Nijmeegse tandartspraktijk waarschuwt voor datalek na ransomwareaanval

De gegevens van duizenden patiënten van Samenwerkende Tandartsen Nijmegen zijn mogelijk in handen gekomen van kwaadwillenden nadat de systemen van de praktijk eind oktober getroffen werden door een ransomwareaanval.

De aanvallers hebben toegang gehad tot rekeningnummers, burgerservicenummers, adressen en gegevens over het gebit van veel klanten. Daarvoor waarschuwt de praktijk van Samenwerkende Tandartsen Nijmegen aan patiënten in een e-mail. Bij onderzoek is niet vast komen te staan of gegevens weggesluisd werden, maar de praktijk kan dit ook niet uitsluiten.

De praktijk heeft niet betaald voor toegang tot zijn systemen maar kon een back-up terugzetten. Direct na de aanval heeft de tandarts een melding gedaan bij de Autoriteit Persoonsgegevens. Tegen De Gelderlander meldt de tandarts dat er pas twee maanden na het voorval een waarschuwing is uitgegaan, om eerst aanvullend onderzoek te kunnen doen.

In de mail staat dat patiënten alert moeten zijn op identiteitsfraude en mogelijk verdachte e-mails, brieven of telefoongesprekken.

IT-banen

Reacties (173)

WienerBlut 29 december 2017 12:20

Goed dat deze praktijk meteen melding heeft gedaan! Hulde!

[off-topic]
Kort verhaaltje over tandartsen uit de praktijk. Hier in Oostenrijk zijn tandartsen verplicht 10 jaar alle patiënt en behandel gegevens digitaal te bewaren voor de zorgverzekeraars (Krankenkasse). Dit moet volgens bepaalde procedures (beveiliging, off-site etc.).

Toen ik met een vorige werkgever probeerde backup oplossingen te slijten, kwamen we erachter dat geen enkele tandarts compliant was; vaak geen backup of op een USB-harddisk in de vensterbank. De antwoorden waarom ze niet compliant waren was heel vaak "we hebben al zoveel regels waar we ons aan moeten houden..." of "de boete is lager dan de investering".

Toen we vervolgens naar de Zahnärztekammer (vakgroep) gingen met dit gegeven was de eerste vraag "zijn jullie hier om ons aan te klagen?"... Mijn mond viel open; de beste man vertelde ons dat de policy is "klaag ons maar aan, dat kost onze leden minder dan wat voor oplossing ook".

Dit is hopelijk anders in Nederland, maar dat een hele tak in Oostenrijk zo werkt is verbaasde mij tenminste enorm...
[/off-topic]

SunnieNL

@WienerBlut • 29 december 2017 14:39

10 jaar bewaren is ook wat...
Al zouden ze het bewaren dan moeten ze ook zorgen dat ze er nog bij kunnen. Dat betekend restoren, de oude versie nog hebben die ook vaak oude hardware vereist. Een taperecorder van nu kan waarschijnlijk die oude tapes niet meer lezen.

Kan me voorstellen dat ze de boete voor lief nemen, want de investering kost idd een vermogen.

Raphaelo @SunnieNL • 29 december 2017 16:12

Ook al was de investering maar 2 dubbeltjes, als de AP zelf al zegt geen boetes te geven blijft dat natuurlijk altijd de goedkoopste optie.

WillySis @WienerBlut • 29 december 2017 14:52

Meteen melding aan de AP, maar pas na twee maanden worden de klanten op de hoogte gesteld. Heel veel hulde verdient dat niet.

Jasper Janssen @WillySis • 1 januari 2018 10:26

De timing van klanten op de hoogte stellen wordt bepaald door de autoriteit, niet door het bedrijf.

WillySis @Jasper Janssen • 1 januari 2018 10:52

Dat klopt niet. Als bedrijf mag je wel enige tijd voor onderzoek nemen, maar je moet zelf zo snel mogelijk de betrokkenen informeren. De AP heeft hier geen zeggenschap over.

In de wettekst staat:
"Autoriteit Persoonsgegevens | De meldplicht datalekken in de Wbp 45
U moet het datalek onverwijld melden aan de betrokkene (artikel 34a , tweede lid, Wbp).
Het onverwijld melden houdt in dat u, na het ontdekken van het datalek, enige tijd mag nemen voor nader onderzoek zodat u de betrokkene op een behoorlijke en zorgvuldige manier kunt informeren.
Wel moet u er rekening mee houden dat de betrokkene naar aanleiding van uw melding mogelijk maatregelen moet nemen om zich te beschermen tegen de gevolgen van het datalek. Hoe eerder u de betrokkene daar over informeert, hoe eerder deze in actie kan komen.

Bron: https://autoriteitpersoon...ldplicht_datalekken_0.pdf

Jasper Janssen @WillySis • 2 januari 2018 00:55

Dan is twee maanden dus best snel, concludeer ik.

WillySis @Jasper Janssen • 2 januari 2018 11:43

Ik vind het tergend traag.
Onverwijld betekend zo snel mogelijk!
Onderzoek naar welke gegevens zijn gestolen (naam, telefoonnummer, enz) is in een paar uur te doen. Daar zijn geen twee maanden voor nodig. Zeker als ook het BSN nummer is buitgemaakt, moeten de gebruikers eigenlijk binnen een paar dagen op de hoogte worden gesteld.

Ik werd laatst op de hoogte gesteld van een vermiste losse harde schijf met een backup van de patiëntengegevens nog binnen een uur na vermissing! De AP was nog niet eens op de hoogte gesteld. Daar de harde schijf de volgende dag weer werd gevonden (zat bij een verhuizing toevallig in een andere doos) zal de melding aan de AP ook nooit worden gedaan. Toch ben ik blij dat ik het weet, want er zitten wel gegevens bij waarvan ik niet wil dat die op straat komen te liggen.

gp500 @WienerBlut • 29 december 2017 17:49

Zonder Hand having en Onderzoek recherche is elke wet/bedoeling dood.
Dit zie je in NL bij enorm veel zaken.

Dat is ook een zwak van onze democratie vind ik.
Letterlijk uitvoering is natuurlijk ook onzinnig je moet de bedoeling waarmaken met de praktijk.
2 voorbeelden, eigen risico zorg en boetes/straf voor ...... verkeersovertreding.

Ex-KPN-er @WienerBlut • 29 december 2017 13:52

Ok; hij meld het in ieder geval; maar ik word zoals zo vaak bij dit soort meldingen best misselijk van deze door een advocaat opgestelde 'ik dek mij in-zin':

"Tijdens het onderzoek zijn er geen aanwijzingen gevonden dat uw persoonsgegevens in handen van kwaadwillende derden zijn gekomen. Desondanks kunnen wij helaas niet uitsluiten dat derden toegang hebben gehad tot uw persoonsgegevens"

Dat had moeten zijn:

Tijdens het onderzoek zijn er helaas geen aanwijzigingen gevonden dat uw persoonsgegevens NIET in handen van derden zijn gekomen"

(en dan waarschijnlijk omdat ze de logs kwijt zijn....)

regmaster @Ex-KPN-er • 29 december 2017 14:30

Ik stel, als DPO/FG, dergelijke brieven vaker op, samen overigens met communicatie mensen. Dubbele ontkenningen in één zin levert bijzonder veel verwarring op bij de gemiddelde lezer dus moet je die ook niet gebruiken.
Met de inhoud van de tandarts is helemaal niets mis en leest een stuk prettiger als jouw versie. Als deze versie inderdaad door een jurist geschreven zou zijn zou daar iets geheel anders hebben gestaan.
Eerder iets als:
"Tijdens het uitgevoerde onderzoek, naar aanleiding van het geconstateerde vermeende datalek, moeten wij concluderen dat, ofschoon wij niet kunnen aantonen dat uw gegevens niet in handen zijn gevallen van derden, wij met enige zekerheid kunnen uitsluiten dat dit het geval zou geweest kunnen zijn."

Arnoud Engelfriet @regmaster • 29 december 2017 17:36

Onder de AVG wordt het verplicht om die brieven in zeer eenvoudige taal te schrijven, zeg maar Europees taalniveau B2. Dan dus geen komma's meer en geen jargon of moeilijke passieve vorm. "Wij hebben de inbraak onderzocht. We hebben niet ontdekt of de inbrekers uw gegevens hebben gestolen. Het is dus mogelijk dat uw gegevens gestolen zijn." Ik denk dat dát wel begrepen wordt...

Cocytus @regmaster • 29 december 2017 17:37

Grappig. Ik ben zelf advocaat en ons kantoor adviseert regelmatig DPOs over wat ze in dit soort situaties moeten opschrijven. Jouw zin klinkt meer als iets wat een DPO als concept aan zou leveren omdat hij denkt dat dat is hoe een jurist zich uitdrukt of dat hij zich daarmee indekt dan als iets wat wij daadwerkelijk zouden adviseren.

Rdam @Cocytus • 30 december 2017 21:14

Als iets, als, dat dat, of dat, dan als en zouden in één zin. Ik geloof direct dat jij advocaat bent. $_/-\o_$

Grappig, ik ben zelf advocaat.......
Jouw zin klinkt meer als iets wat een DPO als concept aan zou leveren omdat hij denkt dat dat is hoe een jurist zich uitdrukt of dat hij zich daarmee indekt dan als iets wat wij daadwerkelijk zouden adviseren.

[Reactie gewijzigd door Rdam op 22 juli 2024 13:39]

Guru Evi @WienerBlut • 30 december 2017 18:35

Dat werkt overal hetzelfde. Zolang ze kunnen aantonen dat ze hun "best gedaan hebben", zelfs al weten de experten dat het niet deugt (zoals wij hier op Tweakers), gaat de rechter hun geen straf aanmeten.

Eg. als ze een harde schijf hebben en ze zeggen dat ze daarmee een backup hebben, dat het later gezien niet gewerkt heeft is "spijtig maar niet onze schuld, technologie is moeilijk".

Wetten rond data zijn omschrijvingen, dus er wordt beschreven wat je nodig hebt om als arts of hospitaal te opereren (bijvoorbeeld: backups, beveiliging), er worden echter geen voorschrijvingen gedaan rond wat er verwacht wordt (bijvoorbeeld: aantal backups, backup tests, soort van firewalls, antivirus kwaliteit, dagelijkse/maandelijkse rapporten bewaren). In andere industrie is dit dan wel het geval, daar gaat de overheid voorschrijven welke en ppm chemische elementen in je drinkwater mag of moet en moet je dagelijkse rapporten voor enkele jaren kunnen aanleveren.

[Reactie gewijzigd door Guru Evi op 22 juli 2024 13:39]

RockNoobster 29 december 2017 11:54

Geachte heer, mevrouw,

Volgens onze administratie bent u ingeschreven (geweest) als patiënt bij Samenwerkende Tandartsen Nijmegen - de Tandarts (voorheen Tandarts Vos, de Tandarts Nijmegen en Wijchen), ZBC de Kaakchirurg en/of Enface Kliniek. Mochten er gezinsleden zijn die wij middels dit schrijven niet bereiken, dan vragen wij dit bericht te delen met hen. Wij hebben in het kader van uw behandeling persoonsgegevens over u in onze administratie. Bijvoorbeeld uw naam- en adresgegevens, BSN-nummer, uw rekeningnummer en in veel gevallen gegevens over uw gebit.

Eind oktober 2017 zijn onze computersystemen helaas getroffen door een computervirus dat is gemaakt door hackers. Dit virus heeft de bestanden in onze computersystemen in gijzeling genomen. Hierdoor waren onze computersystemen voor ons tijdelijk niet meer toegankelijk. Het doel van het gijzelvirus was om losgeld te verkrijgen in ruil voor toegang tot onze bestanden. Gelukkig maken wij regelmatig kopieën van onze computersystemen en hebben wij daarmee zelf onze systemen kunnen terugzetten.

Zodra wij op dezelfde dag nog op de hoogte raakten van het virus, hebben wij direct melding gedaan bij de Autoriteit Persoonsgegevens. Vervolgens hebben wij forensische IT-experts ingeschakeld. Zij hebben uitgebreid onderzoek gedaan naar de getroffen computersystemen.

Tijdens het onderzoek zijn er geen aanwijzingen gevonden dat uw persoonsgegevens in handen van kwaadwillende derden zijn gekomen. Desondanks kunnen wij helaas niet uitsluiten dat derden toegang hebben gehad tot uw persoonsgegevens.

Hoewel wij dat niet verwachten, kan het toch zijn dat u ongunstige gevolgen zou kunnen ervaren als gevolg van deze gebeurtenis. Wij verzoeken u daarom de komende tijd alert te zijn voor identiteitsfraude en mogelijke verdachte e-mails, brieven of telefoongesprekken. Voor meer informatie over identiteitsfraude kunt u terecht bij de Rijksoverheid.

Wij vinden het van groot belang om zorgvuldig met de persoonsgegevens van onze patiënten om te gaan. We staan iedere dag klaar om voor u te zorgen. Wij betreuren het dat deze gebeurtenis heeft plaatsgevonden. We verzekeren u er van dat de beveiliging van uw persoonsgegevens voor ons uiterst belangrijk is. Wij nemen constant maatregelen om de beveiliging van onze systemen naar een nog hoger niveau te tillen.

TheDudez @RockNoobster • 29 december 2017 13:24

En wat als er nu misbruik vind dankzij dit? Gaat de
Nijmeegse tandartspraktijk je volledige schade vrij stellen?

wildhagen

@TheDudez • 29 december 2017 13:27

Natuurlijk niet, dat is ook niet realistisch natuurlijk. De verantwoordelijkheid van dat misbruik ligt nog altijd bij degene die dat misbruikt pleegt, die moet je dus hebben voor je schadevergoeding.

Emgeebee @wildhagen • 29 december 2017 15:25

Dat is natuurlijk zo, maar wat als er nu sprake is van grove nalatigheid van de tandartsenpraktijk? Ik ben wel benieuwd in hoeverre het IT-systeem van die praktijk bijgehouden werd.

TheDudez @Emgeebee • 29 december 2017 15:53

Precies. Ik als klant kan hier niks aan doen! En ga jij maar eens achter de dader aan. De politie heeft zijn ICT niet op orde. Dus daar hoef ik ook niks van te verwachten.

[Reactie gewijzigd door TheDudez op 22 juli 2024 13:39]

ZatarraNL

@TheDudez • 29 december 2017 18:02

En wat als ze inderdaad aansprakelijk worden gesteld door nalatigheid, wat is dan de schade die is geleden? Hooguit persoonsgegevens die op straat liggen. Die zijn een 10tje waard in de handel?

blissard @ZatarraNL • 29 december 2017 18:50

De potentiële schade en de waarde op straat zijn natuurlijk niet met elkaar te vergelijken

TheDudez @ZatarraNL • 30 december 2017 11:46

Dat kan veel meer zijn dan een paar tientjes. Identiteit fraude heb je dan nog jaren last van.

Anoniem: 636203 @Emgeebee • 29 december 2017 16:00

Dat is moeilijk te bewijzen.

Als iemand op een zip file klikt en deze ook opent en de executable daarin draait dan vind ik dat wel ver richting nalatigheid gaan, moet ik zeggen. En dat is toch wat hier gebeurt is.

latka @wildhagen • 29 december 2017 21:00

Als ik spullen op sla in een gehuurde box en ze worden gestolen dan krijg je wel vergoed. Als er geen monetaire reden is voor bedrijven om data goed te beveiligen zullen ze dat niet doen.

M14 @TheDudez • 29 december 2017 13:34

Heel vervelend natuurlijk als iemand de gevolgen van identiteitsfraude ondervindt, maar hoe wil je bewijzen dat het betreffende lek daar de oorzaak van is?

sambalbaj @M14 • 29 december 2017 14:28

Goed punt al is het hier makkelijk als er verwezen wordt naar unieke gegevens die bij de tandarts bekend zijn.
Eigenlijk is het allemaal enkel juridisch indekken. Die meldplicht en reactie naar de betrokken ook.

Zelf tweemaal gehad en mail dan terug dat ik ze bedank voor het melden maar ze wel aansprakelijk stel voor alle mogelijke toekomstige schade die uit het betreffende lek voortkomt. Zoals je al stelt in de praktijk nauwelijks te bewijzen, maar wel een goed signaal dat een organisatie er enkel met een indekmelding niet is. Kreeg er de ene keer een begripvolle nette reactie op en de andere keer meteen een bedrijfsjurist die over de zeik was en over reputatieschade begon. Bij die laatste was ik toen niet lang meer klant.

TheDudez @M14 • 29 december 2017 15:55

Goed punt. Is inderdaad lastig. Maar er zullen vast wel wat dingen te herleiden zijn naar de tandarts praktijk.

The Zep Man

Netwerk en systeembeheer

@M14 • 29 december 2017 22:34

Heel vervelend natuurlijk als iemand de gevolgen van identiteitsfraude ondervindt, maar hoe wil je bewijzen dat het betreffende lek daar de oorzaak van is?

Als het gebruikte emailadres (aloas) jenaam.samenwerkendetandartsennijmegen@domein.extensie is en dat adres wordt alleen gebruikt om met Samenwerkende Tandartsen Nijmegen te communiceren, en plots krijg je email van andere partijen... Dan weet je genoeg.

M14 @The Zep Man • 30 december 2017 22:36

Zelfs dan niet. Kun je uitsluiten dat je zelf niet de oorzaak van het lek bent?

bbob

Netwerk en systeembeheer

@TheDudez • 29 december 2017 14:27

Wat voor een misbruik en hoe kun je weten dat dat misbruik te herleiden is tot de gelekte gegevens.

Anoniem: 167912 @TheDudez • 29 december 2017 21:17

verwacht jij ook dat de eigenaar van een gestolen wagen opdraait voor een ongeluk van de dief?

TheDudez @Anoniem: 167912 • 30 december 2017 11:44

Wel als de eigenaar van die wagen zijn sleutels er in laat zitten en iemand onder de 18 gaat er mee joyrijden. Maar met een wagen is dat simpel te achterhalen. Met dit niet!

BobV @RockNoobster • 29 december 2017 14:02

Wij hebben dit bericht per post gekregen, maar er stond wel een compleet onjuiste naam boven het adres

Dus als de administratie daar zo slecht is, hebben de aanvallers alleen maar gehusselde gegevens gekregen

jordy2811 @BobV • 29 december 2017 16:46

Dat is toch heel goed mogelijk als de vorige bewoner van jullie adres vroeger bij deze tandarts is geweest?

BobV @jordy2811 • 29 december 2017 18:17

Niet als het een nieuwbouwwoning in Enschede is

Jasper Janssen @BobV • 1 januari 2018 10:41

En wat stond er op dat land langs die straat op dat nummer voordat de wijk werd platgegooid en opnieuw opgebouwd?

BobV @Jasper Janssen • 1 januari 2018 10:59

Het is in de 10 jaar voordat dit gebouwd werd een leeg perceel in de wijk geweest: daarnaast, wat is de kans dat een Nijmeegse praktijk 2 patiënten in Enschede zou hebben op hetzelfde adres?
De gegevens die ze gebruikt hebben moeten trouwens ook nog eens uit het GBA zijn gekomen, want mijn vriendin heeft de wijziging nooit doorgegeven daar (aangezien het om een eenmalig bezoek ging).

ari2asem 30 december 2017 13:30

hallo allemaal....ik ben zelf ook een tandarts, ik zit op tweakers al jaren, volg deze site elke dag met het nieuws.
ik heb ook veel reacties gelezen. ik zal even reageren op een paar dingen.

- BSN ==> een zorgverlener is verplicht een BSN nummer in zijn administratie op te nemen (ziekenhuis, apotheek, fysio, tandarts etc etc).
==> je kunt als patient ervoor kiezen om geen BSN door te geven, maar dan kies je er dus ook voor om alle behandelingen bij de tandarts direct na de behandeling af te rekenen. want zonder BSN geen declaratie. dus als gevolg hiervan direct afrekenen. ik heb tot nu toe 1 patient die geen BSN wil doorgeven en alles netjes na de behandeling direct afrekent en krijgt van mij officiele factuur.
==> maar hoe ga je dit dan met het ziekenhuis regelen? ga je daar ook direct afrekenen als je in het zkh geen BSN wil achterlaten?

- Beveiliging ==> de beste beveiliging van je netwerk is GEEN NETWERK

maar even serieus.

hoe werkt het in de tandartspraktij qua software?
de software staat op een centrale computer geinstalleerd met de database van alle patient-gegevens (zeg maar een server, hoeft niet server-OS te draaien). waar deze computer staat kan ook verschillen. de receptie of speciale patch-kast. vanuit de behandelkamers wordt de software gedraaid en alle aanpasing in het dossier gaan via netwerk naar de centrale computer om de aanpassing in het database op centrale computer op te slaan.....that is it !!! dit is dus nog alleen het verhaal van dossier benaderen, bekijken en aanpassen (dwz behandelingen in het dossier invoeren, notities maken).

je kunt je hele interne netwerk (server en clients waar de gevoelige patientgegevens staan) aansluiten op een aparte switch die helemaal niet aan internet gekoppeld is. en 1 andere computer (waar geen patientgegevens op staan), kun je aansluiten op een 2de switch die wel aan internet gekoppeld is.

maar hoe wil je dan de gegevens die je van andere zorgverleners krijgt, in patientendossier verwerken? het kan wel met usb-stick als tussenstap. maar als je ene computer (die aan internet gekoppeld is) al virus in zit, heb je natuurlijk het risico om je usb-stick met virus te infecteren en andere systemen zonder internet ook te infecteren.

verder kun je natuurlijk de hele patientendatabase ook in veracrypt stoppen tegen diefstal. maar op het moment dat je aan het werk bent (dus behandeling in het dossier invoeren), kan je veracrypt-partitie dus geinfecteerd worden.

dus degene die 100% beveiliging voor mij kan bedenken, mag mij even een berichtje sturen

killercow 29 december 2017 12:13

En de hand in eigen boezem? Je krijg niet een ransomware virus binnen omdat je je ICT netjes op orde hebt. Ook ontbreekt enige vorm van uitleg over wat ze er technisch nu aan verbeterd hebben zodat het niet volgende week weer gebeurt.

Bestuurlijk is er redelijk gehandeld door te melden, maar technisch rammelde er blijkbaar iets, en is er mogelijk niks verbeterd.

anboni @killercow • 29 december 2017 12:29

Je krijg niet een ransomware virus binnen omdat je je ICT netjes op orde hebt.

Als je ook maar enige echte ICT ervaring hebt, dan weet je dat dit onzin is. Je kunt alle systemen perfect dichtgetimmerd hebben, alle laatste patches toegepast en alsnog kun je slachtoffer worden van ransomware. Simpelweg omdat je systemen ook nog gebruikt moeten kunnen worden. Een ICT omgeving die z'n zaken netjes op orde heeft, gaat er van uit dat ze ook een keer slachtoffer worden van ransomware en zijn daar dus ook op voorbereid (zoals deze praktijk duidelijk was, aangezien ze gewoon een backup hebben teruggezet)

Jerie

@anboni • 29 december 2017 12:42

Zero days inderdaad. Zoals recent met de hartelijke groeten van de NSA.

SunnieNL

@Jerie • 29 december 2017 14:40

Dat was geen zero day.. daar was al maanden een patch voor uit.

bvdbos @killercow • 29 december 2017 12:19

Ransomware is moeilijk te voorkomen. Blokkeren van bijlagen in email? Of alleen zip-bestanden? Ik heb een polis bij een verzekeraar die pdf-bestanden ingepakt in zip's stuurt, dat gaat dan dus ook niet.

Kain_niaK @bvdbos • 29 december 2017 15:23

Windows kan applicatie whitelisten dus exes met een hash die niet in de whitelist staat worden dan niet uitgevoerd.

Dreamvoid @Kain_niaK • 29 december 2017 20:53

Niet alle kwaadaardige code zit in een exe, het kan ook in een PDF zitten.

Webgnome @killercow • 29 december 2017 12:20

Technische uitleg over voorzorgsmaatregelen is voor 90% van de klanten van deze praktijk toch totaal niet relevant? Dat 'wij' verstand hebben van IT wil niet zeggen dat de rest van Nederland dat ook heeft?

Anoniem: 310408 @killercow • 29 december 2017 12:28

Ook ontbreekt enige vorm van uitleg over wat ze er technisch nu aan verbeterd hebben zodat het niet volgende week weer gebeurt.

Waarom zouden ze in een brief naar klanten uitgebreid gaan uitleggen wat er technisch veranderd is?

Jeroenzer 29 december 2017 12:14

Ik werk zelf bij werelds grootste dental supplier en daar doe ik digitaal rontgen support en ik kan je vertellen dat de beveiliging van tandarts praktijken om te janken is...

Quacka @Jeroenzer • 29 december 2017 13:01

Dat is toch ook logisch?
Hoe kan je als kleine ondernemer je hier tegen verdedigen?
Het is bijna onmogelijk alles goed te doen.

Guru Evi @Quacka • 30 december 2017 18:41

Dat is toch ook logisch? Nee, dat is niet logisch, je verwacht toch een beetje inspanning omwille van het soort data

Hoe kan je als kleine ondernemer je hier tegen verdedigen?
Gemakkelijk, je neemt een degelijke IT-er aan.

Het is bijna onmogelijk alles goed te doen.
Je gaat je inderdaad nooit volledig beveiligen, maar er zijn toch een minimaal aantal dingen die je kan doen, ransomware en virussen is een probleem van gemak.

Quacka @Guru Evi • 30 december 2017 19:09

Als je daar te klein voor bent?
Zelfs grote bedrijven maken fouten...

Guru Evi @Quacka • 3 januari 2018 18:38

Als je "te klein" bent (je bedoelt te weinig inkom) om je bedrijf goed te laten draaien heb je een groter probleem dan datalekken en zou je vooral geen data zelf aanpakken, er zijn genoeg aanbieders tegenwoordig waar je de hele boel elders host.

Grote bedrijven maken fouten voor dezelfde redenen. Het draait altijd rond hetzelfde: kosten sparen totdat er iets gebeurt en hopen dat de boete en terugslag van de klant klein genoeg blijft. En als er iets gebeurd smijten ze de handen in de lucht "niet onze fout, niet onze fout, niemand kan zich daartegen beveiligen" terwijl van een technisch standpunt er geen enkele reden is waarom deze lekken zo vaak en zo groot zijn.

Wanneer de echte verantwoordelijken in deze bedrijven (eigenaars, managers, CEO) voor de rechter en in het gevangenis komen zullen dingen veranderen.

8x4 @Quacka • 30 december 2017 15:40

Kleine ondernemer? Heb je enig idee hoe groot Samenwerkende Tandartsen is, en wat voor een grote investeringsmaatschappij daarachter zit? Als organisatie zet die keten tientallen miljoenen euro's aan jaaromzet om. Het is niet bepaald een "kleine ondernemer"...

Quacka @8x4 • 30 december 2017 18:31

Deze doen het ook wel goed.
Maar wat nu als je gewoon een tandarts bent, met computer... Je talent is tanden repareren. Niet it.

Ja grote bedrijven inhuren. Wie gaat dat betalen?
Nu heb ik geen medelijden met tandartsen, maar een kleine tandarts wordt gedwongen bij een organisatie als samenwerkende tandartsen te gaan, omdat er datalekken anders helemaal niet te voorkomen zijn.

En mijn uitspraak gaat ook over fysios, huisartsen, etc etc.

En buiten de zorg zijn er weer andere voorbeelden, al gaat het in die gevallen vaak alleen om uitlekken van persoonsgegevens zonder sofinr.

En de hackers zelf worden nooit gepakt.... Of krijgen flut strafje

Jeroenzer @Quacka • 29 december 2017 13:35

daar heb je toch IT beheer bedrijven voor...

Webgnome @Jeroenzer • 29 december 2017 12:20

Dan moet je dat misschien aan de kaak stellen ergens

Jeroenzer @Webgnome • 29 december 2017 12:22

Wij zijn daar niet verantwoordelijk voor, wij kunnen dit alleen aangeven bij de praktijken(wat we ook doen), zij nemen zelf de systeem beheerders aan die zorg dragen voor de data en dat deze veilig is.

Anoniem: 998261 @Jeroenzer • 29 december 2017 13:05

Dat vind ik altijd de makkelijkste smoes. Als je ziet dat het beter kan is dat toch meteen een mooie business opportunity voor jullie? Je weet wat er niet goed is en hoe het wel moet, je hebt de contacten. 1+1=3. Dus waarom laat je die inkomstenbron onbenut?

Jeroenzer @Anoniem: 998261 • 29 december 2017 13:35

Omdat wij geen beheer van computers gaan doen, wij zorgen dat al het rontgen apparatuur het doet en ook de software die daar voor nodig is, maar wij doen geen systeem beheer, daarvoor is weer een ander bedrijf.

je gaat bij je keukenboer toch ook niet vragen of hij de muren en plafond kan schilderen, nee, daar is weer een ander bedrijf voor.

daarnaast is de data waar het hier om gaat van PM systeem ( Patient management systeem), daar doen wij al helemaal niks mee omdat het geen rontgen is, los van het feit dat wij ook geen PM systeem/software leveren.

sirono @Webgnome • 29 december 2017 12:32

prachtige pun!

DefaultError 29 december 2017 12:04

Aangezien het BSN nummer gevoelig is voor fraude zouden deze beter op een veilige plek bewaard kunnen worden. Implementeren van een extra check met vingerafdruk scanner of gewoonweg een wachtwoord. Dan is de schade beperkter. Er valt wat van te zeggen om dit op grotere schaal toe te passen trouwens.

wica @DefaultError • 29 december 2017 12:20

Maar waarom moet een tandarts je BSN nummer hebben?

KennyR @wica • 29 december 2017 12:28

Daarmee controleren ze welke verzekering jij hebt en dienen ze de kosten in.

wica @KennyR • 29 december 2017 12:32

Daar heb je toch een verzekerings nummer voor?
Ze kunnen bij het inschrijven controleren of de BSN nummer op de zorgpas overeenkomt met die van je ID bewijs en dus niet opslaan.
En vervolgens kunnen ze verder met alleen je verzekeringsnummer.

KennyR @wica • 29 december 2017 12:36

Zo zou het kunnen maar zo doen ze het dus niet. Ik vroeg mij ook af waarom ze dat nodig hebben, ze gaven dat als reden.

Anoniem: 455617 @wica • 30 december 2017 05:48

In principe kan dat. Echter dat is fraude gevoelig omdat een zorgpas makkelijk na te maken is (gewoon een geprint stukje plastic). Door het BSN over te nemen van het ID maak je dit moeilijker (ID is lastiger om te vervalsen).

wica @Anoniem: 455617 • 30 december 2017 07:50

In Belgie en Duitsland hebben de zorg passen een chip. En in Duitsland vanaf 15jaar zelfs een foto.
Waarom kan dat in Nederland niet?

YDh @wica • 29 december 2017 12:52

Omdat dit nu eenmaal een manier is om mensen uniek te identificeren.

Je wil niet dat je tandarts je identificeert aan de hand van je naam. Er zal maar iemand in het systeem zitten met dezelfde naam wiens gebit volledig getrokken moet worden :-)

Het alternatief is een uniek klantennummer per zaak (tandarts / dokter / ...) maar mensen vinden het niet zo leuk om overal een kaartje van bij te moeten houden.

wica @YDh • 29 december 2017 12:59

Nee, daar hebben we een zorgverzekeringsnummer voor. Welke al uniek is.

Anoniem: 998261 @wica • 29 december 2017 13:10

Een polisnummer is alleen uniek binnen een verzekeraar. Een andere verzekeraar kan eenzelfde polisnummer gebruiken.

[Reactie gewijzigd door Anoniem: 998261 op 22 juli 2024 13:39]

DarkMagician @YDh • 29 december 2017 14:34

Jammer alleen dat ik dit “unieke” nummer verplicht overal naar buiten moet brengen. Op mijn website, briefpapier, factureren, bij elke leverancier... ja de zzper (waar we er aardig wat van hebben) mag zijn bsn lekker overal achterlaten want ondanks alle campagnes en waarschuwingen is dit nog altijd je BTW nummer :’)

Anoniem: 455617 @DarkMagician • 30 december 2017 06:06

WTF? Dat meen je niet? Googletje googletje op het net, wie is er de domste van het land?

Inderdaad ja, de nederlandse belastingdienst die dit heeft bedacht. Dit komt gewoon neer op criminele nalatigheid. Het zou een goede zaak zijn als enkele zzp-ers die hierdoor slachtoffer zijn geworden van ID fraude de belastingdienst zouden aanklagen voor schadeloosstelling. En dan tevens zorgen voor veel media aandacht voor de zaak. Mailings naar alle kranten, omroepen, nieuws sites, politieke partijen enz.

sirono @wica • 29 december 2017 12:31

Omdat de wet voorschrijft dat bij zorg het BSN meegestuurd dient te worden om de patient altijd uniek te identificeren.
Het is niet alleen toegestaan, maar zelfs verplicht voor zorgaanbieders om met het BSN te werken...

wica @sirono • 29 december 2017 12:33

Ik heb al een uniek nummer op mijn zorgpas naast mijn BSN.

sirono @wica • 29 december 2017 12:34

maar die is uniek binnen je zorgverzekeraar, en veranderd als je van verzekering veranderd. (tenminste, als je echt veranderd, niet naar een andere verzekeringsuiting binnen dezelfde grote verzekeraar gaat)

BSN is altijd uniek over alles heen, en kan dus gebruikt worden om je te herkennen ook al ben je van verzekeraar veranderd...

wica @sirono • 29 december 2017 12:52

Is er dan een systeem, waar je aan de hand van het BSN nummer, kan achter halen welke zorgverzekering iemand heeft?

sirono @wica • 29 december 2017 12:55

Jep, dat wordt door de nederlandse zorgautoriteit verzorgt (nza.nl). zij controleren of iedereen wel een verzekering heeft enzo. En als je niet betaald voor je zorgverzekering, val je uiteindelijk terug in een polis van de NZA, zodat je altijd verzekerd bent voor basiszorg.

Zorgverzekeraars moeten 1 per zoveel tijd alle statistieken aanleveren zodat de nza kan zien hoe het met de zorgkosten gesteld is.
Daarnaast kun je maar 1 zorg verzekering tegelijk hebben, ook die controle verloopt via NZA.

wica @sirono • 29 december 2017 12:58

Dus de NZA weet ook bij welke zorgverzekering ik verzekerd was en nu ben.
Of wel, ook de NZA weet mijn verzekeringsnummer.

Dus de BSN is niet nodig.

Ik ben van mening, des te minder een bedrijf van je weet, des te minder kunnen verliezen.

sirono @wica • 29 december 2017 13:01

Niet elk request gaat langs de NZA.
Omdat je tandarts ook weet welke verzekering je hebt wordt de factuur rechtstreeks naar de verzekering gestuurd, die controleert alleen of de BSN en polis kloppen met elkaar.

Overigens zijn er best manieren te bedenken waarbij BSN niet noodzakelijk is. Maar vooralsnog is dat niet aan de tandarts, maar aan de wetgever. die bepaald dat BSN verplicht is in deze gevallen

zie ook https://www.rijksoverheid...nummer-bsn/bsn-in-de-zorg

wica @sirono • 29 december 2017 13:07

Ben het met je eens, dat de oplossing bij de rijksoverheid ligt en niet bij een random zorgverlener.

Maar het valt mij gewoon op hoe vaak mijn BSN nummer ergens in een database komt. Eigelijk zovaak, dat ik geen idee heb wie deze allemaal heeft.

Jasper Janssen @wica • 1 januari 2018 10:47

En dat is ook logisch, aangezien de BSN een identificatienummer is, en niet een authenticatienummer.

Anoniem: 998261 @wica • 29 december 2017 13:07

@wica: En hoe vindt de NZA dan iemand die niet verzekerd is of dubbel is verzekerd?

DefaultError @wica • 2 januari 2018 22:53

Om onkosten te kunnen declareren, bij het ziekenhuis hebben ze dit ook nodig als dat het geval is. Het is het bewijs dat het om de persoon in kwestie gaat en bij wet geregeld.

Edit: bij wet

[Reactie gewijzigd door DefaultError op 22 juli 2024 13:39]

wica @DefaultError • 2 januari 2018 23:00

Bij onze buurlanden hebben ze een chip en foto op de zorgpas, meer hoeft de arts of ziekenhuis niet te weten. Dus nee, BSN is NIET nodig.

DefaultError @wica • 2 januari 2018 23:01

En dat is dan wel weer fraudegevoelig. Want bij een zorgpas in Nederland is een foto niet vereist. En waarom kan een tandarts niet de kennis in huis halen om zijn of haar ICT veilig te maken?

[Reactie gewijzigd door DefaultError op 22 juli 2024 13:39]

Kobro|A @wica • 20 januari 2018 17:11

Alle zorgverleners zijn in NL wettelijk verplicht om het bsn te noteren in alle communicatie naar andere zorgverleners, indicatieinstellingen en zorgverzekeraars (wet gebruik bsn in de zorg).

wica @Kobro|A • 20 januari 2018 17:45

En ik vraag mij af waarom dit nodig is? Ja, waarschijnlijk moet de wet er voor aangepast worden.
Maar als niemand dit zich af vraagt, gebeurd er nooit wat.

Mijn zorgverzekering weet mijn BSN nummer, de NZA weet mijn BSN nummer.
De zorg verlener mag naar mijn mening, aan de hand van mijn ID controleren of de zorgpas van mij is.
De zorg verlener heeft naar mijn mening, helemaal geen BSN nummer nodig.

Wat ze niet hebben, kunnen ze ook niet lekken.

eth0 29 december 2017 11:51

Bij dit soort kleinere praktijken is het met de IT vaak slecht gesteld, vaak geen kennis of te "duur". twerwijl ze wel veel gevoelige informatie (medisch/naw) bewerken en opslaan.

Onlangs bij mijn eigen tandarts meegemaakt, hier waren de systemen gecrasht, en geen backup beschikbaar!!! Hierdoor waren ze alle afspraken kwijt. Vervolgens zijn ze alle klanten gaan bellen met de vraag of zij wisten wanneer zij een afspraak hadden om zo de agenda weer te vullen...

Blokker_1999

Netwerk en systeembeheer

@eth0 • 29 december 2017 11:57

Dat het bij je eigen tandarts misgaat wil niet zeggen dat het overal zo is. Het feit dat ze hier direct melding hebben gemaakt bij de AP, niet betaald hebben en een backup hebben kunnen terugzetten toont aan dat ze hier duidelijk wel hun IT op orde hebben.

eth0 @Blokker_1999 • 29 december 2017 12:05

Als zij hun IT wel op orde hebben volgens jou, waarom en hoe zijn zij dan besmet met ransomware? Dat zei wel een backup hebben zegt niets over de rest...

Vanuit mijn werk kijk ik vaak genoeg naar dit soort omgevingen, en geloof me, vaak is het niet op orde en belangrijker geen awareness...

RGAT @eth0 • 29 december 2017 12:16

Hier dus duidelijk anders. Goede backupstrategie die niet door de ransomware besmet is en ook gewoon werkt, directe melding aan AP en inschakelen van experts en de klanten inlichten.
Jammer dat andere bedrijven het minder goed doen maar juist hier laat er eentje zien hoe het wel moet.

Dat ransomware besmettingen gebeuren omdat ze hun IT niet op orde zouden hebben is natuurlijk onzin, dat weet je zelf vanuit jouw werk ook wel.

hakog2 @RGAT • 29 december 2017 13:15

Nou, het feit dat iemand van buitenaf bij mijn medische gegevens kan komen is natuurlijk niet zo best. Dat er hier en daar een computer onbruikbaar wordt na een ransomware aanval valt nog wel te verdedigen, maar dat een complete database met medische gegevens gekaapt kan worden is een brug te ver. Dan heb je je beveiliging niet op orde. Toegang tot deze gegevens zou beperkt moeten worden door een API, rechtstreeks toegang tot de harde schijf waar deze gegevens op staan zou niet zomaar moeten kunnen.

[Reactie gewijzigd door hakog2 op 22 juli 2024 13:39]

RGAT @hakog2 • 29 december 2017 13:44

En hoe zie je dat voor je?
Jij komt op bezoek bij de tandarts die per kwartier aftikt en het eerste kwartier zit je daar te wachten op jouw kosten terwijl de tandarts de gegevens op probeert te halen?...
Niemand kon van buitenaf bij de medische gegevens komen, de ransomware kon mogelijk van binnenuit naar buiten komen met die gegevens, dat is al iets heel anders dan van buitenaf zomaar die gegevens opvragen...
Verder doet een API niets aan beveiliging, enkel aan een centraal punt om data uit te wisselen, die API is net zoals de database waar de informatie nu in staat gewoon op het netwerk toegankelijk, dat moet want de tandarts werkt niet in het bezemhok waar de server staat, daar is het ook handig internet te hebben zodat verwijzingen en declaraties doorgestuurd kunnen worden o.a.
Leuk dat je op een gestandaardiseerde wijze die gegevens uit een API kan halen, dat kan het virus dus ook, schijnveiligheid dus.

Nergens wordt overigens gezegt dat er rechtstreeks toegang was tot de HDD waar de gegevens op stonden, als dat gebeurt was zou het ergere probleem zijn dat die gegevens maar op 1 HDD stonden en niet in RAID als we toch aannames maken

Er is geen sprake van een 'feit dat iemand van buitenaf bij jouw medische gegevens kon komen'.

Die data moet beschikbaar zijn, per definitie van beschikbaar zijn betekent dit dat als het netwerk gehackt wordt er de kans bestaat dat er een mogelijk een deel van deze gegevens ingezien kan worden door de hacker(s), dat is waar deze tandarts voor waarschuwd: het is zeer onwaarschijnlijk en vrijwel zeker niet gebeurt maar 100% uitsluiten kan niemand.

Tenzij je wil air-gappen voor een tandarts, geen enkele client zal per bezoek al even 30,- aan 'data ophaal kosten' betalen...

[Reactie gewijzigd door RGAT op 22 juli 2024 13:39]

hakog2 @RGAT • 29 december 2017 14:28

En hoe zie je dat voor je?
Jij komt op bezoek bij de tandarts die per kwartier aftikt en het eerste kwartier zit je daar te wachten op jouw kosten terwijl de tandarts de gegevens op probeert te halen?...

De tandarts heeft een applicatie die mijn medische gegevens via een netwerk ophaalt. Deze gegevens staan op een centrale plek waar de tandarts zelf niet rechtstreeks bij kan. De gegevens worden benaderd via een API. Deze API zorgt ervoor dat alleen geautoriseerd personeel bij de gegevens kan. Na mijn (hopelijk kort) bezoek sluit de tandarts mijn dossier en worden mijn gegevens van de PC van de tandarts verwijderd.

Op het moment dat de tandarts slachtoffer wordt van ransomware heb je alleen de gegevens van je huidige patient op je PC staan.

Verder doet een API niets aan beveiliging, enkel aan een centraal punt om data uit te wisselen, die API is net zoals de database waar de informatie nu in staat gewoon op het netwerk toegankelijk, dat moet want de tandarts werkt niet in het bezemhok waar de server staat, daar is het ook handig internet te hebben zodat verwijzingen en declaraties doorgestuurd kunnen worden o.a.
Leuk dat je op een gestandaardiseerde wijze die gegevens uit een API kan halen, dat kan het virus dus ook, schijnveiligheid dus.

Een API kun je op vele manieren beveiligen, gaat wat ver om die hier allemaal op te sommen.
Als voorbeeld zou je kunnen voorstellen dat een API voorkomt dat de gegevens van patienten die geen afspraak hebben op het moment van de aanval opgehaald kunnen worden. De schade van je ransomware aanval blijft dan beperkt tot enkele patienten. Ik kom zelf uit Nijmegen en in mijn omgeving hebben behoorlijk wat mensen mail gehad van de tandarts.

Tenzij je wil air-gappen voor een tandarts, geen enkele client zal per bezoek al even 30,- aan 'data ophaal kosten' betalen...

Uhhh. Sorry, geen idee wat je hier mee bedoeld.

[Reactie gewijzigd door hakog2 op 22 juli 2024 13:39]

SunnieNL

@hakog2 • 29 december 2017 14:45

dus jij wil al je medische gegevens centraal op een server hebben staan.. die ook naar buiten verbonden is anders kan de tandarts niet bij die gegevens. En zon server is natuurlijk niet vatbaar voor zo’n ransameware attack?
Wat als daar ff iemand even niet goed op let en per ongeluk op een link klikt? Of als een onderhouds persoon de software gaat updaten en een besmette usb stick erin steekt?

hakog2 @SunnieNL • 29 december 2017 15:09

Het kan een server zijn die alleen via het interne netwerk benaderbaar is. En ik neem even aan dat gebruikers niet rechtstreeks op die server kunnen inloggen. Waar denk jij dat tandartsen, huisartsen, ziekenhuizen, banken en dergelijke hun gegevens opslaan ?

SunnieNL

@hakog2 • 29 december 2017 15:24

Een server lokaal is toch net zo vatbaar voor de ransomeware of ik die nu via API of SMB benader? Hij staat dan open in het netwerk, waardoor (als niet gepatched) WannaCry er alsnog zo bij kan. Dus dan gaat dat API naar een lokale server, dit probleem niet echt oplossen.

RGAT @hakog2 • 29 december 2017 15:11

Dat heeft dus niks met een API zelf te maken en kan ook door een normale database gedaan worden.

Wat je wilt is dat als jij tijdens het eten een vulling voelt afbreken jouw tandarts dan tegen jou zegt:
'Ja sorry meneer, maar door ons systeem kunnen we nu niet bij uw dossier, u bent dus in maart welkom om de helse kiespijn aan te pakken'

Die data moet altijd beschikbaar zijn dus, elk dossier moet willekeurig op elk moment, ook buiten kantoortijden beschikbaar zijn, daarop beperken kan dus niet.
Verder staan alle dossiers niet op de tandarts pc, waar je dat vandaan haalt? Die staan op een centrale server waar je uiteraard op inlogt... Het is niet zo dat iedereen maar daar alle data mag krijgen...
Die applicatie moet overigens ook nog werken met jouw API, dus je moet de medische wereld even opnieuw uitvinden en al je Röntgen apparatuur weggooien en zelf bouwen zodat het ermee werkt.
Zodra die API meer standaard wordt door de tandartsbranche zal malware er ook op gaan focussen en zal het lekken vinden...
Die API lost dus een probleem op wat er niet is en laat het echte probleem gewoon open

Waar draait die API? Op een server, zoals nu ook al met een database applicatie die hetzelfde doet maar het anders noemt? Is die server ondoordringbaar door een API? Mooi, patenteren die handel en multi-miljardair worden, je zou letterlijk de eerste zijn die een ondoordringbare server zou maken waar nog data in en uit kan, dat bestaat namelijk niet.

Air-gappen is dat je de data op een systeem/netwerk zet wat nergens anders mee verbonden is, er zit alleen lucht tussen de computers van dat systeem en bijvoorbeeld het internet, geen kabel, wifi of wat dan ook. Dan kan er dus ook niet gehackt worden en zelfs dit soort systemen worden gewoon gehackt.
Normaal voor zaken waar bijvoorbeeld een kernreactor/centrifuges achter zitten is air-gapping.

mphilipp @hakog2 • 29 december 2017 14:04

Dat heeft meer te maken met ranzige (lees: niet secure) software. Een tandarts hoeft niets te weten van API's en hoe de data beveiligd moet zijn. Dat is de taak van de softwareproducenten. Maar helaas is het nivo van de gemiddelde MKB software zo bedroevend dat je tenen met de beste wil van de wereld niet meer recht te krijgen zijn. En brancheverenigingen, die feitelijk de expertise zouden moeten hebben en hun leden adequaat moeten voorlichten zijn al net zo simpel.

Dus je krijgt dan ondernemers met slecht geschreven software die slecht beveiligd is. Wiens schuld is dat? Die tandenboer is goed in trekken en boren, maar heeft geen verstand van automatisering. Inderdaad, ze hebben geen geld voor een eigen ICT'er dus moeten iemand inhuren of vertrouwen op leveranciers. Maar in de MKB hoek is het moeilijk rijk worden als je goed advies geeft, dus doe je dat niet en rommel je maar wat aan...

hakog2 @mphilipp • 29 december 2017 14:38

Klopt. De tandarts zou een veilige applicatie moeten gebruiken voor het raadplegen van patient gegevens. Ik neem aan dat deze tandarts dat ook gedaan heeft.

Maar kennelijk waren er ook patient gegevens opgeslagen op plekken die toegankelijk waren via computers die gebruikt werden om te mailen, internetten, afspraken maken, etc. Dit zou echt niet moeten kunnen.

Wasrek @RGAT • 29 december 2017 12:37

Eigenlijk wel jammer dat een tandartsenpraktijk die wél netjes met ICT omgaat, wél een melding doet bij de AP en vervolgens ook nog alle klanten informeert, nu door dit soort nieuwsberichten i.c.m. Google altijd geassocieerd zal worden met een datalek... een praktijk die niets meldt komt er in die zin beter vanaf. Waarmee ik overigens zeker niet wil zeggen dat dit soort berichten niet gepost moeten worden: ze helpen immers heel erg goed met het kweken van bewustzijn over de risico's van opslag van persoonsgegevens.

Anoniem: 392841 @Wasrek • 29 december 2017 13:10

Als de AP z'n werk zou doen (wat ze duidelijk compleet niet doen, zie ook het dossier rondom de gegevens- en betalingsverzamelaars zoals Focum die de wet overtreden), zou het niet-meldende bedrijf veel negatiever in het nieuws komen. Alleen de AP doet nauwelijks z'n werk....

repmeer @Anoniem: 392841 • 29 december 2017 13:19

En waarop baseer je dat de AP haar werk nauwelijks doet?
Op 1 dossier kun je dat niet bepalen

[Reactie gewijzigd door repmeer op 22 juli 2024 13:39]

vanaalten @eth0 • 29 december 2017 12:32

Het (niet) op orde hebben van IT is geen zwart-wit verhaal. Deze tandarts had z'n IT beter op orde dan de gemiddelde thuisgebruiker, maar niet zo goed op orde als, zeg, een internationale bank.

Bouddieehh @vanaalten • 29 december 2017 13:08

Uhmm banken zijn ook weleens ge-DDoS’ed?? En TNT lag er afgelopen zomer ook dagen/weken uit door ransomware.

