Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Medische data van 'honderdduizenden' Nederlanders is opgeslagen op Google Cloud

Patiëntengegevens van honderdduizenden Nederlanders zijn opgeslagen op servers van Google Cloud. Ziekenhuizen leveren deze data aan een Nederlands bedrijf voor analysedoeleinden. Dit bedrijf slaat deze gegevens weer op de servers van het Amerikaanse techbedrijf op.

Dat blijkt uit onderzoek van het AD. Volgens het dagblad gaat het om behandelgegevens van Nederlanders met kanker, diabetes, Parkinson en 'andere veelvoorkomende aandoeningen'. Om de zorg te optimaliseren en aan landelijke kwaliteitsregistraties te kunnen doen, worden deze gegevens verstrekt aan het Nederlandse bedrijf MRDM.

Deze gegevens worden versleuteld gestuurd naar het bedrijf. De naam van de patiënt wordt vervangen door een nummer. Volgens het AD gaat het per persoon om 'tientallen tot soms vijfhonderd verschillende datapunten'. Dat kan variëren van de behandelduur, het aantal ingrepen en complicaties tot de medicatie en medische voorgeschiedenis van de patiënt.

MRDM zegt voor de Google-dienst te hebben gekozen vanwege de veiligheid van het bedrijf. Het Nederlandse bedrijf heeft ook gekeken naar lokale opties zoals die van KPN, maar die vielen af. Het beveiligingsniveau van die bedrijven zou lager zijn dan dat van Google. Daarnaast hebben de servers van Google het voordeel dat de kosten lager zijn en extra opslag snel gerealiseerd kan worden, zo zegt het bedrijf. MRDM stelt dat de opslag van de gegevens in lijn is met de AVG.

Privacy- en securityexpert Brenno de Winter zegt tegen het AD dat de 'massale opslag' van medische gegevens bij Google 'buitengewoon zorgwekkend' is. Daarbij wijst De Winter naar Edward Snowden. "Hij toonde gedocumenteerd aan hoe de Amerikaanse inlichtingendiensten via Google spioneerden." Dat MRDM de gegevens in het Nederlandse Eemshaven opslaat doet er volgens De Winter niet toe.

Tweede Kamerleden zeggen tegen de krant bezorgd te zijn over de opgeslagen data. Zo geeft SP-kamerlid Maarten Hijink aan dat de gegevens volgens zijn partij niet opgeslagen moeten worden bij een buitenlands bedrijf 'dat deze data kan combineren met andere profielen'. Ook D66-Kamerlid Kees Verhoeven vraagt zich af in hoeverre gegarandeerd kan worden dat de data niet herleidbaar is tot personen. Hij wil dat de Autoriteit Persoonsgegevens de gang van zaken toetst.

Door Hayte Hugo

Stagiair nieuwsredactie

30-03-2019 • 11:52

362 Linkedin Google+

Submitter: Pep7777

Reacties (362)

-13620348+1169+241+38Ongemodereerd127
Wijzig sortering
Bank gegevens, medische gegevens, alles belandt bij Google. Een bedrijf welke op den duur de totale inzage heeft van het hele hebben en houden van een persoon. Vroeger werd dit met man en macht beschermd door de regering, nu gaat het als commerciële informatie de wereld rond met dus als doel, making money.

Het contrast is dusdanig groot met vroeger dat ik echt niet begrijp dat mensen dit maar gewoon pikken. Zijn we dan echt zo brainwashed dat we dit allemaal maar normaal moeten vinden? Heb ik dan echt een alu hoedje op om te moeten bedenken dat dit alleen maar fout kan gaan? Wie zal het zeggen, maar dan is het einde al zoek.

Fijn weekend
Even wat nuanceren.

Data wordt voordat het naar de Google opslag gaat geanonimiseerd. Dus totaal niet herleidbaar.

Daarnaast koop je storage voor eigen gebruik, en bij Google zijn ze daar heel strict in, daar blijven ze van af. Wanneer ze dat niet zouden doen dan kunnen ze de dienst wel opheffen. We praten niet over een gratis gmail account.

En verder kan de klant gewoon zijn data alsnog extra client side versleutelen waarbij Google er al helemaal niet bij kan.

Ik zie dit dan ook meer als een soort stemmingmakerij, en het zal mij niets verbazen dat een concurrent van Google of dat Onderzoeksbureau niet de krant getipt heeft met een "sensationeel" onderzoek.

Wanneer men echt de inner details kent van de BETAALDE cloud diensten van o.a. Google, Microsoft en Amazon dan moet je je meer zorgen maken over de wijze hoe een clickbait artikel als dit tot stand is gekomen.
De gegevens worden niet geanonimiseerd, maar vervangen door een nummer. Dat nummer is voor alle behandelingen van een patiënt gelijk. Het is dus een pseudoniem. Via externe gegevens zijn de pseudoniemen vaak wel tot namen te herleiden.
Verder heb je gelijk. Het opslaan op een server van Google is niet heel verschillend van opslag bij een willekeurige Nederlandse provider. Google kan in theorie bij de data, maar mag dat helemaal niet.
De Amerikaanse geheime dienst mag evenmin meekijken (al wil dat niet zeggen dat het niet gebeurd. Pas na een gerechtelijk bevel kan men toegang eisen. Daar Google een Amerikaans bedrijf is kan de Amerikaanse rechter dat gelasten. Nu ken ik de bedrijfstructuur van Google niet, maar er bestaan constructies waarbij de Amerikaanse rechter helemaal niets te zeggen heeft over data die Google in Europa opslaat. Microsoft heeft zo'n zelfde strijd al eens gewonnen met data die in Ierland werd bewaard. Microsoft Europa was namelijk geen onderdeel van Microsoft, maar een grotendeels zelfstandig bedrijf, gelieerd aan het Amerikaanse Microsoft.

De data zijn dus bij Google net zo veilig als wanneer ze bij een Universiteit lokaal opgeslagen zouden worden. Het gebruik van pseudoniemen is wel een dingetje, maar het kan haast niet anders. Men wil ook de effecten van behandelingen meten, dus moeten behandelingen steeds aan hetzelfde nummer gekoppeld blijven.
De beveiliging van Google is zeker goed, die van universiteiten is niet slecht, maar sla ik minder hoog aan. Het hele artikel is dus inderdaad grotendeels stemmingmakerij.
> De Amerikaanse geheime dienst mag evenmin meekijken (al wil dat niet zeggen dat
> het niet gebeurd. Pas na een gerechtelijk bevel kan men toegang eisen

Dan denk ik dat je eens naar de patriot act moet kijken die geeft namelijk, heel veel vrijheid voor de geheimedensite zolang het over data gaat van niet Amerikanen. En dan komt de rechter niet aanbod.
Bedenk dat de VS de tekortkomingen in de Patriot Act heeft opgelost door de CLOUD Act aan te nemen. de VS kan en mag nu overal bij als het data van een in de VS gevestigde firma of filiaal betreft. Zo ongeveer. Zie
https://ictrecht.nl/2018/...ijven-onder-de-cloud-act/
Maar dan moet het gaan over data welke nodig is in een strafzaak. En dan moet er toch een rechter een uitspraak doen over Probable Cause. Dus ongezien graaien mag niet.
Mis ik iets?
Of iets wel of niet mag doet voor veel inlichingendiensten niet echt ter zake, zij zijn vooral geinteresseerd in wat er kan of niet kan, wat het oplevert, en wat de gevolgen zijn als ze mogelijk betrapt zouden worden bij het schenden van formele danwel informele regels en/of afspraken.
(een beetje zoals veel mensen met de maximum snelheid omspringen)
M.a.w. als inlichtingendiensten er bij kunnen, en de pakkans klein is, dan kun je er bijna al vanuit gaan dat ze de inlichtingen gebruiken. Dat is nu eenmaal de aard van het beestje.
Voor politiediensten ligt dat anders, die kijken vooral naar of iets in een rechtzaak bruikbaar is, en dan wordt het verhaal wat genuanceerder. De herkomst van de inlichtingen moet dan onderbouwd worden.

Dus als je je data wilt beschermen tegen inlichtingendiensten, zul je moeten voorkomen dat ze er bij kunnen. Een wet aannemen dat ze er niet aan mogen tenzij de rechter het goedkeurt geeft in de praktijk weinig tot geen bescherming.
Zelfs met de Patriot acht kan de geheime dienst niet onbeperkt graaien. Er moet wel een duidelijke link zijn met een persoon of een groep die criminele of terroristische activiteiten plant, uitvoert of heeft uitgevoerd in of tegen de VS.
De privacy van de inwoners van de VS is beter beschermd. De Patriot act geldt overigens niet alleen voor Amerikaanse bedrijven, maar voor alle bedrijven wereldwijd.
Sinds 2001 (toen de Patriotact actief werd) is er wel het een en ander veranderd. Microsoft heeft al eens geweigerd mee te werken en dat na vele rechtszaken ook kunnen volhouden. De AVG verbied ook nadrukkelijk het delen van gegevens van Europeanen (waar ze wonen doet er niet toe).
De data is juridisch gezien op geen enkele legale wijze beschikbaar voor derden.

Voor meer informatie is deze site misschien leuk om te lezen: https://www.quarant.nl/ic...crosoft-amazon-en-google/

Google bied ook de mogelijkheid aan om data versleuteld op te slaan en dan is het haast onmogelijk dat pottenkijkers stiekem meekijken.
Toen Amerika hierover door de mand viel, en bleek dat ze wel degelijk zonder scrupules of tussenkomst van een rechter data analyseren van zowel Amerikanen als niet-Amerikanen loog toen president Obama hierover. Glashard, op de camera, tegenover zijn volk en de hele wereld.

[Reactie gewijzigd door d-snp op 31 maart 2019 11:37]

Daar zijn inmiddels vele maatregelen tegen genomen. Voor het telefoonverkeer van en naar Amerika geld nog steeds de regel dat dit gewoon altijd afgeluisterd wordt. Voor dataverkeer is dat al een stuk moeilijker. Als die data helemaal niet in de buurt komt van de Amerikaanse grens is het legaal niet mogelijk om dat af te luisteren.
Via illegale wegen heeft de geheime dienst net zoveel mogelijkheden als de Chinese en Russische (staats) hackers en andere hackers groepen. Grote datacentra zijn aantrekkejke doeleinden, maar die houden dat continu in de gaten en proberen elke aanval voor te zijn of zo snel mogelijk af te kappen. Universiteiten hebben daar veel minder middelen voor en zijn in de praktijk gewoon kwetsbaarder.

Het hele artikel (en dit is maar gewoon overgenomen van een persdienst) is puur stemmingmakerij. Opslaan bij Google is uit privacyoverwegingen helemaal geen slechte keuze. Ik ben geen hacker, maar als ik dat soort data zou willen hebben zou ik naar de zwakste plek zoeken en dat zijn vooral de ziekenhuizen. Daar is de ICT zeker geen kerntaak en top beveiligers verwacht je daar niet. Als je daar inbreekt heb je gelijk de koppeling met de echte namen. Adressen, geboortedata enz kan je dan ook gelijk vinden.
De Patriot Act is heel stilzwijgend vervangen door de nog zeker zo vergaande Cloud Act. Deze is ook heel stilletjes door alle grote cloudbedrijven geaccepteerd, iets wat niet heel groot in het nieuws bekend is gemaakt.
Je mist hier het essentiële punt. De data is geanonimiseerd. Daar is enige twijfel over omdat MRDM (het Nederlandse bedrijf) dat mogelijk ongedaan kan maken. Vervolgens is die data opgeslagen bij Google. Nu is er dus een misverstand dat een Amerikaanse rechter daar toegang toe kan eisen. Ja, ze kunnen Google dwingen, maar niet MRDM. En dan krijgen ze in de VS dus alleen de anonieme data.

Er zijn dus meerdere sub-optimale punten, maar MRDM heeft gelijk. De zwaktes vallen niet samen, waardoor geen enkele onbevoegde partij zich toegang kan verschaffen.
heb je wel gelezen hoe ze het anonimiseren, voor Google geen enkel probleem om dat voor de meeste data sets ongedaan te maken
" De data zijn dus bij Google net zo veilig als wanneer ze bij een Universiteit lokaal opgeslagen zouden worden."

Ik durf wel te beweren dat het bij Google veiliger opgeslagen kan worden. De capabilities van GCP zijn enorm.. lokaal heb je meestal die capabilities niet, of kun je ze niet veroorloven.
Microsoft heeft een bepaalde strijd gewonnen waarna de wet is bijgesteld.
Nu staat in die wet dat alle buitenlandse vestigingen er ook onder vallen, en ook data waar de US vestiging de hand op kan leggen.
(eigenlijk een nieuwe wet).

Ik kan het niet zo snel vinden maar ik geloof dat Microsoft een nieuwe EU bedrijf aan het oprichten is hiervoor.
lol
Ach ja,
Er zullen altijd mensen die alles willen geloven wat de grote bedrijven bekokstoven.
Als je eens beter op zou letten merk je dat deze giganten inmiddels heel erg goed samenwerken.
Ik durf het zelfs nog sterker te stellen dat ze al een hele tijd meer samen komen.
Als je goed oplet op ontwikkelingen zie je dat micro$oft, intel, google en nvidia en nog een handvol amerikaanse ondernemingen allerlei samenwerkingen hebben.
Het is zowieso stom om uberhaupt wat dan ook aan persoonlijke gegevens bij een van deze giganten op te slaan. Ik heb bij diverse zaken gemerkt dat al dat delen directe gevolgen gaat hebben voor iedereen die met producten werkt van deze bedrijven.
De combinatie hardware en software is zeer verontrustend, want hier door kun jij straks niet meer bepalen wat er wel en niet door deze giganten word verzameld.
"Mark my words" daar gaan wij heel veel spijt van krijgen als iedereen maar in de leuke verhaaltjes van die giganten wil geloven.
Alles wat daar terecht komt haalt nooit iemand meer weg, dat beloof ik iedere dromer.
Ik weet niet waar jij je informatie vandaan haalt, maar de datacentra van Google, Microsoft en Apple zijn behoorlijk modern en de beveiliging van die datacentra is ook tip top in orden. Er zijn continu hackers actief die dat uittesten, maar er is maar zelden nieuws van datalekken.
Voor Google geldt hetzelfde als voor alle andere datacentra. Ze slaan data op, maar hebben zelf geen toegang tot de data. Doen ze dat wel, dan heet dat hacken of computervredebreuk.
Facebook moet je niet vertrouwen, maar die biedt ook geen diensten aan om data op te slaan. Over Amazon durf ik geen uitspraak te doen, maar die is in Europa niet zo actief als het om dataopslag gaat.

Elk datacenter is gebonden aan de Europese wet en de AVG verbied het ongevraagd delen van gegevens met derden. Als de Amerikanen toegang tot de data willen hebben zullen ze dat via een rechter (of vriendjes bij een lokale veiligheidsdienst) moeten regelen. De Patriot act is tot afgrijzen van Trump en consorten volledig buitenspel gezet. Dat geld voor data die in Europa is opgeslagen en voor data van ingezetenen van één van de landen die tot de EU behoren, ongeacht waar de data is opgeslagen. Alleen in Amerika zelf gaat de Patiot Act boven de AVG.

Ik zou Google zeker niet minder veilig achten als elke andere willekeurige provider. Ik durf zelf wel te stellen dat er binnen Europa handen vol datacentra te vinden zijn die niet aan de veiligheid van Google kunnen tippen.
Data wordt voordat het naar de Google opslag gaat geanonimiseerd. Dus totaal niet herleidbaar.
Zo'n kort zinnetje, maar klopt dit wel? Data goed anonimiseren terwijl het nog bruikbaar is voor onderzoek is bijna een vakgebied op zich. Let op dat pseudonimiseren geen anonimiseren is.
Daarnaast koop je storage voor eigen gebruik, en bij Google zijn ze daar heel strict in, daar blijven ze van af.
Het staat op een server van een bedrijf dat een legale entiteit is in de VS. Hierdoor is er geen wettelijke bescherming als bijvoorbeeld de Amerikaanse regering zaken (stilletjes/met zwijgorder) opeist.

Ook vergeet men vaak dat alles in de informatiebeveiliging een momentopname is. Als data ergens blijft staan, dan hoeft het niet zo te zijn dat hoe met die data omgegaan wordt hetzelfde blijft. Organisaties, regeringen en wetgeving zijn fluïde, en het is vaak genoeg aangetoond dat ieder van deze niet per se de bescherming van gegevens hoog in het vaandel draagt. Het is niet de vraag of het fout gaat, maar wanneer.

[Reactie gewijzigd door The Zep Man op 30 maart 2019 13:55]

Je analyze is juist.
Pseudonimiseren is verre van voldoende.
Datums van onderzoeken kunnen eenvoudig worden gekoppeld aan berichten op facebook/twitter waarin staat "vanmiddag weer een onderzoek!", en aan beschikbare lokatiegegevens van maps of android etc.
Het is waarschijnlijk kinderlijk eenvoudig om volledig anonieme data te de-anonimiseren en er een persoon aan te koppelen.

Wil je echt helemaal losgaan, dan zou een hartmeting van je horloge nog gekoppeld kunnen worden aan een ECG uit een onderzoek. Omdat het op hetzelfde moment was.
Dat is nu nog overdreven, maar je snapt vast wat ik bedoel. Hoe meer data je als bedrijf hebt, hoe makkelijker data te gebruiken is om te herleiden naar een persoon, zelfs als je meeste databronnen "anoniem maar wel per persoon" zijn.

[Reactie gewijzigd door Zynth op 30 maart 2019 14:13]

Daarnaast:

Er zijn mensen bij MDRM die de data hebben om de pseudonimisatie ongedaan te maken (anders anonimiseer je wel). Wat is de kans dat die data “lekt” of ooit opgeslagen wordt bij Google? Of dat er een gmailtje gaat van een MDRM medewerker naar een onderzoeker over wie persoon X echt is i.v.m. verder onderzoek?

En wat is de kans dat de data niet goed gepneudosimeerd wordt? Tenslotte ontvangt MRDM “de behandelinformatie rechtstreeks uit de door ziekenhuizen bijgehouden patiëntendossiers”. Kennen we deze nog: nieuws: 'Rechtbanken anonimiseerden namen kinderpornobestanden niet' ?

Maar goed, uiteindelijk is het een risico spel waarbij KPN er dus minder goed vanaf kwam als Google. Weet iemand daar nog meer van? Wat ik hier lees gaat om kosten en om tijd, niet om wat de bottom line is voor security.

[Reactie gewijzigd door TweakerNummer op 30 maart 2019 14:55]

Maargoed, als dit bedrijf dus voor het naar de cloud gaat encrypt, dan kan google doen wat ze willen maar ze komen alsnog niet binnen.

Of ze dit doen weten we dus niet, en hoe goed weten we ook niet, maar dit hoeft niet perse onveilig te zijn.
Hoe gaan we verder? Homomorphic encryption is niet praktisch inzetbaar, dus Google kan het niet processen zonder het te kunnen lezen. Wou je cloud-to-cloud transfer zodat de data tijdelijk gedecrypt en geprocessed kan worden (voor de duur van een uur / het analytische proces) op (bijv.) de cloud van KPN? Daar zijn geen faciliteiten voor en geen sluitende business case durf ik te beweren. Dan blijft over dat de wetenschappers het zelf downloaden, decrypten en in beheer nemen. Van die situatie willen we juist af omdat “veilig” data beheer zo complex is; en de kans dat de decryption key van wetenschapper X naar wetenschapper Y via gmail gaat is ook aanwezig.

En zelfs al houden we het encrypted op Google, we weten gewoon niet of AES gebroken gaat worden. Er zit gewoon altijd een risico aan. Overigens lijkt mij de openbaring van de medische gegevens van Nederlanders door een gehackte slechte beveiliging erger als het inzichtbaar zijn van de medische gegevens van Nederlanders voor de US regering.
Wat er fundamenteel fout aan is, is dat we steeds alle eieren in één mandje leggen. Dat is op zichzelf al onverstandig. Wat het nog veel gevaarlijker maakt is dat er partijen rondlopen die hun best doen om het mandje te laten vallen. En die slagen daar steeds opnieuw in met hun aanvallen. Een van die partijen zijn de geheime diensten zelf.

Willen ze ons misschien voor de mal houden? Als de NSA niet in staat is om zijn eigen gegevens goed te beveiligen, hoe gaat dit dan wel werken? Vroeg of laat liggen al deze gegevens weer op straat, of worden geruisloos ingepikt door de bewaarder, en dat laat zich niet ongedaan maken. Hoezo je gegevens veilig onderbrengen bij de grootste gegevenverzamelaar? Zal de boer de slimste vos dan maar op de kippen laten passen? Is dat het slimste dat onze wijzen konden bedenken?

De vraag die zich hierbij steeds stelt is: Is onze overheid grenzeloos naief en incompetent? Of zijn wij grenzeloos naief te geloven dat onze overheid grenzeloos naief is en incompetent? Daarbij wil je misschien in overweging nemen dat het gemakkelijker is voor intelligente mensen om minder intelligente voor de gek te houden dan andersom. Ook al stuit dat idee je misschien tegen de borst.

Wat onze overheid doet, is grenzeloze nalatigheid. De overheid had al lang een eigen netwerk geheel gescheiden van het Internet om moeten ontwikkelen dat puur gemaakt is voor veiligheid. Een netwerk waaop gegevensverzamelaars niet kunnen grazen.

Zo is er in het verleden ook geopperd om een gescheiden netwerk te maken puur voor verificatie. Door zijn eenvoud kun je die veel veiliger maken. Je zou er een aparte chip voor kunnen maken. Maar kennelijk kan Apple zoiets wel maken om de IP van content op zijn telefoon te waarborgen maar onze overheid niet voor onze veiligheid. De veiligheid van de burger is kennelijk niet zo belangrijk als de commerciele belangen van de content industrie.

Dan zou ook dat verhaal met de sluizen er niet geweest zijn. Moet er echt steeds een hacker bewijzen dat de zaak niet veilig is? Gooien ze er weer wat geld tegen aan blijkt straks dat de zaak nog steeds niet veilig is. Waarom geen netwerken die je volledig afkoppelt van het Internet. Liefst netwerken die zo totaal anders werken dat je ze ook niet even kan koppelen met het Internet. Waarom moet die koppeling dan? Zodat een systeembeheerder van thuis uit even kan inloggen om een backup te maken en het geld van een autoritje uit te sparen?

Vroeger had de NS zijn eigen telefoonnet, dat was er ook niet voor niets. Gescheiden systemen zijn gewoon veiliger. Ja het kost wat meer, is het zo erg dat dit wat meer banen oplevert? Of moet al het geld steeds naar grootkapitalisten? Als we de Koning nu eens wat meer van zijn onkosten laten betalen dan moet het mogelijk zijn. Of ben ik nu staatsgevaarlijk?

[Reactie gewijzigd door Elefant op 30 maart 2019 23:30]

Alle eieren in één mandje wordt altijd al gedaan. We gaan altijd voor de laagste prijs. Zo af en toe klinken er waarschuwingen, maar daar gebeurt nooit wat mee. Er zijn tig voorbeelden, van weinig gevaarlijk tot uiterst gevaarlijk. Weinig gevaarlijk, althans voor ons, wel voor de leverancier de monocultuur: Brazilië en koffie, Sri Lanka en thee, Afrika en cacao. Gevaarlijk voor ons en minder voor de leverancier: Midden-Oosten en olie, kernenergie en uranium, aardgas en Rusland, industriële diamanten en Zuid-Afrika, monopolies van religies. Nu dan de macht van Google over onze medische data. Of van vergelijkbare bedrijven over ons gedrag. Of van de overheid over andere privé gegevens, reis en verblijf of betalingsgegevens. Gaan voor de laagste kosten impliceert altijd dat men zich afhankelijk maakt en in een zwakke positie plaatst. De politiek grijpt of halfslachtig in, of alleen als het weinig moeite kost om de burger tevreden te stellen: strafregels OV, vergoeding bij vertraging luchtvaart. Zorgen dat er altijd een alternatief voorhanden is.
Nee je bent niet staatsgevaarlijk, want je hebt geen grote groep volgelingen en je gaat ook niet de straat op om je gelijk te krijgen. Dat is het hele probleem hier en in het grootste deel van de wereld. Lekker tegen elkaar klagen over hoe onze vrijheid en privacy wordt weggehakt, maar aan het einde van de dag accepteren wij het en gaan we weer verder alsof er niks gebeurt is. Ja ik ook.

En de paar mensen die er voor op de barricades gaan staan zijn meestal niet de types die serieus worden genomen (ook niet door de rest van het volk).
Ik zie dat niet negatief. Het zou niet eens goed zijn als de samenleving zich zou voegen naar elke opwelling van mensen. Eerst moet het bewustzijn groeien en de samenleving beweegt daar dan in mee. Zeker als het om zaken gaat die zo breed maatschappelijk zijn. Want het gaat hier niet enkel om medische dosiers maar leren omgaan met een informatiemaarschappij en leren om die verstandig in te richten.

Protesteren om een maatregel ongedaan te maken of aan te nemen, kan wel lukken. Maar het effect ervan kan ook gemakkelijk in het tegendeel van de bedoeling verkeren als het te geisoleerd is van het grotere geheel. Het is een beetje Nederlands om na elk ongeluk direct overdreven regulering in te voeren waar daarna iedereen over klaagt.

De overheid is van nature een log orgaan en dat is goed omdat dit stabiliteit geeft aan de samenleving, maar bewustvorming is als een zonnezeil, een kleine kracht die alsmaar in dezelfde richting trekt en zo de zaak toch in beweging brengt. Alleen is geduld niet meer zo sterk ontwikkeld in een samenleving waarin alles haast. De fout zit niet in de samenleving maar in de haast. Als we wat minder zouden haasten hebben we ook meer tijd om het goed te doen.

[Reactie gewijzigd door Elefant op 31 maart 2019 07:58]

Natuurlijk moet je niet met elke opwelling de straat oprennen, maar als een log apparaat reageert op een bliksemsnelle ontwikkeling dan is alle informatie al vergeven en opgeslagen voor het bewustzijn en de juiste regels er zijn. Handig voor een generatie of 2 verder, maar niet voor ons helaas.
Er is zoiets als gemnet, dacht dat dit een apart beveiligd netwerk voor de overheid (gemeents) is.
Helaas wil onze eigen overheid ook data verzamelen, en dat is nog het mooiste van alles die kunnen zichzelf ook amper voldoende beveiligen.
Terug verwijzend op de regelmatige hacks bij al deze binnen en buitenlandse instanties zoals NASA, NSA, FBI, dan heb ik het nog niet eens over de hacks bij de grote ondernemingen waar je amper tot nooit informatie krijgt op het aantal hacks wat daar plaatsvind bijv banken en verzekeraars.
Als die bedrijven vaak met vele miljoenen aan geld al niet eens in staat zijn om het echt af te sluiten.
Hoe moet dan jan met de pet er mee omgaan.
Nog mooier de banken stellen zich niet meer verantwoordelijk voor jouw centen als die gestolen worden, Wist je dat ook ?, als men geld van jouw rekening haalt zal geen enkele bank jou dit teruggeven.
Lees maar eens de kleine lettertjes.
Van die banken wist ik niet. De overheid zou dit soort uitsluiting van verantwoordelijkheid wettelijk moeten beperken. Ik weet ook niet hoever een rechter daarin mee gaat. De vraag is daarbij: In welke mate kan je een burger die gedwongen wordt om systemen te gebruiken die hij maar deels begrijpt verantwoordelijk stellen voor handelingen waarvan hij de gevolgen niet kan overzien.

Het tegenovergestelde gebeurt zelfs. Ik wordt nu gedwongen om op Android bankzaken te doen terwijl ik het linux systeem dat ik daarvoor gebruik een stuk veiliger acht. Ook dingen als contactloos betalen standaard opdringen aan mensen zou verboden moeten zijn. Er lopen tal van mensen rond die nog niet eens weten dat het bestaat, en daardoor bestolen kunnen worden zonder dat ze het door hebben.

Maar wat eigenlijk mijn punt is: Politici weten al decennia dat wij naar een informatiemaatschappij toegaan. Maar in plaats daarvoor gezonde fundamenten te leggen, loopt men steeds maar achter de feiten aan. Ook nu het toch al jaren bekend is dat aan Internet gekoppelde systemen niet binnen redelijke grenzen veilig te krijgen zijn, blijft men op zijn handen zitten. Ze doen niets wezenlijks.

Nou, ze nemen voortdurend maatregelen die het groot-kapitaal en multinationals verder in de kaart spelen. Dat kan je geen ongelukje meer noemen als het eindeloos door gaat en ook nooit ongedaan gemaakt wordt. Dan is het beleid.

Als het om beveiliging van waardevolle zaken gaat is het principe heel simpel. Hoe meer eieren je in een mandje legt, hoe groter de problematiek. Niet alleen zijn de gevolgen van een inbraak veel groter, maar voor misdadigers werkt dit als een magneet, het heeft een onweerstaanbare aantrekkingskracht. Een keer een grote slag slaan is veel aantrekkelijker en minder risicovol dan meerdere kleine diedstallen, waarbij je met een grote diversiteit te maken hebt.

Monocultures of nu in de landbouw of op het Internet leiden altijd tot grote problemen, en elke oplossing roept weer nieuwe grote problemen op. Dat is het logische gevolg van schaalvergroting waar je niet aan ontkomt. Die schaalvergroting leidt zelf dan weer tot een verlaging van de waarden en normen omdat grotere misstanden steeds vaker voorkomen en gemakkelijker geaccepteerd worden.

Daarom begint een oplossing volgens mij, dat we afstand doen van het megalomane denken dat nu heerst en ons landje eerst eens gaan los maken van de EU met zijn grootheidswaan en dan binnen ons landje de zaak weer kleinschaliger maken en dichter bij de mensen brengen. Schaalverkleining en de grote belangen inperken, en zo de kleinere belangen mer macht gaan geven. Het is al lang bekend dat een land met veel kleine bedrijven veel welvarender is.

Corporaties streven steeds naar schaalvergroting, efficienty wat een ander woord is voor mensen uitschakelen. Mensen worden niet alleen ten onrechte als kosten in plaats als inkomen voorgesteld, maar ook heel eenzijdig als risicofactoren. Maar vaak zijn mensen juist degenen die problemen signaleren en als de boel plat gaat is het juist dankzij mensen dat procesgang doorgang kan vinden. Mensen zijn heus belangrijk in systemen.

Het is al lang niet meer zo dat de meeste inbraken in systemen op fouten van mensen berusten. Indirect is de mens natuurlijk altijd verantwoordelijk omdat hij hij systeem bouwt, maar dat wil je gescheiden zien. Dan zou je mensen niet eens systemen moeten laten bouwen. Nee, het blijkt dat systemen van mensen juist baat hebben bij een veelheid aan mensen als tussenschakels om ze betrouwbaar te houden. Zo zijn onze verkiezingen betrouwbaar omdat er een groot aantal mensen bij de telling betrokken zijn. Ook al maken mensen vaker kleine foutjes dat doet daar niet aan af.

Het zijn individualisten die willen dat systemen mensen dienen. Maar sociale mensen willen liever mensen die mensen dienen. Eventueel met behulp van systemen, maar meer ook niet. Als ik vroeger software ontwikkelde zorgde ik altijd dat het systeem de mens flexibel ondersteunde bij wat hij wilde doen, niet dat de gebruiker het systeem moest volgen in een heel dwingende logica. Het zogenaamde "foolproof" maken van systemen. Dan verlaag je de intelligentie van mensen, dat moet nooit het doel zijn.

Dat is het doel van machthebbers die van mensen blinde uitvoeders maken voor hun doelen. Maar automatisering kan ook de gewone man meer macht geven zodat hij juist onafhankelijker wordt. Als automatiseerders hebben wij daar ook een verantwoordelijkheid in. Als wij alles maar richting Google sturen, helpen we onze kinderen om slaaf te worden.

Ik ben blij dat er een bewustwording aan het ontstaan is. Wij zullen zelf ook op een grotere schaal moeten denken om te begrijpen wat ons op lager niveau overkomt. We zullen ook op hogere niveau moeten streven naar verandering.

We willen afstand gaan nemen van de megalomane politici die de wereldproblematiek willen oplossen maar al decennia de eigen burger in de kou laten staan met hun grootse visies. Google is een wereldwijd gezwel geworden, maar daarom hoeven wij het toch niet te voeden door het alles te laten opslokken?

We noemen onszelf een kenniseconomie maar we zijn niet in staat om onze eigen gegevens meer te beheren? Dat kan je toch geen verantwoorde opzet noemen? Nee wat de EU en grootkapitalisten aan het doen zijn is de zelfstandigheid van landen en volkeren af te breken en ze functionele stukjes te maken in een globale economie. Ze willen het ons onmogelijk maken nog ooit zelfstandig te zijn. De Romeinen deden dat dok. Alle veroverde landen werden provincies (wingewesten) met gespecialiseerde productie die het waterhoofd in Rome moesten voorzien.

We moeten onze grens kennen. Wat zijn we bereid te slikken? Hoe meer de maatschappij tot een mierennest wordt, hoe meer de mens tot een mier wordt. Een gespecialiseerde uitvoerder. Dit is een fundamentele aantasting van ons menszijn zelf en berust op de rascistische ideologie waarin een elite zich als herrenvolk beschouwt en de rest als dieren in mensengedaante om hen beter te dienen. Een thema dat door de eeuwen heen al grote ellende veroorzaakt heeft, maar dat de heren nu op mondiale schaal proberen uit te rollen over volkeren.

Google, dat is de Stasi/KGB die deze keer vooraf gaat aan de dictatuur van de elite. Of die elite zich nu het hoedje opzet van arististocratie/partijleden/aandeelhouders, maakt geen wezenlijk verschil. Dat is alleen maar de aankleding van de macht. Het enige wat telt is de mate van zeggenschap van de gewone mens en kleine gemeenschappen over de inrichting van hun eigen bestaan. Dat wordt steeds verder ingeperkt. Het menselijk bestaan wordt verengd tot werken voor het systeem, het grote mierennest. Een systeem dat daarbij doodleuk de Aarde aan het kaal slaan is in de megalomane waan van eindeloze groei.

Het is niet dat we dit bericht weer lezen, maar een eindeloze stroom van dit soort berichten lezen hoe grote corporaties met de behulp van onze politiek steeds meer naar zich toetrekken en hoe burgers steeds meer inleveren. En dat wordt mede mogelijk gemaakt door mensen via de media te indoctrineren met een neoliberale ideologie, waarin vrij verkeer van goederen, kapitaal en mensen als hoogste waarden wordt voorgesteld terwijl het gewoon de instrumenten van internationaal opererende machtsgroepen in imperia zijn.

Feitelijk is de EU bezig om het landen onmogelijk te maken een afwijkende maatschappijvisie te ontwikkelen, die niet neoliberaal is. Een enorme aantasting van de democratie die op dictatoriale wijze wordt doorgevoerd. We zullen dit probleem echt bij de wortel moeten aanpakken en eerst onze onafhankelijkheid moeten herstellen. En we zullen ook bereid moeten zijn daar de prijs voor te betalen. Nederland heeft 80 jaar tegen Spanje moeten vechten om los te komen, maar daarna waren ze wel een wereldmacht.

We staan gelukkig niet alleen, overal staan volkeren op hun achterste benen, alleen wordt dit stelselmatig afgeschilderd als "extremisme". Ja, zo zagen de Romeinen elk verzet ook. De Romeinse Vrede werd met grof geweld opgelegd en volkeren die verzetten, werden zelfs geheel uitgemoord (Cortintie, Cartago) in naam van de vrede. Vrede is voor overheersers altijd hun order (Status Quo) herstellen door alle verzet de kop in te drukken. De Amerikaanse Vrede in Afghanistan is daar weer een mooi voorbeeld van,

Ammehoela!
Voor wie het niet weet. Ammehoela was een dictoriale Afghaanse Koning (1892-1960). Deze koning wilde zijn land naar westers model hervormen. Aan het einde van de jaren twintig ontstonden er felle protesten tegen zijn hervormingen, bijvoorbeeld tegen het voorschrift dat iedereen in Kaboel westerse kleding moest dragen. De protesten leidden tot een opstand en in 1929 was hij gedwongen afstand te doen van de troon. Amanoellah leefde de rest van zijn leven in ballingschap en werd een veelbesproken societyfiguur in Europa.

[Reactie gewijzigd door Elefant op 1 april 2019 18:07]

Een lust om te lezen, en leuk gebracht.
Dank u wel
Dat weet je niet of ze de volledige data encrypten. . Lijkt me niet als zij de Google cloud gebruiken voor analyse doeleinden. Zoals eerder opgemerkt weet je niet niet op welke wijze wordt geanonimiseerd. Je kunt indirect door gegevens te combineren, welke Google in overvloed heeft, terug herleiden naar een persoon. Slechte zaak, goedkopere opslag zoals het bedrijf al toegaf....
De aanleverende kant levert het al geanonimiseerd aan, wat niet nodig is verlaat het ziekenhuis dus niet.
Helaas zijn er zoveel gegevens om mee te combineren tegenwoordig dat dit soort pseudonimisering in veel gevallen ook extern ongedaan te maken is.

In dit geval bijvoorbeeld verwacht ik dat je de overlijdensdatum en leeftijd vrij nauwkeurig in handen hebt, dan heb je nog geen naam, maar zoiets voelt al verre van anoniem. Dat met slechts 2 data punten.

Vervolgens risico dat aan de hele onderliggende familie stamboom een marketing/persoon profiel gekoppeld wordt van 'mogelijk' genetisch overdraagbare ziekte. Het zijn rare tijden waarin je op 30.000 categorieën doelgroepen je marketing kunt insteken...
Dus het is de schuld van de geanonymiseerde medische data dat deze herleidbaar is? Ik denk dat het niet-anonyme gedrag van mensen zelf op Facebook, Twitter etc juist de oorzaak is dat andere data herleidbaar is. Daar zou je je pijlen op moeten richten, omdat in de wereld van wetenschappelijk onderzoek de waarde van medische data groot is, ook voor de samenleving. Dat is niets nieuws, dat gebeurt al honderden jaren. De Facebook, Twitter en Instagrams, zijn de echte oorzaak dat valide en beschermd gebruik nu bedreigd wordt.
Het staat op een server van een bedrijf dat een legale entiteit is in de VS. Hierdoor is er geen wettelijke bescherming als bijvoorbeeld de Amerikaanse regering zaken (stilletjes/met zwijgorder) opeist.
Ik had begrepen dat google gewoon diensten in de EU aanbiedt vanuit Ierland, dat is een aparte, Ierse entiteit. Dat het moederbedrijf Amerikaans is doet dan ter zake.
https://en.wikipedia.org/wiki/CLOUD_Act

Dat spelletje is al eerder gespeeld, en werd niet altijd gewonnen.
Even goed lezen:
The CLOUD Act is a culmination of these prior bills. Principally, it asserts that U.S. data and communication companies must provide stored data for U.S. citizens on any server they own and operate when requested by warrant,
De cloud act geldt alleen maar voor data van U.S. Citizens opgeslagen in datacenters buiten de USA. Het geeft nog geen recht om data van niet U.S. Citizens zo maar op te vragen. Wat wel gedekt is in deze Act is dat incident gerelateerde gegevens van een niet U.S. Citizen mogen worden opgevraagd. Een voorbeeld, U.S. Citizen heeft een e-mail ontvangen van Nederlander X, dan mag het e-mail adres (alleen dat) van X worden opgevraagd. Echter niet meer dan dat.
it asserts that U.S. data and communication companies must provide stored data for U.S. citizens on any server they own and operate when requested by warrant, but provides mechanisms for the companies or the courts to reject or challenge these if they believe the request violates the privacy rights of the foreign country the data is stored in.
Ben geen jurist enzo maar zo te lezen is dit alleen van toepassing voor Amerikaanse staatsburgers.

[Reactie gewijzigd door N97 op 30 maart 2019 21:24]

De Patriot/USA Freedom act met de FISA Court erbij is een stuk enger (https://en.wikipedia.org/...urveillance_Court_Reforms)
Dan gebruik je toch gewoon encryptie of als je azure hebt een Bring you own key voor encryptie. (weet niet of google dat ook al support)
Het woordje gewoon geeft mij de kriebels. Je gebruikt nooit gewoon encryptie. Over beveiliging moet je nadenken. Dit vooral als het bijzonder persoonlijke gegevens betreft met mogelijk verregaande gevolgen als deze bekend worden bij belanghebbende partijen.
Het staat op een server van een bedrijf dat een legale entiteit is in de VS. Hierdoor is er geen wettelijke bescherming als bijvoorbeeld de Amerikaanse regering zaken (stilletjes/met zwijgorder) opeist.

Het omgekeerde is het geval. Er is meer bescherming van Nederladnse data tegen spionage van de Amerikaanse overheid, dan andersom Amerikaanse data opgeslagen in Nederland beschermd zou zijn tegen de AIVD inzage.

Ironisch genoeg zijn er al diverse rechtspraken geweest waar de data van non-US persons beschermd was, terwijl andersom dat nog nooit gebeurd is.

Maar het is ook een beetje zeuren om niets. De kans dat de Amerikaanse veiligheidsdiensten een geheim FISA verzoek indienen om geannomiseerde patientendata van willekeurige Nederlandse patienten is natuurlijk nul.

De kans dat gewone criminelen of zo inzake willen via hacken is vele malen groter.

Dus waar wil je voor optimaliseren? Voor een leuk spannend volledig onrealistisch Amerikaanse spionage kans, of voor echt serieuze kansen op data lekken?
Wat het geheel nog triester maakt is dat zorg een overheidstaak is, de overheid moet heel eenvoudig met wetten komen dat dat verplicht in Nederland moet blijven bij een Nederlands bedrijf zodat buitenlandse overheden via via geen toegang kunnen afdwingen.

Maar goed er zal wel weer een EU regels zijn dat dit niet mag.

De enige mogelijkheid is dat jij als eigenaar van de data je toestemming tot opslag dus intrekt en verbied. Laten we dan als Nederlanders nu eens massaal doen om dit soort bedrijven op de knieën te krijgen.
We waren toch met z'n allen tegen het Patiëntendossier? Zelfs het Landelijk Schakelpunt met volledige controle en beveiliging van toegang tot de verschillende Patiëntendossiers werd geen overheidsinfrastructuur. Nu is alles in particuliere handen (vaak buitenlandse partijen) en zien we de gevolgen: Patiënten hebben geen controle over de eigen behandelgegevens.
De vraag is of je dat als patient idd niet hebt.

Je kan ook stellen dat je niet wil dat het ziekenhuis jou gegevens bewaard, jij bent immers de eigenaar daarvan. Probleem zal zijn bij een volgend bezoek heeft het ziekenhuis jou gegevens niet mee en zul je ze zelf mee moeten brengen. m.z.w onwerkbare situatie.
Data wordt voordat het naar de Google opslag gaat geanonimiseerd. Dus totaal niet herleidbaar.
Hoe meer datapunten je al hebt van iemand hoe makkelijker het is om nieuwe data te herleiden naar dezelfde persoon. Met de hoeveelheid data die Google opslaat zou het geen probleem moeten zijn om het naar de persoon te herleiden.

Vergeet niet dat veel mensen googlen naar de ziekte die ze hebben voor meer informatie. Google kan bijvoorbeeld kijken naar de gehele medische geschiedenis in het dossier en kijken wie in de regio in de juiste periodes van die ziektes daar naar heeft gezocht. En door middel van machine learning zijn er nog wel meer patronen te vinden waar we nog geen eens aan denken.

Hoe langer en uitgebreider het dossier hoe accurater Google het naar de persoon kan herleiden. Op een gegeven moment maakt het niet meer uit dat de naam door een nummer is vervangen.

[Reactie gewijzigd door Armada651 op 30 maart 2019 14:06]

Het is al langer aangetoond met zogenaamd anonieme datasets. Als je genoeg data met elkaar gaat combineren blijkt alles ineens niet meer zo anoniem te zijn.
Data wordt voordat het naar de Google opslag gaat geanonimiseerd. Dus totaal niet herleidbaar.
De naam van de persoon wordt vervangen door een nummer. Vervolgens staan alle andere gegevens er nog gewoon in. Leeftijd, ras, geslacht, ziekenhuis, datum en tijd van behandeling..... Combineer dat met alle data die Google al heeft van je en je kunt er gewoon je naam bij zetten. Er is dus geen anonimisering.
Daarnaast koop je storage voor eigen gebruik, en bij Google zijn ze daar heel strict in, daar blijven ze van af. Wanneer ze dat niet zouden doen dan kunnen ze de dienst wel opheffen. We praten niet over een gratis gmail account.
Yup. Ik ben er heilig van overtuigd dat Google helemaal niets met deze data doet.... Behalve dan het door geven aan de USA overheidsinstanties. Dat zijn ze wettelijk verplicht. En als enige grote cloud provider stelt Google ook dat ze hier helemaal geen maatregelen tegen nemen. Terwijl Microsoft servers in de EU zet met de garantie dat die data niet in de US zal staan (en jurisprudentie die zegt dat de USA er dus ook niet bij kan) zegt Google dat ze deze garantie niet geven. En laten deze instanties nou óók al die locatiedata krijgen en diezelfde deanonimisering uit kunnen voeren.....

Al met al is het op z'n minst eng te noemen....
Interessant dat je aangeeft dat Microsoft garanties geeft, heb je toevallig daar bronnen voor?
Niet degene naar wie je reageerde, maar Microsoft heeft een juridische entiteit in de EU die apart staat van Microsoft Inc en heeft daar alle Europese servers voor ondergebracht. Ze hebben daarom eerder zaken van de Amerikaanse Department of Home Security gewonnen omdat Microsoft Europe geen subdivisie van Microsoft is.

Google echter kan die garantie niet geven omdat hun structuur en infrastructuur heel anders is.
Google heeft die garantie net zo goed. Je kent het GCP blijkbaar niet goed.

[Reactie gewijzigd door RielN op 31 maart 2019 08:30]

Eigenlijk is het elk jaar weer anders, er veranderd veel en er heerst veel onduidelijkheid. Lees anders even dit artikel.

Wat mij het meeste verbaasd aan dit geheel is dat men blijkbaar over het hoofd ziet dat er al decennia lang data wordt opgeslagen bij datacenters van bedrijven die Amerikaans zijn (bijvoorbeeld IBM) en dat er nu bij het woord "cloud" erbij iedereen in paniek raakt die er geen verstand van heeft. Maar het feit dat al het verkeer door routers gaan van Amerikaanse / Chinese makkelij vergeet men net zo snel...
Duitsland is gelukkig wat meer een privacy voorvechter als bijvoorbeeld NL.
Microsoft heeft in Duitsland dan ook zijn Office 365 werk uitbesteed (tot Azure aan toe).
Er is (volgens mij) maar 1 bedrijf in Duitland (geen idee of dit zelfs europees is).

Linkje: https://tweakers.net/nieuws/142855/microsoft-laat-geen-nieuwe-klanten-meer-toe-tot-speciale-duitse-opslagdienst.html
Of deze: https://www.agconnect.nl/artikel/eigen-cloud-voor-microsoft-duitsland
Bedankt @MicBenSte , @david-v , @RielN en @eL-Prova voor de aanvullende informatie!
google, android, mobile telefoon en zie daar hoeveel data google al van je heeft. Het is eenvoudig dat te combineren met de anonieme data die dan ineens niet meer zo anoniem is.
Tenzij die geanonimiseerde data van het ziekenhuis voorzien wordt van de exacte tijd van behandeling en jij in mailtjes oid precies hebt aangegeven wanneer je in welk ziekenhuis geopereerd werd aan welke aandoening (en wat de uitkomsten waren) is er niet zoveel om die twee te verbinden.

Dan kan je je er ook zorgen maken over dat veel huisartsen en physiotherapeuten en zo ook werkmail checken op iPhones en dus alle patientdata van doorverwijzingen direct opgeslagen worden in de iCloud. Want die mailtjes bevatten wel alle persoonsgegevens.
Als je gps in je telefoon staat weet google ook meteen dat je daar en daar geweest bent. ben je er 2 of 3 keer geweest dan is een match vrij eenvoudig.
Maar even los van alle technische verhalen... sinds wanneer mag een ziekenhuis patiëntgegevens aan een extern bedrijf leveren (verkopen..?) voor analysedoeleinden..?
Yzord heeft gelijk, mensen hebben geen idee wat er allemaal met hun gegevens gebeurd en waar het voor gebruikt wordt. Google is gewoon 100% NIET te vertrouwen met jou data. Dat anonimiseren mag je ook met een korrel zout nemen.....
De naam van de patiënt wordt vervangen door een nummer
Hoe moeilijk is het om dat nummer weer om te zetten naar een naam?

Een voorbeeld, banken willen al een tijdje HEEL graag jouw banktransacties verkopen, met daarbij jouw naam en adres omgezet naar een nummer. Stel ik ben een mediamarkt en wil mijn klanten nog gerichter adverteren. Ik koop die data (je bent een nummer). Ik leg vervolgens al die data naast mijn reeds bestaande data van aankopen. Hoelang denk je dat het duurt voordat ik weet wat jou nummer is?

Ziekenhuisdata combineren met bank data - parkeren ziekenhuis, drinken / broodje / boekje / krantje kopen in het ziekenhuis.
Er zijn meerdere wegen naar Rome...
Data wordt voordat het naar de Google opslag gaat geanonimiseerd. Dus totaal niet herleidbaar.
Totaal niet herleidbaar is niet realistisch denk ik. Dat heb je al gezien bij je afstudeerstage waar je 30 respondenten hebt. Te meer in een organisatie. Hoeveel 30 jarige mannen hebben een levertransplantatie in ziekenhuis X ?

10 tegen 1 dat google daar echt wel iets op weet en kan herleiden dat jij het bent bij wijze van.-

[Reactie gewijzigd door Jonnie Bahaar op 30 maart 2019 14:25]

Combineer de behandeldata met de al bij Google aanwezige data over waar je bent geweest en de anonimiteit is al verdwenen voor een aanzienlijk deel van de patiënten.
Wat is dan dat aanzienlijk deel?

Het kan zijn dat je gelijk hebt, maar een aanzienlijk deel is geen gegeven.

Dus kom maar met cijfers of een goed uitgewerkte berekening.

Het lijkt op "veel vrouwen willen af van hun vaginale schimmel...zonder recept".

Wat is veel? Voor mij misschien 5, voor een ander 5000.
Dus vertel.
Combineer de behandeldata met de al bij Google aanwezige data over waar je bent geweest en de anonimiteit is al verdwenen voor een aanzienlijk deel van de patiënten.
Maar, dan nog moet Google de versleuteling breken.
Iedere dag vinden er honderden, zoniet duizenden behandelingen plaats per ziekenhuis. Dus als het ziekenhuis stuurt dat er 'deze week/maand 1x oorkanker door luisteren naar muziek uit Volendam' is geweest dan moet Google dus raden welk van die tienduizenden bezoekers dat is geweest.

Anonimizeren betekent niet alleen het weglaten van een naam. Het is niet zo dat ze de foto van de patient met zijn adresgegevens gewoon er in zetten. Tenminste niet als het ziekenhuis enigsinds competent is. Dus wanneer jij niet zo slim bent geweest om op alle sociale media te zetten 'LOL, zit nu met oorkanker door Volendamse muziek in het AMC!' is er niet veel om dat aan jou te koppelen.
Even wat nuanceren.

Data wordt voordat het naar de Google opslag gaat geanonimiseerd. Dus totaal niet herleidbaar.

Daarnaast koop je storage voor eigen gebruik, en bij Google zijn ze daar heel strict in, daar blijven ze van af. Wanneer ze dat niet zouden doen dan kunnen ze de dienst wel opheffen. We praten niet over een gratis gmail account.

En verder kan de klant gewoon zijn data alsnog extra client side versleutelen waarbij Google er al helemaal niet bij kan.

Ik zie dit dan ook meer als een soort stemmingmakerij, en het zal mij niets verbazen dat een concurrent van Google of dat Onderzoeksbureau niet de krant getipt heeft met een "sensationeel" onderzoek.

Wanneer men echt de inner details kent van de BETAALDE cloud diensten van o.a. Google, Microsoft en Amazon dan moet je je meer zorgen maken over de wijze hoe een clickbait artikel als dit tot stand is gekomen.
Het enige hiervan wat ergens op slaat is het client side versleutelen. De rest is aantoonbaar een non-argument. Zoals in andere reacties al genoemd kan de overheid van de VS deze data gewoon opvragen. Nog even los van dat Google zelf al een erg dubieus bedrijf is. En goed anonimiseren is een vakgebied an sich en is in combinatie met de hoeveelheden data die Google heeft al echt héél erg lastig. Dat is hun vakgebied namelijk, profielen opmaken van mensen, door data te combineren. En daar zijn ze samen met Facebook het beste in op de hele wereld.
Dat anonimiseren is vaak helemaal niet zo anoniem. En dat er af moeten blijven betekent niet dat ze het ook doen. Genoeg voorbeelden van medewerkers die hun boekje ten buten gaan. Gebeurd het vaak, nee maar het hoeft maar 1 keer gebeuren.
Je kunt het versleutelen, betekent niet dat het ook gebeurd. Zoiets moet gewoon met een end-to-end encryptie al gebeuren.

[Reactie gewijzigd door The Chosen One op 30 maart 2019 16:16]

Dat beweren ze toch !! Maar hoe kun je als burger dit checken ?

Eigenlijk zouden deze praktijken gewoon verboden moeten worden. Gegevens enkel lokaal opslaan en voor geen enkel ander doel te gebruiken
"Dus totaal niet herleidbaar."

Fingerprinting met digitale data maakt dat ook zogenaamd geanonimiseerde data enorm eenvoudig herleidbaar is naar een individu. Het kan met browsers, het kan met medische gegevens.
Kan je je beweringen ergens mee bewijzen? Want je noemt niet veel meer op dan dat de bedrijven zelf beweren.

De term stemmingmakerij lijkt me niet op zijn plaats. Het is selectief om nu aandacht voor het bedrijf te hebben omdat ze Google gebruiken. Maar dat maakt het niet minder belangrijk om aandacht te schenken aan de situatie dat je als patiënt eigenlijk niets te zeggen hebt wat een zorgbedrijf en dataverwerker met je data doet. Een dataverwerker die zich verschuilt achter uitspraken als wij voldoen aan de wettelijke en privacy-eisen, of zou stellen dat ze wettelijk niets verkeerds doen omdat ze de personen niet hoeven in te lichten mag dat stellen. Maar het is wel opvallend dat de sector niet bepaald graag transparant is waarom hun beweringen zouden kloppen. Het lijkt ze niet heel veel te interesseren van wie de data is en je er als patient niets van weet wat ze met je data uitvoeren. Zolang er maar aan te verdienen valt.
Sorry hoor, maar 'geanonimiseerd' is complete bullshit. Wanneer je genoeg data hebt (zoals Google of Facebook) kan je dat compleet de-anonimiseren.

'Daar blijven ze van af'. Nope, juist niet. Er zijn meldingen geweest van ontdekkingen dat Google gewoon aan de data zat.

Dus er is genoeg reden tot zorgen.
Daar zijn ze bij Google nu misschien heel strict in, maar dat is dus tot de dag dat ze het niet meer zijn en dan is het te laat.
Helemaal mee eens. Google heeft meer dan 5 miljoen betalende organisaties als klant, waaronder hele grote zoals PWC, Randstad, Jaguar Land Rover, Airbus, Verizon, Colgate-Palmolive, Cisco Jabber, WebEx™, en Salesforce.

Deze bedrijven hebben van Google de absolute garantie gekregen dat hun data veilig zijn.

Data zijn bij Google veel veiliger dan op een locale server, zeker in combinatie met maatregelen als 2 stapsverificatie in combinatie met een fysieke security key.
Slaap zacht, al die data hebben ze gewoon, en uiteraard pefect herleid naar elk persoon...
Ik begrijp werkelijk niet waarom je een +2 hebt.
Omdat er hierr genoeg zijn die willen geloven dat Google het ultieme kwaad is.
Ga je nou generaliseren? Er zijn genoeg bewijzen dat je zulke grote bedrijven niet kan vertrouwen.
Laat het samenvoegen van losse data tot een pin point profiel nou NET de core business zijn van Google. Geanonimiseerd of niet, 1+1+1+1+1+1+1+1+1+1=Wim-Bart.
Als je denkt dat Google beter omgaat met data binnen hun betaalde cloud diensten moet je eens in je profiel kijken. Daar zit een vinkje dat standaard aan staat met een omschrijving in de trant van “Google toestaan om gebruiksdata te verzamelen”. Nee hoor, bij Google ben je altijd een datamining target. Onze gevoelige data zoals medische gegevens horen daar niet thuis.
Je eerste alinea gaat al de mist in. Dat is dus niet zo.

Er zijn verschillende geanonimiseerde datasets van jou. En op zichzelf staand klopt dit.

Er zijn echter hopen bedrijven die de verschillende "anonieme" datasets opkopen vervolgens combineren, en dan zijn de gecombineerde datasets ineens niet meer zo anoniem en veel meer waard.

Ik ben een voorstander van dat iedereen te allen tijden eigenaar blijft van zijn eigen gegevens en deze enkel overgedragen mogen worden als er expliciete toestemming van de eigenaar is. Ook als het "geanonimiseerd" is.
https://www.wired.com/200...mous-data-sometimes-isnt/

En dat is met 2 datasets. Stel je voor dat je de info hebt van Google / FB, en deze kan linken aan de medische gegevens. Locatie gegevens, agenda gegevens, en alle andere meuk die je ptelefoons etc bijhouden. Per definitie is dit dus niet anoniem en TOTAAL herleidbaar.
Ik wou echt dat mensen eens ophielden dat te roepen.

Je bent een nummer, niet een naam. Een Pseudoniem zoals ook Willysis zegt, dus niet anoniem.
Je behandelduur en behandelcodes etc liggen er wel. Dat is voldoende om een 'uniek herkenbaar persoon' te maken - ook als daar (nog even geen naam bij zit) - en dat is dus onder de AVG een (set) persoonsgegeven(s), met alle gevolgen van dien. Maar veel bedrijven hebben er nog steeds lak aan of komen met doorzichtige excuses en flauwe smoezen.

Het blijft ook niet bij een 'uniek herkenbaar persoon' .
Laten we zeggen dat je verzekeraar ook zijn financiele data bij google opslaat. Ook gepseudonymiseerd. Dus de behandelcodes zijn gehashed ofzo. Daarmee is dus niet meer te zien waarvoor je er was. En dus in ieder geval qua privacy ok (kun je ook nog over discussieren trouwens). Maar wel de data en bedragen geclaimed, verstuurd ontvangen.

Jij gaat naar het ziekenhuis voor onderzoeken. Laten we er even van uitgaan dat je parkeren moet. De meeste parkerplaatsen bij ziekenhuizen zijn betaald. Die hebben dus meestal a) je kenteken b) de dagen dat je er was en hoe lang.

Dus totaal wel herleidbaar. Stop looking at trees and see the forest.

Ik maak mij sterk dat je met kenteken, de dagen dat je er was, de duur dat je binnen was in combinatie met de geclaimde bedragen van 80% van de mensen met 90% (dat zijn dus schattingen) zekerheid kunt zeggen wie ze zijn en waarvoor ze kwamen. Nu past google jou in een profiel. Dat hoeft niet perfect te zijn, just good enough.

Nu ben jij geprofileerd als 'zwanger' of 'fractuur' of nog iets anders, met naam en toenaam en zonder dat je ooit weet dat je zo geclassificeerd bent.
Ik moet dit ook wel wat nuanceren. Ik ben zelf werkzaam bij een ziekenhuis bij de bedrijfsinformatie afdeling en verantwoordelijk voor dit soort aanleveringen. Naast het feit dat Google deze data helemaal niet in kán kijken zijn de gegevens ook totaal geanonimiseerd. Bij afdeling bedrijfsinformatie staat (en persoonlijk bij mij) privacy ook hoog in het vaandel.

Wij toetsen altijd bij een aanlevering welke velden er strict noodzakelijk zijn. Velden die gemarkeerd worden als optioneel leveren wij ook niet aan. Daarnaast leveren wij van de persoonsgegevens een versleuteld patientnummer aan (verschillende versleuteling per vragende partij, dus niet te combineren met andere profielen), en worden bijvoorbeeld van adres gegevens alleen maar de eerste 4 cijfers van de postcode aangeleverd. Geboortedatum wordt altijd de maand en dag gereset naar 01-01. Elke set wordt zo verbouwd dat er alleen maar statisische data overblijft. Bij het ziekenhuis waar ik werk zijn we er zelfs zover in gegaan dat we een aparte "aanleverlaag" hebben gerealiseerd waarop deze aanleveringen gedaan worden waar al deze anonimiserings stappen al in zijn gedaan.

BSN, echte patienntnummer, naam, adres gegevens zijn absoluut uit den boze om aan te leveren. En ook deze partijen weten dat heel goed. We moeten niet vergeten dat ziekenhuizen dit doen omdat we het leuk vinden, maar omdat het bij de wet verplicht is. Hier heeft de overheid zelf voor gekozen dat data naar externe partijen moet worden verstuurd (maandelijkse basis) zodat hier controles op gedaan kunnen worden.

[Reactie gewijzigd door Senaxx op 30 maart 2019 13:48]

Ik vind dit eigenlijk wel shocking. Als je die functie hebt zou je toch moeten weten dat dit onvoldoende is.

De data moet zodanig geanonimiseerd zijn dat er met toegang tot het elektronisch patiëntendossier niet kan worden achterhaald om welke patiënt het gaat. Dit betekend dat als ik de gegevens van could/Google heb, met dus een gedeelte van de postcode en alle andere gegevens bv een bloeddruk of een datum van een afspraak of maakt niet uit wat voor data. Dat met al die informatie ik niet uit jullie systeem een patiënt moet kunnen identificeren. Dat de patiënt niet uit de door jullie aangeleverde data direct geïdentificeerd kan worden is een open deur en gewoon onvoldoende.


Misschien reageer ik wat bruusk en doen jullie meer dan hier boven beschreven. Maar als je reageert hier als expert kunnen andere forum lezers kunnen jouw reactie gebruiken om te denken dat ze wel goed bezig zijn.
Waarom is dit onvoldoende? Wat moet er nog extra gebeuren volgens jou?

Volgensmij heb je dan ook gemist mijn regel dat er staat "Elke informatieset wordt zo verbouwd dat er alleen maar statisische data overblijft". Dus geen persoonlijk identificeerbare data.

Mocht je uberhaupt toegang tot de data krijgen heb je een een geanonimiseerd patientnummer die niets zegt, niet te herleiden is naar een persoon, met een wijknummer (waar je dus totaal de locatie niet van bepalen behalve de wijk), met een geboortedatum die bijvoorbeeld op 01-01-1987 staat. Dus ook totaal niet te herleiden naar een persoon, aangezien alle patienten geboren in 1987 op 01-01-1987 staan.

Wij nemen altijd het voorbeeld: Als ik met dit persoonsgegeven mij bij de ziekenhuisbali meld kan ik dan bij een patient uitkomen? Dat antwoord moet altijd nee zijn.

En volgensmij heb je ook een verkeerd beeld wat er wordt aangeleverd. Deze partijen hebben geen toegang tot het patientdossier. Wij extraheren alle data uit het EPD elke nacht, met name zo stuur gegevens te kunnen opleveren voor het ziekenhuis. Zodanig dat het ziekenhuis kan verantwoorden of het financieel gezond is, maar ook dat ze aan alle wettelijke verplichtingen voldoen van inspecties.

Deze partijen krijgen een CSV vaak aangeleverd met een 10 tal kolommen waarin alleen de absoluut noodzakelijke en geanonimeerde gegevens in staan.

[Reactie gewijzigd door Senaxx op 30 maart 2019 15:06]

Het gaat erom dat je de indruk geeft met name in de eerste post dat als de naam en adres gegevens niet terug te herleiden bent dat je hiermee voldoende het gedaan.
Wat versta je onder statistische data? Want dat maakt dus nogal uit dit is blijkbaar data uit het epd welke wordt aangeleverd.

Al deze.data is op eigendom van de patiënt en niet van het ziekenhuis. Ik denk dat als je deze data naar een could setting will uploaden dat je of toestemming vraagt of ervoor zorgt dat het niet te herleiden is.


Concreet voorbeeld er is een patient uit een ander gebied van het land die bij jullie in het ziekenhuis is geweest. Dan is hij of zij de enige met die postcode + geboorte jaar combinatie?
En dan laat ik nog even alle andere statistische data die ook nog geupload wordt buiten beschouwing.
Hoe kan het nu dat er niemand is die denkt dat dit een kwetsbaar systeem is en waarom zou je sowieso een postcode nummer en geboortejaar uploaden....
Het belang van het geboorte jaar lijkt mij nogal duidelijk bij het verwerken van medische statistieken. Een heel simplistisch, maar wel relevant voorbeeld: Als er boven gemiddeld veel patiënten in ziekenhuis A overlijden, maar het blijkt dat de gemiddelde patiënten populatie ook veel ouder is dan wordt het op eens een heel ander beeld.

Er wordt heel veel wetenschappelijk onderzoek gedaan met geanonimiseerde data. Maar om met die data iets nuttigs te kunnen is er wel een minimale set aan informatie nodig. De gezondheidszorg levert die informatie echt niet zo maar en al helemaal niet meer dan gevraagd wordt. Ieder ziekenhuis heeft een juridische afdeling om deze zaken netjes dicht te timmeren met contracten.
Zonder alle data lijkt me een sluitend onderzoek een beetje lastig? Het zou toch 'echt handig' zijn om een link te kunnen leggen tussen mensen met longproblemen die in de buurt van bepaalde industrie hebben gewoond.
Zonder alle data lijkt me een sluitend onderzoek een beetje lastig? Het zou toch 'echt handig' zijn om een link te kunnen leggen tussen mensen met longproblemen die in de buurt van bepaalde industrie hebben gewoond.
Als uit het number-crunchen bij de cloud-provider uiteindelijk komt rollen dat disproportioneel veel mensen aan longproblemen leiden binnen bepaalde geanonimiseerde wijk-locaties, dan kunnen de ziekenhuizen daar de originele wijknamen weer aan koppelen. De cloud-provider niet; die ziet in het gehele proces enkel een anoniem correlatie ID.
Dus in jouw voorbeeld hebben we een bekende wijk en een bekend geboortejaar. Alleen al met die 2 bits van informatie kan Google een heel eind komen om de relevante patiënt te identificeren.
Dus in jouw voorbeeld hebben we een bekende wijk en een bekend geboortejaar. Alleen al met die 2 bits van informatie kan Google een heel eind komen om de relevante patiënt te identificeren.
Kleine correctie: een wijknummer. Dat is vermoedelijk een pseudo-nimisering van de locatie. Dus niet een nummering gebaseerd op openbare officiële nummeringen, maar een willekeurig gekozen nummering die het ziekenhuis zelf inbrengt. Mogelijk kan deze nummering ook per aanlevering/ontvanger anders ingesteld worden.

Door wijken te vervangen door een niet-herleidbaar nummer heb je nog steeds correlatie-mogelijkheid, maar stel je niet meer het daadwerkelijke gegeven beschikbaar.

Het is voor het getallen-knarsen bij statistisch onderzoek namelijk niet relevant in welke wijk iemand woont; alleen of bepaalde ziekte patronen veel voorkomen binnen dezelfde wijk.
Alleen als er een alarmerend resultaat uitrolt wordt het 'welke' belangrijk. Maar op dat moment zal het het ziekenhuis zelf zijn wat moet gaan acteren. Dat is juist de enige partij die over alle originele gegevens beschikt en de wijkinformatie weer terug naar boven kan halen.

[Reactie gewijzigd door R4gnax op 31 maart 2019 10:02]

Je zegt: “Wij nemen altijd het voorbeeld: Als ik met dit persoonsgegeven mij bij de ziekenhuisbali meld kan ik dan bij een patient uitkomen? Dat antwoord moet altijd nee zijn. “

Dat is redelijk logisch , maar indien ik 10 andere databanken combineer met jullie data is het dan mogelijk om bij iemand uit te komen ? Dat is wat er ook niet mag gebeuren !! Ik ken jullie dataset niet dus ik kan daar absoluut niet over oordelen.

[Reactie gewijzigd door klakkie.57th op 30 maart 2019 19:19]

Leveren jullie de datum/tijd van ziekenhuisafspraken mee? Dat is, samen met de wijk en het geboortejaar zeker genoeg om te herleiden. Google heeft immers jouw locatiedata al indien je Android gebruikt.
Dus met andere woorden, even de behandeldatums combineren met wat postcodes en Google Maps data van mensen die in dat gebiedje wonen (de cijfers van de postcode), leeftijdsinschatting (met dat jaartal dat je nog hebt) en je weet wie het is. Laat dat nou toevallig de expertise van Google zijn.
En dan doen ze nog niks geks met combineren van Google zoektermen, inhoud van email ("ik moet weer naar het ziekenhuis morgen!") enzovoorts enzovoorts.

Nee hoor, het énige dat hierbij zou helpen is volledige end-to-end encryption zonder implementatiefoutjes. En wie kan dat garanderen? Dus beter hou je dit soort data op eigen grondgebied. Niet dat er dan niks mis kan gaan maar het is weer een laagje bescherming.
Dan heb je het over data combineren met andere data bronnen. Zoals eerder aangegeven heeft Google (ondanks dat het hun Cloud is) geen toegang tot deze bestanden door de encryptie. Ze leveren alleen de storage. Dit is wat anders dan de commerciële Google drive.

Wij handelen compleet binnen de wet en regelgeving. En zorgen ten alle tijden dat de set die wij aanleveren nooit te herleiden is (binnen de set zelf) naar een uniek persoon.

Het is niet zo dat we even een zip bestandje met alle persoons data in een WeTransfer over de schutting gooien. Hier gaat gedegen onderzoek, overleg en toetsing aan vooraf.
Indien jullie zelf de encryptie regelen (HYOK) bv , dan kun je dat “misschien” hard maken. Indien je de encryptie ook bij google afneem dan kun je nooit iets garanderen.

Vanaf het moment dat je niet langer de controle over de hardware bezit kun je niets meer garanderen en moet je rekenen op de eerlijkheid van je leverancier.
Dan heb je het over data combineren met andere data bronnen. Zoals eerder aangegeven heeft Google (ondanks dat het hun Cloud is) geen toegang tot deze bestanden door de encryptie. Ze leveren alleen de storage. Dit is wat anders dan de commerciële Google drive.

Wij handelen compleet binnen de wet en regelgeving. En zorgen ten alle tijden dat de set die wij aanleveren nooit te herleiden is (binnen de set zelf) naar een uniek persoon.

Het is niet zo dat we even een zip bestandje met alle persoons data in een WeTransfer over de schutting gooien. Hier gaat gedegen onderzoek, overleg en toetsing aan vooraf.
Dat gaf ik zelf ook al aan, als de data volledig end-to-end encrypted EN dat allemaal goed gaat is dan is het niet zo'n probleem. Maar zodra het op iets hoger niveau beschikbaar zou worden gemaakt (met online file browser bijvoorbeeld, want usabilty tegenover security komt vaak in het voordeel van usability uit) óf er worden toch implementatiefoutjes gemaakt bij die encryptie, of desnoods de sleutel op straat komt te liggen, dan staat die ruwe data toch maar even bij een Amerikaans bedrijf.
Dat dit een trade-off kan zijn, prima, maar dan moet er gewoon voor een bedrijf worden gekozen die de EU datawetten wat serieuzer neemt dan Google.
"moet er gewoon voor een bedrijf worden gekozen die de EU datawetten wat serieuzer neemt dan Google."

Oof, Google was zelfs nog sneller dan Microsoft compliant aan deze wetten met hun platform...
Toch apart dat de overheid zelf MS af neemt en geen Google. Waarom? MS levert on-premises diensten en Google verdomd dat.
Buitenlandse zaken gebruikt Gmail als backup.
Lekker dan. Wat een puinhoop. Ministerie X zegt/doet dit, Y zegt/doet wat anders. Want jij plaatst die backups daar? Of je collega? Of je bent dichtbij de bron werkzam die dit besloten heeft?

[Reactie gewijzigd door MASiR op 31 maart 2019 09:45]

Neemt trouwens ook niet weg dat individuele medewerkers via Whatsapp of Wetransfer zooi kunnen delen. Dat werkt nou eenmaal gemakkelijker dan via een beveiligde omgeving met wachtwoorden en dubbele authenticatie.... :'(
2010, mijn kennis is iets verser. Misschien is het teruggedraaid, toen was de digitale wereld en de kijk er op nog iets anders maar misschien ook niet.
Oh is het al zo oud? Haha. Ja voor mij is dat iets wat ik me herinner dat bestaat, Gmail binnen de overheid. Kunnen altijd mailtje sturen en vragen :)
MinBuza@Gmail.com .. ?
minbuza72@gmail.com maar ik weet niet hoe oud de minister was.
Dit is gewoon te weinig.

Om u een idee te geven: Er zijn postcodes in Nederland, waarin alleen de 4 cijfers van de postcode genoeg zijn om een individu te identificeren. Als u hier ook het geslacht aan toevoegt, dan worden het er enkele tientallen.
Op dat moment kunt u net zo goed de naam, het adres en het BSNR ook doorgeven.

Om uw vraag "wat moet er nog meer gebeuren" te beantwoorden:
Niets van de postcodes mag worden doorgegeven. Geen cijfers, geen letters, gewoon helemaal niets.
Het "versleutelde patiëntennummer" mag eigenlijk ook niet worden doorgegeven.

Verder is het, ondanks dat u stelt van niet, voor andere partijen wel degelijk mogelijk om, gegeven de andere kolommen aan data, 2 gecodeerde patiëntennummers aan elkaar te koppelen. Het feit dat het alleen maar zou gaan om "statistische data" doet daar niets aan af.
Je weet dan ook dat wanneer jullie dataset naast een andere dataset gelegd wordt deze opeens niet meer zo anoniem is.

Of is het dan opeens:"ja wat er daarna mee gedaan wordt kunnen wij niks aan doen."
Een postcodenummer.

Als voorbeeld Parkinson; patiënt krijg een DBS operatie of nieuwe medicatie, is nieuwsgierig en zoekt zelf thuis op Google wat de medicatie doet of hoelang het herstel of welke complicaties er kunnen optreden.

- Dit is speculeren - Het lijkt mij dat dit soort informatie wordt opgenomen in het dossier voor eventuele toekomstige operaties, slagingspercentage etc. De werking van medicatie, bijwerkingen etc.

Ook al wordt dit anoniem gemaakt, als ik bij de amerikaanse overheid zou werken of Google, dan heb je toch aan de hand van voorgenoemde informatie binnen een hele korte tijd een naam gekoppeld aan de postcode? Er vinden niet duizenden van dit soort operaties per dag plaats of duizenden mensen die dezelfde medicatie krijgen?

Of ben ik nou gek?
Mensen pikken dit omdat ze de materie niet begrijpen, of de mogelijke gevolgen niet overzien. Het overgrote deel van de wereld heeft de ballen verstand van computers, electronica, data, internet en privacy. Die slikken alles als zoete koek en bedrijven als Google en Facebook spelen daar handig op in.

Er is maar een héél klein deel dat opgroeide in de 80's en 90's (opkomst van computer en internet) én destijds geïnteresseerd was in de nieuwe technologieën. Die mensen (plus nog wat mensen die daar buiten vallen) weten hoe het balletje kan rollen. De rest gebruikt het maar weet niet hoe en wat.

Als ik kijk naar bijvoorbeeld de jeugd die is opgegroeid met smartphones, tablets, laptops, computers, smart tv's, internet en ga zo maar door, dan zie ik vooral mensen die echt totaal geen verstand hebben van het spul dat ze gebruiken. En dat is dan de moderne generatie. Best een kwalijke zaak en daar is bijna niet tegen op te boksen.
Mensen zijn er ook boos over omdat ze de materie niet begrijpen. Als klant van een van de cloud platforms (Google Cloud, Amazon AWS, Microsoft Azure) blijft alle data die je op die platforms zet jouw eigendom en wordt door de aanbieders van die platforms niet commercieel ingezet. Als ze dat zouden doen zijn ze binnen de kortste keren al hun zakelijke klanten kwijt. Dit is ook helemaal dicht getimmerd in contracten.

In veel gevallen kun je ook nog eens aangeven op welke servers jouw data mag staan. Dit kun je bijvoorbeeld tot the EU beperken, zodat de NSA ook geen zorg meer is.

Als tweakers artikels gaat schrijven over alle bedrijven met gevoelige data die cloud platforms gebruiken, zou ik een paar honderd extra vacatures uit zetten.

We kunnen het natuurlijk filosofisch nog steeds geen goed idee vinden om de data op Google servers te zetten. Maar laten we wel de discussie beginnen met de juiste feiten. Deze data wordt NIET door Google ingezet.
Ik ben het met je eens, maar je nuance raakt helemaal verloren in dit debat.

Als MDRM gebruik maakt van Google IAAS of PAAS, dan is de data sovereignty prima gewaarborgd in de overeenkomst. Ik kan me niet voorstellen wat MDRM gebruik maakt van "Google Medical Analysis" met in de EULA "Google can use the data for marketing purposes".

Helaas staat nergens in het artikel of de bron welke diensten ze van google gebruiken.

Daarnaast wordt in het bronartikel als beveiligingsrisico aangegeven dat Google, de overheid of hackers de versleutelde data zouden kunnen ontsleutelen. Als we daar bang voor gaan zijn, kunnen we internetbankieren ook wel uit zetten, omdat beide op RSA/DH/AES/SHA gebaseerd zijn.

Ik schat in dat de Amerikaanse overheid de mogelijkheid heeft om AES te breken als ze echt willen (denk counter intelligence mbt state actors) maar AES decrypten gaat zeker Google en huistuinenkeuken hackers voorbij. Daarnaast staat China AES niet to voor L3 en L4 entities (banking, government), wat me de indruk geeft dat de Chinezen AES nog niet kunnen decrypten. Als de Chinezen het niet kunnen, kunnen de Amerikanen het waarschijnlijk ook niet.
Als MDRM gebruik maakt van Google IAAS of PAAS, dan is de data sovereignty prima gewaarborgd in de overeenkomst. Ik kan me niet voorstellen wat MDRM gebruik maakt van "Google Medical Analysis" met in de EULA "Google can use the data for marketing purposes".
In de EULA staat ook dat Google zich aan alle geldende wetten zal houden. En laat dat nou impliciet betekenen dat ze derden toegang móeten verlenen tot jouw data. Of google de data voor marketingpurposes gebruikt interesseert niemand. Maar de volgende keer dat jij naar de VS vliegt loop je het risico dat je visum geweigerd wordt omdat de USA exact weet voor welke aandoeningen jij de afgelopen 10 jaar behandelt bent.....
"Deze gegevens worden versleuteld gestuurd naar het bedrijf."
En best kans dat de NSA het kan decrypten als ze willen maar dat gaan ze niet bewijzen door dit soort data openlijk te gebruiken.
Misschien zoek ik er te veel achter... maar de term "gegevens worden versleuteld gestuurd naar het bedrijf" heeft twee betekenissen, niet?

1. De gegevens worden plain-text via een versleutelde verbinding verstuurd, waarna ze plain-text op de server staan

2. De gegevens zijn versleuteld en worden (al dan niet versleuteld) naar de server gestuurd

nogal een verschil
Sorry, maar ik heb wél bezwaar tegen de marketingdoeleinden. Mensen die op een zwak moment zijn (ernstig ziek) zijn daar ook nog eens gevoeliger voor.
Al zou als het aan mij ligt tracking en gericht adverteren volledig verboden zijn. Daar schieten wij burgers namelijk niets mee op. De doelgroep van een website kennen lijkt me voldoende om je pijlen op te kunnen richten (elektronica op Tweakers, niet op het Vivaforum). Al die trackingdata kan uiteindelijk alleen maar tegen je worden gebruikt (lees: Jou meer/duurdere zooi laten kopen), een totaalverbod lijkt me dus op z'n plek.
Jij denkt dat als de NSA AES kraakt ze 't jou zullen laten weten?
Jij denkt dat als de NSA AES kraakt, de Amerikaanse overheid doorgaat met het gebruik van kraakbare encryptie?
Misschien hoeven ze maar een kleine wijziging aan te brengen om 't wèl betrouwbaar te encrypten.
Of misschien hun eigen randomgenerator te gebruiken.
Ja tuurlijk anders laten ze toch weten dat ze het gekraakt hebben. 8)7

Oftewel AES blijven gebruiken als het niet zo heel belangrijk is om en de belangrijke zaken wel goed versleutelen op een andere manier. :)
Mooi gezegt maar dan moet je wel de juiste feiten geven:
- Google KAN deze gegevens zeer gemakkelijk inzien
- We WETEN NIET wat Google met deze gegevens doet
- Google KAN deze gegevens zeer gemakkelijk inzien
Je brengt het als een feit maar heb je concrete bronnen voor? Het lijkt mij voor Google vrij lastig (lees: onmogelijk) om die data in te zien als deze versleuteld is.
- We WETEN NIET wat Google met deze gegevens doet
Volgens de baas van MRDM is er een waterdicht contract met Google waarin staat dat Google niet bij de data kan of iets met de data mag doen. Het is voor de discussie nogal een dooddoener om te roepen dat we het niet weten.

[Reactie gewijzigd door Jorick op 30 maart 2019 15:14]

Uit dit artikel: https://www.ad.nl/binnenl...n-nu-bij-google~abcb3f6a/

Karrenvrachten aan data
Per patiënt gaat het om tientallen tot soms vijfhonderd verschillende ‘datapunten’, variërend van behandelduur, aantal ingrepen en complicaties tot de medicatie en de medische voorgeschiedenis. De data worden versleuteld, zodat persoonsgegevens niet herleidbaar zijn.

Op verzoek van behandelaars of ziekenhuizen kunnen veel gegevens weer ontsleuteld worden. ,,Maar er kunnen bij ons maar heel weinig mensen bij de brondata, ikzelf niet eens’’, zegt Crauwels.


Van de MRDM eigen website: https://mrdm.nl/en/

Our validated and secure data management platform is NEN7510 and ISO27001 certified. We comply to GDPR.

Van deze website: https://autoriteitpersoon...g/rechten-van-betrokkenen

Volgens bovernstaande website mag de eigenaar van de data (de patienten) inzage in al zijn medische gegevens, mag hij vragen dit te laten vergeten (let op, voor medische gegevens geldt dat dus weer niet!) maar heeft hij ook het recht zelf te kiezen waar die data wordt opgeslagen. Volgens het bron artikel heeft de patient echter geen keus omdat het ziekenhuis hier over beslist? Er is mij te veel onduidelijk om hier gerust over te zijn.

O.a.: Wanneer geldt het recht op vergetelheid niet?
De Algemene verordening gegevensbescherming (AVG) noemt een aantal omstandigheden waarin het recht op vergetelheid niet geldt.

Uitzonderingen recht op vergetelheid
Het recht op vergetelheid geldt niet in de volgende situaties:


De organisatie verwerkt de gegevens voor een taak van algemeen belang op het gebied van de volksgezondheid.

Laat bij wijze van proef 1 patient eens al zijn data opvragen (heeft hij recht op toch?) En vervolgens vragen om deze data te verwijderen, of te porteren zoals ook zou moeten kunnen. Eens kijken of theorie en praktijk dan ook bij elkaar aansluiten.
Ik zou zeggen, ga je gang met posteren, verwijderen en opvragen.

Dan kun je hier je bevindingen delen.
Zou een mooie "review" zijn van deze wetgeving/mogelijkheden.
Ik heb het geluk om (tot op heden) gezond te zijn. Als het goed is heb ik geen dossier bij een ziekenhuis anders had ik het echt zelf gedaan en na jouw tip wellicht hier mijn bevindingen gedeeld.
Ik ga er dan maar eens over nadenken.
Ik heb een redelijk dik dossier vanwege vele controles door reuma...

Lijkt me wel een mooie uitdaging.


Ps goed dat je medisch dossier niet tot nauwelijks bestaat. Hou dat vast.
En nu weten ze dus dat je dit dossier hebt door dit hier te delen want jouw ip adres en relevante gegevens zijn nu te achterhalen doordat je je aandoening nu gedeeld hebt. Dom he....
Je draagt er dus zelf aan bij mochten kwaadwilligen er iets mee willen doen.
Google heeft in dit geval de zaak goed dichtgetimmerd en de versleuteling is clientside zeroknowledge dus onbekend bij Google.
Als je beseft hoeveel verschillende vormen van reuma er zijn, hoeveel mensen het hebben, ik altijd online ben via een VPN, verder buiten mijn nickname en weinig bekend is, ben je best wel grappig.
Ik vraag me bij het lezen van alle reacties ook af waar uberhaupt wordt voorzien in alle avg regels in deze praktijk. MRDM zegt wel dat ze gdpr compliant zijn, maar ik denk niet dat ook maar 1 van de patienten expliciet toestemming heeft gegeven voor het delen, opslaan en verwerken van deze gegevens.. Als je voor een behandeling komt en je moet papieren tekenen moet je akkoord gaan met wel 20 dingen dmv 1 handtekening. Als je als patient moet tekenen dat de behandelaar namens jou mag declareren bij je verzekeraar en , en passant, meteen toestemming verkrijgt al je gegevens te delen, hoe werkt dat? Je mag nog geen bezoeker weigeren op je site met een cookiewall, maar een formulier tekenen is zon beetje het eerste wat je moet doen bij een behandelaar en wat doe je dan? Onderhandelen over de voorwaarden? Je tekent en wilt geholpen worden..veel werk aan de winkel AP!
De AVG biedt alleen de minimale eisen waaraan landen moeten voldoen. Daaronder valt dus niet het vernietigen van medische data. Echter, moet medische data in Nederland wel degelijk vernietigd worden als een patient daarom vraagt:

"De hulpverlener vernietigt de door hem bewaarde bescheiden, bedoeld in artikel 454, na een daartoe strekkend verzoek van de patiënt." - art. 7:455 lid 1 BW (a.k.a. WGBO)

Of het in dit geval over (herleidbare) patient gegevens gaat of data "in het algemeen belang van de volksgezondheid" weet ik niet. Als de data herleidbaar is én voor onderzoek wordt gebruikt moet het aan zeer strikte eisen voldoen en blijft de hulpverlener verantwoordelijk (het is immers zijn dossier i.d.z.v. het juridisch eigendom).

[Reactie gewijzigd door WoBaDijk op 1 april 2019 07:51]

Het is voor de discussie nogal een dooddoener om te roepen dat we het niet weten.
Dooddoener of niet, dit is wel een vaststaand feit. We weten niet welke diensten ze van Google afnemen en dus weten we ook niet of de data door Google (technisch) ingezien kan worden. Google biedt namelijk ook een vergelijkbare dienst als S3 van Amazon aan. Daar kun je zelf je data opslaan zoals je dat ook op ieder ander medium zou doen. Dan kun je er geheel zelf voor kiezen of dat versleuteld is en waarmee. In dat geval kan Google weliswaar bij de data omdat het op hun servers staat maar daar is dan alles mee gezegd. Ze kunnen niets met de data zelf vanwege de versleuteling.

Google biedt echter ook nogal wat diensten op gebied van data analyse. Wordt zo'n dienst gebruikt dan kan Google ook bij de echte data. Die diensten kunnen niks met jouw versleuteling. Daar heb je dan weliswaar contracten maar die zijn ondergeschikt aan de Amerikaanse overheid. Het is bij deze diensten waar de schoen wringt. Dit is echter niet exclusief iets voor Google, hetzelfde probleem heb je bij alle dienstverleners. Je moet uiteindelijk op basis van goed vertrouwen de relatie aan gaan. En dan blijkt dat niet iedere partij zijn zaakjes goed voor elkaar heeft (DigiNotar is daar nog wel het bekendste voorbeeld van). Daarom zijn zaken als PCI DSS, ISO 27001 en noem maar op van groot belang en worden aanbieders door klanten ook vaak flink doorgelicht (het bekende due diligence onderzoek).

[Reactie gewijzigd door ppl op 30 maart 2019 14:34]

Volgens die theorie wist je dat voorheen ook niet omdat over het algemeen externe partijen als IBM de on premise data centers beheren. Als Google die contractafspraken breekt zijn ze al hun klanten kwijt en staan ze wereldwijd voor torenhoge boetes. Bedrijven vertrouwen honderden derde partijen met data waar contractafspraken over zijn. Als dat niet meer zou mogen kunnen de meeste bedrijven hun deuren sluiten.
Hoewel ik geen infra achtergrond heb, is volgens mij op het mainframe prima inzichtelijk (RACF) welke groepen er toegang heben tot welke datasets en applicaties, het beheer van die rollenmatrix heb ik nooit uitbesteed gezien.

En volgens mij is een Windowsomgeving ook prima te auditten (AD) op autorizaties.

In deze gevallen van uitbesteding, moet er vanuit Google haast wel een technisch/admin account zijn. En daarmee mogelijkheid om data uit te lezen.
Als je op dit niveau bang bent, zal ik je maar niet vertellen dat ieder unix systeem een root account heeft dat buiten de rbac om overal bij kan...
Mooi gezegt maar dan moet je wel de juiste feiten geven:
- Google KAN deze gegevens zeer gemakkelijk inzien
- We WETEN NIET wat Google met deze gegevens doet
Google kan de VERSLEUTELDE data zeer makkelijk inzien. Maar dan is het nog steeds versleuteld en weten ze nog niks. Feiten zijn trouwens niet juist of fout. Feiten zijn altijd juist, anders zijn het geen feiten en wat jij doet is speculeren. Daar hebben we uiteindelijk ook niks aan.

Om iets heel anders te noemen: het concern Heineken had ooit moeite om in de islamitische markt voet aan de grond te krijgen, want de naam Heineken staat voor een biermerk met alcohol en dat is haram. Veel protesten dus, omdat men niet doorhad dat Heineken ook een internationaal bedrijf is met veel alcoholvrije dranken in het assortiment.

Dit is eigenlijk net zoiets, want Google is niet hetzelfde als Google Ads, ook al verdienen ze daar het meeste mee. Natuurlijk moet je altijd goed de voorwaarden lezen, maar het is onzinnig om te veronderstellen dat 100% van Google gaat om profielen maken en advertenties verkopen.
Ik heb zwart op wit dat ze er wel bij kunnen en indien men erom vraagt ze de data ook zullen overhandigen.

Natuurlijk is allemaal onder NDA, dus om documenten moet je niet vragen :)
Als je dat zwart op wit hebt kan je het die info schatrijk worden, ik geloof er dus niet te veel van...
Dit staat er op hun eigen website:

“In the first half of 2018, Microsoft received 50 requests from law enforcement for accounts associated with enterprise cloud customers. In 32 cases, these requests were rejected, withdrawn, or law enforcement was successfully redirected to the customer. In 18 cases, Microsoft was compelled to provide responsive information: 10 of these cases required the disclosure of some customer content and in 8 of the cases we were compelled to disclose non-content information only.”

Dit gaat over enterprise customers, bedrijven die miljoenen euros in beveiliging van hun data stoppen.
Het verhaal gaat dan al snel over recovery-keys, lockbox principles .., etc.

Nu moet je het legal department van je bedrijf maar een keer laten informeren naar die 10 gevallen

Je hoeft me niet te geloven ...

[Reactie gewijzigd door klakkie.57th op 31 maart 2019 01:11]

Ik denk dat de aanname dat een contract de NSA je data uitsluit niet realistisch is. Was er laatst niet een artikel dat de Chinese veiligheidsdienst op een ethernetpoort een sniffer had ingebouwd op zoveel moederborden? Als de pot met honing maar groot genoeg is, dan komen de beren van de veiligheidsdiensten er echt wel op af. En dan is er niets wat je daar aan kan doen als kleine partij. Het blijft natuurlijk een beetje complottheorie denken. Maar ik denk echt dat als de laatste 10 jaar aan onthullingen ons iets geleerd heeft, dan is het dat de meeste complotten echt wel waar kunnen zijn.
Om hier bij aan te sluiten, cloud providers zijn op dat heel transparant in wat er met je data gebeurt als je voor hun cloud-oplossing kiest. Voor Google Cloud Platform (GCP) kan je veel info hier vinden:

https://cloud.google.com/security/compliance/#/
https://cloud.google.com/security/compliance/iso-27018/
https://cloud.google.com/security/privacy/
https://cloud.google.com/security/transparency/

Ook AWS en Azure hebben gelijkaardige informatie en ISO-labels.

En mensen kunnen insinueren wat ze willen, maar tenzij je echt kan aantonen dat GCP/AWS/Azure de data effectief misbruiken is het niets meer dan ongegronde paranoia.
Ik heb me de voorbije maanden vastgebeten in deze materie en je data is niet veilig voor buitenlandse overheden.
Bij Microsoft staat dit ook gewoon op hun site. 10 gevallen voor het jaar 2018.
Dus als ik client side encrypted data op GCP opsla, dan kan Google bij de decrypted data?!? Lijkt me toch wel erg sterk...

Dat Google de US overheid bij de encrypted data moet laten vindt ik prima; kunnen ze vooralsnog weinig mee.
Dan gebruikt je de cloudstorage als een encrypted external disk. Indien er dan geen securityholes in de gebruikte encriptirmethode zit ben je best veilig, maar HYOK is iets dat maar weinig organisaties doen.
Het gaat niet om commercie maar om inlichtingendiensten.
In veel gevallen kun je ook nog eens aangeven op welke servers jouw data mag staan. Dit kun je bijvoorbeeld tot the EU beperken, zodat de NSA ook geen zorg meer is.
Waar haal je dat vandaan? De laatste keer dat ik er iets over hoorde liep die rechtszaak van (als ik me goed herinner) Microsoft nog.

Let erop dat het bij die zaak (net als hier) ging om data die opzettelijk op een server buiten de VS was opgeslagen. De soortgelijke zaak van Google (waar automatische systemen bepaalden waar data werd opgeslagen) hebben ze verloren: "jullie zijn een Amerikaans bedrijf, dus jullie vallen onder VS wetgeving; hier met die data", maar dat lijkt hier niet het geval te zijn.

Overigens maakt het uiteindelijk niet eens zo gek veel uit, want het heeft er alle schijn van dat de NSA boven de wet staat.
of de mogelijke gevolgen niet overzien
Wat zijn de gevolgen dan, waarmee je de onwetenden zou willen confronteren?
Het helpt als je daarbij situaties kunt beschrijven die echt gebeurd zijn en waarbij mensen werkelijk flinke schade hebben ondervonden. Het probleem is namelijk dat mensen redelijk ongevoelig zijn voor doemscenario's die hetzij in de toekomst liggen, hetzij een zeer klein gedeelte van de mensen treft, hetzij maar erg kleine gevolgen heeft.
Die voorbeelden zijn er niet. Zeker niet als de gegevens al geanonimiseerd zijn vóórdat ze naar servers van Google gaan.
Meneer anoniem 1 heeft de volgende medische problemen en bankrekeningnummer x.
Daar de database van namen en bankrekeningnummers naast leggen 'et voilá', daar is de database ge-de-anonimiseerd.
Heeft Google die dan ook ?
Ik vroeg om voorbeelden. Niet om voorspellingen. Zoals ik al zei: als je bang bent voor misbruik van gegevens en je hebt het idee dat niemand de gevaren ziet die jij ziet, dan helpt het als je voorbeelden kunt geven van werkelijke situaties waarin mensen werkelijk schade hebben geleden als gevolg van het lekken van gevoelige informatie.
En dat wordt... waar precies nu toegepast? En in welk opzicht heeft meneer x daar last van?

[Reactie gewijzigd door DigitalExcorcist op 30 maart 2019 16:26]

Dat is denk ik ook niet het probleem. Nu, direct, merk je er wellicht niets van. Op langere termijn is het simpelweg niet te overzien. Het is niet de vraag of, maar wanneer het een keer misgaat. En dan ben je dus per definitie, te laat.
Meneer anoniem 1 heeft de volgende medische problemen en bankrekeningnummer x.
Daar de database van namen en bankrekeningnummers naast leggen 'et voilá', daar is de database ge-de-anonimiseerd.
En wat als identificerende gegevens gecompartementaliseerd versleuteld opgeslagen liggen, elk met aparte sleutels, en enkel de houder(s) van de gegevens deze individueel kunnen ontsleutelen?

Dan valt er niets 'naast te leggen.'
Dat zou denk ik een mooie minimale vereiste zijn.
Probleem is echter dat er andere databases zijn waarin dat niet het geval is en waarin een aantal property velden gecombineerd zijn met niet-encrypted id velden. Als er dan een voor jou unieke combinatie van properties worden gevonden is je identiteit alsnog vastgesteld.
helaas, ik ben bang dat ik uit de jaren 2006 kom, en dat durf ik te zeggen. google weet toch al welk niveau ik doe, omdat ik soms wiskunde niet snap, en dan zoek ik dat op via youtube (via tor is het niet te kijken). daarbij heeft tweakers google trackers aan. ze weten dus ook al waar ik woon, mede door mijn ip adress. ze weten vast ook wie mijn ouders zijn. mijn ouders hebben vast wel eens iets opgezocht over kinderen. social media doe ik niet aan. iedereen uit mijn klas vind mij privacy gek.

en dan op school, google chrome als default, geen firefox. axis cctv cameras, en die hebben firmware met backdoors ingebakken. de ICT heeft overal de balle verstand van. ze zijn nog te lui om de computers te beveiligen dat ik ze zelf allemaal kan afsluiten vanaf de school computer. de meeste kinderen vinden het al hacken als ik weet hoe je een simpel visual basic bestandje van internet pak, en daarmee taakbeheer kan omzijlen (ctrl shift escape werkt niet). ja, .vbs word niet geblokkeerd! ze vinden mij gek omdat ik Linux gebruik.
of ze gebruiken chromebooks op de basisschool.

dit is hoe wij op school al ge ontprivacyd worden, en domgehouden worden.
Dat kun je ook zeggen over Mircosoft, de privacy die je weggeeft in een standaard build van Windows 10 met alle settings op default zijn ook niet voor de poes. toch gebruiken bedrijven massaal Windows, slaan ze hun data op in sharepoint online (onedrive, teams enzovoorts).

Met de business storage van google is niets mis mijn inziens, encryptie is op orde, ze mogen (contractueel gezien) en bovenal kunnen niet in je data kijken. Maar dit geld naturlijk voor alle zakelijke cloud providers die hun zaken goed op orde moeten hebben. Hebben ze dat niet, kijken ze wel in je data, dan is het zeer snel einde bedrijf

[Reactie gewijzigd door ETH0.1 op 30 maart 2019 12:11]

Dat kun je ook zeggen over Mircosoft, de privacy die je weggeeft in een standaard build van Windows 10 met alle settings op default zijn ook niet voor de poes. toch gebruiken bedrijven massaal Windows, slaan ze hun data op in sharepoint online (onedrive, teams enzovoorts).
Windows 10 volgt een installatie. Google volgt een persoon. Behoorlijk groot verschil. Daarnaast heb je het over default settings; die bestaan niet. Alle privacy instellingen zijn bewuste keuzes waar geen default geselecteerd is. Daarnaast praat je vervolgens over bedrijven; die zullen, hoop ik toch, snappen hoe je dit soort instellingen kunt zetten.....

Het wordt tijd dat mensen de nonsense over privacy in Win10 eens van de feiten gaan onderscheiden. Wat jij stelt is nonsense, op geen enkele manier gebasseerd op feiten.
Met de business storage van google is niets mis mijn inziens, encryptie is op orde, ze mogen (contractueel gezien) en bovenal kunnen niet in je data kijken. Maar dit geld naturlijk voor alle zakelijke cloud providers die hun zaken goed op orde moeten hebben. Hebben ze dat niet, kijken ze wel in je data, dan is het zeer snel einde bedrijf
Het grote verschil is alleen dat Google verplicht is om derden wél in die data te laten kijken. Ze hebben daar geen keus in omdat ze hun data opslaan in landen waar de wetgeving ze verplicht in die data te laten kijken. Iets waar andere cloud providers oplossingen voor gevonden hebben. Google is de enige grote cloud provider die heel expliciet stelt dat ze hier geen maatregelen tegen treffen.
Niet alleen Windows 10, ook 8(.1) en 7 zijn schuldig aan privacyschending. Installeer alsjeblieft O&O shutup en deactiveer zoveel mogelijk. We hebben al betaald voor Windows, laten we alsjeblieft niet toelaten dat we Microsoft twee keer betalen.
Ik schat in dat voor bedrijven de privacyschending niet geldt. Ik zou het heel vreemd vinden als mijn werkgever niet mee mag/kan kijken naar wat ik op de computer op het werk doe, maar Microsoft dan weer wel.
En na volgende update staat alles weer mooi aan. Iets met kraan open dweilen?
En na volgende update staat alles weer mooi aan. Iets met kraan open dweilen?
Updaten ? :)

Je moet er wat voor over hebben en dus gewoon O&O opnieuw africhten indien nodig.
Ik heb zelfs al vragen bij de gang van zaken dat ziekenhuizen zonder toestemming zomaar behandel gegevens van patiënten naar een bedrijf sturen en dat bedrijf plaatst dan zonder blikken of blozen deze data bij google.

Dat wordt dan gedaan voor onderzoek op basis van data ter verbetering van de gezondheidszorg, wat op zichzelf een nobel doel is, maar volgens mij is deze data van patiënten en behandeling effecten ietwat bijzonder en kan het niet helemaal plaatsen, maar volgens mij is het niet logisch dat een bedrijf deze gegevens zomaar krijgt.

Dat is dan nog naast dat dit bedrijf deze data bij Google plaatst.

En ik heb ook nog wel vragen, zoals wordt die data daar alleen ge-encrypt opgeslagen of wordt het daar ook verwerkt en dus ge-decrypt door cpu's van Google?
Als het goed is (wettelijk verplicht dacht ik) wordt aan elke patiënt gevraagd of ze akkoord zijn met dat hun gegevens gebruikt worden voor onderzoek. Verder worden de gegevens geanonimiseerd zodat ze niet herleidbaar zijn tot de persoon zelf.
Deze gegevens worden versleuteld gestuurd naar het bedrijf. De naam van de patiënt wordt vervangen door een nummer.
Echter heeft google ondertussen zoveel gegevens dat ik me afvraag in hoeverre het echt niet meer herleidbaar is, ondanks dat persoonsgegevens worden vervangen door een nummer. Dat zal ook erg lastig worden om te onderzoeken vrees ik.
Ik heb zelfs al vragen bij de gang van zaken dat ziekenhuizen zonder toestemming zomaar behandel gegevens van patiënten naar een bedrijf sturen en dat bedrijf plaatst dan zonder blikken of blozen deze data bij google.
Uit het artikel blijkt dat ziekenhuizen dit o.a. doen om aan landelijke kwaliteitsregistraties te kunnen voldoen. Bovendien wordt uit het artikel ook duidelijk dat ze wel degelijk goed hebben gekeken naar de andere opties van opslag. Dus "zomaar" en "zonder blikken of blozen" zijn hier niet op zijn plaats.
Ik heb toch echt meer vertrouwen in de veiligheid van Google dan 99% van de diensten die de overheid of bedrijven zelf aanbieden.

Dagelijks lezen we wel dat er bij bedrijf x weer een lek is ofdat een bepaalde overheidsdienst niet goed werkte, etc. Hoe vaak lezen we dit over Google? Nooit!

Dat mijn gezondheidsdata dan op een server van Google staat geeft me veel meer vertrouwen dan een slecht beveiligde server van een ziekenhuis zelf.
Vreemde vergelijking om de rest wat niet Google is op een hoop te gooien en dan te vergelijken met Google.
En hoe zoek jij op nieuws van data breuken bij Google? Via Google?

Beetje meer on-topic:
Waarom dan niet een kaart met rfid of iets dergelijks bij je dragen waar je (behandel)gegevens op staan en dat deze uitgelezen word wanneer het nodig is en niet word opgeslagen in een ziekenhuis database. Verdere data word alleen maar toegevoegd op die kaart.

Wat zijn de voordelen voor de patient om dit soort data permanent opgeslagen te hebben op ziekenhuis computers? Meeste mensen dragen hun pinpas altijd bij zich, een soortgelijk kaart met je data is dan niet veel extra moeite om mee te zeulen.
Het contrast is dusdanig groot met vroeger dat ik echt niet begrijp dat mensen dit maar gewoon pikken. Zijn we dan echt zo brainwashed dat we dit allemaal maar normaal moeten vinden? Heb ik dan echt een alu hoedje op om te moeten bedenken dat dit alleen maar fout kan gaan? Wie zal het zeggen, maar dan is het einde al zoek.

Fijn weekend
Dat heet "nudging" . Je maakt het de mensen wat makkelijker (of goedkoper) en ze volgen vanzelf.
Als je verzekering 25% korting aanbiedt voor een blackbox bv.
https://enginess.io/insights/5-examples-of-nudge
Ach, kom op. Google is slechts leverancier, net zoals veel andere cloud diensten. Daarnaast gaat het al encrypted de deur uit.

Als dit een probleem is moet je per direct stoppen met alle digitale diensten.
Je hebt helemaal gelijk hoor, het is misdadige onverschilligheid.
De discussie is er al om de vrijheid van meningsuiting in te perken.

Nobody cares.
Je leeft je eigen leven. 8)7
Het contrast is dusdanig groot met vroeger dat ik echt niet begrijp dat mensen dit maar gewoon pikken
Ik pik het niet... maar wat kun je er tegen doen???? NIKS.
Precies wat ik er ook over denk...Mensenlevens op het offerblok ten behoeve van macht & geld. De consument is toch verblind op de pracht & weelde van alle high tech. Men denkt gewoon niet meer na over het lezen van een EULA zelfs, even swipen, tikken en klaar is kees!
Als je het niet weet, dan kun je het toch niet niet pikken?
het probleem is dat als gewone burger je er vrij weinig aan kan doen, en vele mensen weten niet hoe die juridische trein werkt of willen de moeite en het geld er niet insteken in de hoop dat hun data niet meer wordt gedeeld
waardoor een class action lawsuit niet snel opgezet wordt.
Dit zal in duitsland nooit gebeuren daar hebben ze nog goede privacy wetgeving
Bank gegevens, medische gegevens, alles belandt bij Google. Een bedrijf welke op den duur de totale inzage heeft van het hele hebben en houden van een persoon. Vroeger werd dit met man en macht beschermd door de regering, nu gaat het als commerciële informatie de wereld rond met dus als doel, making money.

Het contrast is dusdanig groot met vroeger dat ik echt niet begrijp dat mensen dit maar gewoon pikken. Zijn we dan echt zo brainwashed dat we dit allemaal maar normaal moeten vinden? Heb ik dan echt een alu hoedje op om te moeten bedenken dat dit alleen maar fout kan gaan? Wie zal het zeggen, maar dan is het einde al zoek.

Fijn weekend
Ik ga even advocaat van de duivel spelen en stellen dat het contrast met vroeger helemaal niet zo groot is.

Het versimpelde politieke basis-systeem van de mensheid = sterke leider + volgers. Tot niet zo heel lang geleden hadden we: koningen, dictators (inclusief de paus), keizers. Dat zijn de soorten systemen waar de mensheid automatisch naartoe wil. Het zijn de totalitaire systemen die we altijd gehad hebben en het zijn de systemen die het grootste deel van de wereld nog steeds heeft.

Om zo'n systeem te handhaven is het handig voor de totalitaire leider(s) om totale controle en toezicht op alles en iedereen te hebben. In de geschiedenis was dit de normaalste zaak van de wereld: geen pers vrijheid (of uberhaupt geen pers), politieke tegenstanders de martelkamer in, geen individualisme (als je "anders" bent dan de rest rot je maar lekker op), enz enz.

Waarom denk ik dat het allemaal niet zo'n groot contrast is? We glijden gewoon weer af naar zo'n zelfde systeem. Het is de natuurlijke "standaard". We hebben dit "vroeger" altijd al gepikt. Er werd en word ons wijsgemaakt dat het allemaal voor onze eigen bestwil is en dat het allemaal heel goed gaat en zal blijven gaan. Zolang we maar naar onze leiders luisteren. Het is gewoon ordinaire hetzelfde machtsspelletje dat al 1000'en jaren gespeeld wordt. Met heel heel heel soms een korte democratische pauze.

Als je de geschiedenis zo bekijkt is (de Nederlandse) democratie een korte instabiele moment opname.

De aard van het beestje denk ik dan...

Of meer on-topic: mensen liggen er geen seconde wakker van dat hun medische gegevens "anoniem" (lol, wie gelooft dat nog) op straat liggen. Sterker nog: als ze geen Tweaker zijn weten ze het niet eens.

[Reactie gewijzigd door GeoBeo op 31 maart 2019 07:29]

Waarom vinden de politici en grote chefs van megabedrijven dit goed? Hun gegevens worden dan net zo goed opgeslagen, of gebruiken die geen Android en Google.com? Of denk je dat Google een uitzondering maakt voor deze mensen? Of hebben onze politici niet eens door dat ze ook slachtoffer zijn? Dit is geen kritiek op je comment, maar een aanvulling. Vraag me dit echt af.
Want gebruik maken van Google Cloud Platforms is hetzelfde als je dossier op Google Drive zetten? Wat een ontzettend paniekzaaierige uitlating.

Wanneer Google daadwerkelijk toegang zou hebben tot deze data en er ook nog eens gebruik zou van maken, zijn ze direct hun klanten kwijt. Al dat gezeik over 'Evil Google' terwijl er nooit daadwerkelijk iets evils gebeurt is, is bespottelijk.
Ik moet zeggen dat ik enorm schrik van het niveau hier op tweakers. Er zijn toch wel heel veel mensen die de klok (denken) te horen luiden en niet eens weten dat er een klepel aan te pas zou kunnen komen. Juist hier verwacht je dat mensen verder kijken dan hun neus lang is en even een goede technische en analytische blik laten spreken.

Ik ben persoonlijk zeer nauw betrokken bij de medische data infrastuctuur in Nederland. Meer specifiek, ik ben direct betrokken (geweest) bij het maken van afspraken tussen ziekenhuizen, verzekeraars, en het ministerie van VWS rondom datagebruik, dataopslag, analyse, rapportages, en distributie van onderzoeks sets en informatieproducten. Daarnaast ben ik voor meerdere van voornoemde instanties betrokken geweest bij leveranciers selecties en platform ontwikkelingen.

Allereerst. De data die hier verzameld wordt valt onder een uitzondering vanwege maatschappelijk belang. Ziekenhuizen zijn verplicht om landelijk afgesproken datasets aan MRDM aan te leveren zodat de kwaliteit van de zorg inzichtelijk gemaakt kan worden, zonder dat het een "wij van wc-eend" verhaal wordt. MRDM is op het vlak van de registraties (buiten IKNL die de Nederlandse Kanker Registratie verzorgd) veruit de grootste partij.

De data die door ziekenhuizen wordt aangeleverd bevat identificerende gegevens. Per definitie. Ik denk dat iedereen wel kan bedenken dat het aantal personen dat in ziekenhuis A op datum B wordt geopeerd aan diagnose C, waarbij een tumortype D, met tumorgrootte E wordt verwijderd nogal beperkt is. Nu moeten we overigens dat identificerend wel een beetje nuanceren. Deze gegevens zijn identificerend in de vorm dat duidelijk gemaakt kan worden dat vanuit -verschillende- datastromen in het Nederlandse zorgsysteem over 1 patiënt gaan. Dat is wat anders dan dat we het hier meteen over meneer Janssen hebben.

Daarnaast moeten we ook nog even nuanceren hoe die data dan aangeleverd wordt. Er zijn specifieke afspraken en veiligheidseisen van toepassing op de manier waarop op veld-niveau, op dataset niveau, op transactie niveau, en op ziekenhuis-MRDM relatie niveau om gegaan wordt met het versleutelen, aanleveren, controleren, valideren, en opslaan van de betreffende gegevens.

Wat we ook van de staat van de zorg ICT in algemene zin mogen vinden, dit gaat om state-of-the art oplossingen waar privacy-by-design centraal staat. Oplossingen bovendien die structureel getoetst worden, waar het nodige over gepubliceerd is, en waar meerdere toonaangevende Universitaire bollebozen uit binnen- en buitenland aan mee denken. De staat van de IT bij een bedrijf als MRDM is echt van een totaal ander niveau dan bij 99 van de 100 organisaties, laat staan de ziekenhuizen zelf.

Op basis van deze volledig getoetste architectuur, gevalideerde data-verwerkings platformen, het volledige tig-laags sleutel management, meer-laags encrypties en alle denkbare andere harde- en zachte maatregelen wordt vervolgens een leveranciers selectie gedaan. En wat blijkt? Google is de partij die zowel contractueel, geografisch, hardwarematig, softwarematig veruit, en dan bedoel ik echt veruit het beste scoort. Partijen als KPN, en zeker je lokale hostingboer kunnen bij lange na niet tippen aan de veiligheid, privacy, en betrouwbaarheid van deze Google oplossingen. We hebben het hier niet over een Google Drive accountje. Dus ja, als Google het echt wil, en alle contractvoorwaarden wil breken, dan kunnen ze bij de opgeslagen data. Maar bij de opgeslagen data kunnen is niet hetzelfde als de onderliggende data-elementen kunnen gebruiken.

Als je je zorgen wil maken over herleidbare patiëntgegevens, dan moet je voorkomen dat patiënten op Twitter en Facebook zetten dat ze aan ziekte X leiden en behandeling Y ondergaan. Dan moet je artsen aanspreken die USB sticks met patiëntgegevens laten slingeren, die onderzoeksdatasets met volledige patiëntnamen, geboortedata via een persoonlijke gmail of hotmail account doorsturen - notabene nadat er eerst weken overleg is geweest tussen Chief Security Officers van het ziekenhuis en een van deze data-verwerkende partijen. En dan moet je je vooral zorgen maken over het relatieve gemak waarmee je -in ziekenhuizen- een afdeling op kan lopen waar je eigenlijk niet zou mogen komen, en een niet afgelsloten kamer in kan lopen waar je een computer aantreft waar de net weggelopen arts uit pure laksheid door een vermeend "hier gebeurt toch niets houding" niet heeft uitgelogd.
Ik mis hier een andere belangrijke nuance en dat is de communicatie naar de patiënten zelf over wat er met hun gegevens gebeurt. Waar het wordt opgeslagen etc. Transparantie. Dit is niet gecommuniceerd richting patiënten.

[Reactie gewijzigd door vanstra op 30 maart 2019 17:23]

Vanwege de uitzonderingsbasis waarop deze gegevens verzameld worden - algemeen belang - is dat niet noodzakelijk (nog is het mogelijk voor de betreffende register partij - die heeft de benodigde contact gegevens namelijk helemaal niet). Sterker, deze gegevens worden verzameld of je dat nou wil of niet, het algemeen belang is hierbij overstijgend aan het individuele belang. Daar hoort natuurlijk wel bij dat wat er met die gegevens mag gebeuren (qua analyses en verdere distributie) strikt gereguleerd is.

[Reactie gewijzigd door goalgetter op 30 maart 2019 17:44]

Algemeen belang of niet. Het zijn persoonsgegevens en de rechthebbende zijn de personen zelf. Die horen te weten wat er met hun data gebeurt. Ik persoonlijk had dit graag willen weten.
Sterker, deze gegevens worden verzameld of je dat nou wil of niet, het algemeen belang is hierbij overstijgend aan het individuele belang.
Dat het juridisch gezien niet is vereist om toestemming te verkrijgen is iets heel anders dan besluiten om patiënten hier niet over te informeren. Ik val gelukkig in geen van de genoemde groepen, dus heb geen inzicht in wat er precies gebeurt, maar ik krijg het gevoel dat deze informatie voor patiënten simpelweg niet beschikbaar was. Dat dat juridisch misschien ook niet vereist is, betekent nog niet dat het een goed idee is om deze informatie dan maar achter te houden. Vroeg of laat komt het toch wel naar buiten (zoals nu hier gebeurt), maar op dat moment heb je totaal geen controle over hoe het naar buiten komt. Als MRDM zelf voorlichtingsmateriaal had geschreven (waar alle ziekenhuizen naar kunnen linken), dan hadden ze wel kunnen omschrijven hoe goed er over beveiliging is nagedacht (zeg maar, het middenstuk van je vorige post), terwijl dat nu compleet in het water valt. En tja, dan gaan mensen in paniek conclusies trekken die mogelijk helemaal niet kloppen.
Vanwege de uitzonderingsbasis waarop deze gegevens verzameld worden - algemeen belang - is dat niet noodzakelijk
Onzin.

De rechtsgrond voor verwerking staat los van de verplichting om het data-subject te informeren over een bepaalde verwerking. Het laatste is geregeld in artikel 13 & 14 van de AVG en stelt zelfs dat je het subject moet informeren over de rechtsgrond waaronder de gegevens verwerkt worden.

https://eur-lex.europa.eu...R0679&from=NL#d1e2246-1-1

[Reactie gewijzigd door R4gnax op 31 maart 2019 10:23]

Dus? De feitelijke oplossing is dusdanig complex dat geen enkele patiënt er wat mee kan.

Informatie wordt op een veilige manier opgeslagen, that's it. En ja, dat is hard nodig om fuckups tussen ziekenhuizen betreft diagnoses en behandeling te voorkomen.
Als ik dit zo lees dan praat die Brenno de Winter (NB: "Privacy- en securityexpert") gewoon voor zijn beurt dus.

Dank overigens voor je reactie. Verhelderend.

[Reactie gewijzigd door Jack Flushell op 30 maart 2019 18:33]

Brenno zal best weten waar hij over spreekt in algemene privacy- en security zin. Alleen heeft hij duidelijk geen kaas gegeten van de structuur, architectuur, processtromen, en technische staat van de oplossingen die hierachter zitten.

Of... de betreffende journalisten hebben een beperkt interview gehouden om een zo mooi mogelijke quote te kunnen krijgen.

[Reactie gewijzigd door goalgetter op 30 maart 2019 18:53]

Heeft u ooit van "Shannon Entropy" gehoord?

Als ik het oversimplificeer, houdt dit ongeveer het volgende in:

Bereken het logaritme met grondtal 2 van het aantal mogelijke waarden dat een variabele aan kan nemen en tel de uitkomsten daarvan bij elkaar op.

Bijvoorbeeld:
  • "Biosekse" heeft maar twee mogelijke waarden, namelijk m/v. De log(2, 2) = 1
  • "Leeftijd in jaren" heeft, als wij er vanuit gaan dat mensen niet jonger kunnen zijn dan 0 en niet ouder worden dan 150, dus 150 verschillende waarden die deze variabele aan kan nemen. De log(2,150) = 7,22882
  • "Vier cijfers van de postcode" heeft als minimale waarde 1000 en als maximum 9999 en daarmee dus 8999 verschillende waarden die deze variabele aan kan nemen. De log(2, 8999) = 13,13555
De entropie van deze variabelen is ongeveer 1 + 7,22882 + 13,13555 = 21,36437.
Vervolgens volgt uit de informatietheorie dat, zolang de set van mensen kleiner is dan 2^21,36437 = 2699704 mensen, ik met de gegevens die ik hierboven heb beschreven. Ieder individu in deze set, individueel kan aanduiden en daarmee dus kan de-pseudonimiseren en/of de-anonimiseren.

En u denkt dat Google niet op de hoogte is van dit basale begrip in de informatietheorie? En dat zij niet in staat zouden zijn om dit uit te buiten in uw data?

Het spijt me, maar ik vind uw standpunt schokkend naïef.

En dat is nog voordat ik in ogenschouw genomen heb dat ook Google met een zekere regelmaat wordt gehackt. Ook op de cloud-diensten die u gebruikt en omschrijft als "niet een google drive accountje" en zelfs het controlesysteem van het Google Cloud Platform zijn al eens "gehackt".
Ik moet zeggen dat ik enorm schrik van het niveau hier op tweakers. Er zijn toch wel heel veel mensen die de klok (denken) te horen luiden en niet eens weten dat er een klepel aan te pas zou kunnen komen. Juist hier verwacht je dat mensen verder kijken dan hun neus lang is en even een goede technische en analytische blik laten spreken.

Ik ben persoonlijk zeer nauw betrokken bij de medische data infrastuctuur in Nederland. Meer specifiek, ik ben direct betrokken (geweest) bij het maken van afspraken tussen ziekenhuizen, verzekeraars, en het ministerie van VWS rondom datagebruik, dataopslag, analyse, rapportages, en distributie van onderzoeks sets en informatieproducten. Daarnaast ben ik voor meerdere van voornoemde instanties betrokken geweest bij leveranciers selecties en platform ontwikkelingen.

Allereerst. De data die hier verzameld wordt valt onder een uitzondering vanwege maatschappelijk belang. Ziekenhuizen zijn verplicht om landelijk afgesproken datasets aan MRDM aan te leveren zodat de kwaliteit van de zorg inzichtelijk gemaakt kan worden, zonder dat het een "wij van wc-eend" verhaal wordt. MRDM is op het vlak van de registraties (buiten IKNL die de Nederlandse Kanker Registratie verzorgd) veruit de grootste partij.

De data die door ziekenhuizen wordt aangeleverd bevat identificerende gegevens. Per definitie. Ik denk dat iedereen wel kan bedenken dat het aantal personen dat in ziekenhuis A op datum B wordt geopeerd aan diagnose C, waarbij een tumortype D, met tumorgrootte E wordt verwijderd nogal beperkt is. Nu moeten we overigens dat identificerend wel een beetje nuanceren. Deze gegevens zijn identificerend in de vorm dat duidelijk gemaakt kan worden dat vanuit -verschillende- datastromen in het Nederlandse zorgsysteem over 1 patiënt gaan. Dat is wat anders dan dat we het hier meteen over meneer Janssen hebben.

Daarnaast moeten we ook nog even nuanceren hoe die data dan aangeleverd wordt. Er zijn specifieke afspraken en veiligheidseisen van toepassing op de manier waarop op veld-niveau, op dataset niveau, op transactie niveau, en op ziekenhuis-MRDM relatie niveau om gegaan wordt met het versleutelen, aanleveren, controleren, valideren, en opslaan van de betreffende gegevens.

Wat we ook van de staat van de zorg ICT in algemene zin mogen vinden, dit gaat om state-of-the art oplossingen waar privacy-by-design centraal staat. Oplossingen bovendien die structureel getoetst worden, waar het nodige over gepubliceerd is, en waar meerdere toonaangevende Universitaire bollebozen uit binnen- en buitenland aan mee denken. De staat van de IT bij een bedrijf als MRDM is echt van een totaal ander niveau dan bij 99 van de 100 organisaties, laat staan de ziekenhuizen zelf.

Op basis van deze volledig getoetste architectuur, gevalideerde data-verwerkings platformen, het volledige tig-laags sleutel management, meer-laags encrypties en alle denkbare andere harde- en zachte maatregelen wordt vervolgens een leveranciers selectie gedaan. En wat blijkt? Google is de partij die zowel contractueel, geografisch, hardwarematig, softwarematig veruit, en dan bedoel ik echt veruit het beste scoort. Partijen als KPN, en zeker je lokale hostingboer kunnen bij lange na niet tippen aan de veiligheid, privacy, en betrouwbaarheid van deze Google oplossingen. We hebben het hier niet over een Google Drive accountje. Dus ja, als Google het echt wil, en alle contractvoorwaarden wil breken, dan kunnen ze bij de opgeslagen data. Maar bij de opgeslagen data kunnen is niet hetzelfde als de onderliggende data-elementen kunnen gebruiken.

Als je je zorgen wil maken over herleidbare patiëntgegevens, dan moet je voorkomen dat patiënten op Twitter en Facebook zetten dat ze aan ziekte X leiden en behandeling Y ondergaan. Dan moet je artsen aanspreken die USB sticks met patiëntgegevens laten slingeren, die onderzoeksdatasets met volledige patiëntnamen, geboortedata via een persoonlijke gmail of hotmail account doorsturen - notabene nadat er eerst weken overleg is geweest tussen Chief Security Officers van het ziekenhuis en een van deze data-verwerkende partijen. En dan moet je je vooral zorgen maken over het relatieve gemak waarmee je -in ziekenhuizen- een afdeling op kan lopen waar je eigenlijk niet zou mogen komen, en een niet afgelsloten kamer in kan lopen waar je een computer aantreft waar de net weggelopen arts uit pure laksheid door een vermeend "hier gebeurt toch niets houding" niet heeft uitgelogd.
Dat gezegd hebbende is Google gewoon een Amerikaanse bedrijf dat onder het Amerikaanse juridische systeem valt. Een bedrijf dat onder het aldaar geldende zwijgplicht gewoon ALLE data moet overhandigen die ze waar dan ook ter wereld hosten als de Amerikaanse overheid daar om vraagt. Google: FISA requests.

Dan kun je nog 30 audits en 50 private keys hebben met servers die 20km ondergronds in en bunker staan met backups in 30 verschillende landen, met allerlei procedures over het aanleveren en valideren van de data: ik denk niet dat dat veel betekenis heeft als de kale data vervolgens juridisch gewoon in het geheim opgeëist kan worden. Zelfs als de data encrypted overhandigd wordt is er een dikke kans dat de NSA die gewoon kan inzien. Via bypasses of exploits in de encryptie zelf of gewoon het hacken van alle betrokkenen.

Ik neem sinds Snowden absoluut helemaal niets meer serieus qua privacy en veiligheid dat onder een bedrijf uit de VS valt. En ik denk dat iedereen die Snowden daadwerkelijk gevolgd heeft en de implicaties begrijpt van wat hij vertelde het met me eens zal zijn.
Buiten dat je betoog niet klopt (dat hele patriot act gebeuren is Europees al afgekaart):

Net zoals elke toevallige machthebbende dat in Nederland kan opeisen. Dat gaat overigens lastiger bij een buitenlandse server ... ;)

Ik weet niet wat in zo'n scenario erger is, of een uitvloeisel van Baudet je data weet, of Trump.

[Reactie gewijzigd door RielN op 31 maart 2019 08:40]

Buiten dat je betoog niet klopt (dat hele patriot act gebeuren is Europees al afgekaart):
Ja, leuk in theorie. Maar: Snowden: Nederlandse geheime dienst werkt in feite voor VS
Net zoals elke toevallige machthebbende dat in Nederland kan opeisen.
Nee. Er bestaat voor zover ik weet in Nederland geen wetgeving die het mogelijk maakt voor de overheid om alle data van willekeurig welk Nederlands bedrijf op te eisen onder zwijgplicht.

De sleepwet heeft hier wellicht wat verandering in aangebracht. Maar sja... die wet is er natuurlijk niet voor burgers...

Correct me if I'm wrong.
Dat gaat overigens lastiger bij een buitenlandse server ... ;)
Hoezo? Als Google (een Amerikaans bedrijf) een server beheert in Nederland, dan is het echt niet lastig voor Google om die data vanuit Nederland naar Amerika te krijgen. Ze beheren immers de server.
Ik weet niet wat in zo'n scenario erger is, of een uitvloeisel van Baudet je data weet, of Trump.
Dit gaat niet over Trump of Baudet (lekker niveau overigens om die 2 in 1 adem te noemen op zo'n oppervlakkige manier, niveautje "Trump is stom want lijkt op gorilla").

Dit gaat over misbruik en/of uitlekken van Nederlandse patiëntendossiers. Ik zou me eerder zorgen maken over criminelen, oplichters, zorg verzekeraars, enz.

Al schept dit wellicht een precedent om andere data ook op die manier op te slaan onder beheer van een Amerikaanse partij. Zoals onder andere de RUG overgeschakeld is van intern email beheer naar Gmail (ongelofelijk IMO). Dan wordt het (in de toekomst) wellicht wel een link politiek en economisch spelletje.

[Reactie gewijzigd door GeoBeo op 31 maart 2019 09:41]

Het schijnt mode te zijn voor mensen om overal maar hun onderbuikgevoelens op los te laten zonder last te hebben van enige feitenkennis.

Dat een ziekenhuis het opslaan van haar data overlaat aan een bedrijf dat daarin gespecialiseerd is lijkt me nogal logisch. Ziekenhuizen zijn er om mensen te genezen, data-opslag bedrijven zijn er om data op te slaan.

Het is daarnaast ook de verantwoordelijkheid van dat ziekenhuis om ervoor te zorgen dat dit 100% veilig gebeurt. Als er informatie lekt naar partijen die daar geen toegang toe zouden mogen hebben is het ziekenhuis aansprakelijk.

Dat de keuze op een bedrijf als Google is gevallen is redelijk logisch. Ze hebben een hele goede naam als het gaat om het veilig en betrouwbaar opslaan van gegevens en doen dat niet alleen in de VS, maar ook in Nederland.

Overigens staan de regels niet eens toe dat deze data op servers in de VS worden opgeslagen, dus zal dit ergens binnen de EU (waarschijnlijk zelfs binnen NL) gebeuren.
Dacht even dat ik de enige was die er zo over dacht. Google heeft prima contracten die de gegevens bescherming in lijn met de AVG regelen. Mensen moeten ook niet de consumenten Gmail met Google Cloud verwarren (hoewel zelfs de eerste lang niet zo privacy onvriendelijk is als veel mensen denken).

In mijn beleving is het ook nogal naïef om te denken dat de NSA en andere diensten niet op je on premises file server kunnen komen 🙄 hierin overschatten veel systeem beheerders hun eigen kunnen nogal.
Inderdaad.

Ze zeggen wel eens: "Als het computersysteem van jouw bedrijf niet is gehackt door de Chinezen, dan doet jouw bedrijf niets belangrijks". :+
Ah, het blijf bij je core business argument.
Hehehehehe - ik weet niet hoe het met die van jou is gesteld, maar als ik problemen heb met mijn computer bel ik niet met mijn huisarts. 8-)
Misschien niet, maar je verwacht dat als je naar hem toe gaat dat hij zijn administratie op orde heeft.

Aangezien het digitaal vastleggen van gegevens een wezenlijk onderdeel is van een hoop processen kun je je afvragen of het zo langzamerhand niet een voor een groot aantal bedrijven een core business is geworden en dat het afdoen ervan met: schoenmaker blijf bij je leest, niet wat kort door de bocht is.
Je hebt helemaal gelijk. Google heeft een prima reputatie en hebben totaal geen last van data omzetten in geld.
Dit contract is gesloten met de data-centers van Google, niet met bv. de afdeling die Chrome bouwt.

Wat je ook verder van Google als bedrijf vindt, op het gebied van data-opslag en veiligheid zijn ze #1 in de Wereld. Daarnaast lopen alle data-centers van Google ook op 100% groene stroom. Iets dat je van geen enkele andere grote data-opslag provider kan zeggen.
Dat de keuze op een bedrijf als Google is gevallen is redelijk logisch. Ze hebben een hele goede naam als het gaat om het veilig en betrouwbaar opslaan van gegevens en doen dat niet alleen in de VS, maar ook in Nederland.
Wow, ongelofelijk dat je zoiets kunt schrijven. Wel eens van Edward Snowden gehoord?

Blijkbaar niet, want anders had je geweten dat Google naar aanleiding van FISA requests (en ongetwijfeld andere manieren die ik gemist heb) gewoon data moet overhandigen (in het geheim, met zwijgplicht) aan de VS als ze daar om vragen (en dat doen ze continu).

Het maakt daarbij helemaal niets uit of die data in de VS gehost is of erbuiten. Bij zo'n request wordt de afweging voor Google simpelweg: luister ik naar de Amerikanen (in het geheim) of riskeer ik mijn Amerikaanse bestaansrecht en luister ik naar de Europeanen (publiekelijk).


Nog even los van het feit dat het business model van Google letterlijk beschreven kan worden als "spionage verkopen aan de hoogste bieder". Google weet dat ik nu op Tweakers een bericht schrijf (Android DNS = Google), wie ik ben (profiling/tracking), waar ik zit (location tracking via Google Maps), waar ik woon (location tracking), hoe lang ik poep (location tracking), hoe de borsten van m'n vriendin eruit zien (Gmail) en wat ik aan het doen ben behalve typen (mijn locatie is een restaurant).

Maar dat Amerikaanse bedrijf is ongetwijfeld echt heel goed met privacy. Ze hebben het voordeel van de twijfel! (sarcasme)

Over feitenkennis gesproken...

[Reactie gewijzigd door GeoBeo op 31 maart 2019 07:52]

Ik snap echt niet waarom dit zo'n hot item is.
De commerciële, betaalde diensten van Google werken volgens een heel ander model de de gratis varianten. Dat wil zeggen, Google kan niets zien van deze data en fungeert letterlijk alleen als dienstverlener voor opslag en computer. Net als Azure of AWS. Het is totale onzin om dit te vergelijken met gratis diensten waarbij Google door jouw data kijkt om advertenties aan de man te brengen. Ook geeft Google netjes de juiste certificeringen om deze dienst in deze sector aan te bieden en mogen zorgverleners deze dienst gebruiken.
Pure bangmakerij dit zonder enig fundament.
Inderdaad, typisch weer een media dingetje. Ondertussen zitten alle media bedrijven zelf ook volledig in cloud. Onze overheid ook... Daar is het zelfs zo erg dat ze niet eens aan de AVG voldoen (of gaan doen in de nabije toekomst). Dat is een veel zwaarder probleem...

