Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

VUmc-ziekenhuis meldt datalek door gestolen usb-stick met patiŽntgegevens

Het Amsterdamse VU medisch centrum heeft bekendgemaakt dat eerder deze maand een usb-stick is gestolen met daarop patiŽntgegevens. Het gaat om gegevens van in totaal bijna 2000 personen. De gegevens bevatten onder andere informatie over 'bij het ziekenhuis uitgevoerde handelingen'.

Lek beveiliging privacyIn een mededeling op zijn website schrijft het ziekenhuis dat het gaat om identificerende gegevens en laboratoriumdata. Deze waren door een verkeerde instelling van apparatuur tijdens onderhoud op de usb-drive van een medewerker van Roche Diagnostics terechtgekomen. Dit was niet de bedoeling, aldus het ziekenhuis. De usb-drive is vervolgens van een medewerker van het diagnostiekbedrijf gestolen.

Naar aanleiding van het datalek heeft het VUmc melding gemaakt bij de politie en bij de Autoriteit Persoonsgegevens. Bovendien zijn er met het bedrijf 'verscherpte protocollen' afgesproken om gegevensverlies te voorkomen. De getroffen patiënten hebben volgens het ziekenhuis een brief ontvangen.

Dit jaar en vorig jaar meldden ziekenhuizen eerder datalekken, in beide gevallen door een gestolen laptop met daarop patiëntgegevens. De Autoriteit Persoonsgegevens maakte in november bekend dat ziekenhuizen in 2016 verantwoordelijk waren voor 304 meldingen van in totaal 4700 datalekken. Sinds januari 2016 is het verplicht om datalekken te melden.

Door Sander van Voorst

Nieuwsredacteur

26-05-2017 • 17:33

156 Linkedin Google+

Reacties (156)

Wijzig sortering
Ik lees hier veel onzin. Het betreft een analyser van Roche waarbij de monteur zeer waarschijnlijk logfiles eraf heeft gehaald om deze te analyseren, standaard procedure bij (complexe) storingen. Waarschijnlijk is er iets mis gegaan met het exporteren waarbij patiŽnten​data mee is gekomen, je kan op verschillende manieren logfiles exporteren.

Updaten van de software van de analyser gebeurd ook gewoon via de USB poort door de monteur, uiteraard niet via remote aangezien je vaak ook hardwarematige aanpassingen moet uitvoeren en controles draaien.

Ook is in de meeste gevallen de klant geen eigenaar van de analyser maar worden deze geleased of via een andere constructie.
Idd draaien sommige pc's nog op Win XP, vergeet niet dat de gemiddelde analyser 10 tot 12 jaar mee gaat en in de meeste gevallen ontwikkeld is voor 1 bepaald besturingssysteem (en de bijbehorende drivers, software, etc). Alles moet in den treuren getest worden, je kan je niet veroorloven dat door een foutieve geplaatste byte een uitslag veranderd.

En nee, ik werk niet voor Roche, maar wel in deze branche.

Wat wordt er in een gemiddelde analyser opgeslagen? Intern labnummer, naam, geboortedatum en patiŽnt nummer en de bijbehorende uitslag. Waarom al deze gegevens? Als de koppeling eruit ligt, moet je een eenduidige identificatie hebben, en met alleen een patiŽnt nummer of labnummer heb je dat niet conform de opgestelde eisen volgens ISO 15189.
Dat is wel een goede verklaring en geeft wel ander licht op de zaak...

Kan met ook niet voorstellen dat zo'n medewerker expres data op een usb stick zet...
Maar hoe kan die stick het ziekenhuis dan verlaten met dr data er op. Bij ons komt er geen USB in of uit op de locaties want dan gaat de bodyscanner gelijk af.

[Reactie gewijzigd door Wim-Bart op 27 mei 2017 16:28]

In een ziekenhuis? Kom zo'n beetje in elk ziekenhuis in Nederland en heb daar nog nooit een bodyscanner gezien, afgezien van een MRI of CT... 😋.
Ik heb het niet over een ziekenhuis. Bij ons is het eenvoudiger handhaven omdat iedereen door ern scanner moet. In een ziekenhuis is het een andere zaak em moeilijker handhaven. Maar daarvoor kunnen devices wel voorzien worden van maatregelen zoals Devicelock.
Je overschat ziekenhuis beveiliging nogal. Ken een ziekenhuis kun je gewoon naar binnen (ICT is een apart gebouw, deur is open, zijn wel toegangsscanners maar die hangen daar voor nopes) gewoon naar boven lopen ICT-afdeling en op een flex plek gaan zitten. Waar thin clients aangesloten zitten in het beheerdersnetwerk.

[Reactie gewijzigd door kr4t0s op 29 mei 2017 09:05]

Wow. En niemand doet er wat aan?
Ik wil graag alle 'nee zeggers' en mensen die beweren dat wat ik zeg niet kan, de volgende vraag stellen.

Een MRI 2 uur plat leggen kan volgens deze mensen absoluut niet. Kennelijk wegen zij dus het 2 uur platleggen van een MRI (Die sowieso echt NEVER NOOIT NIET 24/7 draaien in NL) zwaarder dan het even kwijtraken van patientgegevens. Want dŠt kan dan wel?

Dit is wat er ZO vaak mis gaat in de IT in Nederland. Men kan wel overal de beren op de weg benoemen van wat de risico's zijn van iets WEL doen. Daar zijn we in Nederland heel goed in. Ja maar als we upgraden, dan <risico's>. Gemakshalve vergeet men de tweede helft van de analyse, namelijk wat er gebeurd als je iets NIET doet. Dat aspect wordt gewoon volledig overheen gekeken.

Dat kan ik ook wel uitleggen. Als iets fout gaat, en jij hebt er aan gezeten, dan is het jouw fout/jouw verantwoordelijkheid. Als er daarentegen iets fout gaat zonder dat je er aan hebt gezeten, kun je de bal van verantwoordelijkheid voor je uit schuiven. Dan lag het aan het beheer in het verleden, aan de manager die het niet wilde, aan de fabrikant van het apparaat, maar niet aan jou.

Dit even afgezien van het feit dat die hele discussie over die paar incidentele exoten in een ziekenhuis, helemaal niet relevant is. Want het gaat niet over MRI's of dat soort apparaten waar deze gegevens af komen. Die komen gewoon vanaf werkstations. Waarvan er een factor honderd meer zijn in een ziekenhuis, en ja, dat had makkelijk voorkomen worden.

[Reactie gewijzigd door Tronald Dump op 27 mei 2017 02:15]

Ik snap niet hoe het feit dat de stick gestolen is indirect de doorslaggevende factor van het datalek wordt benoemd... eerste klas kudtsmoes om niet toe te geven dat het al een datalek was op het moment dat de stick beschreven werd...

We noemen een gaslek toch ook een lek noch voordat de boel ontploft?

Dit is niet heel erg anders als hoe ik zie dat de NSA schuldig zou zijn aan de wana infecties; de opportuniteit is door hen (al dan niet indirect) gecreeerd; dŠt is dus ook het lek.
Hoe weten ze dat die data op de stick staat als de data er per ongeluk op terecht gekomen is door een verkeerde procedure en daarna werd gejat?

En als ze wisten dat de data op de usb stick terecht is gekomen, waarom werd die niet direct gewist op dat moment?

Ik stel ook mijn vraagtekens bij het hele verhaal.
Omdat die stick in handen was van een toeleverancier, toen was het nog geen lek (wel heel dom!). Vermoed dat de medewerken gewoon de gegevens thuis wilde verder analyseren ipv op locatie (ook dom) en domste van alles laptop in de auto laten liggen. Ik laat de laptop nooit in de auto, zelfs niet met tanken of even naar supermarkt.

Denk dat het ongeveer als volgt gegaan is. Medewerker kopieert gegevens op stick om thuis of kantoor verder te werken omdat hij een rapport moet opleveren en dit niet afkrijgt op klantlocatie. Helaas wordt zijn laptoptas; laptop + usb stick gejat. Toen heeft Roche Diagnostics het moeten melden en met de billenbloot naar alle klanten moeten gaan. Omdat mochten deze gegevens op straat komen het terug te leiden is naar Roche. En dit tegenwoordig hier een gigaboete op staat als je het niet meldt (binnen 72 uur) + nog meer reputatieschade veroorzaakt.

[Reactie gewijzigd door kr4t0s op 28 mei 2017 19:56]

Omdat die stick in handen was van een toeleverancier, toen was het nog geen lek (wel heel dom!).
WBP & AM zeggen van wel, zelfs op dat moment al.
Er is immers een niet geautoriseerd persoon die toegang heeft tot data waar hij geen zak mee te maken heeft.
Hij was wel geautoriseerd om met deze data om te gaan blijkbaar. Alleen op stick zetten mocht natuurlijk niet dus technisch heb je gelijk. Maar ja in de praktijk is dat lastig te controleren, als je een externe inhuurt ga je niet een eigen medewerker de gehele dag naast zetten. En het ziekenhuis kwam er natuurlijk pas achter toen Roche dit melde bij hen.

[Reactie gewijzigd door kr4t0s op 28 mei 2017 19:58]

Ik vind het vrij apart dat door een foutieve instelling er opeens gegevens op een flashdrive komen. Tot daar aan toe, ervan uitgaande dat de medewerker het niet doorhad. Wel erg toevallig weer dat die flashdrive gestolen wordt. Ik zou me als derde partij bij dat ziekenhuis toch serieus gaan afvragen wat ik aan het doen ben daar.
Ervan uitgaande dat de medewerker het niet door had en dan het stick missen en dan toch weten wat erop staat.
Oftewel de medewerker heeft het protocol niet gevolgd en moedwillig de data gekopieerd voor welke reden je ook kan bedenken (goed of fout maakt niet) en is vervolgens per ongeluk het stick kwijt geraakt.
Dat hele "usb stick gestolen" verhaal is dus gewoon het bedrijf dat zichzelf als slachtoffer neer zet ipv schuldige.
Daarom is het zo heerlijk dat ik op directie vragen altijd kan antwoorden:
  • Laptop is versleuteld en we werken via Citrix, enige data is prive data van werknemer;
  • USB key is versleuteld;
  • Nee we werken met Dell Wyse Thin Clients;
  • Nee, PC's zijn versleuteld met BitLocker en TPM chip.
  • Nee, media dragers gaan de vernietiger in als device weg gaat.
De vraag is of er gewoonweg geen opzet in het spel is. Wel erg toevallig dat:
  • Foute Instelling Software door een "specialist"
  • Data van patienten op USB stick
  • Uitgerekend die stick wordt gestolen.
Wat kost een USB stikkie tegenwoordig nog. Nagenoeg niks. En waarom werken medewerkers van "Roche Diagnostics" met USB sticks welke niet versleuteld zijn. Zeker als je die aan systemen van klanten hangt. Dit bedrijf dient opgedoekt te worden, want dit kan echt niet meer in 2017.

Daarnaast had de interne medewerker alarm moeten slaan zodra de externe medewerker een "onversleutelde" consumenten stick uit de zak/tas haalde, nog voordat de stick werd aangesloten.

Regel moet zijn: Alleen versleutelde sticks met "gewassen" data onder 100% toezicht van een interne medewerker.

De verantwoordelijke interne medewerker had bij mij een officiŽle waarschuwing gehad en bij herhaling ontslag. Dit kan namelijk niet en ik hoop dat de collega manager van deze werknemer niet zo laks was door te zeggen "laat die Roche Diagnostics man maar ongezien zijn werk doen want ik heb andere prioriteiten voor interne mededwerkers". Zo een collega manager moet de straat op geschopt worden, totaal ongeschikt.
Je kan het nog verder doorpakken; geen enkele USB-stick of andere externe informatiedrager toestaan. De kans dat een USB-stick de enige bruikbare oplossing bied....is zeer gering.

Mocht het echt noodzakelijk zijn; uitzondering aanvragen en daar een procedure achter hangen. En bij onderhoud van een leverancier of externe partij zal sowieso toezicht moeten zijn. Een USB-stick van een leverancier of derde partij (eigenlijk alle USB-sticks) wordt hier sowieso al als onveilig beschouwd, dat ze er data op kunnen zetten is niet eens het belangrijkste ^^.

Voordeel bij volledig verbod; iedereen kan aan de bel trekken indien een USB-stick tevoorschijn komt, ongeacht hoe deze eruit ziet of dat die versleuteld is. Enige maar; iedereen moet het wel weten.
Dat is niet mogelijk. Het is ofwel de oude bakken van het netwerk halen en werken met usb sticks ofwel ze wel toelaten op het netwerk. Om over de om updates van ander apparaatuur maar te zwijgen. Wat wel had moeten zijn is minstens versleuteling.

Er zijn tegenwoordig ook een pak patiŽnten die hun dossiers op usb laten zetten.
Dat is niet mogelijk. Het is ofwel de oude bakken van het netwerk halen en werken met usb sticks ofwel ze wel toelaten op het netwerk.
Of die oude PCs verbinden aan een nieuwe PC via een cross-over kabel en een secundaire NIC, zodat ze toch niet direct op het netwerk zitten.
En hoe is dat fundamenteel anders dan via een router met firewall erop hetzelfde doen? In beide gevallen is hij gewoon verbonden met het internet.
En hoe is dat fundamenteel anders dan via een router met firewall erop hetzelfde doen?
Wie zegt dat ze onderdeel moeten zijn v/h zelfde netwerk? Je kunt ook een gescheiden ad-hoc netwerk maken door de connectie op het moderne systeem niet te bridgen, maar gescheiden te houden.

Dat is wel degelijk veiliger dan via firewalls de oude PC proberen af te schermen.
Cross over is niet meer nodig bij Gbit en hoger, naja officieel niet in de specs, in praktijk overal ondersteund ;)
Het zou een mooie wereld zijn als dit haalbaar was. ;)
Hoe moeilijk is het om:
  • Medewerkers te voorzien van "versleutelde USB sticks". Je hebt ze met vingerafdruk die geen software nodig hebben dus universeel zijn;
  • Medewerker te instrueren om mee te kijken wat een externe service medewerker doet.
Twee simpele dingen die geen moeite kosten lijkt mij. Anders neem je automatisering en veiligheid niet serieus.

Gratis reclame, maar zo iets is toch eenvoudig lijkt mij:
pricewatch: Apricorn Aegis Secure Key 2.0 16GB Zwart

[Reactie gewijzigd door uubee op 26 mei 2017 18:11]

Maar het kost tijd van een medewerker = geld = overhead. Overhead waar geen budget meer voor is omdat verzekeraars onder de kostprijs vergoeden.
Nou, als je als labmedewerker twee weken vooruitdenkt, en begint met de administratie om zo een USB-stick te bestellen. Dan moet het wel gaan lukken. Als alternatief kan je bij de ICT dienst proberen een account aan te maken voor de gasttechnicus, en toegang tot een of andere locatie voor de backups. En dan er achter komen dat je moet ingelogd zijn als die account niet werkt icm de device waar die aan werkt.
De medewerker zou niet eens patiŽntgegevens mogen inzien, laat staan hebben. Er is immers geen behandelrelatie.

Mocht nadere analyse nodig zijn, lijkt dit meer een onderzoek en dan moet een commissie oordelen of en welke gegevens gebruikt mogen worden.
Ik snap je bedoeling, maar die apparaten hebben tegenwoordig allemaal eigen USB-aansluitingen en op die apparaten draait gewoon een gesloten besturingssysteem dat helemaal niets kan met versleutelde sticks.
Veel vreemder vind ik echter dat een apparaat patiťntgegevens kan uitspugen naar een USB-stick. Een apparaat behoort enkel een sample-ID te bevatten met de bijbehorende meta-data. Zeker geen patiŽntgegevens.
Totaal onrealistisch. Medewerkers in ziekenhuizen gebruiken massaal niet-versleutelde USB sticks.
Totaal onrealistisch. Medewerkers in ziekenhuizen gebruiken massaal niet-versleutelde USB sticks.
En wat is de reden? Kosten? Laksheid?
En wat is de reden? Kosten? Laksheid?
Stel je eens voor: Een ziekenhuis met honderden, vaak duizenden medewerkers. Van de directeur, via administratief personeel, verpleegkundigen, artsen en keukenpersoneel naar schoonmakers. Etcetera.
Waarom hebben die allemaal een USB stick nodig? De vraag is sowieso waarom er USB sticks nodig zijn, want intern gebruik van een USB stick geeft alleen maar aan dat IT gefaald heeft voor de doelgroep.

Er zijn zat andere methoden om data te transporteren/bewerken. Bijvoorbeeld thuiswerken met een Citrix oplossing.
Mee eens. In de praktijk zijn er maar weinig (ken er geen) zorginstellingen die usb sticks blokkeren. Dat lijkt me ook best lastig. Een aantal mensen hier denkt dat dat niet vaak voorkomt, maar ik schat dat je bij meer dan 99% van de ziekenhuizen een usb stick kunt gebruiken in vrijwel elke pc.
Terwijl het tegenwoordig zo eenvoudig is om ze te blokkeren. Beetje enterprise pakket kan het zoals McAfee en heb je dat niet kan je met Windows Device Policies ook ver komen. En anders good old DeviceLock nog. Mogelijkheden te over :)
En toen kwam de wens/eis van je patiŽnten om hun dossier op USB te krijgen om maar een dwarsstraat te noemen? Dat is vaak ook het probleem met security gerelateerde maatregelen, iedereen is het er over eens dat het veilig moet maar tegelijkertijd wil niemand last hebben van de beveiliging.
Voor zo iets heb je een web portaal, of een uitwissel service met andere zorgverleners. Er is met huidige techniek geen enkele reden om iets op USB te zetten. En met een goed verhaal zal de patient het best wel begrijpen. En is de patient het er niet mee eens, dan start deze maar een juridische procedure om een zorginstelling te dwingen privacy opzij te zetten voor een individu.
Het is niet dat ik het zelf verzonnen heb, het is gewoon de realiteit dat er USB sticks gebruikt worden.
Voor 5 euro krijg je bij het olvg een kopie op een beveiligde stick om maar eens een voorbeeld te noemen.
https://www.olvg.nl/afspr..._plichten/medisch_dossier
Er staat duidelijk bij. Op een beveiligde USB stick. Daar is niks mis mee. Maar welke patient heeft een beveiligde USB stick? Een beetje stick zit je zo op de 100 euro.

En bovendien, er is nogal wat nodig om dit te regelen. Zit een procedure om heen en zoet er van buiten af goed uit. Dus er gaat geen data, onbeveiligd zo maar de deur uit.

Wat er gebeurd met de data van die patient op het moment dat deze naar buiten loopt is dan de verantwoording van de persoon.

[Reactie gewijzigd door Wim-Bart op 27 mei 2017 16:39]

Waar het al fout gaat is dat er op apparatuur die door derden beheerd wordt en/of toegankelijk is persoonsgegevens aanwezig zijn. Het gaat hier namelijk om een apparaat, niet om een EPD server of zoiets. Dat zou beperkt moeten zijn tot een nummer en een barcode. Die barcodes en nummers koppel je vervolgens aan de juiste persoonsgegevens in een database waar je zelf wťl controle over hebt. Helaas komt het, wellicht uit gewoonte geboren in een papieren tijdperk, toch nog heel vaak voor dat, ook op het lab, materiaal geÔdentificeerd is met naam en geboortedatum.

Want die apparaat bouwers zijn allemaal klootviolen die je niet kunt vertrouwen. Je rusten je dure apparatuur uit met verouderde software, ze vertellen je dat je de firewall uit moet en dat er geen Windows updates geÔnstalleerd mogen worden. Doe je dat wel dan maak je het dure service contract ongeldig.
In het ziekenhuis waar ik gewerkt heb had je geen controle over een database waar je controle over had. Het EPD was helemaal afgeschermd. Of je moet zelf een database opzetten. Maar dat is niet de bedoeling en ook ongewenst. Bij ziekenhuis is het ook altijd de bedoeling dat je de naam en geboortedatum verifieert om fouten te vermijden. Dus dan moeten deze in het apparaat staan, of een koppeling maken met het EPD. Overigens waren er bij het EPD in het ziekenhuis waar ik werkte zoveel koppelingen gemaakt, dat de mensen er niet meer wijs uit werden. Bij een academisch ziekenhuis heb je ook veel tijdelijke onderzoeken. Tegen de tijd dat alles netjes opgezet is, is de financiering ook afgelopen.
Standaardisatie en procedures. Het lijkt voor veel mensen een utopie, maar het is mogelijk. Ik zie het in de dagelijkse praktijk waar organisaties top-down worden aangestuurd en alles procedureel is dichtgetimmerd, daar werkt het niet. Daar is men alleen maar bezig met ITIL en starheid. Aan de andere kant is er in dat zelfde bedrijf een innovatieclub, deze club heeft een eigen omgeving gebouwd, met duidelijke eenvoudige beschijving van de omgevingen, korte procedures om tenants er in te bouwen inclusief vlan's, routering, firewall rules, databases, active directory, exchange, Skype4Business, SharePoint et cetera. Het is zo erg dat projecten en tijdelijke teams naar dat clubje gaan omdat ze daar binnen 5 werkdagen alles, inclusief secure koppelingen, databases, certificaten, eigen AD en dergelijke opgetuigd hebben. Terwijl het zelfde via de reguliere weg 6 tot 8 maanden moet duren. Het enige verschil is, in dat clubje hebben ze de focus op documenteren van techniek en implementatie in plaats van lange administratieve processen.

Overigens hebben beide de zelfde processen qua inrichting, alleen in plaats van 12 change managers zijn er nu 2 die reviewen en beslissen, om maar een voorbeeld te geven.

Maar het belangrijkste was, tijd nemen voor initieel ontwerp, dit schaalbaar maken, vastleggen, werk instructies maken. Daarna is het zelfs zonder automatische provisioning tools een simpele klus.
Ook hier ben ik het helemaal mee eens.

Logfiles of patientendata, in beide gevallen had het gewoon niet gejat mogen worden.
Nalatigheid noemen we dat toch als iets gejat wordt?

Eigenlijk zijn USB sticks natuurlijk al een risico op zich, ze zijn dusdanig klein dat ze gewoon makkelijk te verliezen zijn en vervolgens in verkeerde handen kunnen vallen.

Daar moet je eigenlijk encrypted usb drives voor hebben, maarja, als ik hoor dat het apparatuur is van 12 jaar met Windows XP....meeste encrypte USB drives hebben Windows 7 of hoger nodig, daarnaast zijn de kosten voor encrypted weer te hoog en te "nutteloos" voor enkel logfiles..

Kip-ei :)
Ik kan me voorstellen dat je in sommige gevallen een backup maakt naar bijvoorbeeld een USB stick. Maar dat dan nťt die gestolen wordt?! Heel toevallig maar neemt niet weg dat dit weer best ernstig te noemen is. Lab uitslag en identificatie gegevens, behoorlijk serieus dus.

Het lijkt me dat je zo'n stick even hebt voor backup en niet dat je daarmee gaat rondzeulen. En eigenlijk moet die USB ook versleuteld zijn, maar dat zal vast niet?
Voor privť personen is een backup naar usb stick of externe harddisk nog wel gangbaar. Van dit soort onderzoeksgegevens verwacht ik eigenlijk dat die niet van de fileservers van de VU af hoeven. Die servers gaan automatisch mee in een organisatiebrede backup. Zo is de backup dus niet iets waar een onderzoeker zich druk over hoeft te maken.

Zou die onderzoeker daarnaast VUmc benaderen via een VPN verbinding, dan hoeft die zich ook geen zorgen te maken dat allerlei rondslingerende bestanden kunnen kwijtraken.

Ook VPN/VDI heeft zijn veiligheids risico's, maar het risico op dit soort menselijke fouten met gekopieerde sets aan gegevens wordt dan wel kleiner.
Klopt, je hebt gelijk. Het is ook raar dat die bestanden niet gewoon op de server blijven. En dat er inderdaad een backup al moet zijn van die bestanden. Daarom is dit dus best een raar verhaal.
Inderdaad, ik geloof weinig van deze lezing. Ik heb het gevoel dat het volgende gebeurd is: de monteur vraagt tijdens zijn werkzaamheden om een USB-stick om eventueel een backup te maken van de settings van het apparaat. Hij krijgt een stick met daarop onversleutelde patiŽntgegevens die een medewerker op het lab er eerder opgezet heeft voor eigen gebruik maar niet heeft gewist. Na het onderhoud neemt de monteur de stick al dan niet per ongeluk mee en het kwaad is geschied.
Om de schade te beperken maakt men er een verhaal van waarin overmacht een grotere rol speelt. Ik moet het eerste apparaat van Roche nog tegenkomen waarin patiŽntgegevens worden geŁpload om te kunnen functioneren.
In een professionele omgeving maak je geen backups naar USB sticks of het moeten alleen Firmware settings zijn van een device. Bijvoorbeeld BIOS settings, switch config, et cetera. Maar data is altijd op andere wijze veilig gesteld
In een ziekenhuis dien je sowieso geen patiŽntendata op USB stick op te slaan. Het liefst sla je het niet eens op op het werkstation. Je gaat geen backups handmatig maken dat hoort afgedekt te zijn
Best lastig om dat niet te doen als er ziekenhuizen zijn waar je als patiŽnt je eigen dossier op USB stick kunt krijgen.
https://www.security.nl/p...jgen+dossier+op+USB-stick
Dat klinkt vreemd maar gelukkig zijn het er dan geen 2000?
Als het er per ongeluk op stond hoe weten ze dat dan?

Dat is de enige vraag die telt hier.
Het verhaal komt op mij dan ook over als damage control en niet de feitelijke gebeurtenissen.
Log files?
Ja natuurlijk ik zie het al voor me:

01MAR2017 14:01:01 Accidental copy of treatment data of patient jpsch
01MAR2017 14:01:02 Accidental copy of treatment data of patient jpsci
.....

Per ongeluk betekent dat er alles aan is gedaan om dit te voorkomen.
Een USB als automatisch backup instellen is dat duidelijk niet.
Wat moet iemand doen met zulke gegevens, vraag ik mij dan eerder af...

Patientenbestanden van ziekenhuizen zijn nou niet bepaald mega informatie of super geheim. Hoewel het privť is, zullen de meeste mensen hier niet bijzonder sterk mee zitten. Dit kan hooguit gevolgen hebben voor een verzekeringsdiefstal oid, misschien? Geen idee.

Wie heeft er goede ideeŽn over wat er met deze informatie gedaan kan worden?
Zowiezo, als het patiŽnteninformatie van een analyzer van Roche is, zal het niet veel meer zijn dan naam + voorletters, geboortedatum en de uitslagen van bepaalde testen (dus niet een heel medisch dossier). Ik betwijfel of er bv. een adres en een BSN bij een patiŽnt meegestuurd wordt, ik heb dat zelf in ieder geval nooit gezien.
Wie heeft er goede ideeŽn over wat er met deze informatie gedaan kan worden?
Chantage, als het promintente personen zijn die gezicht te verliezen hebben.

Louche marketing bij andere gevallen. Bijv. terminale kankerpatiŽnten die allerlei kwakzalverij toegestuurd kunnen gaan krijgen die hen nog enkele jaren levensverlenging beloofd.
stel dat het een bekend persoon in zit.

Verder zou ik ook zo niet weten.
Weet je misschien dat iemand aids heeft, of lage bloedsuikers.
Kan allemaal denk.
Chantage? Charlie Sheen werd ook afgeperst, omdat hij hiv had.
Waarom zou er wat mee gedaan moeten worden? Je kunt het ook anders bekijken, er is een USB drive gestolen en toevallig staan daar zulke gegevens op (en moet er dus melding van gemaakt worden). De dief boeit dat mogelijk totaal niet wat er op staat, dat ding is ondertussen geformatteerd en voorzien van films, series, muziek of wat dan ook.
Mensen moeten natuurlijk ook eens afleren om laptops in de auto te laten of in het zicht te laten liggen. Bepaalde figuren hebben een dagtaak aan dat soort dingen.
Waarom? Om op het bedrijfsnetwerk te komen dien ik in te loggen via Citrix. Verder is de SDD vergrendeld met Bitlocker. Als mijn laptop wordt gestolen dan kan de dief in ieder geval niet bij mijn data.
Mensen moeten leren dat ze een berdijfslaptop goed configureren.
Niemand heeft het over laptops.
een computerprobleem zit vaak tussen de rugleuning en de monitor.
Altijd toch. Een computer maakt immers niet uit zichzelf fouten.
Het probleem is meestal hetzelfde: systemen als HiX, SAP, Oracle etc. zijn vaak best goed dicht getimmerd met autorisaties. Probleem is dat je vanuit die systemen gegevens zo naar Excel kunt exporteren. Die bestanden gaan slingeren en weg is je beveiliging.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True