Zorgorganisatie Pluryn meldt datalek door verloren USB-stick

De zorgorganisatie Pluryn meldt dat er een datalek heeft plaatsgevonden waarbij mogelijk gevoelige persoonsgegevens van medewerkers en cliënten betrokken zijn. Dit is het gevolg van het verlies van een USB-stick. Het bedrijf doet nog onderzoek naar het incident.

Volgens de organisatie is er in de week van 9 juni een onbeveiligde USB-stick verloren. Daarop stonden persoonsgegevens van cliënten en medewerkers, waaronder namen, adressen en burgerservicenummers. Mogelijk stonden er ook gegevens van voormalige cliënten en werknemers op de gegevensdrager. Vanwege de potentiële gevolgen van het incident heeft de organisatie een melding gedaan bij de Autoriteit Persoonsgegevens. Dit is verplicht wanneer de rechten en vrijheden van betrokkenen in het geding kunnen komen.

Het bedrijf doet nog onderzoek naar het incident en heeft daarvoor een externe partij ingeschakeld. Dit bedrijf kijkt of de verloren gegevens bijvoorbeeld ergens online te koop aangeboden worden. Getroffenen worden vanaf 17 juni geïnformeerd. De organisatie heeft een speciaal e-mailadres ingericht waar mensen vragen naar kunnen sturen, namelijk 'gegevensbescherming@pluryn.nl'. Ook is er een telefoonnummer beschikbaar: 088-779 3500.

De organisatie gaat uit voorzorg medewerkers 'actief informeren' over het veilig omgaan met persoonsgegevens. Daarnaast claimt het bedrijf dat het informatiebeleid aangescherpt wordt, maar het is niet duidelijk op welke manier.

Pluryn is een zorgorganisatie die verschillende soorten zorg levert, waaronder de behandeling en ondersteuning van jeugd, mensen met mentale gezondheidsproblemen en mensen met een beperking. Dit gebeurt zowel bij mensen thuis als op een van de locaties.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Yannick Spinner

Redacteur

Feedback • 17-06-2025 19:02
163 • submitter: Mday

17-06-2025 • 19:02

Submitter: Mday

Lees meer

Ex-ceo koopt 23andMe terug: dna-database onder toezicht non-profit

Ex-ceo koopt 23andMe terug: dna-database onder toezicht non-profit Nieuws van 16 juni 2025

Klantendata Adidas gestolen via externe serviceprovider

Klantendata Adidas gestolen via externe serviceprovider Nieuws van 27 mei 2025

Have I Been Pwned brengt 2.0-versie uit van datalekzoekmachine

Have I Been Pwned brengt 2.0-versie uit van datalekzoekmachine Nieuws van 21 mei 2025

Omrop Fryslân onderschept gegevens door ontbrekende domeinnaam Dantumadiel

Omrop Fryslân onderschept gegevens door ontbrekende domeinnaam Dantumadiel Nieuws van 20 mei 2025

Hackers TU/e hadden vijf dagen lang toegang tot IT-systemen

Hackers TU/e hadden vijf dagen lang toegang tot IT-systemen Nieuws van 19 mei 2025

Ransomwaregroepering LockBit is zelf slachtoffer van hack

Ransomwaregroepering LockBit is zelf slachtoffer van hack Nieuws van 8 mei 2025

Meer producten en artikelen

Privacy Datalek Usb Zorgstelsel

IT-banen

Meer vacatures

Reacties (163)

HKLM_ 17 juni 2025 19:13

Onbeveiligde USB-stick verloren. Daarop stonden persoonsgegevens van cliënten en medewerkers, waaronder namen, adressen en BSN-nummers.

Je vraagt he echt af hoe dan

Dit had zo makkelijk voorkomen kunnen worden met door wat preventieve maatregelen te nemen vanuit IT / de organisatie.

[Reactie gewijzigd door HKLM_ op 17 juni 2025 19:15]

@HKLM_ • 17 juni 2025 20:42

Deze standaard policy lost dit grotendeels op.

https://learn.microsoft.c...ot-protected-by-bitlocker

Guru Evi @JasperE • 18 juni 2025 01:24

Het probleem met Microsoft software policies is dat het een registry key is die niet altijd werkt en gemakkelijk overschreven kan worden door iemand met een admin recht (en dat is tegenwoordig iedereen), de uitgang zou zero-trust moeten zijn. Wij doen dit in de EDR/DLP door enkel USB block devices toe te laten van 1 of 2 ‘vendors’ die hardware encrypted USB verkopen. Wil je die aankopen moet je wel donders goed verklaren waarom je een USB stick van 120 euro wilt kopen en niet een van de vele ‘online’ (OneDrive, NAS, Sharepoint etc) opties. Eenmaal er iemand ‘de kost’ ziet van een alternatieve oplossing, bedenken ze zich wel tweemaal, de paar mensen die hun gedacht willen doordrijven gebruiken het tweemaal en dan enkele maanden zijn ze het wachtwoord vergeten, blijkbaar is het gemakkelijker om de documenten in een OneDrive of Teams chat te zetten.

Zo ook verhalen we ‘verliezen’ op het budget van de verliezende partij. Wil je DIY Shadow IT, okay, hier is de kost, dit zijn de voorwaarden, wij vragen zoveel per uur voor de oplossing, boetes moeten ook uit het budget gehaald worden, is het je budget waard, wil je zoveel mensen ontslaan en je werk verliezen als er iets verkeerd gaat? Nee, dan komt het er niet, kun je een legitieme business case maken waarom de organisatie dit nodig heeft, dan kopen we een site license, als Adobe te moeilijk is moeten we je misschien omscholen, een praatje met de baas waarom je na zoveel jaar nog steeds niet met Office omweg kan.

[Reactie gewijzigd door Guru Evi op 18 juni 2025 01:26]

@Guru Evi • 18 juni 2025 05:47

Als niet sysadmins adminrechten hebben in een zakelijke beheerde omgeving, dan is er een groter probleem dan de removable storage policies dat eerst opgelost moet worden. Dit is een no-go
en een rode vlag voor een niet ontwikkeld beveiligingsbeleid

Guru Evi @JasperE • 18 juni 2025 07:07

Het is grotendeels een Windows probleem. Windows zonder lokale admin rechten draaien, zelfs Office heeft er moeite mee, Teams krijgt bijna elke 2 weken een grote knop om mensen te overtuigen de updates te installeren, plug-ins voor Office is al helemaal toast. En grote pakketten en maatwerk, vergeet het maar. Daarmee dat zero trust bestaat als een concept, je kan gewoon de cliënt niet vertrouwen om geen admin rechten te hebben. Let wel dat Windows een verschil kent tussen admin rechten, domein en systeem rechten, een EDR en veel andere software (IIS lol) draait met rechten en registry keys dat ‘gewone’ admins niet kunnen veranderen zonder in safe mode te gaan.

[Reactie gewijzigd door Guru Evi op 18 juni 2025 07:07]

robert.v.w. @Guru Evi • 18 juni 2025 08:39

Dat is helemaal geen Windows probleem en bij de wat grotere organisaties meestal prima geregeld:
- geen enkele user heeft local admin rechten.
- unsigned en unauthorized executables (com, exe e.d.) kunnen niet uitgevoerd worden.
- auto-updates van zowel Windows als software zijn volledig uitgeschakeld.
- alle updates (zowel Windows als software) worden centraal uitgerold via Software Center / SCOM, installatie gaat via een NPA admin account.
- Teams en Office draaien prima zonder admin-rechten en als dat niet zo is, dan heeft je IT-afdeling echt iets verkeerd gedaan.

Wij werken al de nodige jaren zo en dat gaat prima. Zelfs de developers hebben geen admin-rechten meer, wat wel enige aanpassingen in de installaties van Visual Studio, IIS e.d. vergde, maar inmiddels weten we niet beter.

TheMak @robert.v.w. • 18 juni 2025 09:42

Wat doe met nieuwe ontwikkelingen? Voor elke nieuwe ontwikkeling moet er een de eerste zijn. Er zal niet in een keer ern gebruikersgroep opstaan die als groep iets nieuws wil

bzzzt @TheMak • 18 juni 2025 11:05

Dat is wel een beetje kenmerkend aan grote bedrijven: alleen moet gestandaardiseerd, volgens beleid e.d., maar ondertussen bouw je een enorme muur op waardoor je feitelijk geen computers meer gebruikt maar een voorgedefinieerd setje functies. Voor sommige gebruikers is dat misschien alles wat ze nodig hebben maar het leidt onvermijdelijk naar een enorm verlies van (al dan niet potentiele) productiviteit.
In het geval van de USB stick uit dit artikel kan je zeggen dat de organisatie het gebruiken van USB sticks had kunnen verbieden. Je kan je ook afvragen of de organisatie niet heftig tekort is gekomen met het aanbieden van een nette oplossing voor het uitwisselen van gegevens. Als blijkt dat de oplossingen daarvoor te star zijn voor het werk wat gedaan moet worden en het bijvoorbeeld een maand duurt voordat een externe een documentje gestuurd kan krijgen is het niet zo raar dat mensen gaan zoeken naar zijwegen. Misschien had degene die een USB stickje aanschafte eerst nog complimenten gekregen omdat het werk zo veel vlotter ging...

Cyberpuppy @bzzzt • 18 juni 2025 16:43

Er spelen meerdere factoren weet ik uit mijn dagelijkse praktijk.

Ten eerste moet gegevensbeveiliging gedragen worden door de gehele organisatie. Tot nu toe pas voor 1 bedrijf gewerkt waar dit serieus werd genomen en ook serieus werd uitgevoerd. Waarom. Ze doen heel veel aan hele dure R&D en dus was er een bedrijfsbelang om dit goed te doen. Bij alle andere bedrijven is beveiliging enkel een kostenpost.

Gebruikers hebben, als het om computers gaat, het idee dat alles maar moet kunnen. Vraag eens aan een monteur of die ook zijn eigen werkbus gaat vullen met spullen van thuis of zomaar iets gaat kopen bij de bouwmarkt.

En dan natuurlijk de IT afdeling. Die moet soepel en dienstverlenend genoeg zijn ingericht om met een accpetabele snelheid wijzigingen door te kunnen voeren. Is ook iets wat je niet veel ziet.

Als voorgaande allemaal goed werkt dan krijg je iets voor elkaar. In alle andere gevallen is het pappen en nathouden wat IT en beveiliging betreft.

magician2000 @Guru Evi • 18 juni 2025 21:00

Totdat je die manager hebt die zegt dat hij wel om kan gaan met toegang tot USB flash vanaf zijn computer omdat hij "thuis zijn computer heeft geïnstalleerd". Goed, dat heb ik destijds dus geweigerd, maar ja, dat bedrijf dat ze af en toe inhuurden niet (want: "opdrachtgever zegt" in plaats van "de procedure zegt").

Of dat bestuurslid dat zelf een laptop aangeschaft had, nadat ik aangegeven had dat die dan niet het netwerk op zou kunnen als er geen rekening gehouden is met de juiste specificaties en hij dus beter eerst advies kon inwinnen over wat hij zou moeten kopen (maar oh jee, dat was natuurlijk wel wat duurder).

Zo heb ik wel meer meegemaakt van management dat hun eigen regels breekt.

Guru Evi @magician2000 • 18 juni 2025 22:18

En in principe zijn die mensen dan zelf aansprakelijk. Op een bepaald moment moet er iemand aftekenen, zolang dit jouw niet is.

Opletten dat eenmaal je op dat niveau beslissingen moet maken, je rechtsbijstand dat ook wel dekt, want niet iedere verzekering dekt een derde advocaat als je getuigenis moet afleggen.

magician2000 @Guru Evi • 19 juni 2025 20:47

Simpelweg de werkzaamheden niet uitvoeren is veel beter. Ze gaan het je uiteraard moeilijk maken, maar indien je je aan de regels blijft houden kunnen ze je niets verwijten.

Mocht het situaties betreffen waarbij je risico loopt, de deur achter je dichtrekken en niet meer teruggaan. Ze kunnen je niet dwingen regels te overtreden (laat staan wetten).

sfc1971 @JasperE • 18 juni 2025 05:15

En hoe draai je bitlocker op een mac?

Jij bent precies de reden waarom medewerkers zich in de praktijk niet aan de regels kunnen houden bij het doen van hun werk.h

@sfc1971 • 18 juni 2025 06:04

Naast het belang van gebruikersgemak voor medewerkers is er ook het zwaarwegende belang van privacy van patientgegevens. Een goed informatiebeveiligingsbeleid zal helaas altijd enige hinder en beperkingen opleggen aan de organisatie. Het beperken van de IT toegang tot door IT ondersteunde en beheerde apparaten en besturingssystemen is daar onderdeel van. Het faciliteren door een goed werkend en beheerd apparaat (laptop) te verschaffen is dat ook.

[Reactie gewijzigd door JasperE op 18 juni 2025 06:05]

sfc1971 @JasperE • 18 juni 2025 06:15

Heel mooi gekopieerd uit de handleiding. En dan nu de praktijk.

@sfc1971 • 18 juni 2025 07:24

Schrijf je op een reactie van iemand die dit voor 400 werkplekken over drie bedrijven heeft geïmplementeerd in een industriële omgeving waar geengineerd wordt, allerlei plc systemen worden geprogrammeerd, en met ook CNC machines uit de jaren 90 waar soms de gekste workarounds voor nodig zijn. De praktijk die ken ik wel.

[Reactie gewijzigd door JasperE op 18 juni 2025 07:28]

Guru Evi @JasperE • 18 juni 2025 12:52

400 is in de hand te houden. Probeer 4000 of 100,000 apparaten met duizenden applicaties.

Het probleem is dat veel IT organisaties zoals deze je vertrouwen stelt dat je “alles weet”. Bitlocker, GPO, SCCM, op schaal werkt het allemaal niet, op Mac en Linux al helemaal niet, ook niet op oudere machines met Windows 2000 of XP (en veel apparaten in de zorg draaien nog steeds op XP of CE).

Windows is gewoon niet gebouwd om een netwerk OS voor grote bedrijven te zijn. Je kan het niet vertrouwen, er is teveel dat met haken en ogen aan elkaar hangt. Je moet er van op uitgaan dat tenminste 1 persoon indien niet 1 groep de regels niet volgt en ongeveer 50% van de apparaten op je netwerk niet controleerbaar zijn (IoT, BYOD, OT, vendor supported wat je het ook noemt).

Eenmaal je daardoor kauwt moet je andere oplossingen bouwen, de firewall moet bewust worden van personen en datapunten ipv apparaten, diensten en IPs en nu schrijf je regels dat Jan naar de applicaties met patiënt gegevens mag verbinden, en Jan’s apparaten moeten daarvoor voldoen aan bepaalde inspecties en voorwaarden, want anders weet de firewall niet welke computer Jan heeft.

[Reactie gewijzigd door Guru Evi op 18 juni 2025 13:02]

sfc1971 @JasperE • 18 juni 2025 12:22

Je zegt het zelf al, workarounds. Dat was deze usb stick waarschijnlijk ook.

MrNick4B @JasperE • 17 juni 2025 22:47

Ik ben wel heel benieuwd hoe dit werkt als je bijvoorbeeld een opstartbare USB-stick wil maken of een firmware-update op een USB-stick wil zetten. Dan zul je volgens mij toch al weer snel uitzonderingen krijgen.

Raymond Deen @MrNick4B • 17 juni 2025 23:08

Wat moet zo’n medewerker met een opstartbare usb-stick? Niks toch?
Zo’n policy is gewoon niet te intrusive en werkt prima om dit soort lekken te voorkomen.
Niet beveiligde sticks zijn alleen lezen dus nog steeds beperkt bruikbaar.

SPee @Raymond Deen • 18 juni 2025 16:14

Ik heb voor een klant een bootable usb disk moeten maken, met daarin een volledig voorgeconfigureerde Windows en software installatie, zodat de systeembeheerder bij de klant die met 2 klikken kon installeren. En dit was voor gespecialiseerde systemen, die niet op het internet aangesloten waren en bij problemen direct teruggezet konden worden.
Ik kon toen gelukkig die beveiliging uitzetten en die disk maken. Maar dat is inmiddels veranderd, dus die klant kan ik niet meer helpen.

Maargoed, zelfs beveiligde sticks geven issues. Zo heb ik een backup van mijn werk op zo'n "beveiligde stick". Alleen die tool kan die disk zelf ook niet meer lezen.

En men is al sinds 2014 bezig met het implementeren van een backup oplossing voor ons consultants.

Raymond Deen @SPee • 18 juni 2025 19:54

Dat eerste is wel een heel specifiek voorbeeld van een taal die de gemiddelde werknemer niet hoeft uit te voeren.
Over dat laatste; sinds wanneer is een USB stick een back-up device? Volgens mij zijn ze bedoeld om data snel even mee te nemen van het ene naar het andere device.
Iedereen z’n eigen stukje schijfruimte geven op een netwerkschijf niet een prima optie daarvoor? Die kan mooi mee met de rest van de back-up strategie/snapshots, noem maar op. Ik kan bij mij op het netwerk in mijn home folder gewoon nog snapshots van een half jaar geleden terug halen als ik per ongeluk een bestand vernaggel…

SPee @Raymond Deen • 18 juni 2025 20:41

Sinds wanneer is een netwerkschijf een back-up device?

Daarnaast, wanneer je remote bij de klant werkt, heb je veelal geen toegang tot het bedrijfsnetwerk. Dus een schijf koppelen is ook niet echt een optie. Pas sinds kort hebben we OneDrive, wat je hiervoor kan gebruiken (in beperkte mate).
Nu nog die oude back-up terughalen.

Raymond Deen @SPee • 18 juni 2025 22:29

De netwerk locatie wordt in mijn scenario zoals ik hierboven schreef meegenomen in een back-up.
Flash geheugen is gewoon veel te onbetrouwbaar om als back-up te gebruiken; ik neem aan dat je dat wel weet.

karelvandongen @SPee • 19 juni 2025 09:31

dropbox en google drive bestaan toch echt al een hele tijd, en hebben ook geen enkele moeite met een tijd offline te zijn. En hebben ook ingebouwde restore functies.

SPee @karelvandongen • 19 juni 2025 14:56

Ja. En die hebben van IT in hele grote rode letters staan "not approved for use by corporated".

karelvandongen @SPee • 19 juni 2025 15:01

Dit terwijl onedrive vaak veel onbetrouwbaarder werkt, met ook veel te ruime permissies. Het is vaak niet eens per file gelokt. zo heel grappig, dat puur vanwege dat het van ms komt sommige het als goed zien, terwijl er zoveel beter is, voor echte enterprises.

MrNick4B @Raymond Deen • 17 juni 2025 23:47

Voor het overgrote deel van de medewerkers zal het prima werken om te verplichten dat USB-sticks met BitLocker worden versleuteld, daar ben ik het helemaal mee eens. Toch zijn er bepaalde situaties, met name binnen specifieke vormen van dienstverlening, waarbij het noodzakelijk is om een niet-versleutelde USB-stick te kunnen gebruiken. Voorbeelden zijn het aanmaken van opstartbare USB-sticks, of het laden van firmware of configuratiebestanden op apparaten die geen versleutelde media accepteren.

Omdat ik sterk vermoed dat deze vraag in de praktijk gegarandeerd zal terugkomen, ben ik dus benieuwd naar ervaringen en de aanpak van anderen.

@MrNick4B • 18 juni 2025 05:42

Simpel. Gebruikersgroepgebaseerde exempt op de policy voor systeembeheer.

Raymond Deen @JasperE • 18 juni 2025 07:19

En wat moeten systeembeheerders dan weer met cliënt gegevens? Helemaal niks.
Het mooiste van zo’n beveiligde stick is dat je hem op de eigen pc ook gewoon kunt gebruiken thuis waarbij de beveiliging intact blijft.

@Raymond Deen • 18 juni 2025 07:50

Facilitair dan een thuiswerk/remote omgeving zodat je thuis kunt werken.

Daarnaast, vind ik het al bijzonder dat je die USB stick hebt verloren... Blijkbaar ben je je dan toch bewust dat dit niet mag want anders had je het ook niet gemeld.

nandervv @MrNick4B • 17 juni 2025 23:08

Die maak je toch gewoon niet op een systeem waar gevoelige data in zit?
Heel simpel: die data gaat *niet* je software-systemen uit.

BitWeasel @HKLM_ • 17 juni 2025 21:37

Werkend in een grote organisatie waar veel met data gewerkt wordt kan ik je heel eenvoudig uitleggen hoe dit mis gaat: (En we doen even wat aannames he, ik zeg niet dat dit is hoe het is gebeurd)

IT stelt alles heel goed af, timmert alles dicht, en maakt daarmee helaas werk soms wat lastig. Medewerker gaat eromheen proberen te werken (olifantenpaadjes) omdat er nu eenmaal gewerkt moet worden en security het alleen maar lastig maakt om je werk te doen.

En dan gaat er iets mis..... precies de reden dat security alles dicht had gezet. Een typische "told you so" en "dit is waarom we beleid hebben waarin staat dat dit niet mag". Maar je wil de boel niet zo dicht zetten dat men niet meer kan werken dus je doet een beroep op de medewerkers zelf om - ook al kan iets - het niet te doen.

Dit is helaas alleen te voorkomen met hele goede awareness trainingen voor de medewerkers, zodat ze beleid en security niet zien als "die irritante afdeling die altijd nee zegt op alles" (Raad eens voor welke afdeling ik werk...) maar juist die afdeling is die probeert om dingen toch mogelijk te maken, maar dan op een veilige manier, en de medewerkers mee neemt hierin. Meedenken, de goede consultant uithangen, en ipv "nee".. "niet zo, maar we hebben wel iets anders voor je" aanbieden.

Ik heb er een dagtaak aan... al jaren. Ook wij hebben wel eens close calls gehad, maar tot nu toe *knocks on wood* gaat het allemaal goed.

klystr @BitWeasel • 17 juni 2025 22:10

Eens, dit wordt zo vaak onderschat bij beveiliging.

Doet me denken aan een andere casus waarbij de computers op wieltjes in een ziekenhuis een proximity-sensor hadden, dus als de zorgverlener 2 meter weg liep ging de computer op slot. Blijkt echter dat 2 meter te kort (lees: irritant) is als je rondom een bed loopt. Gelukkig was daar snel wat op gevonden: zo'n piepschuim koffiebekertje over de sensor van het karretje en de computer bleef van 't slot. Dat duurt dan een week voordat elk karretje een bekertje heeft en IT nog steeds denkt dat het goed voor elkaar is

mhnl1979 @klystr • 17 juni 2025 22:38

Briljant voorbeeld en zo herkenbaar. Mensen lossen het probleem niet op de juiste manier op, maar foppen het systeem. Soms ook omdat er niet naar ze geluisterd wordt trouwens. (De software heeft alleen maar 2 meter als optie)

hackerhater @mhnl1979 • 18 juni 2025 12:05

2M is inderdaad veel te weinig voor een ziekenhuis. 4M was wat voor te zeggen.

Rogers @klystr • 18 juni 2025 00:28

Idd IT denkt vaak dat ze weten wat het beste is, maar ze bebben soms geen idee hoe het in de praktijk werkt (en willen niet luisteren), vervolgens zijn de werknemers maar "lastig".

Bij ons vonden ze bijv. dat de interne repositories geen grote bestanden hoeven te kunnen hosten en bestanden delen moet via OneDrive, waar ze 1mb/sec upload snel genoeg vonden. Werknemers die met bestanden werken van tientallen GBs konden letterlijk niet meer hun werk doen, en die gaan dan andere manieren zoeken die eigenlijk niet mogen.
(Gelukkig geen persoonsgegevens).

[Reactie gewijzigd door Rogers op 18 juni 2025 00:30]

MenN @Rogers • 18 juni 2025 08:50

Inderdaad, heb het ook vaak genoeg meegemaakt dat IT teveel generaliseerde en standaardiseerden dat je bijna je beroep niet meer kan uitvoeren, of dat je het bijna met de handen op je rug gebonden moet gaan doen omdat er geen ruimte is voor een gesprek en alleen gezonden wordt vanuit IT.

Veel keuzes worden ook gemaakt zodat het voor IT makkelijker is (hoevaak worden er eindgebruikers betrokken bij de aankoop van systemen...?) en de rest mag zich daar naar voegen.

hackerhater @Rogers • 18 juni 2025 12:08

Zo heb ik jaren geleden een bedrijf aangeraden om smartcards te gebruiken voor hum CRM systeem gecombineerd met sensors op heuphoogte bij de balies.

Dan konden de medewerkers in de winkel en het magazijn simpelweg de kaart aan hun broek of rok hangen.
Ga bij een van de balies staan => je wordt automatisch ingelogd => automatische lock wanneer je weg loopt.

Majhool @BitWeasel • 17 juni 2025 22:24

Het is daarbij belangrijk om je af te vragen waarom een medewerker toch een onbeveiligde USB-stick gebruikt voor dit soort informatie. Daarbij moet je - volgens mij - uitgaan van de goede bedoelingen van die medewerker (als er kwade opzet in het spel. is, heb je een hele andere casus).

"Handig" is daarbij ongeveer het slechtste antwoord dat je terug kunt krijgen. Maar "noodzakelijk voor..." is reden om verder te kijken. Waarom voorzien de huidige (toegestane) IT middelen niet in de behoefte van de medewerker en - blijkbaar - zijn of haar cliënten? Waarom neemt deze medewerker toch een risico om zijn of haar werk uit te voeren? Als je dat goed snapt als IT afdeling, heb je een hele mooie functionele vraag en mogelijk kun je een hele mooie, veilige oplossing aanbieden.

fenrirs @Majhool • 17 juni 2025 23:11

Probleem is ook vaak de manager van die persoon die bepaalde taken gedaan wil hebben ondanks dat die eigenlijk meer werk zijn.

De werknemer raakt dan in een spagaat: “ga ik mee met die manager, die over een half jaar mijn contract beoordeelt, of volg ik de regels van IT die alleen via een ticket systeem te bereiken is”?

[Reactie gewijzigd door fenrirs op 17 juni 2025 23:14]

laurens0619 @BitWeasel • 17 juni 2025 22:58

Helemaal eens met je stuk maar ipv bewustwording zou ik vanuit security ook kijken of je usability (nog) beter kunt meenemen in je maatregel.

"Security at the expense of usability, comes at the expense of security."
"Where security has made things too hard and so people have just found workarounds that nullify all the security controls."

Tuurlijk het kan niet altijd maar door vanuit security extra tijd en energie te stoppen in het gebruiksvriendelijk maken, haal je een hogere effectiviteit. Soms betekent dit ook dat je in een mitigatie risico acceptatie moet doen om de usability goed te houden.

[Reactie gewijzigd door laurens0619 op 17 juni 2025 23:00]

Stukfruit @BitWeasel • 18 juni 2025 02:00

De eerste helft van je reactie begon echt zo goed, tot dit:

Dit is helaas alleen te voorkomen met hele goede awareness trainingen voor de medewerkers

Dat is per definitie vragen om problemen omdat "awareness" niet de hele dag ingeschakeld is, toch?

Als je als eindgebruiker moe bent dan ben je nou eenmaal moe en doe je sneller domme dingen. Dat is niet af te vangen, want het hele punt van vermoeid zijn is dat je even niet meer in staat bent om zaken goed (genoeg) te beoordelen.

In een wereld waarin de race naar de bodem de meestvoorkomende is lijkt dat me toch een factor die meegenomen zou moeten worden?

DataMan @Stukfruit • 18 juni 2025 10:26

In dit soort zorgorganisaties werken bakken met mensen op de werkvloer die ‘helemaal moe worden van dat IT gezeur’, terwijl ze tijdens zo’n training wel bezig zijn met het zoeken naar de goedkoopste vliegtickets voor de volgende vakantie, want dan zijn ze ineens een ster in het hanteren van IT middelen.

Het is 100% een cultuurprobleem. In de ziekenhuizen was het net zo, totdat de AP een grote boete gaf aan het HaGa ziekenhuis. Wat in 25 jaar daarvoor nooit lukte was binnen een jaar geregeld.

Stukfruit @DataMan • 18 juni 2025 13:11

terwijl ze tijdens zo’n training wel bezig zijn met het zoeken naar de goedkoopste vliegtickets voor de volgende vakantie, want dan zijn ze ineens een ster in het hanteren van IT middelen

Dat laat inderdaad goed zien hoe de gemiddelde werknemer niet zo goed is in het hanteren van IT-middelen, aangezien er op dit soort sites misselijkmakende marges zitten

Het is 100% een cultuurprobleem.

Dat ontkracht helaas niet mijn argument dat alle mensen iedere dag even serieus dom worden door natuurlijke oorzaak.

BitWeasel @Stukfruit • 20 juni 2025 11:12

Bij mij staat awareness altijd aan.... maar ik ben dan ook zoiemand die altijd weet waar de cameras hangen, waar de nooduitgang is, en wat ik eventueel kan gebruiken in een noodsituatie.

Maar dat is geen hele gezonde insteek kan ik je zeggen.

Systemen zoveel inrichten om de veilige keuzes de default te maken, en mensen in die flow (customer journey?) te sturen is wel altijd een goed idee natuurlijk. De veilige opties moeten ook gemakkelijk zijn in gebruik. Het is een constante uitdaging.

Stukfruit @BitWeasel • 20 juni 2025 11:36

Bij mij staat awareness altijd aan....

Geef het wat jaartjes

Systemen zoveel inrichten om de veilige keuzes de default te maken, en mensen in die flow (customer journey?) te sturen is wel altijd een goed idee natuurlijk. De veilige opties moeten ook gemakkelijk zijn in gebruik. Het is een constante uitdaging.

Zeker, maar natuurlijk gedrag negeren is vragen om uitdagingen. Vergeet ook niet dat er nog zoiets is als het Dunning-krugereffect. Dat iemand iets over zichzelf vindt betekent niet dat het zo is. Zo zijn er nog meer dingen te bedenken waardoor afhankelijk zijn van "goed gedrag" niet ideaal is.

BitWeasel @Stukfruit • 20 juni 2025 12:04

Ik zit pas tien jaar in deze sector..... ik kan nog wel eventjes mee

En qua goed gedrag. Daarom is awareness ook maar één van de pijlers van goede security in de organiatie. En de meest geliefde onder aanvallers (ik heb ook als penterster gewerkt... there is no patch for human stupi...)

Security en privacy by design is naast awareness mijn portefeuille bij $werkgever. With great power comes great responsibility, en daarom timmeren we niet alles dicht want dat is onwerkbaar. Maar we vragen wel goed gedrag. Wordt dat te vaak geschaad dan zetten we iets dicht. Geven en nemen.

Stukfruit @BitWeasel • 20 juni 2025 12:22

Je mag het uiteraard vragen, maar niet verwachten. Dat is het meer.

Zodra je twintig tot dertig jaar bezig bent ga je dat zelf helaas ook merken

Bron: de schermopnames die ik soms wel eens van mijn eigen werk door de jaren heen maak en mij tot de ontdekking deden komen dat het misschien toch niet altijd autocorrect is die fout zit

bzzzt @BitWeasel • 18 juni 2025 11:10

Dit is helaas alleen te voorkomen met hele goede awareness trainingen voor de medewerkers, zodat ze beleid en security niet zien als "die irritante afdeling die altijd nee zegt op alles" (Raad eens voor welke afdeling ik werk...)

Het ligt er dus 100% aan of jij en je collega's komen met werkbare oplossingen. Ik heb helaas veel te vaak gezien dat een oplossing die eigenlijk niet werkt 'over de schutting' naar gebruikers wordt gegooid en vervolgens niemand bereikbaar of aanspreekbaar is laat staan dat iemand er op zit te wachten mee te willen denken.

BitWeasel @bzzzt • 20 juni 2025 11:19

Ja dat is dus slechte consultancy van de security afdeling dan.

Zelf ben ik opgeleid als "digitaal architect" (informatiekunde). Maw, daar waar informatica het systeem op de juiste manier in mekaar zet, probeer ik het juiste systeem in mekaar te zetten. (Even in a nutshell he...val mij hier niet op aan.)

Je wil bij elke oplossing die je maakt rekening houden met:
- De gebruiker
- De omgeving waarin de oplossing terecht komt
- De geldschieter (wie betaald)
- De opdrachtgever (wie bepaald dat we dit moeten doen, en waarom)

... en al die partijen moet je met elkaar afstemmen. Zomaar iets optuigen omdat het nu eenmaal beleid is, en het over de schutting tiefen is vragen om problemen. Zonder uitleg naar de gebruiker waarom dit zo is, wat het beoogde effect is, en in gesprek gaan met de gebruiker (en de omgeving bekijkend) over manieren om het effect te bereiken is een slecht idee. Al helemaal als je er ook nog geen tekst en uitleg bij geeft waarom iets op die manier gedaan moet worden, of waarom een belemmering wordt opgeworpen.

Houd rekening met de menselijke maat, en neem alle betrokken partijen mee in de besluitvorming en ontwikkeling van (werkbare!) oplossingen.

Ik ben de beroerdste niet

En als ik (als adviseur van afdeling security) ergens voor ga liggen en "nee" zeg, zal ik je haarfijn uitleggen waarom ik dat doe, en ga ik samen met je op zoek naar een oplosisng die voor ons beide wel werkbaar is.

Maar dat schijnt nogal een zeldzaamheid te zijn.

P_Tingen @BitWeasel • 18 juni 2025 11:59

Ik snap helemaal de frustratie vanuit beveiligingsoogpunt. Ik zit zelf echter aan de andere kant en erger me helemaal de tandjes als ik mijn browser, Outlook, Word of Excel open en er - I kid you not - meer dan een halve minuut op moet wachten voordat die verschijnt. Kennelijk moet alles tot op het hoofdkantoor aan toe gecontroleerd worden of het wel veilig is. Ik snap dat, maar als je gewoon je werk wil doen moet het gewoon werken.

Het doet me denken aan een discussie die ik had met een collega over de veiligheid van onze bedrijfsauto's. Zijn stelling was dat je je mensen zo veilig mogelijk moet laten rijden. Mijn tegenargument: dan moet je ze allemaal een Leopard-II tank geven. Gaat ze geheid niks mee gebeuren.

Punt is: De kunst is om een balans te vinden tussen veiligheid en bruikbaarheid

Cyberpuppy @P_Tingen • 18 juni 2025 16:54

Mag je met zo'n Leopard nog een stadscentrum in voor wat betreft uitstoot? Anders is dit misschien wel een optie voor onze nieuwe bedrijfswagens

P_Tingen @Cyberpuppy • 18 juni 2025 21:03

Met de electrische variant wel

Cyberpuppy @BitWeasel • 18 juni 2025 16:53

In het algemeen gesteld. Niet speficiek op dit bedrijf gericht.

Klopt. Het probleem zit vaak in de management laag. Werknemers ervaren druk om wel een bepaalde deadline te halen en worden "gehinderd" door IT. En zoals ik hierboven al schreef. Ik ben tot nu toe maar 1 bedrijf tegen gekomen waar dit op alle lagen goed geborgd was. Dus bijv. het feit dat een servermonteur toch echt eerst het veiligheidsfilmpje moest doorlopen hoorde erbij. Ook als je servers plat liggen. Had je er teveel last van dan verzon je maar een oplossing in de zin van bijv. een eigen voorraad aanhouden van onderdelen. Maar afwijken van de veiligheidsregels was gewoon not done.

bytemaster460 @HKLM_ • 17 juni 2025 19:21

Mensen zijn creatief. Als je alles dichtspijkert gaan mensen geitenpaadjes zoeken zoals een lijst met patiënt gegevens eerst elders naar toe mailen en dan zelf thuis op een stick zetten. Hoe strikter de policies hoe gevaarlijker de geitenpaadjes die men gaat behandelen. Die geitenpaadjes kun je ook wel weer afsluiten maar mensen moeten wel nog hun werk kunnen doen en niet gefrustreerd raken.

HKLM_ @bytemaster460 • 17 juni 2025 19:37

Dit soort gegevens zou je niet eens moeten kunnen mailen, en dat kunnen ze net als met de USB stick gewoon instellen zelf met een niet E licentie van MS365 (Ze zitten in MS 365)

Maar goed als je hun domein checkt zie je dat hun basis email security ook niet op orde is

[Reactie gewijzigd door HKLM_ op 17 juni 2025 19:39]

bytemaster460 @HKLM_ • 17 juni 2025 22:31

Ja, dat weet ik, maar zoals gezegd worden mensen creatief. Als ze thuis werken kunnen ze gewoon lokaal een excel sheet maken en daarin allerlei gegeven uit het systeem van de zorginstelling overtypen en op een USB stick zetten.

pierredorado @bytemaster460 • 17 juni 2025 22:50

Tegenwoordig kun je zelfs een foto maken, en deze via ChatGPT laten vertalen naar tekst. Scheelt weer een boel irritant typwerk!

nandervv @pierredorado • 17 juni 2025 23:08

Briljant om dat in de zorg toe te passen. Data naar een vage cloud-dienst sturen die er belang bij heeft om alle data in de wereld te scrapen.

pierredorado @nandervv • 17 juni 2025 23:12

Zoals hierboven gezegd, de mens geraakt creatief als het ze lastig gemaakt wordt.
Hoe dan ook een zorgwekkende ontwikkeling, blijf me toch verbazen dat in anno 2025 nog onbeveiligde USB sticks kwijt raken met gevoelige informatie erop.

Ik kan mij volgens mij nog een Peter R. de Vries aflevering herinneren waarin de politie oid een USB stick kwijt was, dit is alweer 15+ jaar geleden?

[Reactie gewijzigd door pierredorado op 17 juni 2025 23:13]

nandervv @pierredorado • 17 juni 2025 23:19

Het is ook gewoon dat mensen niet respecteren dat veiligheid van data belangrijk is en een prijs heeft. En dat ze eigengereid zijn en van zichzelf besluiten dat zij het beter weten.

Dat dingen inefficient zijn is soms gewoon op management-niveau ge-accepteerd. Als je baan is om in een matig softwaresysteem data over te typen, dan is dat je baan. Op je eigen houtje dan besluiten dat *jij die data ook wel goed kunt beheren buiten het systeem* zit een vorm van denken in die intrigerend is.

Ik hoop dat organisaties waar dit soort dingen gebeuren zeer goed onderzoeken waarom hun medewerkers op de werkvloer zich niet wensen te houden aan regels die gesteld worden. Het is namelijk gevaarlijk. Vandaag is het het omzeilen van de softwareveiligheid van een karretje, morgen doen ze misschien een andere shortctut "omdat zij de experts zijn".

Guru Evi @bytemaster460 • 18 juni 2025 01:31

Als jij patiëntgegevens uit het systeem haalt en op je computer zet moeten er wel ergens belletjes luiden. Een degelijke DLP oplossing kan detecteren eenmaal er bepaalde formaten, gegevens of andere informatie lekt. Je moet al echt heel ver achterover buigen om die systemen om te leiden, en dan gaan de belletjes van de EDR af.

bytemaster460 @Guru Evi • 18 juni 2025 18:22

Gewoon overtypen vanaf het scherm terwijl je thuis werkt, daar gaat geen enkele technische beveiliging tegen helpen.

Guru Evi @bytemaster460 • 18 juni 2025 19:01

Je zou verbaasd staan wat soort patronen gedetecteerd kunnen worden. Op een bepaald moment ben je wel buiten het raam van "redelijkheid". Een copy/paste in Excel via email is "redelijk" voor een digibeet die "zijn werk wilt doen" en "het is te moeilijk" om dit via een andere weg te doen en die zijn gemakkelijk op te vangen. Iemand die een cameraatje wijst naar het beeldscherm omdat hij de informatie van een BN'er wilt verkrijgen, dat begint in 'crimineel strafbaar' te lopen.

memphis @HKLM_ • 17 juni 2025 21:59

Omdat de zorg met een gebrekkig budget een gebrekkige ICT omgeving kan betalen waardoor het personeel zelf iets onderneemt om het hun werk makkelijker te maken maar mist daarbij veelal de kennis en vaak ook de mogelijkheden om het correct te doen.

Caelestis @HKLM_ • 18 juni 2025 12:09

Heel simpel, een standaard usb stick is een paar tientjes goedkoper en hoeft niet eerst unlocked te worden.

bobby022 @HKLM_ • 18 juni 2025 18:10

En dan ook nog gewoon in een excel of text bestand waarschijnlijk.
Ik snap ook niet dat er binnen de organisatie bv een IronKey D300S is aangeschaft. Deze koste toen, (2022) € 265.
Of desnoods een LaCie Mobile SSD Secure drive? Voor m'n werk gebruik ik de Ironkey namelijk voor licentie data en klantgegevens. werkt prima, en als ik em kwijt ben, success. denk niet dat het lukt om er iets leesbaars uit te halen. (en ja, niets is 100% safe) maar het is een kleine investering. en helemaal voor een zorginstelling lijkt mij.

Wouterie 17 juni 2025 19:10

Tja, bij ons is het echt verboden om dit soort gegevens op een 'eigen' datadrager te plaatsen. We hebben versleutelde USB-sticks, externe schijven etc en iedereen krijgt een degelijke voorlichting rondom het gebruik van persoonsgegevens. Als je wat nodig hebt dan loop je even bij ons langs.
Gaat het altijd goed? Helaas... Maar gelukkig is het zoverre intern gebleven.

itarix @Wouterie • 17 juni 2025 19:16

Telt een verloren versleutelde usb stick ook als een datalek? Over x jaar is mogelijk de encryptie verbroken met steeds betere computers.

Wouterie @itarix • 17 juni 2025 19:43

Ja, dat is ook een datalek, zeker wanneer er geen kopie gemaakt is van de data. Maar over het algemeen volstaat een melding en hoeft er verder weinig mee gedaan te worden.

svennd @Wouterie • 17 juni 2025 20:57

Je verward availibity met confidentiality

data loss is het wanneer dat het laatste kopie is. data leak -> je weet niet meer wie er kan meekijken.

Overigens denk ik dat een encrypted usb stick niet echt een data lek is. Het risico dat iemand de encryptie kan breken is beperkt tot state actors (binnen enkele jaren -mogelijks-), en de vraag is dan maar of zorgorganisaties dat als realistische treat actor kan zien.

William_H @svennd • 17 juni 2025 23:48

Buiten het systeem en geen controle meer over de data, is gewoon een lek. Er is letterlijk data weggelekt, of die nu in een ballontje zit met een strikje eromheen of niet.

mugenmarco @itarix • 17 juni 2025 19:22

Telt een verloren versleutelde usb stick ook als een datalek? Over x jaar is mogelijk de encryptie verbroken met steeds betere computers.

Ja ook dat is een mogelijke datalek

RxTweak @mugenmarco • 17 juni 2025 19:33

Ik lees daar niets over terug in het artikel, hoe weet ik nu of het om een usb stick gaat met encryptie?

Wakoz @RxTweak • 17 juni 2025 19:37

Staat letterlijk in het artikel, gaat over een onbeveiligde USB stick.

Jeroen hofman @Wakoz • 17 juni 2025 23:10

BIzar Pluryn meldt datalek door verloren USB-stick en dan ook nog een onbeveiligde USB stick

RobVI @RxTweak • 17 juni 2025 19:43

Hoe duidelijk moet het zijn? https://i.imgur.com/VGudqlv.png

PaulHelper @mugenmarco • 17 juni 2025 21:54

Nu een lastigere, het is een beveiligde/encrypted usb, maar deze keer met antiquantum encryptie al gebruikt. En we gaan ervan uit dat het geen raadbare key is ofzo. Is het dan een datalek als het eigenlijk nooit gedecrypt kan worden. Of als je bijvoorbeeld maar 3 pogingen hebt om een bepaald wachtwoord ervan te raden anders wordt het medium gewist.

Heroic_Nonsense

@PaulHelper • 18 juni 2025 01:20

Het is pas een datalek als de beveiliging is verbroken. Dus die hypothetische op magische wijze onkraakbaar gemaakte USB-stick zal geen datalek vormen.

Maar als bedrijf wil je niet dat een persoon onbeperkt toegang tot het medium heeft om de beveiliging te bestuderen en te doorbreken. Zelfs middelen zoals de three strikes die jij omschrijft, zijn niet waterdicht. Daarom is het beter om opslag op externe datadragers uit te sluiten in policies, en het personeel er ook op te trainen. Delen van data kan beter via een beveiligde omgeving verlopen, en bij voorkeur niet eens lokaal op de machine van de gebruiker terecht komen, maar op de server blijft staan en alleen ondemand toegankelijk is.

Hiervoor bestaan meerdere systemen in de zorg, en desnoods iets als SharePoint of Confluence is al veiliger dan een USB-stick of lokale opslag op een laptop.

Quintiemero @mugenmarco • 17 juni 2025 19:26

Datalek of mogelijke datalek? Dat is dus bij uitstek geen datalek.

latka @Quintiemero • 17 juni 2025 20:34

Als een boom valt in het bos en niemand is er om het te horen, is de boom dan gevallen?

Quintiemero @latka • 17 juni 2025 22:23

Je hebt gelijk, wel een lek maar niet meldingsplichtig

[Reactie gewijzigd door Quintiemero op 17 juni 2025 22:24]

William_H @Quintiemero • 17 juni 2025 23:46

Zeker wel!
Bij vermoeden van het lekken van, in dit geval zelfs bijzondere persoonsgegevens (BSN), is men verplicht een datalekmelding te doen.

Quintiemero @William_H • 18 juni 2025 08:11

Nee, want de usb is versleuteld. Zelfs de AP zegt dat zelf, en dat zegt iets

. En een BSN is geen bijzonder persoonsgegeven.

William_H @Quintiemero • 18 juni 2025 10:25

Je hebt gelijk
https://juristenblog.nl/i...ijzonder-persoonsgegeven/.
Echter stelt deze bron

...wel wordt het burgerservicenummer aanvullend beschermd en moeten organisaties extra zorgvuldig met je burgerservicenummer omgaan.

Hieruit zou je wel mogen verwachten dat ze BSN's beter beveiligen, zeker tegen USB-sticks, dus een melding lijkt wel op z'n plaats gezien de laksheid van de organisatie.

Sannr2 @itarix • 17 juni 2025 19:54

Dat is wel een datalek, maar hoeft in dat geval niet aan de betrokkenen te worden gemeld of bij de Autoriteit Persoonsgegevens te worden gemeld. Wel moet het datalek intern worden vastgelegd.

Zie bijvoorbeeld voorbeeld 10 hier: https://www.edpb.europa.e...tification_adopted_nl.pdf

Of het bovenste voorbeeld hier: https://www.autoriteitper...et_melden_datalek_def.pdf

Zolang de gegevens met een geavanceerd algoritme zijn versleuteld, er back-ups van de gegevens bestaan, de unieke sleutel niet is gecompromitteerd en de gegevens tijdig kunnen worden hersteld, is het mogelijk dat deze inbreuk niet hoeft te worden gemeld. Vindt er later echter een compromittering plaats, moet de inbreuk wel worden gemeld.

[Reactie gewijzigd door Sannr2 op 17 juni 2025 19:55]

nandervv @itarix • 17 juni 2025 23:19

Het is gewoon een datalek, maar een eventueel lichtere vorm. Of het meldingsplichtig is zou ik in zo'n geval met een jurist overleggen.

Het is in ieder geval superslordig.

Guru Evi @itarix • 18 juni 2025 01:35

Nee, dat telt niet als een datalek zolang de sleutels niet lekken. Wat je in 100 of 1000 jaar kan doen is onmogelijk te voorspellen. De vraag is of het ‘vandaag’ en in de voorzienbare toekomst (zolang de data relevant is) beveiligd blijft. Anders is alles een datalek, zend je de data via een TLS1.3 verbinding, dan is dat ook een datalek want misschien eenmaal we miljoenen qubits hebben? Eenmaal jij 100 jaar dood bent, maakt het je wat uit als je BSN lekt of je medische informatie online gaat? Die informatie is op dat moment enkel maar belangrijk voor de archeoloog en misschien een verre afstammeling zal het interessant vinden.

[Reactie gewijzigd door Guru Evi op 18 juni 2025 01:38]

glennoo @Wouterie • 17 juni 2025 19:38

Het is dus niet goed gegaan maar het is “intern gebleven”. Dit leest als een datalek wat in de doofpot is gestopt.

PageFault @Wouterie • 17 juni 2025 20:21

Wij kunnen het niet eens op een USB stick of externe SSD/HDD zetten. Wij werken niet eens met patientengegevens, maar dat is gewoon geblokkeerd, net zoals fileshares die je thuis zou op kunnen zetten. Eigenlijk vind ik dat een goed iets.

Triblade_8472 @Wouterie • 17 juni 2025 19:19

Ik kan nergens uithalen dat het een eigen datadrager was.

Wie weet was deze voor "even kort" uitgeleend door een junior helpdesk medewerker, of via een quick fix inhuur,
wie zal 't zeggen...

Pep7777 @Triblade_8472 • 17 juni 2025 19:40

Maakt ook niet uit, persoonsgegevens horen niet op een USB stick. punt!
En USB poorten zouden dicht moeten staan voor data dragers... meer een systeem/process fout niet die van een medewerker zou ik zo zeggen

[Reactie gewijzigd door Pep7777 op 17 juni 2025 19:41]

@Pep7777 • 18 juni 2025 13:19

En dan moet op basis van gegevens uit een database een brief naar alle klanten worden verstuurd.

Miep maakt een exportbestand met gegevens, omdan alleen zij bij die gegevens kan komen. En Jan moet die gegevens samenvoegen in een brief, waarin iedere klant een overzicht van zijn gegevens/ behandelingen krijgt.

Voorheen kon Miep het exportbestand zonder probleme naar Jan mailen, maar sinds de groei van deorganisatie is het exportbestand te groot geworden voor de beperking die ingesteld is op de mailserver. Dit punt komt regelmatig terug op de agenda's van het werkkoverleg, maar aangezien het maar voor één handeling problmen oplevert en ICT en het management bezwaren zien met de opslagcapaciteit van de mailserver wanneer iedereen zomaar grotere bestanden kan mailen, zit daar weinig scho in. Om de brieven toch te kunnen blijven versturen was een USB-stick een tijdelijke noodoplossing die inmiddels een praktische oplossing voor onbepaalde tijd is geworden.

Er zijn tal van dit soort situaties in grote en kleine bedrijven. Kleine verstoringen die een noodoplossing nodakelijk maken, die uiteindelijk dagelijkse praktijk worden omdat een oplossing geen prioriteit krijgt.

Wouterie @Triblade_8472 • 17 juni 2025 19:44

Alles wat wij niet uitgeven beschouwen wij als een eigen datadrager. Vandaar ook de 'eigen'.

Bux666 @Triblade_8472 • 17 juni 2025 19:23

Die 'junior helpdesk medewerker' zal eerder een 'management team lid' zijn. Die lui in pak maken er nog wel eens een zooitje van...

joenevd @Bux666 • 17 juni 2025 19:29

Inderdaad.. Er wordt vaak een beveiligingsbeleid opgesteld, maar bij implementatie ervan moet de directeur allemaal uitzonderingen krijgen. Dit terwijl iemand met zo'n functie meer toegang heeft en vaak juist een target is.

silverchaoz @joenevd • 17 juni 2025 19:51

Uit mijn vak ken ik genoeg (grote) bedrijven waar de hele top een uitzonderingspositie krijgt. Vaak gaat het soms zo ver dat ze niet eens MFA willen instellen.

En vervolgens zeggen tegen het personeel dat "security" op nummer 1 staat binnen het bedrijf

WargamingPlayer @silverchaoz • 17 juni 2025 20:41

Ik ken een bedrijf dat dan gewoon zegt. Dan ga je maar ergens anders werken als je niet met onze interne regels om kan/wil gaan. Ook al ben je partner/senior director.

Jhonna 17 juni 2025 19:10

In de meeste bedrijven is er een stricte policy dat er uberhaupt geen gegevensdragers in de computer kunnen. Hoe kan het dan dat een luttele usb stick data bevat? Ik zou denken dat juist bij een zorginstantie er nauwlettend beleid gevoerd wordt hierover, hebben hun geen verplichte regels daaromtrend t.o.v de prive sector?

Houtenklaas @Jhonna • 17 juni 2025 19:30

Jij zit overduidelijk niet in de zorg. Zorg heeft amper geld om aan de zorg voor cliënten te kunnen voldoen, laat staan om een volwaardige IT club in leven te houden. De werkdruk is enorm hoog, consequent personeelstekort, gaten vullen met ZZP'ers die komen en gaan en verzekeraars die het onderste uit de kan willen, een ontzettend hoge administratieve last voor al die mensen. Kortom, dat het zo weinig misgaat is eigenlijk wonderlijker dat dit bericht.

Robbierut4 @Houtenklaas • 17 juni 2025 22:15

Je zit misschien in de zorg, maar blijkbaar weinig kennis over Pluryn.
Zij hebben namelijk nauwelijks te maken met zorgverzekeraars. Het overgrote deel van hun inkomsten is namelijk via de WMO of de WLZ.

Zeker de WLZ is relatief goed voor een zorgbedrijf (en client) door de hogere tarieven en grotere flexibiliteit.
Ook minder eisen betreft administratie.

WMO ligt per gemeente aan het contract en de onderhandelde vergoedingen, maar gezien de grootte van Pluryn en het type langjarige zorg wat ze aanbieden zullen ze strakke maar redelijke vergoedingen hebben onderhandeld met betreffende gemeentes.

Houtenklaas @Robbierut4 • 18 juni 2025 07:37

Ik niet, vrouwlief

En inderdaad geen Pluryn gebied hier. Maar het punt is wel zo dat in de zorg er structureel te weinig geld is voor zowel zorg als steeds hogere eisen t.a.v. wetgeving, AVG en dergelijke. Mij is een doorn in het oog dat er veel zorggeld naar ZZP personeel gaat, wat je liever zou besteden aan eigen personeel en de boel goed op orde hebben. Marktwerking is een prima goed, maar hier lijken we ietsje door te slaan, maar wordt wel keurig gevoed door een tekort aan personeel. Ook geen idee hoe je uit die cirkel komt zonder hard in te grijpen ...

Robbierut4 @Houtenklaas • 18 juni 2025 07:52

Ook geen idee hoe je uit die cirkel komt zonder hard in te grijpen ...

De nieuwe wetgeving betreft schijnzelfstandigheid werkt relatief goed tegen de uitwassen van zzp-ers in de zorg.
Voor veel organisaties waren de zzp-ers al een doorn in het oog, maar zochten ze een goede aanleiding om het aan te pakken, dus grepen die nieuwe wetgeving met beide handen aan.

Overigens is het ook gewoon een keuze voor een organisatie. Ik was nauw betrokken bij een wat kleinere zorgorganisatie (+/-250 fte) en daar was de regel gewoon, geen zzp-ers.
Dat is niet altijd makkelijk, vooral als er veel ziekte of uitval is.
Maar juist omdat er geen zzp-ers waren die alleen de leuke diensten draaiden stond het vast personeel klaar om eventuele uitval op te vullen.

Kost je overigens als organisatie wel omzet, er waren wachtlijsten die je volledig kon oplossen door zzp-ers in te zetten. Maar dat is helaas een noodzakelijk kwaad, liever goede betaalbare zorg leveren dan massa matige zorg leveren met zzp-ers.

Overigens voordat zzp-ers beginnen te zeuren. Nee, zzp-ers zijn niet perse slecht. Maar zeker bij langdurige zorg is het zowel voor client als zorgverlener fijn als je elkaar kent en weet hoe men in elkaar steekt. Die band opbouwen kan niet als een zzp-er telkens van bedrijf naar bedrijf hopt.

Guru Evi @Houtenklaas • 18 juni 2025 01:55

Ik werkte ook in de zorg, we knijpen de portemonnee wel enorm dicht, maar automatie en open source is de oplossing. Wij hielden met ~11 man meer dan 4000 apparaten onder controle en onze helpdesk zit nog steeds veel met de duimen te draaien (iets waar ik mij aan erger, bepaalde mensen in IT willen echter gewoon geen ‘betere’ job door proactief iets te doen/leren).

Het grootste probleem bij ons is dat niemand nieuwe apparaten wilt, ‘maar het werkt nog steeds goed’ - ja maar het is nu al 10 jaar oud, je schijf toont fouten en het kan geen Windows 11 draaien.

Wat de zorg nodig heeft is investering en innovatie via privatisering, iets waar de regering en vakbonden kiespijn aan hebben, want dat betekent dat er iemand zou moeten werken. Hoeveel mensen we niet dagelijks zien die gewoon niets doen (inclusief onze ITers) omdat er een strobreed in de weg ligt, inclusief verplegers - de printer werkt niet en we kunnen niets doen, gebruik de kopieermachine (dat ook een printer is), we wachten wel totdat je het herstelt, het is letterlijk 2 klikken weg, ja maar dan moeten we over en weer wandelen, ze houden liever het loket gesloten, terwijl wij staan te zweten en vloeken dat mensen nog steeds papier willen, en iedereen zo half uit hun zetel staat te kijken waarom er nu 2 mensen aan een gesloten loket staan waar ze al uren voor wachten.

En probeer maar iemand te ontslaan, dat is een 2 jaar proces dat je kan omleiden door gewoon 1 maand ‘beter’ te doen.

[Reactie gewijzigd door Guru Evi op 18 juni 2025 02:11]

Robbierut4 @Guru Evi • 18 juni 2025 08:12

Wat de zorg nodig heeft is investering en innovatie via privatisering, iets waar de regering en vakbonden kiespijn aan hebben, want dat betekent dat er iemand zou moeten werken.

Voor het geval je het gemist hebt, de zorg is juist jaren geleden al geprivatiseerd. En oh wat is iedereen daar toch blij mee /s.

Al die bedrijven kunnen gewoon investeren in innovatie als ze dat willen. Sterker nog, de overheid geeft behoorlijk veel subsidie uit, just aan innovatie in de zorg.
Dus dat de regering kiespijn zou hebben van innovatie is echt onzin.

Guru Evi @Robbierut4 • 18 juni 2025 12:47

Nee, dat is geen privatisatie. Het is mercantilisme, de regering heeft een grote brok in de pap en pikt winners en verliezers. Privatisering is waar bedrijven op zichzelf moeten staan, zonder overheidssteun.

@Jhonna • 17 juni 2025 19:24

Omdat in de zorg mensen werken?

@Jhonna • 17 juni 2025 21:35

de meeste bedrijven

In mijn perceptie is er juist in veel bedrijven óf geen beleid, óf slecht beleid. Met slecht beleid bedoel ik, dat soms de intentie er wel is, maar er domme keuzes worden gemaakt. B.v. iets heel simpel als er wordt 'geleerd' dat je links in mails moet controlleren, maar vervolgens zetten ze safelinks in Outlook aan waardoor dit niet meer mogelijk is.

William_H @readefries • 17 juni 2025 23:56

Gewoon leren dat je geen linkjes moet aanklikken en dat mensen maar moeten leren dat ze info op een degelijke manier delen. Overigens checkt safelinks wel degelijk of iets schadelijk is. Waarom denk je dat het zo lang duurt voordat je doorgestuurd wordt als je daar op klikt.

Er is wel degelijk goed beleid bij sommige bedrijven en instellingen. Een GGD waar ik heb gewerkt werkte gewoon keurig met policies en Zivver om dit soort lekken te voorkomen.

@William_H • 18 juni 2025 07:25

Wat ik bedoel dat wat ze leren tegenstrijdig is met de inrichting. In mijn ogen moet je een keus maken.

Zelf controlleer ik altijd links, ook met plugins in mijn mailclient die bijvoorbeeld een waarschuwing geeft over tracking en of DKIM en DMARC wel kloppen in de mails.

Zivver is een commercieel product van iets wat heel goed open source kan. Wat ik jammer vind, want het kost daardoor extra geld voor eigenlijk alleen regie over de keys. Nog los van dat de je dan de mailtjes niet kan zoeken en vinden in je mailclient doordat ze extern verstopt zijn. Ik vraag dan ook altijd of ze het gewoon mailen. Die mails komen dan gewoon via TLS binnen.

Robbierut4 17 juni 2025 19:33

Voor de mensen die niet bekend zijn met Pluryn, ze zijn echt een heel groot zorgbedrijf.

In 2024 werkten er 6.140 mensen bij Pluryn, plus nog 170 stagairs en 512 vrijwilligers.
Met al die mensen bereikten ze samen een omzet van 482 miljoen euro, met een winst van 10,2 miljoen.

En ze hebben ruim 5.000 clienten.

Van zo'n grote organisatie verwacht je toch echt beter dan "oeps, we zetten BSN nummers van clienten op een usb-stick en raken die stick dan kwijt".

Hier hoort gewoon een fatsoenlijke IT afdeling te zitten die dit soort zaken onmogelijk maakt. USB stick in werk computer is sowieso niet nodig.

Caayn @Robbierut4 • 17 juni 2025 19:40

10 miljoen klinkt veel maar het is slechts ±2.5% winst, niet bijzonder veel speelruimte.

[Reactie gewijzigd door Caayn op 17 juni 2025 19:40]

Robbierut4 @Caayn • 17 juni 2025 19:52

2,5% winst is netjes voor een zorgbedrijf. Die winst wordt namelijk volledig door de maatschappij betaald, dus je wil niet dat die te hoog ligt.
Sterker nog, veel gemeentes maken afspraken over de maximale winst van zorgbedrijven nadat er veel fraude was en zorgcowboys met absurde winsten.

Er zal overigens al gewoon een aanzienlijk bedrag naar de IT gaan, dus tis niet alsof de volledige IT en gegevensbescherming van die 10 miljoen winst hoeft te worden betaald.

@Robbierut4 • 17 juni 2025 20:00

Dit dus. Wat ik helemaal niet vind kunnen is dat informatie die op die stick stond met alle vormen en maten van beveiliging worden versleuteld als het verdeeld moet worden in het dagelijkse werk, maar blijkbaar is er een moment geweest om het allemaal op één hoop te moeten gooien op een onversleutelde stick. Medewerkers én clientgegevens? Schandalig.

[Reactie gewijzigd door Mday op 17 juni 2025 20:00]

DataMan @Mday • 18 juni 2025 09:56

Ik ben de minst grote fan van onze Autoriteit Persoonsgegevens, maar ik mag hopen dat ze, net als met het Barbie dossier in het HaGa, hier tot op de bodem gaan, en ook de bestuurders van Pluryn persoonlijk beboeten, conform de wetgeving.

De boete aan het HaGa heeft veel goed gedaan voor implementatie en handhaving van digitale en niet-digitale beveiliging van gegevens in de Zorg en we hebben een dergelijke steen in de vijver nodig bij de niet-curatieve zorginstellingen (en leveranciers van systemen), want het is anno 2025 daar vaak nog steeds huilen met de pet op. En nee, dat is geen geldkwestie.

geerttttt @Robbierut4 • 17 juni 2025 20:55

Als jij data vanaf je werkplek op een losse pc of whatever wilt hebben heb je bij veel bedrijven 2 opties. Mail of usb stick.

Mail is alleen handig als het kleine bestanden betreft, en niet alle extensies. Dus ik snap wel dat soms men uitwijkt naar een usb stick.

sapphire @geerttttt • 17 juni 2025 21:37

Of je logt in op je M365 en opent je Onedrive

Dan de vraag waarom je bedrijfsdata op een losse PC wilt hebben? Nou kan ik genoeg waaroms bedenken maar bij elke reden ben je eigenlijk gewoon een pannekoek die een risico voor de organisatie is.

William_H @geerttttt • 17 juni 2025 23:52

Dan heb je voor mail nog nooit gehoord van Zivver. Kun je 2GB aan bijlages mailen en is speciaal voor zaken zoals wanneer er BSN nummers in een document staan.

dl658 @Robbierut4 • 17 juni 2025 19:41

Versleutelde verbinding naar het bedrijf?

Robbierut4 @dl658 • 17 juni 2025 19:50

Ik weet niet exact hoe Pluryn het doet. Ik weet wel dat veel zorgorganisaties gebruik maken van de cloud, vaak microsoft. Dan hoef je dus nooit met losse datadragers aan de slag, bij openen van de laptop inloggen op de cloudomgeving en je kunt overal bij waar nodig is.

Dat maakt het ook een stuk makkelijker om te segmenteren, als medewerker hoef je namelijk niet in de gegevens van een andere locatie te kunnen (op uitzonderingen na, maar daar zijn manieren voor).

bernard038 @Robbierut4 • 18 juni 2025 09:26

Vooraf, je hebt hartstikke gelijk, punt. Dit zou niet mogen voorkomen.

Maar.. dat gezegd hebbende, veel (zorg) organisaties werken met applicaties die, op z'n zachtst gezegd, niet echt uitblinken in gebruiksvriendelijkheid. Even een export van data maken, deze importeren in Excel en dan de gegevens bewerken zodat je weet wat je moet weten, zal dagelijks gebeuren.

Zaken als online werken (Office365), VPN's en wat dies meer zij, worden vaak over de schutting gefl#kkerd, zonder dat gebruikers voldoende geschoold / ondersteund worden. Daarnaast is support vaak (fysiek en mentaal) op grote afstand, de helpdesk zit niet op de locaties waar het gros van de gebruikers zitten, maar in een kantoor met de stafdiensten. Samengevat, voor een zorgmedewerker, die geen IT-achtergrond, laat staan interesse heeft, is het vaak 'makkelijker' om de quick and dirty oplossing te kiezen. Met dit soort incidenten als gevolg.

Nu kan het natuurlijk zijn dat deze USB-stick is verloren door een IT-medewerker, Pluryn zegt niet wié de stick verloren is. Dat zou echt heel pijnlijk zijn.

CPM @Robbierut4 • 19 juni 2025 08:13

Je zegt dat je ze goed kent? IT zou niets "zomaar" moeten doen. Ze zouden moeten werken conform beleid. Er zou dus gedefinieerd moeten zijn hoe ze binnen de organisatie omgaan met dit soort gegevens en welke maatregelen ze zouden moeten treffen. Een security en privacy officier zouden hierin met elkaar moeten optrekken om vervolgens met IT de maatregelen te implementeren en te controleren.
Het hoe en waarom laat ik in het midden, maar IT de schuld geven is echt belachelijk en dan begrijp je echt niet hoe dit werkt binnen organisaties.

(Maar ik ben wel erg benieuwd naar hoe dit fout is gegaan).

[Reactie gewijzigd door CPM op 19 juni 2025 08:14]

Robbierut4 17 juni 2025 19:10

Waarom stond deze gevoelige data op een usb-stick?

Arms2Short @Robbierut4 • 17 juni 2025 19:21

Omdat zorgmedewerkers notoire digibeten zijn. Ik heb veel gezien en gehoord over het gebruik van IT middelen in de zorg en in de regel springen de tranen je in de ogen. Artsen die hun werkplek niet locken omdat ze het wachtwoord niet steeds opnieuw willen invoeren, onbeveiligde gegevensdragers, wachtwoorden op post-its.
Voor de meeste zorgmedewerkers is iedere vorm van data security maar lastig. MFA geïmplementeerd krijgen is een nachtmerrie omdat niemand de extra hassle wil maar het gevaar niet ziet of wil zien van matige beveiliging.
Deze mensen willen gewoon bezig zijn met zorg en al het andere is randzaak.

Robbierut4 @Arms2Short • 17 juni 2025 19:28

Omdat zorgmedewerkers notoire digibeten zijn.

Vast. Maar Pluryn is geen kleine organisatie. Er werkten vorig jaar ruim 6.000 mensen bij hun.

Op zo'n schaal hoor je ook gewoon een fatsoenlijke IT afdeling te hebben die rekening houd met de medewerkers en bijv het gebruik van usb-sticks gewoon uitzet op werkcomputers.

Arms2Short @Robbierut4 • 17 juni 2025 19:44

Die fatsoenlijke IT afdeling is er waarschijnlijk ook maar als ze dan niets gedaan krijgen omdat personeel dwars gaat liggen dan houdt het op.
Heb zo dus een keer een MFA implementatie zien stranden omdat de artsen het te veel gedoe vonden. En dit was in een middelgroot ziekenhuis met ook enkele duizenden personeelsleden

William_H @Arms2Short • 17 juni 2025 23:58

Dan hebben ze gewoon pech hoor, die artsen. Zelf ook in een (groot) ziekenhuis gewerkt. MFA werd gewoon ingevoerd. "Jammer joh, vervelend voor je dat je daar geen zin in hebt, maar dat zijn nu eenmaal de regels." Dat is hoe wij het uitlegde.

gaskabouter @Arms2Short • 17 juni 2025 20:48

Vrij kort door de bocht om een hele beroepsgroep als digitaal incompetent neer te zetten.
Ik kan daar weer tegenover zetten dat ict-ers geen flauw idee hebben hoe ze data veilig en goed beschikbaar houden zonder dat de gebruiker een cursus van half jaar moet volgen en 16 unieke wachtwoorden moet onthouden die iedere maand vervangen moeten worden omdat ze geen benul hebben dat niet zij de core business zijn maar het bedrijf waar ze voor werken.

Maar in praktijk blijkt het gewoon weerbarstige materie en moet je gewoon veel tijd steken in elkaar uitleggen waar de knelpunten liggen. En dan gaat er best veel goed

William_H @gaskabouter • 17 juni 2025 23:59

Dat moet ICT ook niet bedenken. Maar een goede CIO of Ciso. ICT moet het alleen maar goed implementeren en (deels) handhaven.

@Arms2Short • 18 juni 2025 13:26

Wat zou jij doen wanneer elke deur in je huis een 2FA nodig zou hebben om je door te laten? Zou jij dan ook niet op een gegeven moment her en daar een slipper tussen een deur stoppen waar je vaak doorheen moet?

De grootste zorg voor gegevnsbeveiliging is niet gebruikers die te 'dom' zijn om hier goed mee om te gaan. De grootste zorg is beveiligingsmaatregelen die het werk zodanig in de weg zitten dat de gebruikers zo 'slim' worden om deze zoveel mogelijk te proberen te omzeilen.

OttoRocketman 17 juni 2025 19:11

Los van de datalek zelf/mogelijke oorzaken, is het toch netjes dat ze het zelf hebben aangegeven bij AP (ook al is het verplicht in hun geval) & een externe partij hebben ingeschakeld.

WargamingPlayer @OttoRocketman • 17 juni 2025 20:47

Tegenwoordig kan je niet anders. Alternatief is doofpot, en dan jaar later komt het in het nieuws. Dan heb je echt een probleem, melden is gewoon de economisch beste oplossing en kan je gezicht redden.

Vroeger was men bang voor gezichtsverlies wanneer je het melde, nu wordt je aan de schandpaal genageld wanneer je het niet meld. En de boetes zijn niet mals.

Vaevictis_ 17 juni 2025 19:14

Als je usb sticks toestaat activeer dan tenminste bitlocker to go in een policy

joenevd @Vaevictis_ • 17 juni 2025 19:32

Je zou toch verwachten dat mbv nis2 wetgeving verplicht wordt een fatsoenlijk beleid op te stellen en uit te rollen voor een zorginstelling. Het bestuur immers verantwoordelijk hiervoor.

kalikatief 17 juni 2025 19:24

Ik vind het respectabel dat dit bedrijf er wel eerlijk voor uit komt. Het zou de eerste keer niet zijn dat men hoopt dat een verloren stick met een sisser afloopt.

Fouten maken is menselijk, en alhoewel het zorgwekkend is dat dit uberhaupt heeft kunnen gebeuren toont dit wel dat het bedrijf dit soort zaken serieus neemt. Meestal zijn de mensen die deze zaken praktisch uitvoeren toch wat rangen lager en praktischer ingesteld op wat voor hen frustrerende of onpraktische situaties zijn waar zij of hun collega's door gehinderd worden.

DataMan @kalikatief • 18 juni 2025 09:58

Er is niets respectabels aan, het is een wettelijke plicht. Moeten we tegenwoordig applaudisseren als een organisatie zich aan de wet houdt?

kalikatief @DataMan • 18 juni 2025 11:08

Ze gaan wat mij betreft wel wat verder dan de wettelijke plicht die gewoon neerkomt op 'melden bij een gegevenslek'. Je kunt aan de wet voldoen en het nog steeds enorm wegmoffelen of afdoen als een klein probleem. "Ja, er was een lek, maar het is een storm in een glas water en zal desondanks zeker niet meer gebeuren maar tja, we moesten het melden van de wet, sorry voor de paniek." Dat soort indruk krijg ik hier niet.

En je mag best mag applaudiseren wanneer een bedrijf zich aan de (geest van de) wet houdt wanneer de tendens van bedrijven is om het formaat en impact van dergelijke incidenten te begatelliseren omdat het voorkomen van slechte PR de hoogste prioriteit krijgt.

Als je dat gek vindt, denk dan eens aan de politie, brandweer of zelfs het het cabine personeel van een gecrasht vliegtuig wanneer deze de levens redden van mensen. Ga je daar ook zeggen 'het was hun baan, daar hoef je ze niet voor in het zonnetje te zetten ook al was het gevaarlijk'?

Als mensen correct en adequaat handelen terwijl dit niet in hun voordeel is mag dat best benoemd worden. Fouten zijn menselijk, en juist de reactie om de fout te herstellen toont het karakter van een persoon of organisatie.

DataMan @kalikatief • 18 juni 2025 16:57

Ik mag hopen dat je zelf ook wel inziet dat je een kromme en niet ter zake doende vergelijking maakt.

m1ele 17 juni 2025 21:09

Er is al jaren een hele hoop verkeerd bij Pluryn, dus dit verbaasd mij dan ook niet. Sluiten nieuwe financiëringen af om andere weer in te lossen. Een groot fiasco daar.

Danath 18 juni 2025 10:30

Ik vrees dat men hier de basis regel even gemist heeft. En dit is het hanteren van Principle of Least Privilege. Kortom, wat heb je nu echt nodig om je werk te doen. Een lijst met BSN nummers uit een systeem kunnen halen (wellicht moet het er niet eens in staan) kan daar simpelweg niet onder vallen. Nog los van wel of niet toestaan van data dragers voor dit soort zaken. En nee een BSN hoort in 99% van de gevallen ook niet op een persoonlijk geadresseerd stuk communicatie thuis (ongeacht de drager van die communicatie).

Het spanningsveld tussen "dichttimmeren" en "je werk" kunnen doen, staat in mijn optiek los van verantwoordelijk je werk doen. En als je met persoonsgegevens omgaat, heeft het bedrijf de verantwoordelijkheid te borgen dat dit goed gebeurd. Dat moet zowel aan de kwalificatiekant van de medewerker zitten (snap je wat je doet en ga je hier verantwoordelijk mee om) als aan de IT kant. Als in kan je aantonen dat bepaalde zaken gewoon niet kunnen.

Om te kunnen reageren moet je ingelogd zijn