Wat gmji zegt er hoeft maar 1 nubje een linkje te openen en zelfs je bank ligt plat. Al geloof ik wel dat een bank sneller herstelt en misschien de schade weet te beperken tot een minder catastrofaal niveau.

vanaalten @Bouddieehh • 29 december 2017 13:41

DDOS is geen inbraak, dus dat telt hier even niet mee wat mij betreft.
En je hoort mij zeker niet zeggen dat grote banken of bedrijven niet vatbaar zijn - enkel dat ze de IT nog wat beter op orde zullen hebben dan bij een tandartspraktijk.

En dat is alles wat ik wilde zeggen: iemand kwam met de stelling 'IT in orde hebben', alsof het zwart-wit is. Dat is het niet, beveiliging komt in gradaties en 100% beveiliging bestaat niet.

Johan9711 @eth0 • 29 december 2017 12:16

Ransomware kan overal binnen komen. Wat dacht je van een tandartsassistente die het mailtje van mevrouw Jansen opent en ziet dat er een bijlage bij zit?
Of het pakketje dat je verwachtte en waarvoor je alleen maar op de t&t link hoefde te klikken?
Of Pietje Puk die per ongeluk de verkeerde USB stick gebruikte. Zat mogelijkheden. Ik heb genoeg grote corporate omgevingen gezien die last hadden van ransomware. Protectie voor 100% is onmogelijk.

Robbierut4 @eth0 • 29 december 2017 12:17

Dat ze besmet raken met ransomware kan de beste gebeuren. Dat ze op de hoogte zijn van meldingsplicht bij AP (en dat ook doen) en goede backups hebben geeft wel aan dat ze er in ieder geval vrij goede kennis over hebben.

Kijk naar hoeveel bedrijven er toen met wannacry zijn besmet waaronder zeer grote bedrijven die alles prima op orde hadden. Besmetting voorkomen is hedendaags helaas niet meer mogelijk, het netjes afhandelen daarentegen wel.

Jasper Janssen @Robbierut4 • 1 januari 2018 10:49

In de (Britse) zorg is er nog het voorbeeld van de halve NHS die er met WannaCry uit lag.

gjmi @eth0 • 29 december 2017 12:20

Uit dit bericht kun je niet afleiden of ze wel we of niet op orde hadden.

Ook als je je boel op orde hebt, kun je slachtoffer worden.

Ik werk bij een bedrijf waar alles hermetisch dicht zit en alle verkeer continu gemonitord word. En toch is een keer (door een fout van een medewerker) een virus binnengedrongen en lag het netwerk een dag plat.

De zwakste schakel is altijd nog de mens, hoe goed je hard-en software ook is.

Anoniem: 998261 @eth0 • 29 december 2017 13:02

Ransomware kan je alleen maar tegen gaan door niets met internet te verbinden. Maar dat is uiteraard totaal onmogelijk voor een tandartspraktijk waar de meeste communicatie extern is.

nexhil @eth0 • 29 december 2017 13:00

Een zero day blijft een zero day.

Anoniem: 686983 @nexhil • 29 december 2017 17:25

Kan die niet uitgroeien naar iets anders?

Webgnome @eth0 • 29 december 2017 12:18

Want als je je IT wel op orde hebt dan is het vervolgens onmogelijk om besmet/gehacked te worden? Droom lekker verder zou ik zeggen. Dat er geen bewustzijn is voor deze materie is een veel groter probleem. Immers als er wel bewustzijn was op dit vlak dan was de IT een stuk beter geregeld waarschijnlijk.

Mebus @Blokker_1999 • 29 december 2017 12:10

Dat dus, een backup, en één die ook nog eens werkt blijkbaar..

Naar mijn mening had de organisatie misschien eerder mogen reageren en dan later alsnog een uitgebreide email sturen zoals ze dat nu hebben gedaan met de gang van zaken, iets in de zin van "we zullen het gelijk gaan onderzoeken", maar liever dit dan dat je opeens vreemde emails binnenkrijgt en je dan afvraagt hoe de afzender aan je gegevens is gekomen..

jordy2811 @eth0 • 29 december 2017 16:51

Wat voor soort kleinere praktijken? Deze praktijk is onderdeel van samenwerkende tandartsen. Een van de grotere ketens van praktijken in Nederland. Ik kun je uit ervaring vertellen dat de ICT en de beveiliging van persoonsgegevens in de tandheelkundige wereld een hot item is. Dat is niet anders bij deze organisatie

Anoniem: 455617 @eth0 • 30 december 2017 05:25

Bij dit soort kleinere praktijken is het met de IT vaak slecht gesteld

Ik wil dit niet echt een kleine praktijk noemen. Als je de website even bekijkt zie je:

9 Tandartsen
6 Mond hygienisten
22 Assistenten
8 Baliemedewerkers

Alles bij elkaar 45 personen.

Nergens word gemeld over hoe de ransomware infectie precies heeft plaatsgevonden en wat ze nu eventueel hebben veranderd om herhaling te voorkomen. Hierdoor kun je niet tot een goed gefundeerde conclusie komen over of hun IT zaakjes wel of niet goed op orde waren.

8x4 @eth0 • 30 december 2017 15:43

Samenwerkende Tandartsen is allesbehalve een kleine praktijk. Het is een ontzettend grote keten met miljoenen aan jaaromzet.

Backspin @eth0 • 29 december 2017 13:24

En dat is meteen het grote probleem van aan internet gekoppelde systemen in het MKB. Vanaf het moment dat je persoonsgegevens gaat opslaan heb je eigenlijk enterprise-niveau security nodig, en dat is voor de meest bedrijven bijna niet te betalen. Je ziet dat overigens ook bij gemeentes, daar gaat op it-gebied best vaak wat mis, maar ze hebben dus wel mooi mijn vingerafdrukken in hun systeem zitten omdat dat verplicht was bij mijn nieuwe paspoortaanvraag

n0fragger 29 december 2017 11:55

Ook mijn tandarts, kreeg gister netjes een email waarin ik geinformeerd werd over het voorval. Goed geacteerd vanuit de praktijk.

DeeD2k2 29 december 2017 12:51

Jammer van de negative reacties onder dit bericht. Wat mij betreft valt dit onder positief nieuws! Hulde voor de praktijk die gewoon adequaat heeft gehandeld.

Informatie beveiliging rust op drie dingen (in volgorde van prioriteit):

Mensen (bewustzijn & gedrag)
Organisatie (processen & afspraken)
Techniek (voorkomen & signaleren)

In andere woorden: IT is de sluitpost, je kunt niet alles technisch oplossen en/of dicht timmeren.

Dit voorbeeld laat zien dat de eerste twee op orde zijn en de derde op zijn minst goed is. Ze hebben gesignaleerd, veilig gesteld/kunnen herstellen, geanalyseerd en de juiste partijen geïnformeerd. Er zijn helaas nog genoeg organisaties die geen idee hebben wat te doen, data krijt zijn laat staan het netjes aan de AP en betrokken personen melden.

bussie66 29 december 2017 13:08

Waarom wachten ze zolang met het uitsturen van deze mail?

Aanvullend onderzoek is een kul-reden!

Twee maanden later! Ondertussen kunnen je patienten slachtoffer zijn van identiteitsfraude.

Kan dit wel door de beugel juridisch / strafrechterlijk gezien?

Op dit item kan niet meer gereageerd worden.

Nijmeegse tandartspraktijk waarschuwt voor datalek na ransomwareaanval

Lees meer

IT-banen

Reacties (173)

Sorteer op:

Weergave: