Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 70 reacties

Bij de Nederlandse Zorgautoriteit waren jarenlang privacygevoelige gegevens op een netwerkschijf voor alle werknemers toegankelijk. In totaal zou het gaan om circa 300GB aan data. Op waarschuwingen van een klokkenluider zou de directie nauwelijks tot niet hebben gereageerd.

Dat meldt de NOS op basis van een rapport dat door voormalig NZa-medewerker en klokkenluider Arthur Gotlieb is samengesteld. Gotlieb pleegde kort na het opmaken van een 600 pagina's tellend dossier over de misstanden binnen de toezichthouder zelfmoord. De klokkenluider zou eerder door zijn leidinggevenden zijn tegengewerkt.

De klokkenluider meldt in zijn rapport een ernstig gebrek aan beveiliging. Zo waren op een netwerkschijf onder andere patiëntendossiers, tariefbeschikkingen, loonstroken, bezwaarschriften, onderzoeksrapporten, foto's, Outlook-archieven en geluidsopnamen toegankelijk voor elke werknemer. Ook een uitzendkracht die pas kort aan de slag was bij de NZa of een vakantiekracht zou volledige toegang hebben tot de 300GB aan privacygevoelige data. Op de betreffende server zou ook illegale software zijn te vinden, evenals e-books, films en muziekbestanden. Een andere klacht is dat Outlook-agenda's van iedere werknemer door anderen waren te bekijken.

De verantwoordelijke bestuurder voor de ICT bij de NZa, Eitel Homan, laat aan NRC weten dat hij de kwestie betreurt en dat de toezichthouder maatregelen zal nemen om de data beter te beveiligen. Verantwoordelijk minister Schippers heeft een onderzoek aangekondigd naar de misstanden.

Moderatie-faq Wijzig weergave

Reacties (70)

http://pinkelephant.nl/nz...uitbesteding-ictomgeving/

Uit bovenstaande link komt dit stukje:
De Nederlandse Zorgautoriteit (NZa) heeft middels een Europese aanbesteding gekozen voor Nobel. Nobel, strategisch IT-partner voor de mid-market, neemt, met uitzondering van het functioneel ontwerp, de complete ICT-omgeving van de NZa over: van implementatie en inrichting tot werkplek- en applicatiebeheer. Dit applicatiebeheer brengt Nobel onder bij onderaannemer Sogeti. Het project start op 1 juli 2011. - See more at: http://pinkelephant.nl/nz...ing/#sthash.liOlewUb.dpuf

Uit het artikel van Tweakers:
Verantwoordelijk minister Schippers heeft een onderzoek aangekondigd naar de misstanden.

Ik vermoed dat dit zwarte pieten wordt (o nee, mag vast ook niet meer)...

Ik vermoed dat iedereen de hete aardappel gaat overgooien en dat de schuld van deze fout uiteindelijk bij de partij komt te liggen die het zwakst juridisch vertegenwoordigd is of het minste budget heeft om langslepende rechtzaken hierover te voeren. Terwijl de overheid op kosten van de belastingbetaler onderzoek doet naar hoe dit heeft kunnen fout gaan (terwijl zaken als Europese aanbesteding verplicht stellen in sommige gevallen niet door Jan Modaal is bedacht en ingevoerd), de gegevens van Jan Modaal mogelijk onherroepelijk op straat liggen wordt er ook over de rug van Jan Modaal op kosten van Jan Modaal gekeken hoe ze b.v. de bewaardplicht voor metadata van Nedrelandse providers wel kunnen verantwoorden/behouden. |:(
Zo waren op een netwerschijf onder andere patiëntendossiers, tariefbeschikkingen, loonstroken, bezwaarschriften, onderzoeksrapporten, foto's, Outlook-archieven en geluidsopnamen toegankelijk voor elke werknemer. Ook een uitzendkracht die pas kort aan de slag was bij de NZa of een vakantiekracht zou volledige toegang hebben tot de 300GB aan privacygevoelige data.

Je hebt gelijk... Ga maar rustig slapen, niets aan de hand mensen.

*edit: interessant leesvoer (naar mijn idee): http://www.nrc.nl/nieuws/...de-bij-de-toezichthouder/

[Reactie gewijzigd door Elmo_nl op 10 april 2014 21:09]

De betreffende klokkenluider noemde het dan ook een wonder dat dat nog nooit gebeurd is. Moet het echt zover komen voordat een organisatie maatregelen gaat nemen?
Het is schrikbarend met hoeveel terreinen dit raakvlakken heeft:
1) Beleid en status van klokkenluiders;
2) Opslag van medische gegevens en de discussie daarover;
3) Het gewicht en real-life inzicht in hoe belangrijke schakels in Nederland tegenover ICT-beveiliging staan (mede ook door het feit dat dit keer op keer in de doofpot gestopt is);
4) Downloaden gebeurd overal;
5) Belang van data-beveiliging in het algemeen (pinpas scans, sollicitatiebrieven die allemaal op een netwerkschijf staan).

Ongelofelijk en hopelijk een extra wakkerschud-moment voor andere instanties. We zijn er nog lang niet..
4) Downloaden gebeurd overal;
Niet per defnitie: het lijkt me meer een thuiskopie dan een "kopie uit evident illegale bron": het komt immers van het werk, niet van een torrent of warezsite...
We zijn inderdaad afhankelijk van wat er gepubliceerd wordt.

Nrc.nl zegt:
Op het interne netwerk van de NZa stonden ook illegaal verkregen speelfilms, waaronder de laatste Die Hard-film met Bruce Willis en meer dan 2.000 niet-rechtenvrije e-boeken
Ik, werkzaam in de infomratie beveiligingsbranche, vindt dit werkelijkwaar ongelooflijk. Ik hoop dat deze organisatie hiervoor aangepakt kan worden. Enkel door hier op een strafrechtelijke manier naar te kijken is het mogelijk te voorkomen dat deze gevallen in de toekomst voorkomen kunnen worden.

Ik acht het aannemelijk dat de data al gestolen is, en wel om de volgende redenen
1) Lek in het netwerk of in systemen met toegang tot het netwerk. Van veel software zijn er lekken bekend (of te vinden, al kost dit extra moeite), en het is dus aannnemelijk dat hier al een geautomatiseerde aanval/specifieke aanval tegen is gedaan, en de gegevens geautomatiseerd/bewust zijn gestolen
2) Informatie is macht, en een werknemer heeft misschien kennissin welke opgenomen zijn in de dataset. Een usb key/disk aan je laptop/pc doet wonderen om deze informatie tegen deze mensen te (mis)gebruiken

Het spijt me zeer dat er het leven van een persoon gegeven moet worden om dit probleem aan het licht te brengen.

Oplossing lijkt mij te liggen in een verplichte (publieke) audit voor organisaties welke werken met deze gevoelige data.
Outlook-agenda's van iedere werknemer door anderen waren te bekijken. Daar is de outlook agenda toch (deels) voor ontworpen? Of zie ik dat verkeerd?

Verder wel zeer kwalijk dat dit uberhaupt mogelijk is geweest voor zo'n (toch wel belangrijke) instelling.
Nou normaal gesproken machtig je de mensen die in jouw agenda mogen kijken, of maak je gedeelde agenda's aan.. Maar nu kon iedereen bij iedereen kijken.. das niet helemaal de bedoeling...
Het hangt een beetje van het beleid af. Als het centraal geregeld wordt en het beleid "open tenzij", dan is het niet raar dat de agenda's beschikbaar zijn. Voor een interne zakelijke agenda zie ik meer voordelen dan nadelen.
Deze mensen oefenen toezicht uit. Dat betekent dat je als zorginstelling eigenlijk zo min mogelijk contact dient te hebben.... Laat ik het zo zeggen, stel dat je hoort dat de NZA al maanden lang de deur platloopt bij Menzis, dan denk je daar misschien niks bij, of (waarschijnlijker) denk je iets van 'Men zal wel een steekje hebben laten vallen daar bij Menzis'. Het zal i.i.g. niet snel positief zijn.

Men werkt daar kortom bijna per definitie met gevoelige gegevens. De afspraken die ze maken met andere zorginstellingen zijn dus al snel vertrouwelijk. Niet echt logisch om die dan allemaal in een openbare agenda te zetten.
Standaard is dit uitgeschakeld dit kan inderdaad wel ingeschakeld worden mits dit nodig is.
Nee, denk niet dat het de bedoeling is dat een gehele organisatie de inhoud van de agenda van een directeur of ander personeelslid kan inzien welke met gevoelige informatie te maken krijgt. Vaak kan je uit zulke afspraken veel afleiden, ook al wordt de afspraak maar minimaal omschreven.
Vaak kan je uit zulke afspraken veel afleiden, ook al wordt de afspraak maar minimaal omschreven.
Dat is het probleem niet, blijkt
Brief en cv van de directeur van de ‘privacywaakhond’ zijn meer dan vier jaar lang in te zien voor het complete personeel, uitzendkrachten incluis. Ze staan in Outlook Agenda van de directeur van de afdeling Cure.
Dat is wat anders dan "afspraken delen" binnen de organisatie.
Ik dacht ook dat niet niet mocht. Standaard zal namelijk alleen Free/Busy time gedeeld worden binnen een Microsoft Exchange (Outlook) organisatie.

Blijkbaar denkt een jurist daar anders over:
Een regeling dat agenda’s open moeten zijn behalve privé gemarkeerde afspraken, lijkt me op zich redelijk. Maar aankondigen vooraf is eigenlijk wel verplicht. Mensen moeten immers weten dat dit gaat gebeuren, zodat ze oude privéafspraken alsnog af kunnen sluiten.
http://blog.iusmentis.com...rs-op-kantoor-openzetten/

Zo zie je maar weer, ook op de zaak is je privacy niets waard. Ik heb ook een keer een dispuut gehad omdat post op men werk was opengemaakt en hier documenten uit waren gehaald. Briefgeheim geld echter blijkbaar ook maar tot de voordeur van het bedrijf....
Zet je privéafspraken dan niet in de agenda van de mailbox van je bedrijf. Zet ze op je smartphone. Of op je thuiscomputer die je even bekijkt via Teamviewer. Maar hou privé en zaak gescheiden.
Zet je privéafspraken dan niet in de agenda van de mailbox van je bedrijf.
En wat als ik tijdens mijn uren een privé-afspraak heb (HR of echt privé)? Ook handig als je wat later begint / vroeger stopt, dan plannen mensen geen vergadering met me op dat moment.
Of op je thuiscomputer die je even bekijkt via Teamviewer. Maar hou privé en zaak gescheiden.
Weinig bedrijven waar zoiets nog mag. Zelfs met mijn laptop van het werk, thuis verbonden via mijn eigen wifi, mag ik geen RDP verbinding meer leggen naar een PC op mijn eigen netwerk.
Ik zet in zo'n geval een afspraak in mijn Outlook met "OoO" of iets dergelijks. Geen inhoud, wel duidelijk dat ik er niet ben.
Ik weet niet of jij op je werk bij "iedereen" in de agenda kan kijken, maar dat iets mogelijk is betekent niet dat het in alle gevallen wenselijk is.
Er is wel een verschil tussen de aanwezigheid van iemand kunnen bepalen (dat kan standaard) of zien welke (prive) afspraken iemand heeft.

[Reactie gewijzigd door PcDealer op 11 april 2014 10:12]

Ernstige zaak.
Een vakantiekracht kon tot zeer privacygevoelige informatie komen, ook zijn er illegale downloads op de schijf wat kan leiden tot malware. Dan heb je de poppen aan het dansen.

Er moet nog veel gebeuren voordat we alles in de (onbeveiligde) cloud willen dumpen.
Ja, en het ergste is: dit is een toezichthouder! Als je dan even doordenkt aan het gebakkelei rondom het elektronisch patientendossier... en dat zou dan door zo'n zaakje ongeregeld (op ICT gebied) gecheckt moeten worden? Tijd dat daar eens goed de boel op zijn kop wordt gezet.
Nou precies... de hypocrisie druipt er vanaf. Als je het toch in die strekking zoekt... ik zou bijvoorbeeld ook wel eens op de systemen van stichting Brein willen snuffelen naar de aanwezigheid van illegale downloads e.d. Ik weet zeker dat je wat vind... het zijn uiteindelijk ook gewoon allemaal mensen. Ik ken zelfs iemand die korte tijd voor Brein heeft gewerkt maar zelf een notoire downloader is... en ook rustig een torrent binnen haalde op zijn werk, kon daar gewoon en je zou verwachten dat dergelijke dingen helemaal dichtgetimmerd zijn bij een dergelijke stichting. Nee hoor, gewoon iemand op een jaar contract die daar de beschikking kreeg over een laptop waar hij het volledige beheer over had en dus allerlei rommel kon installeren. Dit is ook nog niet zo heel lang geleden, ik denk een jaar of 3...

Maar goed, zoals ik al zei we zijn allemaal mensen. Bij mijn werkgever moet ik zeggen dat de ICT netjes op orde lijkt te zijn, we krijgen regelmatig updates voor onze workspace die ook nog echt de meest recente versies bevatten. Ook wordt er actief gecontroleerd op zaken die 'lek' zouden kunnen zijn en wordt er ook heel bewust naar alle binnenkomende en uitgaande communicatie gekeken. Maar dan nog kan ik zo een handjevol systemen aanwijzen in de organisatie waarmee ik mij vrij makkelijk tot in principe alles toegang kan verschaffen waar men geen simpelweg geen oog voor heeft.

[Reactie gewijzigd door MicGlou op 10 april 2014 18:46]

klinkt erg als overdreven hand tot hand informatie.

Klinkt namelijk als iemand die een lifebook met zijn eigen data aan een netwerkpoort heeft gehangen, niet wetende dat iedereen die schijf kon zien. NTFS rechten zouden sneller voor meerdere netwerkschijven dit soort fouten vertonen en de informatie zal vast geen systeembeheerder hebben bereikt.

[Reactie gewijzigd door caanova1984 op 10 april 2014 17:59]

Nos.nl
Op de V-schijf van het NZa-computersysteem stond voor meer dan 300 gigabyte aan documenten opgeslagen, zonder enige beveiliging.
Het ziet er niet naar uit dat het een ingeplugde laptop is of was, alhoewel de technische details waarschijnlijk niet naar buiten komen.


Wellicht interessant is het Jaarverslag uit 2012. Over ICT wordt daarin gezegd:
Nadat in 2011 de NZa qua ICT “as is” is overgegaan naar een nieuwe externe leverancier, is in 2012 onderzocht hoe de gewenst ICT architectuur eruit ziet op basis van de primaire processen van de NZa.
De ICT-Regieprocessen vormen de basis voor een goede samenwerking tussen de NZa en haar ICT-leveranciers, met name naar de partij waarbij de NZa haar ICT infrastructuur en technisch applicatie beheer heeft ondergebracht.
Ah, iemand vond de uitbesteding hier Elmo_nl in 'nieuws: Zorgautoriteit gaf onbeveiligde toegang tot schijf met 300GB aan gevoelige data'

[Reactie gewijzigd door Tomino op 10 april 2014 20:18]

Misschien toch even het NRC artikel hierover lezen (helaas is dit een incomplete versie van het artikel, de rest zit achter de paywall). Het ging weldegelijk om een netwerkdrive van het eigen systeem. Die was bedoeld om "even tijdelijk" wat dingen op te zetten en te delen, maar in de praktijk bleef alles staan; jaren lang. Iedereen had daar toegang toe, tot aan de oproepkracht achter de receptie aan toe. Er was een clean-desk policy, maar in de praktijk lagen er overal gevoelige documenten te slingeren: op de bureau's, de printers en in de papierbakken. Dat gaat dan om complete patiëntendossiers, maar ook om zeer concurrent-gevoelige stukken omtrend ziekenhuizen en kostprijzen van medicijnen.

Nee, dit is niet een persoonlijk HD-tje dat even door een medewerker per ongeluk aan het netwerk gekoppeld is. Er is is heel grondig mis met de cultuur in die organisatie.
" Eitel Homan, laat aan NRC weten dat hij de kwestie betreurt en dat de toezichthouder maatregelen zal nemen om de data beter te beveiligen."

Laat dat maar aan iemand anders over.
Dubbel sarcastisch.
NZa is toezichthouder op ondermeer goed omgaan met gevoelige zorggegevens - kennelijk vonden ze zelfregulering niet zo nodig;
Toezichthouders als CBP horen toe te zien op omgang met persoonsgegevens - dat is kennelijk ook niet actief bezig.

Waar hebben we eigenlijk wel toezichthouders voor? Wat is hun bestaansrecht als ze zichzelf niet eens fatsoenlijk kunnen reguleren en waar toezicht nodig is die ontbreekt? Houden ze toezicht van achter hun buro op rapportjes van het niveau wc-eend - gaat u rustig slapen bij onze organisatie gaat het prima. Zo ging dat jaren geleden bij diginotar toch ook al? Rapportje naar toezichthouder, toezichthouder blij en vind het allemaal wel prima.
Dat vraag je je af. Aangezien de OVV ook al niet zijn werk goed lijkt te doen. Zie 1V van gisteren.
Ik had hier toch wel even een WTF momentje. Hoe kan het uberhaupt mogelijk zijn dat werknemers niet het benul hebben dat illegale software, muziek of ebooks totaal niet thuishoren op de werkplaats, laat staan op een netwerkschijf die voor iedereen toegangkelijk is, daar kan ik met m'n verstand niet bij. Dat daarna ook de directie totaal geen medewerking toont, zakt m'n broek al helemaal vanaf. Dan heb je toch een incapabele directie? Zeker bij de zorginstellingen die met erg vertrouwelijke gegevens omgaat hoor je daar toch meteen op in te springen en te zorgen voor een beter beveiliging.

Van die laatste alinea geloof ik al helemaal niets meer. Als je als ICT hoofd niet capabel genoeg bent om enigzinds AAA toe te passen of niet eens het nut ervan afweet, hoor je niet in die functie te zitten. Ik durf er geld op te zetten dat die man dat allang wist en nu toch maar even zijn werk gaat doen omdat er druk vanuit de media wordt uitgeoefend, niet omdat het echt nodig is.
Ik dacht dat dit soort toestanden toch wel verleden tijd waren, zeker bij instellingen die met dit soort vertrouwelijke gegevens omgaan. Dit artikel zet je dan toch weer aan het denken dat er nog voldoende te doen is m.b.t. informatiebeveiliging en het bewustzijn van de medwerkers/directie daarvan.
Mijn persoonlijke ervaring leert dat jouw wtf moment helaas terecht is. Ik denk dat er een 95/5 % verhouding zit tussen niet capabel / capabel bij ict management functies bij de overheid(van de mensen waar direct/indirect mee in aanraking ben gekomen). Functiejaren en vriendjes hebben is helaas vaak belangrijker dan competentie.
Mensen met competentie gaan dingen nl. Anders doen, en dat betekent zg. dat de voorganger iets verkeerd heeft gedaan. En dat moeten we niet hebben natuurlijk. Eigen belang voor publiek belang is helaas nog vaak het credo.
8-) Dat lijkt me nou net het enige wat wel op de gedeelde netwerkschijf mag. Het is misschien juridisch niet handig, maar het is geen vrertrouwelijke of zelfs maar privee informatie. Ik kan me goed voorstellen dat mensen dat willen delen voor een personeelsmiddag of als ze hun kinderen in het weekend mee hebben wanneer ze moeten overwerken. En dat het daarom gedoogd zou kunnen worden.
Maar dat is dan zo'n eetje oom het enige wat op een publieke schrijf te vinden zou moeten zijn. Desnoods nog wat aanvraagformulieren ofzo.
welkom in de 21e eeuw waar mensen nog altijd de ict niet begrijpen (de meeste tenminste)
Dit is geen kwestie van gebrek aan ICT kennis, maar aan willens en wetens waarschuwingen en advies van een werknemer negeren en misschien zelfs tegenwerken.
Als iemand die voor jou werkt zegt dat er iets heel erg mis is met het systeem is het de taak van het management hier wat aan te doen, en dan natuurlijk niet de werknemer wegpesten...
ja dus het management mist kennis van ict ;) en negeert deze
Gelukig komt zit zelden voor bij bedrijven. De bedrijfscultuur van de managers heeft er namelijk helemaal niet voor gezorgd dat er mensen hoofd van een afdeling zijn die inhoudelijk totaal geen enkele kennis hebben van wat die afdeling doet.
Of..
Nee, de ICT in Nederland is tip top in orde.

(alleen typ ik dit terwijl ik op een ander scherm in een DOSbox bezig ben)
De verantwoordelijke bestuurder voor de ICT bij de NZa, Eitel Homan, laat aan NRC weten dat hij de kwestie betreurt en dat de toezichthouder maatregelen zal nemen om de data beter te beveiligen.
Jaja. Dus de verantwoordelijke bestuurder die daar tegen een aardige vergoeding zit betreurt de gebeurtenissen. Hij schaamt zich niet diep, hij geeft niet toe dat onder zijn bestuur enorme fouten zijn gemaakt die schijnbaar al lang bekend waren, hij biedt (als eindverantwoordelijke) niet excuses aan voor deze wanvertoning, maar hij betreurt het.

Natuurlijk kennen we de details van deze zaak niet, maar ik mag toch hopen dat als aan de hand van het onderzoek dat gedaan wordt echt blijkt deze man nalatig is geweest, hij op z'n minst zijn baan kwijt is. Dit soort zaken omtrent privacy zijn enorm belangrijk en zullen in de toekomst waarschijnlijk alleen nog maar belangrijker worden, dus lijkt het me van belang om in zo'n publieke zaak (dit staat nu tenslotte in alle kranten en op alle nieuws-sites) een voorbeeld te stellen wat afstraffing van slecht IT-management betreft.
Weet je wat het probleem vooral is... dat dergelijke bestuurders vaak niet meer weten dan de inhoud van de portefeuille die ze besturen, want vakinhoudelijk kennis is niet eens een vereiste! Het zou mij ook niets verbazen als deze informatie bewust is weggehouden van deze bestuurder, of dat deze bestuurder simpelweg niet het belang ervan inzag vanwege het gebrek aan inzicht.

En dat is echt typisch Nederlands... complete besturen met onkundige mensen, die zitten daar alleen voor het plaatje en omdat ze een goede babbel hebben. Vaak trekken ze ook nog eens de verkeerde mensen aan om ze van informatie te voorzien, iemand die realistisch kritisch wordt al heel snel gepasseerd voor een jaknikker. De organisatie waar ik voor werk is daar ook een lichtend voorbeeld van... het bestuur dwingt te pas en te onpas af dat de medewerkers bijvoorbeeld zoveel mogelijk digitaal moeten werken en schrijven ons daarbij regels voor, regels die ze zelf niet eens begrijpen of ook maar enigszins naleven. Donders... de helft kan nog niet eens met een computer omgaan, laat staan digitaal werken. Niemand mag meer vergaderstukken printen... maar er gaan nog steeds wekelijks tientallen kilo's aan vergaderstukken naar de bestuursleden. En dit gebeurd overal, zeker in organisaties die geallieerd zijn aan de overheid... daar kan ik pagina's vol mee vullen :)

[Reactie gewijzigd door MicGlou op 10 april 2014 18:32]

Dat is helemaal niet typisch Nederlands. Dat gebeurt overal.

Voor de rest heb je helemaal gelijk.
Hij bedoelt waarschijnlijk dat het moord was en geen zelfmoord. Gewoon om de zaak proberen tegen te houden.
Ja met een knipoog smile er achter.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True