Systeem zorginstelling met gegevens miljoenen Amerikanen gestolen

Een computer met de gegevens van ruim vier miljoen patiënten is onlangs gestolen bij een zorginstelling in de Verenigde Staten. Bij bijna een miljoen mensen ging het om medische gegevens, heeft de stichting deze week bekendgemaakt.

inbrekers Op de computer stonden de onversleutelde gegevens van ruim vier miljoen mensen, laat de Sutter Medical Foundation weten. In de database stonden onder meer telefoonnummers en e-mailadressen. Ook bevatte de computer de naam van de verzekeringspolis van de patiënten.

Van 3,3 miljoen patiënten zijn alleen die gegevens kwijtgeraakt door de diefstal. Bij 943.000 mensen ging het daarnaast om gestelde diagnoses en behandelingsmethodes. De patiënten worden per e-mail over de diefstal ingelicht. De stichting maakt daarin niet te veel bekend, omdat de dieven de e-mailadressen van de slachtoffers hebben.

De Sutter Medical Foundation zegt spijt te hebben van de diefstal. De gegevens op de computers worden in de toekomst versleuteld, belooft de stichting. Ook raadt de stichting patiënten aan om verdachte situaties te melden. Hoe de inbraak heeft kunnen gebeuren, is nog onduidelijk.

Lees meer

IT-banen

Reacties (36)

flashback1989 18 november 2011 17:49

1 reden meer waarom EPD niet ingevoerd moet worden

YellowCube @flashback1989 • 18 november 2011 17:51

Die reactie was te verwachten in dit topic
Punt is echter dat het EPD geen centraal systeem is waar bijna 4 miljoen gegevens in opgeslagen liggen. Sterker nog, ik denk dat er geen enkel ziekenhuis of zorginstelling in NL is met een bestand van 4 miljoen patiënten.

Dat je tegen een Landelijk EPD bent is helemaal prima, maar dat kan nooit om deze reden zijn.

[Reactie gewijzigd door YellowCube op 22 juli 2024 22:53]

djexplo @YellowCube • 18 november 2011 17:56

Je hebt gelijk, de infrastructuur word Aorta genoemd:
http://nl.wikipedia.org/w...tionale_infrastructuur%29

Deze verbind, de servers van de verschillende huisartsen en andere zorg instellingen. Op het moment dat de gegevens van de patient worden opgevraagd in ziekenhuis bij b.v. een huisarts word een request gestuurd naar de server van de huisarts die daarna de gevraagde gegevens terug stuurt.
Dus elke huisarts/zorginstelling kan er b.v. zelf voor kiezen om handmatig de requesten goed te keuren, of een maximum op het aantal requesten van één locatie te zetten.

Dus het Aorta systeem is redelijk veilig zolang niet alle zorginstellingen de zelfde software op hun server draaien.

bwerg @djexplo • 18 november 2011 19:14

Dus het Aorta systeem is redelijk veilig zolang niet alle zorginstellingen de zelfde software op hun server draaien.

Nou, niet per sé, want gegevens van de gemiddelde huisarts zijn niet altijd veilig dus als die database deel van het EPD uitmaakt is dat ook niet veilig. Maar als ze met de aorta onveilig zijn, dan zijn ze dat in de situatie zonder EPD ook niet (want die gegevens die zijn er zonder aorta ook). Het is natuurlijk wel zo dat een huisarts met 300 patiënten minder aantrekkelijk is om te beroven dan een systeem met 16mljn. Nederlanders, maar de aorta lijkt mij het deel dat het best beveiligd zou worden.

Over de zorginstelling van het artikel:

De gegevens op de computers worden in de toekomst versleuteld, belooft de stichting.

Fijn als er één inbraak per instelling nodig is om die instelling te attenderen op veiligheid... Aangezien mensen gegevens hebben bij talloze instellingen, liggen hun gegevens zo binnen de kortste keren bij tig criminele organisaties. Als die oekels nou van tevoren bedenken dat je persoonsgegevens van viermiljoen mensen wel eens zou kunnen beveiligen... Deze houding mag wat mij betreft bestraft worden met een mooie vervolging voor de verantwoordelijken. Dit soort dingen is vaak dermate naïef dat er van "sorry, foutje" geen sprake kan zijn.

[Reactie gewijzigd door bwerg op 22 juli 2024 22:53]

Xubby @djexplo • 18 november 2011 20:35

[...]
Dus het Aorta systeem is redelijk veilig zolang niet alle zorginstellingen de zelfde software op hun server draaien.

Nou ja, veilig.
De toegang tot het EPD wordt geregeld met elektronische pasjes.
Die kan een collega natuurlijk ook gebruiken.
Maakt niet uit hoe je de toegang tot andermans spullen regelt, het blijven "maar" andermans spullen, data. Dus een collega mag best je toegangspasje even lenen. Duurt ja zo lang tot ie er zelf een heeft ...
Papieren dossiers hebben ook nadelen. Maar daar kun je alleen bij als je de archiefkast opent, ter plekke.

To_Tall

@Xubby • 19 november 2011 01:06

En dat is dan weer een strafbaar feit.

Die pasjes zijn natuurlijk persoons gebonden en vast gelegd. Maar zoals al eerder aangegeven een systeem is zo sterk als de zwakste schakel.

Als ik gebruikers op kantoor briefjes met wachtwoorden zie wegleggen of zelfs uitwisselen. Dan hoppa van het netwerk af. en opnieuw netwerk toegang vragen aan HRM. Van mij heeft HRM dan al een notitie te pakken dat wachtwoorden worden uitgewisseld. met als gevold dat die persoon een standje krijg. Pak ik deze weer met uitwisselen van gegevens dan is het een officieel waarschuwing..

helaas bij het bedrijf waar ik nu zit beetje anders ingericht.. Maar dit was wel onze policy waar ik ook 100% achter staat. inlog is persoonlijk. Mag niemand bij..

geekeep @YellowCube • 18 november 2011 19:48

Of het EPD nu wel of niet centraal zal zijn, dit artikel is precies de reden waarom mensen tegen gestemd hebben. Maakt vrij weinig uit of het allemaal op 1 server, of meerdere subservers staat, als je toegang hebt, is het gedaan met je privacy.
Toegang tot grote hoeveelheden gegevens is hoe dan ook aantrekkelijk voor criminelen.

Zelfs de punten die djexplo aanhaalt:

Dus elke huisarts/zorginstelling kan er b.v. zelf voor kiezen om handmatig de requesten goed te keuren, of een maximum op het aantal requesten van één locatie te zetten.

zetten niet veel zoden aan de dijk. Het handmatig accepteren of een limiet op die requests instellen, zal in de praktijk vrijwel altijd resulteren in "ja, keuze onthouden", aangezien mensen (en zeker artsen) liever niet de gehele dag verzoeken willen accepteren of een programma hebben wat ze 'dwars zit'.

Maarten21

@geekeep • 18 november 2011 20:09

Centraal of decentraal maakt zeker wel uit.

Een locatie met de gegevens van 16 miljoen mensen is een schatkist voor elke hacker die uit is op persoonsgegevens, naamsbekendheid of simpelweg tegen alles is.

Met het EPD is dit dus nooit het geval. Het ergste wat kan gebeuren is dat een individueel computersysteem wordt gehackt, waarmee die gegevens op straat liggen (maar dat is nu ook al het geval).

Puur door deze opzet is het simpelweg niet meer interessant om te hacken, tenzij je boos bent op je huisarts of zorginstelling. Maar daar verandert het EPD dus niks aan.

Verwijderd @geekeep • 19 november 2011 01:24

Ik geloof niet dat het EPD goedkoper zal zijn dan het huidige papieren winkel gebeuren. Laat die inefficiëntie en papieren berg dan maar bestaan als het EPD de patiënt verder toch maar weinig helpt. Wachten op een snelle behandeling moet je toch wel.

TheSiemNL @flashback1989 • 18 november 2011 17:51

precies wat ik dacht, anders is de volgende kop "gegevens alle Nederlanders op straat".

Genji 18 november 2011 17:56

Hoe kan je als zorginstelling nou in godsnaam dit soort gevoelige informatie onversleuteld opslaan? Dat is echt een mega blunder!

Kan je zo'n zorginstelling nou ook aansprakelijk stellen voor nalatigheid?

Verwijderd 18 november 2011 18:17

Tis tegenwoordig makkelijker in te breken en de san oplossing te stelen dan te hacken en de boel te downloaden.
Met vmware clusters pak je zo een complete bedrijfs omgeving in een keer op.
Dus ja wat is veilig tegenwoordig..

born4trance 18 november 2011 19:28

De gegevens op de computers worden in de toekomst versleuteld, belooft de stichting.

In de toekomst? Van zoiets ga ik dus facepalmen... Dit hadden ze op voorhand moeten doen.
Het gaat hier immers om mensen hun privé-/persoonsgegevens. Een flater van ongeziene omvang

[Reactie gewijzigd door born4trance op 22 juli 2024 22:53]

Verwijderd 18 november 2011 19:34

Hoewel dit voorval te betreuren is, zijn de reacties hierboven dat ook.
Hoeveel medische briefwisseling wordt er dagelijks via de post verzonden. Is dat dan wel versleuteld? Gebeuren er nooit diefstallen van poststukken? Is de postbode in alle gevallen te vertrouwen? Nooit wordt er zo overtrokken gereageerd als er daar iets misloopt. Het is gemakkelijker een brief te stelen dan een PC.

Ortep

@Verwijderd • 18 november 2011 22:43

Het probleem zit hem in de schaal. Het is voor een crimineel nauwelijks van belang om jouw of mijn medische gegevens te stelen. Maar het is GOUD waard om de gegevens van 17 miljoen Nederlanders te stelen. En een systeem als het EPD maakt die mogelijkheid een stuk waarschijnlijker. Dat kan je desnoods vanuit Botswana als je een ingang gevonden hebt. Je hebt dan gelijk de hele medische geschiedenis van iedereen. Post onderscheppen betekent dat le alle post van alle zienhuizen en artsen voor jaren moet opvangen om dezelfde gegecvens te krijgen.
Die gegevens zijn van levensbelang voor allerlei verzekerings maatschappijen en banken. Niet dat ze die officieel ooit zouden stelen. De directie zou het ten strengsrte verbieden. Maar als een of andere middel manager ze wel te pakken zou krijgen kan hij zijn target voor dat jaar flink opschroeven omdat hij 'geheel per ongeluk' alle slechte risico's ontdekt. En als iets eenmaal bekend is van je raakt het nooit meer 'ont-bekend'
Dus als jij 3 keer een soa test hebt laten doen kan je je hypotheek wel vergeten. Je hebt een te riskante levensstijl.

[Reactie gewijzigd door Ortep op 22 juli 2024 22:53]

Verwijderd 18 november 2011 19:43

Dit wordt een serieuze boete, volgens mij is HIPAA compliancy verplicht in de US voor de zorgsector.

http://en.wikipedia.org/w...ty_and_Accountability_Act

Razwer 18 november 2011 20:04

Kwalijke zaak dat dit gebeurd. Helaas is het ook een kwestie van tijd dat dit gebeurd in Nederland. Het is redelijk slecht gesteld met de beveiliging van systemen in veel van de ziekenhuizen in nederland. Veel terminals zijn zo beschikbaar en kan je redelijk wat mee als je iets van die systemen kent. De grote zis software boeren zijn wel druk bezig die aan de software kant te beveiligen, maar vanuit een beheers aspect ligt toch het grootste gevaar in het ziekenhuis zelf.

Wat een gezanik over "het EPD" hier in de reacties. Elk ziekenhuis wat een zis gebruikt (dat is ELK ziekenhuis) heeft een EPD voor elke patient. Het is nou eenmaal electronisch! Electronisch Patienten Dossier. Dat er mensen tegen de koppeling hier van zijn (LANDELIJK EPD), zijn bij bepaalde gedachtengangen zo gek nog niet naar mijn mening, maar dan valt dat vooral te zoeken in de hoek van misbruik van verzekeraars etc.
Je kan wel zeggen "elke database is te hacken", maar elke brandkast is ook te kraken, en je moet toch niet denken aan de tijd dat alles 100% met papier ging...

Verwijderd 18 november 2011 17:43

Een ware explosie van dit soort delicten wat en wie zou daar achter zitten.

PilatuS @Verwijderd • 18 november 2011 18:38

Alles wordt digitaal dus er wordt steeds meer digitaal gestolen.

Iblies @PilatuS • 18 november 2011 20:26

Een ketting is zo sterk als de zwakste schakel. En de ketting wordt steeds groter, mede dankzij het idee alles en iedereen overal bereikbaar moet zijn.
Blijft vreemd dat er op een dergelijke pc gewoon een kopie staat van alle patiënten. Je zou zeggen dat het gecentraliseerd op een server is die je niet zomaar even meeneemt. Tevens geeft het aan datadiefstal niet altijd moeilijk hoeft te zijn. Een netwerk kan goed beveiligt zijn, maar als de voordeur open staat heb je er weinig aan.

Dan is er nog de vraag welke patiënt zo belangrijk is dat de diefstal word gepleegd. Lijkt mij een interessant verhaal. Ivm met een testament, oplichting, zwangerschap, etc.

To_Tall

@Iblies • 19 november 2011 01:01

Een Server is ook een computer, Als zo'n machine in een onafgesloten hok staat, en niet bevestigd in een rack dan is deze makkelijk mee te nemen..

Lijkt me niet dat zo'n DB op een desktop op kantoor heeft gestaan. dat zou wel heel dom zijn ;-)

Mijn werkgever wilt graag van onze klanten ook CC gegevens verzamelen en deze in onze CRM applicatie plaatsen.. De Server staat wel achter slot en grendel.. Maar de CRM DB moet ook via het internet te benaderen zijn. Maar hij wilt geen SSL certificaat..

Na een wireshark sessie op zijn PC buiten het netwerk om. Zo op de DB. laten zien dat je makkelijk username en password en de gegevens die je opvraagd kan benaderen.. Ook al staat er een andere PC naast op het zelfde netwerk.. Schrok hij wel van

Soms moet je de directie en gebruikers juist laten zien wat je kan als niets beveiligd is.

JCG @To_Tall • 19 november 2011 12:38

Als ik dit soort verhalen hoor, schrik ik als niet-ITer. Zijn er trouwens standaarden voor beveiliging? Zeg maar zo iets als een checklist: firewall, software up to date, wachtwoorden versleutelt opslaan enz. Zou best makkelijk zijn voor leken, die zouden kunnen eisen dat het netwerk dat ze laten aanleggen bijvoorbeeld aan de IEEE-x (of welke andere standaarden organisatie je wilt) eisen voldoet.

Verwijderd @JCG • 19 november 2011 18:20

ja hoor, dat noemen ze "non-functional" requirements.
Daar is meestal geen geld voor, want je krijgt er niets zichtbaars voor terug..

ronaldvr @To_Tall • 20 november 2011 00:21

Beste jongen dat klinkt allemaal goed en stoer, maar helpt allemaal niks zodra je bijvoorbeeld een setje developers binnenhaalt (of testers, dba's of weet ik veel wat voor mensen die je toegang geeft), en die met een kopie van die data op hun laptop naar buiten kunnen wandelen. Die dan vervolgens gestolen kan worden.

Als je data beveiliging serieus neemt, zul je óók dergelijke gevallen moeten monitoren, en bijvoorbeeld zorgen dat in die situaties de bewuste laptop/datadrager het pand niet kan verlaten. En in ieder geval zorgen dat de data goed encrypted op die pc staat (als het al überhaupt nodig is dát die data ergens is waar ze in principe niet hoort te zijn).

Verwijderd @PilatuS • 18 november 2011 21:10

Zeker maar de wereld is niet het afgelopen jaar gedigitaliseerd. Het lijkt we of de inbraak bij Sony het signaal is geweest om overal bedrijven te overvallen.

Eerst leek het erop dat hackersgroepen er achter zaten, maar dat geloof ik zo langzamerhand niet meer. Of er is een soort cyberoorlog tussen de landen uitgebroken, of de de Russische maffia heeft grootschalig geinvesteerd in cyberwarfare. Of de het is een plot van de Amerikaanse geheime diensten samen met de media industrie om zoveel onrust te veroorzaken dat de bevolking gaat instemmen met grote beperkingen op het internet. Maar ik zie de explosie van aanvallen niet als een natuurlijke groei. Elke week wordt er wel een grote inbraak gedaan, het gaat maar door.

elmuerte @Verwijderd • 18 november 2011 23:31

Onzin. Dit soort inbraken, en lekken, zijn al jaren aan de gang. Het grote verschil is dat het steeds vaker de publiciteit behaald.

Verwijderd @elmuerte • 19 november 2011 01:21

En de gevallen die de publiciteit halen worden steeds groter en groter. Het grote verschil is dat de gevallen steeds willekeuriger zijn van klein tot groot, van simpel tot zwaar beveiligd, niets of niemand blijft gespaard.
Op alle fronten gebeurt wel iets, kleine scriptkiddies tot zware crackers en blackhatters. Het haalt de publiciteit steeds vaker omdat het een actualiteit is waar we steeds meer tegen moeten doen, maar tegelijkertijd steeds minder tegen kunnen doen... het lijkt steeds makkelijker om digitaal in te breken, en er zijn meer hackers, crackers en scriptkiddies.
En de kennis die je nodig hebt is en/of makkelijker te krijgen en/of relatief eenvoudig te begrijpen. Straks is inbreken in een computer bijna net zo gewoontjes als een fysieke inbraak in een woning of zoiets. Alleen wat er te halen valt is misschien meer en makkelijker.

Verwijderd @Verwijderd • 19 november 2011 11:18

Wie daar achter zitten? Concurrenten of reclamebureaus die voor andere partijen beter potentiële klanten kunnen benaderen voor de verkoop van medicijnen of behandelingen.

Op hoeveel pc's staan mijn onversleutelde gegevens in Nederland? Daarom ben ik tegen EPD's. En verregaande digitalisering in de zorg. Als dat papieren dossiers waren geweest, wel nu...dan hadden de dieven een vrachtwagen nodig gehad en niet een pc onder een arm.

monsees 18 november 2011 17:52

Hoe kan het nu weer gebeuren dat dit soort gegevens gestolen kunnen worden?
In deze hedendaagse wereld waarin we al steeds minder privacy hebben, vind ik het een zeer kwalijke zaak dat zelfs overheden niet meer in staat zijn om onze privacy te kunnen garanderen. Ik vraag me soms nog af of we niet terug moeten gaan naar de oude tijd waarin we alles nog op papier hebben.....

jjkewl @monsees • 18 november 2011 19:59

Zorginstellingen in Amerika zijn commercieele instellingen en behoren niet tot de overheden. Overigens in NL heeft de politiek die stomme fout ook gemaakt ondanks alle onderzoeken vanuit de states. Nu onze zorg ook geprivatiseerd is, is het slechts wachten op onbetaalbare slechte zorg.

Hoogevenertje 18 november 2011 17:57

Ik vind het schandalig dat ze dit sowieso onversleuteld opgeslagen hadden.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (36)

Sorteer op:

Weergave: