Flevoziekenhuis laat patiëntgegevens door verloren usb-stick uitlekken

De medische gegevens van meer dan 4000 patiënten van het Flevoziekenhuis zijn uitgelekt. Een medewerker verloor een usb-stick waarop die gegevens stonden. Het ging om patiënten met botbreuken.

De gegevens stonden op een usb-stick die een medewerker is kwijtgeraakt op een parkeerterrein vlakbij de instelling, schrijft het ziekenhuis. De usb-stick bevatte de gegevens van 4325 patiënten die bij de gipskamer van het ziekenhuis waren geweest en dus een botbreuk hadden. Het gaat om gegevens van tussen 2014 en 2017. Op de usb-stick stonden naast namen en geboortedatums ook patiëntnummers, en aantekeningen over 'de aard van de botbreuken en de wijze van behandeling'. Volgens het ziekenhuis zijn er geen burgerservicenummers en adressen kwijtgeraakt.

Het ziekenhuis zegt het incident te betreuren. De medewerker had de gegevens niet op de usb-stick mogen zetten. "Patiëntgegevens mogen alleen opgeslagen worden als dit noodzakelijk is voor de medische behandeling of met voorafgaande toestemming van de patiënt. Beide was hier niet het geval", zegt Anita Arts van de Raad van Bestuur van het ziekenhuis. "En áls opslaan van patiëntgegevens al gepermitteerd is, dan moet het veilig gebeuren."

De usb-stick werd gevonden door een voorbijganger, die de stick thuis in zijn computer stopte en daarna besloot terug te brengen naar het ziekenhuis. Het Flevoziekenhuis heeft melding gedaan bij de Autoriteit Persoonsgegevens, en is een onderzoek gestart. Het ziekenhuis heeft daarnaast excuses aangeboden aan de patiënten. Ook worden de protocollen rondom het opslaan van gegevens en het gebruik van usb-sticks aangescherpt.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 04-03-2020 09:39156

04-03-2020 • 09:39

156 Linkedin

Lees meer

Datalek bij Máxima Medisch Centrum blijkt op straat gevonden papiertje te zijn Nieuws van 5 januari 2022
Gegevens van klanten Social Deal mogelijk op straat na datalek Nieuws van 8 april 2020
Overheid raakt hdd's met 6,9 miljoen gegevens uit Donorregister kwijt Nieuws van 10 maart 2020
Autoriteit Persoonsgegevens deelt AVG-boete van 525.000 euro uit aan tennisbond Nieuws van 3 maart 2020
Ziekenhuis in Leeuwarden staakt extern dataverkeer tijdelijk wegens hackpoging Nieuws van 15 januari 2020
Belgische patiënten klagen over toegang tot elektronische medische dossiers Nieuws van 24 december 2019
Minister: toegangslogs van medische dossiers moeten vijf jaar bewaard blijven Nieuws van 2 december 2019
Amsterdam UMC maakt gezondheidsdata van IC-patiënten beschikbaar voor onderzoek Nieuws van 18 november 2019
Bredaas ziekenhuis schrapt afspraken en operaties na netwerkstoring - update Nieuws van 4 oktober 2019
Gegevens patiënten Haga Ziekenhuis werden gebruikt als boodschappenlijstje Nieuws van 7 september 2019
Meer producten en artikelen
Privacy Autoriteit Persoonsgegevens Datalek Nederland

Reacties (156)

-Moderatie-faq
156
154
75
14
1
66
Wijzig sortering
segil
4 maart 2020 10:12
Wat niet in het Tweakers artikel staat en wel in de bron is dat men binnenkort het onmogelijk gaat maken om data te plaatsen op een USB stick. Goed om te zien dat ze dit adequaat oppakken.
Het is voortaan verboden om USB-sticks (ook beveiligde) te gebruiken voor het opslaan van herleidbare persoonsgegevens. Het gebruik van onbeveiligde USB-sticks is sowieso niet meer toegestaan. Het Flevoziekenhuis heeft alle medewerkers opgeroepen om onbeveiligde USB-sticks die nog aanwezig waren in het ziekenhuis, in te leveren. Vanaf de zomer wordt het technisch onmogelijk om vanaf een computer in het Flevoziekenhuis gegevens over te zetten op een USB-stick. Het Flevoziekenhuis beschikt over voldoende veilige alternatieven zoals beveiligde email, een beveiligde messenger-service voor zorgverleners en een beveiligde thuiswerkomgeving. Alle medewerkers zijn actief gewezen op het aangescherpte beleid.
CUnknown
@segil4 maart 2020 11:58
Dat klinkt als een goede oplossing als je geen rekening hoeft te houden met het werk dat de gebruikers van die systemen moeten uitvoeren. Er wordt hier dan ook volledig voorbijgegaan aan de reden dat de gegevens op een USB-stick zijn opgeslagen. Dat verder te bekijken kan bijvoorbeeld uitwijzen dat er andere software op de machines mist omdat mensen zelf niets mogen installeren en dat het aanvraag proces van nieuwe software stroperig is.

Simpelweg USB-sticks uitschakelen lijkt mij dan ook symptoombestrijding en zorgt ervoor dat mensen weer andere oplossingen gaan zoeken voor hun probleem. Eventueel met nog grotere gevolgen voor de privacy. Het probleem is namelijk niet opgelost.

[Reactie gewijzigd door CUnknown op 4 maart 2020 11:59]

Q
@CUnknown4 maart 2020 13:01
Ik vind dit een goede observatie. USB poorten uitzetten of dichtlijmen is symptoom bestrijding.

Waarom vond iemand het nodig om patientgegevens op een USB stick te plaatsen?

Het antwoord op die vraag zou behoorlijk verhelderend moeten zijn. Het zou best kunnen zijn dat er een aantal belangrijke stappen in een proces zijn waardoor export van data via USB stick de enige praktische mogelijkheid is.

Als ziekenhuis zou je dan kunnen uitzoeken of je dat niet op een veiligere methode kunt faciliteren.
Puur alleen USB sticks verbieden is niet genoeg.

Natuurlijk kan het ook zijn dat de medewerker gewoon totaal nonchalant met data is omgegaan. Dan is de vraag waarom het ziekenhuis die USB sticks niet veel eerder had geblokkeerd/verboden.

Ook zou ik graag zien - als dit past binnen de gecommuniceerde bedrijfspolicy - dat de schuldige medewerker ontslagen wordt. Want dat laat zien dat je dit soort incidenten echt serieus neemt, wat mogelijk gedrag van andere werknemers corrigeert.
Ryen
@Q5 maart 2020 12:53
Ook zou ik graag zien - als dit past binnen de gecommuniceerde bedrijfspolicy - dat de schuldige medewerker ontslagen wordt. Want dat laat zien dat je dit soort incidenten echt serieus neemt, wat mogelijk gedrag van andere werknemers corrigeert.
Ik vind ontslag niet te drastisch, maar die zware sanctie ontmoedigt wel het melden van het verlies van data.
Q
@Ryen5 maart 2020 12:59
Volgens mij staan daar ook met de nieuwe wetgeving aardige boetes op: het niet melden van een datalek.
Dus dan wordt het een leuk spelletje. Ga je het risico nemen dat het wel of niet uitlekt.
TheLunatic
@CUnknown4 maart 2020 16:16
kan bijvoorbeeld uitwijzen dat er andere software op de machines mist omdat mensen zelf niets mogen installeren en dat het aanvraag proces van nieuwe software stroperig is.
Dat komt dan wel pas boven water als je deze maatregelen neemt. Neem je ze niet dan blijven mensen aanrommelen en zeker in een grote organisatie is het lastig daar grip op te krijgen.
nobraininvolved
@CUnknown4 maart 2020 22:28
Nee, dat is niet waar...ik heb 't zelf een aantal jaar geleden geintroduceerd bij een bedrijf. Men dacht ook dat gebruikers dan last zouden krijgen met hun werkzaamheden, maar dat is dikke onzin.
waar 't om gaat, is dat gebruikers 'gewend' zijn om met een usb stick te werken. Totaal onnodig. Er zijn zat veiligere alternatieven. B.v.:
- een beveiligde portal voor het overzetten van (grote) bestanden
- alleen bepaalde, beveiligde usb sticks toelaten (deze zijn zwaar encrypted en binnen de security pakketten kunnen deze op stick nivo toegelaten worden, zodat alleen de mensen die het ECHT nodig hebben, het kunnen, maar dan wel alleen op de aan hen gegeven bedrijfsstick die automatisch encrypted wordt).
In 90 % van de gevallen blijkt achteraf dat overzetten/meenemen van gegevens gewoon niet nodig is en simpelweg ook gewoon niet mag (te groot risico).
- een beveiligde portal naar de server zodat je gewoon met de gegevens kunt werken zonder ze op alternatieve computers te hebben.

Ik vind het anno 2020 beschamend dat er nog gegevens lekken door dit soort knulligheden. Dit had allang dichtgezet moeten zijn. Je wilt gewoonweg geen gegevens meer hebben op usb sticks of op laptops van medewerkers die niet zwaar beveiligd zijn.
CUnknown
@nobraininvolved4 maart 2020 23:33
Dat kan ik niet overzien. Maar het is ook niet ondenkbaar dat bijvoorbeeld testresultaten van geautomatiseerde processen alleen via een USB stick gebackupped kunnen worden omdat die machines geen netwerkconnectiviteit hebben. Dat weet ik als buitenstaander niet. Maar er was mogelijk een noodzaak of een belang dat je boven water wilt krijgen.

Wanneer mensen foto's maken van het scherm gaan we toch ook niet mensen leren te SSHen naar machines omdat er geen schermen meer gebruikt mogen worden?
nobraininvolved
@CUnknown5 maart 2020 09:42
die machines die niet geconnect zijn, bevatten over het algemeen geen klantgegevens. Als die nodig zouden zijn, worden daar meestal geanonimiseerde gegevens voor gebruikt.
't is in de regel echt een kwestie van opvoeden. Waar het 20 jaar geleden (1996) heel normaal was dat ik de hele database van een bepaald bedrijf mee naar huis nam om queries op te draaien (ging om 7 miljoen klanten met volledige klantgegevens!) omdat 't op mijn werk niet kon (ik had thuis een pc die wel zoveel gegevens aankon), is die situatie nu echt wel veranderd en is dat in deze tijd gewoon een doodzonde.
't zou absoluut niet meer nodig of mogelijk moeten zijn om klantgegevens in welke vorm dan ook, op een onbeveiligd device het bedrijf uit te krijgen. Er zijn de afgelopen jaren zoveel goede, veiligere alternatieven bijgekomen dat je op dit moment gewoon kunt zeggen dat als het mogelijk is, het pure laksheid is van de gebruiker en van de it organisatie erachter.
dit zou je echt snoeihard moeten afstraffen...(maar dat is mijn persoonlijke mening)...
Bergen
@segil4 maart 2020 10:42
In de praktijk betekent dat waarschijnlijk dat Windows verplicht Bitlocker moet gebruiken bij opslag op een USB-stick...denk ik?
F-I-X
@Bergen4 maart 2020 12:23
In het ErasmusMC is dat idd de standaard mogelijkheid voor alle Windows10 PC's.
Het is voor sommige medewerkers mogelijk om dit uit te laten zetten als de noodzaak daarvoor is. Kan dan enkel op een gespecificeerde PC.
De PC's binnen dit ziekenhuis zijn behoorlijk dicht getimmerd maar bied gelukkig ook een degelijk software center waar applicaties wel van geïnstalleerd kunnen worden.

Niet alles is zonneschijn maar er is wel al goed over nagedacht met de overgang van windows 7 naar 10.

[Reactie gewijzigd door F-I-X op 4 maart 2020 12:27]

Cerenas
@Bergen4 maart 2020 10:51
Of dat USB apparaten standaard geblokkeerd worden. Zo is het bij de bank waar ik momenteel zit in ieder geval zo geregeld.
Alex86
@Cerenas4 maart 2020 11:51
alle usb poorten met lijmpistool dichtmaken, zou niet het eerste keer zijn...
RJG-223
@Alex864 maart 2020 12:10
alle usb poorten met lijmpistool dichtmaken, zou niet het eerste keer zijn...
Dat lijkt me een schijn-oplossing. Toetsenbord en muis moeten ook met USB aangesloten kunnen worden. Het is makkelijk genoeg om het toetsenbord uit de PC te trekken, en er een USB stick voor in de plaats te stoppen. Of de muis. En dan heb ik het nog niet eens over het gebruik van een USB hubje (want dat vergt wat meer voorbereiding).

En er zijn meer manieren om een (ongeoorloofd) opslagmedium met een computer te verbinden. Bluetooth bijvoorbeeld.

De enige echte oplossing is als het OS gewoon geen onbekende externe devices toestaat.
xoniq
@RJG-2234 maart 2020 12:41
Muis en toetsenbord kunnen op de terminals die ze in de ziekenhuizen gebruiken nog prima met PS/2 aangesloten worden, dan is er geen enkele reden om een USB poort te gebruiken
nobraininvolved
@RJG-2234 maart 2020 22:31
je kunt 't gewoon dichtzetten. Je kunt 't zelfs op het nivo dichtzetten dat 1 enkele stick nog gebruikt kan worden en alle andere gegevensdragers niet meer. Je kunt alles blokkeren, zelfs telefoons met opslag waar je eea op zou kunnen zetten. 't zijn gewoon standaardinstellingen in de beveiligingssoftware...
Dus nee...'t is onzin dat je welk opslagmedium dan ook zou kunnen gebruiken als dat niet is toegestaan. Als dat kan, is het niet goed ingeregeld of heb je met een professionele hacker te maken.
RJG-223
@nobraininvolved5 maart 2020 16:17
Dus nee...'t is onzin dat je welk opslagmedium dan ook zou kunnen gebruiken als dat niet is toegestaan
Ik weet niet of je op mij reageerde, maar je noemt mijn bewering onzin, en herhaalt bijna precies wat ik ook al zeg: Ik zeg dat de enige goede oplossing is om devices op OS-niveau te blokkeren. Wat jij toevoegt, is dat het softwarematig mogelijk is om devices selectief te (de)blokkeren.
nobraininvolved
@RJG-2235 maart 2020 17:31
o sorry, dan begreep ik je niet...
ik dacht nl dat jij aangaf dat de usb poorten niet geblokkeerd zouden kunnen worden omdat er een toetsenbord en muis aangesloten moesten kunnen worden en je daarom in het OS maar gewoon alles dicht zou moeten zetten.
Dat was 't stukje wat ik onzin noemde, omdat het op zo'n mooi detailnivo is in te regelen (met het juiste beveiligingspakket) dat je helemaal zelf kunt kiezen wat je wel of niet toe zou willen laten.
Je kunt b.v. bepaalde sticks toelaten of alleen bepaalde sticks blokkeren, je kunt harddisken toelaten of blokkeren, of de datauitwisseling van de telefoon (zodat je 'm nog wel kunt opladen).... je kunt zelfs op individuele hardware toegang geven, dat soort dingen...
ik haalde juist het tegenovergestelde uit jouw stukje . Het was niet beledigend bedoelt :)
RJG-223
@nobraininvolved5 maart 2020 18:48
Bedankt voor je reactie !
ik dacht nl dat jij aangaf dat de usb poorten niet geblokkeerd zouden kunnen worden omdat er een toetsenbord en muis aangesloten moesten kunnen worden
Dat zei ik inderdaad; het ging over fysieke blokkering, dmv. een lijmpistool. Alex86 suggereerde dat dat een (afdoende) oplossing zou zijn...

Alhoewel het natuurlijk klopt dat fysieke blokkering in ieder geval een flinke drempel opwerpt, en onder bepaalde omstandigheden ook afdoende kan zijn.
Ryen
@RJG-2235 maart 2020 12:57
Sommige toetsenborden hebben een ingebouwd USB-hubje (bijvoorbeeld Lenovo's die zakelijk veel gebruikt worden). Die moet je dan ook dichtkitten. Het eind is zoek.

De oplossing moet in de software worden gezocht, zoals nobraininvolved ook al zegt.
RJG-223
@Ryen5 maart 2020 16:18
De oplossing moet in de software worden gezocht, zoals nobraininvolved ook al zegt.
En zoals ik dus ook al zei...
Yoshi
@Alex864 maart 2020 12:59
Ja, en wat doe je met het grote aantal zorgvragers die foto's of dossieren bijhebben van anderen zh'en?
Frappuccino
@Alex864 maart 2020 19:24
Er zijn ook slotjes voor USB poorten. Minder drastisch.

Voorbeeld
segil
@Bergen4 maart 2020 11:11
dat zou goed kunnen. Ik weet alleen niet of je zonder 3rd party software andere, niet encrypted, usb sticks kunt blokkeren in Windows.
SilentLucidity
@segil4 maart 2020 11:21
Dat is ook een beleidskwestie die je moet invoeren en op controleren. Wat je wel altijd nog kan doen is je pc kasten afschermen zodat de poorten niet toegankelijk zijn.
Hestronic BV
@SilentLucidity4 maart 2020 11:50
Of in de BIOS van het systeem de poorten uitschakelen.
darknessblade
@Bergen4 maart 2020 13:06
Er zijn toch OOK USB schijven die data automatisch encrypten. via een hardcoded key.
donderwink1
@Bergen4 maart 2020 13:48
Dat is inderdaad bij gebruik van USB-sticks handig. Of een (aanvullende) enforced policy via de server of microsoft intune die (onbeveiligde) USB-sticks niet meer toelaat.
mjz2cool
@Bergen4 maart 2020 16:07
Dat is niet wat die bron zegt, die zegt dat het voortaan verboden is om USB-sticks (ook beveiligde) te gebruiken, en het zou technisch onmogelijk gemaakt worden.
reddevil001
@segil4 maart 2020 11:23
Adequaat.....
Het is bijna 5 maanden geleden gebeurt en pas gisteren ontvingen we hier een brief over. Leuk verhaal dat er onderzoek is gedaan en dat er consequenties uit getrokken worden. Vijf maanden wachten met informeren is behoorlijk laat.
segil
@reddevil0014 maart 2020 11:41
Wat had jij dan binnen die 5 maanden willen doen?
StefanTs
@segil4 maart 2020 14:11
De link leggen tussen de ontvangen phishingmails en het lek.
"Belangrijk nieuws over de behandeling van uw breuk, klik hier om de patientomgeving van het ziekenhuis te openen".

Lijkt in dit geval niet te spelen, maar dat is waarom tijdig informeren belangrijk is.
segil
@StefanTs4 maart 2020 14:29
ja dat is inderdaad een goede. Had ik nog niet aan gedacht.
strompf
@segil4 maart 2020 10:25
Geweldig, zo adequaat als het ziekenhuis reageert! (niet cynisch bedoeld!)
WillySis
@segil4 maart 2020 14:20
Het opslaan van patiëntgegevens op een USB-stick is helemaal nergens voor nodig. Binnen een ziekenhuis horen patiëntgegevens alleen via een beveiligd netwerk te worden verstuurd. Als er geen veilige thuiswerkomgeving is, dan komt men maar naar het ziekenhuis. De patiëntgegevens horen nooit op een USB-stick geplaatst te worden en evenmin het ziekenhuis te verlaten!

Ik vraag me al af waarom men die gegevens van zoveel mensen en behandelingen überhaupt op een USB-stick heeft gezet en die ook nog eens buiten het ziekenhuis heeft gebracht.
Adequaat oppakken is leuk, maar dit had nooit mogelijk moeten zijn. Dit is echt een geval van de put dempen als het kalf is verdronken.
Er is duidelijk werk aan de winkel voor de AP, want er wordt nog steeds laks met privacy gegevens omgesprongen!
Juggernaut1987
@segil4 maart 2020 15:13
Het onmogelijk maken van export naar USB is een eerste stap maar hoe voorkom je dat er data via notepad naar een persoonlijke cloud drive verstuurd worden? Of met een copy paste naar de prive gmail?

Ik vind het verontrustend dat medisch personeel het exporteren van data "voor thuis", onder het excuus van "op werk heb ik geen analyse tijd", zo gewoon vind.

EDIT: dit uiteraard allemaal niet anoniem en niet encrypted.

[Reactie gewijzigd door Juggernaut1987 op 4 maart 2020 15:13]

nobraininvolved
@Juggernaut19874 maart 2020 22:36
Dat kun je ook dichtzetten. Iedere site op internet heeft een bepaalde tag. Binnen de beveiligingssoftware kun je tags gewoon dichtzetten.
Dus net zo makkelijk als je pornosites kunt dichtzetten, kun je clouds dichtzetten. Er zijn wel workarounds voor...zo heb ik b.v. mijn cloud gekoppeld aan een eigen domeinnaam. Deze is alleen op individueel nivo dicht te zetten, maar dat soort dingen weten de meeste mensen niet. Die proberen gewoon in te loggen op hun cloud en dat lukt dan niet meer.
met mail wordt 't al ietsje moeilijker (je kunt meestal wel gewoon naar buiten mailen), maar mail wordt weer gelogd op de server, dus daar kun je nog wel alles van terugvinden als er stront aan de knikker is. En als je dat dan gewoon opneemt in de procedures, kun je iemand gewoon ontslaan voor het ontvreemden van gegevens.
tweaknico
@segil4 maart 2020 18:40
Wat als de USB stick NIET was terug gebracht.....
(waarmee het bekend werd buiten de werknemer om)....
- Had de werknemer het verlies al gemeld?....
- Er zijn blijkbaar andere middelen voor handen, waarom zijn de USB poorten dan nog niet volgegoten met Epoxy? Tevens als beveiligingsmaatregel tegen inbraak. ( PoisonTap et. al. )

Overigens is de melder van het incident wel moedig geweest om z'n/d'r systeem in te zetten voor een veiligheidsonderzoek. Het is niet de eerste keer dat een digitale inbraak gestart is met een "gevonden" usb-stick.
Koffiebarbaar
4 maart 2020 10:34
Ik heb al jaren in ons bedrijf blokkeringen op het gebruiken van USB poorten wat betreft storage media, dat is gewoon een nevenfeature van ons securitypakket. USB sticks die je wil gebruiken moet ik goedkeuren van bovenaf. En dan werken we niet eens met super heftige data.
Vind het wel opvallend dat je in zo'n instituut waar hoogst persoonlijke gegevens verwerkt worden je kennelijk gewoon arbitrair opslagmedia in een computer kan prikken.
Als het zo krap zit met de centen mag daar wel even een code rood voor afgegeven worden.

[Reactie gewijzigd door Koffiebarbaar op 4 maart 2020 10:37]

tjahtweakers
@Koffiebarbaar4 maart 2020 13:32
Werkt jullie oplossing ook voor MTP apparaten? De onze laat deze nog door en deze zijn niet te blokkeren. Gaat dus om bijvoorbeeld telefoons waarvan de storage geen driveletter toegewezen krijgt.
OxWax
@tjahtweakers4 maart 2020 14:00
Misschien deze ?
https://answers.microsoft...-910a-95819ace4128?auth=1
Koffiebarbaar
@tjahtweakers5 maart 2020 10:29
Nee, het is ook niet echt onfeilbaar in dat opzicht maar het helpt wel tegen het leeuwendeel van de mensen die achteloos een stickie inprikken.
Anoniem: 486069
4 maart 2020 09:46
De usb-stick werd gevonden door een voorbijganger, die de stick thuis in zijn computer stopte
Naast dat het zeer kwalijk is dat deze gegevens gewoon op een USB-stick worden gezet, is dit natuurlijk ook geen goede zaak. Lijkt me toch eens tijd worden dat mensen gaan begrijpen dat ze dit niet moeten doen.
AuteurTijs Hofmans
@Anoniem: 4860694 maart 2020 09:58
Je kunt van 'gewone mensen' niet vragen een VM op te starten en daarop liefst autorun uit te zetten om zo een stick te checken. Het risico op infectie is véél kleiner dan de meerwaarde om iemand te helpen een stick terug te vinden die mogelijk heel belangrijk voor ze was.
Anoniem: 486069
@Tijs Hofmans4 maart 2020 10:06
Wat je wellicht wel van deze mensen kan vragen is om in plaats van de USB zelf in de PC te steken, hem aan "die ene vriendelijke jongen die altijd mijn printer repareert" te geven. Het risico is wellicht kleiner, maar de gevolgen een stuk groter. Nu gaat het in dit geval om iemand die het thuis deed, maar stel je voor wat er gebeurd wanneer deze persoon het mee had genomen naar het werk, waar dan toevallig USB poorten niet dicht staan
Marcel Br
@Anoniem: 4860694 maart 2020 10:40
Je kunt die mensen ook vragen om de USB niet in de PC te steken.
AuteurTijs Hofmans
@Anoniem: 4860694 maart 2020 10:19
Ik denk dat je er meer aan hebt die autorun op netwerkniveau uit te zetten en av/andere beveiliging op te zetten dan dat je mensen moet voorlichten om niet lukraak usb-sticks in poorten te stoppen.
Indentical
@Tijs Hofmans4 maart 2020 11:44
Het aangeven dat een USB-Stick niet in de computer gedrukt mag worden omdat het een risico is voor de veiligheid van het bedrijf is juist iets wat je moet doen. Zelfs al zou je de poorten dicht gooien is dat geen garantie dat er niks gebeuren kan. Kijk maar naar die killer-USB sticks. afhankelijk wat de persoon aan werk doet, en hoe, kan dit nog best vervelend uit pakken.

Je zou maar een dure workstation hebben waarop je lokaal werken omdat de applicaties die je nodig hebt het niet op de server kunnen doen, maar bedoel maar je zou je zo'n USB stick maar in een vrij dure workstation doen. Of de poort nu dicht staat of niet, Helemaal uit kan niet anders kan je ook geen KB/M inputs krijgen.
supersnathan94
@Indentical4 maart 2020 11:52
Als het goed is en je bord is een beetje adequaat beveiligd (wat op workstations wel verwacht mag worden) knalt dan als het goed is de usb zekering er door. Een standaard USB poort op een desktop hoeft eigenlijk nooit stroom te ontvangen anders dan op de data pinnen. Die kun je afzekeren en op de powerpinnen kun je iets met diodes en zekeringen doen.
CUnknown
@supersnathan944 maart 2020 12:25
Ook diodes hebben een max aan hoeveelheid reverse current ze kunnen tegenhouden.
supersnathan94
@CUnknown4 maart 2020 14:13
Die dingen werken gelukkig met spanning en niet zozeer high current. Probleem is alleen dat se -200VDC over de datalines gooien. Datalines is 2-way dus dat gaat issues opleveren op het bord.
Skywalker27
@Tijs Hofmans4 maart 2020 10:12
Zelfs dat helpt niet want een rubber ducky doet zich voor als een HID ;)
Niemand_Anders
@Tijs Hofmans4 maart 2020 12:34
Maar het in je computer stoppen van een vreemde USB-stick is natuurlijk waar clown789 op reageert.
Dat is net slim als alle executables welke je via de mail ontvangt opstarten..
tinus73
@Tijs Hofmans4 maart 2020 13:51
Het moet 'common understanding' worden dat je een usb stick niet zomaar in je pc stopt voor de gewone gebruikers. Maar ja nieuwsgierigheid is vaak te lastig onderdrukken.
Winduss
@Anoniem: 4860694 maart 2020 09:50
Dit is juist wel een goed idee om te doen. Zo komt men er achter van wie de USB stick is, en zo kan de stick nog terug naar de eigenaar worden gebracht ;)
Zombaya
@Winduss4 maart 2020 10:20
In het geval dat het daadwerkelijk over een verloren usb-stick gaat wel. Als het echter gaat over een bewust achtergelaten USB-stick met malware/spyware op om het netwerk van het ziekenhuis te besmetten gaat, is het geen goed idee om deze zomaar in te pluggen.

Of als het gaat om iets dat er uitziet als een USB-stick, maar bedoeld is om PC's te slopen is, is het ook niet zo handig om deze in je pc te pluggen.

Kort samengevat: zolang je niet weet wat de herkomst van een onbekende USB-stick is, zijn er best wel gevaren gelinkt aan het zomaar inpluggen van de stick.
Znorkus
@Zombaya4 maart 2020 11:32
Ik weet niet of het zo handig is dat soort nasty gereedschap op de frontpage van Tweakers te adverteren.
supersnathan94
@Znorkus4 maart 2020 11:54
Dat soort nasty gereedschap is op een site als tweakers juist allang bekend.

Op YT is het ook al een hele hype geweest bij de tech bloggers. Mensen die zich er een beetje in verdiepen kennen die dingen al lang.
OxWax
@Znorkus4 maart 2020 21:23
Oh nee, daar had ik nu echt nog NOOIT van gehoord ....
Asjemenou 8)7

Klassieke truc om je medewerkers te laten testen. Dat en bellen met de vraag : "Hallo, hier de IT dienst. We zijn de security aan het testen en hebben uw paswoord even nodig." }>
JonathanG
@Anoniem: 4860694 maart 2020 09:50
Helemaal gelijk. Ik heb wel eens met vrienden "malicious" usbs gemaakt, die op zich niet veel doen, behalve het ip adres doorsturen naar een server van ons. (We deden dit puur bij ons zelf om mee te spelen). Maar er zijn mensen die express zo'n usb achterlaten met echte malicious code. Ikzelf doe daarom nooit onbekende usbs inpluggen, tenzijn ik een offline laptop heb waar niks van waarde op staat.

Want had die meneer het niet ingeplugd en weggegooid dan was of de data vernietigd (niks mis mee) of was het in handen gekomen van iemand met kwade bedoelingen.
Jerie
@Anoniem: 4860694 maart 2020 10:03
Je weet niet of "zijn computer" een speciaal geprepareerde computer is met dit (soort) doeleinden. Ik heb ook nog wel "een computer" voor dit soort doeleinden. Oude Raspberry Pi is hier uitstekend voor geschikt. Succes met je Windows x86-64 payload op Linux ARM. Gaat 'm niet worden. En die machine wordt verder nergens meer voor gebruikt.

[Reactie gewijzigd door Jerie op 4 maart 2020 10:04]

PageFault
@Anoniem: 4860694 maart 2020 10:38
Meer dan 10 jaar geleden kreeg bij ons op de afdeling iedereen gewoon een USB stick met hardware encryptie. Dat had hier de pijn al verzacht vermoed ik (los van de discussie of het uberhaupt noodzakelijk was deze gegevens op een USB stick te zetten).
Qlusivenl
4 maart 2020 09:46
Wat zou uberhaubt de reden zijn om patient gegevens op een USB-stick te zetten? Deze gegevens staan toch op de servers van het ziekenhuis, mag ik hopen? Het op een USB stick zetten is dus hoe dan ook overbodig.

Daarnaast is het te idioot voor woorden dat het mogelijk is om deze gegevens naar een USB stick te kopieren. Lekkere gegevens beveiliging heb je dan.


Ook minpunten voor degene die de USB stick vond:
De usb-stick werd gevonden door een voorbijganger, die de stick thuis in zijn computer stopte
Ik mag hopen dattie dit niet zomaar heeft gedaan. Zomaar USB Sticks die je vind in je PC stoppen is vragen om problemen.
AuteurTijs Hofmans
@Qlusivenl4 maart 2020 09:59
Wat zou uberhaubt de reden zijn om patient gegevens op een USB-stick te zetten? Deze gegevens staan toch op de servers van het ziekenhuis, mag ik hopen? Het op een USB stick zetten is dus hoe dan ook overbodig.
Uit de bron:

"De gegevens waren volgens de betrokkene op de USB-stick gezet met het doel om de effectiviteit van de behandeling later te kunnen analyseren"

Geen idee wat dat betekent, daarom niet in het artikel gezet.
Znorkus
@Tijs Hofmans4 maart 2020 11:37
Dat gaat om wetenschappelijk onderzoek. Het idee was, zo gaat het meestal, waarschijnlijk om de data thuis om te zetten in een formaat geschikt voor statistische analysesoftware zoals R of SPSS. Omdat installatierechten vaak ontbreken op bedrijfspc's worden dat soort dingen wel thuis gedaan. Ook omdat je dan wat makkelijker je even een paar uur ongestoord erop kunt gooien, met een groot beeldscherm etc.

Niet verdedigbaar, in 2020. Dit had overlegd moeten worden met de betreffende personen (datamamagers oid) en de data had volledig geanonimiseerd verplaatst moeten worden.

Het laat zien dat academisch werken niet zo best in ziekenhuizen is geïntegreerd, en dat er veel gewoontedenken heerst.
Qlusivenl
@Tijs Hofmans4 maart 2020 10:09
@Maxilla gaf het ook aan inderdaad. De intentie is goed, maar de actie is heel naief.

Het betekend dat de persoon in kwestie de data wilde analyseren om te kijken of de behandelingen effectief zijn geweest en waarschijnlijk dat ze daarop een conclusie kunnen trekken om werkwijze aan te passen of juist te behouden.

Dat verhaal is natuurlijk verder niet zo interessant voor Tweakers, maar denk dat dat zinnetje nog wel in het artikel had gemogen, om wat inzicht te hebben in wat de beweegredenen zijn geweest om het op ene USB stick te zetten.
Fidesnl
@Tijs Hofmans4 maart 2020 12:33
Klinkt als opslaan om later aan een afstudeerder / stagiaire te geven om te analyseren.
Ik heb namelijk zelf ook op deze manier gewerkt als stagiaire, dan kreeg ik alle noodzakelijke gegevens zo aangeleverd. Dit was veiliger want ik hoefde niet toegang te krijgen tot alle systemen.
Maxilla
@Qlusivenl4 maart 2020 09:56
Volgens de website van het ziekenhuis, was de intentie van de betrokken persoon dit:
"De gegevens waren volgens de betrokkene op de USB-stick gezet met het doel om de effectiviteit van de behandeling later te kunnen analyseren."
Het doel mag dan positief bedoeld zijn, maar intentie terzijde, dit is niet correct natuurlijk.
Qlusivenl
@Maxilla4 maart 2020 10:01
Precies! De intentie zal goed zijn, maar de manier is gewoon belachelijk. Je moet wel echt heel weinig begrijpen van de gevoeligheid van informatie (zeker van een ziekenhuis) wil je dit doen. Zeker nu continu in het nieuws het ene lek na het andere aan bod komt. Dan moet je echt jezelf hebben afgesloten van TV en internet wil je dit niet hebben meegekregen.
"De gegevens waren volgens de betrokkene op de USB-stick gezet met het doel om de effectiviteit van de behandeling later te kunnen analyseren."
Want dit kan niet op de servers/PC's van het ziekenhuis? Of thuiswerken door remote in te loggen? Moet het ziekenhuis het natuurlijk wel beschikbaar stellen en voorlichten. We weten niet in hoevere dat gebeurd.
Znorkus
@Qlusivenl4 maart 2020 11:38
Waarschijnlijk zijn die mogelijkheden er niet.
Christoxz
@Qlusivenl4 maart 2020 09:50
Wat zou uberhaubt de reden zijn om patient gegevens op een USB-stick te zetten? Deze gegevens staan toch op de servers van het ziekenhuis, mag ik hopen? Het op een USB stick zetten is dus hoe dan ook overbodig.
Ja en wat moet je met gegevens van 2014 & 2017? (Tuurlijk, historie bij lang lopende problemen, maar dan is het niet gexporteerd nodig.
Het gaat om gegevens van tussen 2014 en 2017.
Ik mag hopen dattie dit niet zomaar heeft gedaan. Zomaar USB Sticks die je vind in je PC stoppen is vragen om problemen.
Waarschijnlijk wel. Grote deel van de mensen kennen die gevaren niet, of althans staan er niet direct bij stil.

Tevens ligt het ziekenhuis naast een hoge school dus is waarschijnlijk allemaal zeer goed bedoeld. en dat blijkt ook.
De gegevens stonden op een usb-stick die een medewerker is kwijtgeraakt op een parkeerterrein vlakbij de instelling
Zomaar dingen downloaden is ook vragen om problemen, en word nog genoeg gedaan. De algemene IT kennis is gewoon laag.

[Reactie gewijzigd door Christoxz op 4 maart 2020 09:53]

Zynth
4 maart 2020 09:44
Het is toch wel ernstig gesteld als je je bedrijfsprotocol moet aanscherpen omdat je werknemers de wet niet kennen.
Verder apart dat de Raad van Bestuur van het ziekenhuis precies weet dat het niet mag, maar ze dat blijkbaar dus niet duidelijk in hun protocol hadden staan. Anders heeft aanscherpen immers geen zin.
Stoelpoot
@Zynth4 maart 2020 09:53
Aan elk verhaal zet een keerzijde. Ik vraag me bij dit soort zaken af waarom de werknemer die gegevens op een USB-stick zette, en waarom dit niet mogelijk was binnen de bestaande protocollen en systemen. Vanuit die kant is het voor een werknemer wellicht vreemd dat hij dit niet mag doen, terwijl dit wel nodig is om diens taken uit te voeren.
jpsch
@Stoelpoot4 maart 2020 09:59
Hoe meer protocollen, hoe groter de kans dat ze niet nageleefd worden of iedereen zijn eigen interpretatie eraan geeft.
Stoelpoot
@jpsch4 maart 2020 11:10
Dat klopt, echter is het meest voor de hand liggende doel van transport via USB-stick het vervoeren van gegevens tussen verschillende systemen. Dus rijst de vraag: Waarom was de basisfunctie van samenwerking tussen systemen niet aanwezig of bekend bij de medewerker? Ging het om een systeem wat geen toegang had tot de patientgegevens? Was de functie niet bekend bij de medewerker, en heeft de medewerker deze informatie verstrekt gekregen? Heeft de functie een probleem waardoor het in deze situatie niet toereikend was?

Gegevens delen is een vereiste binnen ziekenhuizen, dus als dit fout gaat is een intern onderzoek naar de achterliggende reden van de handelswijze van de medewerker niet overbodig.
jpsch
@Stoelpoot4 maart 2020 11:15
Verschillende systemen? Wat ik begrijp werden deze gegevens gebruikt voor ad-hoc? analyse. Dat zal wel gewoon in Excel of SPSS gedaan zijn. Als je daar interfaces voor moet gaan bouwen, blijf je aan de gang.
Stoelpoot
@jpsch4 maart 2020 11:22
De interface kan in dit geval ook een manier zijn om binnen het bedrijfsdomein, aan geautoriseerde gebruikers, de bestanden te delen. De bestanden op de USB-stick waren al geschikt voor de analysetool, dus er is al een interface om deze bestanden op te stellen. Wat mist is een interface om de bestanden te transporteren naar het analysesysteem. Dit kan prima via een beveiligde netwerkschijf of een intern berichtensysteem. Echter om dit via USB-stick te doen is niet de juiste manier omdat dit zaken mist als toegangsbeheer en toegangslogging, wat in de medische wereld erg belangrijk is.
Fraaank
@jpsch4 maart 2020 11:21
Wij dwingen hier af dat je geen bestanden kunt wegschrijven naar een USB-stick zonder dat Bitlocker eerst wordt aangezet.
CivLord
@jpsch5 maart 2020 07:46
Hoe meer protocollen des te groter de kans is dat er een situatie ontstaat die bepaalde werkzaamheden hinderen of onmogelijk maken, en een praktische oplossing afdwingt die één of meerdere protocollen schendt.
Kiswum
@Stoelpoot4 maart 2020 11:36
Ik denk dat de persoon in kwestie geen rechten heeft gekregen om vanuit thuis in te mogen loggen, anders snap ik niet dat de gegevens niet in het zorgsysteem konden blijven staan.

(P.s. Ik werk niet in dit ziekenhuis)
Stoelpoot
@Kiswum4 maart 2020 11:57
Zelfs dat is nog niet de kern van het probleem.

- Waarom wilde de medewerker thuis werken?
- Wie heeft de medewerker toestemming gegeven thuis te werken als dat niet toegestaan was?
- Als dat wel was toegestaan, waarom had de werknemer daar geen rechten voor?

Op deze manier kan een ogenschijnlijke gebruikersfout ook een organisatiefout onthullen.
BlackMage
@Zynth4 maart 2020 11:12
Een aanscherping van het beleid kan bijvoorbeeld ook zijn dat (gewone) USB-sticks helemaal niet meer gebruikt mogen worden.

Ik werk in een vergelijkbare setting en wij ontmoedigen het gebruik van gewone USB sticks, maar laten het wel toe. Ons beleid is natuurlijk dat er geen patientgegevens mogen worden opgeslagen op externe media behalve wanneer noodzakelijk, en dan absoluut op een beveiligde USB stick. Maar er is niks dat voorkomt dat iemand zich er niet aan houdt.
jpsch
@BlackMage4 maart 2020 11:16
Inderdaad, alleen bekende USB sticks en versleuteld. Zo ken ik 't ook uit de praktijk.
PcDealer
@BlackMage4 maart 2020 22:49
De aanscherping kan zijn dat gebruik op straffe van ontslag staat. Daarmee is niet gezegd dat dit stand houdt in de rechtszaal omdat ook de persoonlijke omstandigheden zoals werkverleden bij die werkgever wordt meegerekend en eerdere waarschuwingen.
CAPSLOCK2000
@Zynth4 maart 2020 13:11
Het is toch wel ernstig gesteld als je je bedrijfsprotocol moet aanscherpen omdat je werknemers de wet niet kennen.
Verder apart dat de Raad van Bestuur van het ziekenhuis precies weet dat het niet mag, maar ze dat blijkbaar dus niet duidelijk in hun protocol hadden staan. Anders heeft aanscherpen immers geen zin.
De wet kennen is volgens mij ondergeschikt in deze zaak. In mijn ervaring weten mensen vaak wel dat ze iets doen dat eigenlijk niet mag, maar ze hebben geen realistisch alternatief.

Ze moeten kiezen tussen "morgen is mijn deadline en anders wordt de baas boos" en "ik zit de hele avond met beveiligingsprotocollen te vechten die ik eigenlijk niet snap" en "heel misschien krijg ik ooit een waarschuwing van een of andere IT'er die m'n baas toch niet serieus neemt". Dat het echt mis gaat neemt vrijwel niemand mee in z'n overwegingen.

Mensen kiezen heel pragmatisch voor de weg van de minste weerstand op korte termijn. Voor sociale wezens zoals wij betekent dit dat je de mensen om je heen zo goed mogelijk probeert te helpen en dat belangrijker vind dan papieren regeltjes van een vreemde.
Cid Highwind
@Marcel Br4 maart 2020 10:56
Onder welke steen heb je geleefd als je de afgelopen jaren niks over de AVG hebt meegekregen en de afgelopen twee decennia geen enkele keer een bericht hebt meegekregen over de risico's van gevoelige informatie op USB sticks?

Er is gisteren een bericht voorbijgekomen over de tennisbond die een boete kreeg vanwege het bewust overtreden van de regels, maar een dergelijke onwetendheid hier zou ook een flinke boete op moeten staan. Of nog beter: Een dwangsom indien niet direct technische maatregelen en trainingen worden ondernomen om hoe zulke incidenten te voorkomen.
Mizgala28
4 maart 2020 09:44
Je merkt ook eigenlijk dat hoe gemakkelijker alles wordt door middel van technologie, hoe lakser men ermee omgaat.

Ik zie dit eigenlijk nooit veranderen, dat maakt het misschien alleen maar erger (want totale gebrek aan vertrouwen van mijn kant)
psychodude
@Mizgala284 maart 2020 10:13
Het probleem is vaak juist omgekeerd. Het is niet het gemak van de technologie in dit soort gevallen, maar juist de geleverde obstakels die ertoe zorgen dat dit dusdanig onveilig gebeurd.

In de afgelopen twee decennia heb ik op het gebied van medisch wetenschappelijk onderzoek veel mogelijke veranderingen zien plaatsvinden op het gebied van data opslag mogelijkheden, benaderbaarheid van data en bereidwillendheid van IT personeel om onderzoekers te faciliteren.

En juist op locaties waar de technologie meegroeit, verbeterd de veiligheid. Een jaar of 15 geleden waren USB sticks vrij gewoon om te gebruiken. Zelfs binnen ziekenhuizen waren netwerken veelal gescheiden tussen bijv. de opleidingssystemen binnen de medische bibliotheek, ziekenhuis zelf, laboratoria. Onderlinge data uitwisseling zonder externe drager was gewoonweg onmogelijk gemaakt. Dus je moest wel. Hier is binnen meerdere centra gelukkig verandering ingekomen.

Een tweede issue was lokatie van werkzaamheden. Thuiswerken mag, maar data access? Tsja, dat was een dingetje. USB sticks en mail werden aanvankelijk veel gebruikt. Gezien de risico's op verlies van USB sticks en beperkte bijlage capaciteit van e-mail werder alternatieven actief gezocht door onderzoekers. Dropbox, onedrive en soortgelijke zijn jarenlang veelvuldig gebruikt omdat vanuit ziekenhuizen weinig gehoor werd gegeven aan de wens tot anders.

Uiteindelijk is gelukkig ook in de betere centra hier verandering ingekomen. En zie je dat er vaker sprake is van eigen toegankelijke opslag. Maar vaak nog verre van ideaal.

Waar een noodzaak toe bestaat als medisch wetenschappelijk onderzoeker is:
- Data beschikbaarheid binnen een veilige cloud omgeving, bij voorkeur benaderbaar zowel mobiel als op desktop environment.
- Mogelijkheid om adequate statistische software en analyse software anderszins te laten installeren, dan wel zelfstandig te kunnen installeren binnen een sandbox omgeving.
- Access tot gelijkwaardige werkomgeving thuis en op de werklokatie. Geen uitgeklede Citrix varianten waarbij zelfs SPSS toegang verdwenen is.

