'Medische dossiers van ziekenhuis waren toegankelijk via internet'

Een slecht beveiligde server in een datacenter zou tientallen medische dossiers en honderdduizenden patiëntgegevens hebben bevat van het Groene Hart Ziekenhuis uit Gouda. De gevoelige gegevens zouden teruggaan tot mei 2008.

Dat meldt Nu.nl die werd getipt door een hacker. Het zou gaan om een publiek toegankelijke server bij een hostingprovider. De server wisselde data uit via onversleutelde ftp-verbindingen en was met een zwak wachtwoord beveiligd. Op de server zouden tientallen medische dossiers zijn te vinden van het in Gouda gevestigde Groene Hart Ziekenhuis. In de dossiers waren onder andere behandelplannen, recepten en diagnoses te vinden.

Naast de medische dossiers zouden er van meer dan 493.000 personen gegevens in een patiëntenbestand zijn opgenomen, waaronder burgerservicenummers en naw-gegevens. De data zou sinds mei 2008 op de server staan. Vermoedelijk zijn de documenten op de slecht beveiligde server geplaatst door een bedrijf dat papieren dossiers helpt te digitaliseren. Verder werden door de hacker kant-en-klare installatieversies van kantoorsoftware aangetroffen, wat er op kan duiden dat de server ook ingezet werd voor het inrichten van werkplekken.

Het Groene Hart Ziekenhuis stelt in een reactie dat 'het onacceptabel is dat deze situatie heeft bestaan' en heeft inmiddels de server en de bijbehorende verbindingen vanuit het ziekenhuisnetwerk afgesloten. Het ziekenhuis gaat samen met het Nationaal Cyber Security Center en beveiligingsbedrijf Fox IT de beveiliging verbeteren. Overigens werd hetzelfde ziekenhuis in 2011 al door de Inspectie voor de Volksgezondheid berispt omdat de it-beveiliging onvoldoende zou zijn.

IT-banen

Reacties (100)

hott 8 oktober 2012 03:26

De inhoud van bovenstaand bericht is niet helemaal correct:

Nadat het GHZ 2010 door het IGZ (inspectie voor de gezondheidzorg) de tijd heeft gekregen om een aantal verbeteringen in hun informatiebeveiliging door te voeren, zijn ze in oktober 2011 nog met positief resultaat door het IGZ geaudit.

Fox IT heeft ook toen al een inbraaktest uitgevoerd. Deze externe inbraakpoging is destijds niet gelukt.

Update: ondertussen heeft de RvB een statement op de ghz.nl gezet waarin dit bevesigd wordt:
http://www.ghz.nl/over-gh...-van-de-raad-van-bestuur/

[Reactie gewijzigd door hott op 3 augustus 2024 07:10]

SunnieNL

@hott • 8 oktober 2012 07:32

Blijkbaar zijn ze vergeten te controleren welk verkeer er naar buiten ging en of die goed beveiligd was. Deze server stond niet intern.

eNaSnI 7 oktober 2012 16:27

Ach ja, als er geen EPD is, dan maken de ziekenhuizen er zelf wel een potje van (cq. de onderaannemers)

Huismus @eNaSnI • 7 oktober 2012 16:33

Dit is precies de reden waarom er zoveel mensen tegen het EPD waren.

Erg jammer, want zoiets als dit zal het de invoering van het EPD of een dergelijk project weer jaren vertragen omdat mensen er gewoon nog niet "klaar" voor zijn.

Goed van de hacker dat hij er geen misbruik van gemaakt heeft! Ik ben ook blij dat ze niet besloten hebben hem aan te klagen

scsirob @Huismus • 7 oktober 2012 20:56

Nee, het EPD is om een heel andere reden controversieel. Er is geen goede waarborg tegen het doorspitten van jouw en mijn medische gegevens door marktpartijen.

Alle medische gegevens van alle Nederlanders in een centraal systeem is een goudmijn voor verzekeraars en farmaceutische bedrijven. Je kunt er op wachten dat er een excuus verzonnen wordt waardoor die partijen ook toegang krijgen. Eerst beperkt, daarna steeds meer.

Uiteindelijk draait het er op uit dat je geweigerd wordt voor verzekeringen, vanwege je eigen voorgeschiedenis, of vanwege externe gegevens. Stel, je zus en je moeder hebben allebei een vorm van kanker gehad. Verzekeraar vind daarmee jou en je kinderen een te groot risico, en je wordt geweigerd, of je betaalt de hoofdprijs.

David Mulder @scsirob • 8 oktober 2012 00:05

Dat was alleen niet de reden dat het werd afgeschoten door de overheid, want er zijn zat systemen en databases opgezet die potentieel te misbruiken vallen (en sommige die ook misbruikt worden als je het mij vraagt (door politie)), maar dat (initieel) niet wettelijk mag (mocht).

Maja, op het vlak van veiligheid: het punt met het EPD was/is ook dat stel er word toch een fout gemaakt, dan liggen er nu honderdduizenden dossiers op straat, en anders eventjes 17 miljoen. True, het is dus een klein beetje security through obscurity, maar het argument blijft wel valide.

Hoe dan ook, het is alweer een tijdje geleden, maar orgineel wou ik medische informatiekunde studeren en droomde ik van een decentraal EPD systeem, waar Jan en alleman theoretisch z'n eigen servertje zou kunnen hosten met medische gegevens (en de regering zou de open source software ervoor onderhouden (plus financiele prijzen indien je lekken d'r in vind)). Ziekenhuizen zouden standaard alleen nadat jij toestemming geeft die gegevens kunnen inzien (of via een alarm procedure (e.g. na een verkeers ongeluk) waarop flinke boetes staan indien die misbruikt zou worden... dat zou dus wel centraal moeten worden gecoordineerd (wie de procedure kan activeren) maar dat zou een relatief simpeler systeem zijn, dus een relatief kleinere kans dat het open valt (of alternatief een systeem waar je 2 van 5 contacten het ook kunnen goedkeuren)). Het enige nadeel is dat je je eigen dossier zou kunnen aanpassen, maar op zich is dat je goed recht. Word je d'r op betrapt dat je er fraude mee pleegt, dan zou je verzekerings maatschappij je gewoon kunnen aanklagen voor de gelede schade enzo.

regmaster @scsirob • 8 oktober 2012 07:31

Dat is de glijdende schaal die voorkomen moet worden. Ik zie het met gegevens vanuit gemeenten ook al gebeuren. Partijen krijgen, veelal vanuit 'wetenschappelijk' onderzoek, toegang tot allerlei hooggevoelige informatie van burgers, veelal zonder dat de betrokken burgers hiervan op de hoogte worden gesteld. Bij kritiek wordt er aangegeven dat de partijen een geheimhoudingsverklaring hebben afgesloten. Dat is voor veel gemeenten de enige garantie dat derden de geleverde data niet zullen misbruiken. Maar het gebeurd natuurlijk allemaal wel. Zeker als het gaat om gegevens van uitkeringsgerechtigden en jeugd, lijkt alles toegestaan. Een database vanuit RMC wetgeving over het BMI van kinderen, aangevuld met medische gegevens van het kind, prestaties op school, sociale status ouders (werk/uitkering of eventuele detentie) etc etc. Het kan allemaal dus het gebeurd en zonder dat ouders ooit toestemming hebben gegeven.
Dat is het grote risico met databases met persoonsgegevens, zeker met bijzondere persoonsgegevens zoals o.a. medische gegevens. Soms moet je niet (centraal) willen digitaliseren als het blijkt dat beveiliging nooit echt goed dicht is te krijgen. Dan kun je nog beter het risico verspreiden door het decentraal te houden, als er dan een lek ontstaat ligt (hopelijk) niet de gehele database op straat. En als dat ook nog een te groot risico wordt gevonden dan moet je het gewoon bij papier houden, want daar is nog steeds niets mis mee.

Dreamvoid @Huismus • 7 oktober 2012 17:24

Dit is precies de reden waarom er zoveel mensen tegen het EPD waren.

Uh, nee - dit soort houtje-touwtje lokale database ellende was nou juist 1 van de dingen waar het EPD een einde aan zou moeten maken. Met het afschieten van het EPD heeft men er juist gekozen om alle databases en IT door elke arts en ziekenhuis afzonderlijk zelf te laten regelen.

[Reactie gewijzigd door Dreamvoid op 3 augustus 2024 07:10]

TDeK

Beveiliging

@Dreamvoid • 7 oktober 2012 20:38

Misschien een domme of naïeve vraag, maar waarom mag ik zelf mijn dossier niet beheren? Gewoon een map of een ordner die ik elke keer mee naar de behandelend arts neem en die gevuld word (papier) met mijn gegevens en waar ik verantwoordelijk voor ben? Op die manier hoef ik niet meer bang te zijn voor lekken door onkundige IT afdelingen, rouge emplyees of doorverkoop aan derden. Het komt ook mijn privacy ten goede.

[Reactie gewijzigd door TDeK op 3 augustus 2024 07:10]

SirBlade @TDeK • 7 oktober 2012 21:01

Gebrek aan backup, gebrek aan controle, fraude wordt te makkelijk.

Je zou bv allergie informatie uit het dossier kunnen halen en als de arts dan foute medicijnen voorschrijft doe je snel de info weer in het dossier en klaag je hem aan.
Of een moeder met munchausen by proxy kan op die manier haar misdaden verbergen.
Of een erfgenaam kan het dossier van zijn demente vader bewerken zodat deze sneller overleid.

Waar zo'n situatie uiteindelijk toe leid is dat een arts het dossier niet meer kan/zal vertrouwen, alle testen opnieuw doet (en een schaduw dossier aanlegt) waardoor de zorgkosten nog hoger gaan worden.

marrs @SirBlade • 8 oktober 2012 08:39

Je kunt in zo'n situatie wel degelijk onderscheid maken tussen het zelf bewaren van je dossier en het aanpassen daarvan:

Het bewaren zou je in zo'n situatie zelf mogen doen. Hierbij zeg ik niet dat dat daadwerkelijk veiliger zou zijn, maar in elk geval kun je alleen jezelf nog de schuld geven als je 't kwijt zou raken of zou delen met derden.

Het aanpassen kan nog steeds op een veilige manier gebeuren als je gebruikt maakt van digitale handtekeningen voor elke wijziging (waarbij uiteraard alleen artsen zo'n handtekening hebben).

polthemol Moderator General Chat @marrs • 8 oktober 2012 09:03

en wat lost het dan op ? Elke gebruiker moet het thuis opslaan, ik wil niet weten hoeveel medische dossiers dan verloren gaan.

Je kunt dan wel zeggen dat het eigen verantwoordelijkheid is: punt is dat een arts dan bij veel zaken alle testen opnieuw kan / moet gaan doen. We hebben het hier in nederland toch wel zo geregeld dat ze me moeten helpen, dus ze zijn ook verplicht om dan hun werk goed te doen, dus ook als ik mijn dossier kwijt zou raken dat ze ervoor zorgen dat er testgegevens zijn.

Niet uitvoerbaar, niet praktisch en erg duur kortom.

Bij de keuze tussen privacy en mijn gezondheid, ga ik kiezen voor gezondheid. Er zijn grenzen tot waar privacy waarde heeft voor me.

Verwijderd @Hyronymus • 7 oktober 2012 22:56

Wat een gedoe. Gewoon papieren dossiers. Dat heeft, och, wanneer zouden ze papier zijn gaan gebruiken? Laten we het afronden op 200 jaar maar ik weet niet wanneer men dossiers is gaan houden.
Papier is een fantastische technologie.

Kevinp @TDeK • 7 oktober 2012 21:06

Euh... en wat als je alegrische bent voor bv slaapvloeistof A. En je krijgt een zwaar ongeluk?

Je hebt natuurlijk gelijk, maar er zijn goede rede om dat nu net (zeker niet op papier) te willen.

Maar je zou bv wel een pasje met data, of de sleutel tot de data kunnen hebben. Die kan je in ieder geval altijd bij hebben.

polthemol Moderator General Chat @Kevinp • 8 oktober 2012 09:10

gezien bij een kennis die twee verschillende medicaties kreeg voorgeschreven. Gecombineerd ingenomen een serieus verhoogd risico op hartfalen. De man in de drogisterij wist neit dat ander middel ook verstrekt was *oeps*. (gelukkig zelf op tijd achtergekomen door die persoon, maar het geeft je te denken).

Verwijderd @Kevinp • 7 oktober 2012 22:16

NFC onder je huid en daar bij elk bezoek aan een medische instelling een update en alleen uit te lezen wanneer jij de pincode invoert.

Hyronymus @Verwijderd • 7 oktober 2012 22:31

Handig als ze je aan het reanimeren zijn!

ameesters @Verwijderd • 8 oktober 2012 08:44

en bij detectie van het ontbreken van een hartslag automatisch 112 bellen! en dan automatisch de PIN code op 4x nul instellen zodat hulpverleners het kunnen uitlezen!

Goed idee

Bor Coördinator Frontpage Admins / FP Powermod @Dreamvoid • 7 oktober 2012 18:06

Nee dat was het niet. Het epd is niet meer dan een soort schakelpunt / netwerk voor lokale EPD systemen.

Virtuozzo @Dreamvoid • 7 oktober 2012 18:38

Het EPD kan aan dit soort situaties geen einde maken, het is een kwestie van de kogel en het pantser. Daar is nooit een finale winnaar. Ongeacht wie wat doet.

Sommige zaken moet je gewoon niet digitaal willen hebben. Simpel.

Kurgan @Huismus • 7 oktober 2012 16:44

Nee, het is het EPD wat er nog niet klaar voor is. Zolang de beveiliging nog niet in orde is moet je het niet doen, punt. Dit is zo ongeveer de meest privacy-gevoelige informatie die er bestaat en daar moet zéér zorgvuldig mee om worden gegaan.

[Reactie gewijzigd door Kurgan op 3 augustus 2024 07:10]

qlum

@Kurgan • 8 oktober 2012 01:17

Nee, het is het EPD wat er nog niet klaar voor is. Zolang de beveiliging nog niet in orde is moet je het niet doen, punt. Dit is zo ongeveer de meest privacy-gevoelige informatie die er bestaat en daar moet zéér zorgvuldig mee om worden gegaan.

De zwakste plek in iets als het EPD zal waarschijnlijk toch de computer van de huisarts zijn of zoiets, als iemand daar op weet te komen met kwade bedoelingen en dit zal zeker gebeuren gezien het aantal mensen dat toegang gaat krijgen dan zal er altijd wat fout kunnen gaan ongeacht de beveiliging van het systeem zelf.

Overigens denk ik dat zelfs al gaat er soms iets fout met het epd dan nog is het de moeite waard omdat in de huidige situatie er nog al vaak iets fout gaat door gebrekkige informatie. Het zal levens redden. Persoonlijk vind ik dat de niet te voorkomende hacks wel waard.

Maar goed met een opt-out of zelfs een opt-in zal dit toch gewoon aan de persoon zelf liggen.

Nas T @Kurgan • 7 oktober 2012 18:38

Dit is zo ongeveer de meest privacy-gevoelige informatie die er bestaat en daar moet zéér zorgvuldig mee om worden gegaan.

Zou jij in het verband van politie-onderzoek nu DNA willen afstaan?

Kevinp @Nas T • 7 oktober 2012 21:04

Ik zou DNA slechts op een aantal op papier staande voorwaardes willen afstaan.

1. er wordt niks bewaard dus: DNA kevinp is onschuldig. Al het andere moet vernietigd worden.
2. Als er niet aan 1 wordt voldaan mag het nooit gebruikt worden voor andere zaken.
3. mocht mijn DNA uitlekken wil ik 10 miljoen + inflatie hebben.

Pas als ze dat op papier zetten en ondertekenen door iemand die dat mag (ik zou zeggen de Minister president) dan pas sta ik DNA af.

Er is geen goede rede om de overheid te vertrouwen met digitale gegevens (of semi overheid)

helaas, want het EPD is gewoon een goed idee. Een idee wat mensenlevens kan redden.

polthemol Moderator General Chat @Kevinp • 8 oktober 2012 08:14

je bent zelf 24/7 bezig je dna uit te lekken

Het epd zou misschien een verbetering zijn voor de beveiliging. Als je ziet dat er per ziekenhuis nu maar wat gedaan wordt ... Met een EPD kun je 1 beleid afdwingen (ziekenhuizen als afnemers bv. of je maakt er een soort dumb terminal systeem bij dat beheert wordt door het epd-team ipv. de ziekenhuizen zelf, noem maar op).

In ieder geval serieus zwak dit van die toko. Zo ga je niet met gegevens om. Idem voor het bedrijf trouwens die blijkbaar dossiers aan het digitaliseren was.

Standeman @polthemol • 8 oktober 2012 08:34

Je bedoelt zeker dat dan bij een hack *alle* gegevens van iedereen worden gelekt in plaats van slechts 1 ziekenhuis?

polthemol Moderator General Chat @Standeman • 8 oktober 2012 08:52

het nadeel van gedecentraliseerd beleid is dat iedereen maar iets doet. Ziekenhuizen moeten zich in feite bezig houden met ziekenhuis zaken, niet met een eigen itbeleid ten opzichte van patientendossiers. Daarbij: er is al zoveel gelekt dat het vrij evident is dat het huidige systeem niet werkt.

Je kunt voor elke beveiliging wel gaan aanvoeren "het is niet 100% beveiligd", maar dat is een argument waarmee je elk informatiesysteem meteen kunt afschaffen (zelfs de papieren dossiers).

Feit is dat 100 verschillende manieren van iets beveiligen, ook 100 keer meer kansen op lekker oplevert, alleen al omdat er geen overzicht is, om dan nog maar te zwijgen over het punt dat al die 100 partijen iets moeten gaan uitvinden om met elkaar te kunnen communiceren. Niet erg efficient en potentieel zelfs erg gevaarlijk als je het over geneeskunde hebt en zieke mensen.

Lothlórien @Nas T • 8 oktober 2012 21:05

Als de PVV een onderzoek wil naar geloof, ras en afkomst van individuen en daarbij belooft dat alleen ambtenaren van jouw huidige gemeente toegang hebben tot deze informatie. Zou jij deze enquête dan invullen?

PhilipsFan @Huismus • 7 oktober 2012 17:12

Wat voor project je er ook van maakt, hoe goed je de beveiliging ook regelt, zolang iets van budgetten afhankelijk is worden er altijd compromissen gesloten.

De realiteit is: sommige gegevens moet je gewoon niet digitaal willen hebben. Punt.

ebia @Huismus • 7 oktober 2012 22:46

Wie weet of andere kwaadwillenden deze server al niet lang en breed in mirror hebben staan elders.

Dat is het grote probleem met dit soort lekken. Er is vaak helemaal niet meer te achterhalen wie wanneer toegang heeft gehad en waartoe.

Het wordt tijd dat de organisaties die verantwoordelijk zijn (en dan dus niet alleen het ziekenhuis, maar vooral de ICT dienstverlener die dit heeft gedaan) op een Wall of Shame terecht komen, alsmede fikse boetes ontvangen en de top strafrechtelijk vervolgen.

Niet dat dat laatste kan, maar ze moesten er eens wetgeving van maken. Dan zul je ineens zien dat dit soort blunders vanjewelste een stuk minder vaak zullen voorkomen.

SunnieNL

@Huismus • 8 oktober 2012 07:25

Dat zou de reden moeten zijn dat het epd er wel komt. In groter verband en door de info in het epd wordt deze publiekelijk veel beter in de gaten gehouden waardoor de kans dat dit gebeurd veel kleiner is.

mpijnen @Huismus • 8 oktober 2012 08:02

Ik denk dat je twee dingen door elkaar aan het halen bent.

Met het EPD is helemaal niets mis, dit is namelijk het Elektronisch Patiënten Dossier. Dit zijn bijv. pakketten zoals ChipSoft, iSoft, Epic etc etc. Dit zijn pakketten die PER ziekenhuis worden gebruikt, en jou gegevens dus afgeschermd zijn.

Waar jij op doelt is het Landelijk EPD, oftewel 1 pakket voor alle ziekenhuizen., wat dus een stuk gevoeliger ligt.

Echter denk ik het de gegevens niet rechtstreeks uit het EPD zijn onttrokken, maar zijn verkregen via een export die op een FTP server was gezet. EPD's zijn over het algemeen zo beveiligd dat je hier echt niet zomaar inkomt, en zeker niet extern. In het artikel wordt er namelijk ook gesproken over de "een bedrijf dat papieren dossiers helpt te digitaliseren", en daar ligt dan ook het probleem.

Ik kan alleen maar zeggen dat het Ziekenhuis een slechte policy heeft, deze server had gewoon niet extern benaderbaar moeten zijn voor externe (wordt niet in het artikel vermeld, maar daar ga ik maar even vanuit). En zwakke wachtwoorden tja, valt nog mee dat ze het niet van een Post-IT of een USB stik hebben

massareal @eNaSnI • 7 oktober 2012 21:41

EPD is ook al lang van tafel, opvolger heet GPS

wica 7 oktober 2012 17:32

Sinds 2008!

Ik wil wel eens weten hoe ze de gedupeerde gaan vergoeden voor de huidige schaden en de toekomstige.

Je zou maar een bepaalde baan niet krijgen op de je aankomende werkgever een screening heeft laten uitvoeren, bij een bedrijf die deze bestanden in bezit heeft. Of het wel of niet mag, heb je op dat moment niets aan, en het des betreffende bedrijf gaat het echt niet vertellen.

Als straks een zorgverzekering geweigerd wordt, omdat de betreffende zorg verzekering, welke met deze data werkt, ondanks het niet mag?

Zo kan ik nog meer zaken bedenken, waar je in de toekomst last van zou kunnen krijgen, als deze gegevens op straat komen te liggen. Zoals het nu het geval is.

@SirBlade Idd, dat is vrij onmogelijk om te bewijzen. Ik stel dan ook voor, de bewijslast om te draaien. Laat een lekkende partij maar aantonen, dat het niet komt door hun lek.
En laten we eerlijk zijn, lek sinds 2008.. Is zeer verwijtbaar!

@Mr_gadget & Foamy
Klopt een zorg verzekering mag nu nog niet geweigerd worden.
Ik lees mijnbrief van het zilverkruis nog even terug ivm het overstappen.
"U kunt volgend jaar gewoon bij ons terug komen zonder medische keuring"

Met mij sterk de indruk geeft, dat er op een bepaald moment een premie zodanig verhoogd kan worden (ivm risico) dat die als nog niet betaald baar is. Of eigelijk dat je daar door niet bij die zorgverzekeraar terecht kan.

Maar we zullen een paar kabinetten VVD later wel kijken.

[Reactie gewijzigd door wica op 3 augustus 2024 07:10]

SirBlade @wica • 7 oktober 2012 17:39

Dan moeten gedupeerden eerst bewijzen daadwerkelijk schade geleden te hebben. En dat is practisch onmogelijk.

Foamy @wica • 7 oktober 2012 17:47

Als straks een zorgverzekering geweigerd wordt, omdat de betreffende zorg verzekering, welke met deze data werkt, ondanks het niet mag?

Een zorgverzekering mag niet geweigerd worden. Aanvullende verzekeringen is dan echter weer een ander verhaal.

Mr_gadget @wica • 7 oktober 2012 17:47

Een zorgverzekeraar mag je niet weigeren toch? Dat is wettelijk vastgelegd.
Maar ik vind dat ze dit gewoon strafbaar moeten maken, stevige boete waarvan een deel wordt afgetrokken van het dikke salaris van de bestuursvoorzitter. Dan zullen ze wel wat voorzichtiger worden en de boel laten auditen.

mystic101 @Mr_gadget • 7 oktober 2012 19:07

Een zorgverzekeraar mag je niet weigeren toch? Dat is wettelijk vastgelegd.

Ze mogen je inderdaad niet weigeren voor de basisverzekering maar wanneer ze weet hebben van een aandoening die valt onder een aanvullende verzekering dan kunnen ze het je knap lastig en duur maken om te kunnen toetreden tot de aanvullende verzekering.

Verwijderd @Mr_gadget • 7 oktober 2012 18:28

Een boete die je kunt aftrekken van het salaris van een bestuursvoorzitter lijkt me behoorlijk laag voor dit soort feiten...

Mr_gadget @Verwijderd • 7 oktober 2012 19:20

Hoezo? Veel bestuursvoorzitters verdienen gruwelijk veel geld (rond de 200.000 euro) en anders dan gaat de boete ten koste van de patiënten, die er helemaal niks aan kunnen doen..De boete moet natuurlijk niet zomaar gegeven worden, als blijkt dat een lagere IT'er opzettelijk iets stoms heeft gedaan dan niet. Maar als de manager met een goedkope beun automatiseerder in zee is gegaan zonder zelf de veiligheid te waarborgen dan wel

Rubén89 7 oktober 2012 16:34

Dit is ech te gek voor woorden, als het nu ging om inlog-gegevens van een of ander forum, maar we hebben het hier over patientendossiers, medische geheimen!

Hoe kan het in hemelsnaam zo zijn dat dit soort gegevens op een FTP-server te vinden zijn en met een zwak wachtwoord beveiligd zijn, daar denk je toch bij na!

Dit toont wat mij betreft nog maar eens aan dat de digitalisering veel te snel gaat, organisaties kunnen er klaarblijkelijk vaak niet goed mee omgaan.

Waarom komt er geen verplichte keuring van datasystemen althans de beveiliging hiervan, speciaal gericht op dit soort organisaties met een publieke functie.

[Reactie gewijzigd door Rubén89 op 3 augustus 2024 07:10]

Soldaatje @Rubén89 • 7 oktober 2012 16:42

Dit toont wat mij betreft nog maar eens aan dat de digitalisering veel te snel gaat, organisaties kunnen er klaarblijkelijk vaak niet goed mee omgaan.

Klopt, het gaat snel maar dat is nu al te laat.
Alles staat van iedereen wel ergens opgeslagen en de kans is groot dat er nog veel meer naar buiten zal lekken.
Het is niet dat we dom zijn met zijn allen, het is de prijs die we ervoor betalen.
Een omgekeerde loterij zeg maar.
Het is jammer maar niks aan te doen blijkbaar.
Dus ik zou zeggen: hou er rekening mee dat jouw gegevens morgen ook op straat liggen.

Uruk-Hai

@Rubén89 • 7 oktober 2012 20:31

Over beveiliging wordt meestal pas serieus nagedacht als het al te laat is.

Afgezien daarvan wordt het vaak bewust vermeden als blijkt dat bijvoorbeeld een goede oplossing ook een oplossing is die veel geld kost. Heel veel slechte beveiliging is te wijten aan bezuinigen op "niet direct noodzakelijke voorzieningen".

[Reactie gewijzigd door Uruk-Hai op 3 augustus 2024 07:10]

killingdjef 7 oktober 2012 16:53

Je verwacht het gewoon niet, heh?

En iedereen maar roepen dat mensen die tegen het EPD waren 'gekke alluhoedjes' zijn. Overheid/Semi-overheid i.c.m. ICT gaat gewoon altijd fout. De organisaties zijn te groot en er zitten te veel zwakke schakels in.

Misschien bij een opsplitsing van onderdelen dat het meer beheersbaar is... maar dan krijg je er wel een mooie goedbetaald managementslaag er bij.

Oorlam @killingdjef • 7 oktober 2012 17:47

Dit komt juist door de opsplitsing. Iedereen die er niet voor opgeleid is (lees: artsen, apothekers, ziekenhuisdirectie) moet nu ineens allerlei dingen zelf gaan bedenken. Als dat centraal wordt geregeld zal dat in ieder geval worden gedaan door mensen met iets meer kennis van zaken. Niet dat het dan per definitie veilig is, er zijn ook budgetten e.d., maar die zijn er bij eerder genoemde disciplines ook

MoiZie 7 oktober 2012 16:36

Bwahaha, ik weet nog dat ik 2 jaar geleden 1 van mijn co-schappen daar liep en de ICT daar op alle pc's de messenger service actief had gelaten en via die service dus ook daadwerkelijk berichten verspreidde naar alle users! Ik heb toen een hoop "net send * 'hoi'" getypt

Waarom verbaast dit me nou niets van dit ziekenhuis...

gbrugman 7 oktober 2012 18:25

Hoop dat het deze keer niet bij een berisping blijft, de verantwoordelijke IT directeur/manager ontslagen wordt en er een goede IT' er wordt die plaats wordt gezet.

Amanoo @gbrugman • 7 oktober 2012 20:19

Ik zou er een boete bij opgooien. Goed voor de crisis, goed als voorbeeld voor de volgende wanbeveiliger.

Cyberamp 7 oktober 2012 18:32

Zal me niet verbazen als mevrouw hacker iets persoonlijks tegen het ziekenhuis heeft... Dat mevrouw van Hackende Huisvrouwen nu uit edele voorwendselen het ziekenhuis heeft geprobeert binnen te komen. Dit ruikt niet fris als je het mij vraagt.

wiseger @Cyberamp • 7 oktober 2012 19:06

Wat de motieven van de hacker zijn geweest, doen er toch niet toe. Het ziekenhuis is zeer onzorgvuldig omgesprongen met de prive gegevens van haar patienten. BSN in combinatie met NAW gegevens kan zeer vervelend uitpakken, het maakt de patienten kwetsbaar voor identiteitsfraude.

Het is een raadsel waarom dergelijke gegevens onversleuteld op een FTP server staan die ook nogeens van buiten toegankelijk is. Hoe makkelijk wil je het potentiele criminelen maken?

cyclofosfamide 7 oktober 2012 20:01

De veiligheid van patiëntengegevens in het algemeen is mijns inzien ook zwaar onderschat. Als ik naar mijn eigen werkplek kijk: ik kan met een VPN verbinding het EPD in vanaf thuis. Hiervoor heb ik een kant-en-klaar pre-scripted VPN softwarepakket voor nodig... welke via de webmail te downloaden is! Het enige wat je dus nodig hebt is 1 van de pak-em-beet 2000 combinaties van naam/wachtwoord (7 tekens / wat-de-gebruiker-instelt tekens) en je kunt álle dossiers van het hele ziekenhuis bekijken. Het wachtwoord hoeft niet eens aan bepaalde eisen te voldoen, 123456 zou dus volstaan.

De login voor de webmail is dezelfde login als voor het EPD. I rest my case......

[Reactie gewijzigd door cyclofosfamide op 3 augustus 2024 07:10]

Rolfie

@cyclofosfamide • 8 oktober 2012 03:36

Dan loop je vaak alleen tegen account locks aan. One time password tokens, dus leuk bedacht, slecht in uitvoering..

Trommelrem @cyclofosfamide • 8 oktober 2012 06:14

Het zullen sommige zorgverzekeraars zijn die goud betalen zodat er bij het EPD geen strikt beveiligingsbeleid is. Zij hebben er namelijk zeer veel belang bij om toegang te krijgen tot het EPD. Zij betalen graag de boetes tot enkele triljoenen euro's, als ze die gegevens maar krijgen.

World Citizen 8 oktober 2012 02:57

Ik kan jullie allen met een gerust hart mededelen dat die server nog niet eens belangrijk is..

Toevallig mocht ik aanraking komen met een Ziekenhuis systeem, en geloof me, hoe banaal het ook klinkt... Je lacht je ballen uit je broek.

Het duurde mij geen 5 min voordat ik alle gegevens die niet standaard toegankelijk waren naar voren had gehaald door simpel een koppeling naar wat netwerkschijven te maken... Ik heb gevraagd aan een medewerker waarom ik toegang had tot die gegevens en alles werd stil gelegd... Het zou opgelost zijn, maar weken daarna nog steeds hetzelfde, en nog wat andere lekken.

ALS je toegang kunt krijgen tot het netwerk of een station heb je vrijwel alles ter beschikking als je gewoon weet hoe windows werkt.

Dit was een jaar of 4 geleden.

Ow en LogMeIn was gewoon installeerdbaar... Dus 1 keer op locatie is genoeg.

[Reactie gewijzigd door World Citizen op 3 augustus 2024 07:10]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (100)

Sorteer op:

Weergave: