image

Zorgverlener verliest cd met gegevens 1,6 miljoen mensen

dinsdag 20 september 2011, 11:47 door Redactie, 4 reacties

Een Britse zorgverlener is een cd met de privégegevens van 1,6 miljoen mensen verloren, zo heeft de Information Commissioner's Office (ICO) laten weten. De cd bevond zich in een archiefkast die tijdens een verhuizing naar het grofvuil werd gebracht.

Verder onderzoek wees uit dat de projectmanager die de verhuizing regelde, niet op de hoogte van de cd was. Daarnaast had het betrokken team geen training gevolgd om via juiste procedures de cd te vernietigen. Toen ontdekt werd dat de archiefkast ontbrak, was die al naar het grofvuil gebracht en niet meer terug te vinden.

De zorgverlener laat in een reactie weten dat patiënten zich geen zorgen hoeven te maken, omdat het om oude gegevens ging. Daarnaast worden gegevens nu niet meer op diskettes en cd's bewaard en past men voortaan encryptie toe.

Reacties (4)
20-09-2011, 12:38 door Anoniem
En waarom staan dat soort gegevens dan op een cd...
20-09-2011, 13:40 door Anoniem
Dus mijn adres van verleden jaar is niet interessant meer? Woon ik daar dan niet meer ofzo?
En mijn kwaaltjes van 10 jaar terug zijn ook niet interessant meer? Dat bepaal ik zelf nog wel, meneer de zorgverlener. Raar toch dat ik die mensen steeds minder gegevens verstrek...
20-09-2011, 16:06 door Overcome
De reactie van Ann Sutton, Chief Executive van NHS Kent and Medway is er een om in te lijsten:

"We have already strengthened our Information Governance policies, procedures and training on the basis of our internal investigation of the incident. The Information Commissioner's recommendations to improve them further will be implemented fully.
"While the breach was unfortunate, I would like to reassure patients that the data stored in the filing cabinet was not current - the most recent information was from 2002. There was no clinical data involved and the data is beyond retrieval.
"It is important to stress that information systems now are far more secure than they were at the time these files were produced - we no longer store information on floppy disks or CDs and use sophisticated systems of encryption.
"We have carried out our own thorough investigation into the incident and produced a comprehensive set of recommendations and learning points which are already being implemented. These include processes which staff are required to follow when moving offices and training to ensure staff fully understand their personal responsibilities for information security."


(1) Er staat dat de data "beyond retrieval" is. Dat staat niet in het officiële rapport. Daar staat dat "however the cabinet had already gone to landfill and was unable to be recovered." Oftewel, beyond retrieval voor mevrouw Sutton, niet vanwege encryptie van de gegevens.

(2) De gegevens die kwijt zijn: adres, geboortedatum, NHS number, GP practice code. Het NHS nummer zal sinds uitgifte niet meer veranderd zijn. Wat ik met dat nummer kan: "If you know your NHS Number, or have it on a document or letter, you can help healthcare staff find your records more easily and share them safely with other people who are caring for you.". Een social engineer vindt deze informatie geweldig.

(3) Het is 1 ding om procedures op papier te zetten. Het is iets totaal anders om de procedures kenbaar te maken in de organisatie, na te leven, periodiek te testen, er trainingen voor te ontwikkelen en periodiek te verifiëren (of zelfs af te dwingen) dat de trainingen gevolgd zijn. Ik zie het in ieder bedrijf. Mensen maken de test voor anderen (managers incluis), maken het vanwege de drukte niet, zijn het na 1 week alweer vergeten, maken al dan niet per ongeluk toch een kopie van de data (of laten deze liggen op de printer) etc. Meer regels lost niet altijd wat op.

(4) Alle overbodige woorden die vertrouwen moeten uitdrukken zijn dikgedrukt. Fraai lijstje om betrokken over te komen, dat wel.

(5) Ik ben altijd benieuwd naar de sophisticated systems of encryption. Zouden ze in enkele maanden tijd bedrijfsbreed database encryptie hebben toegepast, inclusief procedures voor key management, recovery procedures, herprogrammering van de database koppelingen, opleiding van de beheerders etc? Moet ik gokken?

Mijn gok: er is structureel weinig opgelost, zoals dat vaker gebeurt. De werkdruk is te hoog, het aantal mensen is te beperkt, het kennisniveau is te laag en het budget is te krap. Wat dat betreft is het niet anders dan een willekeurig ander ziekenhuis waar je zo naar binnen loopt met je laptop en je voordoet als kabelboer die de netwerk hickups analyseert en toegang tot het systeem nodig heeft. Over een maand (max 2) hebben we hier op security.nl het volgende bericht te pakken.
20-09-2011, 18:02 door jefdom
Door Overcome: De reactie van Ann Sutton, Chief Executive van NHS Kent and Medway is er een om in te lijsten:

"We have already strengthened our Information Governance policies, procedures and training on the basis of our internal investigation of the incident. The Information Commissioner's recommendations to improve them further will be implemented fully.
"While the breach was unfortunate, I would like to reassure patients that the data stored in the filing cabinet was not current - the most recent information was from 2002. There was no clinical data involved and the data is beyond retrieval.
"It is important to stress that information systems now are far more secure than they were at the time these files were produced - we no longer store information on floppy disks or CDs and use sophisticated systems of encryption.
"We have carried out our own thorough investigation into the incident and produced a comprehensive set of recommendations and learning points which are already being implemented. These include processes which staff are required to follow when moving offices and training to ensure staff fully understand their personal responsibilities for information security."
ik ben het volkomen met je eens alleen hoef je geen twee maanden te wachten maar hoogstens veertien dagen want als je regelmatig de artikels leest dan zie je dit verschijnsel aan de lopende band,en zoals de dame zegt,onze systemen zijn nu zoveel beter en gesofistkeerden dan 2002 de mensen die er mee te maken krijgen nietdus deshow blijft duren groetjes jefdom

(1) Er staat dat de data "beyond retrieval" is. Dat staat niet in het officiële rapport. Daar staat dat "however the cabinet had already gone to landfill and was unable to be recovered." Oftewel, beyond retrieval voor mevrouw Sutton, niet vanwege encryptie van de gegevens.

(2) De gegevens die kwijt zijn: adres, geboortedatum, NHS number, GP practice code. Het NHS nummer zal sinds uitgifte niet meer veranderd zijn. Wat ik met dat nummer kan: "If you know your NHS Number, or have it on a document or letter, you can help healthcare staff find your records more easily and share them safely with other people who are caring for you.". Een social engineer vindt deze informatie geweldig.

(3) Het is 1 ding om procedures op papier te zetten. Het is iets totaal anders om de procedures kenbaar te maken in de organisatie, na te leven, periodiek te testen, er trainingen voor te ontwikkelen en periodiek te verifiëren (of zelfs af te dwingen) dat de trainingen gevolgd zijn. Ik zie het in ieder bedrijf. Mensen maken de test voor anderen (managers incluis), maken het vanwege de drukte niet, zijn het na 1 week alweer vergeten, maken al dan niet per ongeluk toch een kopie van de data (of laten deze liggen op de printer) etc. Meer regels lost niet altijd wat op.

(4) Alle overbodige woorden die vertrouwen moeten uitdrukken zijn dikgedrukt. Fraai lijstje om betrokken over te komen, dat wel.

(5) Ik ben altijd benieuwd naar de sophisticated systems of encryption. Zouden ze in enkele maanden tijd bedrijfsbreed database encryptie hebben toegepast, inclusief procedures voor key management, recovery procedures, herprogrammering van de database koppelingen, opleiding van de beheerders etc? Moet ik gokken?

Mijn gok: er is structureel weinig opgelost, zoals dat vaker gebeurt. De werkdruk is te hoog, het aantal mensen is te beperkt, het kennisniveau is te laag en het budget is te krap. Wat dat betreft is het niet anders dan een willekeurig ander ziekenhuis waar je zo naar binnen loopt met je laptop en je voordoet als kabelboer die de netwerk hickups analyseert en toegang tot het systeem nodig heeft. Over een maand (max 2) hebben we hier op security.nl het volgende bericht te pakken.
je hoeft echt zolang niet te wachten binnen veertien dagen is het weer prijsgroetjes jefdom,voor de rest heb je volledig gelijk,mensen blijven mensen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.