Zodra je thuis simpelweg net zo eenvoudig als op het werk je onderzoek voort kan zetten, ben je binnen no-time al dit soort zinloze datalekken kwijt.
Znorkus
@psychodude4 maart 2020 11:45
Zo is het! En wat was het een ramp inderdaad, vijf jaar terug. Psychiaters die het moederbestand even willen hebben, of dat even op dropbox gezet kan worden. Diagnostische verslagen die in de trein naar huis nagekeken worden. Medische dossiers die uit een printer komen rollen die naast de wachtkamer voor klanten in een nisje staat.

Het had alles te maken met een cultuur van aanbodgerichtheid. Wij zijn hier de dokters, dit is ons ziekenhuis, en de patiënten moeten onze regels volgen. Our house, our rules. Wij zijn de baas, wij vertellen hoe het gaat. Geen zin om mee te doen aan wetenschappelijk onderzoek en een experimentele behandeling te krijgen? Sorry maar zo gaat dat hier nu eenmaal, bel de cliënt nog maar eens op om te vertellen dat dit de werkwijze is, want anders leren we er nooit wat bij.

Het is dit gebrek aan natuurlijk aanwezig respect en besef van gelijkwaardigheid dat ten grondslag ligt aan datalekken. Niet zozeer de onwetendheid.
sys64738
@Mizgala284 maart 2020 09:51
Vaak zie je het omgekeerde juist: hoe lastiger je het je medewerkers maakt, hoe vindrijker ze worden. En dan krijg je dit soort dingen.

Medewerkers zouden dit niet eens moeten kunnen. Maar ook helemaal niet moeten willen. Als er een goede manier is om deze gegevens beschikbaar te maken voor alle mensen die het nodig hebben, hoeft er geen (onversleutelde!) data op een USB stick vervoerd te worden.
wvoet
4 maart 2020 09:47
"De usb-stick werd gevonden door een voorbijganger, die de stick thuis in zijn computer stopte". Ook lekker dan. Heeft hij/zij geluk gehad dat er geen virus op stond.
telenut
@wvoet4 maart 2020 09:52
Had hij dit niet gedaan zou dit gewoon in de doofpot gestopt worden...
h0us3cat
@wvoet4 maart 2020 09:58
Weten we pas met zekerheid als incubatie tijd voorbij is.
Peekster
@wvoet4 maart 2020 09:53
Virus op een usb-stick van een ziekenhuis.

Ik moest even glimlachen. Bedankt
AuteurTijs Hofmans
@Peekster4 maart 2020 09:59
En de voorzitter van de RvB van het ziekenhuis heet Arts.
jeroen79
@Tijs Hofmans4 maart 2020 11:08
En als ze nou wat langer had gestudeerd zelfs nog doctor Arts.
jpsch
@Peekster4 maart 2020 10:02
Goed je handen wassen.
wvoet
@Peekster4 maart 2020 10:05
Haha ik was zelf nog niet eens wakker genoeg om deze te realiseren :D thanks!
En nu meer koffie :)
Emin3m
@wvoet4 maart 2020 10:01
Misschien was het wel in een Tails/Qubes omgeving op zijn PC, weet jij veel.
glatuin
4 maart 2020 09:44
De medewerker had het niet mogen doen. Een beetje wet van Murphy dingetje. Er zijn zat tools die voorkomen dat een medewerker dit kan doen. Schuld afschuiven op medewerker terwijl management verantwoordelijk is. Maar goed dat komt helaas veel te vaak voor.
johnydoe
@glatuin4 maart 2020 09:53
Ik zie zeker een rol hierin voor het management, maar de eigen verantwoordelijkheid en professioneel gedrag van de medewerker is hierbij wat mij betreft ook belangrijk hoor. Het is te gemakkelijk om de "schuld" op het management af te schuiven, die medewerker had ook gewoon zelf na kunnen gaan dat het misschien niet zo handig is om die gegevens op een USB stick te zetten en mee te nemen.
glatuin
@johnydoe4 maart 2020 09:54
Mee eens, maar als iemand schuld heeft dan is het te laat. Je moet ten alle tijden voorkomen dat zoiets kan gebeuren. Het komt veel te vaak voor!
Jerie
@johnydoe4 maart 2020 10:01
Ik ben het eens met @glatuin dat management en IT hier steken hebben laten vallen. Je kunt USB poorten ook uitschakelen, of een white list gebruiken van USB IDs (evt met een mogelijkheid om IT te bellen om iets te whitelisten indien nodig maar dan gaat er ook een belletje rinkelen en is er logging). Tuurlijk, dat is net zoiets als filteren op MAC (een kwaadwillede walst er zo overheen) maar het voorkomt wanneer er geen opzet in het spel is e.e.a. Een andere mogelijkheid is alleen versleutelde USB sticks gebruiken. Of allebei.

[Reactie gewijzigd door Jerie op 4 maart 2020 10:01]

Brainy1978
@johnydoe4 maart 2020 10:41
Medewerkers inclusief het management trainen op bewustwording. Daar ligt denk ik de sleutel.
Je zet dit soort gegevens niet op een USB stick om die vervolgens mee naar huis te nemen. Wat de reden ook is. Dit is ten aller tijde vragen om problemen. En laten we het nog maar niet eens hebben over de AVG.

Je kunt vanuit de IT van alles doen om de systemen veiliger en fool proof te maken, maar wanneer de gebruikers van de IT er niet veilig mee om kunnen gaan dan blijft het dweilen met de kraan open.

Dropbox en dergelijke werden al aangehaald.. we hebben het hier over patiënten gegevens. Uiterst gevoelige informatie dus. Die gegevens horen alleen maar binnen het eigen netwerk van de zorgverleners beschikbaar te zijn en dan alleen maar voor de mensen die mogen en weten hoe ze daar mee om moeten gaan. Hier dient een actieve controle op te zijn om te voorkomen dat er verkeerd / misbruik van gemaakt word. Weet iemand bijvoorbeeld de "Barbie" affaire nog?

Bewustwording en training daar ligt de sleutel.
QuintMidas
@Brainy19784 maart 2020 11:01
Bewustwording en training daar ligt de sleutel.
Je kunt trainen en bewust worden wat je wil, zo lang je met mensen te maken hebt, zullen ze altijd de weg van de minste weerstand bewandelen en dus bij tijd en wijle dingen doen die volgens de wet strikt genomen niet mogen (of op zijn minst worden afgeraden).

Bovendien geldt (helaas) dat ook IT- en securityafdelingen zelf af en toe niet goed weten wat wel en niet mag. Simpel voorbeeld: ik ben zelf werkzaam bij een IT-bedrijf dat (op locatie) diensten levert in de zorg. Pas geleden nog heb ik een verplichte(!) privacytraining gehad. Daar werd door verscheidene collega's naar voren gebracht dat verschillende ziekenhuizen voor toegang in het ziekenhuis en/of systemen gegevens wilden weten die absoluut niet ter zake doen (o.m. burgerlijke staat en privé adres van de medewerker in kwestie). En nadat ze daarop zijn aangesproken nog steeds toegang weigeren zo lang deze gegevens niet worden aangeleverd. Dan kun je trainen wat je wil, maar dan gaan mensen andere "creatieve" oplossingen zoeken, hoe onterecht, onverstandig en/of verboden dat ook mag zijn.
Brainy1978
@QuintMidas4 maart 2020 11:08
Ben het met je eens.
En ja er zal altijd wel iemand zijn die het verprutst. Toch verbaast het me hoe onverschillig mensen soms doen als je ze er op aanspreekt. Veel gehoorde reactie is dan in de strekking van .. Dat moet toch wel kunnen in 2020..

Toch denk ik dat er veel meer aandacht voor moet zijn. Door trainingen .. bewustwording en uiteraard hoort daar bij dat mensen gecontroleerd en aangesproken worden als ze iets niet goed doen.

Helaas deel ik wel je conclusie alleen geen of beperkt aandacht hiervoor is natuurlijk ook niet bevorderlijk.
Croga
@glatuin4 maart 2020 10:50
En juist die tools die er voor zorgen dat een mederwerker dit niet kán doen zorgen er voor dat het gebeurt.

In de meeste gevallen wordt veiligheid verzorgt door barrieres op te werpen. Barrieres die er voor zorgen dat mensen hun werk niet meer op een normale manier kunnen doen. En dus gaat men wegen om die barrieres heen zoeken en gegarandeert ook vinden.

Wat men beter kan doen is het zo eenvoudig mogelijk maken om dit op een veilige manier te doen. Barrieres voor onveiligheid opwerpen zorgt voor problemen. Barrieres voor veilig werken wegnemen zorgt er voor dat veilig werken de norm wordt.

Maar je hebt gelijk wat management betreft. Het systeem is het probleem, niet de persoon. En het systeem kan alleen door management verandert worden.
Blokker_1999
@glatuin4 maart 2020 10:56
Maar dat is ook niet altijd een goed idee. Bij ons heeft men het geëvalueerd en heeft men uiteindelijk afgezien van verplichting om USB sticks te versleutelen of het onmogelijk maken om data op een stick te zetten. Daarvoor moet er te veel data uitgewisseld worden. Soms ook gewoon tijdens een vergadering met clienten. En dan is zo een stick ineens verdomd handig.

Er wordt hier veel tijd geïnvesteerd om de gebruikers op hun verplichtingen te wijzen met betrekking tot het veilig omgaan met data. En hoewel ik mensen nog altijd zie zondigen zijn technische beperkingen invoeren gewoon praktisch niet haalbaar.
TheMandroid
4 maart 2020 09:50
Ik vraag me af in hoeverre de ICT hier schuldig aan is. Een klein voorbeeld: hoe meer eisen je aan een wachtwoord stelt, hoe groter de de kans dat óf overal hetzelfde wachtwoord gebruikt óf het wachtwoord op een briefje bij de computer wordt gelegd. Waardoor een wachtwoord met alleen maar kleine letters veiliger is dan een uitgebreid wachtwoord.

Is het ICT systeem zo onwerkbaar dat het nodig geacht wordt om de gegevens op een USB-stick te zetten? Door omslachtige beveiliging of gewoon niet gebruiksvriendelijke software? Een systeem bedacht door managers, voor werknemers? Oftewel: geen oog gehad voor de eindgebruiker?

Mensen zetten niet zomaar iets op een USB-stick, omdat ze zich vervelen.

[Reactie gewijzigd door TheMandroid op 4 maart 2020 09:53]

Moi_in_actie
@TheMandroid4 maart 2020 10:11
Dat is inderdaad de vraag: waarom zet een medewerker gegevens op een USB stick? Is de werkdruk zo hoog dat men thuis, buiten werktijd, nog veel zaken moet doen? Zijn er geen/slechte voorzieningen voor thuiswerken, waardoor men "gedwongen" wordt om zaken op een USB stick mee te nemen? En als alle bovenstaande vragen met "ja" beantwoord worden, waarom zijn er dan geen voorzieningen/eisen dat data alleen encrypted op een USB stick gezet mag worden? Dit alles nog los van vragen over waarom een medewerker het uberhaupt wenselijk vindt om deze zaken te doen (hier kunnen best valide redenen voor zijn). In de media schrijft men vaak, en mensen suggereren meestal direct, dat de betrokken persoon gegevens "mee naar huis" wilde nemen, maar dat hoeft niet het geval te zijn. Genoeg artsen en ander personeel in de zorg werken op meerdere locaties (chirurg die bij meerdere ziekenhuizen opereert, huisarts die een weekend per maand in de huisartsenpost van het ziekenhuis gestationeerd is, verplegend personeel die mensen thuis helpt). In zo'n gevallen kan ik mij goed voorstellen dat je niet op je gebruikelijke werk-netwerk ingelogd kunt zijn en je toch, op de een of andere manier, wat gegevens ter beschikking wilt hebben.

Stel de noodzaak is om gegevens mee naar huis of mee naar een andere locatie te nemen, waarom dan op een standaard USB stick? USB sticks en externe HDD's kunnen met wat software encrypted worden. Dat wil niet garanderen dat de data nooit door kwaadwillenden in te zien is, maar vangt wel al 99.9% van de gevallen af (de gemiddelde persoon die een verloren USB stick op straat vindt). Daarnaast kan men er ook voor kiezen om een laptop van het werk mee te nemen, met soortgelijkige beveilingsmaatregelen. Beter is natuurlijk om helemaal fysiek niets mee naar buiten te nemen en te zorgen dat er een goede, veilige thuiswerkomgeving ingericht is.

[Reactie gewijzigd door Moi_in_actie op 4 maart 2020 10:13]

psychodude
@TheMandroid4 maart 2020 10:26
In veel ziekenhuizen zijn de IT systemen simpelweg niet toereikbaar voor wat je als onderzoeker verlangd. Waar een noodzaak toe bestaat als medisch wetenschappelijk onderzoeker is:
- Data beschikbaarheid binnen een veilige cloud omgeving, bij voorkeur benaderbaar zowel mobiel als op desktop environment.
- Mogelijkheid om adequate statistische software en analyse software anderszins te laten installeren, dan wel zelfstandig te kunnen installeren binnen een sandbox omgeving.
- Access tot gelijkwaardige werkomgeving thuis en op de werklokatie. Geen uitgeklede Citrix varianten waarbij zelfs SPSS toegang verdwenen is.

IT afdelingen binnen ziekenhuizen voelen veelal echter totaal geen motivatie om zich pro-actief in te stellen om dit soort veranderingen teweeg te brengen. Het zijn verlangens die uit de onderzoekers moeten blijven komen, via eindeloze omwegen om voor elkaar te spelen. Want zodra je de gemiddelde IT afdeling vraagt om een software pakket voor jou te installeren, dan is de deur vaak dicht of gaat er echt maanden overheen.

Beveiligde cloud access binnen het centrum waar ik mijn promotie onderzoek heb gedaan? Dat heeft ruim 5 jaar na de eerste vraag vanuit onderzoekers op zich laten wachten.

Die vraag had niet eens vanuit de onderzoekers moeten komen. IT medewerkers dienen hierin degene te zijn met de expertise, zij dienen degene te zijn die de nieuwe veiligere opties implementeren en de onderzoekers hierover informeren.

Er wordt bij dit soort problemen al vaak gewezen naar de medici, maar eerlijk is eerlijk, de IT binnen vele ziekenhuizen is gewoon slecht tot vrijwel niet mee te werken op dit soort terreinen.
Snoz Lombardo
4 maart 2020 10:16
Ik heb laatst beelden van mijn videodeurbel overgedragen aan de politie vanwege een onderzoek. Agent kwam met een geëncrypte usb stick bij mij thuis maar de pincode had ie op een briefje in hetzelfde mapje zitten.

Het gaat op zoveel plekken nog mis met dit soort dingen.
hhoekstra
@Snoz Lombardo4 maart 2020 10:22
Maar als hij de stick verliest en niet het briefje dan heeft de vinder er niks aan :-)

Optie is om bitlocker te forceren wanneer je data wilt schrijven op een stick. Helemaal blokkeren is niet altijd een optie.
OxWax
@hhoekstra4 maart 2020 14:01
Maar als hij de stick verliest en niet het briefje dan heeft de vinder er niks aan :-)

Optie is om bitlocker te forceren wanneer je data wilt schrijven op een stick. Helemaal blokkeren is niet altijd een optie.
Dat wordt hen geleerd in de politieschool?
1 2 3 4

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee