Anonieme melder waarschuwt Máxima Medisch Centrum voor datalek patiëntengegevens

Het Máxima Medisch Centrum in Veldhoven en Eindhoven is door een anonieme melder geïnformeerd over een datalek van patiëntgegevens. De melder zegt dat hij of zij een overzicht van patiëntgegevens in handen heeft van een kleine groep patiënten.

Het gaat om vertrouwelijke gegevens van patiënten die een periode op een afdeling van het ziekenhuis hebben gelegen. Het is volgens het ziekenhuis nog niet duidelijk hoe de melder de informatie in handen heeft gekregen, en of er bijvoorbeeld een lek zit in de computersystemen van het ziekenhuis. Het ziekenhuis beschouwt de situatie wel als een datalek. Het zegt niet welke gegevens van de patiënten gelekt zijn.

Het ziekenhuis heeft de patiënten op de hoogte gebracht van het lekken van hun gegevens. Ook is er een melding gedaan bij de Autoriteit Persoonsgegevens en bij de Inspectie Gezondheidszorg en Jeugd. Ook heeft het een intern onderzoek ingesteld naar het datalek.

In augustus lekten er accountgegevens van het Radboudumc in Nijmegen. Die gegevens bleken toen gelekt via een voormalig medewerker van het ziekenhuis die bestanden uit een researchomgeving, waar onder meer inloggegevens, telefoonnummers en mailadressen van medewerkers en partnerorganisaties in stonden, op GitHub had geplaatst. Ook bleek er vertrouwelijke informatie uit de IT-omgeving van het ziekenhuis in te vinden.

Door Stephan Vegelien

Redacteur

01-01-2022 • 09:15

66 Linkedin

Submitter: Tompouce

Reacties (66)

66
66
28
4
0
28
Wijzig sortering
In augustus lekten er gegevens van patiënten van het Radboudumc in Nijmegen
Het datalek bij RadboudUMC bevatte geen patiënten informatie, zoals ook in het artikel wordt vermeld.
Klinkt als dat er een van de vele lijstjes die gemaakt wordt als overzicht van wie op de afdeling ligt om zo makkelijk de visite te lopen ergens is blijven liggen. En niet zozeer dat het ICT systeem een bug of ingang heeft.
Ja of iets van een laptop gejat, welke verhandeld is. Zelf was ik hier ooit het ‘slachtoffer’ van: https://www.parool.nl/nie...en-uit-het-olvg~bceb3a42/
Dat is op te lossen door laptops standaard te voorzien van encryptie. Dat is niet zo ingewikkeld.
Het wordt opgelost door alle data via het netwerk te verslepen zodat niets op de laptop staat.
Noodlaptops in ziekenhuizen zijn juist bedoeld als het netwerk of het ZIS uitvalt, dus dat lijkt me niet echt een handige aanpak. Men vertrouwt hier meer op fysieke beveiliging (afgesloten kast in een afgesloten ruimte).
Leuk, totdat je het wachtwoord met een post-it op de laptop hebt geplakt. Zoals in het OLVG..
Daarvoor heb je MFA. Dan heb niet veel aan een login en paswoord alleen.

Ook moeten bedrijven eens aanleren dat zodra iemand melding doet van vermissing door bijv diefstal of vergeten in dat Lunch zaakje verderop. Dat ze de remote data vernietiging modus aan zetten. En wanneer de laptop toch niet weg blijkt. Zet je de laatste backup terug.

[Reactie gewijzigd door xbeam op 1 januari 2022 20:41]

Ging niet om een laptop van een medewerker, maar 1 op de afdeling radiologie. Welke regelmatig wordt gebruikt in geval van spoed, en men dan dus geen gedoe wilde... was wat mij werd verteld (ik lag er indertijd nog).
Daar helpt MFA toch tegen? Eigenlijk zou je willen dat personeel via MFA op de computers inlogt en dat bijv alleen de dienst doende SEH-arts zonder toestemming bij levens belangrijke gegevens kan zoals bloedgroep en gevaarlijke allergie voor medicijnen enz.

En voor alle andere inzagen moet de patiënt bijv via push notificaties in de ziekenhuis app toestemming geven of mederweker /arts X zijn aangevraagde gegevens 1keer mag inzien.

Zo voorkom je ook dat mensen gaan zitten bladeren. (Of dat je vrouw vroeger tijdens haar CO schap heeft gecheckt of dat grote litteken echt een onschuldig ongeluk was en geen schotwond en jij of je familie misschien als psychopaat bij de PAAS afdeling bekend is :-)

Nu 15 jaar later je kan daarom lachen maar heel netjes is dat niet de Stagiair door alle klant/persoon gegevens van een ziekenhuis kan bladeren.

[Reactie gewijzigd door xbeam op 1 januari 2022 20:45]

De theorie is helemaal correct. Maar in de praktijk, en zeker onder kritische omstandigheden werkt het niet. Zo zijn er sowieso meer artsen aanwezig op de SEH. Verder moet iedereen uitloggen zodra hij/zij de werkplek verlaat. Dat zal ook niet altijs gebeuren als er een patiënt met ernstige klachten binnen komt. Je moet uiteindelijk altijd een evenwicht zien te vinden. Vanuit IT security niet perfect maar vanuit werk ook niet.
Wie een beetje brutaal is kan op de SEH vrij gemakkelijk een ander in laten loggen. Trek iets aan wat op de ziekenhuiskleding lijkt en zeg dat je nieuw bent en nog geen toegang hebt tot het systeem. Met de huidige personeelstekorten en doorstroom is dat zelfs heel normaal. Daarna kan je zo je usb-stick volladen.

Inloggen kost tijd en in de haast gaat het sneller verkeerd en kost het nog meer tijd. Ik ben niet voor het gebruik van biometrische gegevens, maar juist de SEH lijkt mij een uitzondering waar een vingerafdruk een snelle inlog kan garanderen. Er is dan ook geen rede om een computer onbeheerd en ingelogd achter te laten. Even inloggen voor een ander moet gewoon "not done" zijn.
Nogal wat aannames. Het is echt nergens toegestaan te werken als je nog geen eigen inlog hebt. Je kan dan gewoon geen dossier bijhouden onder je eigen naam.

We loggen tegenwoordig gewoon in met een personeelspas. Niks vingerafdruk en kost drie seconden.

En USB toegang is bij al onze pc's uitgeschakeld. Daarnaast stel je dat je dingen kan downloaden maar die functie is er domweg niet. Privacy by design. Of je hebt er geen toegang toe als arts omdat je die functie gewoon niet nodig hebt.
Helaas geen aannames, maar grotendeels observaties. Het kopiëren naar een USB-stick is wel een eigen toevoeging.
Met de huidige personeelstekorten en het hoge ziekteverzuim komt het helaas redelijk vaak voor dat personeel van andere vestingen of instellingen met spoed moet worden ingeleend. In de grensstreek zijn dat niet zelden mensen van over de grens. Zeker voor Belgen is het interessant om in Nederland te werken, want in Nederland liggen de lonen voor verplegend personeel hoger. De ICT is helaas vaak onvoldoende bereikbaar of in staat om met spoed een nieuw account aan te maken. Zeker als dat buiten de normale werktijden is.

Inloggen met een pasje is een snelle oplossing, maar pasjes zijn gemakkelijk uit te lenen en daarmee nog steeds een veiligheidsrisico.
Windows Helo gebruiken zou een mooie oplossing zijn. Enige is dat met gedeelde computers men vaak onder hetzelfde account wil kunnen inloggen met meerdere personen. Dat kan Microsoft dan weer niet..
I know. Ik zeg toch eigenlijk zou je willen ;-)
Maar een Co-arts is geen arts maar een stagiaire die geneeskunde studeert en maar 8 weken ergens rond loopt en dan naar het volgende ziekenhuis gaat.

[Reactie gewijzigd door xbeam op 1 januari 2022 13:30]

Een coassistent is een arts in opleiding die onder supervisie gewoon patiënten behandeld, visite loopt etc...

Meestal twee jaar in één ziekenhuis met telkens iedere paar maanden een ander aandachtsgebied.

Autorisaties, rechten en plichten en dergelijke zijn uitgebreid vastgelegd

We hebben het hier over medische professionals. Geen goedwillende amateurs
Ik weet wat een coassistent is. En ja het klopt dat ze 2 jaar Co-schappen lopen om werkervaring op te te doen, maar dat zijn semesters van 8 weken les en 8 weken praktijk. Waar bij de ze voor de praktijk verdeeld worden over ziekenhuizen. Een coassistent loopt hierdoor elke 8 van de 16 weken onderwijs in steeds een ander ziekenhuis rond.

Het juist de uitzondering die 2 jaar lang in het het AMC ( dat is de enige plek waar dat kan ) coschappen loopt
We hebben het hier over medische professionals. Geen goedwillende amateurs
Nee, Het zijn geen professionals want ze zijn nog geen arts, het zijn studenten in de laatste 2 jaar van hun opleiding die buiten hun eigen onderwijs instellingen stage lopen. Net zo als iedere andere student tijden een willekeurige opleiding stage lopen en op de zelfde wijze ook geen goedwillende amateur is. Maar iemand die praktijk en werk ervaring komt opdoen.
https://students.uu.nl/gn...derwijs/stages-coschappen
In de Master Geneeskunde loop je verschillende coschappen waarover onder Studieprogramma meer informatie te vinden is. Daarnaast loop je in het Schakeljaar een Wetenschapsstage en Algemene Semi-arts Stage, en heb je in de verschillende keuzemodules de mogelijkheid aanvullende stages of coschappen te lopen (voor het stageaanbod zie de UMC Utrecht website).

[Reactie gewijzigd door xbeam op 1 januari 2022 22:11]

Ik leid al meer dan tien jaar coassistenten op. Al onze co's zijn en één of twee jaar in ons ziekenhuis. Ik heb geen idee waarom je specifiek aan het AMC refereert want vrijwel ieder ziekenhuis leidt coassistenten op.

Met de komst van het nieuwe curriculum heten ze junior of senior coassistent en uiteindelijk semi arts waarbij ze bij meestal een half jaar bij een afdeling naar keuze werken. Wat hij aan refereert is de afwisseling tussen college en kliniek. Vroeger deed je vier jaar theorie, dan was je drs. Dan twee jaar co schappen met afsluitend arts examen. Tegenwoordig beginnen ze al in het eerste of tweede jaar mee te lopen met toenemende bevoegdheden.
Nee bij geen enkele andere geneeskunde opleiding was je vroeger na 4 jaar drs dat was je pas na 6 jaar. En van alle opleiding was/is het AMC de enige opleiding waar je de laatste 2 jaar onafgebroken stage loopt.( de uitzondering op de regel)

Bij andere geneeskunde opleidingen had je gewoon 6 jaar lang blokken van 8 weken theorie met toets hebt en je de laatste 2jaar 8 weken theorie en 8 weken praktijk en een toetst maakt waarmee je het blok afsluit. Waarbij je de eerste 4 jaar onderwijs binnen het UMC volgt en de laatste 2 jaar in steeds in een andere zieken huizen na keuze van de student ( dat mag ook buitenland zijn ) go-assistent komen en gaan en horen in elk ziekenhuis een studenten login met zeer beperkte toegang te hebben (enkele de polie/specialisme waar ze komen mee kijken )

[Reactie gewijzigd door xbeam op 1 januari 2022 21:58]

Er zijn er wel meer maar het is ook een beetje de bedoeling over ziekenhuizen te rouleren en zeker niet alles academisch te doen
Windows toets + L
Nou nou wat een moeite zeg
Daar helpt MFA toch tegen? Eigenlijk zou willen dat personeel via MFA op de computers inlogt en dat bijv alleen de dienst doende SEH-arts zonder toestemming bij levens belangrijke gegevens kan zoals bloedgroep en gevaarlijke allergie voor medicijnen enz.
Dat helpt tegen datalekken maar niet tegen mensen die dood gaan.
De angst is steeds dat de artsen niet snel genoeg in de computer komen op het moment dat iedere seconde telt. Rationeel gezien kunnen we het er over hebben of dat terecht is, hoe lang het mag duren en hoeveel doden per jaar we over hebben voor betere privacy. Maar in praktijk snap ik heel goed dat artsen liever een datalek hebben dan een dode en dat iedere belemmering of beveiling gezien wordt als risico.
Inloggen kost mij drie seconden met mijn personeelspas. En op kritieke afdelingen staan dossiers gewoon open en is er altijd iemand bij.

Levensbedreigende situaties los je op met handelen. Niet met een pc. Tuurlijk heb je gegevens nodig maar de verpleegkundige kent de patiënt als wij erbij komen dus die inlog is echt geen risico factor van betekenis

[Reactie gewijzigd door gaskabouter op 1 januari 2022 18:45]

Hoe gaat MFA werken als het netwerk plat ligt of de GSM niet werkt? Schakel alles uit behalve je laptop, daar moet je mee werken in noodsituaties, je moet vrijwilligers van andere medische systemen toegang kunnen geven etc etc

Het is allemaal niet zo eenvoudig om centraal te regelen. Maar algemene veiligheid van de mensen is inderdaad heel erg laks, omdat de mens de gemakkelijkste weg vindt om iets te doen. Geen enkele technische oplossing bestaat hiervoor, je moet echt mensen opleiden om geen data op USB te zetten en laptops naar huis te brengen.
Omdat goed implementeerde mfa ook gewoon werkt waneer je netwerk down is.
Je hebt alleen een issue waneer medewerker nog nooit de pc heeft ingelogd maar dat lijkt me onwaarschijnlijk reëel probleem om dat wanneer een nieuwe medewerker zijn eerste dag tijdens een netwerk storing heeft hij toch nog ingewerkt moet worden en er niet alleen voor staat.
Ik bedoelde bij echte noodtoestanden, daar hebben we al bijna half een eeuw geen ervaring meer mee, maar stel dat het land onder water staat zoals in de jaren 70, geen stroom behalve noodstroom of batterijen, veel slachtoffers en bepaalde medische centra die volledige gesloten worden. Dan heb je een toestroom van patiënten maar ook van vrijwilligers van andere medische centra. Daarom dat ziekenhuizen altijd zo veel ruimte hebben in de hallen, om bedden bij te zetten.

En je kan inderdaad wel MFA inzetten die offline ook werkt (vb. met een app) maar het vertraagt de login toch enorm sterk en veel mensen weten zelfs niet dat die methodes beschikbaar zijn. Daarnaast ondersteunt niet alles MFA (of encryptie) - ik ken geen enkel systeem van oa Siemens of Philips in de medische zorg waar ze AD ondersteuning geven, alle logins zijn lokaal en zet je het toch aan vragen ze om het af te zetten als er een probleem met het systeem is (voor Siemens is het algemene login: meduser/meduser1 voor gebruiker of admin / serieel nummer voor een administratief login)

[Reactie gewijzigd door Guru Evi op 2 januari 2022 18:03]

Er zijn veel betere MFA oplossing dan AD. Deze zijn multi OS platform en werken. daarop ook gewoon met lokale profielen. Waardoor er helemaal geen AD koppeling nodig is. Je kan bijv ook een groep apparaten of computers toewijzen aan een groep bevoegde gebruikers.
Je zou dan bijv alle beademingsapparatuur standaard de zelfde login kunnen geven. Maar alleen de gecertificeerde gebruikers die lid zijn van de juiste MFA groep kunnen hem dan ontgrendelen (ook zonder netwerk) omdat groep met de persoonlijke (biomedische)token /hardware tokens (dongels/pasjes) op alleen beademingsapparaten op voorhand in de MFA applicatie verificatie app bekend zijn.

Maar bij een ramp worden ziekenhuis gelijk op de hoogte gebracht zodat ze zich kunnen voorbereiden voordat de eerste patiënt binnen komt. Hierdoor staan de computers dus al ingelogd klaar wanneer het eerste slachtoffer wordt binnen gereden. Wanneer EMP ramp plaats vindt en Dus helemaal geen (nood) stroom beschikbaar is. Lijkt mij MFA geen issue meer omdat er ook geen werkende computers en apparatuur meer is.

Daarnaast bieden veel MFA oplossing een Nood gebruiker dat is een speciale gebruiker/user die bij zonder netwerk verbinding zonder MFA lokale (alleen op de computer) kan inloggen. zo is dus altijd mogelijk apparatuur te beiden alleen is geen netwerk koppeling naar patiënt/bedrijf gegevens, maar deze was er toch al niet als het netwerk plat ligt :-)

[Reactie gewijzigd door xbeam op 2 januari 2022 18:56]

In ziekenhuizen is het vrij gebruikelijk laptops te hebben met alle actuele patienten van een afdeling. Die worden gebruikt als het Ziekenhuis Informatie Systeem uitvalt om toch de patienten te kunnen blijven behandelen. Een oplossing die verre van ideaal is (want die dingen zijn niet persoonsgebonden en ze worden wel eens gestolen), maar wel een die regelmatig ziekenhuizen uit de brand hebben geholpen.
Dat het technisch op te lossen is met MFA wil nog niet zeggen dat het de werkzaamheden van het verzorgend personeel goed ondersteunt. Ik zit zelf tussen business en It in bij een zorginstelling. Ik zie constant het spanningsveld tussen wat werkbaar is voor verzorgend personeel en wat veilig is volgens de IT-afdeling.
HD encryptie vindt al plaats voor het laden van het OS. Stel HD is niet encrypted maar er wordt wel MFA afgedwongen. Wat houd mij tegen om de HD er niet uit te slopen en in een computer te doen waar ik wel toegang to heb?
Je haalt wat dingen door elkaar. Mfa zorgt er voor dat personeel / onbevoegde niet in zomaar door de systemen kunnen bladeren. En wat encryptie betreft, ik mag hopen dat ziekenhuis en jij bij de installatie van Windows niet op nee klikt bij de vraag om bitlocker te gebruiken

Zie hier waar mfa tegen beschermt 4n hoe het bedrijfsmatig werkt
https://youtu.be/0x6FtOF2T5g

[Reactie gewijzigd door xbeam op 2 januari 2022 10:45]

Dat is toch precies wat ik zeg ;)
Klopt. Maar encryptie had het lek waar we op reageren niet tegen gehouden. Omdat encryptie namelijk in dit geval niet zo heel relevant was. Ook is het de encryptie die je zou tegen houden om de HDD in andere machine te stoppen maar locatie(ziekenhuis afdeling) zelf. Of ga bij de radiologie op je gemak een computer demonteren? :+ om de hdd te stelen om patiënten geven in te kunnen zien waneer deze al ingelogd voor je klaar staat om te printen?

De discussie gingen over of striktere MFA binnen ziekenhuizen haalbaar is zonder dat dit ten koste gaat van levens bedreigende zorg.

[Reactie gewijzigd door xbeam op 2 januari 2022 15:37]

Nee dan niet idd. Ik denk dat zulk gedrag vooral veroorzaakt wordt door het te vaak moeten wijzigen van wachtwoorden.
Encryptie kost geld, tenminste dat argument kreeg ik te horen op de vraag waarom niet alle laptops en usbsticks die collega's mee naar huis (moeten) nemen, standaard ge-encrypt zijn. Droevig.
Windows Proffessional heeft het gewoon standaard aan boord. Als men dat niet wil of kan gebruiken ziin er genoeg andere encryptie pakketten die gratis te gebruiken zijn, of maar een schijntje kosten. Als de prijs voor encryptie een probleem is voor een ziekenhuis is dat een teken dat men de veiligheid niet serieus neemt.
Windows Proffessional heeft het gewoon standaard aan boord. Als men dat niet wil of kan gebruiken ziin er genoeg andere encryptie pakketten die gratis te gebruiken zijn, of maar een schijntje kosten. Als de prijs voor encryptie een probleem is voor een ziekenhuis is dat een teken dat men de veiligheid niet serieus neemt.
Ik denk niet dat de prijs van de software het probleem is maar dat het gaat om de ondersteuning en dan met name extra mensen om het werk uit te voeren en problemen op te lossen.

Onderschat niet dat een versleutelde hardeschijf ook een risico op dataverlies met zich mee brengt. Een klein foutje of onhandigheidje kan betekenen dat je er nooit meer bij komt. Met een onversleutelde HD heb je veel meer kans dat er nog wat te redden valt.
Nu zou er wellicht nooit data op de lokale HD moeten staan en als dat wel zo is moet je er backups van maken. Maar in praktijk gaat dat helaas vaak anders. Mensen gaan naar een conferentie, nemen hun laptop mee en werken er dan twee weken op vanuit hun hotelkamer zonder dat er ooit een backup wordt gemaakt omdat ze niet in het coporate netwerk zitten, of zo iets.
maar dat het gaat om de ondersteuning en dan met name extra mensen om het werk uit te voeren en problemen op te lossen.
Valt best mee, encryptie is tegenwoordig aardig solide.
Onderschat niet dat een versleutelde hardeschijf ook een risico op dataverlies met zich mee brengt. Een klein foutje of onhandigheidje kan betekenen dat je er nooit meer bij komt.
Dat ligt dan voornamelijk aan de inrichting. Bitlocker kan bijvoorbeeld de recovery-sleutels in de AD opslaan, en gaat de schijven pas encrypten als dat ook gebeurd is. En met policies kun je afschermen dat een gebruiker zelf met bitlocker gaat knutselen.
De kans om niet meer bij de data te kunnen komen is dan erg klein, in mijn ervaring kleiner dan de kans op een defecte SSD, waardoor je ook niet meer bij de data komt.
Dat ligt dan voornamelijk aan de inrichting. Bitlocker kan ...
Dat klopt, maar die goede inrichting is nu juist waar je goede mensen voor nodig hebt en die kosten geld.
Ik ben het helemaal met je eens dat het best goed ingericht kan worden maar dat is niet gratis, zoals hierboven een beetje werd geimpliceerd. Dit is typisch software waarbij het niet genoeg is om de applicatie te kopen maar waar je ook moet zorgen voor een goede inrichting en bijhorende infrastructuur. Als je niet niks inricht en je personeel vertelt dat ze voortaan hun eigen schijf maar moeten gaan encrypten gaat het geheid een keer filnk fout.
Vraag je maar eens af waarom zo’n lijstje wordt gemaakt. De ICT in de zorg vreet nl energie en tijd en is tergend duur. Eerder had je een kar met de dossiermappen er in waarbij je de naam op de rug had staan. Met die kar loop je dan rond bij de visite en je weet altijd wie er ligt en hebt meteen toegang tot het dossier. Nu word je overspoeld met gegevens die je bij elkaar moet klikken met de muis. Je gaat dan zelf lijstjes bijhouden met gegevens die van belang zijn. Mooi bij elkaar. Extra werk maar het bespaart ook werk.
Mee eens hoor. Ik heb niets tegen die lijstjes. Maar dit is wel niet zonder risico’s natuurlijk (oude info, verlies lijstjes, etc).
Vind het wel zonde dat er altijd zoveel geld omgaat in de ICT maar dat het dan toch altijd zo uitgewerkt wordt dat het net niet lekker in de praktijk werkt. Daar is echt wel een verbeteringsslag in te maken.
Maarja, dan klopt er toch echt niet iets aan het systeem, want die kar met mappen methode is iets dat juist nu nog veel makkelijker kan, inclusief betere afscherming van wat de betreffende gebruiker wel/niet mag zien.
Maar ook in de periode met de dossierkar hadden we gewoon werklijstjes.
En nu ook. Deels uit gewoonte, deels omdat het gewoon handig is om een lijstje bij te hebben waar je 'ff' wat op kan schrijven. Het EPD dat wij hebben is echt wel efficient. Veel klikken valt echt wel mee. Maar je hebt simpelweg niet altijd een computer on wheels of wat dan ook bij de hand. En dan is een pen en papier toch wel fijn.
Dit inderdaad. Het is dan wel gelijk een notitie waar je gehele voorgeschiedenis op staat en precies vermeld staat waarom je in het ziekenhuis ligt en hoe je behandeld wordt.
Het klinkt inderdaad als een fout van één persoon. De mens is in veel gevallen toch de zwakste schakel in de beveiliging.
Als je door een ziekenhuis loopt kan je heel wat computers vinden die onbeheerd achtergelaten zijn, maar nog wel ingelogd staan. Mensen blijven het maar lastig vinden om steeds een wachtwoord in te moeten voeren, of zijn te lui om uit te loggen zodra ze even bij de computer weg moeten.
Vroeger heette zoiets een telefoonboek hier in België en kreeg iedereen die gratis aan de deur geleverd. Ok niet helemaal hetzelfde omdat het van een ziekenhuis komt maar ik heb de indruk dat men tegenwoordig bij het vastkrijgen van naam, adres en telefoonnummer al spreekt van een datalek en eigenlijk wat ben je ermee. Zoek op naam op 1207 en je vindt het ook allemaal.
Het gaat er ook om wat je ermee kan. Met een gedrukt telefoonboek kon je destijds niet zo heel veel en dus wat het ook niet nodig om er regelgeving voor op te stellen. Digitale adresbestanden zijn gevaarlijker om te lekken. Door bestanden te koppelen kun je hele profielen opzetten. Je kunt ook heel veel mensen gaan lastigvallen met reclame, nepmails of misleidingen. je kunt queriën door de data heen. Daarvoor is er regelgeving opgesteld.
Ik vind het maar een vaag verhaal.
Anoniem melden doe je alleen als je iets slechts van plan bent lijkt me, maar er wordt niks genoemd over afpersing of andere eisen van de melder.
En als je niks slechts van plan bent dan laat je weten hoe je eraan bent gekomen toch, zodat ze dat in het vervolg op kunnen lossen?

Of is het optie 3, iemand die gewoon de wereld wil zien branden en daarom maar halve info geeft?
Klokkenluiders worden meestal schandalig behandeld, dus mocht het een werknemer van het ziekenhuis zijn begrijp ik wel waarom het anoniem gaat.
Goed punt. Maar in zo'n geval mijn 2e punt, als je niks slechts van plan bent dan geef je toch alle info zodat ze dit soort zaken in de toekomst kunnen voorkomen?
Maar misschien wilt hij helemaal niet dat die gegevens op straat komen te liggen. Hij geeft alleen een beetje als bewijs en wilt niet zelf ook nog verantwoordelijk worden voor een extra lek.
Het geven van alle details zou informatie op kunnen leveren die weer terug te voeren zijn op je eigen persoon. Zaken als datum/tijd, plaats, omstandigheden en betrokken personen (collega's / baas) bij de onregelmatigheid die plaatsgevonden heeft, beperken al snel het aantal mogelijke 'oncollegiale lekkende eikels' tot 1: jij.
Anoniem melden kan ook hele andere beweegredenen hebben dan een criminele motivatie.

Als de gene waaraan je meldt niet goed genoeg persoonsgegevens kan afschermen, kan het zijn dat jouw gegevens als melder ook niet goed genoeg worden afgestemd.
Soms weet je niet altijd hoe de juristen van een partij met een melding om zullen gaan, en meld je anoniem om rompslomp te voorkomen, ook als je correct handelt.
Als jouw data onderdeel is van de lek is het soms ook nuttig dat je niet bekend bent, bijvoorbeeld om 'speciale behandeling' te voorkomen.
En wellicht gaat het melden niet om de beloning maar om het helpen rechtzetten wat (onbedoeld) scheef staat.
Niet om direct persoonlijk belang en zorgt anonimiteit er voor dat daar minder verwarring over kan bestaan.

Soms is juist het uit de anonimiteit stappen nodig om partijen mee te krijgen; "oh, dus is bent geen crimineel... én niet uit op geld?" Maar dat is zelden noodzakelijk.

En als reactie op
Of is het (red. de melder) ... iemand die gewoon de wereld wil zien branden en daarom maar halve info geeft?
Wellicht kwam niet de melder maar het Máxima Medisch Centrum naar buiten met dit nieuws? Het MMC bepaald wat de wereld weet en of er brand is, niet de anonieme melder.

[Reactie gewijzigd door djwice op 1 januari 2022 10:50]

Wellicht kwam niet de melder maar het Máxima Medisch Centrum naar buiten met dit nieuws? Het MMC bepaald wat de wereld weet en of er brand is, niet de anonieme melder.
Wettelijk gezien zijn ze verplicht om het datalek te melden bij de AP en de getroffen patiënten te informeren. Dat doen maar geen persbericht eruit gooien komt je naam natuurlijk ook niet ten goede, want het komt sowieso uit.

En door het zelf te brengen hebben ze de situatie nog deels zelf in de hand. Ook met wat ze bewust wel of niet zeggen.
Klopt, helemaal mee eens. Ik zie dat als een goed initiatief van MMC, daarom begreep ik niet waarom je de (in jouw ogen onvolledige) melding zou kunnen zien als "iemand die gewoon de wereld wil zien branden". Juist omdat dit gedeelte, de communicatie, onder controle van MMC ligt en niet wordt beïnvloed door de melder.

Bedenk ook dat dit een vrijwillig initiatief is van de melder, het kost de melder ook vrije-tijd en moeite om de melding zorgvuldig te doen. Je zou de melding in die context ook kunnen zien als een cadeautje aan het MMC, iets waar iemand energie in steekt om MMC beter te maken, een pay-it-forward wellicht richting het MMC.

[Reactie gewijzigd door djwice op 1 januari 2022 12:37]

Bedenk ook dat dit een vrijwillig initiatief is van de melder, het kost de melder ook vrije-tijd en moeite om de melding zorgvuldig te doen. Je zou de melding in die context ook kunnen zien als een cadeautje aan het MMC, iets waar iemand energie in steekt om MMC beter te maken, een pay-it-forward wellicht richting het MMC.
Dat is juist mijn punt. Het kost iemand moeite om die melding te doen. Er moet dus een motivatie achter zitten. En als de motivatie was "ik wil het MMC beter maken" dan zou je toch laten weten waar je de info vandaan hebt? Zodat ze dat lek kunnen dichten. Alleen melden dat er een lek is maar verder geen info betekent dat je al je systemen door moet lichten, alle camera's terug moet kijken of er niet gewoon iemand de afdeling op liep, etc. Enorm veel werk dus, wat voorkomen kan worden door een iets uitgebreidere melding.
Als een partij data toegang op orde heeft, zou het ook kunnen zijn dat de aangeleverde lijst voldoende is om te weten waar die combinatie van gegevens geproduceerd en gebruikt is.
Er zijn meer opties om anoniem te melden:
  • Een dataset ergens gezien die erg lijkt op gegevens zoals bij het ziekenhuis
  • Weten dat een of meer mensen gegevens mee naar huis nemen, maar ze niet willen verlinken
  • Geen zin om alles precies uit te leggen
  • Geen zin in represailles vanuit de directie of collega's (klokkenluiders worden nog steeds niet beschermd)
Ik vind het maar een vaag verhaal.
Ik zie nog wel meer opties.
- de melder heeft geen zin in een vervolg. Als je een melding doet moet zo'n organisatie reageren en je opbellen om de zaak te bespreken etc.. Misschien had de melder daar geen zin in, zo van "jullie probleem, zoek het lekker uit maar laat mij met rust".
- de melder weet wie de "dader" is en wil die "dader" niet in de problemen brengen. Misschien is de melder zelfs wel de dader, of een vriend of bekende.
- de melder is bang te worden beschuldigd van diefstal of hacken. Dat gebeurt helaas best vaak bij klokkenluiders. Sommige organisaties schieten onmiddelijk in de verdediging en vallen dan de boodschapper aan om maar niet te hoeven toegeven dat er iets is mis gegaan.
Ik was ook eens in een ziekenhuis bij iemand die daar lag op bezoek, stond op de kamer een kar met laptop erop, en was niet gelocked, stond een lijst met patienten op het scherm in het ZIS, vermoedelijk van die op de afdeling lagen, ik denk als ik eens was gaan bladeren ik van alles had gezien.
Als medewerkers, die toegang hebben tot de patientgegevens, data gaan stelen kun je er weinig tegen doen.
Een splitsing van de persoonsgegevens en de patient-gezondheids gegevens kan een oplossing bieden, bijvoorbeeld anonimiseren door een gelaagde structuur in de database.
Waar zijn onze gegevens nog veilig ? Sinds corona zijn er meer data leks en zo genaamde hack pogingen , zelfs wat was het knmi of zo met de corona cijfers dat ze ineens niet meer klopte ? Ik geloof er niks van, volgens mijn proberen ze gewoon wat spooren te wissen

De spooren met waarheid,
Waar is onze privacy ?
Wat gebeurt er werkelijk?

[Reactie gewijzigd door KuroHana op 1 januari 2022 13:55]

inloggen bij zoń kar met computer met een naambadge waar een chip inzit en/of zelfs met gezichtsherkennng -als dat ook zou werken met alle maskers die gebruikt worden zou toch mogelijk moeten zijn, en dan zodra je buiten de bluetooth afstand komt direct op slot dat zou toch al merendeel problemen verhelpen?
zolang er ziekenhuizen zijn, welke met 3 chars inloggen en het wachtwoord het zelfde is als de username.... heb ik er geen vertrouwen meer in.
*knip*

Admin-edit:Inloggevens verwijderd.

[Reactie gewijzigd door Dirk op 3 januari 2022 18:43]

‘Melder’ is mannelijk, dus het moet ‘hij’ zijn.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee