Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 147 reacties
Submitter: Gerco

Hackers hebben een medische databank van de Amerikaanse staat Virginia gekraakt en de gegevens van miljoenen patiŽnten gestolen. Ze eisen tien miljoen dollar om de gegevens weer terug te geven en dreigen ze anders te verkopen.

HackerHet Prescription Medical Program is een door de staat Virginia beheerde database waarin recepten voor patiënten zijn opgeslagen. Het doel van de databank is om het voorschrijven van verdovende middelen en krachtige pijnstillers in de gaten te houden, teneinde de illegale handel in deze medicijnen te beperken. Dokters en apothekers hebben toegang tot deze informatie.

Op 30 april hadden hackers de homepage van de databank vervangen door een eis om losgeld. De criminelen hadden naar eigen zeggen alle gegevens gestolen en de files op de site zelf versleuteld. Als ze binnen zeven dagen tien miljoen dollar kregen, zouden ze de code onthullen om de gegevens weer terug te halen. Zo niet, dan werden de gegevens aan de hoogste bieder verkocht.

Timothy Kaine, de gouverneur van Virginia, weigerde te betalen en vroeg in plaats daarvan de politie om de zaak te onderzoeken. Volgens het ministerie van Volksgezondheid bestaan er backups van de volledige databank, zodat deze weer hersteld kan worden. Alle systemen zijn inmiddels extra beveiligd.

De deadline van de hackers is verstreken, maar er is nog niets gebeurd. Overheidsfunctionarissen zijn er niet zeker van of de hackers ook werkelijk alle gegevens hebben bemachtigd. Privacygevoelige gegevens komen steeds vaker online beschikbaar en volgens deskundigen maakt dit incident duidelijk dat ze dan wel goed beveiligd moeten worden, zo meldt ChannelWeb.

Moderatie-faq Wijzig weergave

Reacties (147)

Das mooi, dat er backups zijn, maar hoeveel medische informatie is dan toch verloren gegaan? Er zit altijd tijd tussen een backup en de huidige stand van zaken.

En dan krijg je het geval, dat er bij een 1 a 2 percent van de patienten, belangrijke informatie verloren gaat, als men dat dan ook niet doorheeft, dat die verloren gegaan is, lopen deze mensen een eventueel risico.

Goh, dan begin je je af te vragen, als het nut van zo een centrale medische databank wel uberhaupt nut heeft, want het enige voordeel was eigenlijk, dat er in spoedgevallen heel soms een leven mee gered kan worden, wat anders door onbekende informatie, of informatie opvragen op de oude manier misschien verloren werd gegaan.

Weegt dat kleine voordeel dan wel op, tegen de risico's, zoals wat hier gebeurd?

Want heb je nu niet de situatie, dat de gegevens van de patienten misschien een dag of 2 niet bereikbaar zijn en zijn die gegevens dan nog wel ergens anders opgeslagen.
Er is geen data verloren, de inbrekers hebben wel een kopie kunnen maken, dat is ook niet echt fijn als er je mediactie op de straatstenen komt te liggen.
Oh, dus volgens jou wordt er elke seconde een backup gemaakt?
Dat zou ook niet goed zijn, wat dan heb je in 1 minuut na de hack 60 backups van geencrypte data ;).
Ik mis de relatie met het EPD volledig...het gaat hier over ordinaire diefstal van digitale gegevens (ok, medische als je toch een relatie wil leggen...).

Wat dacht je van diefstal van fysieke dossiers (en het zeer regelmatig kwijt raken van die dingen...) ? En welke markt is geinteresseerd in (mijn) medische gegevens...? En wie denk je dat er zullen bieden ? En wie is er verantwoordelijk ?

Ooit wel eens over na gedacht dat de belastingdienst ook best wel veel digitaal doet ? Is daar zoveel ophef over ontstaan ? Welke gegevens zou jij eerder "willen" verliezen als je een keuze "mocht" maken ?

Het spijt me te zeggen, maar het kuddegedrag zie je hier ook wel erg sterk terug komen (wie de schoen past...). No offense btw :)
Ik denk dat verzekeringsmaatschappijen en werkgevers bijzonder geinteresseerd zullen zijn in medische gegevens van hun (potentiele) klanten/werknemers.

Daar heb je meteen het antwoord op jouw vraag. Een werkgever of verzekeringsmaatschappij heeft niks aan 10 of 100 fysieke dossiers. Maar als ie in 1x van alle nederlanders de gegevens digitaal kan kopen dan wordt het toch erg interessant.

Trouwens ook marketingbedrijven zouden hier wel raad mee weten denk ik. Iemand paar keer abortus gehad? Even wat reclame sturen voor anticonceptiva. Iemand impotent? Brochure over Viagra. Bedenk er zelf nog maar wat voorbeelden bij...
Ik denk dat verzekeringsmaatschappijen en werkgevers bijzonder geinteresseerd zullen zijn in medische gegevens van hun (potentiele) klanten/werknemers.
Ik denk dat verzekeringsmaatschappijen en werkgevers bijzonder ver weg zullen blijven van dergelijke gegevens als ze ze niet in bezit horen te hebben. Als blijkt dat een verzekeringsmaatschappij zich bezighoudt met illegale praktijken kunnen ze waarschijnlijk hun toko opdoeken.
En toch zie je in real life al voorbeelden. Zo is Aldi in Duitsland al 2 keer betrapt geweest op het spioneren van zijn eigen werknemers, wat gewoonweg illegaal is. Ach, boete betalen, en ze doen gewoon voort. Volgens mij bestaat Aldi nog hoor.
Als verzekeringsmaatschappijen ergens een hekel aan hebben dan is het wel aan uitkeren, dus als ze van te voren kunnen weten dat je ze teveel gaat kosten dan zullen ze niet nalaten dat te onderzoeken.

Premie opstrijken vinden ze prima, het liefst zoveel mogelijk via prijsafspraken (zie zorgverzekering)

[Reactie gewijzigd door bouwfraude op 9 mei 2009 23:37]

Over die fysieke dossiers. Dat ligt wel even anders. Die dingen jat je niet even per 10 miljoen. Maar verder ben ik het wel met je eens.
De link zit hem in het feit dat het over medische gegevens gaat, en dat dat heel gevoelig is. Het gebruikte systeem is niet van belang.
Precies (en hiermee bevestig je mijn verhaal eigenlijk ook nog eens !)
Precies de reden waarom ik tegen het EPD ben! Als het met het internet verbonden is kan het gehacked worden.

[Reactie gewijzigd door AvanCade op 9 mei 2009 13:24]

Het EPD hacken is niet zo makkelijk hoor, en brute-forcen kan je vergeten.

Het enige gevaar bij het hele EPD ligt hier, Artsen, Ziekenhuizen, Tandartsen etc hun softwarepakket heeft toegang tot het EPD, en hun pakket vraagt de relevante gegevens op.

De sleutel is echter uniform, krijg jij zo'n sleutel in handen en jij bent een beetje gedreven databasebeheerder kun je idd de hele database zo leegtrekken(vraag je absurd veel gegevens op dan word jouw sleutel uitgesloten, dus in het geheel zal het niet lukken). Het pasje van de tandartsassistente heeft rechten op hetzelfde niveau als het servercertificaat van een ziekenhuis.

Gap zo'n pasje uit de kaartlezer bij de doktersassistente en lees de pincode af die op het op de monitor geplakte post-it staat, en je kunt lekker alles van iedereen raad gaan plegen, totdat het pasje word ingetrokken.

De enige die hier iets aan hebben zijn verzekeraars en werknemers die deze gegevens misbruiken, ze zullen je niet confronteren met die gegevens, maar juist extra onderzoek doen wat aantoont wat je ooit gemankeerd hebt om je een poot uit te draaien.
Tja, en jij denkt dat jouw gegevens ergens anders wel veilig zijn? Hoe willen ze uberhaupt anders zorgen dat elke medische instantie jouw gegevens kan inzien wanneer dit nodig is... daar is altijd een netwerk voor nodig, en zodra je een netwerk hebt is deze te hacken...
is zo'n database niet een beetje groot? dan ben je toch wel eventjes bezig om dat compleet te downloaden? en het valt toch op als je ineens die hele database gaat zitten downloaden en daarna de hele server platgooit door alles te laten versleutelen?
Voor zover ik weet is de data alleen maar tekst, en de DBMS doet dat automatisch comprimeren meestal, dus waar hebben we het over? Enkele gigabytes aan comprimeerde tekst lijkt mij de maximale grootte voor de staat Virginia en daarvan alleen de mensen die in het systeem zitten voor die medicatie. Gezien de bereikbaarheid die het systeem moet waarborgen zal er wel een dikke internet pijp aan hangen, als de hackers dus ook een redelijke downloadsnelheid hebben (campus, bibliotheek etc. zijn vaak goed voor 100Mbit verbindingen) dan kan het binnen een uurtje of misschien iets langer gedownload zijn. Doe het op een nachtelijk uurtje waarop het aantal aanvragen naar dat systeem toch al laag is en je hebt maximale snelheid en minimaal aantal mensen die iets op zal vallen tot je klaar bent. Van die mensen die het kan op vallen zijn de meeste medici en geen computer-expert dus die weten in eerste instantie ook niet wat er gebeurt dat het systeem hapert ... Totdat de frontend is vervangen en ze het op de site zien. Tegen die tijd zijn de hackers al druk bezig de data naar hun eigen offline storage te kopieren en is er geen spoor meer te vinden als ze echt goed zijn.
Als de beveiliging echter ECHT goed was geweest dan was er een team van IT'ers dat meteen half doof werd wakker gepiept door alarmen dat TripWire o.i.d. meldingen gaf dat er van alien-ip-adressen verbinding werd gemaakt (met operator rechten). Dan hadden ze het systeem offline kunnen halen voordat de hack voltooid was. Helaas is dit bij veel overheidsinstellingen niet het geval. Zelfs het Pentagon is gehackt.
het edp heeft hier niet echt veel mee te maken, en dan nog

stell dat het edp gehacked word en ze gaan de informatie verkopen
en stell een verzerkaar koopt het, dan kan een bedrijf mensen dus afwijzen voor aanvullende pakketen, maar als ik me niet vergis moeten ze daarvoor redenen opgeven

en het is ook een gigantish risico, want de politie gaat de roof achterna, en als dan duidelijk word dat een verzekeraar het gekocht heeft, zijn ze in een klap 80% beurswaarde kwijt en word de hele top ontslagen en vervolgd
Stel dat deze informatie integraal op internet gezet wordt? Geen rechter die een verzekeringsmaatschappij of werkgever zal veroordelen voor het gebruik van vrij beschikbare informatie. En dat is nu juist de grootste dreiging van het gijzelen van dit soort databases. Als iets eenmaal op Internet staat is het niet meer te verwijderen (en als je denkt van wel laat dit dan vooral weten aan de talloze slachtoffers van gelekte porno videos of genante foto's).

Zie ook: http://epd-nee.org/

Er is een reden waarom zoveel IT-ers tegen dit project zijn (en zelfs IT-ers die er aan meewerken). Zij zijn als geen ander in staat om de risico's van een dergelijk systeem in te schatten. Je kunt heel veel risico's afdekken maar dan nog zijn de overgebleven risico's te groot.
hmm, nieuwe vorm van terrorisme

Ben benieuwd of het inderdaad helemaal gehacked was, of bijvoorbeeld alleen de frontpage oid.
Het is geen terrorisme maar afpersing en dit is pas het begin van een nieuwe golf van cybercrime. De straffen zijn nog steeds te laag, als ze al gepakt worden, waardoor het aantrekkelijk blijft om dit soort dingen te doen.

Incidenteel komt er wat boven water, ik vraag me af hoeveel data er al gehacked is, verkocht en verhandeld waarvan we niet weten dat het ronddwarreld ;)

Derglijke databases dienen gewoon niet aan het net te hangen, hoe simpel kun je dat beschermen :?
Derglijke databases dienen gewoon niet aan het net te hangen, hoe simpel kun je dat beschermen
Ach het hoeft op zich niet eens aan het net te hangen om openbaar te kunnen worden.
Als je maar genoeg mensen toegang geeft, gaat het vanzelf mis. Probleem is alleen dat onze eigen overheid dat niet wil inzien en dus stug door gaat met het Elektronisch PatiŽnten Dossier. :(
Je slaat de spijker op z'n kop denk ik.

Het EPD komt gewoon in handen van iedereen die bereid is daar flink voor te betalen or in staat is de politieke wil te mobiliseren om misbruik te maken van die gegevens. En die zijn er wel. Van legaal tot illegaal.

Van malafide werkgevers tot fraude-opsporings afdelingen van verzekeraars tot lieden die om wat voor reden dan ook baat hebben bij een lijst van b.v. alle dovige oudere alleenstaanden in Den Haag met ernstige hartklachten (kan b.v. gekoppeld worden aan een GIS kaart met inkomen per postcode voor de planning van inbraken). En denk eens aan "goedwillende" lieden die alle leraren en onderwijzers in Nederland effe willen screenen op b.v. bezoek aan een psychiater of psycholoog of geneesmiddelengebruik dat kan duiden om minder gewenste ziektes. Of politici die ervoor ijveren dat werknemers die gevaarlijke machines moeten bedienen (kan al een vrachtwagen zijn) automatisch gescreend worden op gebruik van geneesmiddelen? Je kan er gewoon op wachten dat het gebeurt.

En waarom komt er illegale toegang? Simpelweg omdat er altijd wel ergens iemand zit die toegang tot de gegevens heeft en ofwel crimineel ofwel omkoopbaar ofwel chanteerbaar ofwel stom en slordig is. Je hoeft er maar 1van te hebben die wordt opgemerkt door data-dieven en het bestand ligt op straat.

Overigens net als de gegevens uit de centrale kentekenregistratie (voor 25 Euro kan je als je over de juiste contacten beschikt zo een kenteken laten natrekken), en b.v. de belastinggegevens (zelfde verhaal, hoger tarief).

Hier komt helemaal geen informatica kennis aan te pas, aleen wat kennis van "social engineering" en enig gegrond wantrouwen.

Waarom trekt noch de overheid noch de politiek zich hier niets van aan? Wel ... het helpt de overheid enorm bij het transparant maken van de vraag naar medische voorzieningen, en daarmee de planning ervan. Als je vanachter je bureau toegang hebt tot dit bestand (voor statistische analyses) dan hoef je niemand meer iets te vragen over capaciteitsplanning. Je kan precies uitrekenen wat per wijk, buurt, gemeente, en regio de verwachte medische hulpvraag is. Politiek is dat aantrekkelijk. En met wat modelletjes voor ontwikkeling van de bevolkingssamenstelling kan je nog prognoses maken voor de hulpvraag ook. En bovendien kan een groot gedeelte van de administratieve rompslomp die nu nog decentraal in ieder ziekenhuis apotheek en huisartsenpost, plaatsvindt gecentraliseerd worden. Kostenbesparing!

Door de polderachtige besluitvorming met z'n stuurgroepen, klankborden, vergaderingen, inspraak, begeleiding, en schijnconcessies draagt niemand meer de eindverantwoordelijkheid. Akelige gevolgen komen dus nooit op het bordje van de planners, en die weten dat ook wel.

Hooguit de uitvoerders kunnen aangesproken worden op het falen in de Mission Impossible van het daadwerkelijk werkelijk geheimhouden en beveiligen van het bestand.

Mocht het misgaan dan is de eerste (standaard) verdedigingslinie: "hoe kunt U antonen dat er een lek is?". Stel dat er deellijsten in de Telegraaf worden afgedrukt, dan is de tweede verdedigingslinie aan bod. De tweede (standaard) uitvlucht is: "De beveiliging, daar zijn procedures voor afgesproken, en die hebben we gevolgd (lees: niemand is ooit verantwoordelijk voor een eindresultaat, men is alleen gehouden om procedures te volgen). Als U denkt dat deze verbeterd kunnen worden dan neemt U maar contact op met de deskundigen die de procedures hebben vastgesteld (lees: "U bent lastig, gaat U maar buitenspelen").

De beveiligingsdeskundigen zeggen dan: "Wel, het was een politiek besluit dat het systeem er moest komen. Wij hebben wel degelijk aangegeven dat er risico's waren, maar men heeft die geaccepteerd. Binnen de beperkingen die ons gesteld zijn hebben wij een zo goed mogelijke (of als de spreker een populaire achtergrond heeft: "zo optimaal mogelijke") beveiligingsstrategie ontworpen, maar rest-risico's zijn nu eenmaal niet uit te sluiten." Is nog waar ook. Gevolg: helemaal niemand is eind-verantwoordelijk.

Kort en goed: niemand die betrokken is bij de planning en uitvoering heeft er persoonlijk belang bij om serieus te overwegen het hele project maar af te blazen vanwegre eventuele problemen. Men heeft er daarentegen wel alle persoonlijk belang bij om een interessant project op tijd af te ronden. Zodoende.
Misschien 'zien ze dat niet' omdat heel veel mensen de voordelen er van inzien. Ik ben zelf een voorstander van het EPD, al het medisch personeel kan in geval van nood meteen weten over mij wat nodig is.

Als er dan een keer een hacker langs komt en spul mee neemt, tsja dan weet iemand dat ik een keer mijn enkel uit de kom had, dat ik een keer voetschimmelzelf voorgeschreven ben en dat ik ooit wat slaapmiddel heb gehad. Niet echt geheimen waar de rest van de wereld wat mee kan.

(Misschien dat men van sommige info niet wil dat naasten het weten, maar daar is, tenzij het een gerichte aanval is, bij hackers normaal geen sprake van.)
Misschien 'zien ze dat niet' omdat heel veel mensen de voordelen er van inzien. Ik ben zelf een voorstander van het EPD, al het medisch personeel kan in geval van nood meteen weten over mij wat nodig is.
Welke nood-situaties gaat dit EPD dan voordeel bieden tov. wat we nu hebben?

Als jij op straat ligt en de ambulance-medewerker staat naast je, gaat 'ie dan je EPD doorpluizen of proberen je te helpen?
Kortom daar helpt het EPD echt niet bij. Als je onderweg naar het ziekenhuis bent, kan het ziekenhuis alvast contact opnemen met je huisarts en de gegevens opvragen indien nodig.

Dat is volgens mij de enige noodsituatie waarbij het _zou_ kunnen voorkomen dat tijd dusdanig een issue is dat je snel moet handelen om de gegevens te verkrijgen.

Voor alle andere situaties is het EPD (ook) niet noodzakelijk en dus geen verbetering tov. wat we nu hebben.

Het enige voordeel wat het EPD zou kunnen bieden is dat je alle gegevens bij elkaar hebt staan, echter dat is ook gelijk een nadeel, want je maakt daarmee de optie voor een second-opinion vrijwel nutteloos en versterkt daarmee tunnelvisie onder specialisten.

Ik ben heel erg benieuwd naar al die andere voordelen die het EPD te bieden heeft. Tot nog toe ben ik ze niet tegengekomen en alles wat een voordeel lijkt, blijkt vaak niet een verbetering te zijn tov. wat er nu is. Blijft over alle nadelen.
Kortom daar helpt het EPD echt niet bij. Als je onderweg naar het ziekenhuis bent, kan het ziekenhuis alvast contact opnemen met je huisarts en de gegevens opvragen indien nodig.
En jouw huisarts is het hele jaar door 24/7 bereikbaar?
In een praktijk zijn er meestal wel een waarnemend arts of arts in opleiding aanwezig. Of je wijkt uit naar een Arts die ook gewoon op het systeem kan inloggen. (Meestal ook dan een waarnemend arts , maar dan op een andere lokatie. Kleine artsenpraktijken zitten tegenwoordig (als ze al niet aan AHF hosting doen) gekoppeled aan een apotheek, of hebben zelfs de database op de server van de apotheek staan. Ook hier zitten dan meestal weer meerdere artsen op de server.

[Reactie gewijzigd door Antarloka op 10 mei 2009 20:14]

Uiteindelijk denk ik wel dat we op een "EPD"-achtige gaan uitkomen. Op zich ben ik ook een voorstander van "een" EPD, maar ik ben niet voor het exemplaar dat nu ontstaat. De huidige EPD wordt door de overheid als een doel op zich gepresenteert. De wijze van invoering lijkt daarom op achterstevoren werken. Onze gezondheidszorg kent een rommelige organisatiestructuur die nog lokaal georienteerd is (net als organisaties als arbeidvoorziening en politie). Bovendien is ook binnen de ziekenhuizen (het schizofrene maatschappen model) en samenwerkende huisartsen/tandartsen/apothekers nog een sterke eilandencultuur waar nu op zijn best een begin van een samenwerking op IT vlak is. Hier komt nog bij dat de gezondheidszorg als geheel naijlt op het gebied van IT-kennis en -veiligheid. Op deze al wankele stapel bakstenen wordt nu een extra EPD steen geplaatst.

Naar mijn idee is dit link. Op deze manier gaat de EPD als een lens werken die de effecten van de feilbaarheid van de huidige gezondheidsorganisatie uitvergroot. Voordat de samenwerking van al die componenten waar onze gezondheidszorg uit bestaat wordt geautomatiseerd moet kritisch gekeken worden naar de wijze waarop nu wordt samengewerkt. Het zou me niets verbazen als de gezondheidszorg hiervoor eerst ingrijpend moet worden gereorganiseerd. In de daarop volgende automatiserings-slag is de EPD slechts een facet.

Dat een EPD van meet af aan in de plannenmakerij moet worden meegenomen is vanzelfsprekend, maar het zou een van de laatste stappen in het automatiseringsproces moeten zijn. We hebben het immers over persoonsgegevens, en pas als aan randvoorwaarden als veiligheid, structuur van werken, proffessionele kennis bij medewerkers en een duidelijke verdeling van verantwoordelijkheden is voldaan, kan je persoonsgegevens centraal gaan opslaan.

Dat een EPD, ingebed in een effectieve en gestroomlijnde gezondheidszorg, voordelen biedt staat voor mij als een paal boven water. Ter relativering, erger dan het nu is kan het niet worden. Elektronische opslag hebben we immers al. Wat dat betreft zijn alle informatiesnippers bij dokters, tandartsen, apothekers en ziekenhuisen voor mij een nog grotere horror. Van veiligheid hebben deze partijen naar mijn idee helemaal weinig kaas gegeten.

Wat ik in de discussie mis, is het besef dat een EPD slechts een tool is die mede een effectieve gezondheidszorg mogelijk maakt. De argumenten die ik tegen de EPD heb zien passeren hebben meer te maken met hoe de gezondheidszorg nu (des)functioneert dan hoe we gegevens registreren. Een EPD als eindoel stellen zou heel goed als katalysator kunnen werken in het klaarstomen van onze gezondheidszorg voor de toekomst.

[Reactie gewijzigd door teacup op 10 mei 2009 14:47]

Je gaat alleen voorbij aan de wel privacy gevoelige dingen... zou jij willen dat jouw buurvrouw die verpleegster is, zonder controle kan inzien dat jij aan een erectiestoornis lijdt en daar medicatie voor slikt op je oudere dag. Of dat je lijdt aan een psychische stoornis en daar medicatie voor slikt. Zo zijn er tal van bijzonder privacy-gevoelige dingen te bedenken waarvan je absoluut niet wilt dat dit op straat komt te liggen. En het overkomt-mij-toch-niet denken is dan redelijk naÔef, wat ons lichaam en onze geest doen helaas lang niet altijd wat wij willen.
Volgens mij ben je nogal naÔef.

Hoeveel helpdeskmedewerkers/serverbeheerders ken jij die nog nooit privť gegevens hebben ingezien zonder dat daar een technische reden voor was? Ik ken er helemaal geen. Homedrives, mailboxen, website adressen, alles verdwijnt in grote logs en op drives waar bijzonder veel mensen zomaar bij kunnen. Bedrijfsmatig moeten ze er bij kunnen, maar dat betekent dat je afhankelijk bent van de professionaliteit van de beheerder.
In de zorg is dat niet anders. Die buurvrouw, die bekijkt jouw dossier ook uit persoonlijke interesse. Als het buiten haar taak omschrijving valt kan ze ontslagen worden, maar als jij op een afdeling ligt waar zij ook werkt kan ze het zonder risico inkijken.
ben je nog steeds naÔef...
het kwaad is dan al geschied, en nu kan je buurvrouw wel ontslagen zijn, maar wat als een kwaadwillende een zooi data binnentrekt voordat hij de benen neemt/ontslagen wordt?
bij het EPD staan ook je Prive gegevens(en daarmee je email adres oa), criminelen kunnen daar heel veel mee! En dan heb je ok nog eens dat mensen iemand anders zijn/haar account kunnen misbruiken, je wilt niet weten hoe makkelijk mensen hun wachtwoorden vrij geven aan de "ICT"!(ik vraag er nooit naar, maar mensen geven hem nog wel eens op tezamen met hun gebruikersnaam)

Zeker bij zulke systemen moet er een zware beveiliging op zitten! Anders kan je niet alleen met een simpele hack erop komen, maar dan kan je van geheel nederland gevoelige informatie bekijken, hiermee kan je _veel_ meer dan de meeste denken!

Voorkomen is beter dan genezen is het grote motto hier, en als het aan mij ligt wordt de EPD zoals hij nu bestaat NOOIT ingevoerd.
@GravGunner
maar wat als een kwaadwillende een zooi data binnentrekt voordat hij de benen neemt/ontslagen wordt?
En je dacht dat dat nu niet kon? Als een DBA of systeembeheerder iets wil is het zo geregeld hoor.

[Reactie gewijzigd door jip_86 op 9 mei 2009 20:09]

In de zorg is dat niet anders
Oh nou da's dan fijn om te weten - niet dus. Ik wou dat ik toch mocht hopen dat 't daar WEL anders zou zijn!! Ik mag toch hopen dat een landelijke database (waar je zomaar in kan worden opgenomen als je niet protesteert omdat je toevallig de boel wel vertrouwd omdat ze 't zo willen doen overkomen dat 't wel te vertrouwen is - wat dus niet zo is) W-E-L 100x beter beveiligd is dan een lokaal databaseje van een bedrijfje of instellinkje!!!!!

@jip_86:
En? Is dat dan soms een goede zaak?
Als er iets niet goed geregeld is bij 't ene, is dat geen reden om 't maar bij 't andere opeens GOED te praten!!

[Reactie gewijzigd door kimborntobewild op 10 mei 2009 21:03]

het EPD is helemaal geen centrale landelijke database met patientgegevens. Het heet niet voor niks het LSP of Landelijk Schakelpunt: het is alleen een knooppunt voor gegevensuitwisseling, en alleen tussen die partijen die daarvoor bevoegd zijn en daartoe noodzaak hebben. Denk aan een apotheek die een recept met contra-indicatie van de patient binnenkrijgt van de huisarts, of allergie-informatie op de eerste hulp, of uitwisseling tussen HAP en eigen huisarts.
Als er ergens veel indianenverhalen over rondzingen is het wel het EPD.
als ik moet kiezen tussen misschien wat schaamte en een gedegen medische behandeling krijgen zodra die nodig is doordat ze mijn medicatiegebruik en eerdere behandelingen kennen ? Hmmm moeilijke keuze, dat de buurvrouw dan maar lekker gniffelt omdat ik een ongelukje heb gehad tijdens het swaffelen.

Er zal altijd iemand jouw dossiers moeten kunnen inlezen, vandaar dat je dossiers hebt. Daardoor is er altijd misbruik mogelijk, iemand moet het kunnen lezen, inherent hieraan kan iemand het misbruiken.
Als je beseft dat jouw PNO afdeling alle sollicitanten nu al Googled voordat ze een gesprek aangaan, hoe zou jij het vinden als ze bij jouw volgende sollicitatie op tafel gooien dat je drie maanden ziekte verlof hebt genomen bij je vorige baas en dat daarom je looneis een beetje te optimistisch is?

Want ga er maar van uit dat het EPD binnen afzienbare tijd toegankelijk is gemaakt door "3rd parties", "advies organen" of de bedrijfsarts. Maar als je dat niet erg genoeg vindt: misschien is geen rare gedachte dat criminelen met het EPD op zoek kunnen gaan naar ideale orgaan donoren voor de zwarte markt.

Ik zie dus meer heil in anonieme bestanden die je evt. op een USB stick bij je kan dragen dan dat het centraal altijd beschikbaar is (id theft risico's etc.). Als je de stick verliest is het nml minder eenvoudig deze te koppelen aan de persoon.
Nu vragen ze het ook gewoon na bij twijfel, veel informatie die ze googlen komt er door jouzelf op.

En stick ??? Het maakt dat EPD net nutteloos want het is totaal onbetrouwbaar geworden dan, denk even bij ernstig autoongeluk waar meerdere mensen bijb etrokken zijn en de sticks over het wegdek verspreid liggen, wat bij beschadigde sticks, gewoon jatten van een stick werkt ook daar ik opeens beschik over identificatienummers waar altijd iets mee te doen is, enz. enz.
Als er dan een keer een hacker langs komt en spul mee neemt, tsja dan weet iemand dat ik een keer mijn enkel uit de kom had, dat ik een keer voetschimmelzelf voorgeschreven ben en dat ik ooit wat slaapmiddel heb gehad. Niet echt geheimen waar de rest van de wereld wat mee kan.
Je maakt hier de fout te denken dat de rest van de wereld redelijk en doordacht zal reageren op de informatie die ter beschikking komt. In zo'n mooie wereld leven we helaas niet.

Om een voorbeeld te geven: sinds de gebeurtenissen in Apeldoorn afgelopen Koninginnedag zijn zwarte Suzuki Swifts opeens heel bekend. Het rijden in zo'n auto is opeens slecht en de mensen die dat doen zijn dat ook. Dat slaat natuurlijk helemaal nergens op, maar die mensen hebben daar toch last van. Zie: http://www.telegraaf.nl/b...egen_zwarte_Suzuki__.html

Stel je nu eens voor dat het niet om een simpel, zwart autootje gaat, maar om iets veel gevoeligers als aids, mexicaanse griep of pedofilie. Dan heb je echt wel last van een gebrek aan privacy hoor.
Interne fraude is wat beter te bestrijden. Verder zijn het vaak criminelen die buiten je grenzen actief zijn dus dat maakt de opsporing en eventuele uitlevering alleen maar lastiger.

EPD en DigiD, de overheid kan willen wat ze willen maar zolang er geen aansprakelijkheidsregels opgesteld worden zullen er weinig mensen voor warm lopen om mee te werken :)
Interne fraude is wat beter te bestrijden.
Een bekende uitdrukking, die zeker hier van toepassing is;
"Voorkomen is beter dan genezen".
Het hele EPD is qua beveiliging erop gericht om mensen buiten te houden die zich aan de regeltjes houden.
Ik denk dat we meer te vrezen hebben van mensen die zich niet aan de regeltjes houden, kortom je _moet_ wel een beveiliging kiezen die ook die mensen buiten kan houden die zich niet aan de regeltjes houden.
Maar nee, de overheid stelt liever nog een paar maatregelen voor door te dreigen met gevangenisstraf, ipv dat ze de beveiliging beter op orde hebben.

Persoonlijk verwacht ik dat de mensen die gepakt worden voor "fraude" zelf ook slachtoffer zijn en er door het gebrek aan maatregelen alleen maar die gevallen aangepakt gaan worden, waarvan de gebruikte authentificatie bekend is. Dat dit niets zegt over wie die authentificatie gebruikt heeft zal waarschijnlijk niet zo zwaar meewegen, helaas.
De straffen zijn niet alleen te laag (hoewel, als ze je netjes veroordelen vlieg je nog steeds voor behoorlijk wat jaar achter tralies), maar de opsporingskans is te laag. Als jij zoiets flikt vanuit zeg Roemenie, dan zit je daar prima. Niemand die uberhaupt al je sporen naloopt, en als ze je dan een keer hebben moeten ze je nog lokaal vangen. Zodra ik een advertentie in de krant plaats waarin ik bijvoorbeeld Balkenende dood wens, klopt er morgen politie aan de deur of ik dat even wil komen uitleggen op het bureau. Zoiets moeten we voor internet ook hebben. (of beter : ze zijn er al, maar er moeten er meer komen, zodat we het ook een beetje kunnen behapstukken)
Derglijke databases dienen gewoon niet aan het net te hangen, hoe simpel kun je dat beschermen
Wat is dan nog het nut van zo een DB op te zetten als de betrokken dokters en apotheken ze niet kunnen raadplagen?
sinds gisteren geldt er in amerika, dat cyber attacks onder de 'law of conflict' vallen, en dat er dus op hackaanvallen ook fysieke counteraanvallen gepleegd mogen worden, en dat hackers als 'enemy combatants' worden beschouwd, met (of beter gezegd zonder) desbetreffende rechten.

http://www.stripes.com/ar...section=104&article=62555
mja..en dat heeft niet veel zin als die hackers buiten Amerika opereren
Derglijke databases dienen gewoon niet aan het net te hangen, hoe simpel kun je dat beschermen :?
Dan wordt het natuurlijker wel een pak moeilijker om de dokters en apothekers toegang te geven.
Dat is ook het eerste wat er bij mij op komt dat Je databases niet aan het internet moet hangen.

Maar hoe verstuur je gegevens dan van het ene ziekenhuis naar een andere ziekenhuis of naar een dokter of naar apotheek
lijk mij via internet. Hoe Moet anders dan ?
Alle systemen zijn inmiddels extra beveiligd.
Dan snap ik niet ; WAAROM hebben ze de systemen niet vantevoren 'extra' beveiligd ? Blijkt altijd maar weer dat het extra extra kan..

[Reactie gewijzigd door s3. op 9 mei 2009 16:13]

Ja, als er een lek in zit waar ze later pas achterkomen, kun je dat moeilijk doen. Het lijkt me dat ze wel genoeg hebben geprobeerd, om te kijken als het veilig is. Nou dan zijn de hackers achter een fout, of iets anders gekomen, tadaaa..

Ik vind het wel een slimme manier, het nieuwe gijzelen, maja, het is maar wat je leuk vind
Systemen zijn nu meestal NIET extra beveiligd... waarom niet? Omdat het veel geld kost! Als ik in de praktijk (zit altijd bij artsen of apotheken) zie waar ze allemaal op proberen te besparen! "Een virusscanner op de sever? Moet dat?". "We kunnen toch ook die gratis versie gebruiken?" Of... ik laat wel een 3e partij het systeembeheer doen... is goedkoper!.
er is ook helemaal niet bekend of de kopie van gegevens wel geslaagd is, en als dat zo is het nog maar de vraag of er een markt voor is

je kan wel zeggen dat de verzekeraars het kunnen gebruiken, maar het is maar de vraag of ze dat ook willen
Verzekeraars weten toch wel wat hun patienten slikken want ze moeten het tenslotte betalen. Hooguit mensen die overstappen van verzekering kun je er mee hebben.
Wat wat nou als je ouders bij een andere verzekeraar zitten en er zit een erfelijke ziekte in de familie die zich misschien op oudere leeftijd zou kunnen openbaren. Dan wil je niet dat verzekeraars jou gaan weigeren of hoge premie's laten betalen.
Dit zal bij de gegevens van een paar patiŽnten niet veel uitmaken voor een verzekeraar, maar als ze de beschikking krijgen over ongeveer hun totale bestand aan klanten kunnen ze hun premies daarop aanpassen.(en dan meestal in negatieve zin t.o.v. de klant)
Of je moet een giga overlijdensrisico premie betalen voor je hypotheek.

Echter de vraag is of verzekeraars op dit moment al niet een flinke database hebben met evaluaties en onderzoeken over al hun klanten.
Ik denk dat uiteindelijk geen enkele online database helemaal veilig zal zijn. Aan het EPD zitten veel voordelen mijns inziens, maar een dergelijk risico zoals hier beschreven zou ik niet willen lopen. Denk maar eens terug aan de invoering van de OV-chipkaart, ook zo lek als een mandje.
Misschien wat off topic maar wat zijn de vele voordelen van het EPD dan?
Ik kan er zelf namelijk geen 1 bedenken.
Een hele basale maar wel erg duidelijke, je gaat naar twee verschillende specialisten en die schrijven onafhankelijk van elkaar jou mediactie voor. Wie is verantwoordelijk voor de controle welke mediactie naast elkaar genomen kan worden ?
Misschien wat off topic maar wat zijn de vele voordelen van het EPD dan?
Ik kan er zelf namelijk geen 1 bedenken.
Op dit moment is het zo dat je soms, als je van ziekenhuis wisselt, dezelfde test die in ziekenhuis A zijn gedaan in ziekenhuis B nog een keer moet doen. Afhankelijk van het onderzoek kan dat pijnlijk zijn. Als ziekenhuis A en B hun gegevens behoorlijk kunnen delen hoeft dat niet meer. Het is best handig als je dokter met een druk op de knop je complete medische geschiedenis kan zien. op die manier worden problemen ook minder makkelijk over het hoofd gezien.

Voorwaarde van zo'n systeem is natuurlijk wel dat er goed gecontroleerd wordt op wie er toegang toe heeft en dat de beveiliging in orde is. Helaas heeft regering als het op ICT aankomt tot nog toe een beroerde reputatie weten op te bouwen. Verschuivende doelstellingen en afgeknepen budgetten zijn funest voor dit soort projecten.
Ik heb dus bezwaar gemaakt, omdat ALS het gebeurt dat ik in een ander ziekenhuis, door een andere dokter of wat dan ook behandeld word, ik altijd zelf nog een formulier kan tekenen waarin ik alleen die specifieke instelling of arts toestemming geef om alleen een beperkte dataset aan informatie uit mijn dossier elders te halen. Geen enkele aandoening die ik nu nog krijg maakt het noodzakelijk dat mijn volledige dossier onder ogen komt van een vreemde behandelaar. En mocht ik buiten bewustzijn verkeren, dan zitten er altijd nog kaartjes van contactpersonen in mijn portemonnee of kan er contact gezocht worden met mijn familie ... zegmaar zoals het altijd al voor iedereen werkte voordat ze op dat EPD kwamen.
Waar ik ook mijn twijfels bij heb is dat bij verdere Europanisering straks al die landelijke systemen gekoppeld worden tot een Europees systeem ... dat zou echt verschrikkelijk zijn imo en nergens voor nodig. Kennis is macht! En medische kennis is niet alleen macht, maar ook handel dus, getuige dit artikel. (Denk ook aan telemarketeers die via enquete formulieren de leeftijd e.d. van mensen hebben verkregen en dat bijvoorbeeld mensen van 50 jaar en ouder gebeld worden voor het afsluiten van een overlijdensrisico verzekering, een rollator of scootmobiel leasen etc.)
Probleem bij het EPD vind ik vooral dat er geen verantwoordelijke voor de beveiliging is die ik in een civiele procedure tot schadevergoeding kan laten veroordelen. Als het mis gaat is het kwestie van:" tot onze grote spijt..., en nu weer over tot de orde van de dag".
De gegevens zijn inmiddels extra beveiligd. "tuurlijk geloofd iedereen dan direct dat gegevens niet meer gepikt kunnen worden. Sukkels. Mij privacy heeft waarde, dus geen EPD.
Leg mij dan eens uit hoe jouw privacy meer in gevaar komt met de introductie van het EPD...! Want dat stukje begrijp ik nog steeds niet.
Het risico dat mensen op afstand mijn gegevens eenvoudiger illegaal kunnen bekijken dan nu het geval is, wordt groter door toepassen van het EPD. Dat is een risico voor mijn privacy. Hoe groot dat risico is kan ik niet inschatten, het ontkennen van het risico is echter imho onzin.
Wederom mijn vraag...waarom wordt het risico groter...?

Weet je ongeveer hoe het opvragen van medische gegevens (al dan niet digitaal) werkt ?
Denk je dat het systeem zo eenvoudig te kraken wordt/is ?

Het wordt niet echt een soort van youtube met medische gegevens of zoiets...
Het wordt zo dat iedereen met een licentie (Ok, dat zijn hulpverleners, maar ook daar zitten er tussen die te koop zijn) jouw gegevens tevoorschijn kan toveren.

Zelf ben ik een aantal keer opgenomen geweest voor observatie in een ziekenhuis en als patiŽnt heb je recht op inzage in je rapportage. Ik maakte toen altijd gebruik van dat recht. Ik wil weten wat er over mij geschreven wordt door de mensen die mij gaan behandelen. Zo kwam het meerdere keren voor dat ik in het verpleegkundig kantoor achter de computer werd gezet met mijn gegevens en rapportage op het scherm. Een enkele keer was ik zo lang aan het lezen dat de hulpverlener mij gewoon ALLEEN achter liet met die computer. Ik heb het uit ethische overwegingen natuurlijk niet gedaan; maar met 3 klikjes zou ik de dossiers van medepatiŽnten binnen dat ziekenhuis hebben kunnen opvragen. Die ervaring heeft mij er van overtuigd dat het EPD niet zo voordelig en handig en veilig is als de overheid je wil laten geloven.
Ik heb het uit ethische overwegingen natuurlijk niet gedaan; maar met 3 klikjes zou ik de dossiers van medepatiŽnten binnen dat ziekenhuis hebben kunnen opvragen.
onzin.
Als een ziekenhuis namelijk enigzins z'n beveiliging op orde zou hebben, zijn de patientbevoegdheden van die verpleegkundige zo ingesteld dat hij/zij (en daarmee jij) slechts informatie van patienten binnen zijn haar afdeling/specialisme kan raadplegen. Zoiets heet een "behandelrelatie" en moet goed op orde zijn.
Dat is dus een beperkte groep mensen en zelfs binnen die groep is het dan nog de vraag of een verpleegkundige alles mag zien.
De controle van op dit soort beveiligingen neemt ook steeds meer toe in de vorm van externe audits.
Het zou omwille van het EPD goed zijn als mensen zich wat meer verdiepen in dit soort constructies en niet op basis van wat ze denken te weten allerlei valse argumenten gaan bedenken.

[Reactie gewijzigd door YellowCube op 9 mei 2009 17:17]

Binnen het EPD is het nou juist zo dat iedereen alles kan inzien, maar dat het opvragen van informatie gelogd wordt zodat achteraf eventueel misbruik "bestraft" kan worden met een waarschuwing
Kun je dan ook gelijk ff uitleggen wat het beveiligen van een database in Virginia met het EPD te maken heeft?
Dit lijkt me zo'n beetje het dieptepunt in cybercrime tot dusver, en is voor mij zo'n beetje vergelijkbaar als fysiek meerdere mensen een pistool tegen het hoofd houden.

Straffen hiervoor kunnen mij niet hoog genoeg zijn, dit is niet zomaar iets hacken, dit is levensbedreiging en ze zouden zouden indien gepakt, ook vergelijkbaar moeten worden gestrafd. minimaal 10 jaar brommen en niks vervroegde vrijlating!
Wat een onzin, het enige dat niet meer kan als die database vernield is is dat de staat kan meegluren welke medicijnen iemand voorgeschreven krijgt. Lijkt me voor de patienten geen probleem, alleen de controlfreaks bij de overheid heb je ermee. En daar heb ik geen medelijden mee.
Niet helemaal.

Theoretisch zou het kunnen dat er gegevens verloren gaan door het terugzetten van de backup, als deze niet geheel up to date was.

Als daar nu net een kritisch gegeven (b.v. extreem alergische reactie op bepaalde medicatie) tussen zit zou er een slachtoffer kunnen vallen.

Kans is klein natuurlijk maar niet geheel afwezig...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True