Ransomwaregroep Killsec steelt patiëntendata van Belgisch bedrijf MediCheck

De ransomwaregroep Killsec heeft 50.000 documenten van het Belgische bedrijf MediCheck in handen gekregen. In de documenten zouden gevoelige patiëntgegevens staan. Het bedrijf doet momenteel onderzoek naar de omvang en oorzaak van de hack.

MediCheck heeft tegenover HLN bevestigd dat hackers communicatie van artsen hebben kunnen onderscheppen. Het zou gaan om artsverslagen van januari 2023 tot nu. In deze verslagen staan gevoelige gegevens. Het bedrijf weet nog niet hoe de hackers de communicatie hebben kunnen onderscheppen.

De ransomwaregroep Killsec claimt de documenten van MediCheck in handen te hebben en heeft inmiddels een klein aantal documenten van het bedrijf gepubliceerd. Volgens MediCheck is er nog geen contact geweest met de hackers.

MediCheck werkt voor driehonderd bedrijven. Via het bedrijf kunnen werknemers zich ziek melden en MediCheck verzorgt het contact tussen de patiënten en artsen. Tot de klanten van het bedrijf behoren grote bedrijven als H&M. De patiënten van wie gevoelige gegevens zijn gelekt, zijn inmiddels geïnformeerd door MediCheck.

Door Robert Zomers

Redacteur

Feedback • 25-09-2024 13:16
63 • submitter: edeboeck

25-09-2024 • 13:16

63

Submitter: edeboeck

Lees meer

Ransomwaregroep lekt 53.900 documenten met medische informatie van Belgen
Ransomwaregroep lekt 53.900 documenten met medische informatie van Belgen Nieuws van 4 oktober 2024
Kamer van Koophandel gaat telefoonnummers ondernemers afschermen
Kamer van Koophandel gaat telefoonnummers ondernemers afschermen Nieuws van 24 september 2024
Algoritmeregister bevat meer dan 500 algoritmes, weinig van Rijksoverheid
Algoritmeregister bevat meer dan 500 algoritmes, weinig van Rijksoverheid Nieuws van 20 september 2024
AP vindt nieuw budget 'niet genoeg om zelfs aan meest basale eisen te voldoen'
AP vindt nieuw budget 'niet genoeg om zelfs aan meest basale eisen te voldoen' Nieuws van 18 september 2024
Budget voor Autoriteit Persoonsgegevens stijgt volgend jaar tot 49 miljoen euro
Budget voor Autoriteit Persoonsgegevens stijgt volgend jaar tot 49 miljoen euro Nieuws van 17 september 2024
Meer producten en artikelen
Privacy

Reacties (63)

-Moderatie-faq
63
63
18
3
0
44
Wijzig sortering
3raser 25 september 2024 13:26
Dit soort bedrijven zijn echt goudmijnen voor hackers. Ik kreeg zelf onlangs nog post van Infomedics dat de gegevens van mijn kinderen zijn uitgelekt bij een hack. Je weet wel, dat waarvan ze hier nog beweerden dat er geen gegevens van hun klanten bij betrokken waren. Bedrijven die zulke privacy gevoelige gegevens behandelen zouden misschien iets strenger moeten zijn in hun beveiliging.
Blokker_1999
@3raser25 september 2024 13:34
Alleen kan je niets zeggen over hun beveiliging zonder dat er ook maar enige details bekend zijn van hoe ze deze data hebben weten te stelen.
3raser @Blokker_199925 september 2024 13:38
Daar heb je gelijk in. Al gebeurt het naar mijn gevoel iets te vaak waardoor het neigt naar de staat van de beveiliging. We zullen ongetwijfeld de werkelijke oorzaak niet te horen krijgen, dus dan blijft het gissen. Op zich jammer want anderen kunnen er van leren.
Robbemans @3raser25 september 2024 13:52
Hoewel je hier een goed punt hebt, is het altijd goed om kritisch te blijven. Ik heb gewerkt bij een bedrijf waar ooit ook een datalek was. Dit is netjes gemeld. De beveiliging - voor zover we konden beoordelen - was prima op orde. Elke maand pentesten door externe partijen. En toch is er op een gegeven moment een lek gevonden, waarbij wat gegevens zijn buitgemaakt. Gelukkig beperkt, maar toch.

Beveiliging van gegevens geldt op alle lagen en afdelingen van een organisatie. Je moet als bedrijf 100% op de hoogte zijn en proberen alles dicht te timmeren. 100% dus. Met een veelvoud aan servers en applicaties is dit eigenlijk niet te doen.

Een hacker hoeft eigenlijk maar 1 kleine tekortkoming te vinden en kan die mogelijk uitbuiten. De deur hoeft echt niet wagenwijd open te staan. Dus als je 99,9% van alle mogelijke gaten hebt gedicht en je echt je best doet om alles te beveiligen, dan is er nog steeds een mogelijkheid om in te breken.
wica @Robbemans25 september 2024 14:32
Misschien moeten we beveiligings incidenten met dit soort gegevens, Door een officiële instantie laten onderzoeken en openbaar gaan maken.
Zoals dat ook gebeurd in de luchtvaart, zodat men van elkaar kan leren en audits op kunnen aanpassen.
Robbemans @wica25 september 2024 14:51
Dat is een goed idee, maar... helaas niet uitvoerbaar. Dit zou namelijk betekenen dat we een soort secundair CVE-systeem hebben waarin alle kwetsbaarheden worden vastgelegd en hoe deze gedicht kunnen worden. Het probleem hierbij is dat je als organisatie dan moeten weten:
  • Welke kwetsbaarheden er zijn
  • Of, en zo ja, hoe die van toepassing zijn - onderkennen dus
  • Een implementatie kiezen voor een oplossing
  • Uitrollen van een fix
Bij sommige organisaties kan he uitrollen van de uiteindelijke fix weken duren. In die tijd heeft de hacker ook deze gegevens gevonden en hoeft maar 1 'scriptje' te maken om het lek uit te buiten en dat op alle organisaties die hij wil los te laten.
Het legt op elke organisatie een extra druk om pro-actief hier aan mee te werken. In de praktijk is dit dus gewoon niet haalbaar.
Ik zeg niet dat dit een reden moet zijn om het niet te doen. Ergens ben ik het helemaal met je eens en kan dit een goed idee zijn. Ik zie de nadelen echter groter zijn dan de voordelen.

Het allerbeste is om gewoon geen (gekoppelde) systemen met gevoelige data aam het internet te hangen. Een air-gap hoeft niet per se. Er zijn organisaties die vanuit de basis hun systeem breed hebben opgezet met alle gegevens beschibaar (online) en dat is misschien niet zo handig.
wica @Robbemans25 september 2024 15:04
Het allerbeste is om gewoon geen (gekoppelde) systemen met gevoelige data aam het internet te hangen.
Mee eens, maar dit is jammer genoeg een utopie :)

Ik denk dat zo'n systeem wel kan werken. Zoals het nu ook gebeurd met hele kritische bugs.
Laat we voor het gemak even van uit gaan dat de NCSC dit systeem beheerd. Deze geven nu ook al voorwaarschuwing op bugs voordat ze openbaar komen. Jammer genoeg wel enkel aan overheid.

Maar laten we voor het gemak zeggen dat ze dit ook beheren.
Als gegevens verwerker van gevoelige data, moet je een abo nemen op deze dienst. Zodat je vroegtijdig gewaarschuwd wordt. En dan is idd geheel afhankelijk je je als bedrijf je processen hebt ingeregeld of je het relatief snel kan uitrollen.
d3burt @Robbemans25 september 2024 17:13
Het is bijna onmogelijk om de factor "mens" dicht te spijkeren. Zolang medewerkers op links in e-mail blijven klikken (of zoals in het gerval van Stuxnet gevonden USB sticks mee naar hun werk nemen) blijft de mens de zwakste schakel.
sympa @3raser25 september 2024 13:53
Data die je noet hebt, en die je niet bewaart, die kan ook niet gestolen worden.
wjn @sympa25 september 2024 14:28
Alle voor hackers waardevolle gegevens (NAW, KvK, ID etc.) moet je als bedrijf/instantie 7 tot 10 jaar bewaren voor de belastingdienst.
En de belastingdienst kan tot 20 jaar terug terugvorderen, dus ben je eigenlijk verplicht de gegevens 20 jaar lang te bewaren (als je ooit bewijs nodig hebt).

Data niet bewaren is helaas geen optie.
wica @wjn25 september 2024 14:41
Stelt de belasting dienst, dat je deze data 20 jaar online moet bewaren?
En met online bedoel ik, waar een hacker toegang tot kan hebben via het internet.
TD-er @wjn25 september 2024 15:03
Prima dat je het lang moet bewaren voor de belastingdienst.
Al heb ik wel mijn bedenkingen over die periode van 20 jaar...

Maar moet dat dan op systemen die online bereikbaar zijn?
En in dit voorbeeld gaat het om medische gegevens. Waarom zou je die zo lang moeten bewaren? Toch zeker niet voor de belastingdienst mag ik hopen.

Wat dat betreft snijdt de opmerking van @sympa wel degelijk hout, dat de gegevens die je niet (langer) nodig hebt ook simpelweg niet bewaard moeten worden.
Panzer Dean @sympa25 september 2024 16:00
Medische data (in het geval van Universitaire ziekenhuizen) moet 100 jaar bewaard blijven...
Sannr2 @Panzer Dean26 september 2024 11:04
Nee medische gegevens geldt een bewaarplicht van 20 jaar voor: https://www.rijksoverheid...r/bewaren-medisch-dossier

Alleen als het onder de archiefwet valt (dus operatieverslagen en de ontslagbrief) dan geldt er een termijn van 115 jaar. Maar dat is dus zeker niet voor alle medische documenten in het ziekenhuis, maar slechts een klein deel.
Yzord @Blokker_199925 september 2024 14:38
Huh, ik denk dat je voldoende kan zeggen over hun beveiliging. Je kan al sowieso zeggen dat het niet voldoet ongeacht welke details je daar voor nodig hebt. Gestolen is gestolen en dat betekent onrechtmatig verkregen. Of dat nu door een verloren usb stick is, phishingattack of nalatige werknemer, de beveiliging is in alle gevallen ondermaats zoals die moet zijn bij het verwerken van gegevens die niet van jezelf zijn.
xzaz @Blokker_199925 september 2024 15:33
Waarom is dat relevant? Er is data gestolen, ergens in de keten op menselijk of data technisch of beveiligniveau is het mis gegaan.
Guru Evi @Blokker_199926 september 2024 13:04
Wel, het feit dat ze dit niet weten zegt veel over de status van hun beveiligingsbeleid. Als er zoveel gaten zitten dat je niet weet waar te beginnen kijken, nergens een belletje ringt dat er gegevens lekken.

Het is altijd een gevalletje van “cloud bucket zonder paswoord” zijn of “SQL injectie op een publiek portaal” of “iemand met een Windows PC heeft op een mailtje geklikt”, dingen die dag van vandaag niet meer aanvaardbaar zijn.
PjotterP @3raser25 september 2024 13:58
En DIT is waarom ik tegen meer centralisatie van toegang tot patientgegevens ben.

Alles aan elkaar knopen is prachtig als behandelend arts, maar je creeert een gigantische databom.

[Reactie gewijzigd door PjotterP op 25 september 2024 13:59]

gaskabouter @PjotterP25 september 2024 14:15
Je zegt twee verschillende dingen.

Ik vind het als arts helemaal niet prachtig van alles aan elkaar te knopen. Ik wil gewoon alle relevante data beschikbaar hebben om de zorg compleet en veilig te maken. Wij zijn altijd voor een centraal systeem geweest.

Dat alles centraal is wil nog niet zeggen dat data niet meer lekt maar maakt de ernst van het lek waarschijnlijk veel groter en de beveiliging misschien beter. Aannames...

Dit soort hackgroepen zoeken gewoon naar kwetsbare systemen en zijn niet op zoek naar een medische goudmijn. Zoals @3raser suggereert want de data leveren geen geld op, de chantage ermee levert geld op.
En een ziekenhuis betaalt echt niet meer of minder dan andere grote bedrijven.
PjotterP @gaskabouter25 september 2024 18:48
Medische data zijn een goudmijn. Denk aan alle medische data van een ggz instelling. Dat soort gevoelige gegevens kunnen mensen chantabel maken als ze in verkeerde handen vallen.

Veel behandelaars en andere pleitbezorgers voor meer centralisatie en koppeling kijken vooral naar hun eigen werkveld en begrijpen veelal niet de risico’s en/of onderschatten die juist.

het risico van een minder goede behandeling weegt m.i. niet op tegen de risico’s op een steeds omvattender datalek van uiterst gevoelige gegevens.
gaskabouter @PjotterP25 september 2024 19:15
Niemand begrijpt de risicos beter dan de patiënt en zijn behandelaars. je doet en aanname die een grote afstand tot het werkveld verraad.

Ik hoor heel vaak dit argument maar ben nog nooit een casus tegengekomen dat iemand gechanteerd wordt met medische gegevens door een hacker. En waarom specifiek de ggz een risico zou zijn begrijp ik ook niet

Het gaat niet om een minder goede behandeling. Het gaat om mensenlevens.
PjotterP @gaskabouter25 september 2024 19:19
Ik heb in professionele zin tot recent zeer dicht op dit werkveld gezeten.
De risico’s waar ik het over heb zien op de veiligheid van gevoelige gegevens, de IT architectuur en de kans op misbruik. Daar hebben artsen en patienten weinig verstand van, die gaan over de behandeling.


Edit: waarom ggz instellingen?
Bij ggz instellingen is niet alleen de bakker op de hoek met zijn depressie in behandeling, maar ook tal van functionarissen bij overheden en bedrijven op belangrijke posities. Sommige gegevens die in de context van een behandeling worden vastgelegd zijn zeer gevoelig en zeker vatbaar voor misbruik indien in verkeerde handen.

Dit risico is zeker niet nieuw, maar de kans op grote lekken betrekking hebbende op grotere aantallen patienten neemt toe bij meer centralisatie en koppeling.

[Reactie gewijzigd door PjotterP op 25 september 2024 19:23]

gaskabouter @PjotterP25 september 2024 19:26
Je zal waarschijnlijk bedoelen dat ze weinig verstand hebben van beveiliging. Niet dat ze er het nut niet van in zien. Das een heel groot verschil.

Als ict zijn werk netjes doet hoeven wij daar ook geen verstand van te hebben.

Je begint uit te leggen hoe gevoelig de data zijn en dat we daar geen oog voor hebben. Je eindigt met de stelling dat wij daar geen verstand van hebben. twee heel verschillende dingen

Dat laatste klopt, deels, en daarom hebben we een afdeling ict om dat te regelen.

Kan ik doen waar ik goed in ben

[Reactie gewijzigd door gaskabouter op 25 september 2024 19:26]

PjotterP @gaskabouter25 september 2024 19:32
Precies. En ik snap dat behandelaars pleiten voor meer toegang to patientdata als de bronnen gefragmenteerd zijn. Wat ik daar als tegenargument inbreng is een vergroting van systeemrisico’s.

Eens dat het de taak niet is van behandelaars om zich druk te maken om ICT. Maar in de beleidsdiscussie over dit thema is het wel relevant. En de neiging is om ICT dan eerder te overschatten dan onderschatten.
gaskabouter @PjotterP25 september 2024 19:40
Maar als het nodig is om de zorg veilig te houden is dat toch echt een probleem voor ict en niet voor de zorg.

Patiënten vinden het echt schandalig als ik hun gegevens nog een keer moet vragen of als brieven en scans er niet zijn. En dan kan ik niet aankomen dat ict het niet veilig vindt
PjotterP @gaskabouter25 september 2024 20:07
Je bevestigt hetgeen ik al aangaf. Dat bedoel ik niet onaardig, maar behandelaars bekommeren zich niet om het systeem en de kwetsbaarheden, maar pleiten tegelijkertijd wel in Den Haag en Brussel voor meer centralisatie en ontsluiting van patientgegevens en denken of hopen dat ICT alles wel dicht kan timmeren. En politici hopen met ze mee.

[Reactie gewijzigd door PjotterP op 25 september 2024 20:08]

gaskabouter @PjotterP25 september 2024 21:10
Ik heb nog nooit hele bedrijfstakken zien roepen dat alles overal beschikbaar is, cloud en noem het maar op. Microsoft, Amazon en Google maken miljarden winst op die beloftes.

Maar als het misgaat is het de gebruiker. Bij ict kan alles. Tot het moet dan kan het niet
Guru Evi @gaskabouter26 september 2024 13:34
Ik ben een beetje dichter bij het werkveld :) ik snap waarom je gegevens gemakkelijk beschikbaar wilt, echter het probleem is dat er teveel data bijgehouden wordt en je ziekte data is vaak gekoppeld aan financiële data en persoonlijke data zoals waar je woont etc. Mensen zijn ook meer privacy bewust over hun medische data, ze willen niet dat anderen weten (soms zelfs hun eigen dokters) waar ze aan lijden, vooral als de ziekte rond hun schaamstreek liggen.

Wij hebben dit echter opgelost in een project voor Somaliland waar mensen volledig geen vertrouwen hebben in centrale overheid en er is ook weinig infrastructuur om even uit te wisselen. Daar gebruiken veel groepen nu draagbare, geanonimiseerde e-health records, dus je krijgt je papieren mee naar huis en op die papieren staat alles dat een volgende dokter nodig heeft behalve je persoonlijke info. Adhv je persoonlijke info (naam, geboortedatum en plaats) kan een ziekenhuis een GUID genereren en dan je informatie opzoeken ofwel intern ofwel opslaan geencrypteerd in een blockchain. Het systeem is volledig draagbaar, gebaseerd op OpenEHR (hospitalen hebben soms maar 1 computer dat als referentiepunt en ook als server en wifi router dient).

Data heeft een levensduur, in de meeste gevallen is het echt niet nodig om alles bij te houden, zelfs in onze eigen hospitalen houden we MR en CT data maar een paar jaar, als je het centraal wilt houden, hou het geanonimiseerd bij, er zijn genoeg anonimisatieparameters die we gebruiken dagelijks in medisch onderzoek.
gaskabouter @Guru Evi26 september 2024 13:44
Patiënt gebonden is helemaal mooi natuurlijk.

Maar wij zijn wettelijk verplicht data te bewaren. Ook voor als de patiënt later met een klant of zo komt.

Dus wettelijk is daar bij ons heb basis voor. Daarnaast is het altijd een risico of de patiënt wel alles deelt.

Zo is het in de vs een groot probleem dat ze overal opiaten kunnen halen omdat er geen centraal dossier is. Toch 40.000 doden per jaar....
Guru Evi @gaskabouter26 september 2024 13:58
De opioid crisis in de VS is grotendeels door illegale drugs en fentanyl, niet dat je dit legaal eventjes om de hoek bij de apotheker kan halen. Dit is ook een probleem in de EU, echter moeilijk te definiëren omdat we net zoals onze criminele statistieken, die statistieken gewoon niet (centraal) bijhouden noch de criminaliteit handhaven om degelijke studies uit te voeren.

En inderdaad, wij zijn vanuit overregulering verplicht dit bij te houden maar dit is in een open markt volstrekt niet nodig. En uitwisseling, alhoewel wettelijk verplicht is nog steeds om te huilen. Probeer maar informatie uit Epic te halen via FHIR. De regering loopt altijd 50 jaar achter op de feiten maar blockchain is een methode om geanonimiseerde, gedecentraliseerde en gedemocratiseerde informatie bij te houden.
gaskabouter @Guru Evi26 september 2024 15:28
Verdiep je even wat meer in de oorzaak. 90 % begint met voorgeschreven opiaten en stappen over op de veel goedkopere middelen die ze op straat krijgen.

In Europa speelt dit heel veel minder tot bijna niet omdat we juist een sluitende opiaat registratie hebben.

En dat data niet bewaard zou hoeven worden is medisch zulke klinkklare onzin dat wel duidelijk is dat hier geen medisch perspectief aan bod is.
Guru Evi @gaskabouter26 september 2024 18:28
Waar zeg ik dat het niet bijgehouden moet worden? Dat is een strooiman opzetten, wat ik zeg is dat niet door de overheid verplicht mag worden om zo goedkoop mogelijk (een open cloud bucket of SQL database met een bagger frontendje online) beschikbaar te maken via gesloten en onvolledig gespecificeerde formaten zoals deze van Epic (wij zijn HL7 compatible, zolang je ons dialect van HL7 spreekt, en als je wilt integreren moet je eerst onze producten aankopen).

Zowat alle lekken die we nu gehad hebben zowel in Nederland als in Belgie een paar maanden geleden, is vanwege verplichting om het zo snel mogelijk online te zetten, en dan 20 jaar later staat hetzelfde systeem nog steeds online, nu met Windows XP/2003 omdat er geen geld is noch vrijgemaakt wordt om de technologie bij te houden.

Wat ik zeg is: hou het geanonimiseerd bij, en construeer de identiteit (en decryptiesleutels) op vraag eenmaal iemand voor je staat en eenmaal je het loket verlaat verdwijnt de identiteit van het systeem, en laat de patient dit uitwisselen via een blockchain, volledig anoniem. En behalve dan dat de verzekering en de overheid en verschillende commerciele instanties dan niet 'zomaar' in je data mag kijken maakt dat volstrekt geen verschil tov van vandaag.

En de 90% begint met voorschriften is kletskoek, wordt vaak opgebracht maar geen bron voor gegeven. En wij hebben evengoed hetzelfde probleem, je kunt vandaag naar Duitsland gaan en ze gaan niets weten van jouw voorschrift in Nederland, maar dat is niet hoe dit werkt.
"De gegevens tonen aan dat veel voorgeschreven opioïden niet de oorzaak zijn van de overdosisepidemie" (Bron: CDC WONDER).

Je moet ook weten waar er over gesproken wordt, in veel gevallen zijn het voorgeschreven pillen maar die in grote aantallen gestolen worden ofwel van apothekers/fabrikanten/vervoerders (inbraak of medewerkers met plakkende handen), huizen, autos etc, dus ja, ze zijn "legitiem" maar niet voor gebruik door de persoon die ze neemt en dit soort activiteit is 90% gerelateerd aan Zuid-Amerikaanse bendes (Mexicaans, Colombiaans etc), de Fentanyl komt echter van China die overeenkomsten hebben gemaakt om zoveel mogelijk vergif naar de VS te sturen (Bron: DEA). Veel jonge mensen die aan fentanyl sterven is het letterlijk hun eerste pil, zoals wij vroeger de XTC epidemie kenden, niet 40 jaar oude vrouwen die depressief zijn.

[Reactie gewijzigd door Guru Evi op 26 september 2024 18:45]

gaskabouter @Guru Evi26 september 2024 18:42
De overheid zegt nergens dat dat zo goedkoop mogelijk moet. Iedere zorginstelling is gewoon verplicht patiënt data te bewaren. Dat is een open markt van aanbieders. En dat maakt de uitwisseling een groot probleem.

En je suggestie is een oplossing voor een probleem dat er niet is want niemand heeft toegang tot die data en voor de mensen die wel toegang hebben wordt als toegang gelogd.

Jij beschrijft een ander soort beveiliging een alternatief voor wat er allang is. Alleen met het nieuwe buzz woord wat het probleem wat we altijd hadden helemaal niet oplost.

Of mensen die toegang hebben maken daar misbruik van. Blockchain of niet. Is mensen die geen toegang hebben verschaffen zich die. Blockchain of niet. Kan je als instelling nog steeds niet bij je data. Zelfde probleem wat we al hadden
Guru Evi @gaskabouter26 september 2024 18:47
Okay, verschaf jij maar eens toegang tot de originele data in een blockchain zoals Bitcoin, je bent morgen rijk moest je dit kunnen.

[Reactie gewijzigd door Guru Evi op 26 september 2024 18:47]

gaskabouter @Guru Evi26 september 2024 18:50
Veel succes met je op blockchain gebaseerde gedecentraliseerde epd!

Als je toegang, inzage door de patiënt en uitwisseling geregeld hebt zie ik de demo wel tegemoet!

[Reactie gewijzigd door gaskabouter op 26 september 2024 18:51]

Guru Evi @gaskabouter26 september 2024 19:03
Blijkbaar ben je niet op de hoogte van huidige technologie, natuurlijk niet ongewoon omdat we in Europa ver achterlopen op vlak van medische technologie (IT in het algemeen). Maar je kunt verschillende projecten vinden zie hier een reeks citaties voor verschillende ontwikkelingen: https://www.jmir.org/2020/8/e13598/citations

In de nabije toekomst is het ONC in de VS (Office of the National Coordinator for Health Information Technologies) van plan een blockchaininfrastructuur te introduceren die zorgbedrijven kunnen gebruiken om hun eigen bedrijfseigen systemen te bouwen.

Beth Israel Deaconess Medical Center in Boston heeft samen met onderzoekers van MIT een zes maanden durende test van blockchain in de echte wereld uitgevoerd. Het project was een succes en ze plannen aanvullende pilots met grotere netwerken van ziekenhuizen.

IBM ondersteunt blockchainimplementaties al meer dan een jaar alsook Amazon heeft HyperLedger Managed Services beschikbaar. IBM Watson Health is een partnerschap aangegaan met de Amerikaanse Food and Drug Administration (FDA) om een ​​veilige, efficiënte en schaalbare uitwisseling van gezondheidsgegevens te definiëren met behulp van blockchaintechnologie.

Patientory, een nieuwe leverancier van blockchainoplossingen voor de gezondheidszorg, heeft een op blockchain gebaseerde elektronische medische opslagservice gelanceerd. Gebruikers maken een individueel profiel aan met behulp van de mobiele app van het bedrijf en hun medische informatie wordt opgeslagen in een beveiligd, HIPAA-conform blockchainplatform. Het platform stelt gebruikers met vergelijkbare gezondheidsproblemen of -zorgen in staat om verbinding te maken met elkaar, hun artsen en hun zorgteams. Gebruikers kunnen dan actief meer te weten komen over hun algehele gezondheid en welzijn. Bovendien kunnen gebruikers en clinici het platform gebruiken om de patiëntenzorg over meerdere teams heen beter te beheren. De technologie is compatibel met een aantal EPD-systemen, waaronder Epic, Cerner, Allscripts en Meditech.

[Reactie gewijzigd door Guru Evi op 26 september 2024 19:04]

gaskabouter @Guru Evi26 september 2024 19:15
Ooit nog gewerkt in het Beth Israel. Bijzondere tent wel.

Hoe dan ook gaat het hier om mooie initiatieven van zo ongeveer de twee duurste instanties in Boston.

Maar hier gaat het echt om bestaande data uitwisselen op dezelfde manier als altijd met een andere beveiliging. Het voorkomt geen misbruik van data en geen gijzeling door ransomware.

En zoals ik eerder al zei. Inhoudelijk zijn die data echt niet zo interessant voor hackers. Die willen gewoon geld.
Guru Evi @gaskabouter26 september 2024 20:31
Misschien de 130+ citaties even nagaan, het is een "open source" ontwikkeling dus EHR wordt gedemocratiseerd niet alleen voor grote instituties die het nut vooral zien omdat EHR grotendeels mislukt in elk groot systeem - teveel silo's die al jaren hun 'eigen' systeem hebben - maar ook voor kleine en middengrote systemen in ontwikkelingslanden die het geld, contacten en overheidsstabiliteit niet hebben om even een multi-miljoen integratie met Epic aan te gaan.

Met gedecentraliseerde systemen kan iedereen een compatibele EHR opzetten, je kunt dit met een oude computer zolang je een Tomcat server kan installeren. Wil je je eigen bestanden bijhouden op een flash drive, kun je dat doen, wil je naar Verwegistan verhuizen, kunnen ze nog steeds je gegevens delen mits je hier toelating voor geeft.

Inhoudelijk is de data erg interessant, voor verzekeraars, voor mensen die je willen chanteren, voor bedrijven die je met advertenties willen lokken.
gaskabouter @Guru Evi26 september 2024 20:39
Ja prima initiatief. Alleen nogmaals. De data is niet interessant. Verzekeraars hebben die data namelijk allang van je. Die betalen de rekening namelijk. Reclame voor medicijnen is verboden en als je me 1 voorbeeld kan geven van een hacker die iemand chanteert om zijn ziekte weet je meer dan ik. Die zaken zijn er gewoon niet.

Er zijn wel zaken van zorgverleners die misbruik maken van informatie. En dat voorkom je hiermee niet.

Maar ik zeg dat al jaren en de mantra blijft dat die data zeer interessant zijn. Er is gewoon geen bewijs voor. Mensen zullen er bang voor zijn maar de realiteit is dat dat het gewoon niet zo is. Hackers willen je creditcard. Niet of je gevaccineerd ben
Guru Evi @gaskabouter26 september 2024 21:26
https://zorgictzorgen.nl/...etische-kliniek-litouwen/
gaskabouter @Guru Evi26 september 2024 21:32
Helder. Niemand heeft betaald. Direct aangifte gedaan. Data niet chantabel gebleken. Groep opgepakt.

Nogmaals. Data moet veilig zijn. Ook medische data. Met name medische data. Maar men chanteert op grote schaal bedrijven met de toegang tot die data. Niet de inhoud. Geen verdienmodel
Guru Evi @gaskabouter26 september 2024 21:50
Jij zegt dat het niet gebeurt, omdat de data waardeloos is. Het gebeurt wel degeiljk, je kunt wel meerdere verhalen vinden waar dit wel success heeft, daarmee dat ziekenhuizen ook voor de data betalen.

Wat zou je familie ervan denken als je AIDS hebt? Wat zou je baas denken moest je in behandeling voor mentale problemen zoals pedofilieneigingen? Jij werkt blijkbaar niet in de medische sector, maar voor veel mensen zou een behandeling voor drug-of-alcohol problemen hun licentie kosten, hoeveel vertrouwen heb jij in politiekers of zelfs je eigen man/vrouw moest die voor een SOA behandel worden, denk je echt dat er niets in een medisch dossier staat die niet tegen jouw gebruikt kan worden?

[Reactie gewijzigd door Guru Evi op 26 september 2024 21:52]

gaskabouter @Guru Evi26 september 2024 22:01
Natuurlijk gebeurt het sporadisch. Maar de voorbeelden die je noemt zijn puur hypothetisch en dan gaat en hacker echt targeted te werk. Er zijn genoeg voorbeelden van chantage met medische gegevens, maar voor de zoveelste keer, niet door ongeoorloofd toegang maar ongeoorloofd gebruik.

Maar goed ik ga je niet overtuigen dat er andere veel grotere risico's zijn.

En ik werk al meer dan twintig jaar in de gezondheidszorg, waaronder dus Beth Israel. Onder andere met reintegratie van verslaafde collega's. Je hoeft mij niet uit te leggen wat de emoties zijn. Maar risico beheersing gaat niet over emoties maar de realiteit

[Reactie gewijzigd door gaskabouter op 26 september 2024 22:09]

0b1 @PjotterP25 september 2024 14:19
Volledig akkoord. Maar er is een grote 'Maar'. Er moet tot elke systeem/toegang nog steeds enige vorm van authenticatie plaatsvinden en geen authenticatie toelaten op eerder gemaakte sessies binnen het platform. SSO heeft zijn voor en nadelen en zo zijn er nog. Ik kom regelmatig bij medische praktijken, dokters, kine, specialisten,.... De systemen liggen daar altijd bloot en open zonder toezicht. En ze stappen niet af van hun oude gewoontesn. We leven helaas in een tijdperk waar het kleinste gaatje misbruikt zal worden.
sdziscool @PjotterP25 september 2024 14:36
Niet zon slimme take, nu moeten alle kleine bedrijfjes allemaal hun eigen security regelen en duidelijk zijn ze daar allemaal erg slecht in, het zijn ook geen grote bedrijven die genoeg kennis of geld hebben om dit goed te regelen. Een centrale plek zou juist wel genoeg middelen en redenen hebben om beveiliging juist aan te pakken.
PjotterP @sdziscool25 september 2024 19:36
Als dat centrale punt lek is, is vervolgens alles lek.

Beter is deugdelijke de-centrale systemen die heterogeen zijn.
BeatBusters @PjotterP25 september 2024 14:45
Daarom wordt het Landelijk Schakel Punt ook gepromoot bij de Overheid in nl. Centralisatie is afgeschoten door de kamers.
Het huidige LSP begint nu op stoom te komen. De gegevens liggen nu bij de afzonderlijke bronnen en kunnen benaderd worden met een autorisatiesysteem per bron middels uzipassen, of digid
PjotterP @BeatBusters25 september 2024 19:34
Het landelijk schakelpunt is een multivector risico, geen oplossing.
sOid @3raser25 september 2024 13:56
Kun je iets delen over het soort gegevens dat van je kinderen is uitgelekt? Gaat het ook echt om inhoudelijke details/dossiers? Ik ken Infomedics eigenlijk alleen als facturatiesysteem.
Triblade_8472 @sOid25 september 2024 16:03
In het geval van mijn tandarts staan er de codes van de behandelingen op. Dus je kan precies uitzoeken wie wat ondergaan heeft. En dat moet ook wel, want je moet kunnen zien aan de factuur of je betaald voor terechte en ondergane behandelingen.
CH4OS @3raser25 september 2024 14:23
Klinkt bekend. Mijn ouders hebben ook een dergelijke brief gehad vorige week en vroegen mij al of ze iets moeten doen. Dus ik zei al dat ze wat meer moeten opletten op verdachte zaken of vragen om bepaalde informatie die normaliter niet gevraagd wordt. En indien dat het geval is, de boel gewoon te negeren.

[Reactie gewijzigd door CH4OS op 25 september 2024 14:23]

dss58 @3raser25 september 2024 15:21
ze beweren dat WiFi veilig is in vele instellingen, als iets niet veilig is dan is het WiFi
DigitalExorcist @dss5825 september 2024 16:44
Dat ligt aan je implementatie.
Triblade_8472 @3raser25 september 2024 16:01
Daar heb je accountants, ISO\IEC, ISAE, NEN, enz voor! Allemaal prachtige certificeringen die je garanderen dat alles op en top veilig is en netjes behandeld wordt.

In het geval van Infomedics is dat allemaal gecontroleerd door LRQA, dus dat moet wel goed zijn. Toch?

Al, eerlijk is eerlijk, in al mijn ervaringen met certificeringen is dit vooral een wassen neus naar de buitenwereld. Een borst klopperij - kijk eens hoe goed wij het doen! En soms is het vereist vanuit de overheid. Zolang je het stempeltje hebt, mag je mee doen.

Je moet niet veilig zijn, je moet doen alsof je veilig bent. Minimaal genoeg voor het stempeltje. De rest kost geld.

Veiligheid is voor het bedrijven niet belangrijk, de keuring doorkomen wel..
Mosterd @3raser25 september 2024 17:32
Het is eerder gezegd en ik zal het blijven herhalen: zolang wij bedrijven die slachtoffers zijn van hacks ook per direct als slachtoffer behandelen en niet als medeplichtige door nalatigheid op cybersecurity gebied, zul je dit blijven hebben.

In Amerika vinden dit soort hacks relatief minder vaak plaats dan in Europa vanwege de gigantische claims die erbij komen kijken en de veel hogere developer salarissen. Hier wordt er doodleuk gezegd “maar het bedrijf wat op php 5.4 draaide wou dit ook niet hoor” terwijl als je wat dieper graaft er al een offerte in de prullenbak van Gmail ligt voor upgrade werkzaamheden, “ja maar duur”.

Hoeveel van dit soort gevallen hebben we nu in Nederland alleen al niet gehad de afgelopen jaren? Bitvavo, allekabels, mediamarkt, Excluparts, etc.
nieuwveen @3raser25 september 2024 22:47
Ik heb dezelfde brief ontvangen. Het vreemde is dat geen enkel nieuwsplatform dit nog heeft opgepikt. Zoek maar eens op "Infomedics" via Google.
Puch-Maxi 25 september 2024 13:26
Heeft MediCheck ook Nederlandse klanten en zijn daar ook patiëntgegevens van gestolen?
edit:
Het gaat hier om medicheck.io

[Reactie gewijzigd door Puch-Maxi op 25 september 2024 13:41]

Z80 @Puch-Maxi25 september 2024 13:51
Volgens HLN
https://www.hln.be/tech/v...ekt-na-datahack~a1a56f18/

Verslagen van controle artsen bij controle bezoeken bij ziekmeldingen zo te zien.
<quote
Hackers hebben gegevens gelekt van het bedrijf MediCheck, dat in opdracht van grote werkgevers controles uitvoert bij werknemers die zich ziek melden. Op de gelekte documenten staan namen zoals H&M, bpost en DHL Aviation, maar ook patiëntgegevens.
Quote>
Dus als je, je niet ziek hebt gemeld dit jaar. En/of geen werknemer bent van een Belgisch bedrijf. Dan zit je niet in deze data set.
wildhagen
25 september 2024 13:27
Dat is dezelfde hackersgroep die 2 weken geleden ook al bezig was, toen bi Belgische verzekeraars: nieuws: Klantdata Belgische verzekeraars zijn gestolen, mogelijk door menseli...

Lekker dan, als op deze manier zeer vertrouwelijke medische gegevens op straat liggen. Die voor weet ik wat kan worden misbruikt tegen mensen.

En het vervelende is, zelfs al zou MediCheck het losgeld betalen (de eis daartoe zal ongetwijfeld nog volgen) is dat nog steess geen enkele garantie dat ze de rest van de buitgemaakte dossiers niet alsnog gaan publiceren, dus het risico blijft ook dan aanwezig.
Joshuffle 25 september 2024 13:30
Een andere week een andere belgische instantie waar veel informatie van burgers word buitgemaakt, volgensmij hebben ze nu ondertussen wel alle data van het hele land.
Lt.Mitchell 25 september 2024 13:45
Via het bedrijf kunnen werknemers zich ziek melden en MediCheck verzorgt het contact tussen de patiënten en artsen.
Wel een heel mooie omschrijving van controle-artsen die op vraag van (vaak multinationals) controleren of hun werknemers in ziekteverlof wel degelijk ziek zijn :-p
FairPCsPlease 25 september 2024 17:12
Het probleem is niet dat de beveiliging op orde is, het probleem is dat er mensen die zo gewetenloos zijn, dat ze vertrouwelijke gegevens stelen voor hun eigen gewin. Dát is het echte probleem! :(
henk pieters 25 september 2024 22:51
Het internet is niet geschikt voor het delen van gevoelige informatie, tenzij er duidelijke afspraken zijn met bijbehorende consequenties voor landen die vrij toegang hebben tot jouw grondgebied. Europa, de NAVO of andere betrouwbare samenwerkingsverbanden kunnen geen druk uitoefenen op hackers, die vaak uit Rusland en China komen, waar dit gedrag zelfs door leiders wordt aangemoedigd. Er zouden duidelijke sancties moeten komen voor het land waar een hacker zich bevindt, bijvoorbeeld een boete van 10 miljoen dollar per incident. Als deze boete niet wordt betaald, zou er ernstigere actie moeten volgen, zoals een militaire operatie (bijvoorbeeld een aanval op een energiecentrale). Zonder een dergelijk systeem kun je niet rekenen op veiligheid zodra je verbinding maakt met het internet. Idealiter zou het internet moeten worden opgeheven en vervangen door een gecontroleerd netwerk, waartoe alleen landen en autoriteiten kunnen toetreden die zich aan de gedragsregels houden, net zoals in de echte wereld.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq