Medische data van honderden patiënten ontdekt op harddrives van rommelmarkt

Op een rommelmarkt bij vliegveld Weelde zijn vijftien tweedehands harde schijven verkocht met daarop onbeveiligde medische gegevens van honderden patiënten. De schijven bevatten onder meer burgerservicenummers, medicatiegegevens en patiëntendossiers uit de periode 2011-2019.

De ontdekking werd gedaan door computerliefhebber Robert Polet uit Breda, die de schijven van elk 500GB aanschafte en tijdens een routinecontrole gevoelige bestanden aantrof. Dat bericht Omroep Brabant. Na een initiële scan en een daaropvolgende 'deep scan' kwamen talrijke gevoelige bestanden aan het licht. De ict-afdeling van een getroffen zorginstelling heeft aan Polet bevestigd dat de data komt van het inmiddels niet meer actieve bedrijf Nortade ICT Solutions uit Breda. Dat bedrijf bood software aan voor de zorgsector. Mogelijk kocht de verkoper de schijven tijdens de faillissementsverkoop van het bedrijf.

De regelgeving schrijft voor dat opslagmedia met medische gegevens professioneel gewist moeten worden met certificering. De vinder heeft de Autoriteit Persoonsgegevens ingelicht over het datalek en de betrokken zorginstellingen geïnformeerd.

Datavernietigingsspecialist Stefan Kasbergen verklaart aan Omroep Brabant hoe dergelijke gevoelige informatie op een rommelmarkt kan belanden: "Je kunt als bedrijf kiezen om het netjes te laten vernietigen en dan betaal je daar geld voor, of je verkoopt ze aan een 'refurbisher' en dan krijg je er geld voor. Je kunt, in het kader van het kostenplaatje, wel nagaan waar vaak voor wordt gekozen."

Reacties (198)

markjanssen 18 februari 2025 10:59

Stap 1: Enforce dat alle disks encrypted zijn
Stap 2: Bij recycling, wipe de key
Stap 3: Is er niet

The Zep Man

Beveiliging en antivirus
Datalek
Nederland

@markjanssen • 18 februari 2025 11:05

Stap 1: Enforce dat alle disks encrypted zijn
Stap 2: Bij recycling, wipe de key
Stap 3: Is er niet

Stap 4:
Een paar jaar later blijkt dat de versleuteling niet zo veilig was als geacht. Brute forcing kost hooguit enkele uren of dagen.

Stap 5:
Data ligt op straat.

Mediadragers moeten gewoon vernietigd worden. Al kan een bedrijf dat niet zelf meer (faillissement), dan moet een curator hiervoor verantwoordelijk en aansprakelijk gesteld worden. Daar is ruimte voor:

Of de zorgvuldigheidsnorm is geschonden, hangt af van de omstandigheden van het geval. Van schending kan bijvoorbeeld sprake zijn indien de curator:
(...)
heeft nagelaten noodzakelijke diensten af te nemen (door bijvoorbeeld onroerend goed te verkopen zonder taxatie);

Als datavernietiging noodzakelijk wordt geacht, dan kan de dienstverlening om dat te bewerkstelligen gezien worden als noodzakelijk.

[Reactie gewijzigd door The Zep Man op 18 februari 2025 11:11]

JumpStart @The Zep Man • 18 februari 2025 11:24

Ik vind jou stap 4 wel héél gemakkelijk.

Nou is de ene encryptie methode de andere niet, maar wanneer Westerse overheden AES-256 gebruiken als de Gold Standard, dan moet je niet per sé Roomser dan de Paus willen zijn en stellen dat de versleuteling toch gewoon kwetsbaar is.

Mits de juiste encryptie wordt toegepast is zijn medische gegevens veilig genoeg. Als mijn gegevens over 40 jaar op een quantumcomputer te brute forcen zijn, dan zijn die gegevens toch niet (meer) relevant.

Nimja @JumpStart • 18 februari 2025 11:29

Totdat je kinderen in de gevangenis worden gegooid omdat je blijkbaar bij bevolkingsgroep C hoort, wat bewezen is door die documenten.

Je privacy is je privacy, ook na 40 jaar.

JumpStart @Nimja • 18 februari 2025 15:40

Om maar even een flinke dood-doener er tegenaan te gooien:

Risico is de vermenigvuldiging van de kans DAT iets gebeurt en de grootte van de gevolgen ALS het gebeurt.

Dat mijn gegevens 1) op een verloren versleutelde HD staan, en 2) dat deze boven water komen en 3) dat deze gekraakt worden en 4) dat er vervelende gevolgen ontstaan bij nageslacht? Dat is een uiterst klein risico.

Netjes aan gecertificeerde data vernietiging doen is prima hoor, maar als je AES-256 gebruikt en de sleutel weggooit bereik je effectief vrijwel hetzelfde. Ik schreef niet voor niets "mits de juiste encryptie wordt toegepast".

JurGor @JumpStart • 18 februari 2025 16:22

De kans dat iets gebeurt met privacy gevoelige informatie is groter dan je denkt, nu onze liberale democratieën aan alle kanten onder druk staan van autocratische machten die het niet zo nauw nemen met grondrechten en bepaalde bevolkingsgroepen graag een "voorkeursbehandeling" geven, waarbij techmiljardairs het voortouw nemen. Hoe lang is je AES-256 encryptie bestand tegen een order van Elon Musk?

Je privacy is nog nooit belangrijker geweest dan nu.

Llopigat @JumpStart • 18 februari 2025 17:52

Die kans is echt wel heel klein. Dat die drives na 40 jaar nog bestaan, dat ze nog werken, dat iemand ze in bezit heeft die er kwaad mee wil, en dan ook nog eens weet dat er waardevolle data op staat zodat het uberhaupt de moeite is om de encryptie te proberen te kraken.. Dat is echt astronomisch. Laat staan dat er sowieso een enorme kwetsbaarheid in AES gevonden moet worden.

40 jaar geleden nu was het 1985. Het is al lastig genoeg om floppy's uit die tijd te ontcijferen. Ik heb het pas nog geprobeerd.

In de praktijk komen dit soort dingen gewoon altijd naar boven door enorme stommiteiten zoals hier.

[Reactie gewijzigd door Llopigat op 18 februari 2025 17:53]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@JumpStart • 18 februari 2025 17:51

AES-256 gebruikt en de sleutel weggooit bereik je effectief vrijwel hetzelfde. Ik schreef niet voor niets "mits de juiste encryptie wordt toegepast".

Naar de huidige stand der techniek wellicht maar het vervelende is juist dat die stand der techniek continue veranderd. Wat nu als afdoende wordt gezien is dat over een tijd(je) misschien niet meer. Dat nog los van bv implementatiefouten etc.

bwerg @Bor • 18 februari 2025 19:20

Dat is op zich waar, maar symmetrische cryptografie is relatief simpel in vergelijking met asymmetrische cryptografie. Bot gezegd werkt die eerste door gewoon de bitjes een beetje door elkaar te husselen terwijl die tweede op een vrij complexe wiskundige basis vertrouwt. Bij die laatste kan quantumcomputing ook nog roet in het eten gooien, bij symmetrische crypto is daar vooralsnog geen sprake van.

Ja, vernietigen geeft natuurlijk altijd nog meer zekerheid, maar ik maak me dus niet zo'n zorgen om een schrijf die met AES versleuteld is (zolang de sleutel niet '123456' is).

Cuddle-sheep @Nimja • 19 februari 2025 08:21

Ik denk dat als ik hdd's koop ik ze niet 40 jaar wil bewaren om ze mogelijk te ontcijferen. Dan wil ik ze zeer waarschijnlijk het komende jaar zelf gaan gebruiken.

klakkie.57th @JumpStart • 18 februari 2025 11:32

Stil dat je vandaag 12 bent dan is 40 jaar is wel erg kort. Daarenboven is 40 jaar met betrekking tot nieuwe technieken een eeuwigheid.

Verplichte vernietiging is de enige oplossing en is helemaal zo moeilijk niet.

[Reactie gewijzigd door klakkie.57th op 18 februari 2025 11:32]

2playgames @JumpStart • 18 februari 2025 13:23

En daarbij is AES bovendien niet kwetsbaar voor quantumcomputers

Rossman @JumpStart • 18 februari 2025 15:25

Voor medische dossier bij blootstelling aan giftige stoffen (vervuilde grond, asbest, metalloïde verbindingen in oplosproducten en verf bijv) geldt al een bewaarplicht van (minmaal) 40 jaar, en die gegevens zijn dus nog heel relevant...

Niema @JumpStart • 18 februari 2025 14:26

In dit geval was het 6 jaar later. En hou ook rekening mee dat bedrijven niet elk jaar hun encryptie systemen wijzigen. Uiteraard ging dit bericht over geen enkele encryptie, maar als je als bedrijf een encryptie systeem met sha-1 hebt ingeregeld in 2000 kan ik me best voorstellen dat je het nu nog steeds gebruikt

aikebah @Niema • 18 februari 2025 18:58

Je encrypt niet met sha-1, met sha-1 kun je hashen.

mcyh @aikebah • 18 februari 2025 20:17

Daar is/was het voor bedoeld. Wie weet hoe creatief zijn sommigen ermee geweest.

ninjazx9r98 @JumpStart • 18 februari 2025 23:27

Ooit was MD5 de gold standard......
Vernietigen door ze te shredden tot stukjes van een aantal mm is wat dat betreft de veiligste oplossing.

RobbieB @JumpStart • 18 februari 2025 11:35

Met alles wat er nu in de US gaande is, zien we hopelijk eindelijk in waarom privacy écht belangrijk is. Iets wat nu als 'normaal' en 'geaccepteerd' wordt gezien, hoeft dat over x-aantal jaar niet meer te zijn. Sterker, er kan een actieve en gerichte hetze tegen gevoerd gaan worden. Of bepaalde data kan gebruikt worden om je naar 'wellness-farms' op het platteland (lees: werkkampen) te sturen: https://www.vanityfair.co...iming-threat-to-americans

DAT is waarom fatsoenlijk wipen van data wel belangrijk is.

Grrrrrene

@RobbieB • 18 februari 2025 12:53

Niet alleen dat, maar ook dat we ons niet zo afhankelijk moeten maken van Amerikaanse softwareleveranciers en dienstverleners. De hele (westerse) wereld werkt in de cloud via Google, Amazon en Microsoft, allemaal Amerikaanse bedrijven. En onttrek je maar weer eens aan die clouds, dat valt nog niet mee. Bij mij op werk staat ook alles in Sharepoint online. Hartstikke handig qua ICT support waarschijnlijk, maar volledig afhankelijk van de VS waar we jarenlang vriendjes mee waren, maar wat nu een bekoelde relatie begint te worden.

Marve79 @Grrrrrene • 18 februari 2025 13:26

Normaal geen probleem want de VS is een bevriende natie. Alleen Trump ziet het blijkbaar als logisch om z'n vrienden te laten vallen en met Poetin en Xi te gaan heulen. Laten we hopen dat dat over 4 jaar (of eerder, please) weer voorbij is.

FreezeXJ @Marve79 • 18 februari 2025 13:50

Hoop is geinig maar niet voldoende om data security te garanderen...

Laten we er vast rekening mee houden dat Trump je gegevens vogelvrij verklaart want z'n vriendjes vinden het veel geld waard.

mbbs1024 @RobbieB • 18 februari 2025 17:57

Niet alleen dat, maar het is ook een risico als zulke data in handen van verzekeraars komt, die het kunnen gebruiken om mensen uit te sluiten.
In de VS is dat een courante praktijk, momenteel nog niet in Europa, maar gezien de trend van verrechtsing van het stemgedrag, zit dat er binnenkort misschien wel aan te komen.

Guus Leeuwis @mbbs1024 • 18 februari 2025 19:50

Commercialisering van, en uiteindelijk uitbuiten van burgers kan overal hoor, zowel bij liberalen als conservatieven. "Verrechtsing" is een eenzijdig perspectief.

mbbs1024 @Guus Leeuwis • 20 februari 2025 14:01

Met verrechtsing bedoelde ik dan ook economische verrechtsing, en daar vallen in België alvast de liberalen erg sterk onder.
Net als NVA willen ze de openbare dienstverlening zoveel mogelijk afbouwen, ten voordele van de private sector, die er dan flinke winsten gaan uitslaan door de dienstverlening te verlagen tot enkel de economisch interessante stukjes, en de prijzen voor de consument te verhogen, waardoor de burger uiteindelijk een stuk meer zal gaan betalen.

Guus Leeuwis @mbbs1024 • 22 februari 2025 08:58

Ja mee eens. Als je zulke keuzes maakt dan mis je lange termijn visie.

Mark87 @The Zep Man • 18 februari 2025 12:00

Zat er geld in het faillissement? Anders heb je mogelijk niet eens budget om het goed te doen.

The Zep Man

Beveiliging en antivirus
Datalek
Nederland

@Mark87 • 18 februari 2025 12:17

Dat is het risico van de curator. Ondernemen is risico's nemen.

Blokker_1999

Datalek
Beveiliging en antivirus
Nederland

@The Zep Man • 18 februari 2025 12:30

Op het moment dat een curator je bedrijf aan het runnen is heb je teveel risico genomen en gefaald

dasiro @Blokker_1999 • 18 februari 2025 12:47

hij bedoelt: dat is het risico van het beroep curator. Hij moet op de hoogte zijn van alle wettelijke vereisten waaraan moet voldaan worden op dezelfde manier als de oorspronkelijke bedrijfsleider.

Geen idee hoe je curator wordt (de aanstelling wel), maar dat zal ook niet zomaar eender wie zijn die de boel verkoopt om zoveel mogelijk geld te recupereren voor de schuldeisers (al komt het daar vaak wel op neer).

Aldy @dasiro • 18 februari 2025 13:27

verkoopt om zoveel mogelijk geld te recupereren voor de schuldeisers

Maar op de eerste plaats komt daar de curator. Hij ontvangt een vorstelijk salaris uit een faillissement en wordt betaald voordat de schuldeisers aan bod komen.

Tintel @Aldy • 18 februari 2025 13:56

Juist - en de reden daarvoor is een 'opgelegde' verantwoordelijkheid (de curator is opeens verantwoordelijk voor wat anderen hebben gedaan). Maar het kan zo zijn dat de drives al verkocht waren voordat de curator in beeld kwam.

(Overigens vind ik het wel wat verwerpelijk dat de curator zo riant wordt betaald maar goed, dat is een andere discussie).

Aldy @Tintel • 18 februari 2025 14:12

Maar het kan zo zijn dat de drives al verkocht waren voordat de curator in beeld kwam.

Als dat zo is, dan vraag ik mij af of de bestuurders nog aansprakelijk gesteld kunnen worden voor onbehoorlijk bestuur of in ieder geval persoonlijk aansprakelijk voor de boete. Je moet ook nog bedenken dat er ten tijde van het faillissement minder strenge AVG-wetgeving bestond.

emeralda @Mark87 • 18 februari 2025 12:58

Het is net als met verontreinigde grond: de gemeenschap draait er uiteindelijk voor op want het bedrijf is pleite.

Aldy @The Zep Man • 18 februari 2025 13:20

Toen ik las over het failliete bedrijf dacht ik ook gelijk aan de curator. Als ik het goed begrijp zal de AP de curator verantwoordelijk kunnen houden en eventueel aan de curator een boete uit kunnen delen?

Han_Solo @The Zep Man • 18 februari 2025 14:40

Goed punt en ik hoop ook dat de curator aansprakelijk wordt gesteld. AVG is ook voor curatoren. Liefst geen civiele zaak, maar gewoon door de overheid.

Triblade_8472 @The Zep Man • 18 februari 2025 13:25

[...]

Stap 4:
Een paar jaar later blijkt dat de versleuteling niet zo veilig was als geacht.

Stap 5:
Data ligt op straat.

Stap 6: .....
Stap 7: Profit

Want uiteindelijk is het daarom te doen en de hoofdreden dat je dit never, ever op straat wil hebben.

Ben benieuwd welke "waarschuwend" wapperende vinger er naar de zorginstelling uitgestoken wordt en hoe zij hun handen wassen in onschuld. Wat het was natuurlijk een derde, en hoewel de zorginstelling ervoor verantwoordelijk is, nemen ze die echt niet natuurlijk. Glas, plas, was.

Jerie

@The Zep Man • 18 februari 2025 18:22

Ja, zoals LUKSv1, FileVault v1, of Bitlocker. In geval van LUKS en Bitlocker betrof het downgrade attacks!!

Desondanks, HDDs zijn eigenlijk het probleem niet. DoD zegt al sinds jaar en dag 6x overschrijven met pseudorandom data. Linux documentatie van IIRC GNU Shred zegt 30x. Als dan ook nog de data van origine versleutelt was, dan ligt de lat heel hoog.

Bij flash geheugen (USB, SSD, NVMe) wordt het lastiger. Die hebben een proprietary firmware laag zitten, die met de data speelt. Daar kun je niet van op aan.

Omnicron1 @The Zep Man • 19 februari 2025 18:05

Yep ! en maar roepen dat alles in de cloud moet !
Maar da's ook maar een pc of dikker server die door iemand bediend wordt.
EN als de boel dan failliet gaat zie je wat er met je gegevens gebeurd. Geweldig !

Antiloop @The Zep Man • 19 februari 2025 19:55

ik zag in het verleden vaak op veilingen dat servers e.d. juist zonder harddisks aangeboden werden, waarschijnlijk vanwege al het bovengenoemde

StormRider @markjanssen • 18 februari 2025 12:48

Storage encryption en caching zijn vaak niet goede vriendjes. Uitgaande dat data netjes in een veilig datacenter zit…. Tegenwoordig werken er allerlei applicaties samen over verschillende api’s. Je lekt ondanks de encryptie toch vaak data.

Je moet zorgen voor goed ge-update applicaties en voornamelijk beschermen voor bedreigingen van buitenaf. Bedreigingen als ramsomeware zijn veel belangrijker op dit moment.

Tegenwoordig willen alle bedrijven groen zijn en delen de oude hardware in als ‘recycling’ Stap 1 blijft: volgens norm formatteren, ongeacht waar het heen gaat.

Bender @markjanssen • 18 februari 2025 11:18

Stap 3: Vernietig de schijf.

Ik kan geen enkel argument bedenken om een harde schijf weer te verkopen. De tweedehands waarde is nihil.

Zelfs ik verkoop schijven niet, het risico is het me niet waard.
(het vernietig gedeelte moet ik nog wel doen, heb nog schrijven van 20 jaar oud liggen...

)

[Reactie gewijzigd door Bender op 18 februari 2025 11:19]

Ed Vertijsment @Bender • 18 februari 2025 11:23

Zit soms vastgesoldeerd op het moederbord (MacBooks), je kunt dan de de data proberen te vernietigen of de machine e-wasten, liever zou ik zo'n machine kunnen hergebruiken bijvoorbeeld voor gebruik in onderwijs voor deze die niet zelf een machine kunnen aanschaffen.

toxict @Ed Vertijsment • 18 februari 2025 13:22

Dus vanuit de EU bedrijven verplichten geen media dragers vast te solderen, maar altijd via industriestandaard sockets te monteren.

Ed Vertijsment @toxict • 18 februari 2025 13:32

Ik ben voor, maar voor nu vind ik het wat ver gaan om machines te vernietigen die nog goed zijn, voor de data, Die ook gewist kan worden.

Bender @Ed Vertijsment • 18 februari 2025 15:13

Als het vastgesoldeert is is het een ander verhaal, maar dat is bij desktops niet zo.
En een andere ssd is tegenwoordig heel goedkoop.

Blokker_1999

Datalek
Beveiliging en antivirus
Nederland

@Bender • 18 februari 2025 12:33

Bij een faillisementsveiling wordt gewoon heel de inboedel verkocht "as-is" Heb zo in het verleden ook servers gekocht voor een appel en een ei, en die worden zelden gewist. Elke euro dat er uit komt is een euro extra voor de schuldeisers.

Bender @Blokker_1999 • 18 februari 2025 15:12

Dat weet ik helaas.
En ook die zouden zonder disk verkocht moeten worden.

Dr. Prozac @Bender • 18 februari 2025 12:52

(het vernietig gedeelte moet ik nog wel doen, heb nog schrijven van 20 jaar oud liggen... )

Ik haal de platters eruit en gooi de rest weg.

kujinshi @Dr. Prozac • 18 februari 2025 13:18

Met een schroevedraaier 5 minuten klooien en krassen. En die HDD is zeker onbruikbaar en er valt niks meer af te halen (wegens krom en krassen).

leendt @Bender • 18 februari 2025 12:53

Ik verkoop of doneer mijn prive schijven wél. Data is versleuteld en daarna gaat er nog een wipe of sanitize overheen met als laatst een extended self test in geval van HDDs om er zeker van te zijn dat ik geen troep weggweef. Goed genoeg voor mij.

Bij zo'n instelling wil je nooit het risico nemen dat een stap vergeten wordt of het resultaat van een santize commando gemakshalve niet gecheckt wordt. Dus ja, dan natuurlijk shredder.

Wat ik hier het ergste vind is dat dit soort data niet versleuteld was. Dat was ook in 2011 al normaal en zeer makkelijk op alle OSsen.

Omnicron1 @leendt • 19 februari 2025 18:06

Gewoon schijven vernietigen , en niet doorverkopen

we_are_borg @markjanssen • 18 februari 2025 11:22

Stap 1: Enforce dat alle disks encrypted zijn
Stap 2: Bij recycling, wipe de key
Stap 3: Daarna gaat de disk door een shredder geen uitzonderingen.

FrostyPeet @markjanssen • 18 februari 2025 11:39

Ongeveer een jaar of 30 geleden was er de beroemde Rainbow serie van de Amerikaanse defensie. Die kon je gratis bestellen en een maand ofzo later keek de postbode je vuil aan omdat hij een mega doos moest sjouwen naar je woning. Elk boek had een kleur van de regenboog vandaar die bijnaam. Elk boek ging over een bepaald aspect van beveiliging en data omgang. In een boek stond keurig netjes in hoe je met "verlopen" opslagmedia moest omgaan. Met uitgebreide uitleg hoe deze te vernietigen. Elk veiligheidsniveau had zijn eigen aanbevolen vernietiging protocol.

Helaas leren mensen niet van het verleden en proberen ze elke keer het wiel opnieuw uit te vinden.

Antipater @markjanssen • 18 februari 2025 11:13

Stap 0: stel eigenaren van bedrijven persoonlijk aansprakelijk voor een beperkt aantal misdrijven, een verantwoordelijkheid die na het einde van het bedrijf blijft bestaan
Stap 3: vervolg actief overtreders

MSalters

Nederland

@Antipater • 18 februari 2025 11:34

Aandeelhouders van een BV persoonlijk aansprakelijk stellen is een verregaande stap. Het zou bijvoorbeeld betekenen dat Nederlandse aandelen in waarde zouden kelderen, en dat veel bedrijven naar het buitenland zouden moeten vertrekken (op bevel van de respectievelijke aandeelhouders).

Kortom, kansloos.

FreezeXJ @MSalters • 18 februari 2025 14:07

Niet geheel want die optie hebben we al, maar dan moet je wanbeheer aantonen. Pittig klusje maar niet onmogelijk.

Om dat ook voor gegevensbescherming in te gaan zetten is denk ik een far stretch, hoewel ik het prettig zou vinden voor uw en onze veiligheid.

MSalters

Nederland

@FreezeXJ • 18 februari 2025 16:14

Nee, dan moet je wanbeheer van de bestuurders aantonen. Dat zijn lang niet altijd de eigenaren.

En het probleem daarmee is dat die bestuurders vervangen zijn door de curator in een faillisement, en daardoor niet meer aansprakelijk voor het later uitlekken van gegevens.

Mark87 @Antipater • 18 februari 2025 11:59

Wie zou dat bij een faillissement zijn? Immers beslist de oud eigenaar er dan niet meer over. En hoe doe je dat met een beursgenoteerd bedrijf?

TigerXtrm @markjanssen • 18 februari 2025 11:29

Stap 1 is gewoon dat schijven die niet langer gebruikt worden door de schredder heen worden gehaald als er ooit in het verleden gevoelige informatie op heeft gestaan. Die ga je toch godverdomme niet verkopen als je falliet gaat

Omnicron1 @TigerXtrm • 19 februari 2025 18:06

Juist, Beter had ik het niet kunnen zeggen. Absoluut mee eens

Jochem

@markjanssen • 18 februari 2025 13:22

Stap 1 - stop informatie op een RAID 0 of 3+ systeem zodat gegevens niet op een enkele harddisk te herleiden zijn zonder de controller erbij
Stap 2 - is er niet

[Reactie gewijzigd door Jochem op 18 februari 2025 13:23]

Tintel @Jochem • 18 februari 2025 14:01

Het kan hier ook om laptops gaan.... dus dat idee is dan wat moeilijker uitvoerbaar.

deadinspace @Jochem • 19 februari 2025 15:03

Stap 1 - stop informatie op een RAID 0 of 3+ systeem zodat gegevens niet op een enkele harddisk te herleiden zijn zonder de controller erbij

Dat is dus echt totaal niet secure.

RAID wordt doorgaans in vrij grote blokken gestriped (128KiB bv). Dat betekent dat 128KiB op de ene disk staat, en de volgende 128KiB op een andere disk. Als je maar één disk hebt dan mis je dus de nodige data, maar je hebt telkens wel een complete 128KiB block. En daar kunnen heel wat BSNs in staan die je dan makkelijk er uit kunt pulken.

En nee, de controller heb je daar echt niet voor nodig.

HermanX @markjanssen • 18 februari 2025 15:18

Stap 3: Disk professioneel laten wipen met certificaat. Het gaat om medische gegevens risico's zijn onaanvaardbaar.

Wij gebruiken ook nog een stap 4. Vernietiging van de disk.
Standaard encrypted.
Stap 1: iets als DBAN erop los.
Stap 2: Door een gecertificeerd bedrijf leeghalen.
Stap 3 gaan ze intern bij ons weer in gebruik.
dit gaat door tot ze afgeschreven zijn.
Wanneer ze permanent de deur uitgaan is de laatste stap altijd vernietiging.

LastSamurai @markjanssen • 18 februari 2025 15:19

Bij de opsporingsinstantie waar ik ooit werkte gingen alle gegevensdragers netjes de shredder in. Mobiele shredder kwam langs, ambtshalve rapport opmaken met de serienummers en klaar. Knappe jongen die daar nog data afkrijgt.

Kcirtap @markjanssen • 18 februari 2025 15:39

Maakt toch niets uit. Allerlei partijen die onze gegevens doorgeven aan nota verstuur clubjes of boeken verstuur clubjes om maar wat te noemen. Die clubjes geven geen ruk om de data want het zijn toch hun klanten niet en de info van praktisch heel Nederland ligt in no time op straat, want waarom zou je geld uitgeven aan iets wat je niet boeit. De partijen die de info gegeven hebben hebben geen centje gezeur en zijn dolblij met de 0,1% kostenbesparing die het heeft opgeleverd.

[Reactie gewijzigd door Kcirtap op 18 februari 2025 15:40]

ErikT738 18 februari 2025 10:24

De regelgeving schrijft voor dat opslagmedia met medische gegevens professioneel gewist moeten worden met certificering.

Ja succes daarmee als het bedrijf failliet is en de medewerkers die dit in gang moeten zetten en het bedrijf wat dit uit moet voeren niet meer worden betaald. Als je dit echt wilt waarborgen dan zal je er een stichting o.i.d. voor op moeten zetten.

i-chat @ErikT738 • 18 februari 2025 10:31

uit het artikel (de zorginstelling is op de hoogte gesteld), kortom faillissement is hier niet aan de orde, iemand (vermoedelijk personeel) heeft gewoon gedacht, "een extra zakcentje"

het is een organisatie dus weldegelijk aan te rekenen dat ze niet goed hebben zitten opletten of die data wel volgens de regels werd vernietigd.

Christoxz @i-chat • 18 februari 2025 10:42

Het gaat op faillissement van de IT dienstverlener. Het is nu dus de vraag waarom deze dienstverlener harde schijven had met patiënt gegevens, terwijl deze volgens mij op locatie horen te blijven, dus bij de zorginstelling.

Maar wellicht waren de harde schijven vervangen, en mee genomen door de IT dienstverlener om vernietigd te worden en toen failliet zijn gegaan.

Leon Straathof @Christoxz • 18 februari 2025 12:15

Of de zorginstelling nam een SaaS dienst af en de data stond in het datacenter van dit externe bedrijf.

HermanX @Christoxz • 18 februari 2025 15:21

Dat is afhankelijk van de verwerkingsovereenkomst.
Een groot deel van de zorg neemt tegenwoordig alles af van MS. Daarmee verdwijnt het dus zomaar de cloud in.

fenrirs @i-chat • 18 februari 2025 12:29

Misschien is de zorg instelling ook wel aansprakelijk. Wat doet medische data op systemen van een leverancier? Die horen eigendom te zijn van de zorginstelling

DeDooieVent @ErikT738 • 18 februari 2025 10:27

Denk ik ook, lijkt me verstandiger om een goede versleuteling van dit soort data te eisen bij leveranciers.

gorgi_19 @DeDooieVent • 18 februari 2025 11:13

En dan heb je een goede versleuteling, alles op orde..

En worden bij een failissement de objecten verwijderd uit Intune..

Versleuteling weg...

Blokker_1999

Datalek
Beveiliging en antivirus
Nederland

@gorgi_19 • 18 februari 2025 12:36

Met intune zit je weer bij end-user devices, en daar snap ik wel dat als je ze uit intune verwijderd, dat ook alle policies verdwijnen. Dat is heel het doel. Je wilt ook geen Bitlocker actief houden op een apparaat wanneer je de recovery keys net hebt weggegooid.

Wil je dat voorkomen? Zorg dat er een Bitlocker PIN code opstaat, dan kan een gestolen systeem niet opstarten want geen PIN, dus ook nooit merken dat deze uit Intune verwijderd is en blijft Bitlocker actief.

Of als het een hybride omgeving is, zet je Bitlocker aan met GPO.

downtime @DeDooieVent • 18 februari 2025 10:33

Dat wordt waarschijnlijk al geeist. Maar zonder toezicht heb je niet zoveel aan eisen.

mphilipp @ErikT738 • 18 februari 2025 10:30

Het is niet alleen dat die mensen niet meer betaald worden; ze kunnen het bedrijf niet meer in. Dus ook al hadden zij het willen doen, kán dat gewoon niet meer. Eigenlijk zou dit iets moeten zijn dat de bedrijfsleiding aangeeft aan de executeur curator van het faillisement oid. Die zou daar zelf ook alert op moeten zijn.

Ik was in de jaren '80 ook in dienst bij een bedrijf dat failliet ging. Een paar jaar later kwam ik weer in dienst bij die oude baas, die inmiddels een nieuw bedrijf was gestart. De grap was dat ie via zijn broer de failliete boede had gekocht voor een prikkie en daarmee het nieuwe bedrijf had opgezet. Gewoon met de oude PC's verder gegaan, en alles stond er nog op...

[Reactie gewijzigd door mphilipp op 18 februari 2025 11:13]

Wouterie @mphilipp • 18 februari 2025 10:53

Dan is het de verantwoordelijkheid van de curator. Maar hoe dan ook is de zorginstelling eindverantwoordelijk voor de data dus patiënten kunnen hun daarop aanspreken en verantwoordelijk houden. Schiet je verder niets mee op trouwens. Maar ja, wetgeving en zo... fijn.

mphilipp @Wouterie • 18 februari 2025 11:13

Precies. De tent is failliet, dus boetes kun je wel opleggen, maar niemand gaat betalen...

CamelKnight @mphilipp • 18 februari 2025 11:18

Je zegt een beetje sarcastisch (neem ik aan) dat dat een grap was, maar de realiteit is dat dit met regelmaat gebeurd. Een bedrijf wil of kan de rekening niet meer betalen, gaat failliet, verkoopt de inboedel voor een prikkie aan een nieuw bedrijf dat dezelfde eigenaar ook opgezet heeft en gaat vrolijk op dezelfde voet verder maar onder een (licht aangepaste) andere bedrijfsnaam.
Zo worden jaarlijks vele mensen opgelicht voor vele duizenden euro's en ze komen er nog makkelijk mee weg ook. Ze zijn namelijk niet hoofdelijk aansprakelijk en dus kan er gewoon doorgegaan worden.

Jaren geleden eens opgelicht door een bedrijf dat airco's verkocht en onderhield. Mooie deal bedongen met extra lang onderhoud vanwege de leveringsproblemen die ze hadden. Helaas leverden ze broddelwerk op en na vele telefoontjes werd er gewoon niet meer opgenomen. Airco die niet werkte, bedrijf vervolgens failliet. Website weg, telefoonnummer werkte niet meer, you name it. En nog geen week later zie ik dezelfde gast in dezelfde bus met een andere bedrijfsnaam rondrijden.
Die airco moest ik uiteindelijk laten maken door een gespecialiseerd bedrijf die zich echt afvroegen hoe ze dit zo erg hadden kunnen verklooten. Kostte ons nog eens € 1000 extra.

Yucko @CamelKnight • 18 februari 2025 11:32

heb je nog geluk gehad, doorgaans doen bedrijven geen onderhoud/reparaties aan airco's die door andere bedrijven geïnstalleerd zijn.

mphilipp @CamelKnight • 18 februari 2025 12:22

Je zegt een beetje sarcastisch (neem ik aan) dat dat een grap was, maar de realiteit is dat dit met regelmaat gebeurd. Een bedrijf wil of kan de rekening niet meer betalen, gaat failliet, verkoopt de inboedel voor een prikkie aan een nieuw bedrijf dat dezelfde eigenaar ook opgezet heeft en gaat vrolijk op dezelfde voet verder maar onder een (licht aangepaste) andere bedrijfsnaam.

Nee, dit is gewoon wat er gebeurd is. Als ik zeg 'de grap was...' bedoel ik dat het bijna een grap lijkt. Ik weet dat dit soort dingen gebeuren. Hoe de zaak echt zat, weet ik niet. Ik weet alleen dat ie toen iets zei over de fiscus die 'm een kunstje flikte oid. Of je 'm een oplichter kon noemen weet ik niet. Het was wel een boefje in de zin dat ie elke grijze zone in wetgeving wist uit te buiten in zijn voordeel.

Het nieuwe bedrijf bestond op papier al 5 jaar ofzo, en bestaat nog steeds en is een respectabel bedrijf, een van de grootste in zijn soort inmiddels. Ik heb er nog met veel plezier 8 jaar gewerkt.

Tintel @mphilipp • 18 februari 2025 14:05

De grap was dat ie via zijn broer de failliete boede had gekocht voor een prikkie en daarmee het nieuwe bedrijf had opgezet.

Eigenlijk komt dat in de buurt van faillisement fraude. Geen echte doorstart => deel schuldeisers van bedrijf #1 verliest waar ze recht op hadden.
Op zich mooi dat de mensen weer aan het werk kunnen en misschien geen kwade opzet maar blijft een typische manier van doen.

master.fean @ErikT738 • 18 februari 2025 10:28

Je zou eventueel ook gewoon de verantwoording bij de bewindvoering kunnen leggen. Ik zou ze persoonlijk aansprakelijk stellen voor een boete. Daar hoeven we geen publiek geld voor te spenderen.

Dit zou gewoon een vaste kostenpost in het ontmantel proces van een bedrijf met dit soort gegevens moeten zijn.

[Reactie gewijzigd door master.fean op 18 februari 2025 10:32]

The Zep Man

Beveiliging en antivirus
Datalek
Nederland

@master.fean • 18 februari 2025 10:37

Je zou eventueel ook gewoon de verantwoording bij de bewindvoering kunnen leggen.

Dat ligt eraan wie die schijven verkocht. Als dat de curator was, dan is die (ook) verantwoordelijk.

Merik @master.fean • 18 februari 2025 12:26

Inderdaad, je zou toch aannemen dat er draaiboeken zijn voor dit soort dingen voor zo'n bewindvoerder. Of misschien zijn die er nu, lijkt alsof dit al een tijd geleden was.

xeonzs @ErikT738 • 18 februari 2025 10:27

Precies, de men die dit zou doen zijn tegen die tijd al lang ontslagen, alleen administratief personeel nog over misschien.

foppe-jan @xeonzs • 18 februari 2025 10:50

lijkt me net zo waarschijnlijk dat het gebeurde in opdracht van de curator, en die valt echt wel te beboeten.

ido_nl @ErikT738 • 18 februari 2025 10:27

Beetje als grofvuil, moet je laagdrempelig en gratis houden, anders gaan mensen zelf andere laagdrempelige oplossingen bedenken. Misschien niet goed, maar niet iedereen wil geld betalen om de netste persoon van de klas te zijn.

jpsch @ErikT738 • 18 februari 2025 10:34

Lijkt me gewoon onder de verantwoordelijkheid van de curator te vallen.

WillySis @ErikT738 • 18 februari 2025 10:43

Er hoeft niets opgezet te worden om dit soort problemen te voorkomen.

Eigenlijk is het de taak van de curator om ervoor te zorgen dat een bedrijf netjes wordt afgesloten. Meestal wordt nog wat financieel personeel aangehouden (vaak betaald via het UWV). In dit geval had men ook technisch personeel moeten aanhouden om data van de klanten elders veilig te stellen en/of te (laten) vernietigen. De curator hoort daar toezicht op te houden.

servies @ErikT738 • 18 februari 2025 11:43

Daar hoort de curator dus op toe te zien. Daar wordt deze ook (veel te veel) voor betaald.

NijntjeRocks @ErikT738 • 18 februari 2025 12:07

Daar is de curator voor, hij (of in de praktijk meestal het UWV) betaalt ook gewoon werknemers hun reguliere salaris door om afrondende werkzaamheden uit te voeren.
Indien geen (geschikte) werknemers beschikbaar kan hij personeel inhuren, deze kosten vallen allemaal binnen het faillissements dossier.

Maar deze gegevens hadden in eerste plaats sowieso niet bij het ICT bedrijf aanwezig moeten zijn, en al helemaal niet zonder versleuteling.

anboni @ErikT738 • 18 februari 2025 12:08

Ja, dat is dus een van de verantwoordelijkheden van de curator in een fallissement: zorgen dat alle verplichtingen (niet alleen financieel) na worden gekomen. Die curator heeft hier dus ernstig zitten verzaken en mag hier zeker wel op aangesproken worden.

NijntjeRocks @anboni • 18 februari 2025 13:59

Ja en nee.
Ik vermoedt dat van een curator niet kan worden verlangt dat hij kan weten dat er dergelijke (zeer gevoelige) gegevens bij een ICT bedrijf aanwezig zijn omdat dergelijke gegevens nieteens bij een ICT bedrijf op een harde schijf zouden moeten rondhangen. In elke denkbare situatie zouden deze gegevens nooit daar aanwezig moeten zijn, ook niet met goede bedoelingen.

Wat m.i. wel van hem verlangd mag worden is de wetenschap dat er veel data aanwezig is, waaronder mogelijk enigzins gevoelige data, al dan niet persoonlijke gegevens (kan ook andere bedrijfs- of softwaregegevens betreffen).
Hij had dan ook voor verkoop alle harde schijfen moeten (laten) wissen, bij voorkeur met ineige vorm van certificering/bewijsvorming.
In de meeste gevallen komt een boedel bij uitblijven van overname van het geheel, terecht in de aanbieding van BVA. Die regelt dit soort zaken doorgaans voor de verkopende partij.
Het kan dus heel goed zijn dat de tweede partij heeft verzaakt en niet per se de curator.

Ik kan me niet aan de indruk onttrekken dat een curator (doorgaans een advocaat gespecialiseerd in bedrijfsrecht) zich zeer nauwkeurig indekt.
Juist bij faillissment van een ICT bedrijf gezien de grote hoeveelheden data die niet 1-2-3 te beoordelen zijn voor een buitenstaander en de bijbehorende relatief grote kans op de aanwezigehid van gevoelige gegevens.

vrow @ErikT738 • 18 februari 2025 12:22

Dat heet een hamer en boormachine. Binnen 1 minuut alles onbruikbaar.

SVMartin @ErikT738 • 18 februari 2025 14:22

Een ict dienstverlener die diensten verleend aan een zorginstelling. De dienstverlener gaat failliet. De zorginstelling blijft verantwoordelijke voor de gegevens en had dus bij het beëindigen van het contract erop toe moeten zien dat de data vernietigd werd, of bij faillissement met de curator afspraken moeten maken over het overnemen van de ict systemen en/of veilige vernietiging van de data. De betreffende zorginstelling kan nog steeds vervolgd worden voor nalatigheid. Wanneer blijkt dat zij juist gehandeld heeft, maar de curator of directie van de dienstverlener steken heeft laten vallen, dan kunnen wat mij betreft zij nog een boete ontvangen. Maar we zullen maar niet teveel verwachten met de capaciteit van de Autoriteit Persoonsgegevens en de wettelijke mogelijkheden.

Wim Cossement @SVMartin • 19 februari 2025 14:42

Het is zeker nalatigheid van dat bedrijf, en hoe!

Ik heb 4 jaar in een middelgroot ziekenhuis in België gewerkt en ik ben er redelijk zeker van dat er voor alles bijna een protocol is, en als dat er niet is gebruik je je gezond verstand.

We hadden daar wel een pc of 500 en enkel laptops vastgemaakt aan medicatiekarren waarmee de verplegers de afdelingen deden en zo de medicatie voor de patiënten konden opzoeken en ook het medisch verslag bijwerken, maar er stond niets van data op die machines zelf, behalve dan misschien een tabel die ze zelf gemaakt hadden met hun werkshifts op die ze afdrukten en aan het infobord hingen. Of een zelfgemaakt verjaardagskaartje voor een van hun collega's...

Zelfs de werkstations van de artsen waren 'leeg' en als men toegang van thuis wou was dat via Citrix, en alle USB-poorten en dergelijk voor datadragers waren in gans het ziekenhuis softwarematig geblokkeerd, data stond op onze servers en nergens anders.
In de servers zelf zat er ook behalve een OS-disks niets, alles stond op het SAN en daar was een deel ook van geëncrypteerd.

Moest er af en toe eens een schijf of volledig toestel vervangen worden, want ik heb nog alle platters in clients door SSD's vervangen, werden die bijgehouden in de kelder achter slot en grendel tot we er genoeg hadden om te laten vernietigen waarna we een certificaat kregen.

Zelfs een eenvoudige format kon voor 99% van de leken de data al onleesbaar maken, zeker als ze die direct zelf gingen gebruiken voor hun opslag.

De enige manier om data buiten te krijgen was ze afdrukken.

kodak

Datalek
Beveiliging en antivirus
Nederland

@ErikT738 • 18 februari 2025 17:42

Een faillissement verloopt via officieel aangestelde curatoren en bewindvoerders. Dat zijn niet de personen die er belang bij hebben de wettelijke eisen te negeren, eerder juist om het volgens de eisen af te handelen. In dit geval is niet duidelijk waarom de gegevens niet zorgvuldig verwerkt zijn. Dar kan dus net zo goed komen omdat er toen nog geen curator of bewindvoerder was, of omdat iemand deze apparatuur bijvoorbeeld aan hun gezag heeft onttrokken. Een aparte stichting is dus geen duidelijke oplossing.

Batiatus 18 februari 2025 10:26

Zelfs de bare-minimum heeft deze toko dus niet gedaan. Ja, je moet ze eigenlijk afvoeren naar een partij die gecertificeerd is om te degaussen / volledig vernietigen, maar elke simpele systeembeheerder zou, als dit al niet gebeurt, zelf een wipe uit kunnen voeren of minstens 3 maal overschrijven conform DoD methode. Dat is niet 100% foolproof, maar dan had je zelfs met gespecialiseerde tools moeilijk nog data kunnen recoveren.

himlims_ @Batiatus • 18 februari 2025 10:29

niets zelf doen; werk je in branch als deze, is er maar 1 optie; gecertificeerd onklaar laten maken (afvoeren). zijn diverse partijen welke dit volgens standaarden uitvoeren.

The Zep Man

Beveiliging en antivirus
Datalek
Nederland

@himlims_ • 18 februari 2025 10:39

gecertificeerd onklaar laten maken (afvoeren). zijn diverse partijen welke dit volgens standaarden uitvoeren.

Dat kent een prijs die men bij een faillissement niet happig is om te betalen. Dat is natuurlijk geen excuus, maar wel een hindernis die wat regulatie kan gebruiken om perverse prikkels te overwinnen.

[Reactie gewijzigd door The Zep Man op 18 februari 2025 10:51]

GertMenkel

Beveiliging en antivirus
Nederland

@The Zep Man • 18 februari 2025 12:09

Wellicht tijd om de regelgeving voor curators maar eens af te dwingen. Een curator die een archiefkast vol medische dossiers verkoopt zal ook worden aangekeken op incorrect handelen, maar als die gegevens digitaal zijn kan men ineens niet bedenken dat er privacy-risico's zijn?

Volgens de website van de AP is de curator hier ook gewoon verkeerd bezig geweest.

Triblade_8472 @GertMenkel • 18 februari 2025 13:27

Kwestie van gevolgen geven. De wetgeving is er al.

Alleen de AP blijkt nooit in staat te zijn een rechtzaak te winnen volgens mij.

En er zijn nooit dusdanige straffen uitgedeeld dat men zich er wat dan ook van aantrekt.

Tijd om bestuurders hoofdelijk aansprakelijk te stellen, dan helpt vaak beter.

GertMenkel

Beveiliging en antivirus
Nederland

@Triblade_8472 • 18 februari 2025 14:43

De AP wint wel, maar de succesverhalen vallen wat minder op, meestal doordat bedrijven ondanks de privacywetgeving nog steeds met een hoop wegkomen.

Reken er maar op dat die 40 mille boete van Coolblue impact heeft gehad. De boete voor een orthodontist hakt er ook wel in. Helaas moet de AP de meeste tijd besteden aan het beschermen van burgers tegen onze eigen overheid, en tegen giga-overtredingen van megamultinationals.

Als je boetes uitschrijft voor een bedrijf met de omzet van een klein land, moet je wel heel hoge boetes heel goed kunnen verdedigen voor bedrijven zich aan dit soort dingen houden. Het recente artikel waar iemand een dwangsom van 50000 euro kreeg toegewezen tegen Microsoft bewijst dat nog weer: geen enkele rechter of waakhond kan optreden tegen deze bedrijven zonder harde steun van de volledige overheid.

In dit geval is de curator aansprakelijk, en dat zijn nu niet de megapartijen die voor de lol de wet ontwijken. Dan moet de AP wel de capaciteit hebben om daar naar te kijken, natuurlijk.

[Reactie gewijzigd door GertMenkel op 18 februari 2025 14:44]

Triblade_8472 @GertMenkel • 18 februari 2025 17:08

Maar dat zijn volgens mij geen rechtszaken geweest?

Anyway, neem coolblue. In 2023 (2024 cijfers zijn er nog niet) is er bijna 27 miljoen winst gemaakt! (niet omzet dus)

Denk je dat bedrijven hier wakker van liggen?

Ja, als je gesnapt wordt (na 3 waarschuwingen), dan pas je pas wat aan. Maar waarom eerder als de data meer waard is?

Het punt is, de boetes zijn vele malen lager dan de opbrengst èn de pakkans is nihil.

kimborntobewild @GertMenkel • 19 februari 2025 00:11

Daar heb je geen website van het AP voor nodig; dat kan men zelf ook wel bedenken.

Bux666 @himlims_ • 18 februari 2025 12:30

Die 15 schijven hadden altijd nog doorboort kunnen worden met een metaalboor. Ik denk dat je daar wel mensen voor kan vinden die dat willen doen. Niets zo leuk om legaal iets te mogen slopen...

DonChaot @Batiatus • 18 februari 2025 10:32

Ik denk dat vraag #1 is waarom de gegevens niet versleuteld op die schijven stonden.

svennd @DonChaot • 18 februari 2025 10:52

Ik vermoed de tijd, 2011-2019. Nu staat alles (hopelijk) encrypted by default.

theduke1989 @Batiatus • 18 februari 2025 10:31

of zoals wij het hier doer, met boormachine 4-6 gaten maken met een grote 8mm

Cid Highwind @theduke1989 • 18 februari 2025 10:41

Wat dan weer kapitaalvernietiging is, indien men in zo een situatie überhaupt nog toegang heeft tot deze hardware.

Aan de andere kant, een externe partij de opdracht geven data professioneel te laten wissen, kon wel eens nog duurder zijn dan even de boormachine er doorheen te jassen.

Interessante en lastige casus wat dat betreft.

The Zep Man

Beveiliging en antivirus
Datalek
Nederland

@Cid Highwind • 18 februari 2025 10:44

Wat dan weer kapitaalvernietiging is, indien men in zo een situatie überhaupt nog toegang heeft tot deze hardware.

Data is a toxic asset. Het (idealiter veilig en verantwoord) afvoeren daarvan is geen kapitaalvernietiging, want de prijs die de onderliggende hardware mogelijk oplevert staat niet in verhouding tot de schade die de data kan veroorzaken.

Het is alsof je een ton wilt verkopen zonder je te bekommeren over de inhoud. Die inhoud kan radioactief afval zijn (geweest). Is het echt de tijd, moeite en energie waard om die ton te verkopen ten opzichte van het risico?

[Reactie gewijzigd door The Zep Man op 18 februari 2025 10:52]

Wouterie @The Zep Man • 18 februari 2025 10:54

Curatoren doen niet zo moeilijk hoor. Die zien alleen en ton en denken dat het oud ijzer is.

Cid Highwind @The Zep Man • 18 februari 2025 12:27

Uiteraard. Maar kennelijk zag degene die de schijven in beheer had toch echt anders.

De vraag is wie hier nu dus aansprakelijk is voor het datalek en eventuele gevolgen.

metalmania_666

@theduke1989 • 18 februari 2025 10:52

Zo deed ik dat ook voor mijn klanten. Eerst naam vd klant met onuitwisbare stift op de hdd geschreven. En na afloop een foto als bewijs gestuurd

Fruithap @theduke1989 • 18 februari 2025 11:38

en als toetje een paar klappen met een hamer, zo doe ik het ook altijd.
In het SSD tijdperk moet je wel iets anders verzinnen overigens.

MSalters

Nederland

@Batiatus • 18 februari 2025 11:39

"3 maal overschrijven" is zo'n historisch fabeltje uit de tijd van 40 MB schijven. Toen was er meer ruimte tussen tracks dan dat de tracks zelf breed waren (de koppen zwabberden). Bij moderne schijven kunnen tracks zelfs fysiek overlappen (Shingled). 1 enkele write is al 100% foolproof. Er is simpelweg geen nanometer ruimte voor een bit om die rewrite te overleven, laat staan voor een kilobyte.

watercoolertje @Batiatus • 18 februari 2025 11:10

0% foolproof, op het moment dat je failliet bent heb je ook geen personeel meer. Dit zou dus moeten gebeuren voordat je failliet gaat? Maar dat kan natuurlijk ook niet.

Oftewel de curator moet dit gewoon afhandelen, die is eigenlijk (tijdelijk) de nieuwe eigenaar en dus verantwoordelijk.

Knijper1962 18 februari 2025 10:30

Hoop alleen dat dit alleen kopiën zijn. De originele patiëntengegevens moeten 20 jaar bewaard worden en daarna verplicht vernietigd

Scriptkid @Knijper1962 • 18 februari 2025 10:34

wie bewaard dat bij faillisement ?

Knijper1962 @Scriptkid • 18 februari 2025 10:50

Meestal het ziekenhuis ( of andere zorgverleber indien het niet over een ziekenhuis gaat) dat de patiënten overneemt.
Anders de curator tot dat geregeld is

Tc99m @Knijper1962 • 18 februari 2025 11:08

Waarschijnlijk inderdaad kopieën (backups wellicht?), aangezien deze schijven van een IT-dienstverlener waren. De zorginstelling zelf is niet failliet gegaan, en die hadden het wel gemerkt als hun dossiers opeens weg waren.

crzyhiphopazn 18 februari 2025 10:31

Of je koopt zelf een externe HDD dock met DoD wis mogelijkheden.
Duurt alleen wel pl**r*s lang voordat een 500GB gewist is.
Kan tot wel 24 uur duren per schijf.

Heb dat zelf moeten doen om het pas daarna Certified te laten vernietigen.

Piemol @crzyhiphopazn • 18 februari 2025 10:36

Gelukkig hoef je er niet naast te staan wachten en heb je meestal wel een paar simpele pc's reserve (zeker als middelgroot bedrijf zijnde) waar je dat even een dagje op kan laten draaien.

[Reactie gewijzigd door Piemol op 18 februari 2025 10:36]

crzyhiphopazn @Piemol • 18 februari 2025 11:04

haha gelukkig niet nee.

The Zep Man

Beveiliging en antivirus
Datalek
Nederland

@crzyhiphopazn • 18 februari 2025 10:47

Heb dat zelf moeten doen om het pas daarna Certified te laten vernietigen.

Zelfs als je het niet "certified" laat vernietigen (wat ik wel zou adviseren): een etmaal iets als DBAN over een disk heen is voldoende om het niet economisch interessant te maken om data te herstellen als niet bekend is waar die disken vandaan komen.

[Reactie gewijzigd door The Zep Man op 18 februari 2025 10:53]

Raven 18 februari 2025 10:51

@Arnoud Engelfriet Weet jij iets over de regels en kosten (wie betaald het) m.b.t. datavernietiging indien een bedrijf failliet is? Wie gaat er dan over? De laatste paar regels van het artikel doen het lijken alsof er een keus is, maar hier zijn toch wel regels voor?

[Reactie gewijzigd door Raven op 18 februari 2025 10:57]

Arnoud Engelfriet @Raven • 18 februari 2025 15:54

Ik denk dat het citaat uit die laatste alinea sarcastisch bedoeld is. Je kunt het doen zoals het hoort, maar dat kost geld, en je kunt het hatseflats snel klaar doen en dan kost dat niets. Je hebt geen keus. Alleen, je bent failliet, dus kun je het vernietigingsbedrijf niet betalen. De vraag is of je de curator aan kunt spreken voor het datalek.

Anonymoussaurus

Datalek

18 februari 2025 10:52

Dit is echt ronduit absurd, wat mij betreft mogen ze deze schade nog jarenlang verhalen op degene die ooit dit bedrijf runde of de (meerdere) verantwoordelijken wie ervoor hebben gezorgd dat deze schijven vol data op de rommelmarkt zijn beland. Maar goed, hè, mocht het ooit zover komen dan verdwijnt dat geld toch weer in de zakken van organisaties, terwijl de zeer gevoelige persoonsgegevens van burgers gelekt zijn, die nooit iets terugzien van een schadevergoeding.

Het gaat tot nu toe om de adressen uit de volgende plaatsen:

Utrecht
Houten
Delft

En dat is pas na het uitlezen van 2 schijven van de 15. Verrassend vind ik ook hoe laconiek het AP hierop reageert:

Robert heeft een aantal huisartsen, apotheken en zorginstellingen benaderd om ze te informeren over dit lek. Ook heeft hij contact gezocht met de Autoriteit Persoonsgegevens (AP). Een woordvoerder van AP zegt geen commentaar te kunnen geven op de vondst en melding van Robert. "Als een bedrijf of organisatie een melding heeft gemaakt van een lek, dan kunnen we daar mogelijk wel meer over zeggen."

[Reactie gewijzigd door Anonymoussaurus op 18 februari 2025 10:56]

Tc99m @Anonymoussaurus • 18 februari 2025 11:24

Wat verwacht je van de AP? Ze geven aan dat ze geen nog commentaar kunnen geven, dat wil niet zeggen dat er niks gebeurt.
Mogelijk hebben ze het nog in onderzoek n.a.v. zijn tip (zie https://www.autoriteitper...t-u-een-tip-of-een-klacht). Een datalek moet (formeel gezien) gemeld worden door de organisatie waarbij het lek heeft plaatsgevonden of die verwerkingsverantwoordelijke van de gegevens is; de AP geeft alleen aan dat dit (nog) niet is gebeurd. Tot die tijd kan de AP er dus nog niks over zeggen.

Als hier inderdaad blijkt dat bijvoorbeeld een curator de AVG (of andere wet- en regelgeving) heeft overtreden, kan de AP een boete opleggen. Een boete is niet hetzelfde als een schadevergoeding. Voor een schadevergoeding moet er eerst (aantoonbaar) schade geleden zijn. Het kan heel goed zijn dat (door het optreden van de vinder) er juist helemaal geen schade is geleden. Er verdwijnt dan ook geen geld dat eigenlijk voor slachtoffers is bedoeld "in de zakken van organisaties". Sowieso gaat een boete naar de algemene middelen (de "schatkist") van de rijksoverheid, boete-inkomsten worden niet direct bijgeschreven op de rekening van de AP.

[Reactie gewijzigd door Tc99m op 18 februari 2025 11:25]

beantherio 18 februari 2025 11:32

Wat ik me n.a.v. deze casus wel weer afvraag is in hoeverre data-veiligheid een onderdeel is van de werkzaamheden van curatoren. Het lijkt me dat een curator zich aan allerlei wettelijke voorschriften moet houden en ook bepaalde standaard stappen moet doorlopen om zijn taak te volbrengen. Het verzorgen van een oplossing voor AVG-compliancy zou daar ook een onderdeel van moeten zijn lijkt me.

jurgen1976 @beantherio • 18 februari 2025 18:10

Daar raak je een goed punt, ik heb in de afgelopen jaren diverse malen met curatoren te maken gehad inzake beheer en of hosting van applicaties, websites etc van failliete bedrijven.

Korte conclusie ik heb in al die keren nog nooit een curator gesproken die ook maar enig idee had waar het over ging, hoe om te gaan met data, systemen, hardware of alles wat daarbij hoort. Kortom het veilen van de inboedel bureaus, kasten en stoelen... tja computers zijn ook inboedel gooi maar op de hoop. Extern gehoste systemen zijn al helemaal ingewikkeld en afwikkeling wordt overgelaten aan de leverancier of obv advies van de leverancier afgehandeld.

Al helemaal niet te spreken over hoe om te gaan met data (bv klantgegevens van de failliete bv) als bedrijfsonderdelen verkocht worden waar bepaalde systemen of applicaties onderdeel vanuit maken.

Dus nee echt verrassen doet dit soort nieuws mij helaas niet echt.

Robertdw 18 februari 2025 12:06

Wat me een beetje verbaast is dat vrijwel niemand het heeft over de verantwoordelijkheid/nalatigheid van het zorgbedrijf. Die hebben in eerste instantie toe te zien op de omgang met hun vertrouwelijke gegevens.

multikoe @Robertdw • 18 februari 2025 12:22

Daar kun je pas wat over zeggen als je weet hoe het contact is verlopen tussen het zorgbedrijf en Nortade ICT solutions.

Robertdw @multikoe • 18 februari 2025 12:55

Dat maakt weinig uit het zijn de vertrouwelijke gegevens van de cliënten van het zorgbedrijf. Die dragen daarvoor te alle tijden de verantwoordelijkheid en behoren dus zelf maatregelen te treffen om die vertrouwelijkheid te waarborgen. Lees nergens iets over wat zij gedaan hebben om dat te waarborgen.

multikoe @Robertdw • 18 februari 2025 13:26

En dan neem je maar aan dat ze daar niets aan hebben gedaan? Stel dat ze een contract hebben afgesloten voor het verwerken van de harde schijven, maar dat de IT-leverancier zich niet aan het contract heeft gehouden?Wie heeft er dan schuld?
M.a.w. we hebben die informatie niet (voor zover ik weet) en dan is vragen stellen prima, maar om dan in je vraag meteen "nalatigheid" te benmoemen is op z'n minst suggestief en ook de start van desinformatie. "Nee hoor, ik suggereer niets, ik vraag alleen maar" is de makkelijkste weg eruit nu.

sko @multikoe • 18 februari 2025 14:11

Ze hadden moeten afdwingen dat data-at-rest geencrypt is, dit is gewoon standaard bij verwerking medische gegevens lijkt me.

multikoe @sko • 18 februari 2025 16:17

Yep, helemaal waar. Maar dat lezen we straks wel in de conclusies.

Robertdw @multikoe • 18 februari 2025 14:21

Goed lezen wat ik schrijf in mijn eerste reactie en later. Het verbaast mij dus dat niemand ingaat op de verantwoordelijkheid van het zorgbedrijf. En nee we hebben die informatie niet en dat is dus juist zorgelijk. Ik geef niemand de schuld, ik vraag mij alleen af waarom er geen aandacht is voor de verantwoordelijkheid van dat zorgbedrijf. Die wisten blijkbaar wel gelijk waar de data vandaan kwam. Ze hadden ook bijvoorbeeld gelijk beslag kunnen leggen op die schijven bij het faillissement. En mij beschuldigen van het verspreiden van desinformatie slaat natuurlijk helemaal nergens op. Dat kan ik andersom bij u ook doen want u gaat het zorgbedrijf verdedigen zonder de juiste informatie. Maar dat soort beschuldigingen zijn zinloos. Bedrijven en zeker zorgbedrijven moeten ervoor zorgen dat onze gegevens niet in andermans handen kunnen komen en dat is dus hier niet erg gelukt.

[Reactie gewijzigd door Robertdw op 18 februari 2025 14:25]

multikoe @Robertdw • 18 februari 2025 16:17

Het artikel is sowieso al erg summier en het is ook maar een nieuwsartikel, geen analyse. Op de achtergrond zullen verschillende mensen echt wel bezig zijn met uitzoeken waar en hoe dit fout is gegaan en common sense zegt dat daarbij het zorgbedrijf meegenomen wordt.
Dat jij (of wij) die informatie niet hebben is helemaal niet zorgelijk. Het onderzoek is waarschijnlijk nog niet eens goed begonnen en het zou juist ontzettend zorgelijk zijn als de details van dat onderzoek nu al op straat lagen. Daar is helemaal niemand mee gediend. Wij zijn natuurlijk wel heel erg nieuwsgierig naar de uitkomst van dat onderzoek.
Het zou natuurlijk kunnen dat jij die informatie wel al had moeten hebben omdat je onderdeel uitmaakt van het team dat het onderzoek naar de oorzaak gaat onderzoeken, maar dat vermoed ik niet.

Dus je vraag en zorgen zijn prematuur.

Robertdw @multikoe • 18 februari 2025 17:42

Dus u bent zo iemand die rustig afwacht op onderzoeken die maanden of jaren duren en waarover wij zeer waarschijnlijk nooit meer iets horen, omdat de betrokkenen er alle belang bij hebben dat dat niet naar buiten komt. Als mijn reactie prematuur is dan zijn dus alle reacties hier prematuur. En die gaan hoofdzakelijk over het it bedrijf, maar daar zie ik u niet op reageren. Dat doet mij vermoeden uit welke hoek uw reacties komen.

multikoe @Robertdw • 18 februari 2025 19:29

Dus jij bent zo iemand die op basis van halve informatie liever meteen in actie komt? Het klopt, ik ben van nature wat goedgelovig en bij mij is het glas altijd half vol. Ik denk dus dat dat onderzoek (door de authoriteit persoonsgegevens) gewoon redelijk snel en met een mooie conclusie afgerond gaat worden. Jij behoort tot de groep ("realisten", hahaha) die liever uitgaan van het zwartste scenario. We mogen er allebei zijn.

Nee, lang niet alle reacties hier zijn prematuur hoewel de neiging (zeker bij jou) erg groot is om meteen op zoek te gaan naar een dader en die zelfs al aan te wijzen op basis van geen of weinig informatie. De andere neiging is bijna even groot: denken dat "wij' het onderzoek eigenlijk wel kunnen doen

En ja, ik vind inderdaad dat heel veel reacties onder artikelen op Tweakers heel erg prematuur zijn, in het bijzonder als het gaat om zaken rond beveiliging van gegevens. "We" weten het altijd beter en "we" weten altijd heel snel al waar en aan wie het ligt.

Ik reageer alleen op jou, ik heb de andere reacties niet eens gelezen. Dat boeit me niet zoveel, ik vond dat jouw reactie opviel vanwege zijn hoge onderbuik-gevoel-gehalte. Aan de overkant van de oceaan is op dit moment een erg interessant experiment gaande, waarbij een land bestuurt gaat worden door een elite (letterlijk, financieel gezien) die feiten en zorgvuldigheid hebben ingeruild voor onderbuikgevoelens en ego. Een universum waar jij (zeg maar jij hoor) je prima zou moeten thuisvoelen.

Robertdw @multikoe • 18 februari 2025 19:41

U gaat nu wel heel erg ver en zeker te ver op een persoonlijke manier. U probeert op een bully manier andere mensen hier monddood te maken door ze te beschuldigen van onderbuikgevoelens en valse beschuldigingen. Vreemd dat u andere reacties heeft gelezen maar die van mij wel terwijl die nu niet bepaald bovenaan staat. Nogmaals ik beschuldig niemand ik wijs erop dat ik mij erover verbaas dat iedereen valt over het Ict bedrijf en niet over het zorgbedrijf. Ik ga nu verder niet in herhaling vallen en ga met iemand als u niet verder in discussie.
Edit
Lees even de link naar Omroep Brabant om te lezen wat de reactie van AP in dit geval is. Oftewel welk onderzoek?

[Reactie gewijzigd door Robertdw op 18 februari 2025 19:53]

multikoe @Robertdw • 18 februari 2025 20:54

Dus: de woordvoerder wil niets zeggen, zegt ook niets en jij concludeert (oh sorry, je vraagt je af) dat er geen onderzoek komt? Je doet het gewoon wéér!

Robertdw @multikoe • 18 februari 2025 23:11

Nu geeft u dus misinformatie. Dit is wat er staat:
Een woordvoerder van AP zegt geen commentaar te kunnen geven op de vondst en melding van Robert. "Als een bedrijf of organisatie een melding heeft gemaakt van een lek, dan kunnen we daar mogelijk wel meer over zeggen."
Oftewel ze hebben (nog) geen melding van een bedrijf of organisatie en blijkbaar is dat nodig voordat ze een onderzoek kunnen instellen. Maar droom lekker verder in uw perfecte bubbeltje.

Heaget 18 februari 2025 10:34

Heel eerlijk wordt ik er wel een beetje cynisch van ondertussen. Zonder uitzondering hoor ik dagelijks datalekken voorbij komen. In dit geval zeer persoonlijke gegevens. En de reactie, als die er al is is vaak "ohja oepsie kan gebeuren, fijne dag verder". Als consument/persoon/burger ben je links en rechts "slachtoffer" van dit soort gevallen maar je kan er eigenlijk niets mee, en er wordt ook nooit serieus iets mee gedaan. Er wordt dan wel hoog van de toren geblazen met AP en AVG maar puntje bij het paaltje zie ik nooit echt actie na dit soort voorvallen.

Ik weet ook niet precies wat de actie moet zijn overigens, maar op dit moment lijkt het er heel sterk op dat bedrijven lak hebben aan de regelgeving, en het makkelijker/goedkoper is om de regels aan de laars te lappen, omdat er uiteindelijk toch niets mee gedaan wordt.

(Persoonlijke) data is op dit moment echt vogelvrij..

Sissors @Heaget • 18 februari 2025 10:57

Punt is wel dat er gewoon heel veel plaatsen zijn waar iets data is. En het kleinste dingetje wordt al als datalek gezien. En nu in dit specifieke geval is het niet heel klein natuurlijk, maar als een bedrijf perongeluk mail naar verkeerde persoon stuurt, dan is het al heel snel een datalek.

Ik heb een keer in ziekenhuis na operatie het rapport gekregen wat er gebeurd was van ander persoon. Geen idee of zo'n ding op papier van ander persoon ook onder een datalek valt, oplossing was natuurlijk gewoon tegen verpleegkundige zeggen dat hij van iemand anders was, is omgeruild, en iedereen gaat verder met zijn/haar leven. Maar iig als het digitaal was gebeurd, maar misschien dus ook wel in dit specifieke geval, hoort er officieel een melding van een datalek gemaakt te worden. Terwijl dat iets van alle tijden is. Vroeger zullen ook genoeg hotelrekeningen onder verkeerde deur zijn doorgeschoven. Maar dat haalde de media niet.

Tc99m @Sissors • 18 februari 2025 11:31

Ja, dit was een datalek. Datalekken zijn niet voorbehouden aan digitale communicatie. Ook als jij post krijgt die voor een ander is bestemd, kan er sprake zijn van een datalek.

En de oplossing is vaak simpel natuurlijk, maar juist het registreren van datalekken zorgt voor bewustwording binnen organisaties en dat stimuleert het dat er maatregelen worden genomen om te voorkomen dat ze vaker plaatsvinden. Het registreren van een datalek is geen strafmaatregel, het is ook echt niet zo dat de AP je boetes oplegt als je eenmalig post of e-mail naar de verkeerde patiënt stuurt.

SJCE @Heaget • 18 februari 2025 11:21

Het begint er mee dat de AVG niet nageleefd wordt en daar volstrekt verwaarloosbare handhaving op plaatsvindt. Dat levert dus een concurrentievoordeel op dat afgepakt moet worden. Ik ben nog geen bedrijf tegengekomen dat correct met cloud omgaat (maar ben positief ingesteld, en neem dus aan dat ze wel bestaan)

Op dit item kan niet meer gereageerd worden.

Medische data van honderden patiënten ontdekt op harddrives van rommelmarkt

Lees meer

Reacties (198)

Sorteer op:

Weergave: