Zorgorganisatie Pluryn meldt datalek door verloren USB-stick

De zorgorganisatie Pluryn meldt dat er een datalek heeft plaatsgevonden waarbij mogelijk gevoelige persoonsgegevens van medewerkers en cliënten betrokken zijn. Dit is het gevolg van een verloren USB-stick. Het bedrijf doet nog onderzoek naar het incident.

Volgens de organisatie is er in de week van 9 juni een onbeveiligde USB-stick verloren. Daarop stonden persoonsgegevens van cliënten en medewerkers, waaronder namen, adressen en burgerservicenummers. Mogelijk stonden er ook gegevens van voormalige cliënten en werknemers op de gegevensdrager. Vanwege de potentiële gevolgen van het incident heeft de organisatie een melding bij de Autoriteit Persoonsgegevens gemaakt. Dit is verplicht wanneer de rechten en vrijheden van betrokkenen in het geding kunnen komen.

Het bedrijf doet nog onderzoek naar het incident en heeft daarvoor een externe partij ingeschakeld. Dit bedrijf kijkt of de verloren gegevens bijvoorbeeld ergens online te koop aangeboden worden. Getroffenen worden vanaf 17 juni geïnformeerd. De organisatie heeft een speciaal e-mailadres ingericht waar mensen vragen naar kunnen sturen, namelijk 'gegevensbescherming@pluryn.nl'. Ook is er een telefoonnummer beschikbaar: 088-779 3500.

De organisatie gaat uit voorzorg medewerkers 'actief informeren' over het veilig omgaan met persoonsgegevens. Daarnaast claimt het bedrijf dat het informatiebeleid aangescherpt wordt, al is niet duidelijk op wat voor manier.

Pluryn is een zorgorganisatie die verschillende soorten zorg levert, waaronder de behandeling en ondersteuning van jeugd, mensen met mentale gezondheidsproblemen en mensen met een beperking. Dit gebeurt zowel bij mensen thuis als op een van de locaties.

Door Yannick Spinner

Redacteur

Feedback • 17-06-2025 19:02
87 • submitter: Mday

17-06-2025 • 19:02

87

Submitter: Mday

Lees meer

Ex-ceo koopt 23andMe terug: dna-database onder toezicht non-profit
Ex-ceo koopt 23andMe terug: dna-database onder toezicht non-profit Nieuws van 16 juni 2025
Klantendata Adidas gestolen via externe serviceprovider
Klantendata Adidas gestolen via externe serviceprovider Nieuws van 27 mei 2025
Have I Been Pwned brengt 2.0-versie uit van datalekzoekmachine
Have I Been Pwned brengt 2.0-versie uit van datalekzoekmachine Nieuws van 21 mei 2025
Omrop Fryslân onderschept gegevens door ontbrekende domeinnaam Dantumadiel
Omrop Fryslân onderschept gegevens door ontbrekende domeinnaam Dantumadiel Nieuws van 20 mei 2025
Hackers TU/e hadden vijf dagen lang toegang tot IT-systemen
Hackers TU/e hadden vijf dagen lang toegang tot IT-systemen Nieuws van 19 mei 2025
Ransomwaregroepering LockBit is zelf slachtoffer van hack
Ransomwaregroepering LockBit is zelf slachtoffer van hack Nieuws van 8 mei 2025
Meer producten en artikelen
Privacy Datalek Usb Zorgstelsel

Reacties (87)

-Moderatie-faq
87
85
49
3
0
25
Wijzig sortering
HKLM_ 17 juni 2025 19:13
Onbeveiligde USB-stick verloren. Daarop stonden persoonsgegevens van cliënten en medewerkers, waaronder namen, adressen en BSN-nummers.
Je vraagt he echt af hoe dan 8)7 Dit had zo makkelijk voorkomen kunnen worden met door wat preventieve maatregelen te nemen vanuit IT / de organisatie.

[Reactie gewijzigd door HKLM_ op 17 juni 2025 19:15]

Reageer
BitWeasel @HKLM_17 juni 2025 21:37
Werkend in een grote organisatie waar veel met data gewerkt wordt kan ik je heel eenvoudig uitleggen hoe dit mis gaat: (En we doen even wat aannames he, ik zeg niet dat dit is hoe het is gebeurd)

IT stelt alles heel goed af, timmert alles dicht, en maakt daarmee helaas werk soms wat lastig. Medewerker gaat eromheen proberen te werken (olifantenpaadjes) omdat er nu eenmaal gewerkt moet worden en security het alleen maar lastig maakt om je werk te doen.

En dan gaat er iets mis..... precies de reden dat security alles dicht had gezet. Een typische "told you so" en "dit is waarom we beleid hebben waarin staat dat dit niet mag". Maar je wil de boel niet zo dicht zetten dat men niet meer kan werken dus je doet een beroep op de medewerkers zelf om - ook al kan iets - het niet te doen.

Dit is helaas alleen te voorkomen met hele goede awareness trainingen voor de medewerkers, zodat ze beleid en security niet zien als "die irritante afdeling die altijd nee zegt op alles" (Raad eens voor welke afdeling ik werk...) maar juist die afdeling is die probeert om dingen toch mogelijk te maken, maar dan op een veilige manier, en de medewerkers mee neemt hierin. Meedenken, de goede consultant uithangen, en ipv "nee".. "niet zo, maar we hebben wel iets anders voor je" aanbieden.

Ik heb er een dagtaak aan... al jaren. Ook wij hebben wel eens close calls gehad, maar tot nu toe *knocks on wood* gaat het allemaal goed.
Reageer
klystr @BitWeasel17 juni 2025 22:10
Eens, dit wordt zo vaak onderschat bij beveiliging.

Doet me denken aan een andere casus waarbij de computers op wieltjes in een ziekenhuis een proximity-sensor hadden, dus als de zorgverlener 2 meter weg liep ging de computer op slot. Blijkt echter dat 2 meter te kort (lees: irritant) is als je rondom een bed loopt. Gelukkig was daar snel wat op gevonden: zo'n piepschuim koffiebekertje over de sensor van het karretje en de computer bleef van 't slot. Dat duurt dan een week voordat elk karretje een bekertje heeft en IT nog steeds denkt dat het goed voor elkaar is :D
Reageer
mhnl1979 @klystr17 juni 2025 22:38
Briljant voorbeeld en zo herkenbaar. Mensen lossen het probleem niet op de juiste manier op, maar foppen het systeem. Soms ook omdat er niet naar ze geluisterd wordt trouwens. (De software heeft alleen maar 2 meter als optie)
Reageer
Majhool @BitWeasel17 juni 2025 22:24
Het is daarbij belangrijk om je af te vragen waarom een medewerker toch een onbeveiligde USB-stick gebruikt voor dit soort informatie. Daarbij moet je - volgens mij - uitgaan van de goede bedoelingen van die medewerker (als er kwade opzet in het spel. is, heb je een hele andere casus).

"Handig" is daarbij ongeveer het slechtste antwoord dat je terug kunt krijgen. Maar "noodzakelijk voor..." is reden om verder te kijken. Waarom voorzien de huidige (toegestane) IT middelen niet in de behoefte van de medewerker en - blijkbaar - zijn of haar cliënten? Waarom neemt deze medewerker toch een risico om zijn of haar werk uit te voeren? Als je dat goed snapt als IT afdeling, heb je een hele mooie functionele vraag en mogelijk kun je een hele mooie, veilige oplossing aanbieden.
Reageer
fenrirs @Majhool17 juni 2025 23:11
Probleem is ook vaak de manager van die persoon die bepaalde taken gedaan wil hebben ondanks dat die eigenlijk meer werk zijn.

De werknemer raakt dan in een spagaat: “ga ik mee met die manager, die over een half jaar mijn contract beoordeelt, of volg ik de regels van IT die alleen via een ticket systeem te bereiken is”?

[Reactie gewijzigd door fenrirs op 17 juni 2025 23:14]

Reageer
laurens0619 @BitWeasel17 juni 2025 22:58
Helemaal eens met je stuk maar ipv bewustwording zou ik vanuit security ook kijken of je usability (nog) beter kunt meenemen in je maatregel.

"Security at the expense of usability, comes at the expense of security."
"Where security has made things too hard and so people have just found workarounds that nullify all the security controls."

Tuurlijk het kan niet altijd maar door vanuit security extra tijd en energie te stoppen in het gebruiksvriendelijk maken, haal je een hogere effectiviteit. Soms betekent dit ook dat je in een mitigatie risico acceptatie moet doen om de usability goed te houden.

[Reactie gewijzigd door laurens0619 op 17 juni 2025 23:00]

Reageer
JasperE @HKLM_17 juni 2025 20:42
Deze standaard policy lost dit grotendeels op.

https://learn.microsoft.c...ot-protected-by-bitlocker
Reageer
MrNick4B @JasperE17 juni 2025 22:47
Ik ben wel heel benieuwd hoe dit werkt als je bijvoorbeeld een opstartbare USB-stick wil maken of een firmware-update op een USB-stick wil zetten. Dan zul je volgens mij toch al weer snel uitzonderingen krijgen.
Reageer
nandervv @MrNick4B17 juni 2025 23:08
Die maak je toch gewoon niet op een systeem waar gevoelige data in zit?
Heel simpel: die data gaat *niet* je software-systemen uit.
Reageer
Raymond Deen @MrNick4B17 juni 2025 23:08
Wat moet zo’n medewerker met een opstartbare usb-stick? Niks toch?
Zo’n policy is gewoon niet te intrusive en werkt prima om dit soort lekken te voorkomen.
Niet beveiligde sticks zijn alleen lezen dus nog steeds beperkt bruikbaar.
Reageer
MrNick4B @Raymond Deen17 juni 2025 23:47
Voor het overgrote deel van de medewerkers zal het prima werken om te verplichten dat USB-sticks met BitLocker worden versleuteld, daar ben ik het helemaal mee eens. Toch zijn er bepaalde situaties, met name binnen specifieke vormen van dienstverlening, waarbij het noodzakelijk is om een niet-versleutelde USB-stick te kunnen gebruiken. Voorbeelden zijn het aanmaken van opstartbare USB-sticks, of het laden van firmware of configuratiebestanden op apparaten die geen versleutelde media accepteren.

Omdat ik sterk vermoed dat deze vraag in de praktijk gegarandeerd zal terugkomen, ben ik dus benieuwd naar ervaringen en de aanpak van anderen.
Reageer
bytemaster460 @HKLM_17 juni 2025 19:21
Mensen zijn creatief. Als je alles dichtspijkert gaan mensen geitenpaadjes zoeken zoals een lijst met patiënt gegevens eerst elders naar toe mailen en dan zelf thuis op een stick zetten. Hoe strikter de policies hoe gevaarlijker de geitenpaadjes die men gaat behandelen. Die geitenpaadjes kun je ook wel weer afsluiten maar mensen moeten wel nog hun werk kunnen doen en niet gefrustreerd raken.
Reageer
HKLM_ @bytemaster46017 juni 2025 19:37
Dit soort gegevens zou je niet eens moeten kunnen mailen, en dat kunnen ze net als met de USB stick gewoon instellen zelf met een niet E licentie van MS365 (Ze zitten in MS 365)

Maar goed als je hun domein checkt zie je dat hun basis email security ook niet op orde is :X

[Reactie gewijzigd door HKLM_ op 17 juni 2025 19:39]

Reageer
bytemaster460 @HKLM_17 juni 2025 22:31
Ja, dat weet ik, maar zoals gezegd worden mensen creatief. Als ze thuis werken kunnen ze gewoon lokaal een excel sheet maken en daarin allerlei gegeven uit het systeem van de zorginstelling overtypen en op een USB stick zetten.
Reageer
pierredorado @bytemaster46017 juni 2025 22:50
Tegenwoordig kun je zelfs een foto maken, en deze via ChatGPT laten vertalen naar tekst. Scheelt weer een boel irritant typwerk! :P
Reageer
nandervv @pierredorado17 juni 2025 23:08
Briljant om dat in de zorg toe te passen. Data naar een vage cloud-dienst sturen die er belang bij heeft om alle data in de wereld te scrapen.
Reageer
pierredorado @nandervv17 juni 2025 23:12
Zoals hierboven gezegd, de mens geraakt creatief als het ze lastig gemaakt wordt.
Hoe dan ook een zorgwekkende ontwikkeling, blijf me toch verbazen dat in anno 2025 nog onbeveiligde USB sticks kwijt raken met gevoelige informatie erop.

Ik kan mij volgens mij nog een Peter R. de Vries aflevering herinneren waarin de politie oid een USB stick kwijt was, dit is alweer 15+ jaar geleden?

[Reactie gewijzigd door pierredorado op 17 juni 2025 23:13]

Reageer
nandervv @pierredorado17 juni 2025 23:19
Het is ook gewoon dat mensen niet respecteren dat veiligheid van data belangrijk is en een prijs heeft. En dat ze eigengereid zijn en van zichzelf besluiten dat zij het beter weten.

Dat dingen inefficient zijn is soms gewoon op management-niveau ge-accepteerd. Als je baan is om in een matig softwaresysteem data over te typen, dan is dat je baan. Op je eigen houtje dan besluiten dat *jij die data ook wel goed kunt beheren buiten het systeem* zit een vorm van denken in die intrigerend is.

Ik hoop dat organisaties waar dit soort dingen gebeuren zeer goed onderzoeken waarom hun medewerkers op de werkvloer zich niet wensen te houden aan regels die gesteld worden. Het is namelijk gevaarlijk. Vandaag is het het omzeilen van de softwareveiligheid van een karretje, morgen doen ze misschien een andere shortctut "omdat zij de experts zijn".
Reageer
memphis @HKLM_17 juni 2025 21:59
Omdat de zorg met een gebrekkig budget een gebrekkige ICT omgeving kan betalen waardoor het personeel zelf iets onderneemt om het hun werk makkelijker te maken maar mist daarbij veelal de kennis en vaak ook de mogelijkheden om het correct te doen.
Reageer
Robbierut4 17 juni 2025 19:33
Voor de mensen die niet bekend zijn met Pluryn, ze zijn echt een heel groot zorgbedrijf.

In 2024 werkten er 6.140 mensen bij Pluryn, plus nog 170 stagairs en 512 vrijwilligers.
Met al die mensen bereikten ze samen een omzet van 482 miljoen euro, met een winst van 10,2 miljoen.

En ze hebben ruim 5.000 clienten.

Van zo'n grote organisatie verwacht je toch echt beter dan "oeps, we zetten BSN nummers van clienten op een usb-stick en raken die stick dan kwijt".

Hier hoort gewoon een fatsoenlijke IT afdeling te zitten die dit soort zaken onmogelijk maakt. USB stick in werk computer is sowieso niet nodig.
Reageer
Caayn @Robbierut417 juni 2025 19:40
10 miljoen klinkt veel maar het is slechts ±2.5% winst, niet bijzonder veel speelruimte.

[Reactie gewijzigd door Caayn op 17 juni 2025 19:40]

Reageer
Robbierut4 @Caayn17 juni 2025 19:52
2,5% winst is netjes voor een zorgbedrijf. Die winst wordt namelijk volledig door de maatschappij betaald, dus je wil niet dat die te hoog ligt.
Sterker nog, veel gemeentes maken afspraken over de maximale winst van zorgbedrijven nadat er veel fraude was en zorgcowboys met absurde winsten.

Er zal overigens al gewoon een aanzienlijk bedrag naar de IT gaan, dus tis niet alsof de volledige IT en gegevensbescherming van die 10 miljoen winst hoeft te worden betaald.
Reageer
Mday @Robbierut417 juni 2025 20:00
Dit dus. Wat ik helemaal niet vind kunnen is dat informatie die op die stick stond met alle vormen en maten van beveiliging worden versleuteld als het verdeeld moet worden in het dagelijkse werk, maar blijkbaar is er een moment geweest om het allemaal op één hoop te moeten gooien op een onversleutelde stick. Medewerkers én clientgegevens? Schandalig.

[Reactie gewijzigd door Mday op 17 juni 2025 20:00]

Reageer
geerttttt @Robbierut417 juni 2025 20:55
Als jij data vanaf je werkplek op een losse pc of whatever wilt hebben heb je bij veel bedrijven 2 opties. Mail of usb stick.

Mail is alleen handig als het kleine bestanden betreft, en niet alle extensies. Dus ik snap wel dat soms men uitwijkt naar een usb stick.
Reageer
sapphire @geerttttt17 juni 2025 21:37
Of je logt in op je M365 en opent je Onedrive :+

Dan de vraag waarom je bedrijfsdata op een losse PC wilt hebben? Nou kan ik genoeg waaroms bedenken maar bij elke reden ben je eigenlijk gewoon een pannekoek die een risico voor de organisatie is.
Reageer
William_H @geerttttt17 juni 2025 23:52
Dan heb je voor mail nog nooit gehoord van Zivver. Kun je 2GB aan bijlages mailen en is speciaal voor zaken zoals wanneer er BSN nummers in een document staan.
Reageer
dl658 @Robbierut417 juni 2025 19:41
Versleutelde verbinding naar het bedrijf?
Reageer
Robbierut4 @dl65817 juni 2025 19:50
Ik weet niet exact hoe Pluryn het doet. Ik weet wel dat veel zorgorganisaties gebruik maken van de cloud, vaak microsoft. Dan hoef je dus nooit met losse datadragers aan de slag, bij openen van de laptop inloggen op de cloudomgeving en je kunt overal bij waar nodig is.

Dat maakt het ook een stuk makkelijker om te segmenteren, als medewerker hoef je namelijk niet in de gegevens van een andere locatie te kunnen (op uitzonderingen na, maar daar zijn manieren voor).
Reageer
Wouterie 17 juni 2025 19:10
Tja, bij ons is het echt verboden om dit soort gegevens op een 'eigen' datadrager te plaatsen. We hebben versleutelde USB-sticks, externe schijven etc en iedereen krijgt een degelijke voorlichting rondom het gebruik van persoonsgegevens. Als je wat nodig hebt dan loop je even bij ons langs.
Gaat het altijd goed? Helaas... Maar gelukkig is het zoverre intern gebleven.
Reageer
itarix @Wouterie17 juni 2025 19:16
Telt een verloren versleutelde usb stick ook als een datalek? Over x jaar is mogelijk de encryptie verbroken met steeds betere computers.
Reageer
mugenmarco @itarix17 juni 2025 19:22
Telt een verloren versleutelde usb stick ook als een datalek? Over x jaar is mogelijk de encryptie verbroken met steeds betere computers.
Ja ook dat is een mogelijke datalek
Reageer
RxTweak @mugenmarco17 juni 2025 19:33
Ik lees daar niets over terug in het artikel, hoe weet ik nu of het om een usb stick gaat met encryptie?
Reageer
Wakoz @RxTweak17 juni 2025 19:37
Staat letterlijk in het artikel, gaat over een onbeveiligde USB stick.
Reageer
Jeroen hofman @Wakoz17 juni 2025 23:10
BIzar Pluryn meldt datalek door verloren USB-stick en dan ook nog een onbeveiligde USB stick
Reageer
RobVI @RxTweak17 juni 2025 19:43
Hoe duidelijk moet het zijn? https://i.imgur.com/VGudqlv.png
Reageer
Quintiemero @mugenmarco17 juni 2025 19:26
Datalek of mogelijke datalek? Dat is dus bij uitstek geen datalek.
Reageer
latka @Quintiemero17 juni 2025 20:34
Als een boom valt in het bos en niemand is er om het te horen, is de boom dan gevallen?
Reageer
Quintiemero @latka17 juni 2025 22:23
Je hebt gelijk, wel een lek maar niet meldingsplichtig

[Reactie gewijzigd door Quintiemero op 17 juni 2025 22:24]

Reageer
William_H @Quintiemero17 juni 2025 23:46
Zeker wel!
Bij vermoeden van het lekken van, in dit geval zelfs bijzondere persoonsgegevens (BSN), is men verplicht een datalekmelding te doen.
Reageer
PaulHelper @mugenmarco17 juni 2025 21:54
Nu een lastigere, het is een beveiligde/encrypted usb, maar deze keer met antiquantum encryptie al gebruikt. En we gaan ervan uit dat het geen raadbare key is ofzo. Is het dan een datalek als het eigenlijk nooit gedecrypt kan worden. Of als je bijvoorbeeld maar 3 pogingen hebt om een bepaald wachtwoord ervan te raden anders wordt het medium gewist.
Reageer
Wouterie @itarix17 juni 2025 19:43
Ja, dat is ook een datalek, zeker wanneer er geen kopie gemaakt is van de data. Maar over het algemeen volstaat een melding en hoeft er verder weinig mee gedaan te worden.
Reageer
svennd @Wouterie17 juni 2025 20:57
Je verward availibity met confidentiality :) data loss is het wanneer dat het laatste kopie is. data leak -> je weet niet meer wie er kan meekijken.

Overigens denk ik dat een encrypted usb stick niet echt een data lek is. Het risico dat iemand de encryptie kan breken is beperkt tot state actors (binnen enkele jaren -mogelijks-), en de vraag is dan maar of zorgorganisaties dat als realistische treat actor kan zien.
Reageer
William_H @svennd17 juni 2025 23:48
Buiten het systeem en geen controle meer over de data, is gewoon een lek. Er is letterlijk data weggelekt, of die nu in een ballontje zit met een strikje eromheen of niet.
Reageer
Sannr2 @itarix17 juni 2025 19:54
Dat is wel een datalek, maar hoeft in dat geval niet aan de betrokkenen te worden gemeld of bij de Autoriteit Persoonsgegevens te worden gemeld. Wel moet het datalek intern worden vastgelegd.

Zie bijvoorbeeld voorbeeld 10 hier: https://www.edpb.europa.e...tification_adopted_nl.pdf

Of het bovenste voorbeeld hier: https://www.autoriteitper...et_melden_datalek_def.pdf
Zolang de gegevens met een geavanceerd algoritme zijn versleuteld, er back-ups van de gegevens bestaan, de unieke sleutel niet is gecompromitteerd en de gegevens tijdig kunnen worden hersteld, is het mogelijk dat deze inbreuk niet hoeft te worden gemeld. Vindt er later echter een compromittering plaats, moet de inbreuk wel worden gemeld.

[Reactie gewijzigd door Sannr2 op 17 juni 2025 19:55]

Reageer
nandervv @itarix17 juni 2025 23:19
Het is gewoon een datalek, maar een eventueel lichtere vorm. Of het meldingsplichtig is zou ik in zo'n geval met een jurist overleggen.

Het is in ieder geval superslordig.
Reageer
glennoo @Wouterie17 juni 2025 19:38
Het is dus niet goed gegaan maar het is “intern gebleven”. Dit leest als een datalek wat in de doofpot is gestopt.
Reageer
PageFault @Wouterie17 juni 2025 20:21
Wij kunnen het niet eens op een USB stick of externe SSD/HDD zetten. Wij werken niet eens met patientengegevens, maar dat is gewoon geblokkeerd, net zoals fileshares die je thuis zou op kunnen zetten. Eigenlijk vind ik dat een goed iets.
Reageer
Triblade_8472 @Wouterie17 juni 2025 19:19
Ik kan nergens uithalen dat het een eigen datadrager was.

Wie weet was deze voor "even kort" uitgeleend door een junior helpdesk medewerker, of via een quick fix inhuur,
wie zal 't zeggen...
Reageer
Pep7777 @Triblade_847217 juni 2025 19:40
Maakt ook niet uit, persoonsgegevens horen niet op een USB stick. punt!
En USB poorten zouden dicht moeten staan voor data dragers... meer een systeem/process fout niet die van een medewerker zou ik zo zeggen

[Reactie gewijzigd door Pep7777 op 17 juni 2025 19:41]

Reageer
Wouterie @Triblade_847217 juni 2025 19:44
Alles wat wij niet uitgeven beschouwen wij als een eigen datadrager. Vandaar ook de 'eigen'.
Reageer
Bux666 @Triblade_847217 juni 2025 19:23
Die 'junior helpdesk medewerker' zal eerder een 'management team lid' zijn. Die lui in pak maken er nog wel eens een zooitje van...
Reageer
joenevd @Bux66617 juni 2025 19:29
Inderdaad.. Er wordt vaak een beveiligingsbeleid opgesteld, maar bij implementatie ervan moet de directeur allemaal uitzonderingen krijgen. Dit terwijl iemand met zo'n functie meer toegang heeft en vaak juist een target is.
Reageer
silverchaoz @joenevd17 juni 2025 19:51
Uit mijn vak ken ik genoeg (grote) bedrijven waar de hele top een uitzonderingspositie krijgt. Vaak gaat het soms zo ver dat ze niet eens MFA willen instellen.

En vervolgens zeggen tegen het personeel dat "security" op nummer 1 staat binnen het bedrijf :Y) :Y) :Y)
Reageer
WargamingPlayer @silverchaoz17 juni 2025 20:41
Ik ken een bedrijf dat dan gewoon zegt. Dan ga je maar ergens anders werken als je niet met onze interne regels om kan/wil gaan. Ook al ben je partner/senior director.
Reageer
Jhonna 17 juni 2025 19:10
In de meeste bedrijven is er een stricte policy dat er uberhaupt geen gegevensdragers in de computer kunnen. Hoe kan het dan dat een luttele usb stick data bevat? Ik zou denken dat juist bij een zorginstantie er nauwlettend beleid gevoerd wordt hierover, hebben hun geen verplichte regels daaromtrend t.o.v de prive sector?
Reageer
Houtenklaas @Jhonna17 juni 2025 19:30
Jij zit overduidelijk niet in de zorg. Zorg heeft amper geld om aan de zorg voor cliënten te kunnen voldoen, laat staan om een volwaardige IT club in leven te houden. De werkdruk is enorm hoog, consequent personeelstekort, gaten vullen met ZZP'ers die komen en gaan en verzekeraars die het onderste uit de kan willen, een ontzettend hoge administratieve last voor al die mensen. Kortom, dat het zo weinig misgaat is eigenlijk wonderlijker dat dit bericht.
Reageer
Robbierut4 @Houtenklaas17 juni 2025 22:15
Je zit misschien in de zorg, maar blijkbaar weinig kennis over Pluryn.
Zij hebben namelijk nauwelijks te maken met zorgverzekeraars. Het overgrote deel van hun inkomsten is namelijk via de WMO of de WLZ.

Zeker de WLZ is relatief goed voor een zorgbedrijf (en client) door de hogere tarieven en grotere flexibiliteit.
Ook minder eisen betreft administratie.

WMO ligt per gemeente aan het contract en de onderhandelde vergoedingen, maar gezien de grootte van Pluryn en het type langjarige zorg wat ze aanbieden zullen ze strakke maar redelijke vergoedingen hebben onderhandeld met betreffende gemeentes.
Reageer
Rolfie @Jhonna17 juni 2025 19:24
Omdat in de zorg mensen werken?
Reageer
readefries @Jhonna17 juni 2025 21:35
de meeste bedrijven
In mijn perceptie is er juist in veel bedrijven óf geen beleid, óf slecht beleid. Met slecht beleid bedoel ik, dat soms de intentie er wel is, maar er domme keuzes worden gemaakt. B.v. iets heel simpel als er wordt 'geleerd' dat je links in mails moet controlleren, maar vervolgens zetten ze safelinks in Outlook aan waardoor dit niet meer mogelijk is.
Reageer
William_H @readefries17 juni 2025 23:56
Gewoon leren dat je geen linkjes moet aanklikken en dat mensen maar moeten leren dat ze info op een degelijke manier delen. Overigens checkt safelinks wel degelijk of iets schadelijk is. Waarom denk je dat het zo lang duurt voordat je doorgestuurd wordt als je daar op klikt.

Er is wel degelijk goed beleid bij sommige bedrijven en instellingen. Een GGD waar ik heb gewerkt werkte gewoon keurig met policies en Zivver om dit soort lekken te voorkomen.
Reageer
Robbierut4 17 juni 2025 19:10
Waarom stond deze gevoelige data op een usb-stick?
Reageer
Arms2Short @Robbierut417 juni 2025 19:21
Omdat zorgmedewerkers notoire digibeten zijn. Ik heb veel gezien en gehoord over het gebruik van IT middelen in de zorg en in de regel springen de tranen je in de ogen. Artsen die hun werkplek niet locken omdat ze het wachtwoord niet steeds opnieuw willen invoeren, onbeveiligde gegevensdragers, wachtwoorden op post-its.
Voor de meeste zorgmedewerkers is iedere vorm van data security maar lastig. MFA geïmplementeerd krijgen is een nachtmerrie omdat niemand de extra hassle wil maar het gevaar niet ziet of wil zien van matige beveiliging.
Deze mensen willen gewoon bezig zijn met zorg en al het andere is randzaak.
Reageer
Robbierut4 @Arms2Short17 juni 2025 19:28
Omdat zorgmedewerkers notoire digibeten zijn.
Vast. Maar Pluryn is geen kleine organisatie. Er werkten vorig jaar ruim 6.000 mensen bij hun.

Op zo'n schaal hoor je ook gewoon een fatsoenlijke IT afdeling te hebben die rekening houd met de medewerkers en bijv het gebruik van usb-sticks gewoon uitzet op werkcomputers.
Reageer
Arms2Short @Robbierut417 juni 2025 19:44
Die fatsoenlijke IT afdeling is er waarschijnlijk ook maar als ze dan niets gedaan krijgen omdat personeel dwars gaat liggen dan houdt het op.
Heb zo dus een keer een MFA implementatie zien stranden omdat de artsen het te veel gedoe vonden. En dit was in een middelgroot ziekenhuis met ook enkele duizenden personeelsleden
Reageer
William_H @Arms2Short17 juni 2025 23:58
Dan hebben ze gewoon pech hoor, die artsen. Zelf ook in een (groot) ziekenhuis gewerkt. MFA werd gewoon ingevoerd. "Jammer joh, vervelend voor je dat je daar geen zin in hebt, maar dat zijn nu eenmaal de regels." Dat is hoe wij het uitlegde.
Reageer
gaskabouter @Arms2Short17 juni 2025 20:48
Vrij kort door de bocht om een hele beroepsgroep als digitaal incompetent neer te zetten.
Ik kan daar weer tegenover zetten dat ict-ers geen flauw idee hebben hoe ze data veilig en goed beschikbaar houden zonder dat de gebruiker een cursus van half jaar moet volgen en 16 unieke wachtwoorden moet onthouden die iedere maand vervangen moeten worden omdat ze geen benul hebben dat niet zij de core business zijn maar het bedrijf waar ze voor werken.

Maar in praktijk blijkt het gewoon weerbarstige materie en moet je gewoon veel tijd steken in elkaar uitleggen waar de knelpunten liggen. En dan gaat er best veel goed
Reageer
William_H @gaskabouter17 juni 2025 23:59
Dat moet ICT ook niet bedenken. Maar een goede CIO of Ciso. ICT moet het alleen maar goed implementeren en (deels) handhaven.
Reageer
OttoRocketman 17 juni 2025 19:11
Los van de datalek zelf/mogelijke oorzaken, is het toch netjes dat ze het zelf hebben aangegeven bij AP (ook al is het verplicht in hun geval) & een externe partij hebben ingeschakeld.
Reageer
WargamingPlayer @OttoRocketman17 juni 2025 20:47
Tegenwoordig kan je niet anders. Alternatief is doofpot, en dan jaar later komt het in het nieuws. Dan heb je echt een probleem, melden is gewoon de economisch beste oplossing en kan je gezicht redden.

Vroeger was men bang voor gezichtsverlies wanneer je het melde, nu wordt je aan de schandpaal genageld wanneer je het niet meld. En de boetes zijn niet mals.
Reageer
Vaevictis_ 17 juni 2025 19:14
Als je usb sticks toestaat activeer dan tenminste bitlocker to go in een policy
Reageer
joenevd @Vaevictis_17 juni 2025 19:32
Je zou toch verwachten dat mbv nis2 wetgeving verplicht wordt een fatsoenlijk beleid op te stellen en uit te rollen voor een zorginstelling. Het bestuur immers verantwoordelijk hiervoor.
Reageer
kalikatief 17 juni 2025 19:24
Ik vind het respectabel dat dit bedrijf er wel eerlijk voor uit komt. Het zou de eerste keer niet zijn dat men hoopt dat een verloren stick met een sisser afloopt.

Fouten maken is menselijk, en alhoewel het zorgwekkend is dat dit uberhaupt heeft kunnen gebeuren toont dit wel dat het bedrijf dit soort zaken serieus neemt. Meestal zijn de mensen die deze zaken praktisch uitvoeren toch wat rangen lager en praktischer ingesteld op wat voor hen frustrerende of onpraktische situaties zijn waar zij of hun collega's door gehinderd worden.
Reageer
klakkie.57th 17 juni 2025 19:19
Geen idee of dit een grote organisatie is maar , per direct toch een aantal mensen ontslaan (CEO/CIO). ! Het moet maar eens gedaan zijn met dit soort nalatigheid.
Zolang er geen gevolgen zijn voor bedrijfsleiders blijft dit maar doorgaan
Reageer
Houtenklaas @klakkie.57th17 juni 2025 19:35
Dat lost werkelijk niets op. In de zorg is het dagelijks een komen en gaan van ZZP personeel die een paar dagen komen invallen en weer weg zijn. Die hebben nauwelijks tot gaan binding met je bedrijf, moeten cliëntinformatie hebben. Hoe denk je dat dat werkt? Het onderliggende probleem is niet een ontbrekende policy, maar het komen en gaan van mensen, structureel overbelast zorgpersoneel, immens hoge administratieve last, noem maar op. Die CEO/CIO wil het ook echt anders, maar kan ook geen ijzer met handen breken. De BV Nederland heeft de zorg volledig uitgehold met zoiets als dit als gevolg.
Reageer
klakkie.57th @Houtenklaas17 juni 2025 19:54
Zorgen dat er geen onge-encrypteerde USB devices. gebruikt kunnen worden is nu niet bepaald het ei van columbus en dit is wel degelijk iets waar de CIO/CEO kan voor zorgen.

Wat die ZZP-er daar mee te maken heeft is niet helemaal duidelijk. Die hoort gewoon op een beveiligd device te werken maw 1 waar de usb-policy op geactiveerd werd. Beter nog die werkt op een volledig toegetimmerde VM want hij is een extern persoon met een zeer zwaar contract.

[Reactie gewijzigd door klakkie.57th op 17 juni 2025 19:57]

Reageer
Houtenklaas @klakkie.57th17 juni 2025 20:20
Iets met "de beste stuurlui staan aan wal". Hoe het zou moeten weten we allemaal. Alleen zit in de zorg de theorie en de praktijk ongeveer 2 werelddelen uit elkaar. "Zwaar contract" en "hoort op een beveiligd device te werken". Tuurlijk. Dat is de theorie. Ik hoop oprecht dat je er zelf nooit mee te maken zult krijgen om te ervaren hoe de praktijk is.
Reageer
klakkie.57th @Houtenklaas17 juni 2025 21:00
Euh zo werken wij, en we worden hier ook jaarlijks op ge-audit. 🤷🏻‍♂️.

Mijn lijkt een bedrijf dat met patientengegevens werkt gewoon “best-off-class” te zijn ,,,, geen uitzondering. We horen dit gewoon niet te accepteren als maatschappij.

[Reactie gewijzigd door klakkie.57th op 17 juni 2025 21:04]

Reageer
MennoE @klakkie.57th17 juni 2025 19:59
Wat een onzin. Ga je voor elke door het bestuur ontslaan van een bedrijf? Dan wordt niemand meer bestuurder.
Reageer
klakkie.57th @MennoE17 juni 2025 20:59
En waarom niet ??? Zo zou er misschien ook eens een einde komen aan dat jobhoppen van al die mislukte “managers”.

Voor mij is dit echt puur mismanagement … het is niet alsof men niet gewaarschuwd heeft hiervoor.
Reageer
The Zep Man
17 juni 2025 19:11
De organisatie gaat uit voorzorg medewerkers 'actief informeren' over het veilig omgaan met persoonsgegevens. Daarnaast claimt het bedrijf dat het informatiebeleid aangescherpt wordt, al is niet duidelijk op wat voor manier.
Te beginnen met het weigeren van onbeveiligde USB datadragers?
Reageer
White Feather @The Zep Man17 juni 2025 20:04
Inderdaad.

Bij ons kun je USB-sticks prima gebruiken, maar onbeveiligde alleen read-only.

Wil je er iets op zetten, dan gaat er encryptie op.
De organisatie gaat uit voorzorg medewerkers 'actief informeren' over het veilig omgaan met persoonsgegevens.
Ook zo mooi, hoezo uit VOORZORG?

Dat beleid hadden ze dan nog niet?
Als het kalf verdronken is, dempt men de put.
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq