Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 71 reacties

De Heartbleed-bug zou zijn gebruikt om de gegevens van 4,5 miljoen patiŽnten te stelen uit de database van een Amerikaanse ziekenhuisketen. Het is voor zover bekend de eerste keer dat de Heartbleed-bug in de praktijk is misbruikt.

Gebrek aan sslDe ziekenhuisketen, Community Health Systems, heeft dinsdag al bevestigd dat de hack heeft plaatsgevonden, maar wist niet aan te geven hoe de hackers binnen waren gekomen. Volgens een bron van persbureau Bloomberg hebben de hackers, die uit China afkomstig zouden zijn, echter de Heartbleed-bug gebruikt om in te loggen op de systemen van de ziekenhuisketen.

Het bericht van de bron wordt bevestigd door beveiligingsbedrijf TrustedSec, dat zich baseert op drie van zijn eigen bronnen. Het ziekenhuis en de FBI, dat onderzoek doet naar de hack, willen niet aangeven hoe de aanvallers binnen zijn gekomen.

Bij de aanval werden bepaalde gegevens van 4,5 miljoen patiënten buitgemaakt. Het gaat daarbij onder meer om het social security number, vergelijkbaar met en net zo fraudegevoelig als het Nederlandse bsn-nummer, evenals namen en adressen. Financiële en medische gegevens zijn niet buitgemaakt, stelt het ziekenhuis.

Het is voor zover bekend de eerste keer dat een hack aan het licht komt waarbij de Heartbleed-bug in de praktijk is misbruikt. De hack zou in april zijn verricht, een week nadat de bug aan het licht kwam. Het Heartbleed-beveiligingsprobleem zorgt ervoor dat aanvallers delen van het interne geheugen van een server kunnen uitlezen. Daarbij kan het onder meer om onversleutelde wachtwoorden gaan: die kunnen dan worden onderschept voordat ze worden versleuteld.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (71)

Daarom ben ik aan het proberen om zo min mogelijk in databases te staan. Natuurlijk ontkom ik er niet aan, maar toch probeer ik het. Laatst kwamen ze van de hartstichting, maar blijkbaar kun je daar niet meer anoniem overmaken? (aldus de jongen aan de deur) En moest ik naar mijn mening veel te veel gegevens achterlaten die weer in een database komen te staan. Ik bood de jongen nog 50 euro aan, maar deze mocht hij niet accepteren. En anoniem geld overmaken kan niet eens zomaar, blijkbaar moet ik daar enige moeite voor doen (via een postkantoor oid?!) Want via de site moet je per se allerlei gegevens invoeren. En dan? Dan staat mijn mailbox of brievenbus vol met allerlei SPAM waar ik niet op zit te wachten en moet ik me zorgen gaan maken als ze het hacken...

Als dit de toekomst is....dan word ik maar een jankerd/zeikerd/mierenneuker als ik moeilijk doe over het delen van mijn gegevens. Ik wil geen slachtoffer zijn van identity theft, mijn creditcard is al een keer gehackt. En electrische patientendossiers....kom aub met een beter voorstel/idee.
Dit is dus precies mijn bezwaar tegen het electronisch patientendossier: Iedereen kan welwillend zijn om de privacy van patienten te waarborgen, zodra er in de hele keten een zwakke schakel zit, ga je onderuit met je goede bedoelingen.
Niet dat dit in Nederland zo had kunnen gebeuren (ik ken de specificaties van het EPD niet), maar het illustreert des te meer dat we goed moeten oppassen met het verzamelen en centraal opslaan van dit soort gegevens.
"Niet dat dit in Nederland zo had kunnen gebeuren"

Hoe bedoel je?
In Nederland gebeurt het ook.
Een jaar geleden ofzo is er een huisartsen praktijk in Amstelveen (geloof ik) gehacked en daar zijn ook patienten dossiers (EPD) buit gemaakt. Daar stond nog een Windows 2003 server o.i.d. zonder patches.

Het is (voor mij) heel simpel helaas:
Elke systeem is te kraken, is het niet door protocol issues, dan is het wel door certificate of OS-exploits. (om over backdoors nog maar te zwijgen)
Dit zal m.i. zo blijven totdat regeringen e.d. ingrijpen en bijvoorbeeld zelf security software/devices gaan ontwikkelen.
Voor ons 'de burger' is het nagenoeg onmogelijk om dit op te lossen.

Je kan er dus wat mij betreft vanuit gaan dat gegevens, op systemen die aan internet gekoppeld zijn, dus 'openbaar zijn'. Triest maar waar.
De vraag is of je liever hebt dat de arts jouw de juiste medicijnen/procedure geeft gebaseerd op je dossier die 2 klikken ver is of de foute omdat het papieren dossier op een ander departement ligt ?
En wat met diefstal van papieren gegevens ? of wil je patiŽnten dossiers compleet weg gooien?

De enige oplossing is investeren in bescherming van de gegevens, spijtig genoeg kost dit geld, en brengt het 0.0 return ... een week na de bekendmaking had iedereen er al van gehoord ... een sysadmin had kunnen ingrijpen. (zeker bij dit soort databanken)
In het verleden (analoge tijdperk) schreven we geen foute medicatie voor en thans nog steeds niet. Medicijnen en behandeling wordt gestart op het moment dat het nodig is in het ziekenhuis. We hebben vaak niet alle gegevens nodig (gelukkig).
Het EPD is vaak niet actueel (huisarts heeft alweer veel dingen gewijzigd) en ook voorgeschiedenis niet altijd volledig (brieven onvolledig, patiŽnt vergeet ook veel of denkt het verkeerd). Je kunt niet altijd vertrouwen op het EPD. Vaak copy-paste je de gegevens van een recente brief en hoop je dat het volledig en goed genoeg is. Gegevens kloppen ook niet altijd, maar staan dan wel als 'waar' in het EPD.

Een EPD kan handig zijn, maar door de beveiliging vaak niet altijd handig. Regelmatig moet je de gegevens toch weer mailen als je info nodig hebt uit een ander ziekenhuis. RŲntgenfoto's zijn niet altijd gemakkelijk te delen, dus maak je al snel een foto met je iPhone en stuur je deze per mail over (als het voldoende duidelijk is).

Kortom, in potentie kan een EPD handig zijn, maar er moet ontzettend opgepast worden voor datavervuiling en dat alles actueel blijft. In de praktijk valt het tegen. Langzaam wordt het wel beter, maar ziekenhuizen kiezen toch vaak voor de goedkoopste oplossingen en kwaliteit staat vaak niet op nr.1. Ook regelmatig ontbreekt het aan ICT kennis om goede keuzes te kunnen maken, wat betreft aanschaf van een EPD.

... en de tijd om alles in het EPD te zetten, bij te houden en brieven te maken is sterk toegenomen. Administratie neemt erg veel tijd in.
Aan je reactie zie ik dat je vast meer van kent dan ikzelf, maar als we binnenkort echt patiŽnt gericht geneesmiddelen gaan ontwikkelen, dan zal toch digitalisering & centralisatie nodig zijn.

Dat er geen foute behandelingen of medicijnen worden voorgeschreven, dat kan ik persoonlijk tegen spreken. Mogelijks is onze huisarts/regio de uitzondering, maar mensen maken fouten of het EPD daar tegen beschermt is een andere zaak. Maar voor je nuttige informatie er kunt uithalen moet je er die eerst instoppen, dat is zo.
Ik weet niet precies wat je bedoelt met 'patiŽntgerichte geneesmiddelen', maar alle medicijnen worden zo goed mogelijk bij de patiŽnt gezocht, maar grotendeels krijgt elke patiŽnt gewoon hetzelfde bij een bepaalde indicatie. Iemand met hoge bloeddruk krijgt meestal een ace-remmer en een diureticum, daar is geen gerichtheid aan.

Natuurlijk, een EPD heeft de toekomst. De digitalisering van de maatschappij is niet te stoppen en steeds meer worden gegevens gekoppeld. Wellicht dat je smartphone direct gaat communiceren met je EPD in de toekomst, waarbij je bloedrukken keurig worden opgeslagen. Heel handig. Heel eng ook, omdat het de verwachting schept dat gezondheid en het leven in het algemeen volledig 'maakbaar' is. Steeds meer mensen zijn obsessief bezig met gezondheid en willen controle hebben over alle aspecten van hun gezondheid (veroudering) (maar dat is mijn mening).

Ja, er worden fouten gemaakt, maar de komst van het EPD heeft het naar mijn ervaring (nog) niet echt geleid tot een beter medicatie voorschrijven (soms wel gemakkelijker). Je krijgt gewoon een standaard medicijn bij een bepaalde indicatie, dat was vroeger zo en is nog steeds zo. Misschien dat nieuwe ontwikkelingen het in de toekomst doen veranderen.

HET EPD bestaat (nog) niet. Elk ziekenhuis heeft de keuze om zelf te kiezen welk EPD wordt gebruikt. Vaak is het gestoeld op oude software en helaas vaak niet compatibel met elkaar. In de toekomst zal het beter worden, daar ben ik van overtuigt.

Waar ik me wel zorgen over maak, is onze privacy. Het wordt steeds beter om alle gegevens te koppelen aan andere systemen. Wellicht zullen we het normaal vinden, omdat het ons een (schijnbaar) voordeel op gaat leveren door allerlei apps en andere toepassingen. Hopelijk wordt onze maatschappij niet zo'n eng gedigitaliseerd systeem waar alles is gekoppeld en alles zichtbaar is voor belanghebbenden. Misbruik ligt dan zeker op de loer ben ik bang.
quote: honey
Waar ik me wel zorgen over maak, is onze privacy. Het wordt steeds beter om alle gegevens te koppelen aan andere systemen. Wellicht zullen we het normaal vinden, omdat het ons een (schijnbaar) voordeel op gaat leveren door allerlei apps en andere toepassingen. Hopelijk wordt onze maatschappij niet zo'n eng gedigitaliseerd systeem waar alles is gekoppeld en alles zichtbaar is voor belanghebbenden. Misbruik ligt dan zeker op de loer ben ik bang.
Ik wil niet doemdenken maar onze privacy is al (veel) langer in het geding. De technologische ontwikkelingen (of noem het vooruitgang) en de informatie- verzamelwoede c.q. controleobsessie van de mench (overheid) draagt hier grotendeels aan bij.
De vraag is of je liever hebt dat de arts jouw de juiste medicijnen/procedure geeft gebaseerd op je dossier die 2 klikken ver is of de foute omdat het papieren dossier op een ander departement ligt ?
En wat met diefstal van papieren gegevens ? of wil je patiŽnten dossiers compleet weg gooien?
En hoe vaak gebeurde dat voor het EPD er was? Ik gok in 0,1% van de gevallen, als het niet minder was. Ik zie nog steeds niet het grote voordeel van het EPD.

Tevens is het stelen van een miljoen papieren dossiers wel even hele andere koek dan het stelen een miljoen digitale dossiers. Mensen hebben de neiging om vragen te gaan stellen als je een complete zeecontainer aan het vullen bent bij een ziekenhuis. Het misbruiken van de heartbleed-bug valt wat "minder" op.
0,1% van alle mensen in nederland is toch 17.000 mensen op jaarbasis.

Maar, dan kijken we alleen naar alle Nederlanders, maar de fout marge is gebaseerd op alle behandelingen die er in Nederland plaats vinden, die is nog wat hoger dan 1 per persoon.
Gegeven, niet alle mensen in nederland gaan elk jaar naar een ziekenhuis, maar er zijn ook mensen die 50 behandelingen hebben in een jaar (chronisch zieken), of mensen die meerdere behandelmomenten hebben per opname.

0.1% is in mijn beleving al voldoende. Elk persoon is al voldoende...
De vraag is hoeveel van die verkeerde diagnoses wordt verhinderd door het EPD. Zijn ze daadwerkelijk gedaald sinds het EPD in gebruik is genomen en is dat ook aan het EPD toe te schrijven?

Ik heb daar nergens nog cijfers over kunnen vinden. Tot die tijd kan ik het EPD alleen nog maar als "onnodig" bestempelen.
Helaas weet ik te vertellen dat ziekenhuizen dit niet willen vrijgeven, omdat ze dan toegeven hoe "slecht" het vroeger ging.
HSMR data (die uit de EPDs gegenereerd kan worden) laat wel een trend zien.
Ik kan me (persoonlijk) niet herinneren dat het EPD ooit heeft bijgedragen aan het verhinderen van een medische fout. In de papieren tijdperk ging het namelijk ook al zorgvuldig en zeker niet 'slecht'.
Zullen we dan ook terug een encyclopedia boek gaan kopen ? Nee, want we willen snel en gericht kunnen reageren. Een allergische reactie op bijvoorbeeld antibiotica zou wel interessant zijn om weten bij een zieke patiŽnt die geen Nederlands begrijpt ...

Technologie is altijd al een mes geweest die snijdt aan twee kanten, als m'n leven kan gered worden door EPD, met als gevolg dat m'n "persoonlijke" gegevens op straat liggen, so be it !
Ik zie het voordeel van het EPD wel. Heb er zelf al problemen mee gehad. Lig in het ziekenhuis voor een routine opperatie. Men vraagt mij om de avond vooraf binnen te komen. Ze trekken die avond ook nog bloed. 's morgens lig ik klaar om naar de OK te gaan en is het bed al half in de gang wanneer een verpleegster afkomt met de melding dat het niet doorgaat.

In mijn bloed werd namelijk iets vastgesteld waardoor men in het ziekenhuis direct dacht aan een acuut nierprobleem. Terwijl ik die diagnose onmiddelijk in twijfel trek omdat slechts 6 dagen ervoor in een ander ziekenhuis bij bloedonderzoek alle waarden normaal bleken te zijn. Uiteindelijk is de operatie alsnog doorgegaan onder plaatselijke in plaats van algemene verdoving en ben ik tegen medisch advies in vertrokken uit het ziekenhuis om mij dichter bij huis nog eens te laten nakijken. Daar bleek 5 dagen na dat ze in het opererende ziekenhuis bloed hadden getrokken dat mijn bloedwaarden wel degelijk normaal waren.

Omdat er nergens centraal gegevens worden bijgehouden kon het ene ziekenhuis niet weten dat het andere reeds enkele dagen ervoor al bloedtesten had gedaan, en daar ik zelf die resultaten ook niet heb kan ik ze ook niet tonen. Resultaat was dat ik bijna voor niets enkele weken het ziekenhuis in mocht gaan en dat er alsnog voor niets een batterij tests zijn uitgevoerd terwijl men in mijn gebruikelijk ziekenhuis nu vermoed dat er een fout moet zijn gebeurd met de bloedstalen.

Het voordeel van een EPD was dus in dit geval dat ik er sneller en zonder zorgen was uitgekomen, alsook dat het de verzekering een pak minder geld had gekost.
Ik begrijp uit je verhaal niet helemaal of er nou wel of niet een EPD aanwezig was. Had je gewild dat dat er was? Ik betwijfel of het allemaal zo goed gewerkt had. En artsen kunnen elkaar ook altijd bellen. Mijn huisarts coŲrdineert dit soort dingen altijd heel goed voor me. Zonder EPD welteverstaan. Zij vindt dat het EPD alleen maar verwarring en dus vertraging en meer fouten oplevert.
Iedereen kan welwillend zijn om de privacy van patiŽnten te waarborgen, zodra er in de hele keten een zwakke schakel zit, ga je onderuit met je goede bedoelingen.

Mja, is dat argument niet overal van toepassing? Kijk naar Edward Snowden. Niet dezelfde situatie, maar ook een 'zwakke schakel' als je het vanuit dat oogpunt bekijkt.
Iedereen kan welwillend zijn om de privacy van patiŽnten te waarborgen, zodra er in de hele keten een zwakke schakel zit, ga je onderuit met je goede bedoelingen.

Mja, is dat argument niet overal van toepassing?
Nee. Als jouw gegevens alleen bij jouw huisarts bekend zijn en nergens anders, dan moet specifiek jouw huisarts gehackt worden om jouw gegevens te verkrijgen. Naast jouw huisarts zijn er vele andere huisartsen met patiŽntrecords. De fragmentatie maakt een hack op de schaal van EPD (of 'Landelijk Schakelpunt', of welke naam ze aan een interface plakken waarmee gegevens van iedereen uniform zijn uit te lezen) veel lastiger.

Bij gefragmenteerde gegevens belanden van een huisarts alle patiŽntgegevens op straat wanneer het een keer fout gaat. Bij een EPD liggen de gegevens van iedereen op straat.

De hack uit het artikel is op een soortgelijke grote schaal. Het gaat niet om gegevens van patiŽnten van een ziekenhuis, maar van een ziekenhuisketen. Als het een ziekenhuis was, dan had je een geografisch en qua aantal patiŽnten veel kleiner bereik met de aanval.

Sinds het hier niet gaat om een zero-day maar om een lek dat bekend was en werd misbruikt, zou de ziekenhuisketen aansprakelijk gesteld moeten worden. Immers hebben zij de verantwoording over de patiŽntgegevens. Als ik mijn inboedel opsla bij een opslagbedrijf en boeven gaan ermee aan de haal, dan is het opslagbedrijf ook verantwoordelijk. Hetzelfde moet ingevoerd worden voor informatie om het aanhouden van kwetsbaarheden in de toekomst te ontmoedigen.

[Reactie gewijzigd door The Zep Man op 20 augustus 2014 13:19]

Natuurlijk heeft een EPD ook zijn voordelen. Als je op bezoek bent bij familie en er gebeurt iets kan het plaatselijke ziekenhuis direct al je medische informatie bekijken om te achterhalen wat er misschien aan de hand is. Hoe meer informatie, hoe beter dokters hun werk kunnen doen. Als er kritische informatie bij je huisarts ligt waardoor je een verkeerde behandeling krijgt zit je ook in de problemen. Soms telt elke seconde.

Het is dus afwegen tussen mogelijke privacy inbraken en mogelijk extra informatie voor de dokter die je leven probeert te redden. Ik denk niet dat we hier zomaar kunnen besluiten wat het beste is zonder grondig te analyseren wat de voor- en nadelen zijn.
Als je op bezoek bent bij familie en er gebeurt iets kan het plaatselijke ziekenhuis direct al je medische informatie bekijken om te achterhalen wat er misschien aan de hand is.

Mijn ervaring met ziekehuizen etc is dat ze het altijd of te druk hebben of ivm declaratie-normen geen tijd beschikbaar stellen om je dossier te lezen.

Hoe meer informatie, hoe langer het ook duurt alvorens de artsen de juiste informatie gevonden hebben. Oude informatie kan dan ook als een vertraging of zelfs dwaalspoor fungeren.

Ik denk niet dat we hier zomaar kunnen besluiten wat het beste is zonder grondig te analyseren wat de voor- en nadelen zijn

Het probleem is dan ook dat de overheid dat dus wel deed, en het er gewoon doorheen wilde drukken. Ook logisch want de gevolgen van uitlekken van data zijn voor de patient, niet voor de instelling die de data lekte.

Plus dat het woordtje 'we' de kern van de zaak is. Dit is geen 'we' als in collectieve beslissing. Mensen willen zelf beslissen, maar de overheid en verzekeraars wilden dat er een collectieve ("we") keuze gemaakt werd. Gelukkig is die vlieger niet opgegaan,
Mijn ervaring met ziekehuizen etc is dat ze het altijd of te druk hebben of ivm declaratie-normen geen tijd beschikbaar stellen om je dossier te lezen.

Hoe meer informatie, hoe langer het ook duurt alvorens de artsen de juiste informatie gevonden hebben. Oude informatie kan dan ook als een vertraging of zelfs dwaalspoor fungeren.
Dan maar geen informatie? Als je niet tegen een veel-gebruikt geneesmiddel kan, dan heb je maar pech? Dat het in ziekenhuizen eigenlijk te druk is is geen reden om daarom zelfs de optie weg te nemen. Zonder informatie kan je geen onderbouwde beslissingen nemen. Dat we op dit moment geen tijd en capaciteit hebben om die informatie ten volle ten benutten is geen argument. Als we in de toekomst Watson-achtige computers hebben in ziekenhuizen is plots wel al die historische informatie relevant. Informatie negeren kan altijd maar informatie die je niet hebt is gewoon weg.

Over je tweede punt kan ik niet goed meepraten aangezien ik een Belg ben. Hier hebben we al jaren een EPD. Ik heb er nog absoluut geen last van gehad. Het is een zeer handig systeem dat veel gesleur met papier tegenwerkt. Je zegt dat oude informatie alleen maar vertraagt. Dat klopt, maar als je eerst door 10 jaar aan papieren moet bladeren ben je veel meer tijd kwijt dan als je dat allemaal geordend (en doorzoekbaar!) op de computer hebt staan.

Natuurlijk is privacy is een issue, maar laten we nu ook niet overdrijven. Het is namelijk nooit goed. Als we de ziekenhuizen letterlijk tonnen aan papier laten bijhouden gaan we binnen 10 jaar klagen dat het onverantwoord is dat ze niet zijn meegegaan met hun tijd. Als ze dan wel willen vernieuwen zoals met de stemhokjes, tax on web of het EPD dan is het alleen maar geklaag over big brother en privacy. Alsof papier veel veiliger is. Alles moet moderner, maar als de overheid probeert te vernieuwen zijn ze plots de duivel.

Het is NOOIT zwart/wit. Er zijn gewoonweg altijd voordelen en nadelen. Security is een uitdaging in de implementatie, niet een fundamenteel onoverkomelijk probleem. Een EPD heeft de mogelijkheid om levens te redden. Iets dat letterlijk mijn leven ooit kan redden in ruil voor de kans dat misschien ooit mijn dossier gezien wordt door iemand die dat niet zou mogen... Lijkt me echt geen slechte deal, echt niet.
Dan maar geen informatie? Als je niet tegen een veel-gebruikt geneesmiddel kan, dan heb je maar pech? Dat het in ziekenhuizen eigenlijk te druk is is geen reden om daarom zelfs de optie weg te nemen

IK wil bepalen wat in MIJN dossier staat. Dan kan ik irrelevante zaken weglaten. Denk aan eventuele verholpen bacteriele geslachtsziekten van 10 jaar geleden, mijn vroegere depressie als gevolg van relationele zaken of mijn steenpuist verwijdering. Ruis op zijn best en afleidend/remmend als je pech hebt wanneer er spoed is.

Het probleem is dat het inderdaad zwart-wit is, en als patient je bijna geen invloed hebt. En dan kies ik inderdaad voor 'dan maar geen informatie'.

Juist omdat:
1) mijn ervaring is dat die informatie - inclusief het veelgebruikte geneesmiddel - toch niet gelezen wordt.
2) dat uitzonderingen zijn, die behalve bij extreme spoedgevallen niet relevant zijn. En dan nog vaak niet, aangezien in zo'n geval men doorgaans enkel spoed-handelingenverricht waarbij dit soort medicijnen meestal niet relevant zijn. En indien ze dat wel zijn, geld punt (1) juist bij spoed.

Mocht ik een zeldzame allergische reactie hebben op een bepaald veelvoorkomende antibiotica of zo, zou ik dat er wel in willen. Gelukkig heb ik geen (bekende) zaken van die aard, dus zou ik gevaarloos mijn heel dossier leeg kunnen houden. Maar dat mag ik dus niet bepalen.

Het hele probleem is dus dat IK niet mag kiezen. En dat is logisch, want het hele EPD is ook niet gemaakt met de patient in het achterhoofd. Zoals het gepushed werd is het is vooral een declaratie hulpmiddel.
Voila, dat is dus een punt waar rekening mee gehouden kan worden. Het kunnen verwijderen van informatie door een patient is een feature die kan worden toegevoegd. Of een standaard "dun" dossier met enkel kritische informatie.

Ik kreeg het gevoel dat je er radicaal tegen bent, net zoals een aantal anderen hier. Kritiek hebben begrijp ik best, ik heb ook wel mijn kritiekpunten. Ik "stoorde" mij eerder aan de mensen die bij elke post van eender welk ICT project van de regering meteen radicaal tegen zijn "because privacy". Voor dat soort mensen is het nooit goed.
Kwestie van tijd voor het zelfde gebeurt met de EPD gegevens. Laten we hopen dat de hacker ze niet op bittorrent gooit want dan heeft je buurman opeens inzicht in je medische geschiedenis. Alhoewel ik het best wel leuk zou vinden als een hacker alleen de gegevens van onze ministers en volksvertegenwoordigers op bittorrent smijt. Dat zou best lachen zijn en een heerlijk stukje op Geenstijl opleveren.
Juist een centrale opslag kan je beter beveiligen dan meerdere decentrale opslagplekken.

En dat blijkt dus hier ook weer het geval.
Voor de belgen: BSN nummer is je rijksregister nummer...

Voor de rest zie ik niet echt de nuttige gegevens in van deze hack. Wat heb je nu aan 4,5 miljoen adressen? Je kan spam versturen, maar voor de rest?
http://www.economist.com/...ystem-272-billion-swindle

Hier krijg je een mooie uitleg. Kort gezegd: met niet meer dan de SSN van iemand die in aanmerking komt voor Medicare of Medicaid (zowat elke arme of bejaarde dus) kun je een uitkering claimen, drugs kopen en meer van dat fraais.
Valse identiteiten aanmaken? Zo lijkt het mij met voldoende informatie mogelijk om bankrekeningen en kredieten te openen en zo fraude te gaan plegen. Persoonlijke data kan enorm waardevol zijn.
Alle ZZP'ers in Nederland hebben verplicht hun BSN nummer in het BTW nummer. (BTW# = BSN# + B01)
Met een KvK zoek actie op een algemeen woord en 1 bezoekje aan de website van die persoon, heb ik in 10 seconden dezelfde informatie
Dus die informatie is publiekelijk beschikbaar en de motie om het BTW-nummer te wijzigen is wel aangenomen, maar wordt niet doorgevoerd
Het nut van deze info is natuurlijk afhankelijk van land tot land. In de VS draait bijvoorbeeld een enorm groot deel van de administratie op het social security number. Als je dat eenmaal hebt in combinatie met wat andere gegevens van een persoon, dan kan je daar al heel wat verwezenlijken. Wat je in NL met een BSN wel of niet kunt, weet ik natuurlijk niet als belg.
Voor het openen van een bankrekening heb je een identiteitsbewijs nodig.
Hier bij ons wel, maar in de VS waar een identiteitsbewijs niet eens verplicht is heb je die verplichting dus niet.
Er is geen toonplicht zoals in Nederland, maar in de praktijk is een identiteitsbewijs is onmisbaar in de VS. Maar een rijbewijs geldt daar ook als identiteitsbewijs en is makkelijker te vervalsen ťn niet landelijk maar per staat. Ofwel een dief kan een van de 49 andere staten kiezen anders dan die waar zijn slachtoffer woont, en heeft relatief vrij spel.
In ons ziekenhuis heb je enkel het rijksregister nummer nodig om uw wachtwoord online te laten resetten..
|:(

Ik blijf me er over verbazen hoe laks mensen omgaan met security. Immers een BSN is gemaakt zoiets als een gebruikersnaam. Het wordt echter gebruikt als een soort wachtwoord - of in internet context zeg maar inlog cookie/token.

Alhoewel in deze context resetten nog niet noodzakelijk een probleem is, as het wachtwoord dan maar wel naar het registreerde thuisadres/email gestuurt wordt, en niet naar een vers op te geven email of zo _/-\o_
je krijgt het gewoon online te zien natuurlijk... na het ingeven van het rijksregisternummer.

En weet je dat niet, bel dan gewoon naar de servicedesk en zeg dat je uw wachtwoord bent vergeten. Ook niemand die daar durft te twijfelen aan de echtheid van de persoon aan de andere kant van de lijn.
Wat dacht je van identiteits diefstal. Gaat toch makkelijker als je adresgegevens en BSN/SS# hebt.

Zeker als je het kunt combineren met gegevens uit andere bronnen....
Voeg toe dat de USA geen GBA heeft. Goed qua privacy (beter geregeld dan in Nederland) maar de keerzijde is dat er dus ook geen automatische controle is.

Als in Nederland iemand zich inschrijft in Groningen onder een vals BSN registreert het GBA dat. Dat kan vervelend zijn omdat je automatsich uitgeschreven wordt in je huidige gemeente, maar het wordt daarom wel snel opgemerkt. Nog erger is het indien er geen GBA is. Iemand kan dan immers op twee plaaten ingeschreven zijn. Ivm de grote landoppervlakte van de USA is het dus heel makkelijk om als dief in een andere staat je als iemand anders voor te doen.

Met name het verrichten van valse belasting aangiften en veel geld terugvragen is in opkomst de laatste jaren. Maar 'gewoon' klassiek leningen aanvragen op de ander zijn naam ook. Aangezien een vals rijbewijs van zo'n andere staat vaak genoeg is, kom jij als persoon er dan opeens achter dat je een BKA registratie hebt wegens wanbetaling en kunt fluiten naar je hypotheek.

In deze hack is ook het adres, geslacht en geboortedatum bekend. Dat is alles wat doorgaans nodig is voor een successvolle identiteitsdiefstal ine en land zonder GBA.
In dit geval heel veel waarde. Zelfs vele malen meer dan bijvoorbeeld goede creditcardgegevens. In dit artikel staat uitgelegd waarom er tegen de 200 euro gevraagd kan worden voor 1 medische historie.

Het punt is dat en ik quote:

"... because people without health insurance can potentially get treatment by using medical data of one of the hacking victims.".

Verder

"If I am one of the 50 million Americans who are uninsured ... and I need a million-dollar heart transplant, for $250 I can get a complete medical record including insurance company details,
[...] As long as personal details like age, weight and height are approximately correct -- and with a faked second form of ID -- a person could use the stolen data to convince a hospital they are insured and receive treatment"
FinanciŽle en medische gegevens zijn niet buitgemaakt, stelt het ziekenhuis.
Medische gegevens zijn niet gestolen. ;)
Die N van BSN staat al voor nummer, dus BSN-nummer klopt niet.
Waarom kiezen medische instellingen voor niet dezelfde systemen als banken?
systemen zoals https? daar zat nu juist het probleem in..
Over welke banksystemen heb je het?

Bij ziekenhuizen worden vaak diverse netwerken gebruikt. 1 is voor het patiŽntennetwerk "HL7/Dicom/Modaliteiten (scan apparatuur bijv.)" en 1 is voor het interne bedrijfsnetwerk.

Verder zijn banken niet zo "safe"
nieuws: Aanvallers breken in op site Europese Centrale Bank
"Waarom kiezen medische instellingen voor niet dezelfde systemen als banken?"
  • Omdat ze de kennis niet hebben
  • Omdat ze de financien niet hebben
  • Omdat er geen regelgeving is
  • Hun focus op andere zaken ligt
Bovenstaande geldt overigens ook voor andere branches.
offtopic:
Ben ik de enige die de naam een beetje grapig vind in deze situatie?

Anyway, vervelend dat dit is gebeurd. Maar nog erger dat ze het 4 maanden achterhouden.
Ik vraag me in dit soort gevallen af hoe netjes verzekeraars van dit soort gegevens afblijven als ze ze aangeboden zouden krijgen (en er meer gestolen zou zijn dan alleen naw-gegevens + bsn/ssn). Als je het niet zo nauw neemt met normen en waarden zou je kunnen denken: "Mooi, een database van mensen die wij NIET gaan verzekeren of waar we minstens een extra, zogenaamd random, health check op gaan vereisen".

Dit is wel mijn grootste angst met dit soort centraal opgeslagen en blijkbaar niet heel best beveiligde databases. Eenmaal op internet is altijd op internet, dus als patiŽnt is dit niet terug te draaien.
Als je het niet zo nauw neemt met normen en waarden zou je kunnen denken: "Mooi, een database van mensen die wij NIET gaan verzekeren of waar we minstens een extra, zogenaamd random, health check op gaan vereisen".

Er is geen medische geschiedenis gelekt in deze hack, dus die vlieger gaat niet op.

Maar bij aanmelding van een verzekering moet je toch al je medische geschiedenis opgeven, dus die gegevens krijgt je nieuwe verzekeraar toch wel.
Als je het niet zo nauw neemt met normen en waarden zou je kunnen denken: "Mooi, een database van mensen die wij NIET gaan verzekeren of waar we minstens een extra, zogenaamd random, health check op gaan vereisen".

Er is geen medische geschiedenis gelekt in deze hack, dus die vlieger gaat niet op.
Wat was er onduidelijk aan "en er meer gestolen zou zijn dan alleen naw-gegevens + bsn/ssn"? Dat er nu niet meer gestolen is, wil niet zeggen dat het niet ooit eens gaat gebeuren...
Maar bij aanmelding van een verzekering moet je toch al je medische geschiedenis opgeven, dus die gegevens krijgt je nieuwe verzekeraar toch wel.
Ik heb nog nooit mijn dossier hoeven overhandigen :) Moet jij dat wel als je van verzekeraar switcht? :o
Ik heb nog nooit mijn dossier hoeven overhandigen :) Moet jij dat wel als je van verzekeraar switcht? :o

Voor basisverzekering zegt de wet dat er een acceptatieplicht is. Voor aanvullende mag een verzekeraar eisen stellen. Veel doen dat dan ook. Lieg je daar, ben je niet gedekt.

Maar mijn opmerking was in context van Amerika, waar dat heel normaal is.
Wellicht moesten ze hun procedure nog helemaal doorlopen en duurde dat 4 maanden. Hoe dan ook, wel jammer dat het zo lang heeft moeten duren.

Helaas kun je je er ook niet tegen wapenen. Ik heb bezwaar gemaakt tegen uitwisseling van mijn gegevens, maar dat betekent dat ik er nog steeds in sta. Wellicht moeten we op een gegeven moment maar accepteren dat alles wat je doet en alles wat je hebt gewoon publiek beschikbare informatie is ;(
Zoals in Noorwegen de belasting gegevens.
Heb ik ook gehoord. Slechte zaak. Maar men kan individueel bezwaar maken neem ik aan?
Op dat soort momenten ben ik blij dat Nederland vrij veel zaakjes goed in orde heeft.

[Reactie gewijzigd door Trommelrem op 20 augustus 2014 19:54]

offtopic:
Ben ik de enige die de naam een beetje grapig vind in deze situatie?

Anyway, vervelend dat dit is gebeurd. Maar nog erger dat ze het 4 maanden achterhouden.
Ik las zelfs eerst: '4,5 miljoen ziekenhuispatiŽnten gestorven via Heartbleed-bug'
Was heartbleed niet ook gebruikt om synology-nassen te hacken? (Niet de meest recente synology-hack, maar degene van eind 2013)
Ja. Dit was in een bepaalde versie van DSM. Is een update voor uitgebracht, maar ja, ook mensen zonder verstand van zaken hebben een NAS tegenwoordig..
Dat denk ik niet daar Hearthbleed pas in April 2014 bekend gemaakt is, en op 7 april 2014 gepatched is. De synology's die vatbaar waren voor de laatste hacks waren alleen vatbaar wanneer een firmware update uit december 2013 niet geÔnstalleerd was, de synology update met de laatste versie van openSSL is om hearthbleed vatbaarheid te voorkomen is pas in April 2014 uitgekomen, vlak na de release van de openSSL patch.

[Reactie gewijzigd door Dennism op 20 augustus 2014 23:35]

Ben eigenlijk wel benieuwt hoe het in Nederland staat met dat zogenaamde (EPD)) elektronisch patiŽnten dossier, waar niet alleen de eigen huisarts, maar zowat iedere gezondheidsdienst van Groningen tot Maastricht inzage in je patiŽnt gegevens krijgt, Ben wel benieuwd hoeveel mensen daarvoor schriftelijk toestemming hebben gegeven, dat hun patiŽnt gegevens, bekend bij de eigen huisarts, worden gekoppeld aan het landelijke (EPD) elektronisch patiŽnten dossier.
In het begin konden zelfs taxichaffeurs erin die aan patientenvervoer deden 8)7

Maar dat hebben ze inmiddels aangepast geloof ik....
Wederom een mooi single point of failure in geval dat het een EPD zou betreffen. EPD is trouwens in nederland door een aparte organisatie geregeld en niet meer verplicht / via overheidslobby na alle protesten eromheen. Als er ingebroken wordt bij een arts is de kans dat de medische dossiers gestolen worden zo goed als nihil, het rendement te laag en de pakkans te groot.

Als er echt zulke belangrijke medische informatie nodig is dan draag je die wel bij je dmv een sos-ketting of iets dergelijks. Persoonlijk, veilig, bij de hand en in geval van nood direct opvraagbaar.
Het aantal keren dat instanties in mijn leven zijn gehackt is vele malen groter dan dat ik mijn bankpas ben verloren ;)

Het is grappig om te zien hoezeer overheden en grote organisatie juist aan centraliseren zijn "voor de privacy" terwijl juist elk onderzoek op privacy erop wijst dat decentralisatie de privacy veel beter waarborgt.
Misschien niet landelijk en gedeeld maar elk ziekenhuis heeft een EPD
Dat is niet de eerste keer, Tweakers heeft er zelf nog over bericht:
nieuws: 'Aanvaller gebruikte Heartbleed-bug voor aanval op vpn'

Ook is een 19 jarige Canadese jongen gearresteerd omdat hij verdacht wordt van het misbruiken van Heartbleed:
http://www.am980.ca/2014/...appear-in-court-thursday/
Wat ik me afvraag is wat ze bedoelen met 'een week na de bug aan het licht kwam', is dat de datum dat de bug gevonden is of wanneer die publiek gemeld is met bijbehorende patch. In het laatste geval zijn ze gewoon te traag geweest met updaten, iets wat in grotere organisaties wel vaker voorkomt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True