We zitten in een cloud-connected wereld. Dit is het, je kunt er echt niet omheen. Als jij het niet gebruikt dan doen de bedrijven waarmee je samen werkt dat wel.... Dus concentreer je op het veilig maken van die wereld. Het is ook veel eenvoudiger om je al je data in Google of Azure te beveiligingen met encryptie en MFA. In principe is het dus eerder een goed iets. Dat de Amerikanen, Russen of Koreanen overal in zitten te wroeten dat weten we. Echter is dat in betere handen bij Google en Microsoft die ieder jaar een biljoen dollar uitgegeven aan enkel security dan een lokaal ziekenhuis welke nog Windows XP draait.
Mensen denken dat als je Google cloud gebruikt dat Google meteen al je data kan gebruiken en inkijken, lijkt me vrij sterk dat dat zo maar kan. Zeker met de GDPR.

Als je een garage box huurt dan mag diegene waarvan je huurt ook niet zomaar door je spullen gaan snuffelen zonder dat jij daar van weet.
Als je je daar zorgen over maakt - terecht denk ik - kun je beter uberhaupt geen Windows gebruiken.
Heb je wel hetzelfde artikel gelezen? pure bangmakerij zonder enig fundament? de referentie naar edward snowden is niet voor niks..
Yep en juist aan dat soort opmerkingen stoor ik me enorm. Dat de VS via Google kon spioneren heeft weinig tot niets te maken met het opslaan van gegevens in hun cloud dienst. Google biedt garanties op deze dienst dat de data NL niet verlaat en dus is aftappen op kabels (verdiep je even in war snowden daadwerkelijk heeft gezegd) geen risico. En zelfs als dat je niet gerust stelt is er nog encryptie waarvan alleen de klant de sleutels bezig.
En dit alles staat nog los van het feit dat het in de discussie voornamelijk ging over wat Google met jouw data zou doen.
Ik ben een groot criticus van Google's business model wat data verzamelen betreft maar dat is hier echt niet aan de orde.
behalve dat de regering in de VS alsnog gewoon de data kan toeeigenen ookal is het in het buitenland? en word die encryptie client side gedaan of extra handig via die mooie interface van google? roepen encryptie en lokaal maakt het niet veilig.
Ook dat is niet waar. De regering van de VS kan dat niet zomaar.
Als je dat claimt wil ik graag daar de volledige onderbouwing van zien.
Dat is wel waar. Eerst Patriot act, daarna omgezet naar Freedom act omdat veel weerstand vanuit Europa. In dit artikel vind je enkele mogelijkheden terug om data alsnog over te moeten dragen
https://www.netaffairs.nl...ilig-voor-de-patriot-act/
Een hoster die er baat bij heeft andere diensten dan de eigen in een kwaad daglicht te zetten lijkt me niet de beste bron.
De update bovenaan het artikel maakt wel duidelijk dat de NSA (en dus de Amerikaanse overheid) niet zomaar data mag opvragen, maar dat verzoek onderbouwd via een onafhankelijke rechter moet doen. En dan gaat het nog om specifieke, persoons-gebonden data. Volgens mij is dat niet veel anders dan bijvoorbeeld hier in Nederland, waar de overheid ook een rechter moet vragen om toestemming.
M.a.w. het kan inderdaad, maar niet zomaar.
Het is de US overheid nog nooit gelukt, bijv. rechtszaken met MS.

Daarnaast overtreedt Google in dit geval per direct de AVG met mega boetes tot gevolg.
tuurlijk kunnen ze dat wel. google opereert in america an valt gewoon door de amerikaanse staat aan te klagen. zo kunnen ze via de key disclosure law gewoon afdwingen dat die data gedeelt word als de FBI dat nodig acht voor de nationale veiligheid, en dan is de FBI nog een van de transperantere organizaties. je hebt daarnaast ook nog de FISA act, wat letterlijk staat voor buitelandse informatie toezicht dat is ook hoe ze merkels emails lazen.
Dat wil zeggen, Google kan niets zien van deze data en fungeert letterlijk alleen als dienstverlener voor opslag en computer. Net als Azure of AWS.
Interessante claim, kan u die ook aantonen?
Lees even de voorwaarden van Google gcp. Daar staat het netjes in.
Waarom hoort dat zo? Zonder onderbouwing is dat niet echt een sterke claim.
Ik zou zeggen dat een bedrijf als Google of Microsoft veel beter in staat is data veilig te houden dan de gemiddelde IT afdeling van een bedrijf of instelling.
En deze diensten kennen hele duidelijke voorwaarden waarin het voor de aanbieder volstrekt illegaal is om data in te kijken. Daarnaast kun je gebruik maken van encryptie waardoor het praktisch ook echt onmogelijk wordt.
Public cloud biedt enorm veel voordelen ook op het gebied van kosten dus ik vind het fantastisch dat ze hier gebruik van maken.
Wat ze dan ook hadden kunnen doen is de data encrypten voordat het verstuurd wordt opgeslagen bij google of waar dan ook, dan boeit het ipc niet waar het staat zolang de encryptie maar voldoende is.
En waarop is de aanname dat zij nu de data unencrypted de cloud in sturen precies gebaseerd?

Het is niet zo dat de NEN7510 and ISO 27001 certificeringen bij een pakje boter uitgedeeld worden niet waar?

Ik moet zeggen dat ik mij nogal verbaas over alle aannames en indianen verhalen die ik hier in de comments voorbij zie komen. Ik had het niveau hier op Tweakers toch wel iets hoger ingeschat... Als je niet beter wist zou je haast kunnen denken dat je hier op nujij beland bent in plaats van een platform waarvan de doelgroep uit technisch onderlegde personen bestaat.

Natuurlijk is informatie een van de voornaamste bronnen van inkomsten voor Google. Echter moet men niet vergeten dat dit vooral van toepassing is op de "gratis" diensten die Google levert. Gratis tussen aanhalingstekens omdat gebruikers hiervoor betalen met hun privacy ipv met keiharde muntjes...

Bij GCP is het verdienmodel gewoon diensten leveren in ruil voor geld. Mocht uitkomen dat Google (of AWS, Microsoft of insert random cloud provider hier) informatie afkomstig van hun cloud platform zou verhandelen kunnen zij de deur wel sluiten omdat bijna alle klanten hun overeenkomsten (terecht) zouden ontbinden.

[Reactie gewijzigd door Robsta86 op 30 maart 2019 22:46]

Nou dat is het em eigenlijk, als de data encrypted wordt opgeslagen, wat boeit het dan waar die data ligt? Er kan toch niemand erbij komen zonder de decryption keys dan
Heb je gezien wat IT in de Cure/Care betaald? Je zit daar letterlijk met Developers & IT'ers aan de onderkant en onder het midden van de markt.
Volgens het krantenartikel is er in juridische zin geen sprake van outsourcing. Het citaat uit het krantenartikel:
"Opvallend genoeg weten veel patiënten niet van het bestaan van bedrijven als MRDM, laat staan van de verhuizing naar de cloud. De reden voor de onzichtbaarheid is technisch-juridisch: voor de wet bestaat MRDM als zodanig niet; ze opereert volledig in opdracht en onder verantwoordelijkheid van de ziekenhuizen en behandelaars, alsof het bedrijf onderdeel is van het ziekenhuis".
Oh please alsjeblieft niet lokaal.
Ik schrik een beetje van de reacties van sommige Tweakers. Google is slecht, je betaalt met je privacy, Amerikaanse servers etc etc...

De afgelopen jaren is ontzettend veel veranderd waarbij de GDPR/AVG een onderdeel is.

Grote bedrijven als Google, Microsoft, Amazon, Salesforce hebben speciale Europese datacenters opgezet, om aan de Europese richtlijnen te voldoen.
Voor de GDPR was er al sprake van een transatlantic shield of EU/USA agreement of wat voor namen het allemaal had.
Hierin werd altijd specifiek aangegeven dat er geen connectie was tussen USA centers en EU centers maar wel EU centers onderling om wel garantie te bieden.

Wat betreft dat je met je privacy betaalt: Dit geldt voor privé gebruik! Immers Google is gratis en daardoor betaal je met je data. GSuite en alle zakelijke oplossingen is gewoon betaald, En omdat het betaald is, wordt er in contract opgenomen dat Google niet meekijkt / kan kijken vanwege encryptie.

Natuurlijk is Google goedkoper dan een KPN, wet van de grote getallen. Enige waar je je zorgen over zou kunnen maken is het gebrek aan concurrentie. Maar dat zie je in alle lagen van dienstverlening, kijk naar telefoon of internet providers.

Ik vind het opmerkelijk dat iedereen zich zonder na te denken uitspreekt tegen een service verlener als Google, maar ze allemaal voorbij gaan aan het feit dat die data met toestemming met een tiental research bedrijven wordt gedeeld. We gaan allemaal los op degene die data opslag veilig maakt, maar slaan over dat het met zoveel bedrijven daadwerkelijk wordt gedeeld (ik bedoel daarmee: is het echt nodig om zoveel verschillende partijen te hebben, waarom niet de helft)

Edit:
2 toevoegingen. Uit dit artikel is niet duidelijk dat het met 22 registratiebanken wordt gedeeld. Tekst van originele artikel AD:

MRDM uit Deventer ontvangt de behandelinformatie rechtstreeks uit de door ziekenhuizen bijgehouden patiëntendossiers. Per patiënt betreft het soms wel vijfhonderd gegevens: van medicatie en complicaties tot opnameduur en ingrepen. Die miljarden gegevens worden versleuteld (‘gepseudonimiseerd’) doorgestuurd naar 22 landelijke registratiebanken. Zo valt ook exact te monitoren welke instelling een aandoening het best behandelt.

Daarnaast nog zo'n droeftoeter als De Winter die Snowden taferelen erbij haalt: de Amerikaanse overheid MAG spioneren bij Amerikaanse burgers volgens de wet. Nadruk op Amerikaans. Of het uiteindelijk mogelijk is om het toch te doen? Vast wel. Maar dit komt dan in de buurt als een act of war. En laten we ons niet voorhouden dat dit bij andere partijen zoals een KPN niet kan gebeuren. En als het de Amerikanen niet zijn, dan wel de Russen of Chinezen.

[Reactie gewijzigd door antonvdijk op 30 maart 2019 12:40]

De Cloud act verplichting Google data van betrokkenen af te staan, waar ook ter wereld gelokaliseerd.

Bescherming persoonsgegevens door Safe Harbor / Privacy Shield is volgens de hoogste rechter (Europese Hof) onvoldoende. Juist in het kader van 't Handvest van de Grondrechten en de AVG / GDPR

[Reactie gewijzigd door bvdli op 30 maart 2019 13:06]

Daarom zijn er onderliggende verwerkers contracten die hieraan voldoen.
Ik schrik een beetje van de reacties van sommige Tweakers. Google is slecht, je betaalt met je privacy, Amerikaanse servers etc etc...
De afgelopen jaren is ontzettend veel veranderd waarbij de GDPR/AVG een onderdeel is.
Grote bedrijven als ..
Die GDPR kwam er dus ook duidelijk niet voor niets :Y) Er gingen misstanden aan vooraf.

Die misstanden nu met een pluizig dekentje afdekken en doorgaan onder het mom 'nu doen we het wèl goed (heus hoor)' maakt gewoonweg niet dat mensen vergeten wat de kwalijke gewoonten waren in de opgekomen, tot voor kort ongebreidelde, data-verwerkingsindustrie.

Daarbij scherm je met 'grote bedrijven' alsof die betrouwbaarder zijn dan kleine bedrijven - als het aankomt op toepassing van een goed moreel kompas op een opkomende markt dan is werkelijk niets minder waar. - Zo liggen de feiten helaas.

(En dit alles vergoelijken met ordinair gescheld op 'droeftoeter Snowden' is wel helemaal alle zotheid op een stokje trouwens :o )
Ik weet niet of ik mijn bericht verkeerd heb geschreven of dat je mijn punten niet begrijpt.

Ik ben niet tegen de GDPR, het tegenovergestelde overigens, Maar ik wilde aangeven dat we niet vanuit het niets ineens bij GDPR kwamen. Daarvoor waren er al regelingen, al voldeden die niet.

Ik wilde aangeven dat grote bedrijven als Google meer doen dan je denkt en er meer baat bij hebben zaken volgens de regeltjes te doen, omdat ze anders bestaansrecht kwijtraken. Sterker nog, ze moeten voorop lopen omdat het van ze verwacht wordt.
Zaken als Google die meekijkt is gewoon een verdienmodel: data opgeven voor service. Maar in zakelijke oplossingen hebben ze een ander verdienmodel, omdat data opgeven in dit geval niet gaat. Maar toch blijft men, ook hier op tweakers, dat soort dingen roepen.

Ik noem Snowden geen droeftoeter. Ik doel op De Winter die volgens het artikel een Snowden voorbeeld aanhaalt, wat compleet uit zn verband getrokken wordt.
Dat zo'n persoon expert genoemd wordt, maakt dat iedereen zijn mening automatisch overneemt. De laatste zin van de alinea sluit af met een niet-onderbouwd kritisch punt.
Dat de data in de Eemshaven is opgeslagen doet er juist wel toe vanwege de Amerikaanse wet en de GDPR. Dit maakt dat de Amerikaanse overheid niet zomaar mag spioneren. Of het uiteindelijk technisch kan, vast wel. Maar als we op die tour gaan dan is geen enkele oplossing veilig want het is China, Rusland, Amerika of zelfs onze buren als Duitsland die kunnen spioneren.

Ik hoop dat ik zo duidelijker heb verwoord wat ik bedoel
Zeker duidelijker, met Dank.

Overigens; alles wat z'n inkomsten uit reclame haalt heeft geen bestaansrecht.
-Reclame maakt producten en diensten duurder zonder iets aan die producten of diensten te veranderen.- Geen consument die daar dus op zit te wachten. En de klant was koning toch? :Y)
Het zou wel interessant zijn om te weten wat er bij KPN precies gammeler werd geacht dan bij Google, buiten de prijs.
Gammel is niet eens een issue. Een paar voorbeelden uit de praktijk.

Situatie. Hosted VM's op Virtual laag van de aanbieder. Uitbreiding van Tier 1 SSD storage aan de omgeving van 60TB.

Google: 1,5 uur
Azure: 1,5 uur
Equinix: 6 maanden
KPN: 4 maanden

Eisen is dat het in twee datacenters beschikbaar is en bij afbranden van 1 van de twee moet het spul na herstarten van omgeving gewoon draaien.

Buiten Google en MS kan bijna niemand dit leveren tegen die snelheid en prijs.

Overigens, KPN en Equinix doen al over 10TB SSD een paar maanden.
Leuk voorbeeld, maar als zo'n forse uitbreiding in 1,5 uur nodig is heeft er iemand (wrs een hele volksstam) zitten slapen. Bovendien lijkt het me niet zo heel ingewikkeld om de storage behoefte van X aantal patiënten in te schatten voor de komend tijd.
Het gaat er niet om dat het zo snel geregeld kan worden. Het gaat er om dat de levertijden bij anderen zo lang is. Met een goede planning zou een maand normaal zijn, maar dat wordt niet gehaald. Wil je slow data (non SSD) dan is het geen enkel issue, maar wie wil dat nou nog tegenwoordig.
Wat is slow data? En ja databases wil je op een zo snel mogelijke storage hebben staan. Maar voor documenten en foto's maakt die fractie van een seconden echt niet uit. Voor een VM maakt de storage enkel bij het opstarten uit. Als die eenmaal draait zijn de io's zo laag dat het ook niet meer uit maakt wat er achter hangt. Een snelle scsi of een ssd storage maakt voor de gebruiker niet meer uit.
Dat is best ernstig, wat je hier presenteert.
Het zal vooral een kwestie van geld zijn vrees ik. KPN heeft zijn zaakjes op gebied van cyber security vast wel goed op order en voor grote klanten ook vast bereid om maatwerk af te leveren. Maar nu staan de patiënt gegevens op Amerikaanse servers, leuk dat namen zijn veranderd naar nummers maar er is vast ergens een database opgeslagen waaruit herleid kan worden welke naam bij welk nummer hoort.

En ik weet, een boel vasts en aannames maar dat is de manier waarop we tegenwoordig discussiëren 😂

[Reactie gewijzigd door bapemania op 30 maart 2019 12:07]

Er is helemaal niet gezegd dat het Amerikaanse servers zijn, je kunt bij Google ook prima Europese servers afdwingen.

Hoeveel verschil dat maakt kun je je afvragen maar toch.
Gammeler is niet het goede woord, ik denk eerder dat economics of scale hier van toepassing is. Ik kan me goed voorstellen dat de grote cloud providers a-la Azure, GCP en AWS beveiligings opties kunnen bieden die een in vergelijking kleinere partij als KPN gewoonweg niet kan bieden omdat het niet rendabel is voor hun.
Microsoft investeert jaarlijks ongeveer 1 miljard euro in beveiliging van hun cloud diensten.
Dat is de helft van de jaaromzet van KPN zakelijk (2,14 mld in 2018).
Ongelooflijk dat dit zomaar kan, ik en al die mensen hebben geen toestemming gegeven dat ze dat zo even mogen doen, dit is gewoon achterlijk.

Ja ja, en de namen veranderen kan natuurlijk er niet voor zorgen dat Google er achter ken komen van wie die zij, Google heeft zo ongelooflijk veel informatie al dat ze het wel kunnen achterhalen weet het zeker, heb niet veel vertrouwen op Google al gaat het om de veiligheid van mij gegevens.
In dit geval gaat het niet om 'Google als datagraaier'. Dit is een clouddienst voor bedrijven, waar Google enkel de cloudstorage aanbiedt en geen inzage heeft en waar het zeker geen informatie uit zal gebruiken. Wanneer ze dat wel zouden doen, en dat op de één of andere manier uitlekt (al zou het maar zijn als een redelijk geloofwaardig gerucht), dan is dat de doodsteek voor de hele zakelijke tak van Google.
Het probleem hier is 'Google als Amerikaans bedrijf'. Als Amerikaans bedrijf is Google in bepaalde situaties verplicht om gegevens te leveren aan de Amerikaanse overheid. Ongeacht van wie die gegevens zijn en ongeacht wat de locatie van het serverpark is. De situaties waarin dat kan gebeuren kunnen ruimer zijn dan de situaties waarin in Nederland met een gerechtelijk bevel die gegevens opgevraagd kunnen worden en ook de regels hoe die gegevens vervolgens gebruikt kunnen worden zijn ruimer dan in Nederland.
En jij geloof dat letterlijk?

Wat heeft Facebook wel niet allemaal geflikt en komen er gewoon mee weg, Cambridge Analytica en VELE meer dingen, zelfde voor Google, ik vertrouw Google zelfs nog minder dan de Amerikaanse regering.
Ja, dat geloof ik letterlijk.
Wat Facebook gedaan heeft (en op andere manieren waarschijnlijk nog steeds doet) doen ze met gegevens die gebruikers zelf aan Facebook zijn gegeven (of door andere gebruikers aan Facebook zijn gegeven). Ook Google doet van alles met de gegevens van de gebruikers die 'gratis' van hun diensten gebruik maken. (Gratis als in zonder geld te betalen, maar door gegevens te leveren.)

Bedrijven kunnen ook diensten afnemen tegen betaling, zoals cloudstorage. De voorwaarden daarvan zijn heel anders dan bij de consumentendiensten. Een van die verschillen is dat de data in die cloudstorage van de klant is en blijft en dat Google daar geen toegang toe heeft (Al zou dat technisch gezien wel mogelijk zijn.) Dat ik geloof dat ze zich daar aan houden is geen naïviteit. Hun businessmodel voor bedrijven is er op gebaseerd dat alle gegevens die bedrijven bij hen stallen vertrouwelijk blijft. De meeste particuliere gebruikers zijn scheutig met hun privé-informatie, wanneer dat betekent dat ze niet voor een dienst hoeven te betalen, maar dat geldt niet voor bedrijven.
Wanneer Google het vertrouwen van die bedrijven zouden schaden, stort hun hele zakelijke business in. En dat zal waarschijnlijk ook uitstralen naar hun advertentiediensten. Een bedrijf dat net hun hele cloudstorage heeft moeten migreren omdat hun data niet veilig bleek voor Google zelf, zal waarschijnlijk ook op zoek gaan naar alternatieve advertentiediensten.
Ow man wat ben je toch naief.

Nee vertrouw Google echt niet, het gaat bij hun om maar een ding, en dat is zo veel mogelijk informatie/gegevens van je hebben, hoe meer ze hebben per persoon hoe meer ze verdienen, en laat geld nou voor zo een bedrijf op nr 1 komen en de rest niet.
Ongelooflijk dat dit zomaar kan, ik en al die mensen hebben geen toestemming gegeven dat ze dat zo even mogen doen, dit is gewoon achterlijk.
Ik vraag me bij dit soort paniekverhalen altijd af : en hoe was het dan hiervóór geregeld?

- datacenter beheer op deze cloudschaal is zo ver geabstraheerd dat een persoon in zo'n DC zo goed als niet kan achterhalen welke file van welke persoon op welke blade/server staat.
- het onderliggende filesystem is zodanig opgezet dat er alleen (encrypted) datablocks worden gebruikt, in het geval van Gfs ook nog eens sliced over meerdere DC's.

Hoe was dat dan daarvoor? flat-file tape backups? En wie konden daar dan allemaal bij?
Toen het nog mappen met papieren waren was het veel veiliger, je moest letterlijk inbreken in de gebouw van de zieken huis om dan aan die gegevens te komen, nu is het wat toetsen aanslaan en je kan overal op de wereld het stelen, en ik vertrouw Google zo ver als ik ze kan gooien, en dat is niet ver.
Toen het nog mappen met papieren waren was het veel veiliger, je moest letterlijk inbreken in de gebouw van de zieken huis om dan aan die gegevens te komen,
Nee hoor, je hoefde alleen maar de vuilnisbakken door te snuffelen of de tweedehands verkochte archiefkasten open te maken.
Patientendossiers liggen ook nu nog te slingeren op afdelingen, en zijn in te zien door willekeurige passanten.

[Reactie gewijzigd door alt-92 op 2 april 2019 12:36]

Ik heb zelf nog meegemaakt dat iedereen zomaar in de kelder de archieven in kon lopen :D
Maar ik wil niet zeggen dat dit bij ieder ziekenhuis/medische instelling zo was.
Er zijn er ook die het wel goed voor elkaar hadden, mede doordat er een zeer beperkt aantal medewerkers daar mochten komen.
Het is door de enorme druk op de werkvloer veel mis ook nu, dus ik blijf erbij dat er overal nog veel te verbeteren valt. Maar dan moet de top wel gaan inleveren, en laten we eerlijk zijn dat gaat niet gebeuren.
Want de hogere kaderleden moeten natuurlijk wel van heel veel speeltjes en extra geld worden voorzien.
Inderdaad wel weer toevallig dat de goedkoopste aanbieder het beste aansloot bij de wensen.

Maar goed, als alles anoniem gemaakt is en versleuteld blijft.
Blijkbaar was dat de wens: goedkoop.
Vermoedelijk is de digitale storage daar een paar racks met draaiend roest, een paar computers van 10 jaar oud (met IBM service-contract, Oracle-licenties en vermoedelijk nog ergens Novell Netware, want hee, grote namen verkopen goed), en 2 junior systeembeheerders. Oh, en 341 managers, sales consultants en influencers / marketing gurus die het werk laten uitvoeren door de sysadmins.

Wat dat betreft heeft Google het denk ik wel beter voor elkaar, die hebben al lang geleden ontdekt dat een goeie server meer waard is dan een goeie hotshot.
Blijkbaar heeft dit ziekenhuis, dat afhankelijk is van vlot opgeleverde data (anders klagen die dokters, en die zijn nog duurder dan een senior manager people management & strategy) dat ook ingezien, en zijn ze voor de Amerikaanse optie gegaan, privacy be damned.
Ook interessanter is om te kijken wat de politiek gaat doen om te voorkomen dat dit soort zaken nog eens gebeuren. Ik wens gewoon wetgeving wat voorkomt dat Nederlandse data in handen valt van buitenlandse bedrijven. En zeker een bedrijf als Google.
Wat je zegt is dat we data in Nederland moeten opslaan bij een Nederlands bedrijf omdat dat maar 'gewoon' veiliger is. Dat terwijl een fysieke locatie tegenwoordig helemaal niets zegt op het internet.. Laat staan dat de veiligheid in vergelijking met een bedrijf totaal geen directe relatie heeft... Ondertussen gaat het wel allemaal veel meer geld kosten. Dat betaald wordt de de gewone Nederlanders..

We hebben het nog niet eens over het feit dat de overheid totaal niet om kan gaan met IT (cookiemuur, artikel 13, alle IT projecten bij de overheid)..

Goed plan, kerel!
Wat je zegt is dat we data in Nederland moeten opslaan bij een Nederlands bedrijf omdat dat maar 'gewoon' veiliger is.
Bijna. Er moet dan wel werk gemaakt worden om het net zo veilig te laten zijn als elders. Ik denk dat Nederlandse partijen dit prima kunnen.
Dat terwijl een fysieke locatie tegenwoordig helemaal niets zegt op het internet..
:/ Duidelijk niets van wetgeving (van verschillende landen) omtrent dataopslag meegekregen.
We hebben het nog niet eens over het feit dat de overheid totaal niet om kan gaan met IT (cookiemuur, artikel 13, alle IT projecten bij de overheid)..
De overheid kan net zoals bedrijven prima omgaan met IT. Er zitten successen tussen en slechte projecten. Vele IT projecten bij de overheid slagen overigens. Zelf heb ik er ook aan enkele succesvolle mee mogen helpen. Populistisch gebral uit je hier.
Goed plan, kerel!
Dank je. Jij hebt echter nog wel wat uitzoekwerk te doen denk ik.
'Fascisme' slaat nergens op. Jij mag met je foto's doen wat je wil, maar mijn medische gegevens heb je niet op een promiscue lekkende Amerikaanse cloud op te slaan.
Tenzij versleuteld naar míjn private key.
De vraag is of je er bezwáár tegen hebt om ze in NL opgeslagen te hebben.
Is fascisme een hip modewoord tegenwoordig wat te pas en te onpas overal wordt opgeplakt? Onderbouw eens stevig waarom het in nationaal beheer houden van zeer gevoelige data naar fascisme neigt.

Of jij je eigen foto's bij Google of wat dan ook wegzet moet je helemaal zelf weten. Dit artikel gaat over heel wat anders waar mensen ook geen inspraak hebben over hun eigen data.
Schijnbaar heb je moeite om reacties binnen de context van het nieuwsartikel te lezen. Jouw probleem. Je strooien met de term fascisme slaat ook totaal nergens op en is een aantasting van het woord. Op deze manier misbruik maken van woorden laat het hun waarde verliezen.
Je snapt dondersgoed dat hij het had over gevoelige data waar men geen toestemming voor heeft gegeven om het in het buitenland op te slaan. Daar gaat het hele artikel over. Je hebt inderdaad moeite om reacties binnen de context te lezen.
Je snapt dondersgoed dat hij het had over gevoelige data
Natuurlijk snap ik dat, maar dat is niet wat hij zegt. Juist dit soort statements creeeren een bepaalde sfeer.
Je snapt het en toch blijf je doorzeveren over dat zijn zin niet volledig afkadert wat hij wel en niet bedoelt.
M'n vriendin zit in de thuiszorg en die gebruiken ook diverse diensten van Google want dat werkt makkelijk. Toen ze overstapten uitte ik al wat kritiek want Google, maar ze zijn er daar blij mee blijkbaar. Nou zijn het voornamelijk vrij a-technische personen die dit soort nieuws niet volgen dus die zijn vrij blind voor de mogelijke problemen.
Volgens mij worden veel programma's van Google gebruikt in de zorg.
In principe ben ik het er ook niet mee eens hoe de privacy van mensen zo onprofessioneel behandeld wordt, maar waar begin je als individu om het tegen te gaan? Het is zo ingeburgerd, dat je waarschijnlijk niet eens een PC meer kan hebben, wil je het tegen gaan.
Wij werken met OneDrive van Microsoft. Onze cliënten waren tot voor kort onbereikbaar vanuit thuis door het intranet.

Tegenwoordig kan ik óveral bij vanuit mijn telefoon, zelfs bij foto’s en medische verslagen. Tot zover de AVG.
Vind je het erg, dat IK dat een probleem vind, dat iemand MIJN medische gegevens over al op zijn telefoon kan bekijken?

Ik heb een probleem mee, dat mijn medische gegevens, op een niet gecertificeerde werkplek bekeken kan worden. En dat is jouw huis echt niet :)
Daarom. Ik begrijp je volkomen.
hoogst waarschijnlijk staat die telefoon in een MDM systeem en is het op die manier gecertificeerd. Inloggen op een device die niet geregistreerd staat in de MDM/EMM worden geblokkeerd (als ze onedrive gebruiken, gebruiken ze hier waarschijnlijk InTune voor).

Daarnaast de zorgmedewerker in de wijk zal bij een bezoek toch bij je data moeten kunnen, of data kunnen opslaan. Dat gebeurde eerst door het uit te printen, op te schrijven op papier en daarna terug op kantoor over te typen in een ECD, en waar blijven vervolgens de papieren e.d.? Wat als je tas in de trein vergeet met je papierennotities etc?

Er zullen ongetwijfeld organisaties zijn die hun zaken niet voor elkaar hebben, maar ik heb sterk het idee dat 3/4 van de mensen hier geen idee hebben waar ze het over hebben, en vervolgens lekker gepikkeerd, ongenuanceerd gaan lopen paniekvoetballen, puur alleen op een onderbuik gevoel. of dat nou handig is....
En hoe helpt MDM tegen het laten lezen van gegevens, door onbevoegde?
Door dat de zorgverlener bijvoorbeeld zijn device niet locked of dat hij/zij iemand anders laat mee lezen?

De zorgverlener in de wijk, moet alleen bij de noodzakelijke data kunnen.

Dit gaat mij dus te ver.
Tegenwoordig kan ik óveral bij vanuit mijn telefoon, zelfs bij foto’s en medische verslagen.
VPN kent uw IT dienst niet?
Wij helpen diverse klanten in de zorg die overstappen naar G Suite.

De voornaamste reden om dit te doen is voldoen aan de AVG, op een verstandige manier. Dat Google kostentechnisch interessant is zorgt voor meer geld over voor zorg, bovendien zijn de tools erg goed en is privacy veel, veel beter afgedekt EN te beheren dan rondzwervende spreadsheets en lokale emails.

Daarbij is G Suite als eerste AVG compliant geworden in 2017.

Overigens gaat het in dit artikel over het GCP, waar gsuite onderdeel van is.
ik hoor ook van mensen die dan een geinfecteerde prive laptop hebben maar wel kunnen inloggen op de beschermde omgeving vanaf daar. lekere beveiliging dat. het zwakste punt is altijd de gebruiker tegenwoordig maar dat schermen ze dan niet af.
Wat ik mij vooral af vraag , Google kan zijn datacenters niet scheiden zoals Microsoft aantoonbaar wel kan. Hoe zit het hier met de GDPR en AVG? Het zijn per slot heel erg gevoelige dossiers. Kan / mag dit zomaar?
De cloud is vaak (maar niet altijd) veiliger dan een eigen data center. Een ziekenhuis in onderzoeksinstellingen is geen IT bedrijf. Google is dat wel. Het is dus logisch om een specialistisch bedrijf in te huren voor het opslaan van belangrijke data.

In het artikel wordt ook genoemd dat er voor de Google cloud gekozen is omdat het veiliger is. Elke grote cloud provider biedt opties voor GDPR compliant opslag volgens de wensen van de klant. Google weet beter waar het aan moet voldoen dan het ziekenhuis of de onderzoeksinstellingen en GDPR compliancy en andere Security aspecten wordt door een onafhankelijke specialistische partijen getest en openbaar gedeeld.

Het antwoord op je vraag is dus: Ja.
En jij denkt dat Google géén lijntje naar de NSA heeft lopen?
Dat is niet relevant.

Nederland deelt vrijwillig informatie met de NSA. Geanonimiseerde patiënt gegevens lijken me niet bijzonder relevant voor de NSA en het is ook niet relevant voor de privacy van de patiënten.
Het enige wat men doet is de naam van de patient vervangen. Welk ziekenhuis op welke dag met ras, geslacht en van iedere behandeling is voor Google heel eenvoudig te combineren met de data die ze al hebben en voila, gedeanonimiseerd..... Dus ja, dit is zeker relevant voor de patienten.

Het feit dat Google niet kan garanderen dat de servers in de EU staan garandeert al dat ze niet aan de GDPR kunnen voldoen; hun servers vallen volledig onder USA recht en dus is er gegarandeerde toegang voor USA overheids instanties. Inclusief de deanonimisering die ik in de eerste paragraaf schets.

En voor Google is dit, in dit geval, geen probleem. Die hóeven helemaal niet aan de GDPR te voldoen.MRDM wel en die voldoen op deze manier ook niet. Ze beweren geen toestemming nodig te hebben van de patienten maar ik zou dit heel graag door een rechter laten toetsen, die góed geïnformeerd wordt.
Wat een kul. Beetje gek dat je uberhaupt geupvote wordt.

Patientnaam vervangen: aantoonbare nonsens. Dataset definities van deze registraties zijn openbaar. Wijs eens even aan waar het "naam veld" opgenomen is? De naam van de patient gaat niet mee, en BSN's gaan alleen onder zeer strikte voorwaarden en voorzien van de nodige 1-richtings vertaalslagen mee (op zo'n manier dat wel gematcht kan worden dat het dezelfde persoon is, zonder dat er terug kan worden geredeneerd naar wat het BSN was).

Encryptie vindt uiteraard al plaats op (combinaties van) velden, op patient niveau, en op data-set niveau, met sleutels specifiek voor het ziekenhuis, de betreffende registratie, en de specifieke dataset. Als jij een oplossing kent voor het matchen van multi-encrypted velden, op basis van de gedecrypte values zonder dat je de sleutels hebt, dan heb je je roeping gemist.

Google kan wel garanderen dat de servers in de EU staan, sterker, ze garanderen dat de servers binnen een geografische zone staan. In dit geval de GCP regio Nederland.

Voor Google is het overigens wel degelijk een probleem, ze moeten wel aan de GDPR voldoen.
Patientnaam vervangen: aantoonbare nonsens. Dataset definities van deze registraties zijn openbaar. Wijs eens even aan waar het "naam veld" opgenomen is? De naam van de patient gaat niet mee, en BSN's gaan alleen onder zeer strikte voorwaarden en voorzien van de nodige 1-richtings vertaalslagen mee (op zo'n manier dat wel gematcht kan worden dat het dezelfde persoon is, zonder dat er terug kan worden geredeneerd naar wat het BSN was).
En dat is allemaal zinloos als je vervolgens op basis van andere data volledig kunt herleiden wie de patient was. Je hebt de naam of de BSN helemaal niet nodig, in principe is locatie en datum van de afspraken al voldoende, gecomdineerd met de data die Google, en daarmee de US overheidsinstanties, al hebben.
Encryptie vindt uiteraard al plaats op (combinaties van) velden, op patient niveau, en op data-set niveau, met sleutels specifiek voor het ziekenhuis, de betreffende registratie, en de specifieke dataset. Als jij een oplossing kent voor het matchen van multi-encrypted velden, op basis van de gedecrypte values zonder dat je de sleutels hebt, dan heb je je roeping gemist.
En uiteindelijk heeft één dataset één encryptie. Gooi de encryptie dieper dan dat en je data is defacto onbruikbaar en daarmee waardeloos geworden. Ik vraag me af hoe sterk die encryptie is.
Google kan wel garanderen dat de servers in de EU staan, sterker, ze garanderen dat de servers binnen een geografische zone staan. In dit geval de GCP regio Nederland.
En toch heeft Google, in reactie op de aanklacht van de USA aan Microsoft indertijd om de data van de Ierse servers vrij te geven, geantwoord dat ze dit soort verzoeken nooit kunnen negeren omdat ze nooit kunnen garanderen dat data niet in de US komt.
Voor Google is het overigens wel degelijk een probleem, ze moeten wel aan de GDPR voldoen.
Yup. En ze moeten ook voldoen aan verzoeken van de US instanties voor het delen van data. Maar aangezien het ze verboden is daar over te praten wordt dit een hele lastige spagaat.
Als iemand de hele serie encryptie-sleutels heeft, dan kan je inderdaad dingen combineren. Dus als a) er toegang tot de opslag verkregen wordt, b) de meerlaags encryptie ongedaan gemaakt wordt, én c die gegevens dan gecombineerd kunnen worden met andere (al dan niet publieke) bronnen, dan heb je gelijk. Dat er dan een heel scala aan wetten gebroken is, laten we maar even buiten beschouwing zullen we?

Volgens mij moet je je aluhoedje maar snel tevoorschijn halen, dat is het niveau waarbij jouw redenatie aan elkaar hangt. Naast een totaal onbegrip van hoe een goed security systeem met meerdere lagen encryptie uberhaupt zou werken. Bij het ontwerp van de betreffende platforms wordt uitgegaan van het feit dat de data wellicht om een of andere reden in verkeerde handen kan vallen. De vraag is dan vooral, wat kunnen die partijen er eventueel mee en hoe erg is dat?

Maar ik ben nu vooral even nieuwsgierig naar jouw alternatief. Nederlandse hosters zijn namelijk niet in staat om iets te leveren wat in de buurt komt van de harde- en zachte veiligheids- en redundantie eisen die voor dit soort dataverwerking noodzakelijk zijn. Moeten we terug naar security by obscurity?

[Reactie gewijzigd door goalgetter op 30 maart 2019 19:02]

Mijn professor zei altijd: de enige vraag die je bij encryptie moet stellen is: hoe lang duurt het voor ze erdoorheen komen. Misschien dat je een keer op de site van Kevin Mitnick moet kijken. Wellicht is je absolute en rotsvaste geloof in encryptie daarna ietsiepietsie realistischer geworden.
Ik geloof helemaal niet rotsvast in encryptie, maar het aluhoedjes gehalte waarbij een non-encrypted value voor potentiele combinatoriek met andere data gelijkgesteld wordt aan een encrypted value "omdat het ooit gekraakt kan worden" - dat stuit mij tegen de borst. Encryptie is maar 1 laag in het beveiligingsmodel, maar wel een belangrijke om in ieder geval de factor tijd in je voordeel te laten werken.

Het uitgangspunt bij dit soort systemen is dat er ooit de mogelijkheid gaat komen om het spul te decrypten, 1 of n-laags encryptie. De centrale premisse is dus ook dat er vanuit gegaan wordt dat het ooit gaat gebeuren. Het systeem, de dataverzameling, en wat er überhaupt voor de verschillende doeleinden in de diverse Nederlandse gezondheids systemen verzameld wordt, zijn daar (vrijwel) allemaal op ontworpen.
"Het enige wat men doet is de naam van de patient vervangen."
Is niet het enige, citaat uit het artikel: "Deze gegevens worden versleuteld gestuurd naar het bedrijf."
Dat is voor mij wèl relevant.
...
Een ziekenhuis in onderzoeksinstellingen is geen IT bedrijf. Google is dat wel.
...
Hartstikke fout. Een ziekenhuis is onderdeel van de zorg. De zorg is de taak van de overheid.
Diezelfde overheid heeft een budget van bijna 300 mld euro.


ICT is essentieel. Het is van de zotte dat de overheid minimale kennis in huis heeft mbt ICT, en dat dat allemaal uitbesteed moet worden.
Daarbij wordt door de overheid consequent allerlei eisen gesteld bij externen,
waarbij de slager vervolgens zijn eigen vlees moet keuren omdat er te weinig kennis bij de overheid is.
Bij een project dat mislukt is, moet de overheid het door derden laten onderzoeken, die zelden helemaal onafhankelijk zijn.

Dat een bedrijf als Google diensten levert aan overheidsdiensten is prima,
alleen nu ben je als overheid compleet afhankelijk van enkele mondiale partijen waarbij je zelf praktisch niks hebt om op terug te vallen.
Mee eens dat ICT een kritisch onderdeel is van zorg. Toch denk ik niet dat het de taak is van een politicus om inhoudelijke beslissingen te maken over ICT zaken. De overheid moet besturen,vde zorg moet verzorgen en IT bedrijven moeten onafhankelijk te adviseren in de vorm van consultancy en ICT diensten aanbieden (zowel generiek en specifiek voor de zorg).
Ik denk dat er voldoende concurrentie is om eerlijk en goed advies te krijgen over diverse en scherp geprijsde diensten.
De datastromen zijn zeker wel gescheiden van elkaar. De publieke datastroom is gescheiden van de zakelijke datastroom en deze laatste voldoet aan de AVG wetgeving.
Kan je deze claim onderbouwen? Uit de leveranciers selecties (wel ietsje gedateerd, want dit is al geruime tijd geleden gedaan) was het precies andersom. AWS en Azure konden namelijk niet de benodigde geografische segregratie bieden die Fujtisu en Google wel konden bieden.
Bij mijn weten synchroniseren de google servers met elkaar zodat men overal een defecte server eenvoudig eruit kan trekken en die repliceert zich weer. Kan zijn dat deze informatie achterhaald is hoor. Wat ik wel weet is dat ik het met betrekking tot Microsoft dat data in Ierland ook in Europa blijft en niet in Amerika ingezien mag worden. Of de rechtszaak op hoogste niveau Microsoft vs USA al uitgesproken is heb ik ook nog geen kennis van genomen.
Hoezo kan Google dat niet? Dan kan je het GCP niet.

https://cloud.google.com/storage/docs/locations

[Reactie gewijzigd door RielN op 31 maart 2019 08:56]

“Ziekenhuizen leveren deze data aan een Nederlands bedrijf voor analysedoeleinden. Om de zorg te optimaliseren en aan landelijke kwaliteitsregistraties te kunnen doen”

Als het dan nodig is om aan een bedrijf zeeën van data te geven, is het misschien ook iets dat door iets te zware eisen wordt veroorzaakt? Ze kunnen het niet zelf/lokaal dus moet het outsourced worden? Ik ben niet bekend met wat er komt kijken bij die registraties en aan wat voor termijn we moeten denken, maar als dit het resultaat is dan kan de wetgever misschien helpen meedenken aan betere oplossingen/het makkelijker maken? Zonder in te leveren op de strenge eisen aan de medische sector natuurlijk. Dit moet toch lokaal verwerkt kunnen worden lijkt me... Dat zo’n bedrijf kiest het in de cloud te mieteren zal eerder neerkomen op kostenbesparing dan noodzakelijkheid. Kostenbesparen is fijn, zorg is al peperduur, maar t moet niet te gek worden.

[Reactie gewijzigd door WhatsappHack op 30 maart 2019 12:07]

Zilveren Kruis en OHRA en meer van dat soort verzekeringsmaatschappijen lachen zich rot. Even wat info kopen en kijken of de premie nog omhoog kan.

Maar dat gaan ze nooit zeggen natuurlijk.
Bij dat soort bedrijven werken gewoon mensen zoals jij en ik. Als dat soort praktijken gebeuren dan zou dat al lang bekend zijn.
als iedereen een klein puzzel stukje kent, maar niemand weet hoe de puzzel er uitziet dan kan dan lang onder de radar blijven, ook voor werknemers..
onzin. tijdens de tweede wereld oorlog wisten de mensen die aan de atomische bommen werkte ook niet dat ze dat deden. je krijgt gewoon wat cijfertjes waarmee je moet rekenen en magisch is de premie hoger. dat heet opsec
Je weet wat er met klokkenluiders gebeurt?
Het IS gewoon al bekend. Waarom denk je dat Big Data zo'n succes kent?

https://www.apache.be/201...c428696a0f83b0-1611818274
Gaan ze ook niet doen. Boude statement die je op geen enkele manier kan steunen met argumentatie.

De zorgverzekeraars hebben namelijk gewoon acceptatieplicht voor het basispakket. Weigeren voor optionele paketten kan alleen op basis van aantoonbare/openbare informatie. De prijzen worden eens per jaar aangepast en daar speelt het competatieve speelveld vooral mee.

Natuurlijk in de medische data staan behandelingen die patienten hebben gehad en welke medicijnen ze slikken maar dat weten de zorgverzekeraars allang. Ze betalen immers de facturen!

Dus nee, ze hebben niets aan deze data.
Ja, wat dan? Ga dan in op de argumentatie. Er is gewoon acceptatieplicht in Nederland.

Je kan wel in het wilde weg wat statements maken maar daar help je de discussie niet mee.
Dit zegt nog niet zo veel. Ook op Google Cloud Storage kun je de encryptie volledig clientside laten doen, waardoor er dus niets aan te vangen is met de gegevens.

Ik ben wel benieuwd waarom KPN minder veilig zou zijn, wordt dat onderbouwd?


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True