niet?
teacup @Daniel_Elessar26 mei 2017 18:20
Voor privé personen is een backup naar usb stick of externe harddisk nog wel gangbaar. Van dit soort onderzoeksgegevens verwacht ik eigenlijk dat die niet van de fileservers van de VU af hoeven. Die servers gaan automatisch mee in een organisatiebrede backup. Zo is de backup dus niet iets waar een onderzoeker zich druk over hoeft te maken.

Zou die onderzoeker daarnaast VUmc benaderen via een VPN verbinding, dan hoeft die zich ook geen zorgen te maken dat allerlei rondslingerende bestanden kunnen kwijtraken.

Ook VPN/VDI heeft zijn veiligheids risico's, maar het risico op dit soort menselijke fouten met gekopieerde sets aan gegevens wordt dan wel kleiner.
Daniel_Elessar @teacup26 mei 2017 18:24
Klopt, je hebt gelijk. Het is ook raar dat die bestanden niet gewoon op de server blijven. En dat er inderdaad een backup al moet zijn van die bestanden. Daarom is dit dus best een raar verhaal.
bytemaster460 @Daniel_Elessar26 mei 2017 19:05
Inderdaad, ik geloof weinig van deze lezing. Ik heb het gevoel dat het volgende gebeurd is: de monteur vraagt tijdens zijn werkzaamheden om een USB-stick om eventueel een backup te maken van de settings van het apparaat. Hij krijgt een stick met daarop onversleutelde patiëntgegevens die een medewerker op het lab er eerder opgezet heeft voor eigen gebruik maar niet heeft gewist. Na het onderhoud neemt de monteur de stick al dan niet per ongeluk mee en het kwaad is geschied.
Om de schade te beperken maakt men er een verhaal van waarin overmacht een grotere rol speelt. Ik moet het eerste apparaat van Roche nog tegenkomen waarin patiëntgegevens worden geüpload om te kunnen functioneren.
Wim-Bart @Daniel_Elessar27 mei 2017 16:16
In een professionele omgeving maak je geen backups naar USB sticks of het moeten alleen Firmware settings zijn van een device. Bijvoorbeeld BIOS settings, switch config, et cetera. Maar data is altijd op andere wijze veilig gesteld
Gopher @Daniel_Elessar26 mei 2017 21:48
In een ziekenhuis dien je sowieso geen patiëntendata op USB stick op te slaan. Het liefst sla je het niet eens op op het werkstation. Je gaat geen backups handmatig maken dat hoort afgedekt te zijn
ninjazx9r98 @Gopher27 mei 2017 13:12
Best lastig om dat niet te doen als er ziekenhuizen zijn waar je als patiënt je eigen dossier op USB stick kunt krijgen.
https://www.security.nl/p...jgen+dossier+op+USB-stick
Gopher @ninjazx9r9827 mei 2017 15:31
Dat klinkt vreemd maar gelukkig zijn het er dan geen 2000?
MrMonkE 26 mei 2017 19:02
Als het er per ongeluk op stond hoe weten ze dat dan?

Dat is de enige vraag die telt hier.
bytemaster460 @MrMonkE26 mei 2017 19:23
Het verhaal komt op mij dan ook over als damage control en niet de feitelijke gebeurtenissen.
jpsch @MrMonkE26 mei 2017 19:33
Log files?
T.C @jpsch26 mei 2017 23:24
Log files?
Ja natuurlijk ik zie het al voor me:

01MAR2017 14:01:01 Accidental copy of treatment data of patient jpsch
01MAR2017 14:01:02 Accidental copy of treatment data of patient jpsci
.....

Per ongeluk betekent dat er alles aan is gedaan om dit te voorkomen.
Een USB als automatisch backup instellen is dat duidelijk niet.
NoobishPro 26 mei 2017 19:13
Wat moet iemand doen met zulke gegevens, vraag ik mij dan eerder af...

Patientenbestanden van ziekenhuizen zijn nou niet bepaald mega informatie of super geheim. Hoewel het privé is, zullen de meeste mensen hier niet bijzonder sterk mee zitten. Dit kan hooguit gevolgen hebben voor een verzekeringsdiefstal oid, misschien? Geen idee.

Wie heeft er goede ideeën over wat er met deze informatie gedaan kan worden?
thunder7 @NoobishPro26 mei 2017 19:26
Zowiezo, als het patiënteninformatie van een analyzer van Roche is, zal het niet veel meer zijn dan naam + voorletters, geboortedatum en de uitslagen van bepaalde testen (dus niet een heel medisch dossier). Ik betwijfel of er bv. een adres en een BSN bij een patiënt meegestuurd wordt, ik heb dat zelf in ieder geval nooit gezien.
R4gnax
@NoobishPro26 mei 2017 19:53
Wie heeft er goede ideeën over wat er met deze informatie gedaan kan worden?
Chantage, als het promintente personen zijn die gezicht te verliezen hebben.

Louche marketing bij andere gevallen. Bijv. terminale kankerpatiënten die allerlei kwakzalverij toegestuurd kunnen gaan krijgen die hen nog enkele jaren levensverlenging beloofd.
MrMonkE @NoobishPro26 mei 2017 19:32
stel dat het een bekend persoon in zit.

Verder zou ik ook zo niet weten.
Weet je misschien dat iemand aids heeft, of lage bloedsuikers.
Kan allemaal denk.
jpsch @NoobishPro26 mei 2017 19:35
Chantage? Charlie Sheen werd ook afgeperst, omdat hij hiv had.
ninjazx9r98 @NoobishPro27 mei 2017 13:18
Waarom zou er wat mee gedaan moeten worden? Je kunt het ook anders bekijken, er is een USB drive gestolen en toevallig staan daar zulke gegevens op (en moet er dus melding van gemaakt worden). De dief boeit dat mogelijk totaal niet wat er op staat, dat ding is ondertussen geformatteerd en voorzien van films, series, muziek of wat dan ook.
loekf2 26 mei 2017 17:43
Mensen moeten natuurlijk ook eens afleren om laptops in de auto te laten of in het zicht te laten liggen. Bepaalde figuren hebben een dagtaak aan dat soort dingen.
dormamu @loekf226 mei 2017 22:35
Waarom? Om op het bedrijfsnetwerk te komen dien ik in te loggen via Citrix. Verder is de SDD vergrendeld met Bitlocker. Als mijn laptop wordt gestolen dan kan de dief in ieder geval niet bij mijn data.
Mensen moeten leren dat ze een berdijfslaptop goed configureren.
oef! @loekf227 mei 2017 21:49
Niemand heeft het over laptops.
ard1998 26 mei 2017 18:06
een computerprobleem zit vaak tussen de rugleuning en de monitor.
90710 @ard199826 mei 2017 19:20
Altijd toch. Een computer maakt immers niet uit zichzelf fouten.
Batch 26 mei 2017 18:10
Het probleem is meestal hetzelfde: systemen als HiX, SAP, Oracle etc. zijn vaak best goed dicht getimmerd met autorisaties. Probleem is dat je vanuit die systemen gegevens zo naar Excel kunt exporteren. Die bestanden gaan slingeren en weg is je beveiliging.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq