Verloren USB-stick van zorginstelling Pluryn bevat data van bijna alle cliënten

Op de verloren USB-stick van Pluryn staan persoonsgegevens van vrijwel alle (oud-)cliënten en medewerkers van de zorgorganisatie. Het gaat onder meer om namen, telefoonnummers en bsn's.

De omvang van het datalek bij Pluryn is groot, meldt de zorgorganisatie. Op de verloren USB-stick staan gegevens van alle cliënten van de afgelopen 25 jaar, tot en met 31 januari 2025. Ook de gegevens van alle medewerkers die op 31 maart 2025 in dienst waren bij Pluryn zijn gelekt, naast die van 'veel' oud-medewerkers. De organisatie heeft ongeveer 6000 werknemers in dienst.

De aanwezige privégegevens van de (oud-)cliënten en medewerkers zijn namen, adressen, geboortedatums, geboorteplaatsen, nationaliteiten, telefoonnummers, e-mailadressen en bsn's. Van cliënten is verder betaalinformatie en het type verkregen zorg inbegrepen, terwijl er van (oud-)medewerkers ook informatie over ziekmeldingen en het contract aanwezig is, waaronder in welke salarisschaal zij zitten. De zorginstelling schrijft dat niet alle vermelde gegevens van iedere cliënt en medewerker aanwezig zijn.

Pluryn meldde vorige maand al dat er een onbeveiligde USB-stick was zoekgeraakt, maar het was destijds nog niet duidelijk van hoeveel cliënten en werknemers er gegevens waren gelekt en om welke gegevens het precies ging. De organisatie weet nog niet waar de USB-stick nu is. De persoonsgegevens zijn nog niet online aangeboden.

IT-banen

Reacties (232)

oef! 9 juli 2025 18:15

Mocht iemand getroffen worden door identiteitsfraude dan kun je deze website bezoeken voor verdere stappen: https://www.rvig.nl/cmi

Guru Evi @oef! • 9 juli 2025 18:51

Voor dit soort onzin kun je beter direct een rechtszaak aanspannen voor alle mogelijke schade alvorens ze failliet gaan. Als je identiteit gestolen wordt, kun je wel langdurige kosten verwachten. 6000 * 10,000 euro is maar 60M, of ~10% van hun jaarlijkse omzet, en ~2 jaren netto winst voor dit bedrijf.

Er zouden ook echte straffen moeten aanhangen voor de leiders die verantwoordelijk zijn. Als ze nog steeds zulke praktijken toelaten een functie dat tegenwoordig met een knopje in je EDR of MDM kan afvangen, moet je ook eens denken hoe "slecht" de rest van hun systemen in elkaar steken.

Rogers @Guru Evi • 9 juli 2025 19:09

Eens maar hooguit stapt de bestuurder op met een gouden handdruk en werkt een paar weken later ergens anders. Ze verantwoorden hun hoge salarissen altijd met "veel verantwoordelijkheid" maar ik heb nog nooit één zien lijden ten gevolgen van eigen wanbestuur.

[Reactie gewijzigd door Rogers op 9 juli 2025 23:24]

Remzi1993 @Rogers • 9 juli 2025 19:31

Ze verantwoorden hun hoge salarissen altijd met "veel verantwoordelijk" maar ik heb nog nooit één zien lijden ten gevolgen van eigen wanbestuur.

En dit is wanneer ik vind dat we bestuurders persoonlijk aansprakelijk moeten kunnen stellen, nu is dat mogelijk maar wel heel moeilijk en dat moet makkelijker kunnen.

Panzer Dean @Remzi1993 • 9 juli 2025 20:57

Met de Cyberbeveiligingswet / NIS2 worden bestuurders meer persoonlijk verantwoordig voor dit soort nalatigheid. Wordt nog even zien hoe het in de praktijk gaat lopen, maar ik zie veel zorginstellingen ineens meer aandacht aan cyberveiligheid en aanverwante besteden.

OruBLMsFrl @Panzer Dean • 10 juli 2025 10:04

Salliant detail: wie was er in Nederland verantwoordelijk voor dat die NIS2 cyber security wet vanuit de EU doorvertaald en ingevoerd werd destijds, maar vervolgens een jaar vertraagd werd omdat ze haar werk niet fatsoenlijk deed: minister Yesilguz van de VVD.
Ik hoop dat deze zorginstelling Pluryn en de direct betrokken personen ook hoofdelijk keihard worden aangepakt, er is natuurlijk ook al de AVG/GDPR huidige wetgeving.

drdelta @Remzi1993 • 9 juli 2025 19:43

Het aantonen van grove nalatigheid door alle vertrouwelijke en medische data van de afgelopen 25 jaar van het hele bedrijf onbeveiligd op een draagbaar medium te laten zetten en deze vervolgens kwijt te laten gaan lijkt me minder lastig dan normaal. Maar goed, ik vrees dat je helemaal gelijk hebt.

ph3n1x @drdelta • 9 juli 2025 19:59

Ik heb zo een collega die het een prima idee vond om de encryptie op een externe ssd uit te zetten omdat het moeilijk werkt.

Dit gaat tegen alle nota's op het werk in, waarin staat dat je encryptie moet laten aan staan. Wat doe je met zo een collega?

OMEGA_ReD @ph3n1x • 9 juli 2025 20:43

Officiële waarschuwing?

Odie @OMEGA_ReD • 9 juli 2025 21:02

Nee, als je dit soort bewuste risico’s met zulke gevoelige data neemt dan verdien je meer dan ontslag op staande voet. Het is gewoon crimineel. Niet alleen van de persoon die de spullen mee nam op deze manier maar ook van de personen die het mogelijk maakten.

Palm_freemium @Odie • 10 juli 2025 08:38

Ik denk niet dat je snapt wat voor een bord voor de kop de "gemiddelde eindgebruiker" heeft. (En zoals de grap dan gaat vergeet niet dat helft van de gebruikers nog erger is dan de gemiddelde gebruiker.)

Je kunt beleid schrijven, mail versturen en USB poorten op werk laptops blokkeren, maar dan mailen ze het naar hun privé adres en zetten het op hun eigen laptop op een onbeveiligde USB-stick. Dit is een wapenwedloop die we niet gaan winnen en het nadeel van hard afstraffen is dat mensen hun "fouten" dan gaan wegmoffelen.

Ik vraag mij af of bedrijven als 1Password, LastPass of een dergelijke bedrijf waar beveiliging core business is eerlijk (zouden) zijn in geval van een data breach. Het is natuurlijk @#$% als het gebeurd is, maar op dat moment is het enige dat gedaan kan worden. melding maken en maatregelen nemen om misbruik te voorkomen, waarom straffen we dit dan af? Als we serieus willen dat dit soort incidenten niet meer plaatsvinden zullen we preventief moeten controleren en het strafbaar stellen als er geen beleid, training van eindgebruikers of noodplan voor een data breach gedocumenteerd is.

[Reactie gewijzigd door Palm_freemium op 10 juli 2025 12:08]

paradoXical @Palm_freemium • 10 juli 2025 09:44

Omgeving waar ik werk neemt iedereen security erg serieus. Ontslag lijkt mij een prima middel om de rotte appels uit organisaties weg te snijden.

vrow @Palm_freemium • 10 juli 2025 17:15

Ik ben het helemaal eens met je reactie!

Dit is inderdaad hoe het in de praktijk werkt. Zolang beveiliging en veiligheid bij mensen niet tussen de oren zit (en dat begint bij bazen en tussenbazen), blijven dit soort dingen gebeuren.

Bazen willen (uiteraard) niet dat dingen op straat komen, maar vinden het heel vervelend om een wachtwoord in te moeten voeren voordat een USB-stick werkt.

Ik probeerde hier een wachtwoordkluis aan de man te brengen. Goed uitgelegd, goed onderbouwd. Op een gegeven moment via groepsbeleid het opslaan van wachtwoorden in de browser uitgezet.

Gevolg: briefjes. En niet 1 briefje, maar bij zo ongeveer iedereen.
Iedereen ontslaan is ook geen optie :-)

RRX @vrow • 10 juli 2025 23:32

Beter is zorgen dat alle primaire bedrijfsapplicaties waar persoonsgegevens in staan met single sign-on te koppelen en dat stukje zo eenvoudig mogelijk, password less. Wanneer je edge forceert met zakelijke sync is op zich niet veel mis met de rest van wachtwoorden in de browser opslaan.

Paul F @Palm_freemium • 11 juli 2025 19:59

LastPass had meerdere breaches en communiceerde beperkt.

Tintel

Privacy

@Odie • 10 juli 2025 09:07

Crimineel en bijzonder onverantwoordelijk zijn niet gelijk denk ik...

En ontslag.... ja, als dit de 2e maal is. Als mensen een heel hoog risico nemen dan zit daar wel enige motivatie achter vermoed ik. En daar zit het probleem; risico nemen doen we allemaal namelijk wel.

[Reactie gewijzigd door Tintel op 10 juli 2025 09:30]

Odie @Tintel • 10 juli 2025 09:19

Er is een verschil tussen risico nemen waarvan de gevolgen alleen jezelf treffen (thuis geen backup maken), alleen je werkgever treffen of die je hele klantenbestand raken. En dan zie ik ook nog een nuance tussen “gewoon” klant zijn of in de extra kwetsbare positie zitten als klant van een zorgverlener. Hoe háál je het in je hoofd om dan al die data extern te transporteren op een manier die onmogelijk in lijn kan liggen met company policy en gezond verstand.

Iedereen maakt fouten, ook ik. Maar dit is zo next level dat het bijna niet als “een fout” te bestempelen is.

Tintel

Privacy

@Odie • 10 juli 2025 09:31

Mee eens dat dit bizar is. Maar helaas zie je toch vrij vaak dat mensen risico nemen omdat ze het gewend zijn of "dat doen we altijd zo en het is nog nooit misgegaan".
Eigenlijk denk ik ook dat je dit bijna niet alleen kan doen omdat de data zo omvattend is (personeel, klanten, salaris gegevens enz.)

xSNAKEX @Odie • 11 juli 2025 17:09

Een extern apparaat moet gewoon helemaal geen gevoelige data bevatten. Als hij kwijt moet je er vanuit gaan dat de encryptie gekraakt wordt en is er dus een datalek. Van die encryptie oogkleppen is misschien nog wel erger dan dit.

Het.Draakje @ph3n1x • 9 juli 2025 20:59

Hoe kan een collega de encryptie uitzetten? Je kunt prima regelen dat alleen encrypted discs gebruikt kunnen worden. Toen ik nog werkte (> 5 jaar terug) "mocht" ik gewoon uitleggen aan mijn leidinggevende als ik toevallig een niet versleutelde stick in mijn pc stopte. Hoezo, hoe kom ik aan een niet goedgekeurde stick?

Een keer is een waarschuwing, tweede keer was een (exit) gesprek met HR.

Alles staat en valt, uiteraard, met de inzet van de directie.

locke960 @ph3n1x • 9 juli 2025 21:16

Je realiseren dat mensen mensen zijn. Als je je zorgen maakt dan kun je de IT vragen waarom het überhaupt mogelijk is. Als ze willen kunnen ze een policy uitrollen waardoor je met een niet geëncrypte schijf precies 2 dingen kunt doen:lezen of formatteren als geëncrypte schijf.

The Zep Man

Datalek
Privacy

@locke960 • 9 juli 2025 22:17

Als ze willen kunnen ze een policy uitrollen waardoor je met een niet geëncrypte schijf precies 2 dingen kunt doen:lezen of formatteren als geëncrypte schijf.

Waarom zou je als organisatie accepteren dat jouw computers bestanden kunnen lezen van een mediadrager die daarop gezet zijn door een onbeheerde computer?

P_Tingen @The Zep Man • 10 juli 2025 11:20

Omdat je soms gegevens krijgt van een externe leverancier, bijvoorbeeld voor het updaten van machines. In het bedrijf waar ik werk, hebben we machines die regelmatig voorzien worden van updates of data middels een stick. Ik heb zelfs aan de it-afdeling van ons bedrijf gevraagd om de beveiliging op mijn laptop voor usb sticks uit te zetten. Ik kon ook alleen met beveiligde sticks werken, maar die worden dus vervolgens niet geaccepteerd door de machines in de fabriek

Natuurlijk (ik voel hem aankomen) kun je ook de leverancier dwingen om ... bla bla bla enz enz enz
In theorie klopt dat en in theorie zijn theorie en praktijk aan elkaar gelijk, maar in de praktijk niet...

[Reactie gewijzigd door P_Tingen op 10 juli 2025 11:21]

RobWu @P_Tingen • 10 juli 2025 12:06

Waarom moet jij dit doen, als je een IT afdeling hebt?
Met de regels in acht lijkt het mij niet zo moeilijk om alles gewoon netjes 'volgens de boeken' te doen, en jij als 'middle-man' er tussenuit te halen.

Dan blijven de niet beveiligde sticks gewoon in handen van IT tijdens het hele proces.
Moet kunnen lijkt mij ;)

hackerhater @P_Tingen • 10 juli 2025 12:49

Dit is een geldige uitzondering wat dan IT moet regelen.
Maar ik neem dan wel aan dat je geen gevoelige info op die sticks zet.

locke960 @The Zep Man • 10 juli 2025 12:18

Hoe is dat wezenlijk anders dan alle andere bestanden die van buiten komen (email, internet)?

Soms is een USB stick gewoon het handigste om data door te geven.

Jorah_Newstone @locke960 • 10 juli 2025 15:48

In wezen is het niet anders dan andere externe data, zoals mailbijlagen of downloads. Alles wat van buiten komt, brengt risico’s met zich mee. Het verschil is alleen dat een USB-stick fysiek binnenkomt en direct een brug slaat tussen externe en interne systemen, vaak zonder extra netwerkbeveiliging ertussen.

En ja, soms is een stick gewoon de snelste of enige praktische optie bijvoorbeeld bij machines zonder netwerkaansluiting of als er snel grote bestanden nodig zijn. Juist daarom geldt: prima dat het handig is, maar dan wel eerst scannen en checken. Het is echt geen hogere wiskunde.

The Zep Man

Datalek
Privacy

@ph3n1x • 9 juli 2025 21:09

Ik heb zo een collega die het een prima idee vond om de encryptie op een externe ssd uit te zetten omdat het moeilijk werkt.

Waarom heeft jouw collega technisch de mogelijkheid om encryptie uit te zetten?

Als je als bedrijf dat met gevoelige gegevens werkt dat niet hebt uitgezet voor de doorsneemedewerker, mag je anno 2025 best wel spreken van nalatigheid. Je hebt dan niet het redelijke gedaan om informatie afdoende te beveiligen.

[Reactie gewijzigd door The Zep Man op 9 juli 2025 21:12]

DLSS @Remzi1993 • 9 juli 2025 23:20

In sommige gevallen is het aanspralijke stellen van bestuurders van een rechtspersoon met rechtsbescherming al mogelijk. 'Piercing the corporate veil' heet dat.

Maar dan moet het wel heel bond gemaakt worden. Er moet een ernstig persoonlijk verwijt van onbehoorlijk bestuur gemaakt kunnen worden.

Remzi1993 @DLSS • 10 juli 2025 16:36

Maar dan moet het wel heel bond gemaakt worden. Er moet een ernstig persoonlijk verwijt van onbehoorlijk bestuur gemaakt kunnen worden.

Zoals je al zelf zeg is dat bijna onmogelijk. Nooit een succesvolle zaak gehoord dit die heeft bewerkstelligd

theduke1989 @Rogers • 9 juli 2025 20:01

Dat is toch frappant?

Die directeur is toch dan bekend. Want wanneer ze de CV zien en hij erna vertrokken is? Zou ik die niet in dienst nemen

dr86 @theduke1989 • 9 juli 2025 20:16

Werkte het maar zo, de baantjes carousel werkt voor dit soort lui optimaal

Tintel

Privacy

@dr86 • 10 juli 2025 09:10

idd. Want uiteindelijk kan hij/zij altijd volhouden dat de ongeschikten niet hebben geluisterd o.i.d.

Het hele concept verantwoordelijkheid is tegenwoordig een raar verhaal....

Krommetenen @theduke1989 • 10 juli 2025 08:05

Jij denkt dat HR directeuren in dienst neemt? Als een zittende directielid een cv van een oud klasgenootje krijgt gebeuren er rare dingen. Zie je nog overal.

drdelta @theduke1989 • 10 juli 2025 10:00

"Na 12 jaar succesvol leiding geven, klaar voor een nieuwe stap" oid staat er dan.

De voormalig directeur van mijn werkgever is ook bedwongen weggegaan nadat hij er financieel een boeltje van had gemaakt, om vervolgens in een andere belangrijk financiële positie bij een ander bedrijf aan de slag te gaan.

tigurr @Rogers • 10 juli 2025 09:32

Ja het is echt om te huilen. Hier in NHN net zoiets gebeurt. Beste man had zichzelf een salaris van 300K gegeven. Na allerlei wanbeleid, ruzies, niet nakomen van afspraken, andere kleinere zorgbedrijven stuk maken, gewoon weer zelf een pand kopen en een nieuw zorgbedrijf starten.

Cuddle-sheep @Rogers • 9 juli 2025 22:31

Ik vind het altijd raar. Je stapt op en daarmee heb je je verandwoordelijk genomen? A mehoela. Dat is toch geen verandwoordelijk. Dat is weglopen voor het probleem.

Krommetenen @Cuddle-sheep • 10 juli 2025 08:05

Eerder wegrennen van blaam

Raphaelo @bzuidgeest • 10 juli 2025 07:21

Wat is 'spelling controle'? Bedoel je misschien 'spellingscontrole'?

bzuidgeest @Raphaelo • 10 juli 2025 09:46

Haha, ik moet er ook niet aan beginnen, je maakt altijd zelf een foutje of zo.

Maar dat is nog steeds veel minder slecht dan waar ik op regeerde. Jeetje zeg.

Spelling en controle waren tenminste nog individueel correct gespeld.

Wat is in hemelsnaam " je je verandwoordelijk genomen" ? Veilige zelfbevrediging? D ipv t missende -heid, etc. Ik moet moeite doen om het zelfs over te schrijven op mijn telefoon met spellingscontrole.

Cuddle-sheep @bzuidgeest • 10 juli 2025 10:00

Dyslexie is een bitch

bzuidgeest @Cuddle-sheep • 10 juli 2025 10:07

Dat is vervelend, maar je spellingscontrole moet dan toch overal rode lijntjes onder zetten? Ik zou denken dat zoiets een goed hulpmiddel is voor Dyslexie. Tegenwoordig controleert het allemaal spelling en grammatica. Het helpt mij ook met dingen als to of too in het Engels. In het Nederlands met de d en t en meer van dat soort dingen. Ik heb niet eens dyslexie, maar ik kan mij echt de spellingsregels en alle uitzonderingen niet meer herinneren. Daarvoor hebben we nu de computer.

carpebios

@Guru Evi • 10 juli 2025 12:35

Dit is een zorginstelling hè, geen bedrijf voor de winst.

rmathijssen @Guru Evi • 10 juli 2025 13:40

Overdrijven met cijfers is ook een vak

De winst is 'maar' 9,1 miljoen in 2023, vooralsnog verwacht een lager positief resultaat van 4,8 miljoen in 2024. 1% van de omzet in 'winst' is geen vetpot. Verder ga je met dit soort claims ook de mensen benadelen die afhankelijk zijn van zorg van deze instelling. Onderaan de streep zul je meer schade aanrichten bij diegene die niet schuldig zijn.

Verder is 'winst' bij een zorginstelling ook gewoon nodig om een gezonde financiele boekhouding te kunnen voeren, zonder positief resultaat stopt ook het investeren in de toekomst.

Ik ben overigens wel van mening dat de verantwoordelijke binnen dit bedrijf verantwoordelijk gehouden moeten worden voor dit lek. Ik ben heel benieuwd hoe dit heeft kunnen ontstaan met alle normen waar ze aan moeten voldoen en waar ze ook audits voor krijgen.

Guru Evi @rmathijssen • 10 juli 2025 15:18

Het zijn hun eigen cijfers en zeggen netto winst, dus nadat alle kosten en investeringen er al uitgehaald zijn. Zoals ik aanduid, misschien een miljoentje bij de IT investeren ipv in een 'spaarpotje' te steken of uit te keren aan bonus voor hun directie.

rmathijssen @Guru Evi • 10 juli 2025 16:06

Dan weet ik niet welk verslag je leest, maar niet het correcte verslag:
https://www.pluryn.nl/media/x5mdegst/jaarverslag-pluryn-2024.pdf

Verder zal het meer geld gooien in IT niet het probleem oplossen als mensen zich niet aan interne policies en procedures houden. Ik kan namelijk op geen enkele wijze inbeelden dat het volgens reglement is toegestaan de genoemde data op een USB-stick te zetten.

En het populistisch roepen over bonussen is niet relevant in dit verhaal, de directie krijgt in dit geval namelijk geen bonussen. En naast het genoemde spaarpotje heeft de organisatie meer dan 20 miljoen aan lang lopende schulden, het is dus niet zo dat ze in het geld zwemmen.

Zwaai Haai @Guru Evi • 10 juli 2025 14:21

Pluryn meldt doodleuk "Als je denkt slachtoffer te zijn van identiteitsfraude, dan kun je terecht bij het Centraal Meldpunt Identiteitsfraude. " Volgens mij zijn er vier punten waarop dit aangepakt moet worden.

Nee, als je schade hebt geleden door het handelen van deze organisatie, zou je deze organisatie aansprakelijk moeten stellen voor die geleden schade. En ja dat wordt een lang proces, om aan te tonen welke schade er is, en om te zetten in een bedrag. Daarna nog, na een uitspraak, of je het vergoed krijgt van een dan inmiddels failliet Pluryn.
Ten tweede boetes voor deze organisatie als er sprake is van nalatigheid of handelen in strijd met de wet. Maar dat kan ook al en beter bekeken worden voordat er een datalek is.
Ook nog op persoonlijke titel aansprakelijk stellen van individuele bestuurders is weer een ander verhaal die de eerste stappen niet uitsluit. Is nu al moeilijk maar kan parallel met de bovenstaande stappen.
Acties richting individuele werknemers die tijdens hun werk beleid en procedures niet opvolgen of nalatig handelen is volgens mij aan de organisatie.

Als ik identiteitsfraude zie of mails krijg met als e-mail adres plurynportal@zwaaihaaisdomeinnaam.nl die gewoon keurig binnenkomt weet ik in ieder geval waar de bron zit.

Driekant @Guru Evi • 9 juli 2025 19:49

Zorg instellingen maken geen winst. Alle inkomsten die ze krijgen is op basis van indicaties die hun cliënten hebben, of behandelingen en activiteiten die ze voor/met de cliënt uitvoeren.

Er mag verder verwacht worden dat zoveel mogenlijk geld dan ook naar de zorg voor de cliënt gaat. Hier hadden ze misschien iets meer voor de ondersteunende diensten mogen ramen.

Robbierut4 @Driekant • 9 juli 2025 21:57

Onzin. Pluryn publiceert gewoon de jaarverslagen op de website en daar staat ook gewoon winst bij.

Er worden gewoon tarieven afgesproken met zorgverzekeringen/gemeentes voor geleverde zorg. Als je het goedkoper kunt leveren dan wat je ervoor krijgt dan maak je winst.

Te grote winst wordt wel gezien als niet oke en dan worden er lastige vragen gesteld. Maar wat winst hoort er gewoon bij. Dit kan later enige gaten opvullen tijdens een tegenslag.

watje65 @Robbierut4 • 10 juli 2025 17:42

Ik vermoed dat er geen winst maar wel een positief resultaat wordt genoemd. De financiers verwachten dat en dat mag rond de 3% liggen.

kujinshi @Guru Evi • 10 juli 2025 07:05

Dat doen aandeelhouders niet. Die gaan het om het geld. Wat er menselijk erachter gebeurt maakt niet veel uit. Zolang dividend en koers maar goed is. Aandeelhouders hebben weinig ruggegraat naast de dollartekens in de ogen.

Guru Evi @kujinshi • 10 juli 2025 15:19

En bij een breach stort de marktwaarde en dividenden in elkaar, dat willen investeerders ook niet. Niet voor niets dat investeerders tegenwoordig cyberinfrastructuur willen inzien alvorens te beleggen. Ze hebben inderdaad dollartekens in hun ogen, ze willen zeker zijn dat er zo min mogelijk verkeerd kan gaan.

[Reactie gewijzigd door Guru Evi op 10 juli 2025 15:20]

Krommetenen @Guru Evi • 10 juli 2025 08:08

Waarom zou je je rentemarge zelf saboteren? Of bedoel je een straf in natura zoals een investering blokkeren wat de verantwoordelijke van dit schandaal graag wil?

Honytawk @Guru Evi • 10 juli 2025 11:18

Het zijn vaak de aandeelhouders die zo van die anti-consumer praktijken willen geïmplementeerd zien.
Die zouden slavernij terug brengen als we ze lieten. Alles om de winstmarge te verhogen.

Dus laten we dit absoluut niet op de zorg loslaten.

Guru Evi @Honytawk • 10 juli 2025 15:22

De markt is altijd een betere oplossing. Winstmarge zo hoog mogelijk houden wil zeggen dat je riscio zo laag mogelijk houdt.

Arjan90 9 juli 2025 18:12

Het is van de zijlijn makkelijk oordelen, maar waarom was er überhaupt een USB stick met alle gegevens in omloop? Ongelofelijk... En dat onbeveiligd.

evers97 @Arjan90 • 9 juli 2025 18:22

Het is vaak zo dat hoe strenger een IT-omgeving beveiligd is hoe sneller mensen manieren gaan vinden om het te omzeilen zodat ze hun werk makkelijker kunnen uitvoeren

Luchtbakker @evers97 • 9 juli 2025 18:25

Er zijn als beheerders gewoon policy's waarmee je usb sticks met bitlocker afdwingt, en anders werken ze gewoon niet binnen windows.

Had hier ook prima gekunt.

PhilipsFan @Luchtbakker • 10 juli 2025 09:42

Al dat geblaat van tweakers over allerlei technische oplossingen die gebruikt 'hadden kunnen worden'. Je weet gewoon niet wat hier aan de hand is. Wat ik in de praktijk zie, is dat ICT'ers helemaal niet nadenken over wat gebruikers nodig hebben. Ze timmeren alles dicht waardoor normaal gebruik onmogelijk wordt.

Dat kun je doen, maar gebruikers moeten hun werk doen. Dus al die beveiligingen, daar gaat omheen gewerkt worden. Als je kunt kiezen tussen 1. rechten aanvragen op een beveiligd transfersysteem (wat dagen duurt, omdat managers dat moeten goedkeuren en ICT-diensten het moeten uitvoeren) of 2. alles even op een usb-stick zetten en het op je prive-laptop oplossen, dan weet ik wel wat gebruikers gaan doen. Ze willen hun probleem 'nu' opgelost hebben. Als de beveiliging wat minder zwaar was geweest, had het waarschijnlijk gewoon op de zakelijke omgeving gekund en was er nooit zoveel uitgelekt.

Technische oplossingen zijn mooi, maar je kunt beter je gebruikers goed voorlichten en wat minder technische maatregelen nemen. De mens is uiteindelijk altijd de zwakste schakel.

Luchtbakker @PhilipsFan • 10 juli 2025 11:14

Ze timmeren alles dicht waardoor normaal gebruik onmogelijk wordt.

Laat dat nou net het enige correcte beleid zijn wat banken en verzekeraars doorgaans doorvoeren. (het is mijn werk)

Authorisaties voor het gebruik van bijvoorbeeld USB opslagmedium's hoor je doorgaans met een hele goede reden aan te vragen, en daarna heb je evengoed bepaalde verplichtingen, waaronder verplicht bitlocker op je USB. Dmv van een policy kan je afdwingen dat alleen USB sticks die bitlocker hebben geaccepteerd worden, of anders functioneren ze simpelweg niet.

Bitlocker verplichten aan zorgmedewerkers is helemaal niet iets onwerkbaars, en het voorkomt een heleboel problemen. Want reken er maar op dat dit wanbeleid Pluryn een heleboel problemen en geld kost.

SuperDre @Luchtbakker • 10 juli 2025 12:23

Ja, leuk voor grote organisaties die grote afdelingen voor IT hebben en grote budgetten ervoor, zoals banken, maar een doorsnee organisatie heeft dat soort zaken niet.

mjtdevries @SuperDre • 10 juli 2025 14:57

Dit is een zorg organisatie met 6000 medewerkers. Dit is dus een grote organisatie.
En aangezien ze ontzettend veel gevoelige gegevens hebben, moeten ze noodzakelijkerwijs ook voldoende budget hebben om dit soort data goed te beveiligen. Anders voldoen ze niet aan wet en regelgeving.

Dus geen excuus dat ze dit soort zaken niet hebben.

SuperDre @mjtdevries • 10 juli 2025 23:23

Wel excuus, ondanks dat het een grote organisatie is, wil niet zeggen dat er ook geld genoeg is, en geld om die zorgmedewerkers te betalen gaat voor op geld om een systeem potdicht te maken.

hackerhater @SuperDre • 10 juli 2025 12:44

Welke medewerkers behalve ops heeft toegang nodig tot de hele database?
Want dit bericht klinkt als een volledige database dump.

nandervv @PhilipsFan • 10 juli 2025 09:56

Neen, dan gaat het tempo van je werk omlaag, en meld je bij je leidinggevende dat je werk niet afgekregen hebt ivm IT-beleid. Dan ga je geen geitenpaadjes bewandelen, maar je doet je werk voor zover je kunt die dag, en eindigt waar je gekomen bent.
Moet je opletten hoe snel het IT-beleid zich aanpast als het dreigt dat de zorginstelling niet op tijd richting verzekeraars kan factureren.

Het is niet de verantwoordelijkheid van de medewerkers laag in de organisatie om dit soort afwegingen te maken. En er is duidelijk tenminste één medewerker geweest die dit absoluut niet kon.

Men eist ook gewoon te veel efficientie van systemen, terwijl inefficientie ook gewoon een vorm van data-beveiliging is. Het feit dat je 20 secondes moet wachten om een dossier te openen zorgt er ook direct voor dat het heel veel moeite kost om alles te downloaden. Een extra druk op de knop voor je de adres-gegevens, BSN, oid kunt zien is allicht ook gewoon gewenst gedrag.

Als jij als persoon wilt werken op een plek waar je met gevoelige data van anderen werkt, dan moet je dat op een respectvolle manier doen. Daar zit zeer weinig bewegingsruimte in. Als je dat niet wenst te doen, dan moet je daar niet werken.

PhilipsFan @nandervv • 10 juli 2025 10:49

Ja, in de ideale wereld zou dat zo gaan. In de praktijk staat er altijd een klant, leverancier oid te wachten en is het gewoon irritant als jij niet verder kan met je werk. Daarom zei ik ook, je kunt beter je medewerkers goed opleiden.

RobWu @PhilipsFan • 10 juli 2025 12:12

Opleiden - en - duidelijke uitleg tijdens de training WAAROM bepaalde dingen zo zijn ingesteld.
Daarnaast ook duidelijk maken wat de gevolgen kunnen zijn voor het bedrijf - en - de werknemer als deze maatregelen en procedures omzeild worden.

Ja, het is kak als een hoop dingen niet kunnen of er extra stappen nodig zijn om bij gegevens te komen.
Maar zeker met dit soort data is voorkomen beter dan genezen (pun indented)

SuperDre @nandervv • 10 juli 2025 12:21

Ja, zo simpel als jij het voorstelt is het allemaal niet, ja in theorie. Maar als een gebruiker iets vandaag af moet hebben en dat met de omzeil methode wel kan behalen maar anders dagen later pas af kan hebben, dan is de keuze in de realworld snel gemaakt en wordt na her af hebben van het werk wel een keertje geklaagd over de beperkingen. Leuk om in je ivoren torentje te zitten en vingertje wijzen, maar als de gebruiker dus naar dit soort omwehen moet grijpen zit het probleem dus bij IT, niet bij de gebruiker.

mbbs1024 @nandervv • 10 juli 2025 23:23

Mooi in theorie, maar in de praktijk staat er een leidinggevende in je nek te hijgen om de door hem gevraagde resultaten asap te hebben, en krijg je een negatieve beoordeling of een scheldpartij, als de resultaten er niet vlug genoeg komen.

Ondanks duidelijke memo's over IT procedures, wordt er dan maar naar zijwegen gegrepen om toch maar die resultaten asap te kunnen produceren, en werken sommige leidinggevenden zulke toestanden onbedoeld in de hand.

[Reactie gewijzigd door mbbs1024 op 10 juli 2025 23:24]

PepijnK @PhilipsFan • 10 juli 2025 13:29

Ik kan als voormalig client en medewerker van Pluryn stellen dat in de periode dat ik daar rondliep de boel qua ICT een teringbende was.

Shit voldeed nooit aan de WBP, dus het zal ook wel niet voldoen aan de AVG en het verbaast mij ook absoluut niet dat er geen NEN7510 ligt.

Ik heb ook nu geen bericht gehad van Pluryn dat mijn gegevens gelekt zijn, terwijl als ik de media lees ik er praktisch zeker van ben dat dat wel het geval is. En het is niet alsof ze me niet zouden weten te vinden.
Geen van mijn vrienden die er in die periode heeft gewoond of gewerkt is ingelicht, voor zo ver ik weet alleen de huidige medewerkers en clienten.

Ook zijn er van onderaannemers gegevens gelekt, dagbestedingsplekken die met Pluryn samenwerken bijvoorbeeld voor taxivervoer of omdat het gewoon makkelijker is om op die manier WMO indicaties te krijgen, diens clientgegevens liggen ook op straat en daar is ook niemand geinformeerd.

Toen ik bij Pluryn werkte ging onze afdeling op gegeven moment over van Windows naar iMacs, dat had de manager besloten, want dan hoefde hij niet steeds op die lastige figuren van ICT te wachten. Terecht ook want het aanmaken van een medewerkersaccount kon maanden duren. Maar ook een beveiligingsbeleid op die iMacs van lik mijn vestje. Afdelingsnaam als password, elke gebruiker is root, dat soort dingen meer.

Tot een paar jaar terug gebruikte medewerkers van Pluryn gewoon de wifi van clienten als ze op een dependance locatie woonden. Zodat Pluryn geen lijn hoefde te betalen. Ik kan zo twee woonvormen noemen waar pas toen ik voor vrienden hun router instelde, omdat hun internet zo traag was, er ineens vragen kwamen van andere clienten en van personeel waarom ze niet meer op "de wifi" konden.

Maar ook andersom, op paviljoens waar internet vanuit Pluryn aangeleverd werd, zaten er belachelijke restricties op. Een vriend van mij (inmiddels overleden) zat toentertijd heel erg in de knoop met zijn trans-zijn en kon geen informatie zoeken over een seksuoloog of transgenderzorg, omdat het net nanny filter dat automatisch zag als porno en het dus blokkeerde. Te absurd voor woorden dat je een Tor-browser moest hebben om dergelijke informatie in te winnen en hulp te kunnen zoeken.

Pluryn en ICT is in de 30 jaar dat ik met die toko te maken heb nooit een gelukkige combinatie geweest en dat zal het ook nooit worden. Er is veel te veel BYOD mogelijk en het is te gemakkelijk om ICT-policy te bypassen. Maar ja, dat is wel de lekker goedkope optie.

vinx77 @PhilipsFan • 10 juli 2025 15:56

FYI: volgens een simpele zoekopdracht, maken ze gebruik van:

Citrix Netscaler https://login.pluryn.nl/logon/LogonPoint/tmindex.html
Mitel suite https://ehd.pluryn.nl/authorizationserver/#!/login
IQ messenger https://iqm.pluryn.nl/auth/
Microsoft 365 https://login.microsoftonline.com/pluryn.onmicrosoft.com/

Maar ze hebben ook hun intranet vernieuwd: https://creq.nl/pip-de-nieuwe-werkplek-voor-pluryn/ - zie ook de datum van dit jaar. Gaat naar https://pip.pluryn.nl/ en is van A&M Impact.

Dus lijkt dat ze remote tot heel veel zaken toegang hadden, maar dat het ook allemaal werd vervangen. Misschien was de USB-stick nodig voor de overgangsperiode tot PIP klaar was, en iemand van hoger management thuis kon werken? 31 januari 2025 was namelijk tijdens die transitie naar PIP, als ik zo de data bekijk.

zjeeraar84 @Luchtbakker • 9 juli 2025 18:43

Dan gebruiken mensen hun privé laptop. De zwakste schakel blijkt de mens, en zeker bij een ondernemingen zoals zorginstelling waarbij mogelijk niet iedereen technisch onderlegt is moet de afweging veiligheid vs useability goed gemaakt worden.

Ryunoru @zjeeraar84 • 9 juli 2025 18:52

Je kan ook prima zorgen dat data alleen op werksystemen blijft. Zoals transfers niet onbeveiligd naar USBs kunnen, kan overdracht naar niet-erkende systemen ook vrij eenvoudig beperkt worden.

Ben het met je eens dat er een balans moet zijn tussen bruikbaarheid en veiligheid. Maar in dit geval is het duidelijk dat ze de laatste factor volledig achterwege gelaten hebben. Alle gegevens, onbeveiligd, op een makkelijk verloren USB-stick... dat is echt een megablunder.

sapphire @Ryunoru • 9 juli 2025 21:04

Nouja als je met zoveel gegevens werkt mag van mij de balans wel meer richting beveiliging hellen dan naar gemak.

Mensen moet wel uitgelegd worden waarom die keuze gemaakt is, begrip is een erg belangrijke factor heb ik gemerkt.

Ik ben dagelijks aan mensen aan het uitleggen waarom we een bepaald wachtwoordbeleid hebben en MFA afdwingen want mensen in de zorg (mensen in het algemeen) hebben écht geen idee. Hoe vaak mensen een pincode als 123456 serieus een goed idee vinden is schrikbarend :X

Blizz @Ryunoru • 9 juli 2025 18:56

Copy-paste. Alles omzeild.

Je kunt dit alleen voorkomen door constant te communiceren en voorlichten.

hulsbeek64 @Blizz • 9 juli 2025 19:28

Ook copy paste is uit te schakelen, en paste naar een stick die niet beveiligt is ook :-)

zij geen standaard windows home pc's

blijkbaar geen ervaring wat er in een zakelijke omgeving allemaal mogelijk is.

Caelorum @hulsbeek64 • 9 juli 2025 19:58

Haha, ja, die beveiligde omgevingen op werk laptops. Dan mag je niet work content in niet goedgekeurde apps plakken, maar mag het wel naar Notepad en vanuit daar naar een willekeurige andere app.

Of dan mag je echt niet naar een usb stick, maar je mag wel een goedgekeurde file transfer dienst gebruiken die niet goed ingericht is en je alsnog naar jezelf kan mailen.

En als dat dan allemaal netjes is dichtgetikt (ik heb het nog iets meegemaakt), maak je een foto en neem je een LLM chatdienst en die doet er gewoon OCR en interpretatie van en heb je alsnog alle afbeeldingen, incl. eventuele grafische context op je telefoon staan.

Je kan echt enorm veel dichttimmeren aan een werkomgeving, maar het gaat niet 100% dicht zitten en je zal het dus echt vooral van bewustwording moeten hebben. Vaak zijn mensen gewoon niet bewust van de gevolgen van "even kopiëren", zoals de miljoenenachade die dit verspreid over duizenden mensen over tientallen jaren kan hebben.

[Reactie gewijzigd door Caelorum op 9 juli 2025 19:59]

Quintiemero @Caelorum • 9 juli 2025 20:18

Daarom is het een combinatie van beide hè, je kunt niet alles dichttimmeren en dat moet je ook niet willen.

mjtdevries @Caelorum • 10 juli 2025 14:00

Ja, als iemand perse kwaad wil dan kan iemand altijd wel een manier vinden.
Maar dat is dan ook het punt. Dan kan iemand niet meer beweren dat ze iets per ongeluk hebben gedaan of niet wisten dat het niet mocht. Dan hebbens ze willens en wetens alle beschermingen omzeild en bewust de gegevens in gevaar gebracht.

Bij dat soort mensen helpt bewustwording ook niet, die hebben gewoon lak aan alles.

klakkie.57th @Blizz • 9 juli 2025 19:29

Copy-paste ??
Als die data beveiligd is kun je er helemaal niets mee, tenzij dan een foto nemen van je scherm.

Blizz @klakkie.57th • 10 juli 2025 00:05

Ja en als je alles zodanig dichttimmert dat de gebruiker liever buiten de gebruiksonvriendelijke context werkt omdat alles in hun ogen beperkt werkt binnen je omgeving, dan gaat die gebruiker daar inderdaad ook de huis- en tuin ChatGPT OCR voor gebruiken.

Daarom dus ook: communiceren en voorlichten, want als de eerste reactie is 'oh ja, dat mag niet' en 'laat ik die aardige admin eens aanschieten over hoe ik dit kan oplossen', dan voorkom je het probleem.

Nu is het probleem: 'klote admin… ze maken alles onnodig moeilijker. ik vraag ChatGPT hoe ik dit oplos!' en ze lossen daadwerkelijk hun eigen probleem op en veroorzaken daarna potentieel hoofdpijn voor IT en zelfs het bedrijf.

klakkie.57th @Blizz • 10 juli 2025 01:18

Die communicatie doen we al jaren, onderhand hoort iedereen wel te weten wat kan en niet kan.

En hoe gaat de gebruiker buiten de beveiligde omgeving kunnen werken als die degelijk beveiligd is ??

mjtdevries @Blizz • 10 juli 2025 14:05

Nee nee nee. Dat smoesje dat de bedrijfsomgeving gebruiksonvriendelijk word moeten we niet accepteren in situaties als deze.
Als je met de data van zoveel patienten en werknemers werkt, dan hoor je gewoon te snappen dat dat goed beveiligd moet worden, ook al is dat ten koste van gebruiksvriendelijkheid.
Als je niet intelligent genoeg bent om dat uit jezelf te begrijpen, al voor je communicatie en voorlichting hebt gehad, dan ben je niet geschikt om met zulke data te werken.

Blizz @mjtdevries • 10 juli 2025 14:21

Het is geen smoesje, het neemt dan ook geen verantwoordelijk weg. Natuurlijk hoort x en y en zijn sommige mensen ongeschikt of onvoldoende getraind voor het omgaan met zulke data, maar de realiteit ontkennen verandert deze niet. En zoiets 'uit jezelf begrijpen' is bijzonder vaag. Wat tech savvy jij en ik begrijpen als 'goed beveiligd' (bv. opslag met behulp van een sterke versleuteling) is voor elke gewone medewerker iets compleet anders (bv. ik houd het 'op mijn persoon' en ik verwijder de uitdraai na het is overgezet). Wij hebben voorkennis zijn voorgeprogrammeerd en zijn daardoor out-of-the-box compatibel met relatief verantwoord omgaan hiermee.

Je kunt het gemakkelijk uitproberen. Als ik remote werk, dan ben ik minder aanspreekbaar voor iemand die op kantoor werkt en zijn mensen minder geneigd me aan te schieten. Klein issue, geen tijd, het kan van alles zijn. Ondanks een totale gewenning aan bv. Slack. Daar kunnen we van alles van vinden, dat verandert de realiteit simpelweg niet. Voorkomen is beter dan genezen en dat blijft een eeuwige strijd, zeker met wisselend personeel.

Ik probeer niet te veel lijnen te trekken naar het nieuwsbericht zelf, want er is te weinig over bekend. Ik ben erg benieuwd welke rol deze medewerker vervult en vooral waarom deze uitgebreide data op een USB-stick terechtkwam.

mjtdevries @Blizz • 10 juli 2025 14:48

We moeten stoppen met wangedrag goedpraten.
Voorkomen is inderdaad beter dan genezen. En daarom zorg je dat mensen niet zomaar data zonder versleuteling op een USB stick kunnen zetten. Super simpel technisch af te dwingen.
Daarmee voorkom je dan acties van mensen zoals in jouw voorbeelden.

Maar over die mensen had ik het niet. Ik heb het over de mensen waar hun onverstandig actie geblokkeert is en die vervolgens heel bewust de beveiliging van het bedrijf gaan omzeilen. Dat is wangedrag.

Als jouw werkgever voor een gebruiksonvriendelijk systeem heeft gekozen ten gunste van veiligheid, dan heb je dat gewoon te accepteren. En wil je dat niet, dan moet je naar een andere werkgever gaan.

Je hebt geen recht om het op je eigen manier te doen als de beveiliging van de werkgever je niet zint.
En daarom moeten we dat dan ook niet goedpraten.

En natuurlijk helpt het als je als werkgever zorgt dat je goede opties hebt voor de werknemers, want er zijn altijd wel een paar figuren tussen die lak hebben aan alles, en die gigantische schade veroorzaken en dat wil je voorkomen. Maar er word net gedaan alsof een werknemer het recht heeft om de veiligheidsmaatregelen te omzeilen en alsof het de schuld is van de werkgever dat ie niet voldoende heeft gedaan om die werknemer te overtuigen dat ie niet de veiligheidsmaatregelen mag omzeilen.

Blizz @mjtdevries • 10 juli 2025 15:37

Dat klopt allemaal en ik ben het ermee eens, maar mijn punt is dat er inderdaad altijd figuren zijn die, naar mijn suggestie, uit onbekwaamheid tegen praktische problemen aanlopen en daar zonder kwade zin (serieuze) problemen veroorzaken. Die mensen zijn er nou eenmaal en met de terugkeer van digitale ongeletterdheid onder Gen Z zal de grootte van die groep niet afnemen. Dat erkennen is niet hetzelfde als wangedrag goedpraten. Want als dit niet een streng onderdeel is bij sollicitatie, dan heb je potentieel een situatie die je op andere wijze moet voorkomen. Daar heb je dus training voor, algemene voorlichting en communicatie.

Ja, er gaat iets mis ondanks redelijke veiligheidsinstellingen, dan ligt de schuld bij de werknemer. Natuurlijk is dat zo. Maar ik schrijf "dat verandert de realiteit niet", want dan we zitten allemaal met de gebakken peren. Ons achteraf inbijten op de schuldvraag maakt dat niet ongedaan. Mensen managen doe je niet het best door je af te sluiten op de hoogste verdieping van het gebouw en met vingers te wijzen, dat doe je veel beter door je onder hen te bevinden.

Je hebt inderdaad ook mensen die overal lak aan hebben, die zijn eerder malicious te noemen, maar de meeste mensen die zulke fouten maken doen dat uit onschuldig onkunde en gemak.

Ryunoru @Blizz • 10 juli 2025 09:06

Je kan dus niet zomaar copy-paste doen als dat uitgeschakeld is.. dat is nu juist de manier waarop data-overdrachten naar onbevoegde apparaten voorkomen wordt. De enige werkelijke optie die nog resteerd in een goed beveiligd systeem is door foto's van beeldschermen te maken, wat natuurlijk erg inefficiënt is.

Luchtbakker @zjeeraar84 • 9 juli 2025 20:12

Dan gebruiken mensen hun privé laptop.

Dan ben je als medewerker bewust bezig het beveiligingssysteem van de organisatie te omzeilen. Dan ben je niet alleen nalatig, maar ook gewoon strafbaar als medewerker.

In dit geval is het hoogstens nalatig, maar door de gebrekkige informatiebeveiliging van de organisatie niet verhaalbaar bij de medewerker.

Vizzie @zjeeraar84 • 10 juli 2025 08:00

Als mensen die niet technisch onderlegd zijn toegang hebben tot al deze data dan moeten ze de tent maar gewoon sluiten.

nandervv @zjeeraar84 • 10 juli 2025 09:51

Dan ontsla je ze zodra je daar achter komt. Je hebt je te houden aan het data-veiligheids-beleid van de organisatie waar je werkt, of je hebt er niets te zoeken.

Kom op zeg, wat voor een desinteresse in je rechten van je patienten is dit?

jpsch @zjeeraar84 • 9 juli 2025 18:59

Je checkt toch de SID adressen? Je laat toch niet een willekeurige laptop op je operatonele netwerk toe?

Triblade_8472 @Luchtbakker • 9 juli 2025 18:57

Bestanden via webmail en een andere computer op USB zetten kan ook.

Wie weet was het een BYOD organisatie?

Of was het (langdurige) inhuur met eigen bedrijfsappratuur waar USB wel toegestaan is?

Wat ik mij des te meer afvraag, is waarom zou je al die data op 1 plek hebben...?

Wie mag zowel client als personeelsdata samen verwerken? HR heeft volgens mij niks aan clientdata en zorgmedewerkers niks van collega's.

En dan blijkt er ook nog data van oud-cliënten en medewerkers op te staan! Hoe dan?

Als dat fout is dan hoop ik op ècht een hele, hele dikke boete en celstraf voor de bestuurders.

pbk @Triblade_8472 • 9 juli 2025 19:11

Als je wil is er altijd wel een weg te vinden om gegevens uit je bedrijf te krijgen, al is het maar door een foto van je scherm te nemen.

Maar het gaat erom dat het gebruik van USB-sticka en downloaden van gegevens op prive apparaten moet worden geblokkeerd.

klakkie.57th @Triblade_8472 • 9 juli 2025 19:31

Al die opties die jij aangeeft waardoor deze data gelekt zou kunnen zijn, zouden nooit een optie mogen zijn als je met dit soort gegevens werkt ..
pure nalatigheid dit.

SuperDre @Luchtbakker • 9 juli 2025 22:58

Tja, beste stuurlui staan aan wal....

wiseger @SuperDre • 10 juli 2025 00:02

Velen hier op Tweakers hebben dagelijks met deze materie te maken. Als die dit verhaal lezen is het of ze tien jaar terug gaan in de tijd. Bij velen staan de USB poorten dicht op de zaak. Gegevens mogen ze alleen opslaan in beveiligde bestanden want data in rest moet altijd geencrypt zijn. Bij het opvragen van gegevens geldt altjd need-to-know. En heb je de gegevens niet meer nodig, dan ruim je ze op.

Dit heeft niets met de beste stuurlui te maken, dit heeft te maken met falend beleid. Een onbeveiligde USB stick met bestanden die niet geencrypt zijn met 25 jaar aan de meest gevoelige data erop van de patienten en het personeel. Onbegrijpelijk dat dit gekund heeft.

SuperDre @wiseger • 10 juli 2025 12:16

Tha, en mijn ervaring is juost dat er heel HEEL veel bedrijven zijn waar dit gewoon toekomst muziek is. En in veel gevallen komt het vooral door geld / tijd / mankracht / kennis gebrek. En wat betreft data lange tijd bewaren ben ik zelf van mening dat een bedrijf rustig zijn hele history mag bewaren.

wiseger @SuperDre • 10 juli 2025 12:24

We hebben het niet over het bewaren van data. Wettelijke eisen kunnen zomaar een lange retentie tijd verlangen. Het gaat erom hoe je die data bewaard en hoe je voorkomt dat derden toegang kunnen krijgen tot die data.

De overheid en de EU stellen ook eisen aan het beschermen van persoonlijke data van burgers. Bedrijven die niet aan die eisen voldoen, kunnen boetes oplopen. Dus toekomst muziek is het zeker niet, zodra er strenger gehandhaafd gaat worden, zullen ook de bedrijven die laks zijn alsnog er heel snel werk van gaan maken.

SuperDre @wiseger • 10 juli 2025 12:32

Again, realworld/praktijk vs theorie.. zo makkelijk om verplichtingen op te leggen als jij zelf niet verantwoordelijk bent voor het ook moeten uitvoeren en betalen, sommige systemen zijn 20+ jaar oud en zijn niet simpel even te vervangen, ook niet in een paar jaar (vanwege kosten/kennis/mankracht).

wiseger @SuperDre • 10 juli 2025 12:36

De wettelijke verplichtingen liggen er gewoon. De consequenties van het niet naleven van die wettelijke verplichtingen kunnen erg groot zijn, kunnen zelfs de bedrijfs continuïteit in gevaar brengen.

Dus met moeilijk, lastig komt u er niet mee weg. Systemen van 20 jaar oud die kennelijk niet tijdig onderhouden zijn is toch echt falend ICT beleid van het desbetreffende bedrijf en niet de verantwoordelijkheid van de samenleving die opdraait voor de schade wanneer het fout gaat.

SuperDre @wiseger • 10 juli 2025 23:17

En weer het totale besef niet hebben dat voor kleine bedrijven dit soms gewoonweg niet simpel is. Er zijn wel meer wetten die lastig uit te voeren zijn. Veel te vaak dat wetgevers totaal de praktijk niet kennen of gewoon naast zich neerleggen.

Voor genoeg bedrijven is het aan deze wetgeving voldoen zo duur dat het bedrijf dan mort opdoeken, en dan kun je dus beter net zo lang doorgaan, met bv kleine aanpassingen totdat je wel over tich jaar aan de wet voldoet, of dus tot je een boete krijgt die je toch niet kunt betalen en dan pas je bedrijf op moet doeken vanwege faillisement.

Als de overheid zelf al niet eens zich daar aan kan houden, dan is het toch te hypocriet om een bedrijf daar wel meteen voor de kop in te hakken.

mjtdevries @SuperDre • 10 juli 2025 14:19

nee, dat smoesje van realworld/praktijk kun je in andere situaties gebruiken, maar niet hier.
Dat je dat soort data niet onbeveiligd op een USB stick zet is niet iets wat we pas vorig jaar zijn gaan beseffen
Dat is al talloze jaren vanzelfsprekend bij bedrijven die dergelijke gevoelige informatie hebben.

Een backend systeem kan wellicht 20+ jaar oud zijn. Maar niet het endpoint device waar die gebruiker de data op een usb stick heeft gekopieerd.
En dit is in windows supersimpel te voorkomen, maar op elk ander OS kun je dit ook met beperkte middelen prima voorkomen.
Dat zoiets vandaag de dag nog gebeurd is echt zware nalatigheid. Dit is echt op geen enkele manier goed te praten.

Dat jij ergens de bakker op de hoek als klant hebt en die niet wil investeren in het beveiligen van de HR data van zijn 5 medewerkers is heel wat anders dan een grote zorginstelling.

SuperDre @mjtdevries • 10 juli 2025 23:20

Tja, oh zo makkelijk als je er fik voor betaalt wordt om dit soort zaken te regelen en in te stellen, maar de realiteit bij veel bedrijven is anders.

Ja, het zou niet moeten gebeuren, maar het gebeurd toch, ook bij grote instanties die grote IT afdelingen hebben.

In theorie is alles zo makkelijk af te dwingen, maar praktijk is een heel ander verhaal.

lenwar

@wiseger • 10 juli 2025 08:32

En zolang de volledige context niet bekend is, kunnen we vrij moeilijk allerlei deelconclusies trekken.

De persoon waar @Superdre op reageerde had het over bitlocker en policies. Gebruiken ze überhaupt Windows? We weten niets van hun applicaties, dus we weten niet of bitlocker voor die usb-sticks in de weg kan zitten. Enzovoorts.

Dat hier iets heel erg mis is gegaan is duidelijk. Ik vraag me eerder af waarom iemand überhaupt dit soort data op een USB-stick zet, en het niet gewoon centraal heeft staan met een complexe toegangsmethode. Maar nogmaals. Ik ken de context niet. Misschien is er wetgeving die dat verbied, enz.

Puur op gevoel stel ik ook dat dit technisch niet mogelijk had moeten zijn, en dat interne regelgeving dit had moeten verbieden, maar goed. context.

wiseger @lenwar • 10 juli 2025 09:06

Pluryn zegt zelf:

Onderzoek naar de oorzaak 
Hoewel we uitgaan van een incident, onderzoeken we kritisch hoe dit heeft kunnen gebeuren. USB-sticks worden normaal gesproken niet gebruikt om (persoons)gegevens over te zetten. Hiervoor zijn bij Pluryn diverse beveiligde systemen, rollen en rechten ingericht. Zoals het werken in een beveiligde omgeving, in beveiligde elektronische cliëntdossiers en met encryptie. We doen er alles aan om het beschadigde vertrouwen te herstellen en dit in de toekomst zoveel mogelijk te voorkomen.

Ze weten het dus niet. Het had niet mogen gebeuren maar het is toch gebeurt. Kennelijk is het gewoon mogelijk op hun infrastructuur om 25 jaar aan data te kopiëren, lokaal op te slaan en op een USB stick te zetten.

Verder zegt Pluryn maatregelen te nemen om herhaling te voorkomen:

We nemen maatregelen om gebeurtenissen, zoals deze in de toekomst te voorkomen. Dit doen we door medewerkers actief te informeren over veilig omgaan met persoonsgegevens.

Daar begrijp ik dus niets van. Dat is normaliter al onderdeel van beleid. Kennelijk gaan ze nu pas actief medewerkers informeren over hoe ze moeten omgaan met data van de patiënten en collega's.

mbbs1024 @wiseger • 10 juli 2025 23:39

Zoiets moeten ze gewoon zeggen vanuit PR standpunt, ze kunnen moeilijk zeggen dat alles ok was en ze daarom verder niets meer zullen doen dan wat ze al deden.

SunnieNL

@evers97 • 9 juli 2025 19:10

Dit had zo makkelijk beveiligd kunnen worden zonder dat je de eindgebruikers in de weg zit.

Maar dan nog, als je encrypted USB afdwingt had Deze informatie er nog steeds nooit opgezet mogen worden.

Ben benieuwd wat überhaupt de reden was deze data op USB te zetten.

Powerblast @evers97 • 9 juli 2025 18:57

Vrees dat we voor dergelijke informatie gewoon meer naar systemen moeten gaan wat je vroeger in spionage thrillers zag op tv, je kan geen info downloaden of er gaan overal alarmbellen af

. Dergelijke info is gewoon te gevoelig om ook maar enig risico mee te lopen. Is de info nodig om uitgewisseld te kunnen worden naar een ander systeem, dan moet daar maar een beveiligde koppeling voor gebouwd worden, zodat downloaden niet nodig is.

jpsch @evers97 • 9 juli 2025 18:57

Snap het ook niet, 10 jaar geleden werkten we al met beveiligde USB sticks en de laptops waren ook versleuteld.

-Elmer- @Arjan90 • 9 juli 2025 18:24

Doorgaans ben ik erg van de nuance en wacht ik even af voordat ik een voordeel klaar heb.

Op basis van de informatie die ik nu heb kan ik echter niet anders dan concluderen dat deze organisatie op zó veel vlakken steken heeft laten vallen dat er haast wel sprake moet zijn van ernstige en verwijtbare nalatigheid door het bestuur. Daarnaast kan er wel eens sprake zijn van opzet, een boze ex-medewerker die de organisatie schade wil berokkenen.

nandervv @-Elmer- • 10 juli 2025 09:56

Als een boze oud-medewerker zomaar toegang heeft tot je hele dataset, dan is er iets nog veel ergers mis.

hackerhater @nandervv • 10 juli 2025 12:45

Tenzij het IT/Ops was...... De beheerders kunnen uiteindelijk aan dingen als databases en servers.

wiseger @Arjan90 • 9 juli 2025 19:05

Er zijn organisaties die hun veiligheid beleid niet in orde hebben. Ik ben bang dat je er daarvan bst veel binnen de zorg vind.

Op mijn werk kunnen we geeneens USB sticks gebruiken, de boel staat dicht. Je kan niets kopiëren via USB. Informatie blijft binnen de bedrijfssystemen.

ibmpc @Arjan90 • 9 juli 2025 21:07

Omdat gebruikers vasthouden aan oude dingen. Het is veel makkelijker om data gewoon via de reguliere veilige kanalen te delen, zoals SharePoint. Voor een USB stick moet je dus eerst Bitlocker aanzetten en verplicht de herstelsleutel printen voordat je er naartoe kunt schrijven. Maar guess wat: De gebruiker print de herstelsleutel gewoon naar de labelprinter en plakt die op de USB stick. Gebruikers zijn een soort magiers die de veilige weg te ingewikkeld vinden, maar toch een moeilijkere weg vinden om iets voor elkaar te krijgen. En dan gaan zeuren over de reguliere weg. Ik zeg niet dat dit gebeurd is, maar dit is wel wat je vaker ziet als het om USB datalekken gaat.

[Reactie gewijzigd door ibmpc op 9 juli 2025 21:08]

SJCE @ibmpc • 9 juli 2025 22:30

Sharepoint, was dat niet recent in het nieuws omdat de LLM toevoegingen van MS volledige toegang tot alles hadden? En je dus alleen maar hoefde vragen?

ibmpc @SJCE • 9 juli 2025 23:39

LMM volgt het bestaande permissiemodel van de gebruiker. Heb je een bron?

SJCE @ibmpc • 10 juli 2025 00:18

https://windowsforum.com/threads/microsoft-copilot-ai-bypass-exposes-enterprise-security-vulnerabilities.366120/

dragon2 9 juli 2025 18:15

Dit ook heh 😡 :

"Een medewerker die vanwege zijn/haar functie toegang heeft tot veel data van Pluryn is de USB-stick verloren."

Moet dat de "verklaring" wezen?!

[Reactie gewijzigd door dragon2 op 9 juli 2025 18:21]

Kastermaster @dragon2 • 9 juli 2025 18:32

Dit getuigt echt van incompetentie op zo veel niveaus dat er inderdaad koppen zouden moeten rollen.

Cuddle-sheep @Kastermaster • 9 juli 2025 22:34

Het punt is dat koppen rollen niet het probleem opgelost. Dan zijn de bestuurders juist makkelijk vanaf gekomen. Ze moeten het echt oplossen.

Honytawk @Cuddle-sheep • 10 juli 2025 11:19

Die kunnen nog steeds rollen nadat ze het hebben opgelost.

gaskabouter @dragon2 • 9 juli 2025 18:37

Yep. With great power....

Ik ben vaak terughoudend maar hier gaat het toch op veel vlakken heel erg mis

Pep7777 @dragon2 • 9 juli 2025 18:52

Met veel toegang komt veel verantwoordelijkheid

Stijnvi @dragon2 • 9 juli 2025 21:11

Dit is inderdaad een beetje als "ik heb als juwelier toegang tot alle horloges en heb deze daarom maar mee naar huis genomen".

Pluryn geeft geen verklaring gegeven voor waarom men al deze data centraal heeft opgeslagen, op een draagbaar medium, en op een onbeveiligd medium.
Alle drie deze acties zijn op zichzelf al zeer problematisch, maar gecombineerd is het helemaal erg.
Ik snap volledig dat iemand toegang heeft tot al deze data, maar waarom moet dat op een onbeveiligde USB-stick staan?

tigurr @Stijnvi • 10 juli 2025 09:35

Wie heeft er toestemming gegeven dat deze gegevens uit de bronapplicaties geexporteerd mochten worden? Wat is het doel dat je ALLE gegevens op een USB stick hebt staan? Daarnaast waarom daar mee buiten het pand treden? Dit is alles zo'n raar verhaal!

B_FORCE @dragon2 • 9 juli 2025 19:15

Dat hier vooral een ongelooflijk hoge straffen op staan....
(dan heb ik het niet over geldboetes)

Niet omdat ik zo voor straffen ben, integendeel zelfs.
Maar het lijkt mij nu wel duidelijk dat mensen kennelijk niet helemaal begrijpen hoe belangrijk zulke dingen zijn om er zo naïef mee om te gaan.

Voor een beetje asbest oid, gaan alle alarmbellen los, allemaal regeltjes en procedures.
Echter liggen zo onderhand van ongeveer elke Nederlander de gegevens op straat.....

[Reactie gewijzigd door B_FORCE op 9 juli 2025 19:15]

kodak

Datalek
Privacy

@dragon2 • 10 juli 2025 08:42

We houden goed in de gaten of de gegevens ergens worden aangeboden. Dit is tot nu toe gelukkig niet het geval.

Dit is al niet veel beter.

Het probleem van misbruik zit ook niet slechts in het aanbieden. De crimineel kan het om te beginnen al eerst zelf misbruiken. En criminelen bieden dit soort gegevens ook niet alleen maar aan op manieren die inzichtelijk zijn.

Daarbij, als je al zeer onzorgvuldig met de persoonlijke gegevens om gaat ben je niet zomaar wel, of zelfs heel goed, in staat om te (laten) controleren of gegevens worden aangeboden.

Dat maakt het tonen blij te zijn dat je niet ziet dat gegevens aangeboden worden vooral tot pronken met misplaatste competentie of zelfs het opzettelijk doen alsof het probleem wel mee valt door de negatieve kanten niet naar de slachtoffers te willen communiceren.

macfreak1306

9 juli 2025 18:20

O wauw. Dat er een onbeveiligde USB stick met gegevens kwijt was geraakt is al erg en onbegrijpelijk genoeg. Maar waarom er in hemelsnaam de data van bijna ALLE cliënten en medewerkers op staan kan ik absoluut niet begrijpen. Ik hoop dat hier voor degene die dit zover heeft laten komen flinke gevolgen aan vast zitten, want dit is ronduit schandalig.

Waarom mag dit soort data op een USB stick gezet worden? Waarom worden USB sticks niet standaard beveiligd? Waarom mogen niet-beveiligde USB sticks überhaupt op de systemen gebruikt worden en worden deze niet geblokkeerd? Als er dan al een goede reden is om deze data op een stick te zetten, waarom dan in hemelsnaam de gegevens van bijna ALLE cliënten en medewerkers??? Opstapeling van fouten die nog wel eens flinke gevolgen kan hebben. Als ik hier cliënt was geweest zou ik in ieder geval al mijn vertrouwen verloren zijn....

klavertje3 @macfreak1306 • 9 juli 2025 18:23

Inderdaad. Wat zijn eigenlijk de juridische gevolgen. Dit is toch gewoon zwaar nalatig. Als je zulke uitgebreide rechten hebt kan je toch niet argumenteren dat je de protocollen niet kent?

BertNL @macfreak1306 • 9 juli 2025 19:02

En dan kennelijk die USB stick ook nog meeneemt vanuit een kantoorruimte naar buiten. Of althans een publieke ruimte in een zorginstelling waar de stick kon zoek raken.

Honytawk @BertNL • 10 juli 2025 11:20

En zonder encryptie.

bzuidgeest @macfreak1306 • 9 juli 2025 23:59

De realiteit is dat het overal gebeurd. Migraties tussen systemen, import en exports tussen incompatible systemen die nog steeds alleen bv csv ondersteunen, geen APIs hebben etc etc etc.

Oude brakke rommel software genoeg.

Als men werkelijk alles deed wat hij suggereert, dan kan een schrikbarende lading bedrijven en hun software wel stoppen met werken. Het is een risico analyse. De software veranderen zo een leverancier dat al doet of wil is moeilijker dan een risico nemen met een usb stick.

Luchtbakker 9 juli 2025 18:09

Gegevens van afgelopen 25 jaar? Sinds wanneer heeft een organisatie een bewaarplicht van 25 jaar?

Pietjebelll @Luchtbakker • 9 juli 2025 18:11

Als het gaat om bijvoorbeeld een medisch dossier is volgens de Wet op de geneeskundige behandelingsovereenkomst (WGBO) de bewaartermijn minstens 20 jaar

CPM @Pietjebelll • 9 juli 2025 21:49

Informatie van 25 jaar medewerkers is geen medische info. Nul reden om zoiets zo lang te bewaren.

[Reactie gewijzigd door CPM op 9 juli 2025 21:52]

telenut @CPM • 9 juli 2025 23:24

ben daar niet zo zeker van... mogelijks moet men echt wel lang bijhouden wie er daar gewerkt heeft... van wanneer tot wanneer etc..

kujinshi @telenut • 10 juli 2025 07:37

Ik werk ook dertig jaar bij mijn bedrijf, dat mogen ze niet vergeten. Dus wordt al die data zelft tot 45 jaar bewaard.

lenwar

@CPM • 10 juli 2025 07:07

Ik kan me voorstellen dat je wil weten/opslaan welke arts/verzorgende handelingen heeft gedaan? En dat je ook na 10 jaar nog in contact moet kunnen komen met die persoon.

Salarisgegevens zijn dan uiteraard niet meer nodig.

HollowGamer @Pietjebelll • 9 juli 2025 18:52

Was dat niet nog langer, en dat je wel op elk moment kan zeggen 'verniel a.u.b. wat jullie hebben van mij?'.

Het wordt wel lasting als iemand het dan ook nog op een USB-stick heeft staan.. heb niets tegen sticks, want ook daar kan je encryptie op doen. Maar voor clients van andere, zou ik dat nooit doen.

Bernard0343 @Pietjebelll • 9 juli 2025 18:56

Bizar dat er zoveel informatie op die USB-stick stond. Vraag me af waar dat in vredesnaam voor nodig was. Als ik naar de opsommingen in het bericht van Pluryn kijk, vermoed ik dat de stick bestemd was voor een accountant of toezichthouder. Maar dan is het onnodig om de NAW+BSN van cliënten en medewerkers erbij te stoppen! Dan volstaat het cliëntnummer en personeelsnummer. Daarmee kan de externe partij ook individuen identificeren en is een probleem, zoals Pluryn nu heeft, iets kleiner.

MrMonkE @Bernard0343 • 10 juli 2025 02:30

ik vermoed een database dump voor test/backup/locatie-migratie of zo iets.
Wij deden ze altijd netjes encrypten.
Je wil immers niet de tweakers voorpagina halen.

Znorkus @MrMonkE • 10 juli 2025 08:21

Of er was wel kwade intentie. Je kan een organisatie wellicht redelijk chanteren met zoiets in handen. Of het is direct geld/bc waard op de zwarte markt...

Het is gewoon idioot om dit als onderdeel van normaal week zo te plannen. Iedereen die zulke aggregated data kan maken in 2025, daar zou toch wel een belletje moeten gaan rinkelen.. Kan toch ook opzet zijn geweest?

MrMonkE @Znorkus • 10 juli 2025 09:25

Ja, kan van alles zijn.
Ik lepelde alleen wat zaken op in welke gevallen wij met een hele database op reis waren.

OT: Sinds wanneer is een enter een nieuwe paragraaf in de editor?

Shift enter
werkt wel. Ga ik dat maar gebruiken voortaan.

vinkjb @Luchtbakker • 9 juli 2025 19:29

Die hebben ze misschien dan niet maar dan moeten ze er wel aandenken om de boel te wissen.

Yzord 9 juli 2025 18:17

Was laatst in het ziekenhuis en men vroeg mij of ik mijn patientgegevens wilde delen. Ik zei nee, en dat vonden ze toch wel raar cq. vervelend, want (en dan komen alle doemscenario's op tafel). Maar dit artikel toont dus aan waarom ik niet wil dat er gegevens van me gedeeld worden.

En ja, ik heb totaal geen illusie dat het alsnog niet gebeurd hoor, maar ik weiger standaard bij elke privacy gerichte vraag. Bijv. met bloed prikken wordt STANDAARD anoniem je bloed gedeeld met een lab voor wetenschappelijk onderzoek. Uh, NEE!!! Want het kan wel zo mooi gebracht worden dat het anoniem is, er is ergens een link dat het toch van jou af komt, en met dit soort breaches gewoon open en bloot kunnen komen te liggen.

Ik word er zo moe van van al dat gedeel. Als ik iets wil delen dan deel ik het zelf wel.

metalmania_666

@Yzord • 9 juli 2025 18:25

Ik ben dus iemand die zijn gegevens wél moet delen. Pendel tussen 3 ziekenhuizen en mankeer het nodige waardoor het van mij van levensbelang is.

Neemt niet weg dat het schrikbarend is dat er wordt gewerkt met onbeveiligde USB-sticks.

Waarom moet er überhaupt iets met een USB-stick worden vervoerd?

Theone098 @metalmania_666 • 9 juli 2025 20:02

De vraag moet wat mij betreft zijn: waarom wil iemand al die gegevens en hoe is het mogelijk dat iemand deze autorisatie heeft?

Niema @metalmania_666 • 9 juli 2025 19:22

Misscshien was de medewerker eerste van plan een google spreadsheet te delen, maar blokkeerde de firewall dat en niet de USB stick?

Quintiemero @metalmania_666 • 9 juli 2025 20:16

Zodra je gegevens moet delen is toestemming niet de juiste grondslag.

Het.Draakje @metalmania_666 • 9 juli 2025 20:35

Heb zelf wat jaartjes ziekenhuis achter de rug (denk ongeveer een kwart van mijn leven, ben inmiddels gepensioneerd). Woon in een totaal ander werelddeel. Kom nog regelmatig (1x per jaar in Nederland). Maar mijn 'dossier' is dus per definitie nooit compleet / correct.

Ik zie dan ook niets in die doemscenario's waarbij een (nationale) patiëntendossier zo ontzettend nodig is.

Wat mij betreft is arts (1) <-> patiënt communicatie van levensbelang. Evenals patiënt <-> arts (2) communicatie.

Arts (1) <-> Arts (2) is totaal overbodig. Tenzij zowel arts (1 c.q. 2) en de patiënt niet communiceren. In mijn geval spreekt arts (1) spreekt niet eens de taal van arts (2)

Er zijn gewoon (inter)nationale procedures. Voor bijvoorbeeld mensen van buiten de regio (die toerist die geschept wordt door een auto). In noodgevallen gaat men niet eerst even rustig een dossier lezen. Dan lost men het probleem op en kijkt daarna naar de complicaties. En als er geen noodgeval is: zie regel 1: communicatie tussen arts en patiënt.

Maar goed, ik ben dan ook zo'n eikel die van mijn arts eist dat hij mijn ziekte(s) uitlegt. Inclusief medische termen en inclusief medicijnen (en bijverschijnselen).

Terug naar jouw "waarom moet er überhaupt met een USB stick gewerkt worden": Eenieder die in de gezondheidszorg werkt en zich niet bewust is van de privacygevoeligheid van de informatie en afdoende maatregelen daarvoor neemt, verdient een verplichte verandering van bedrijfsonderdeel.

In de gezondheidszorg moeten USB-sticks wettelijk verboden worden. Ongeacht of ze versleuteld zijn of niet.

Rumpelstiltskin @metalmania_666 • 9 juli 2025 21:03

Dat is de reden dat de organisatie CumuluZ is opgericht. Om door de overheid gereguleerde databeschikbaarheid tussen zorg instanties, patiënten en zorgverzekeraars mogelijk te maken.

Wordt momenteel gebouwd in samenspraak met ministerie van Volksgezondheid, Welzijn en Sport. Bron

Ik hoop dat de wetgeving dusdanig wordt aangepast zodat dit soort usb stickie incidenten tot het verleen behoren.

sebasmeer @metalmania_666 • 10 juli 2025 09:01

Die laatste zin is de kern van het probleem is. Hoe haalt een zorginstelling het in hun hoofd om patientendata (of eigenlijk elke data dan ook) op een USB stick te zetten!

Alles zou in een volledig secured omgeving moeten staan.

Ze zouden een enorme boete moeten krijgen voor dit lek. Absurd!

Powerblast @Yzord • 9 juli 2025 18:54

Ik ben er persoonlijk ook mee gestopt met overal gegevens af te geven die ze niet perse nodig hebben "omdat ze een account moeten kunnen maken". Waarom heeft bijvoorbeeld een tandarts mijn email nodig? Voor afspraken te bevestigen wordt het niet gebruikt want dat is teveel moeite, dus het is eigenlijk allemaal nergens voor nodig maar geeft wel weer een plaats meer die onzorgvuldig met gegevens kan omspringen.

Standaard is mijn antwoord nu ook bij nieuwe winkels,zorgverleners enzovoort "en je emailadres" => Heb ik niet. Kijken ze wel even vreemd maar ik krijg vervolgens gewoon uitgeprint wat ze eventueel wilden sturen. Ik ben ook geholpen en ze hebben niks wat kan gelekt worden

nandervv @Powerblast • 10 juli 2025 09:58

Of je produceert een extra mailadres ergens, die je gebruikt voor het ontvangen van email.

bzuidgeest @Yzord • 9 juli 2025 23:54

Liever de gegevens op straat dan een foute behandeling omdat data niet gedeeld werd, dus ik zeg altijd ga je gang.

Data niet delen tussen doktoren die je proberen te helpen is gewoon jezelf in de voet schieten.

Yzord @bzuidgeest • 10 juli 2025 00:21

Dat kan wel wezen, maar voor al die digitale opslag werden mensen ook gewoon goed behandeld en je kan nou niet echt zeggen dat de zorg met sprongen er op vooruit is gegaan. Dat zie ik wel nu mijn moeder in een verzorgingstehuis zit. Het is de laatste tijd echt drama met de communicatie. En veel persoonlijk contact is er ook verloren gegaan met de digitalisatie.

Daarbij heb ik gewoon nog steeds de keuze wel of niet delen. Het zou fijn zijn dat als je nee zegt dat dat net zo goed gerespecteerd wordt dan wanneer je ja zegt. Het is mijn goed recht.

bzuidgeest @Yzord • 10 juli 2025 09:52

Wanneer je nee zegt word dat ook gerespecteerd. De rest is geen enkel bewijs voor.

Het gebrek aan personeel is niet een gevolg van digitaal. Het is een gevolg van dat het een laag betaalde zware baan is, in jou zorg voorbeeld dat niet echt gerelateerd is aan je privacy opmerking. Digitaal is op zijn hoogst een lapmiddel daarin

En voordat er digitaal gedeeld werd ging het slechter. Handschrift dat slecht gekozen kon worden, vergeten, missende en beschadigde stukken leverde toen allerlei problemen. Geen blaadjes in kieren of op de grond gevallen, ga zo maar door. Digitaal is natuurlijk niet perfect, maar alles is terug te lezen, doseringen kunnen gecontroleerd worden etc etc.

Neem apotheken, die zijn blij dat het recept digitaal doorkomt, geen dokterschrift meer, geen nabellen, geen fouten daardoor.

Ryunoru @bzuidgeest • 10 juli 2025 09:17

Dit is een drogredenering, want hiermee doe je alsof er persé een keuze gemaakt moet worden tussen ofwel goede zorg, ofwel goede beveiliging. Beide horen het geval te zijn: goede zorg èn goede beveiliging.

oef! @Yzord • 9 juli 2025 21:06

Artsen, ziekenhuizen en zelfs tandartsen zullen je gegevens niet delen als je geen toestemming geeft, althans dat is mijn ervaring. Je gegevens laten rondslingeren is een tactische fout maar soms is het nodig en laten we wel wezen, het wordt je netjes gevraagd.

Dennisb1 @Yzord • 10 juli 2025 11:46

Hartstikke leuk bedacht natuurlijk maar de kern van het probleem los je dan nog steeds niet op.

Elke zorgverlener werkt met een cloud systeem, alles verdwijnt dus linksom of rechtsom in een online beschikbaar systeem. Elk systeem kent zijn eigen kwetsbaarheden en daarnaast zijn eigen problemen.

Hier ontkom je gewoon niet aan tegenwoordig.

nms2003 9 juli 2025 21:15

Why the hell zou je zoiets op een USB stick zetten?

dasiro @nms2003 • 9 juli 2025 22:00

meer nog: why the hell zou je zoiets op een ONBEVEILIGDE USB stick MOGEN zetten. Dit duidt op een zware systeemfout binnen het bedrijf en niet enkel maar van een werknemer.

sprankel @nms2003 • 10 juli 2025 01:12

De enigste reden die ik mij kan bedenken is cold storage backup zonder encryptie omdat je niet kan voorspellen of je de decryptie sleutel nog hebt.

Zou ook verklaren waarom ze weten dat hij zoek is, dat houd in dat ze een inventaris hebben.

Klinkt ook aannemelijk als er wel een cold storage backup moet zijn maar het mag absoluut geen geld kosten waarbij we hier over de zorg spreken.

hackerhater @sprankel • 10 juli 2025 13:17

Ook backups horen versleuteld te zijn. Bij minder gevoelige data (nog steeds gevoelig) van een vorige klant stond ik op data-at-rest encryptie van de database.
Met de opmerking de sleutel uit printen en in een kluis te leggen voor het geval dat.
"Als je die sleutel verliest, verlies je al je data."

[Reactie gewijzigd door hackerhater op 10 juli 2025 13:18]

asaki

9 juli 2025 18:42

De eerste vraag die ik heb is: waarom de f**k staat dat soort data op een USB stick?

wiseger @asaki • 9 juli 2025 19:07

De tweede vraag is, waarom kan een medewerker überhaupt informatie naar een USB stick kopiëren?

Cowamundo @wiseger • 9 juli 2025 20:31

In een knappe organisatie blokkeer je het gebruik van USB sticks etc. En zodra iemand zoveel data uit een systeem haal moeten toch overal de alarmbellen af gaan.

wiseger @Cowamundo • 9 juli 2025 20:56

Ik snap er ook niks van. Bij informatie geldt altijd 'need to know'. Waarm zou iemand zoveel data over een periode van 25 jaar nodig hebben en het ook nog op een USB stick zetten?

ahbart 9 juli 2025 18:31

Wat ik niet begrijp is waarom de combinatie van patientgegevens en medewerkersgegevens op een usb stick staan!

Ik stel me voor dat een HR medewerkers personeelsgegevens op een stick kan hebben. Verwerpelijk, maar dat snap ik.

Ik snap dat iemand vanuit zijn functie, management, of accountant / administratie, patientgegevens kan hebben.

Maar waarom alles!???? Voor welke werkzaamheden zou je dat nodig kunnen hebben? Incl. ziekte van medewerkers, medische gegevens van patienten? Ik zou haast denken een oud medewerker met wraak gevoelens?

gaskabouter @ahbart • 9 juli 2025 18:41

Ik ben bestuurder geweest van een grote zorginstelling en mijn idee is juist dat ik die gegevens helemaal niet wil. Zelfs de toegang niet.

Ik had mensen die mij de informatie konden verschaffen die ik nodig had. Ik wil helemaal niet in het dossier van al mijn medewerkers kunnen. Dat hoort allemaal op need to know basis zijn, gelogd en beveiligd.

ahbart @gaskabouter • 9 juli 2025 18:46

Dat bedoel ik!

Ik begrijp dit werkelijk niet.

Driekant @ahbart • 9 juli 2025 19:59

Programmas als Afas bezitten dit soort gegevens van zowel cliënten als je medewerkers.

Zal me niets verbazen als het om een "extra backup" van hus SAAS applicatie blijkt te gaan.

FreakNL 9 juli 2025 19:03

Echt.. Wat doet dat in 's hemelsnaam op een USB stick?

Ik kan me totaal geen use-case voorstellen waarin dat nodig is..

Maargoed, dat is hier vast al 20 keer geroepen...

wiseger @FreakNL • 9 juli 2025 19:07

In dit geval mag je het net zo vaak roepen als je wilt. Dit is echt ongelofelijk knullig en niet te accepteren anno 2025.

CPV @wiseger • 9 juli 2025 20:00

Misschien moeten we het maar eens niet accepteren: veroordeling met gevangenisstraf en intrekken van de licentie wegens incompetentie van het bedrijf.

Dat zal andere bedrijven misschien nog eens tot een extra onderzoek bewegen.

Op dit item kan niet meer gereageerd worden.

Verloren USB-stick van zorginstelling Pluryn bevat data van bijna alle cliënten

Lees meer

IT-banen

Reacties (232)

Sorteer op:

Weergave: