image

Vrouw ontslagen na verlies USB-stick met patiëntgegevens

vrijdag 18 januari 2013, 10:21 door Redactie, 11 reacties

Een Amerikaanse vrouw die bij een zorgverlener werkte is ontslagen nadat ze een USB-stick met de medische dossiers van 6.000 mensen kwijtraakte. "Het was een fantastische werknemer", aldus Jim Clair, de CEO van Goold Data Systems, dat apotheekkosten van verschillende Amerikaanse staten verwerkt.

Op de USB-stick stonden namen, leeftijden en medicijngebruik van 6.000 mensen uit Utah. De vrouw had problemen met het uploaden van een bestand dat het Ministerie van Gezondheid van Utah had opgevraagd en besloot dat het eenvoudiger was om het op een USB-stick te plaatsen.

Iets wat in strijd met het bedrijfsbeleid is, hoewel ze dit volgens de CEO niet besefte. Onderweg van Salt Lake City naar Denver en vervolgens Washington raakte de vrouw de USB-stick kwijt. "Mogelijk ligt die bij het vuilnis en wordt die uiteindelijk vernietigd, maar het had in de eerste plaats nooit mogen gebeuren", laat Clair weten.

Reacties (11)
18-01-2013, 10:28 door MrBil
Heeft de medewerker die haar deze opdracht heeft gegeven ook billenkoek gekregen?
18-01-2013, 10:37 door Anoniem
[admin] Bedankt, het is aangepast [/admin]
"I dont think she realized it was against company policy."
Dan is ontslag een onzinnige actie. Als ze zich nu de pleuris schrikt van de ophef doet ze het voortaan goed (en ze was kennelijk een heel goede medewerker, dus aan betrokkenheid en verantwoordelijkheidsbesef zal het niet ontbreken). Haar opvolger heeft dat lesje waarschijnlijk nog niet geleerd zodat de kans op herhaling groter is dan bij haar.
18-01-2013, 11:02 door N4ppy
[admin] Bedankt, dit is inmiddels aangepast [/admin]

Daar staat wel dat ze wellicht niet wist dat dat tegen het beleid was. Dat zou moeten zijn, "ze heeft 12 mei een security training gehad waarin haar het beleid is uitgelegd en ze wist dus dat dit niet mocht (op straffe van ontslag)"
18-01-2013, 11:11 door Anoniem
[admin] Bedankt, het is aangepast [/admin]

Overigens heeft die Jim Clair ook nog wat te verantwoorden, want een company policy die niemand snapt heeft niemand wat aan. Waarom wist die werknemer dit niet en waarom was de data niet versleuteld? Ook al wist niet, of niet makkelijk genoeg, of wat?
18-01-2013, 11:39 door Hans_US
Waarom worden altijd de medewerkers gestraft terwijl het bedrijf zeker fouten heeft maakt / "toestaat"?

Het blijft jammer om te zien dat bedrijven/overheid die met privacy gevoelige gegevens / strategische gegevens werken, te weinig doen aan het voorkomen van fouten. Het moet m.i. niet mogelijk zijn om dit soort gegevens op een gewone stick te laden, dit is de fout van het bedrijf!

Ik denk aan het afsluiten van alle USB poorten, alleen werken met versleutelde opslag media (inclusief USB sticks), alles via terminals, regelmatige trainingen in beveiliging maar ook herkennen van phishing etc., blokkeren van privé email (hotmail, gmail) en cloud opslag enz enz enz.

Het gemak van de gebruiker zou nooit belangrijker mogen zijn dan de bescherming van gegevens.
18-01-2013, 13:38 door Anoniem
"Het was een fantastische werknemer, aldus Jim Clair, de CEO van Goold Data Systems, dat apotheekkosten van verschillende Amerikaanse staten verwerkt."

Tja, fijn zo'n baas. Het is immers primair de werkgever die fout is, door toe te staan dat dergelijke informatie op non-encrypted USB sticks terecht kan komen. Met de juiste security controls had dat voorkomen kunnen worden.

"Daar staat wel dat ze wellicht niet wist dat dat tegen het beleid was."

Security awareness is mooi, maar je kunt dit soort zaken ook technisch afdwingen. Een kwestie van goede endpoint security.
18-01-2013, 13:48 door Anoniem
Ik ben het er eigenlijk wel mee eens dat er ontslag op staat voor het lekken van de gegevens. Het is de laatste jaren zo vaak in het nieuws geweest dat er gevoelige informatie gelekt is dat degene ook zelf wel kon nagaan dat het niet verstandig is om deze data zo mee te nemen naar buiten, als ze dit niet weet dan is ze ook niet geschikt om met deze gegevens te werken.

Klink misschien hard maar we kunnen alles wel afschermen door de techniek aan te passen maar het blijft een feit dat de mensen zelf verantwoordelijk zijn voor de security binnen een bedrijf, techniek is zeker niet de eerste oplossing om dit te voorkomen.
18-01-2013, 16:20 door Whacko
Ondanks dat het soms best irritant is, lijkt me een product als Symantec Endpoint security in deze gevallen toch ergens goed voor. Je kunt dan gewoon niks op een usb stick plaatsen zonder dat het standaard geencrypt wordt.
Wel lastig als je een keer een bestand juist niet encrypted wil opslaan, want dat kan dan niet
18-01-2013, 22:04 door Anoniem
Door Anoniem 13:48uur: Ik ben het er eigenlijk wel mee eens dat er ontslag op staat voor het lekken van de gegevens.

Van Dale:

lek·ken (werkwoord; lekte, heeft gelekt) een geheim (opzettelijk) laten uitlekken.

'opzettelijk' tussen haakjes begint overigens aan betekenis te verliezen. M.a.w. 'Lekken' wordt meer en meer als met (boze) opzet bedoeld. Hiervan is in dit geval geen sprake.

Uiteraard is het niet goed wat de werkneemster heeft gedaan maar om haar dan 'per direct' op straat te zetten bewijst eigenlijk wel hoe paranoïde van de pot gerukt we aan het worden zijn.
19-01-2013, 00:52 door Anoniem
Volgende keer een duif nemen met een usb-stick om ze nek is nog sneller ook :)
20-01-2013, 07:54 door Anoniem
"Ik ben het er eigenlijk wel mee eens dat er ontslag op staat voor het lekken van de gegevens."

Waarom zou je dan niet de beheerder ontslaan, die niet zorgt voor de implementatie van goede security controls die dergelijke incidenten kunnen voorkomen, of het lid van het management team dat daarvoor vanuit management oogpunt verantwoordelijk is ?

Een bedrijf die zorgt dat dit soort zaken op orde zijn kan veel van dit soort incidenten voorkomen, en werknemers tegen dergelijke fouten in bescherming nemen. Draagt de werkgever geen verantwoordelijkheid ?

"Dan is ontslag een onzinnige actie. Als ze zich nu de pleuris schrikt van de ophef doet ze het voortaan goed (en ze was kennelijk een heel goede medewerker, dus aan betrokkenheid en verantwoordelijkheidsbesef zal het niet ontbreken). Haar opvolger heeft dat lesje waarschijnlijk nog niet geleerd zodat de kans op herhaling groter is dan bij haar."

100% mee eens, ontslag is de gemakkelijkste weg. Een goed gesprek met de medewerker -en- kijken naar ''lessons learned'' om herhaling als organisatie te voorkomen door de juiste maatregelen te treffen lijkt mij nuttiger.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.