Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nijmeegse tandartspraktijk waarschuwt voor datalek na ransomwareaanval

De gegevens van duizenden patiŽnten van Samenwerkende Tandartsen Nijmegen zijn mogelijk in handen gekomen van kwaadwillenden nadat de systemen van de praktijk eind oktober getroffen werden door een ransomwareaanval.

De aanvallers hebben toegang gehad tot rekeningnummers, burgerservicenummers, adressen en gegevens over het gebit van veel klanten. Daarvoor waarschuwt de praktijk van Samenwerkende Tandartsen Nijmegen aan patiŽnten in een e-mail. Bij onderzoek is niet vast komen te staan of gegevens weggesluisd werden, maar de praktijk kan dit ook niet uitsluiten.

De praktijk heeft niet betaald voor toegang tot zijn systemen maar kon een back-up terugzetten. Direct na de aanval heeft de tandarts een melding gedaan bij de Autoriteit Persoonsgegevens. Tegen De Gelderlander meldt de tandarts dat er pas twee maanden na het voorval een waarschuwing is uitgegaan, om eerst aanvullend onderzoek te kunnen doen.

In de mail staat dat patiŽnten alert moeten zijn op identiteitsfraude en mogelijk verdachte e-mails, brieven of telefoongesprekken.

Door Olaf van Miltenburg

NieuwscoŲrdinator

29-12-2017 • 11:43

173 Linkedin Google+

Submitter: Dynaw

Reacties (173)

Wijzig sortering
Goed dat deze praktijk meteen melding heeft gedaan! Hulde!

[off-topic]
Kort verhaaltje over tandartsen uit de praktijk. Hier in Oostenrijk zijn tandartsen verplicht 10 jaar alle patiŽnt en behandel gegevens digitaal te bewaren voor de zorgverzekeraars (Krankenkasse). Dit moet volgens bepaalde procedures (beveiliging, off-site etc.).

Toen ik met een vorige werkgever probeerde backup oplossingen te slijten, kwamen we erachter dat geen enkele tandarts compliant was; vaak geen backup of op een USB-harddisk in de vensterbank. De antwoorden waarom ze niet compliant waren was heel vaak "we hebben al zoveel regels waar we ons aan moeten houden..." of "de boete is lager dan de investering".

Toen we vervolgens naar de Zahnšrztekammer (vakgroep) gingen met dit gegeven was de eerste vraag "zijn jullie hier om ons aan te klagen?"... Mijn mond viel open; de beste man vertelde ons dat de policy is "klaag ons maar aan, dat kost onze leden minder dan wat voor oplossing ook".

Dit is hopelijk anders in Nederland, maar dat een hele tak in Oostenrijk zo werkt is verbaasde mij tenminste enorm...
[/off-topic]
10 jaar bewaren is ook wat...
Al zouden ze het bewaren dan moeten ze ook zorgen dat ze er nog bij kunnen. Dat betekend restoren, de oude versie nog hebben die ook vaak oude hardware vereist. Een taperecorder van nu kan waarschijnlijk die oude tapes niet meer lezen.

Kan me voorstellen dat ze de boete voor lief nemen, want de investering kost idd een vermogen.
Ook al was de investering maar 2 dubbeltjes, als de AP zelf al zegt geen boetes te geven blijft dat natuurlijk altijd de goedkoopste optie.
Meteen melding aan de AP, maar pas na twee maanden worden de klanten op de hoogte gesteld. Heel veel hulde verdient dat niet.
De timing van klanten op de hoogte stellen wordt bepaald door de autoriteit, niet door het bedrijf.
Dat klopt niet. Als bedrijf mag je wel enige tijd voor onderzoek nemen, maar je moet zelf zo snel mogelijk de betrokkenen informeren. De AP heeft hier geen zeggenschap over.

In de wettekst staat:
"Autoriteit Persoonsgegevens | De meldplicht datalekken in de Wbp 45
U moet het datalek onverwijld melden aan de betrokkene (artikel 34a , tweede lid, Wbp).
Het onverwijld melden houdt in dat u, na het ontdekken van het datalek, enige tijd mag nemen voor nader onderzoek zodat u de betrokkene op een behoorlijke en zorgvuldige manier kunt informeren.
Wel moet u er rekening mee houden dat de betrokkene naar aanleiding van uw melding mogelijk maatregelen moet nemen om zich te beschermen tegen de gevolgen van het datalek. Hoe eerder u de betrokkene daar over informeert, hoe eerder deze in actie kan komen.

Bron: https://autoriteitpersoon...ldplicht_datalekken_0.pdf
Dan is twee maanden dus best snel, concludeer ik.
Ik vind het tergend traag.
Onverwijld betekend zo snel mogelijk!
Onderzoek naar welke gegevens zijn gestolen (naam, telefoonnummer, enz) is in een paar uur te doen. Daar zijn geen twee maanden voor nodig. Zeker als ook het BSN nummer is buitgemaakt, moeten de gebruikers eigenlijk binnen een paar dagen op de hoogte worden gesteld.

Ik werd laatst op de hoogte gesteld van een vermiste losse harde schijf met een backup van de patiŽntengegevens nog binnen een uur na vermissing! De AP was nog niet eens op de hoogte gesteld. Daar de harde schijf de volgende dag weer werd gevonden (zat bij een verhuizing toevallig in een andere doos) zal de melding aan de AP ook nooit worden gedaan. Toch ben ik blij dat ik het weet, want er zitten wel gegevens bij waarvan ik niet wil dat die op straat komen te liggen.
Zonder Hand having en Onderzoek recherche is elke wet/bedoeling dood.
Dit zie je in NL bij enorm veel zaken.

Dat is ook een zwak van onze democratie vind ik.
Letterlijk uitvoering is natuurlijk ook onzinnig je moet de bedoeling waarmaken met de praktijk.
2 voorbeelden, eigen risico zorg en boetes/straf voor ...... verkeersovertreding.
Ok; hij meld het in ieder geval; maar ik word zoals zo vaak bij dit soort meldingen best misselijk van deze door een advocaat opgestelde 'ik dek mij in-zin':

"Tijdens het onderzoek zijn er geen aanwijzingen gevonden dat uw persoonsgegevens in handen van kwaadwillende derden zijn gekomen. Desondanks kunnen wij helaas niet uitsluiten dat derden toegang hebben gehad tot uw persoonsgegevens"


Dat had moeten zijn:

Tijdens het onderzoek zijn er helaas geen aanwijzigingen gevonden dat uw persoonsgegevens NIET in handen van derden zijn gekomen"

(en dan waarschijnlijk omdat ze de logs kwijt zijn....)
Ik stel, als DPO/FG, dergelijke brieven vaker op, samen overigens met communicatie mensen. Dubbele ontkenningen in ťťn zin levert bijzonder veel verwarring op bij de gemiddelde lezer dus moet je die ook niet gebruiken.
Met de inhoud van de tandarts is helemaal niets mis en leest een stuk prettiger als jouw versie. Als deze versie inderdaad door een jurist geschreven zou zijn zou daar iets geheel anders hebben gestaan.
Eerder iets als:
"Tijdens het uitgevoerde onderzoek, naar aanleiding van het geconstateerde vermeende datalek, moeten wij concluderen dat, ofschoon wij niet kunnen aantonen dat uw gegevens niet in handen zijn gevallen van derden, wij met enige zekerheid kunnen uitsluiten dat dit het geval zou geweest kunnen zijn."
Onder de AVG wordt het verplicht om die brieven in zeer eenvoudige taal te schrijven, zeg maar Europees taalniveau B2. Dan dus geen komma's meer en geen jargon of moeilijke passieve vorm. "Wij hebben de inbraak onderzocht. We hebben niet ontdekt of de inbrekers uw gegevens hebben gestolen. Het is dus mogelijk dat uw gegevens gestolen zijn." Ik denk dat dŠt wel begrepen wordt...
Grappig. Ik ben zelf advocaat en ons kantoor adviseert regelmatig DPOs over wat ze in dit soort situaties moeten opschrijven. Jouw zin klinkt meer als iets wat een DPO als concept aan zou leveren omdat hij denkt dat dat is hoe een jurist zich uitdrukt of dat hij zich daarmee indekt dan als iets wat wij daadwerkelijk zouden adviseren.
Als iets, als, dat dat, of dat, dan als en zouden in ťťn zin. Ik geloof direct dat jij advocaat bent. _/-\o_
Grappig, ik ben zelf advocaat.......
Jouw zin klinkt meer als iets wat een DPO als concept aan zou leveren omdat hij denkt dat dat is hoe een jurist zich uitdrukt of dat hij zich daarmee indekt dan als iets wat wij daadwerkelijk zouden adviseren.

[Reactie gewijzigd door Rdam op 30 december 2017 21:15]

Dat werkt overal hetzelfde. Zolang ze kunnen aantonen dat ze hun "best gedaan hebben", zelfs al weten de experten dat het niet deugt (zoals wij hier op Tweakers), gaat de rechter hun geen straf aanmeten.

Eg. als ze een harde schijf hebben en ze zeggen dat ze daarmee een backup hebben, dat het later gezien niet gewerkt heeft is "spijtig maar niet onze schuld, technologie is moeilijk".

Wetten rond data zijn omschrijvingen, dus er wordt beschreven wat je nodig hebt om als arts of hospitaal te opereren (bijvoorbeeld: backups, beveiliging), er worden echter geen voorschrijvingen gedaan rond wat er verwacht wordt (bijvoorbeeld: aantal backups, backup tests, soort van firewalls, antivirus kwaliteit, dagelijkse/maandelijkse rapporten bewaren). In andere industrie is dit dan wel het geval, daar gaat de overheid voorschrijven welke en ppm chemische elementen in je drinkwater mag of moet en moet je dagelijkse rapporten voor enkele jaren kunnen aanleveren.

[Reactie gewijzigd door Guru Evi op 30 december 2017 18:36]

Geachte heer, mevrouw,

Volgens onze administratie bent u ingeschreven (geweest) als patiŽnt bij Samenwerkende Tandartsen Nijmegen - de Tandarts (voorheen Tandarts Vos, de Tandarts Nijmegen en Wijchen), ZBC de Kaakchirurg en/of Enface Kliniek. Mochten er gezinsleden zijn die wij middels dit schrijven niet bereiken, dan vragen wij dit bericht te delen met hen. Wij hebben in het kader van uw behandeling persoonsgegevens over u in onze administratie. Bijvoorbeeld uw naam- en adresgegevens, BSN-nummer, uw rekeningnummer en in veel gevallen gegevens over uw gebit.

Eind oktober 2017 zijn onze computersystemen helaas getroffen door een computervirus dat is gemaakt door hackers. Dit virus heeft de bestanden in onze computersystemen in gijzeling genomen. Hierdoor waren onze computersystemen voor ons tijdelijk niet meer toegankelijk. Het doel van het gijzelvirus was om losgeld te verkrijgen in ruil voor toegang tot onze bestanden. Gelukkig maken wij regelmatig kopieŽn van onze computersystemen en hebben wij daarmee zelf onze systemen kunnen terugzetten.

Zodra wij op dezelfde dag nog op de hoogte raakten van het virus, hebben wij direct melding gedaan bij de Autoriteit Persoonsgegevens. Vervolgens hebben wij forensische IT-experts ingeschakeld. Zij hebben uitgebreid onderzoek gedaan naar de getroffen computersystemen.

Tijdens het onderzoek zijn er geen aanwijzingen gevonden dat uw persoonsgegevens in handen van kwaadwillende derden zijn gekomen. Desondanks kunnen wij helaas niet uitsluiten dat derden toegang hebben gehad tot uw persoonsgegevens.

Hoewel wij dat niet verwachten, kan het toch zijn dat u ongunstige gevolgen zou kunnen ervaren als gevolg van deze gebeurtenis. Wij verzoeken u daarom de komende tijd alert te zijn voor identiteitsfraude en mogelijke verdachte e-mails, brieven of telefoongesprekken. Voor meer informatie over identiteitsfraude kunt u terecht bij de Rijksoverheid.

Wij vinden het van groot belang om zorgvuldig met de persoonsgegevens van onze patiŽnten om te gaan. We staan iedere dag klaar om voor u te zorgen. Wij betreuren het dat deze gebeurtenis heeft plaatsgevonden. We verzekeren u er van dat de beveiliging van uw persoonsgegevens voor ons uiterst belangrijk is. Wij nemen constant maatregelen om de beveiliging van onze systemen naar een nog hoger niveau te tillen.
En wat als er nu misbruik vind dankzij dit? Gaat de
Nijmeegse tandartspraktijk je volledige schade vrij stellen?
Natuurlijk niet, dat is ook niet realistisch natuurlijk. De verantwoordelijkheid van dat misbruik ligt nog altijd bij degene die dat misbruikt pleegt, die moet je dus hebben voor je schadevergoeding.
Dat is natuurlijk zo, maar wat als er nu sprake is van grove nalatigheid van de tandartsenpraktijk? Ik ben wel benieuwd in hoeverre het IT-systeem van die praktijk bijgehouden werd.
Precies. Ik als klant kan hier niks aan doen! En ga jij maar eens achter de dader aan. De politie heeft zijn ICT niet op orde. Dus daar hoef ik ook niks van te verwachten.

[Reactie gewijzigd door TheDudez op 29 december 2017 16:06]

En wat als ze inderdaad aansprakelijk worden gesteld door nalatigheid, wat is dan de schade die is geleden? Hooguit persoonsgegevens die op straat liggen. Die zijn een 10tje waard in de handel?
De potentiŽle schade en de waarde op straat zijn natuurlijk niet met elkaar te vergelijken
Dat kan veel meer zijn dan een paar tientjes. Identiteit fraude heb je dan nog jaren last van.
Dat is moeilijk te bewijzen.

Als iemand op een zip file klikt en deze ook opent en de executable daarin draait dan vind ik dat wel ver richting nalatigheid gaan, moet ik zeggen. En dat is toch wat hier gebeurt is.
Als ik spullen op sla in een gehuurde box en ze worden gestolen dan krijg je wel vergoed. Als er geen monetaire reden is voor bedrijven om data goed te beveiligen zullen ze dat niet doen.
Heel vervelend natuurlijk als iemand de gevolgen van identiteitsfraude ondervindt, maar hoe wil je bewijzen dat het betreffende lek daar de oorzaak van is?
Goed punt al is het hier makkelijk als er verwezen wordt naar unieke gegevens die bij de tandarts bekend zijn.
Eigenlijk is het allemaal enkel juridisch indekken. Die meldplicht en reactie naar de betrokken ook.

Zelf tweemaal gehad en mail dan terug dat ik ze bedank voor het melden maar ze wel aansprakelijk stel voor alle mogelijke toekomstige schade die uit het betreffende lek voortkomt. Zoals je al stelt in de praktijk nauwelijks te bewijzen, maar wel een goed signaal dat een organisatie er enkel met een indekmelding niet is. Kreeg er de ene keer een begripvolle nette reactie op en de andere keer meteen een bedrijfsjurist die over de zeik was en over reputatieschade begon. Bij die laatste was ik toen niet lang meer klant.
Goed punt. Is inderdaad lastig. Maar er zullen vast wel wat dingen te herleiden zijn naar de tandarts praktijk.
Heel vervelend natuurlijk als iemand de gevolgen van identiteitsfraude ondervindt, maar hoe wil je bewijzen dat het betreffende lek daar de oorzaak van is?
Als het gebruikte emailadres (aloas) jenaam.samenwerkendetandartsennijmegen@domein.extensie is en dat adres wordt alleen gebruikt om met Samenwerkende Tandartsen Nijmegen te communiceren, en plots krijg je email van andere partijen... Dan weet je genoeg. ;)
Zelfs dan niet. Kun je uitsluiten dat je zelf niet de oorzaak van het lek bent?
Wat voor een misbruik en hoe kun je weten dat dat misbruik te herleiden is tot de gelekte gegevens.
verwacht jij ook dat de eigenaar van een gestolen wagen opdraait voor een ongeluk van de dief?
Wel als de eigenaar van die wagen zijn sleutels er in laat zitten en iemand onder de 18 gaat er mee joyrijden. Maar met een wagen is dat simpel te achterhalen. Met dit niet!
Wij hebben dit bericht per post gekregen, maar er stond wel een compleet onjuiste naam boven het adres :P Dus als de administratie daar zo slecht is, hebben de aanvallers alleen maar gehusselde gegevens gekregen :+
Dat is toch heel goed mogelijk als de vorige bewoner van jullie adres vroeger bij deze tandarts is geweest?
Niet als het een nieuwbouwwoning in Enschede is 8-)
En wat stond er op dat land langs die straat op dat nummer voordat de wijk werd platgegooid en opnieuw opgebouwd?
Het is in de 10 jaar voordat dit gebouwd werd een leeg perceel in de wijk geweest: daarnaast, wat is de kans dat een Nijmeegse praktijk 2 patiŽnten in Enschede zou hebben op hetzelfde adres?
De gegevens die ze gebruikt hebben moeten trouwens ook nog eens uit het GBA zijn gekomen, want mijn vriendin heeft de wijziging nooit doorgegeven daar (aangezien het om een eenmalig bezoek ging).
hallo allemaal....ik ben zelf ook een tandarts, ik zit op tweakers al jaren, volg deze site elke dag met het nieuws.
ik heb ook veel reacties gelezen. ik zal even reageren op een paar dingen.

- BSN ==> een zorgverlener is verplicht een BSN nummer in zijn administratie op te nemen (ziekenhuis, apotheek, fysio, tandarts etc etc).
==> je kunt als patient ervoor kiezen om geen BSN door te geven, maar dan kies je er dus ook voor om alle behandelingen bij de tandarts direct na de behandeling af te rekenen. want zonder BSN geen declaratie. dus als gevolg hiervan direct afrekenen. ik heb tot nu toe 1 patient die geen BSN wil doorgeven en alles netjes na de behandeling direct afrekent en krijgt van mij officiele factuur.
==> maar hoe ga je dit dan met het ziekenhuis regelen? ga je daar ook direct afrekenen als je in het zkh geen BSN wil achterlaten?

- Beveiliging ==> de beste beveiliging van je netwerk is GEEN NETWERK 8)7 :) :D maar even serieus.

hoe werkt het in de tandartspraktij qua software?
de software staat op een centrale computer geinstalleerd met de database van alle patient-gegevens (zeg maar een server, hoeft niet server-OS te draaien). waar deze computer staat kan ook verschillen. de receptie of speciale patch-kast. vanuit de behandelkamers wordt de software gedraaid en alle aanpasing in het dossier gaan via netwerk naar de centrale computer om de aanpassing in het database op centrale computer op te slaan.....that is it !!! dit is dus nog alleen het verhaal van dossier benaderen, bekijken en aanpassen (dwz behandelingen in het dossier invoeren, notities maken).

je kunt je hele interne netwerk (server en clients waar de gevoelige patientgegevens staan) aansluiten op een aparte switch die helemaal niet aan internet gekoppeld is. en 1 andere computer (waar geen patientgegevens op staan), kun je aansluiten op een 2de switch die wel aan internet gekoppeld is.

maar hoe wil je dan de gegevens die je van andere zorgverleners krijgt, in patientendossier verwerken? het kan wel met usb-stick als tussenstap. maar als je ene computer (die aan internet gekoppeld is) al virus in zit, heb je natuurlijk het risico om je usb-stick met virus te infecteren en andere systemen zonder internet ook te infecteren.

verder kun je natuurlijk de hele patientendatabase ook in veracrypt stoppen tegen diefstal. maar op het moment dat je aan het werk bent (dus behandeling in het dossier invoeren), kan je veracrypt-partitie dus geinfecteerd worden.

dus degene die 100% beveiliging voor mij kan bedenken, mag mij even een berichtje sturen :D ;)
En de hand in eigen boezem? Je krijg niet een ransomware virus binnen omdat je je ICT netjes op orde hebt. Ook ontbreekt enige vorm van uitleg over wat ze er technisch nu aan verbeterd hebben zodat het niet volgende week weer gebeurt.

Bestuurlijk is er redelijk gehandeld door te melden, maar technisch rammelde er blijkbaar iets, en is er mogelijk niks verbeterd.
Je krijg niet een ransomware virus binnen omdat je je ICT netjes op orde hebt.
Als je ook maar enige echte ICT ervaring hebt, dan weet je dat dit onzin is. Je kunt alle systemen perfect dichtgetimmerd hebben, alle laatste patches toegepast en alsnog kun je slachtoffer worden van ransomware. Simpelweg omdat je systemen ook nog gebruikt moeten kunnen worden. Een ICT omgeving die z'n zaken netjes op orde heeft, gaat er van uit dat ze ook een keer slachtoffer worden van ransomware en zijn daar dus ook op voorbereid (zoals deze praktijk duidelijk was, aangezien ze gewoon een backup hebben teruggezet)
Zero days inderdaad. Zoals recent met de hartelijke groeten van de NSA.
Dat was geen zero day.. daar was al maanden een patch voor uit.
Ransomware is moeilijk te voorkomen. Blokkeren van bijlagen in email? Of alleen zip-bestanden? Ik heb een polis bij een verzekeraar die pdf-bestanden ingepakt in zip's stuurt, dat gaat dan dus ook niet.
Windows kan applicatie whitelisten dus exes met een hash die niet in de whitelist staat worden dan niet uitgevoerd.
Niet alle kwaadaardige code zit in een exe, het kan ook in een PDF zitten.
Technische uitleg over voorzorgsmaatregelen is voor 90% van de klanten van deze praktijk toch totaal niet relevant? Dat 'wij' verstand hebben van IT wil niet zeggen dat de rest van Nederland dat ook heeft?
Ook ontbreekt enige vorm van uitleg over wat ze er technisch nu aan verbeterd hebben zodat het niet volgende week weer gebeurt.
Waarom zouden ze in een brief naar klanten uitgebreid gaan uitleggen wat er technisch veranderd is?
Ik werk zelf bij werelds grootste dental supplier en daar doe ik digitaal rontgen support en ik kan je vertellen dat de beveiliging van tandarts praktijken om te janken is...
Dat is toch ook logisch?
Hoe kan je als kleine ondernemer je hier tegen verdedigen?
Het is bijna onmogelijk alles goed te doen.
Dat is toch ook logisch? Nee, dat is niet logisch, je verwacht toch een beetje inspanning omwille van het soort data

Hoe kan je als kleine ondernemer je hier tegen verdedigen?
Gemakkelijk, je neemt een degelijke IT-er aan.

Het is bijna onmogelijk alles goed te doen.
Je gaat je inderdaad nooit volledig beveiligen, maar er zijn toch een minimaal aantal dingen die je kan doen, ransomware en virussen is een probleem van gemak.
Als je daar te klein voor bent?
Zelfs grote bedrijven maken fouten...
Als je "te klein" bent (je bedoelt te weinig inkom) om je bedrijf goed te laten draaien heb je een groter probleem dan datalekken en zou je vooral geen data zelf aanpakken, er zijn genoeg aanbieders tegenwoordig waar je de hele boel elders host.

Grote bedrijven maken fouten voor dezelfde redenen. Het draait altijd rond hetzelfde: kosten sparen totdat er iets gebeurt en hopen dat de boete en terugslag van de klant klein genoeg blijft. En als er iets gebeurd smijten ze de handen in de lucht "niet onze fout, niet onze fout, niemand kan zich daartegen beveiligen" terwijl van een technisch standpunt er geen enkele reden is waarom deze lekken zo vaak en zo groot zijn.

Wanneer de echte verantwoordelijken in deze bedrijven (eigenaars, managers, CEO) voor de rechter en in het gevangenis komen zullen dingen veranderen.
Kleine ondernemer? Heb je enig idee hoe groot Samenwerkende Tandartsen is, en wat voor een grote investeringsmaatschappij daarachter zit? Als organisatie zet die keten tientallen miljoenen euro's aan jaaromzet om. Het is niet bepaald een "kleine ondernemer"...
Deze doen het ook wel goed.
Maar wat nu als je gewoon een tandarts bent, met computer... Je talent is tanden repareren. Niet it.

Ja grote bedrijven inhuren. Wie gaat dat betalen?
Nu heb ik geen medelijden met tandartsen, maar een kleine tandarts wordt gedwongen bij een organisatie als samenwerkende tandartsen te gaan, omdat er datalekken anders helemaal niet te voorkomen zijn.

En mijn uitspraak gaat ook over fysios, huisartsen, etc etc.

En buiten de zorg zijn er weer andere voorbeelden, al gaat het in die gevallen vaak alleen om uitlekken van persoonsgegevens zonder sofinr.

En de hackers zelf worden nooit gepakt.... Of krijgen flut strafje
daar heb je toch IT beheer bedrijven voor...
Dan moet je dat misschien aan de kaak stellen ergens
Wij zijn daar niet verantwoordelijk voor, wij kunnen dit alleen aangeven bij de praktijken(wat we ook doen), zij nemen zelf de systeem beheerders aan die zorg dragen voor de data en dat deze veilig is.
Dat vind ik altijd de makkelijkste smoes. Als je ziet dat het beter kan is dat toch meteen een mooie business opportunity voor jullie? Je weet wat er niet goed is en hoe het wel moet, je hebt de contacten. 1+1=3. Dus waarom laat je die inkomstenbron onbenut?
Omdat wij geen beheer van computers gaan doen, wij zorgen dat al het rontgen apparatuur het doet en ook de software die daar voor nodig is, maar wij doen geen systeem beheer, daarvoor is weer een ander bedrijf.

je gaat bij je keukenboer toch ook niet vragen of hij de muren en plafond kan schilderen, nee, daar is weer een ander bedrijf voor.

daarnaast is de data waar het hier om gaat van PM systeem ( Patient management systeem), daar doen wij al helemaal niks mee omdat het geen rontgen is, los van het feit dat wij ook geen PM systeem/software leveren.
Aangezien het BSN nummer gevoelig is voor fraude zouden deze beter op een veilige plek bewaard kunnen worden. Implementeren van een extra check met vingerafdruk scanner of gewoonweg een wachtwoord. Dan is de schade beperkter. Er valt wat van te zeggen om dit op grotere schaal toe te passen trouwens.
Maar waarom moet een tandarts je BSN nummer hebben?
Daarmee controleren ze welke verzekering jij hebt en dienen ze de kosten in.
Daar heb je toch een verzekerings nummer voor?
Ze kunnen bij het inschrijven controleren of de BSN nummer op de zorgpas overeenkomt met die van je ID bewijs en dus niet opslaan.
En vervolgens kunnen ze verder met alleen je verzekeringsnummer.
Zo zou het kunnen maar zo doen ze het dus niet. Ik vroeg mij ook af waarom ze dat nodig hebben, ze gaven dat als reden.
In principe kan dat. Echter dat is fraude gevoelig omdat een zorgpas makkelijk na te maken is (gewoon een geprint stukje plastic). Door het BSN over te nemen van het ID maak je dit moeilijker (ID is lastiger om te vervalsen).
In Belgie en Duitsland hebben de zorg passen een chip. En in Duitsland vanaf 15jaar zelfs een foto.
Waarom kan dat in Nederland niet?
Omdat dit nu eenmaal een manier is om mensen uniek te identificeren.

Je wil niet dat je tandarts je identificeert aan de hand van je naam. Er zal maar iemand in het systeem zitten met dezelfde naam wiens gebit volledig getrokken moet worden :-)

Het alternatief is een uniek klantennummer per zaak (tandarts / dokter / ...) maar mensen vinden het niet zo leuk om overal een kaartje van bij te moeten houden.
Nee, daar hebben we een zorgverzekeringsnummer voor. Welke al uniek is.
Een polisnummer is alleen uniek binnen een verzekeraar. Een andere verzekeraar kan eenzelfde polisnummer gebruiken.

[Reactie gewijzigd door keenan001 op 29 december 2017 13:10]

Jammer alleen dat ik dit “unieke” nummer verplicht overal naar buiten moet brengen. Op mijn website, briefpapier, factureren, bij elke leverancier... ja de zzper (waar we er aardig wat van hebben) mag zijn bsn lekker overal achterlaten want ondanks alle campagnes en waarschuwingen is dit nog altijd je BTW nummer :’)
WTF? Dat meen je niet? Googletje googletje op het net, wie is er de domste van het land?

Inderdaad ja, de nederlandse belastingdienst die dit heeft bedacht. Dit komt gewoon neer op criminele nalatigheid. Het zou een goede zaak zijn als enkele zzp-ers die hierdoor slachtoffer zijn geworden van ID fraude de belastingdienst zouden aanklagen voor schadeloosstelling. En dan tevens zorgen voor veel media aandacht voor de zaak. Mailings naar alle kranten, omroepen, nieuws sites, politieke partijen enz.
Omdat de wet voorschrijft dat bij zorg het BSN meegestuurd dient te worden om de patient altijd uniek te identificeren.
Het is niet alleen toegestaan, maar zelfs verplicht voor zorgaanbieders om met het BSN te werken...
Ik heb al een uniek nummer op mijn zorgpas naast mijn BSN.
maar die is uniek binnen je zorgverzekeraar, en veranderd als je van verzekering veranderd. (tenminste, als je echt veranderd, niet naar een andere verzekeringsuiting binnen dezelfde grote verzekeraar gaat)

BSN is altijd uniek over alles heen, en kan dus gebruikt worden om je te herkennen ook al ben je van verzekeraar veranderd...
Is er dan een systeem, waar je aan de hand van het BSN nummer, kan achter halen welke zorgverzekering iemand heeft?
Jep, dat wordt door de nederlandse zorgautoriteit verzorgt (nza.nl). zij controleren of iedereen wel een verzekering heeft enzo. En als je niet betaald voor je zorgverzekering, val je uiteindelijk terug in een polis van de NZA, zodat je altijd verzekerd bent voor basiszorg.

Zorgverzekeraars moeten 1 per zoveel tijd alle statistieken aanleveren zodat de nza kan zien hoe het met de zorgkosten gesteld is.
Daarnaast kun je maar 1 zorg verzekering tegelijk hebben, ook die controle verloopt via NZA.
Dus de NZA weet ook bij welke zorgverzekering ik verzekerd was en nu ben.
Of wel, ook de NZA weet mijn verzekeringsnummer.

Dus de BSN is niet nodig.

Ik ben van mening, des te minder een bedrijf van je weet, des te minder kunnen verliezen.
Niet elk request gaat langs de NZA.
Omdat je tandarts ook weet welke verzekering je hebt wordt de factuur rechtstreeks naar de verzekering gestuurd, die controleert alleen of de BSN en polis kloppen met elkaar.

Overigens zijn er best manieren te bedenken waarbij BSN niet noodzakelijk is. Maar vooralsnog is dat niet aan de tandarts, maar aan de wetgever. die bepaald dat BSN verplicht is in deze gevallen :) zie ook https://www.rijksoverheid...nummer-bsn/bsn-in-de-zorg
Ben het met je eens, dat de oplossing bij de rijksoverheid ligt en niet bij een random zorgverlener.

Maar het valt mij gewoon op hoe vaak mijn BSN nummer ergens in een database komt. Eigelijk zovaak, dat ik geen idee heb wie deze allemaal heeft.
En dat is ook logisch, aangezien de BSN een identificatienummer is, en niet een authenticatienummer.
@wica: En hoe vindt de NZA dan iemand die niet verzekerd is of dubbel is verzekerd?
Om onkosten te kunnen declareren, bij het ziekenhuis hebben ze dit ook nodig als dat het geval is. Het is het bewijs dat het om de persoon in kwestie gaat en bij wet geregeld.

Edit: bij wet

[Reactie gewijzigd door DefaultError op 2 januari 2018 22:55]

Bij onze buurlanden hebben ze een chip en foto op de zorgpas, meer hoeft de arts of ziekenhuis niet te weten. Dus nee, BSN is NIET nodig.
En dat is dan wel weer fraudegevoelig. Want bij een zorgpas in Nederland is een foto niet vereist. En waarom kan een tandarts niet de kennis in huis halen om zijn of haar ICT veilig te maken?

[Reactie gewijzigd door DefaultError op 2 januari 2018 23:04]

Alle zorgverleners zijn in NL wettelijk verplicht om het bsn te noteren in alle communicatie naar andere zorgverleners, indicatieinstellingen en zorgverzekeraars (wet gebruik bsn in de zorg).
En ik vraag mij af waarom dit nodig is? Ja, waarschijnlijk moet de wet er voor aangepast worden.
Maar als niemand dit zich af vraagt, gebeurd er nooit wat.

Mijn zorgverzekering weet mijn BSN nummer, de NZA weet mijn BSN nummer.
De zorg verlener mag naar mijn mening, aan de hand van mijn ID controleren of de zorgpas van mij is.
De zorg verlener heeft naar mijn mening, helemaal geen BSN nummer nodig.

Wat ze niet hebben, kunnen ze ook niet lekken.
Bij dit soort kleinere praktijken is het met de IT vaak slecht gesteld, vaak geen kennis of te "duur". twerwijl ze wel veel gevoelige informatie (medisch/naw) bewerken en opslaan.

Onlangs bij mijn eigen tandarts meegemaakt, hier waren de systemen gecrasht, en geen backup beschikbaar!!! Hierdoor waren ze alle afspraken kwijt. Vervolgens zijn ze alle klanten gaan bellen met de vraag of zij wisten wanneer zij een afspraak hadden om zo de agenda weer te vullen...
Dat het bij je eigen tandarts misgaat wil niet zeggen dat het overal zo is. Het feit dat ze hier direct melding hebben gemaakt bij de AP, niet betaald hebben en een backup hebben kunnen terugzetten toont aan dat ze hier duidelijk wel hun IT op orde hebben.
Als zij hun IT wel op orde hebben volgens jou, waarom en hoe zijn zij dan besmet met ransomware? Dat zei wel een backup hebben zegt niets over de rest...

Vanuit mijn werk kijk ik vaak genoeg naar dit soort omgevingen, en geloof me, vaak is het niet op orde en belangrijker geen awareness...
Hier dus duidelijk anders. Goede backupstrategie die niet door de ransomware besmet is en ook gewoon werkt, directe melding aan AP en inschakelen van experts en de klanten inlichten.
Jammer dat andere bedrijven het minder goed doen maar juist hier laat er eentje zien hoe het wel moet.

Dat ransomware besmettingen gebeuren omdat ze hun IT niet op orde zouden hebben is natuurlijk onzin, dat weet je zelf vanuit jouw werk ook wel.
Nou, het feit dat iemand van buitenaf bij mijn medische gegevens kan komen is natuurlijk niet zo best. Dat er hier en daar een computer onbruikbaar wordt na een ransomware aanval valt nog wel te verdedigen, maar dat een complete database met medische gegevens gekaapt kan worden is een brug te ver. Dan heb je je beveiliging niet op orde. Toegang tot deze gegevens zou beperkt moeten worden door een API, rechtstreeks toegang tot de harde schijf waar deze gegevens op staan zou niet zomaar moeten kunnen.

[Reactie gewijzigd door hakog2 op 29 december 2017 13:19]

En hoe zie je dat voor je?
Jij komt op bezoek bij de tandarts die per kwartier aftikt en het eerste kwartier zit je daar te wachten op jouw kosten terwijl de tandarts de gegevens op probeert te halen?...
Niemand kon van buitenaf bij de medische gegevens komen, de ransomware kon mogelijk van binnenuit naar buiten komen met die gegevens, dat is al iets heel anders dan van buitenaf zomaar die gegevens opvragen...
Verder doet een API niets aan beveiliging, enkel aan een centraal punt om data uit te wisselen, die API is net zoals de database waar de informatie nu in staat gewoon op het netwerk toegankelijk, dat moet want de tandarts werkt niet in het bezemhok waar de server staat, daar is het ook handig internet te hebben zodat verwijzingen en declaraties doorgestuurd kunnen worden o.a.
Leuk dat je op een gestandaardiseerde wijze die gegevens uit een API kan halen, dat kan het virus dus ook, schijnveiligheid dus.

Nergens wordt overigens gezegt dat er rechtstreeks toegang was tot de HDD waar de gegevens op stonden, als dat gebeurt was zou het ergere probleem zijn dat die gegevens maar op 1 HDD stonden en niet in RAID als we toch aannames maken ;)
Er is geen sprake van een 'feit dat iemand van buitenaf bij jouw medische gegevens kon komen'.

Die data moet beschikbaar zijn, per definitie van beschikbaar zijn betekent dit dat als het netwerk gehackt wordt er de kans bestaat dat er een mogelijk een deel van deze gegevens ingezien kan worden door de hacker(s), dat is waar deze tandarts voor waarschuwd: het is zeer onwaarschijnlijk en vrijwel zeker niet gebeurt maar 100% uitsluiten kan niemand.

Tenzij je wil air-gappen voor een tandarts, geen enkele client zal per bezoek al even 30,- aan 'data ophaal kosten' betalen...

[Reactie gewijzigd door RGAT op 29 december 2017 13:44]

En hoe zie je dat voor je?
Jij komt op bezoek bij de tandarts die per kwartier aftikt en het eerste kwartier zit je daar te wachten op jouw kosten terwijl de tandarts de gegevens op probeert te halen?...
De tandarts heeft een applicatie die mijn medische gegevens via een netwerk ophaalt. Deze gegevens staan op een centrale plek waar de tandarts zelf niet rechtstreeks bij kan. De gegevens worden benaderd via een API. Deze API zorgt ervoor dat alleen geautoriseerd personeel bij de gegevens kan. Na mijn (hopelijk kort) bezoek sluit de tandarts mijn dossier en worden mijn gegevens van de PC van de tandarts verwijderd.

Op het moment dat de tandarts slachtoffer wordt van ransomware heb je alleen de gegevens van je huidige patient op je PC staan.
Verder doet een API niets aan beveiliging, enkel aan een centraal punt om data uit te wisselen, die API is net zoals de database waar de informatie nu in staat gewoon op het netwerk toegankelijk, dat moet want de tandarts werkt niet in het bezemhok waar de server staat, daar is het ook handig internet te hebben zodat verwijzingen en declaraties doorgestuurd kunnen worden o.a.
Leuk dat je op een gestandaardiseerde wijze die gegevens uit een API kan halen, dat kan het virus dus ook, schijnveiligheid dus.
Een API kun je op vele manieren beveiligen, gaat wat ver om die hier allemaal op te sommen.
Als voorbeeld zou je kunnen voorstellen dat een API voorkomt dat de gegevens van patienten die geen afspraak hebben op het moment van de aanval opgehaald kunnen worden. De schade van je ransomware aanval blijft dan beperkt tot enkele patienten. Ik kom zelf uit Nijmegen en in mijn omgeving hebben behoorlijk wat mensen mail gehad van de tandarts.
Tenzij je wil air-gappen voor een tandarts, geen enkele client zal per bezoek al even 30,- aan 'data ophaal kosten' betalen...
Uhhh. Sorry, geen idee wat je hier mee bedoeld.

[Reactie gewijzigd door hakog2 op 29 december 2017 14:30]

dus jij wil al je medische gegevens centraal op een server hebben staan.. die ook naar buiten verbonden is anders kan de tandarts niet bij die gegevens. En zon server is natuurlijk niet vatbaar voor zo’n ransameware attack?
Wat als daar ff iemand even niet goed op let en per ongeluk op een link klikt? Of als een onderhouds persoon de software gaat updaten en een besmette usb stick erin steekt?
Het kan een server zijn die alleen via het interne netwerk benaderbaar is. En ik neem even aan dat gebruikers niet rechtstreeks op die server kunnen inloggen. Waar denk jij dat tandartsen, huisartsen, ziekenhuizen, banken en dergelijke hun gegevens opslaan ?
Een server lokaal is toch net zo vatbaar voor de ransomeware of ik die nu via API of SMB benader? Hij staat dan open in het netwerk, waardoor (als niet gepatched) WannaCry er alsnog zo bij kan. Dus dan gaat dat API naar een lokale server, dit probleem niet echt oplossen.
Dat heeft dus niks met een API zelf te maken en kan ook door een normale database gedaan worden.

Wat je wilt is dat als jij tijdens het eten een vulling voelt afbreken jouw tandarts dan tegen jou zegt:
'Ja sorry meneer, maar door ons systeem kunnen we nu niet bij uw dossier, u bent dus in maart welkom om de helse kiespijn aan te pakken' ;)
Die data moet altijd beschikbaar zijn dus, elk dossier moet willekeurig op elk moment, ook buiten kantoortijden beschikbaar zijn, daarop beperken kan dus niet.
Verder staan alle dossiers niet op de tandarts pc, waar je dat vandaan haalt? Die staan op een centrale server waar je uiteraard op inlogt... Het is niet zo dat iedereen maar daar alle data mag krijgen...
Die applicatie moet overigens ook nog werken met jouw API, dus je moet de medische wereld even opnieuw uitvinden en al je RŲntgen apparatuur weggooien en zelf bouwen zodat het ermee werkt.
Zodra die API meer standaard wordt door de tandartsbranche zal malware er ook op gaan focussen en zal het lekken vinden...
Die API lost dus een probleem op wat er niet is en laat het echte probleem gewoon open ;)
Waar draait die API? Op een server, zoals nu ook al met een database applicatie die hetzelfde doet maar het anders noemt? Is die server ondoordringbaar door een API? Mooi, patenteren die handel en multi-miljardair worden, je zou letterlijk de eerste zijn die een ondoordringbare server zou maken waar nog data in en uit kan, dat bestaat namelijk niet.

Air-gappen is dat je de data op een systeem/netwerk zet wat nergens anders mee verbonden is, er zit alleen lucht tussen de computers van dat systeem en bijvoorbeeld het internet, geen kabel, wifi of wat dan ook. Dan kan er dus ook niet gehackt worden en zelfs dit soort systemen worden gewoon gehackt.
Normaal voor zaken waar bijvoorbeeld een kernreactor/centrifuges achter zitten is air-gapping.
Dat heeft meer te maken met ranzige (lees: niet secure) software. Een tandarts hoeft niets te weten van API's en hoe de data beveiligd moet zijn. Dat is de taak van de softwareproducenten. Maar helaas is het nivo van de gemiddelde MKB software zo bedroevend dat je tenen met de beste wil van de wereld niet meer recht te krijgen zijn. En brancheverenigingen, die feitelijk de expertise zouden moeten hebben en hun leden adequaat moeten voorlichten zijn al net zo simpel.

Dus je krijgt dan ondernemers met slecht geschreven software die slecht beveiligd is. Wiens schuld is dat? Die tandenboer is goed in trekken en boren, maar heeft geen verstand van automatisering. Inderdaad, ze hebben geen geld voor een eigen ICT'er dus moeten iemand inhuren of vertrouwen op leveranciers. Maar in de MKB hoek is het moeilijk rijk worden als je goed advies geeft, dus doe je dat niet en rommel je maar wat aan...
Klopt. De tandarts zou een veilige applicatie moeten gebruiken voor het raadplegen van patient gegevens. Ik neem aan dat deze tandarts dat ook gedaan heeft.

Maar kennelijk waren er ook patient gegevens opgeslagen op plekken die toegankelijk waren via computers die gebruikt werden om te mailen, internetten, afspraken maken, etc. Dit zou echt niet moeten kunnen.
Eigenlijk wel jammer dat een tandartsenpraktijk die wťl netjes met ICT omgaat, wťl een melding doet bij de AP en vervolgens ook nog alle klanten informeert, nu door dit soort nieuwsberichten i.c.m. Google altijd geassocieerd zal worden met een datalek... een praktijk die niets meldt komt er in die zin beter vanaf. Waarmee ik overigens zeker niet wil zeggen dat dit soort berichten niet gepost moeten worden: ze helpen immers heel erg goed met het kweken van bewustzijn over de risico's van opslag van persoonsgegevens.
Als de AP z'n werk zou doen (wat ze duidelijk compleet niet doen, zie ook het dossier rondom de gegevens- en betalingsverzamelaars zoals Focum die de wet overtreden), zou het niet-meldende bedrijf veel negatiever in het nieuws komen. Alleen de AP doet nauwelijks z'n werk....
En waarop baseer je dat de AP haar werk nauwelijks doet?
Op 1 dossier kun je dat niet bepalen

[Reactie gewijzigd door repmeer op 29 december 2017 13:21]

Het (niet) op orde hebben van IT is geen zwart-wit verhaal. Deze tandarts had z'n IT beter op orde dan de gemiddelde thuisgebruiker, maar niet zo goed op orde als, zeg, een internationale bank.
Uhmm banken zijn ook weleens ge-DDoS’ed?? En TNT lag er afgelopen zomer ook dagen/weken uit door ransomware.

Wat gmji zegt er hoeft maar 1 nubje een linkje te openen en zelfs je bank ligt plat. Al geloof ik wel dat een bank sneller herstelt en misschien de schade weet te beperken tot een minder catastrofaal niveau.
DDOS is geen inbraak, dus dat telt hier even niet mee wat mij betreft.
En je hoort mij zeker niet zeggen dat grote banken of bedrijven niet vatbaar zijn - enkel dat ze de IT nog wat beter op orde zullen hebben dan bij een tandartspraktijk.

En dat is alles wat ik wilde zeggen: iemand kwam met de stelling 'IT in orde hebben', alsof het zwart-wit is. Dat is het niet, beveiliging komt in gradaties en 100% beveiliging bestaat niet.
Ransomware kan overal binnen komen. Wat dacht je van een tandartsassistente die het mailtje van mevrouw Jansen opent en ziet dat er een bijlage bij zit?
Of het pakketje dat je verwachtte en waarvoor je alleen maar op de t&t link hoefde te klikken?
Of Pietje Puk die per ongeluk de verkeerde USB stick gebruikte. Zat mogelijkheden. Ik heb genoeg grote corporate omgevingen gezien die last hadden van ransomware. Protectie voor 100% is onmogelijk.
Dat ze besmet raken met ransomware kan de beste gebeuren. Dat ze op de hoogte zijn van meldingsplicht bij AP (en dat ook doen) en goede backups hebben geeft wel aan dat ze er in ieder geval vrij goede kennis over hebben.

Kijk naar hoeveel bedrijven er toen met wannacry zijn besmet waaronder zeer grote bedrijven die alles prima op orde hadden. Besmetting voorkomen is hedendaags helaas niet meer mogelijk, het netjes afhandelen daarentegen wel.
In de (Britse) zorg is er nog het voorbeeld van de halve NHS die er met WannaCry uit lag.
Uit dit bericht kun je niet afleiden of ze wel we of niet op orde hadden.

Ook als je je boel op orde hebt, kun je slachtoffer worden.

Ik werk bij een bedrijf waar alles hermetisch dicht zit en alle verkeer continu gemonitord word. En toch is een keer (door een fout van een medewerker) een virus binnengedrongen en lag het netwerk een dag plat.

De zwakste schakel is altijd nog de mens, hoe goed je hard-en software ook is.
Ransomware kan je alleen maar tegen gaan door niets met internet te verbinden. Maar dat is uiteraard totaal onmogelijk voor een tandartspraktijk waar de meeste communicatie extern is.
Een zero day blijft een zero day.
Kan die niet uitgroeien naar iets anders?
Want als je je IT wel op orde hebt dan is het vervolgens onmogelijk om besmet/gehacked te worden? Droom lekker verder zou ik zeggen. Dat er geen bewustzijn is voor deze materie is een veel groter probleem. Immers als er wel bewustzijn was op dit vlak dan was de IT een stuk beter geregeld waarschijnlijk.
Dat dus, een backup, en ťťn die ook nog eens werkt blijkbaar..

Naar mijn mening had de organisatie misschien eerder mogen reageren en dan later alsnog een uitgebreide email sturen zoals ze dat nu hebben gedaan met de gang van zaken, iets in de zin van "we zullen het gelijk gaan onderzoeken", maar liever dit dan dat je opeens vreemde emails binnenkrijgt en je dan afvraagt hoe de afzender aan je gegevens is gekomen..
Wat voor soort kleinere praktijken? Deze praktijk is onderdeel van samenwerkende tandartsen. Een van de grotere ketens van praktijken in Nederland. Ik kun je uit ervaring vertellen dat de ICT en de beveiliging van persoonsgegevens in de tandheelkundige wereld een hot item is. Dat is niet anders bij deze organisatie
Bij dit soort kleinere praktijken is het met de IT vaak slecht gesteld
Ik wil dit niet echt een kleine praktijk noemen. Als je de website even bekijkt zie je:

9 Tandartsen
6 Mond hygienisten
22 Assistenten
8 Baliemedewerkers

Alles bij elkaar 45 personen.

Nergens word gemeld over hoe de ransomware infectie precies heeft plaatsgevonden en wat ze nu eventueel hebben veranderd om herhaling te voorkomen. Hierdoor kun je niet tot een goed gefundeerde conclusie komen over of hun IT zaakjes wel of niet goed op orde waren.
Samenwerkende Tandartsen is allesbehalve een kleine praktijk. Het is een ontzettend grote keten met miljoenen aan jaaromzet.
En dat is meteen het grote probleem van aan internet gekoppelde systemen in het MKB. Vanaf het moment dat je persoonsgegevens gaat opslaan heb je eigenlijk enterprise-niveau security nodig, en dat is voor de meest bedrijven bijna niet te betalen. Je ziet dat overigens ook bij gemeentes, daar gaat op it-gebied best vaak wat mis, maar ze hebben dus wel mooi mijn vingerafdrukken in hun systeem zitten omdat dat verplicht was bij mijn nieuwe paspoortaanvraag :X
Ook mijn tandarts, kreeg gister netjes een email waarin ik geinformeerd werd over het voorval. Goed geacteerd vanuit de praktijk.
Jammer van de negative reacties onder dit bericht. Wat mij betreft valt dit onder positief nieuws! Hulde voor de praktijk die gewoon adequaat heeft gehandeld.

Informatie beveiliging rust op drie dingen (in volgorde van prioriteit):
  • Mensen (bewustzijn & gedrag)
  • Organisatie (processen & afspraken)
  • Techniek (voorkomen & signaleren)
In andere woorden: IT is de sluitpost, je kunt niet alles technisch oplossen en/of dicht timmeren.

Dit voorbeeld laat zien dat de eerste twee op orde zijn en de derde op zijn minst goed is. Ze hebben gesignaleerd, veilig gesteld/kunnen herstellen, geanalyseerd en de juiste partijen geÔnformeerd. Er zijn helaas nog genoeg organisaties die geen idee hebben wat te doen, data krijt zijn laat staan het netjes aan de AP en betrokken personen melden.
Waarom wachten ze zolang met het uitsturen van deze mail?

Aanvullend onderzoek is een kul-reden!

Twee maanden later! Ondertussen kunnen je patienten slachtoffer zijn van identiteitsfraude.

Kan dit wel door de beugel juridisch / strafrechterlijk gezien?

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True