Mogelijk gegevens miljoen patiënten Amerikaanse ziekenhuisketen Geisinger gelekt

Patiëntengegevens van ruim een miljoen bezoekers van ziekenhuizen van het Amerikaanse Geisinger zijn mogelijk gestolen. Een voormalige werknemer van een aangesloten derde partij, Nuance Communications, zou de gevoelige persoonsgegevens gestolen hebben.

De mogelijke dader zou de gegevens enkele dagen na zijn ontslag bij Nuance Communications gestolen hebben. Het gaat onder meer om persoonsgegevens zoals geboortedatums, adressen en telefoonnummers, maar ook om medische gegevens, specifiek om codes die verwijzen naar archiefnummers en opname- en ontslagredenen. De persoon is volgens Geisinger gearresteerd. Het is niet bekend wat er met de gegevens is gebeurd.

Nuance Communications is een bedrijf dat spraakherkenningssoftware maakt. Het is onduidelijk op wat voor manier het Amerikaanse bedrijf bij de ziekenhuisketen betrokken was. Nuance is een dochterbedrijf van Microsoft. Geisinger heeft 13 regionale ziekenhuizen en in totaal meer dan 250 locaties, waaronder apotheken, rehabilitatiecentra en laboratoria.

Door Yannick Spinner

Redacteur

27-06-2024 • 15:11

48

Submitter: -ETz-candyman

Reacties (48)

Sorteer op:

Weergave:

Werknemer kon enkele dagen na zijn ontslag nog bij gegevens? Slechte zaak...
Werknemer van bedrijf voor spraakherkenning kan bij medische gegevens van een relatie. Hoezo dan?
Nuance levert communicatie diensten, niet alleen spraakherkenning. Ook AI tools voor artsen, medewerkers en patienten.
Voor die AI integratie zal toegang nodig zijn tot patientgegevens, rontgenfoto's, etc.
Dank je. Dat maakt het wat duidelijker. Hoewel ik me afvraag hoe noodzakelijk het zelfs dan is. Misschien vanwege onderhoud, als het niet al een “cloud”-koppeling is. Je zou hopen dat het een zeer kleine groep is met die rechten en liefst op verzoek van de opdrachtgever.
Support/implementatie team heeft gewoon volledige toegang tot de database.
Even afgezien van de mogelijkheid van database encryptie en breakglass accounts voor de servers. Er is altijd wel iemand met toegang nodig. Alleen hoeft niemand op elk niveau toegang te hebben.

Als het inderdaad om een AI toepassing gaat, dan kan bijna alle data nodig zijn om de afgeleide AI op te baseren.

Dan nog zou ik de persoonsgegevens liever afscheiden van de AI functionaliteit. Adressen en persoonseigenschappen lijken me alleen nodig voor epidemiologisch (groeps-)onderzoek. Dat hangt dus af van de scope van de AI.
Wat wij meestal zien is dat het voor de eindgebruiker redelijk goed is dichtgetimmerd, maar voor de vendor niet.
Dat heeft in dit geval niks met AI te maken.
Toch zou het beter zijn om vendors/applicaties zo min mogelijk toe te staan. Waarom zetten sommige beheerders uitgaand verkeer via firewalls default open bijvoorbeeld?

Of het nou kwade opzet van een medewerker of een exploit in de applicatie is, maakt uiteindelijk weinig verschil. Je bent de controle over je data kwijt.
Dat klopt. Helaas leveren vendors vaak in de zorg software as a service.
Omdat Amerika geen GDPR heeft en het daar het wilde westen is mbt omgang met gevoelige data.
Dat is in dit geval onzin. HIPAA bestaat hiervoor en dekt dit af. Alsof er in Nederland geen grootschalige medische gegevens gelekt worden (Covid vaccinatie informatie?).
Hoewel je in principe gelijk hebt zit het verschil hem vooral hoe expliciet je ergens toestemming voor moet geven. In de VS kun je met vage zinnetjes in een contract al heel veel data naar allerlei partijtjes pompen, want in de EU dat al snel niet mag.

En vergeet ook niet dat er in NL specifiek voor medische data ook wetten zoals WGBO, Wet Cliëntenrechten en NEN-7513 verplicht zijn voor ziekenhuizen die het helemaal dichttimmeren. Hoewel de toezicht hierop matig is, mag je verwachten dat grote sets van geaggregeerde data bijna niet meer kunnen lekken in NL. Tenzij het over de overheid gaat natuurlijk, want raar genoeg vinden ze dat voor hun de wetten niet gelden als het doel overeenkomt met de visie van de minister...
Mijn punt was dat dit gaat om diefstal van medische data en dat het helemaal niks te maken heeft met het feit dat de VS "het wilde westen mbt omgang met gevoelige data". Dat privacy een totaal onderschoven kindje is klopt weliswaar, maar heeft niks met deze zaak te maken.

Daarnaast, als je denkt dat de stapels wetgeving en regulering er in Nederland voor zorgen dat de zaken goed dichtgetimmerd zitten en geen grote datasets kunnen lekken noem ik op je z'n zachtst gezegd naïef.
Exact. Wetgeving en regulering kan een hoop, maar niet alles voorkomen. Zie ook met wapens: we hebben een veel strengere wapenwetgeving hier, maar er zijn genoeg wapens in omloop. En er zijn ook wetten die zeggen dat je niet door rood mag rijden of voorrang moet geven op een zebrapad, maar in de praktijk gebeurt dat alsnog.

Met privacy precies hetzelfde verhaal. En inderdaad is er in Amerika HIPAA, dus zeker niet het “wilde westen”, in elk geval niet op medisch gebied.

[Reactie gewijzigd door TheVivaldi op 22 juli 2024 22:12]

Oh daar ben ik het wel mee eens hoor. Echter is de kans een stuk kleiner omdat data minder snel bij elkaar worden opgeslagen en ook beter gelogd wordt (en dus sneller gedetecteerd). Neemt niet weg dat er nog steeds onhandige constructies in de backend of APIs zitten dat er data onderschept kan worden bijvoorbeeld. Of dat men zich schuilt achter verwerkers en de verantwoordelijkheid in rondjes door blijft schuiven tot niemand zich meer verantwoordelijk voelt.
Het is natuurlijk wel een aanname dat de kans kleiner is en beter gelogd wordt, enkel omdat er wetgeving en regulering is die dit vereist. Ik zeg dat, omdat die wetten feitelijk niks doen dan geldboetes opleggen, tenzij het meerdere malen extreem fout gaat. En eenzelfde motivatie hebben dit soort instellingen in de VS, weliswaar niet altijd geldboetes van overheden bij gebrek aan wetgeving, maar velen miljoenen in schikkingen in de rechtbank. Je kunt je best afvragen welke meer pijn doen en waar de motivatie dus groter is.

En, nogmaals, in dit geval is er prima wetgeving voor ingericht d.m.v. HIPAA en op basis daarvan zal gewoon een strafrechtelijk onderzoek gestart worden met mogelijk forse straffen.
Ja en nee. Probeer als IT leverancier maar eens een contract af te sluiten met een ziekenhuis zonder dat dit door een erkende partij is geaudit.

Ziekenhuizen zelf zien het helaas wel zoals je zegt, die controleren na dat eerste contract hun leveranciers amper nog zelf.
Bizar. Voor financiële gegevens hebben ze daar wel strenge wetgeving maar privacy is blijkbaar niet belangrijk genoeg.

Toevallig heb ik gisteren getekend om mee te doen aan een medisch onderzoek. Daarbij heb ik voor de zekerheid maar aangevinkt dat de gegevens niet buiten de EU of aan bedrijven beschikbaar mogen worden gesteld, zelfs niet in gecodeerde vorm.
Die toon mag je achterwege laten, ik werk in de privacysector. Ik weet wat de eisen van Nederlandse ziekenhuizen zijn om hun data te mogen verwerken (en daar laat ik het graag bij). Ik had alleen geen zin om een lang verhaal te schrijven over Amerikaanse attitudes en wetgeving. Ik ken de GDPR erg goed en ik weet hoe de Amerikaanse privacy'beschermingen' eruit zien. En hoewel CA het redelijk geregeld heeft, schort er het nodige aan die CCPA. De focus ligt op opt-outs, bedrijven met minder dan $25mln omzet (of een paar andere condities) mogen het aan hun laars lappen en de hoogste boete ligt op $7500. Dat is dan nog één van de beste staten, op federaal niveau is er amper iets geregeld (Privacy Shield toonde overigens wel goed aan hoe weinig men daar op heeft met privacy). Tuurlijk kun je vast ook enkele tientallen random wetjes vinden, maar het zijn allemaal lege hulzen vergeleken met de GDPR. Vaak hebben ze wel mooie namen voor het binnenlands publiek. Dat maakt dat bedrijven met héél veel weg kunnen komen en een cultuur ontstaat van laks omgaan met data. Dat past ook precies bij Amerika, waar de cultuur is dat bedrijven zo weinig mogelijk in de weg moet worden gelegd om winst te maken.

[Reactie gewijzigd door BeefHazard op 22 juli 2024 22:12]

Sorry, maar jij stelt heel zwart wit dat er in de USA geen sprake is van privacy bescherming. En dat is gewoon niet waar. In jouw reactie bevestig je dit vervolgens ook. Dus wanneer je naar mij wijst over "die toon", zou je kunnen beginnen met je eigen reacties nog eens te controleren voordat je deze post :)

Amerikaanse bedrijven zijn redelijk succesvol en is de Amerikaanse economie al sinds jaar en dag de grootste en meest flexible economie. Het is zeker niet perfect en er is héél véél ruimte voor verbetering, maar slecht is het niet.

Ps. Boetes (lees: schadevergoeding) is per slachtoffer. Dan kan heel snel oplopen in honderden miljoen dollars

[Reactie gewijzigd door cariolive23 op 22 juli 2024 22:12]

Als ik op je schertsende bericht reageer met inhoud, ga dan ook op de inhoud in :z

Btw: leg mij geen woorden in de mond svp. Ik post een observatie over een land en jij lijkt dat als een persoonlijke aanval te zien, en reageert daar als zodanig op met een sneer op de man. Het is mijn goed recht je daarop te wijzen.

[Reactie gewijzigd door BeefHazard op 22 juli 2024 22:12]

Dat is lastig, ben geen jurist, wel ondernemer. En zodoende weet ik dat ik met deze wet te maken heb. Zowel GDPR als CCPA ken ik van hoog over, en ik weet dat ik er mee te maken heb. Maar vraag me niet naar details of verschillen. Technisch weet ik wat we moeten implementeren, dat is voor mij voldoende.
Misschien is het dan een idee om je te verdiepen in zaken voor je wat onzin uitkraamt? ;)
Nee: Ik weet dat deze wetten bestaan en onze jurist heeft me vertelt wat we moeten implementeren en onderhouden om aan deze wetten te voldoen. Vervolgens is dat gevalideerd, jaarlijkse review ingericht en daarmee klaar. Dat is voldoende.
Die toon mag je achterwege laten, ik werk in de privacysector.
Zo te zien in de europese privacysector met zeer beperkte kennis van zaken van de privacy sector in de VS.

Wat betreft de privacy van jou als werknemer bij een bedrijf is er in de VS inderdaad heel weinig geregeld. Daar ben je dan vogelvrij, met Californië als grote uitzondering.

Maar juist op het gebied van medische informatie is er in de VS wel uitgebreide wetgeving. En de reden daarvoor is dat verzekeraars anders maar al te graag die informatie willen misbruiken.

Doen alsof het op het gebied van medische data in de VS het wilde westen is, is echt een totaal verkeerde voorstelling van zaken.

Privacy zaken die niet medisch van aard zijn, is wel drama. Maar daar gaat het hier niet om.

[Reactie gewijzigd door mjtdevries op 22 juli 2024 22:12]

Zeker weten in de Europese privacysector, vanuit de VS is er niet veel - zeker wel wat, maar van een andere orde dan in Europa, juist vanwege de GDPR - interesse in privacytechnologie.

Ik comment immers in het Nederlands op de Nederlandse techwebsite onder een artikel over dit onderwerp. Maar kennis van zaken over Amerikaanse privacywetgeving heb ik wel.

Ik heb enkele jaren geleden, precies toen Privacy Shield viel, voor mijn studie een analyse geschreven waarin ik oa een DPIA heb uitgevoerd op Ring deurbellen - zover dat te doen is met openbare documentatie. Door omstandigheden deed ik dat solo, normaal is het een groepsopdracht (6-8 personen). Daardoor had ik direct mail- en whatsappcontact met de verantwoordelijke docenten (cryptografen) en gastdocent (mr. dr.). Daardoor leerde ik veel over de wetgeving aan Amerikaanse zijde, waar dat botst met Eruopese wetten, en de manier waarop Amerikanen dit soort problemen het liefst oplossen.

Dat zegt niks direct over zorgdata, maar het punt dat ik reduceerde tot 'wilde westen' betreft de Amerikaanse houding naar privacy. Je kunt voor één sector nog zo veel regelen, als je cultuur er niet naar is om persoonsgegevens als extreem gevoelig te behandlen, gaat het overal fout.
Edit: ok, kennelijk is die wetgeving er tegenwoordig wel, I stand corrected.

Dat laat onverlet dat het bedrijf ook zonder die wetgeving kennelijk geen goede RBAC (Role-Based Access Control) gebruikt. Een persoon die zich met spraakherkenning bezig houdt zou helemaal niet bij dit soort gegevens moeten kunnen.

En als het om een test-omgeving zou gaan, zou die gesanitized moeten zijn en geen echte patient-informatie bevatten.

En idd, hoe kan het dat het account van een ontslagen medewerker niet binnen een uur na het ontslag verwijderd is, of op zijn minst disabled, zodat er niet meer mee kan worden ingelogd.

Ik zie hier niet één fout die gemaakt is, maar een hele keten aan gemaakte fouten, met dit als resultaat.

[Reactie gewijzigd door wildhagen op 22 juli 2024 22:12]

Heeft niks met die wetgeving te maken, want de VS kent HIPAA voor medische gegevens.
Het gaat hier om medische gegevens en daarvoor is HIPAA in het leven geroepen. Er is dus wel degelijk privacywetgeving op medisch gebied, waar het hier om gaat.
Wellicht dat er een goede reden was dat die persoon zoveel toegang had.
Maar in dat geval zorg je er voor dat die persoon een uur vóór zijn ontslag geen toegang meer heeft.

Dus wellicht geen keten aan gemaakte fouten. Maar wel ernstige fouten die te voorzien waren en dus niet gemaakt hadden mogen worden.
On Nov. 29, 2023, Geisinger discovered and immediately notified Nuance that a former Nuance employee had accessed certain Geisinger patient information two days after the employee had been terminated. Upon learning this, Nuance permanently disconnected its former employee’s access to Geisinger’s records.
Handboek ontslag van werknemer duidelijk niet gevolgd.
Bij ontslag vanuit het bedrijf zou op het moment dat HR dit meedeeld aan de persoon, de toegang van alle systemen op dat moment ingetrokken moeten worden (ben je te vroeg, dan heb je een werknemer die vragen gaat stellen, ben je te laat dan kunnen zaken ontstaan zoals in dit bericht)
Bij ontslag waarbij de werknemer zelf ontslag neemt is een keuze. Blijft de werknemer aan het werk tot einddatum, dan op einddatum. Is het verstandiger de werknemer direct toegang te ontzeggen en op garden leave te sturen, dan direct account blokkeren.

Zo zou het in ieder geval bij elk bedrijf moeten zijn. En zeker voor een bedrijf dat handelt in beveiliging van gegevens (volgens hun eigen website: Authenticate customers and prevent fraud across all channels with innovative biometric solutions.)

[Reactie gewijzigd door SunnieNL op 22 juli 2024 22:12]

Alleen het handboek dekt het gebruik van generieke accounts niet af.
Daarvoor heb je toch RBAC en service accounts?
Theorie en praktijk zijn twee verschillende dingen
Vakmanschap en hobbyisme ook.
Degene die generieke accounts introduceert of voorstelt in een omgeving zou per direct ontslagen moeten worden. Zeker in een omgeving waar patient gegevens staat of voor een bedrijf dat adverteerd in beveiliging van gegevens.
Het gebeurt in Nederland bijna nooit dat iemand z'n toegang tot het systeem wordt ingetrokken na de mededeling van ontslag. Niet alleen omdat een rechter dat de werkgever kan tegenwerpen, maar ook omdat een werknemer soms nog blijft doorwerken. Als je bijvoorbeeld aangeeft het contract niet te verlengen en de werknemer heeft nog een maand te gaan, dan is het gebruikelijk dat hij doorwerkt en eventueel nog wat resterende vakantiedagen opneemt.
Uit ervaring weet ik dat dat in Nederland ook zeer veel gebeurd.
Als je zelf ontslag neemt volgt in bepaalde functies direct garden leave.
Zelfde bij ontslag door reorganisaties of slecht functioneren.

Je meldt dat het gebruikelijk is vakantiedagen op te nemen. Dat is absoluut niet zo en daar zou ik als werknemer ook nooit mee akkoord gaan. Ze kunnen dat niet verplichten. Doe je dat wel, dan is dat ook vaak het punt dat al je toegang wordt ingetrokken.

Een rechter kan nooit tegenwerpen dat alle toegang wordt ingetrokken en je op garden leave (betaald afwezig tot einde dienstverband) wordt gezet.
Bij bepaalde bedrijven wordt zelfs bij 3 weken vakantie je toegang ontzegt ter beveiliging.
Het gebeurt ook bijna nooit dat iemand tot zoveel gevoelige data toegang heeft.

En wat zou een rechter willen tegenwerpen?
Als iemand nog een maand te gaan heeft dan krijgt ie gewoon vrijstelling van werk. Of in ieder geval vrijstelling voor dat werk waarbij die toegang nodig is.

Zo word dat normaal gesproken geregeld.

Als je op goede voet afscheid neemt van elkaar, dan kan het zijn dat iemand nog gewoon toegang houd en werkt tot de laatste contract dag, maar zo'n persoon gaat dan geen data lekken.
Het is hier gebruikelijk dat er geen named accounts worden gebruikt. Laat staan phishing resistant auth. Er zijn een aantal organisaties die hun beveiliging zeer goed in orde hebben en nog een aantal organisaties die alleen met MFA werken. Daartussenin zit eigenlijk niet zo veel.
Ik kan me herinneren dat er ergens vorig jaar (dacht ik) een ziekenhuismedewerker een patientendossier als boodschappenlijst had gebruikt, en die in de winkel had achteegelaten...

Niet alleen online moet je je zorgen maken
Geldt de GDPR wel voor analoge data? Volgens mij mag je gewoon notitieblokken met sofinummers laten slingeren. Zodra het digitaal is dan gelden de privacyregels wel.
Wat geeft jou aanleiding om te denken dat de GDPR niet voor analoge data zou gelden?

Er word nergens enig onderscheid gemaakt.
persoonsgegevens op papier vallen ook gewoon onder de AVG/GDPR.

Leuk voorbeeld:
https://www.autoriteitper...sitekaartjes-die-ik-krijg
Interessant. Toen ik in Nederland woonde heb ik vaak notitieblokken gezien in winkels aan de afrekenbalie waar je je kon aanmelden voor iets. Je kun dan allerlei gegevens van wildvreemde mensen zien. Gezien hoe vaak je dat zag, ging ik er eigenlijk een beetje vanuit dat de GDPR niet gold voor analoge data.
late reactie, maar was dat toevallig vóór 2018?
Voor de AVG/GDPR hadden we soortgelijke wetgeving in Nederland, maar niemand maakte zich er druk om. (lage boetes, weinig bekendheid)
Ik denk het wel. Mij is toen zelfs verteld dat de analoge notitieblokken werden gebruikt om de GDPR te omzeilen. Kan mij goed voorstellen dat dat niet klopte maar dat er inderdaad geen handhaving was.

Op dit item kan niet meer gereageerd worden.