Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties

Het aanvragen van herhaalrecepten via internet gebeurt vaak onveilig, blijkt uit een steekproef van het College bescherming persoonsgegevens. Er moet een https-verbinding worden gebruikt, maar dat gebeurt lang niet altijd.

HttpsIn 28 procent van de onderzochte websites waar herhaalrecepten konden worden aangevraagd, werd geen https-verbinding gebruikt, blijkt uit de steekproef van het CBP. Het college onderzocht in totaal 150 websites van apothekers en huisartsen; in 43 gevallen was de vereiste https-verbinding afwezig. Omdat voor medische gegevens strenge eisen aan de beveiliging gelden, overtreden de apothekers en huisartsen zonder https-verbinding de Wet bescherming persoonsgegevens.

De overtreders krijgen vooralsnog geen boete opgelegd. "We hopen dat de uitkomsten van dit onderzoek als een wake up call werken", zegt Merel Eilander van het CBP tegenover Tweakers. "We gaan ervan uit dat dit een breder probleem is." In het najaar houdt het CBP opnieuw een steekproef. "Is het dan nog steeds niet goed, dan gaan we nader onderzoek instellen", aldus Eilander. Overtreders kunnen dan wel een boete opgelegd krijgen. Branchevereniging KNMP, die de belangen van apothekers behartigt, heeft zijn leden opgeroepen om de beveiliging snel te verbeteren.

Moderatie-faq Wijzig weergave

Reacties (36)

Gezien bovenstaande discussies wil ik wel de stelling aan dat:

Niet boetes, maar juist een serieus overheidsorgaan met dwangsommen de oplossing zijn.

Boetes zijn achteraf, dan ligt je data al op straat. Eventueel werken ze afschrikwekkend, maar dan moet die boete wel erg hoog zijn.

Juist een last onder dwangsom (iedere dag dat het voortduurt een bedrag) werkt beter als prikkel om het probleem te repareren, voordat klantdata op straat ligt.

Dat vereist dan wel dat er serieus werk wordt gemaakt, door bijv. CBP en Govcert van het opsporen van kritische lekken. Wie weet maken ze gewoon wel een standaardlijst met best practices en verdedigen ze te vuur en te zwaard het recht om automatisch last onder dwangsommen uit te brengen bij overtredingen op de zwarte lijst. Geef ook 20% van de geïnde dwangsom aan de white hat hacker die de overtreding aanmeldt en de meldingen stromen binnen.

Dan pas ben je als overheid pro-actief bezig om de burger ook op de digitale snelweg te beveiligen. Andere sectoren: de brandweer brengt preventieadvies uit rond brand, de politie brengt preventieadvies uit rond inbraken en vakanties. Dat moeten CBP en Govcert ook doen, met een pro-actieve stok (dus: last onder dwangsom) op de achtergrond.

[Reactie gewijzigd door paknaald op 11 juli 2013 12:14]

De overtreders krijgen vooralsnog geen boete opgelegd. "We hopen dat de uitkomsten van dit onderzoek als een wake up call werken", zegt Merel Eilander van het CBP tegenover Tweakers. "We gaan ervan uit dat dit een breder probleem is." In het najaar houdt het CBP opnieuw een steekproef. "Is het dan nog steeds niet goed, dan gaan we nader onderzoek instellen", aldus Eilander.
Er wordt onderzoek gedaan waarin er ernstige fouten worden geconstateerd in de beveiliging. Daarmee wordt de wet overtreden omdat patienten dossiers niet goed zijn beveiligd.
Dan denk ik, deel boetes uit. Iedereen die een bedrijf runt, dus ook apothekers, behoren te weten waaraan ze moeten voldoen. Maar nee, we gaan over een half jaar nog een keer een onderzoek instellen. Constateren we dan weer fouten dan delen we nog geen boetes uit maar dan gaan we nog een keer onderzoeken.

Wat is dat nou voor slap gedoe? Waarom zou ik het CBP als bedrijf nog serieus nemen als ze niets meer doen dan onderzoekjes instellen. Het is niet dat er alleen een e-mail adresje op straat ligt maar complete dossiers zijn niet beveiligd. Dan deel je toch boetes uit! Als ik 4 km/h te hard rijdt krijg ik ook een boete i.p.v. een waarschuwing.
Gingen er maar boetes opgelegd worden, het is gewoon noodzaak om te onderkennen dat informatiebeveiliging erg belangrijk is. Het gaat bij herhaalrecepten niet alleen om nieuwe acne creme ofzo, maar ook zware en dure medicatieaanvragen gaan over die lijn. Dit kan dus zeer fraudegevoelig zijn. Zo, waar het niet al gebeurd.

Identiteitsfraude/diefstal
chantage
drugsfraude
veiligheid van gezondheid
economische schade
prive informatie op straat
etc..

Ik heb in heel veel ziekenhuizen als consultant gewerkt en tot op de dag van vandaag zijn kritieke lekken niet gedicht. Er zwerft ook een bericht rond dat je vrij gemakkelijk op kritische medische apparatuur kan inloggen, omdat daar ook geen goed secu-systeem op zit (hartbewaking, pacemakers, bijv.)

Nou ben ik zelf medische appbouwer en ik gebruik wel degelijk minimaal https voor communicatie tussen servers and client. Echt jammer, want ik geef ook trainingen over infobeveliging aan huisartsen, maar loopt niet storm, waarom niet? De interesse is er wel, maar er is geen noodzaak. De wet verplicht het niet en er is geen boete voor. Tja, waarom zou je dan?
Ik merk dat het daardoor ook vaak terugvalt op gemakzucht. Inderdaad wel interesse, maar vaak weinig technische kennis. Zeker huisartsen die geen deel uitmaken van een coöperatie oid en wel een website hebben.
Bij apotheken, die vaker wel deel uitmaken van een coöperatie zie je gelukkig wel steeds meer dat dit soort zaken ook goed geregeld worden.

Wat ik me overigens afvraag is of huisartsen voor louter informatieve sites ook verplicht zijn https verbindingen te gebruiken?
Nee, er zijn een aantal wetten/richtlijnen waar artsen aan "moeten" voldoen, WBP, GBZ (Goed Beheerd Zorgsysteem) en de NEN7510.

Er zit veel overlap in die richtlijnen/wetten, maar waar het op neerkomt is dat je bijv. niet zomaar un/pw's gaat overgeven aan anderen, netjes overal je info opslaat. Info mag niet herleidbaar zijn naar een individu. Hele basic en logische dingen, maar het feit dat echt onwijs veel artsen en medische instellingen dit bij lange na niet nastreven, geeft wel aan hoe ver de industrie is en vooral ook de sleutelgebruikers.

Ik heb artsen gezien die hele epd's als kopie aan hun usbsleutelhanger hebben hangen, compleet met foto's en naw gegevens. Hele dossiers dus. Lekker veilig dan. En sterker nog, ze zijn wel eens die sticks krijg geraakt, alles non-encrypted enzo.
Bedankt voor de verheldering. :)

Ja ik heb het zelf ook een aantal malen meegemaakt, bij artsen, laboranten, etc. De meesten zijn zich niet bewust van de gevolgen, bij het op een mobiele datadrager zetten van dit soort info. Je doet er (als systeembeheerder bijvoorbeeld) ook weinig aan helaas. Soms kan je het de eindgebruiker ook niet kwalijk nemen, zeker in technisch opzicht.

Er wordt imho in het algemeen nog te weinig gedaan aan het bewust maken van gebruikers van IT systemen. Niet alleen in de medische wereld, maar wel vooral. Worden oio's en aio's tegenwoordig geschoold in basale informatica vakken bijvoorbeel? Of IT filosofie?
Het CBP zou er goed aan doen om een programma BLOK aan te leveren, landelijk aan alle betrokkenen, waarin alle vereisten (patientengegevens) beschermd worden en automatisch ge-update kunnen worden. Dit programma BLOK moet verplicht geïmplementeerd worden in de verschillende websites of wat dan ook. Er wordt miljoenen keren het wiel uitgevonden.
Je kan geen gebouw in gebruik nemen zonder dat de brandweer eerst een kijkje gaat nemen. Is het niet goed dan heb je pech. Kun je het probleem niet oplossen dan mag je gebouw gewoon niet open.
Als je voedsel wil verkopen krijg je onmiddelijk te doen met de keuringsdienst van waren. Voldoe je niet aan de eisen dat wordt je bedrijf onmiddelijk gesloten.
Voor je met je auto de weg op mag moet je een APK-keuring laten doen. Is je auto niet veilig dan mag je de garage niet meer uitrijden.
Zodra je met een collectebus de straat op wil dan heb je een vergunning nodig.
Wanneer je een radio-zender wil gebruiken moet je een examen doen.

Kunnen we dat principe nu ook een keer loslaten op websites?
Heeft het CBP ooit voor een internet-security gerelateerde zaak een boete of last over dwangsom gegeven? Niet in mijn beleving: papieren tijger dus. Geen HTTPS? Toch onbestaanbaar, wat voor mensen bouwen dat?

Misschien een beetje kort door de bocht, maar echt niet als flame bedoelt. Zie ook als regelmatig thema op blog Arnout Engelfriet. Er is gewoon geen adequaat toezicht & beleid (dus met sancties voor in redelijkerwijs debiele acties). Voor grote datalekken bestaat geen meldplicht noch boetes. Wat moet je nu als Nederlander? Door de fysieke voordeur lopen is verboden, maar de technologische voordeur staat wagenwijd open voor iedere inbreker. Recepten? Patiëntendossier? Op straat is echt verschrikkelijk.

[Reactie gewijzigd door paknaald op 11 juli 2013 11:07]

Heeft het CBP ooit voor een internet-security gerelateerde zaak een boete of last over dwangsom gegeven? Niet in mijn beleving: papieren tijger dus.
Ze hebben niet eens de bevoegdheid om in dat soort gevallen een boete op te leggen. Wel ligt er nu een wetsvoorstel dat hen die bevoegheid zou moeten geven (zie dit aritkel).

Dat kan je CBP dus niet echt kwalijk nemen, eerder de politiek, die hen de juiste mogelijkheden nog niet gegeven heeft.
Boetes is achteraf, last onder dwangsom gedurende de overtreding. Maar beide middelen worden rond IT nauwelijks gebruikt.

Last onder dwangsom vereist pro-actief beleid. Daar reaguur ik (ook) tegen. Ze snappen het bij het CBP niet, maar tuigen ook geen beleidsmachine met kennisondersteuning op: daarom kunnen ze ook niet pro-actief signaleren.
Een last onder dwangsom is juist een goed middel tegen dit soort inbreuken: het vindt immers nog steeds plaats.

Verder heb je gelijk: het CBP is echt wel een club met kennis van zaken, alleen ze hebben niet erg veel bevoegdheden, en bovendien zijn ze zwaar onderbezet. Blame de politiek inderdaad, die er simpelweg geen middelen voor vrij maakt / wil maken.
wat voor mensen bouwen dat?
Mensen die niet weten waar ze op moeten letten en die niet beseffen dat ze dat niet weten.

Niemand zal op het idee komen om zelf even op een middagje een snelweg-viaduct in elkaar te klussen; daarvan snapt iedereen wel dat je dat aan specialisten over moet laten (en als iemand het toch probeert, dat stort binnen de kortste keren in en dan zijn ze ook van die illusie genezen).

Maar het barst van de FrontPage- en DreamWeaver-achtige programma's die je het idee geven dat zo'n beetje iedereen die een computer aan kan zetten ook een website kan bouwen. En het probleem is, zo'n site lijkt op het eerste gezicht nog best prima te werken ook (hij "stort niet in" als het ware), dus dan denkt de bouwer dat het goed is. Pas als iemand die echt verstand van zaken heeft er eens naar gaat kijken blijkt dat het ding aan alle kanten lek is... maar dan moet dat wel eerst gebeuren en dat is precies wat het CBP nu gedaan heeft!

Ja okee, het is een schande dat het gebeurd is, maar als je met boetes gaat slingeren dan moet je alle brakke sites één voor één zoeken (waarna er nog minder geld overblijft voor een "betere" versie... dikke kans dat die weer lek is). Juist door de "wake-up call"-aanpak kun je, hopelijk, echt een verbetering realiseren.
Ik denk eerder dat er alleen naar de prijs gekeken wordt. Bouwer B doet het voor ¤ 1000,- minder dan bouwer A, dus krijgt B de opdracht. Er wordt zelden gekeken naar de implementatie en er zijn genoeg cowboys die werk snel afraffelen en er met het geld vandoor gaan. Goedkoop is duurkoop dus.
wat voor mensen bouwen dat?

Mensen die niet weten waar ze op moeten letten en die niet beseffen dat ze dat niet weten.



Dat begint al bij de opdracht; daar staat niets in over beveiliging, dus krijg je die ook niet, want dan kan het goedkoper...
Dus mischien weet de bouwer het zelfs wel, maar er is niet om gevraagd, en is het dus te duur om het er wel in te stoppen...

m.a.w. wat is de standdaard waar opdrachtgevers op terug kunnen vallen?
Maak die via/voor iedere beroeps organisatie bekent, neem ze dus op in opdrachten, en we zijn een stuk verder.
Het CBP deelt wel degelijk boetes uit, maar is er natuurlijk vooral om misstanden op te sporen en ervoor te zorgen dat dit wordt opgelost. Ook is de overheid bezig om het niet melden van datalekken strafbaar te maken.

Ik ben het met je eens dat het ontbreken van een HTTPS verbinding op zn minst slordig is. Maar je wilt niet weten hoe vaak er "stagaires" aan software programmeren die niet weten waar ze mee bezig zijn, of vanuit hogerhand wordt opgelegd dat het niet teveel mag kosten. Releasedates zijn tegenwoordig belangrijker dan security en het "bug free" maken van de software.
of vanuit hogerhand wordt opgelegd dat het niet teveel mag kosten.
Ik zou het danook een goede zaak vinden als het ontbreken van de meest elementaire beveiliging of bijvoorbeeld het willens en wetens niet updaten van software ook strafbaar zou zijn. Wat mij betreft mag daarbij zowel de opdrachtgever van de software als de softwaremaker zelf verantwoordelijk zijn. Op die manier zullen softwaremakers eerder zeggen; "geld besparen prima, maar niet op de veiligheid.". Ik vind dat er hierbij ook een verantwoordelijkheid ligt bij de softwarebouwers om de klant te informeren dat wat ze willen simpelweg niet kan, en zelfs tegen de wet is.
De meldplicht zou al een hoop oplossen, het CBP kan er dan bovenop springen en eventueel boetes opleggen als het om grove nalatigheid gaat.
Releasedates zijn tegenwoordig belangrijker dan security en het "bug free" maken van de software.
"If you haven't got the time to do it right, when will you find the time to do it over?"
Tja, de eindklant betaald uiteindelijk je boterham. Soms is het een keus tussen matig werk afleveren of de opdracht gewoon niet krijgen. Zeker in deze tijd zie ik regelmatig opdrachten aangenomen worden bij software bouwers waarvan je al op voorhand kan zeggen dat het heel erg krap geoffreerd is. Dan gaan mensen natuurlijk de kantjes ervanaf lopen om uiteindelijk er zelf ook niet teveel bij in te schieten. Je zou dan de opdracht eigenlijk niet moeten aannemen, maar in de huidige tijd en het economische klimaat is dat ook geen echte optie.
Zelfs als het haast heeft is er een simpele oplossing: De gehele website in HTTPS en elke http call redirecten naar HTTPS. Simpel, snel en effectief. Een betere methode is om pas (tijdelijk) naar HTTPS te gaan bij een inlog of een bestelling, maar dat kun je altijd nog later implementeren.

Als je in een auto te hard rijd krijg je ook niet eerst een waarschuwing. Als je als apotheker je op het internet begeeft, moet je je houden aan de wettelijke regels en indien je in gebreke blijft dient er gewoon direct een boete te volgen + dwangsom als het euvel niet binnen x weken is verholpen..

Wel moet je als bedrijf een privacy audit kunnen aanvragen bij het CBP waarop geen boete volgt indien iets niet correct is. Uiteraard moet het CPB na een bepaalde tijd controleren of de problemen verholpen zijn en anders alsnog overgaat tot het uitdelen van een boete.
Heeft het CBP ooit voor een internet-security gerelateerde zaak een boete of last over dwangsom gegeven?
Dat is precies wat ik mij ook afvraag. Er lijkt een continue stroom van nieuwtjes waarbij partijen verschrikkelijk slecht met IT/privacy omgaan, en er dan altijd een "niet meer doen jongens.." uit komt. Hierdoor is er geen enkele reden om pro-actief op zoek te gaan naar gaten in je eigen systeem. Immers, als je gepakt wordt (wat volgens mij nog weinig gebeurt) dan krijg je een vingertje, en als je niet gepakt wordt is het gewoon simpel Euro's besparen.

De nieuwe wetgeving waar wildhagen het hierboven over heeft zou ik absoluut voorstaan. Laat het CPB maar eens gewoon boetes uitdelen. Dan zullen partijen eens gaan nadenken over hoe zij werkelijk met vertrouwelijke gegevens omgaan.
wat voor mensen bouwen dat?
Ik ben lang geleden eens achter een matig beveiligde patientaanmeldingspagina aan gegaan (http://gathering.tweakers.net/forum/list_messages/1274416), en die was gemaakt door niet ICT-ers, die het nogal onsystematisch aaanpakten (nu ben ik ook geen ict-er maar goed...). vMen was ook totaal niet op de hoogte van mogelijkheden (en belang of eisen) voor beveiliging. Dat is lang geleden, en ik vermoed dat dergelijke zaken tegenwoordig iets minder voorkomen en professioneler worden aangepakt, maar dat simpele zaken zoals ontbrekende ssl-verbindingen nog in die mate bestaan is bepaald geen goed teken.

Ook voor e-mail-communicatie is weinig aandacht, S/MIME of OpenPGP worden toch vrijwel nooit gebruikt, terwijl toch zeker incidenteel wel eens patientgegevens per e-mail worden uitgewisseld.
Het is jammer dat het niet mogelijk is encryptie toe te passen zonder certificaat, dan zou iedere website standaard encrypted kunnen zijn. Authenticatie is niet altijd super belangrijk maar altijd encryptie toepassen zou het internet iets veiliger maken. Technisch is er geen reden dat het niet kan.

[Reactie gewijzigd door (id)init op 11 juli 2013 13:21]

Als je encryptie gebruikt dan is authenticatie essentieel. Zonder authenticatie weet je niet met wie of wat je een beveiligde verbinding hebt en kunnen de machines ook niet met elkaar afspreken welke sleutel ze gebruiken. Het is natuurlijk niet alleen belangrijk dat de verbinding versleuteld is, maar ook dat de sleutel geheim is. Anders kun je het net zo goed niet versleutelen.
Server stuurt public key naar de browser, browser maakt een random key en encrypt deze met de ontvangen public key en stuurt de encrypted random key naar de server. Alle verkeer kan nu versleuteld worden met de random key die de browser heeft gemaakt.

MITM is mogelijk maar een kwaadwillende moet wel extra moeite doen.
Voor 10 euro heb je een SSL certificaat. Volgens mij hoeft dat geen belemmering te zijn om een verbinding te beveiligen.
Huh, kan je dat even uitleggen hoe je HTTP verkeer zou kunnen encrypten (op een zinvolle manier) zonder gebruik te maken van certificaten met een public/private key oplossing?
Lichtelijk off topic, maar zijn er firewalls die bekende plaintext protocollen blokkeren, danwel alleen ssl/https/ssh/etc. toestaan? En dan het liefst op eenvoudig aan te schaffen routers.

Gewoon dat je die ergens tussen je verkeer kan pluggen, de schakelaar op 'alleen veilig' zetten, en dan kijken wat er niet meer werkt.
http komt binnen op tcp poort 80 en https op tcp poort 443. Je kan dus vrij eenvoudig alle inkomende http requests naar je server blokeren met elke huis tuin en keuken firewall.

(Ook amusant dat als je op https://tweakers.net zit en je een bericht post, dat je post gewoon met http verzonden wordt)
Although this page is encrypted, the information you have entered is to be sent over an unencrypted connection and could easily be read by a third party.

Are you sure you want to continue sending this information?

[Reactie gewijzigd door mie9iel op 11 juli 2013 13:14]

Ik gok dat dat komt omdat javascript je berichtje niet via https verstuurd, want anders kun je niet echt een fancy submitje maken.
Ik heb dit in de afgelopen jaren al diverse keren aangekaart bij mijn apotheek en er ook al eens een mail aan de webdesigner aan gewaagd. Ontwijkende antwoorden en desinteresse waren de reakties.

Triest dat er weer overheidsbemoeienis aan te pas moet komen om dit op orde te brengen.
dit soort overtredingen van medische/privacy wetgeving ook daadwerkelijk zo benoemen en bij de instanties aanmelden.

En stemmen met de voeten en portomonnee; andere apotheek.
O, en ook laten weten aan die apotheek.

Mischien ook een scherpe ingezonden brief in het lokale week/maandblad?
En ook als er een HTTPS-verbinding tussen client en server opgezet is kan het natuurlijk aan de achterkant van het systeem gewoon via een onbeveiligde e-mail naar de huisartsenpost gemaild worden. Als bezoeker van de site weet je dat niet en moet je er maar op vertrouwen dat er goed met je gegevens omgegaan wordt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True