Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties
Submitter: himlims_

Een computer met de gegevens van ruim vier miljoen patiŽnten is onlangs gestolen bij een zorginstelling in de Verenigde Staten. Bij bijna een miljoen mensen ging het om medische gegevens, heeft de stichting deze week bekendgemaakt.

inbrekersOp de computer stonden de onversleutelde gegevens van ruim vier miljoen mensen, laat de Sutter Medical Foundation weten. In de database stonden onder meer telefoonnummers en e-mailadressen. Ook bevatte de computer de naam van de verzekeringspolis van de patiënten.

Van 3,3 miljoen patiënten zijn alleen die gegevens kwijtgeraakt door de diefstal. Bij 943.000 mensen ging het daarnaast om gestelde diagnoses en behandelingsmethodes. De patiënten worden per e-mail over de diefstal ingelicht. De stichting maakt daarin niet te veel bekend, omdat de dieven de e-mailadressen van de slachtoffers hebben.

De Sutter Medical Foundation zegt spijt te hebben van de diefstal. De gegevens op de computers worden in de toekomst versleuteld, belooft de stichting. Ook raadt de stichting patiënten aan om verdachte situaties te melden. Hoe de inbraak heeft kunnen gebeuren, is nog onduidelijk.

Moderatie-faq Wijzig weergave

Reacties (36)

1 reden meer waarom EPD niet ingevoerd moet worden
Die reactie was te verwachten in dit topic
Punt is echter dat het EPD geen centraal systeem is waar bijna 4 miljoen gegevens in opgeslagen liggen. Sterker nog, ik denk dat er geen enkel ziekenhuis of zorginstelling in NL is met een bestand van 4 miljoen patiŽnten.

Dat je tegen een Landelijk EPD bent is helemaal prima, maar dat kan nooit om deze reden zijn.

[Reactie gewijzigd door YellowCube op 18 november 2011 17:52]

Je hebt gelijk, de infrastructuur word Aorta genoemd:
http://nl.wikipedia.org/w...tionale_infrastructuur%29

Deze verbind, de servers van de verschillende huisartsen en andere zorg instellingen. Op het moment dat de gegevens van de patient worden opgevraagd in ziekenhuis bij b.v. een huisarts word een request gestuurd naar de server van de huisarts die daarna de gevraagde gegevens terug stuurt.
Dus elke huisarts/zorginstelling kan er b.v. zelf voor kiezen om handmatig de requesten goed te keuren, of een maximum op het aantal requesten van ťťn locatie te zetten.

Dus het Aorta systeem is redelijk veilig zolang niet alle zorginstellingen de zelfde software op hun server draaien.
Dus het Aorta systeem is redelijk veilig zolang niet alle zorginstellingen de zelfde software op hun server draaien.
Nou, niet per sť, want gegevens van de gemiddelde huisarts zijn niet altijd veilig dus als die database deel van het EPD uitmaakt is dat ook niet veilig. Maar als ze met de aorta onveilig zijn, dan zijn ze dat in de situatie zonder EPD ook niet (want die gegevens die zijn er zonder aorta ook). Het is natuurlijk wel zo dat een huisarts met 300 patiŽnten minder aantrekkelijk is om te beroven dan een systeem met 16mljn. Nederlanders, maar de aorta lijkt mij het deel dat het best beveiligd zou worden.

Over de zorginstelling van het artikel:
De gegevens op de computers worden in de toekomst versleuteld, belooft de stichting.
Fijn als er ťťn inbraak per instelling nodig is om die instelling te attenderen op veiligheid... Aangezien mensen gegevens hebben bij talloze instellingen, liggen hun gegevens zo binnen de kortste keren bij tig criminele organisaties. Als die oekels nou van tevoren bedenken dat je persoonsgegevens van viermiljoen mensen wel eens zou kunnen beveiligen... Deze houding mag wat mij betreft bestraft worden met een mooie vervolging voor de verantwoordelijken. Dit soort dingen is vaak dermate naÔef dat er van "sorry, foutje" geen sprake kan zijn.

[Reactie gewijzigd door bwerg op 18 november 2011 19:16]

[...]
Dus het Aorta systeem is redelijk veilig zolang niet alle zorginstellingen de zelfde software op hun server draaien.
Nou ja, veilig.
De toegang tot het EPD wordt geregeld met elektronische pasjes.
Die kan een collega natuurlijk ook gebruiken.
Maakt niet uit hoe je de toegang tot andermans spullen regelt, het blijven "maar" andermans spullen, data. Dus een collega mag best je toegangspasje even lenen. Duurt ja zo lang tot ie er zelf een heeft ...
Papieren dossiers hebben ook nadelen. Maar daar kun je alleen bij als je de archiefkast opent, ter plekke.
En dat is dan weer een strafbaar feit.

Die pasjes zijn natuurlijk persoons gebonden en vast gelegd. Maar zoals al eerder aangegeven een systeem is zo sterk als de zwakste schakel.

Als ik gebruikers op kantoor briefjes met wachtwoorden zie wegleggen of zelfs uitwisselen. Dan hoppa van het netwerk af. en opnieuw netwerk toegang vragen aan HRM. Van mij heeft HRM dan al een notitie te pakken dat wachtwoorden worden uitgewisseld. met als gevold dat die persoon een standje krijg. Pak ik deze weer met uitwisselen van gegevens dan is het een officieel waarschuwing..

helaas bij het bedrijf waar ik nu zit beetje anders ingericht.. Maar dit was wel onze policy waar ik ook 100% achter staat. inlog is persoonlijk. Mag niemand bij..
Of het EPD nu wel of niet centraal zal zijn, dit artikel is precies de reden waarom mensen tegen gestemd hebben. Maakt vrij weinig uit of het allemaal op 1 server, of meerdere subservers staat, als je toegang hebt, is het gedaan met je privacy.
Toegang tot grote hoeveelheden gegevens is hoe dan ook aantrekkelijk voor criminelen.

Zelfs de punten die djexplo aanhaalt:
Dus elke huisarts/zorginstelling kan er b.v. zelf voor kiezen om handmatig de requesten goed te keuren, of een maximum op het aantal requesten van ťťn locatie te zetten.
zetten niet veel zoden aan de dijk. Het handmatig accepteren of een limiet op die requests instellen, zal in de praktijk vrijwel altijd resulteren in "ja, keuze onthouden", aangezien mensen (en zeker artsen) liever niet de gehele dag verzoeken willen accepteren of een programma hebben wat ze 'dwars zit'.
Centraal of decentraal maakt zeker wel uit.

Een locatie met de gegevens van 16 miljoen mensen is een schatkist voor elke hacker die uit is op persoonsgegevens, naamsbekendheid of simpelweg tegen alles is.

Met het EPD is dit dus nooit het geval. Het ergste wat kan gebeuren is dat een individueel computersysteem wordt gehackt, waarmee die gegevens op straat liggen (maar dat is nu ook al het geval).

Puur door deze opzet is het simpelweg niet meer interessant om te hacken, tenzij je boos bent op je huisarts of zorginstelling. Maar daar verandert het EPD dus niks aan.
Ik geloof niet dat het EPD goedkoper zal zijn dan het huidige papieren winkel gebeuren. Laat die inefficiŽntie en papieren berg dan maar bestaan als het EPD de patiŽnt verder toch maar weinig helpt. Wachten op een snelle behandeling moet je toch wel.
precies wat ik dacht, anders is de volgende kop "gegevens alle Nederlanders op straat".
Hoe kan je als zorginstelling nou in godsnaam dit soort gevoelige informatie onversleuteld opslaan? Dat is echt een mega blunder!

Kan je zo'n zorginstelling nou ook aansprakelijk stellen voor nalatigheid?
Tis tegenwoordig makkelijker in te breken en de san oplossing te stelen dan te hacken en de boel te downloaden.
Met vmware clusters pak je zo een complete bedrijfs omgeving in een keer op.
Dus ja wat is veilig tegenwoordig..
De gegevens op de computers worden in de toekomst versleuteld, belooft de stichting.
In de toekomst? Van zoiets ga ik dus facepalmen... Dit hadden ze op voorhand moeten doen.
Het gaat hier immers om mensen hun privť-/persoonsgegevens. Een flater van ongeziene omvang :z

[Reactie gewijzigd door born4trance op 18 november 2011 19:30]

Hoewel dit voorval te betreuren is, zijn de reacties hierboven dat ook.
Hoeveel medische briefwisseling wordt er dagelijks via de post verzonden. Is dat dan wel versleuteld? Gebeuren er nooit diefstallen van poststukken? Is de postbode in alle gevallen te vertrouwen? Nooit wordt er zo overtrokken gereageerd als er daar iets misloopt. Het is gemakkelijker een brief te stelen dan een PC.
Het probleem zit hem in de schaal. Het is voor een crimineel nauwelijks van belang om jouw of mijn medische gegevens te stelen. Maar het is GOUD waard om de gegevens van 17 miljoen Nederlanders te stelen. En een systeem als het EPD maakt die mogelijkheid een stuk waarschijnlijker. Dat kan je desnoods vanuit Botswana als je een ingang gevonden hebt. Je hebt dan gelijk de hele medische geschiedenis van iedereen. Post onderscheppen betekent dat le alle post van alle zienhuizen en artsen voor jaren moet opvangen om dezelfde gegecvens te krijgen.
Die gegevens zijn van levensbelang voor allerlei verzekerings maatschappijen en banken. Niet dat ze die officieel ooit zouden stelen. De directie zou het ten strengsrte verbieden. Maar als een of andere middel manager ze wel te pakken zou krijgen kan hij zijn target voor dat jaar flink opschroeven omdat hij 'geheel per ongeluk' alle slechte risico's ontdekt. En als iets eenmaal bekend is van je raakt het nooit meer 'ont-bekend'
Dus als jij 3 keer een soa test hebt laten doen kan je je hypotheek wel vergeten. Je hebt een te riskante levensstijl.

[Reactie gewijzigd door Ortep op 18 november 2011 22:57]

Dit wordt een serieuze boete, volgens mij is HIPAA compliancy verplicht in de US voor de zorgsector.

http://en.wikipedia.org/w...ty_and_Accountability_Act
Kwalijke zaak dat dit gebeurd. Helaas is het ook een kwestie van tijd dat dit gebeurd in Nederland. Het is redelijk slecht gesteld met de beveiliging van systemen in veel van de ziekenhuizen in nederland. Veel terminals zijn zo beschikbaar en kan je redelijk wat mee als je iets van die systemen kent. De grote zis software boeren zijn wel druk bezig die aan de software kant te beveiligen, maar vanuit een beheers aspect ligt toch het grootste gevaar in het ziekenhuis zelf.

Wat een gezanik over "het EPD" hier in de reacties. Elk ziekenhuis wat een zis gebruikt (dat is ELK ziekenhuis) heeft een EPD voor elke patient. Het is nou eenmaal electronisch! Electronisch Patienten Dossier. Dat er mensen tegen de koppeling hier van zijn (LANDELIJK EPD), zijn bij bepaalde gedachtengangen zo gek nog niet naar mijn mening, maar dan valt dat vooral te zoeken in de hoek van misbruik van verzekeraars etc.
Je kan wel zeggen "elke database is te hacken", maar elke brandkast is ook te kraken, en je moet toch niet denken aan de tijd dat alles 100% met papier ging...
Een ware explosie van dit soort delicten wat en wie zou daar achter zitten.
Alles wordt digitaal dus er wordt steeds meer digitaal gestolen.
Een ketting is zo sterk als de zwakste schakel. En de ketting wordt steeds groter, mede dankzij het idee alles en iedereen overal bereikbaar moet zijn.
Blijft vreemd dat er op een dergelijke pc gewoon een kopie staat van alle patiŽnten. Je zou zeggen dat het gecentraliseerd op een server is die je niet zomaar even meeneemt. Tevens geeft het aan datadiefstal niet altijd moeilijk hoeft te zijn. Een netwerk kan goed beveiligt zijn, maar als de voordeur open staat heb je er weinig aan.

Dan is er nog de vraag welke patiŽnt zo belangrijk is dat de diefstal word gepleegd. Lijkt mij een interessant verhaal. Ivm met een testament, oplichting, zwangerschap, etc.
Een Server is ook een computer, Als zo'n machine in een onafgesloten hok staat, en niet bevestigd in een rack dan is deze makkelijk mee te nemen..

Lijkt me niet dat zo'n DB op een desktop op kantoor heeft gestaan. dat zou wel heel dom zijn ;-)

Mijn werkgever wilt graag van onze klanten ook CC gegevens verzamelen en deze in onze CRM applicatie plaatsen.. De Server staat wel achter slot en grendel.. Maar de CRM DB moet ook via het internet te benaderen zijn. Maar hij wilt geen SSL certificaat..

Na een wireshark sessie op zijn PC buiten het netwerk om. Zo op de DB. laten zien dat je makkelijk username en password en de gegevens die je opvraagd kan benaderen.. Ook al staat er een andere PC naast op het zelfde netwerk.. Schrok hij wel van :+

Soms moet je de directie en gebruikers juist laten zien wat je kan als niets beveiligd is.
Als ik dit soort verhalen hoor, schrik ik als niet-ITer. Zijn er trouwens standaarden voor beveiliging? Zeg maar zo iets als een checklist: firewall, software up to date, wachtwoorden versleutelt opslaan enz. Zou best makkelijk zijn voor leken, die zouden kunnen eisen dat het netwerk dat ze laten aanleggen bijvoorbeeld aan de IEEE-x (of welke andere standaarden organisatie je wilt) eisen voldoet.
ja hoor, dat noemen ze "non-functional" requirements.
Daar is meestal geen geld voor, want je krijgt er niets zichtbaars voor terug..
Beste jongen dat klinkt allemaal goed en stoer, maar helpt allemaal niks zodra je bijvoorbeeld een setje developers binnenhaalt (of testers, dba's of weet ik veel wat voor mensen die je toegang geeft), en die met een kopie van die data op hun laptop naar buiten kunnen wandelen. Die dan vervolgens gestolen kan worden.

Als je data beveiliging serieus neemt, zul je ůůk dergelijke gevallen moeten monitoren, en bijvoorbeeld zorgen dat in die situaties de bewuste laptop/datadrager het pand niet kan verlaten. En in ieder geval zorgen dat de data goed encrypted op die pc staat (als het al Łberhaupt nodig is dŠt die data ergens is waar ze in principe niet hoort te zijn).
Zeker maar de wereld is niet het afgelopen jaar gedigitaliseerd. Het lijkt we of de inbraak bij Sony het signaal is geweest om overal bedrijven te overvallen.

Eerst leek het erop dat hackersgroepen er achter zaten, maar dat geloof ik zo langzamerhand niet meer. Of er is een soort cyberoorlog tussen de landen uitgebroken, of de de Russische maffia heeft grootschalig geinvesteerd in cyberwarfare. Of de het is een plot van de Amerikaanse geheime diensten samen met de media industrie om zoveel onrust te veroorzaken dat de bevolking gaat instemmen met grote beperkingen op het internet. Maar ik zie de explosie van aanvallen niet als een natuurlijke groei. Elke week wordt er wel een grote inbraak gedaan, het gaat maar door.
Onzin. Dit soort inbraken, en lekken, zijn al jaren aan de gang. Het grote verschil is dat het steeds vaker de publiciteit behaald.
En de gevallen die de publiciteit halen worden steeds groter en groter. Het grote verschil is dat de gevallen steeds willekeuriger zijn van klein tot groot, van simpel tot zwaar beveiligd, niets of niemand blijft gespaard.
Op alle fronten gebeurt wel iets, kleine scriptkiddies tot zware crackers en blackhatters. Het haalt de publiciteit steeds vaker omdat het een actualiteit is waar we steeds meer tegen moeten doen, maar tegelijkertijd steeds minder tegen kunnen doen... het lijkt steeds makkelijker om digitaal in te breken, en er zijn meer hackers, crackers en scriptkiddies.
En de kennis die je nodig hebt is en/of makkelijker te krijgen en/of relatief eenvoudig te begrijpen. Straks is inbreken in een computer bijna net zo gewoontjes als een fysieke inbraak in een woning of zoiets. Alleen wat er te halen valt is misschien meer en makkelijker.
Wie daar achter zitten? Concurrenten of reclamebureaus die voor andere partijen beter potentiŽle klanten kunnen benaderen voor de verkoop van medicijnen of behandelingen.

Op hoeveel pc's staan mijn onversleutelde gegevens in Nederland? Daarom ben ik tegen EPD's. En verregaande digitalisering in de zorg. Als dat papieren dossiers waren geweest, wel nu...dan hadden de dieven een vrachtwagen nodig gehad en niet een pc onder een arm.
Hoe kan het nu weer gebeuren dat dit soort gegevens gestolen kunnen worden?
In deze hedendaagse wereld waarin we al steeds minder privacy hebben, vind ik het een zeer kwalijke zaak dat zelfs overheden niet meer in staat zijn om onze privacy te kunnen garanderen. Ik vraag me soms nog af of we niet terug moeten gaan naar de oude tijd waarin we alles nog op papier hebben.....
Zorginstellingen in Amerika zijn commercieele instellingen en behoren niet tot de overheden. Overigens in NL heeft de politiek die stomme fout ook gemaakt ondanks alle onderzoeken vanuit de states. Nu onze zorg ook geprivatiseerd is, is het slechts wachten op onbetaalbare slechte zorg.
Ik vind het schandalig dat ze dit sowieso onversleuteld opgeslagen hadden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True